none
Problème d'accès à ECP et OWA RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour à tous,

    Je me permet de demander votre aide car je n'arrive plus à accéder ni a l'ECP ni a l'OWA. Lorsque je rentre le mot de passe, je reste sur la même fenêtre qui me redemande le mot de passe.

    Si dessous le message d'erreur dans l'observateur d’événement : 

    [Ecp] An internal server error occurred. The unhandled exception was: System.Security.Cryptography.CryptographicException: Type de fournisseur spécifié non valide.

       à System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)
       à System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle)
       à System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()
       à System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
       à Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
       à Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
       à Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClassa.<OnBeginRequest>b__9()
       à Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)

    Merci d'avance pour votre aide.

    Adrien ESCUDERO

    lundi 21 mars 2016 11:48
    |

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonsoir,

    J'ai rencontré un problème similaire chez un client ayant un certificat non supporté par Exchange 2013 et le FBA.

    Voici un article qui explique pourquoi et comment déterminer votre certificat en place:

    https://blogs.technet.microsoft.com/jasonsla/2015/01/15/the-one-with-the-fba-redirect-loop/

    "The provider was listed as "Provider = Microsoft Software Key Storage Provider".  The KSP is a provider that is used with Cryptography API: Next Generation (CNG).  Exchange FBA does not support CNG certificates.  Exchange only uses and supports the legacy CryptoAPI which uses Cryptographic Service Providers (CSP)."

    Le contournement possible: faire passer l'authentification en integrée

    Set-OwaVirtualDirectory -Identity "EXCHXXXX\owa (Default Web Site)" -FormsAuthentication $false -WindowsAuthentication $true
Set-EcpVirtualDirectory -Identity "EXCHXXXX\ECP (Default Web Site)" -FormsAuthentication $false -WindowsAuthentication $true


    Il est recommandé de fournir un certificat complètement supporté par Exchange et pour cela il est recommandé de generer la demande depuis le serveur Exchange lui même et son assistant.

    Merci

    Hakim Taoussi - Consultant Exchange - http://exchangediscover.blogspot.fr

    • Proposé comme réponse Bruce JDCModerator mardi 22 mars 2016 09:46
    • Marqué comme réponse BoPtz jeudi 31 mars 2016 14:09
    lundi 21 mars 2016 18:05
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonsoir,

    J'ai rencontré un problème similaire chez un client ayant un certificat non supporté par Exchange 2013 et le FBA.

    Voici un article qui explique pourquoi et comment déterminer votre certificat en place:

    https://blogs.technet.microsoft.com/jasonsla/2015/01/15/the-one-with-the-fba-redirect-loop/

    "The provider was listed as "Provider = Microsoft Software Key Storage Provider".  The KSP is a provider that is used with Cryptography API: Next Generation (CNG).  Exchange FBA does not support CNG certificates.  Exchange only uses and supports the legacy CryptoAPI which uses Cryptographic Service Providers (CSP)."

    Le contournement possible: faire passer l'authentification en integrée

    Set-OwaVirtualDirectory -Identity "EXCHXXXX\owa (Default Web Site)" -FormsAuthentication $false -WindowsAuthentication $true
Set-EcpVirtualDirectory -Identity "EXCHXXXX\ECP (Default Web Site)" -FormsAuthentication $false -WindowsAuthentication $true


    Il est recommandé de fournir un certificat complètement supporté par Exchange et pour cela il est recommandé de generer la demande depuis le serveur Exchange lui même et son assistant.

    Merci

    Hakim Taoussi - Consultant Exchange - http://exchangediscover.blogspot.fr

    • Proposé comme réponse Bruce JDCModerator mardi 22 mars 2016 09:46
    • Marqué comme réponse BoPtz jeudi 31 mars 2016 14:09
    lundi 21 mars 2016 18:05
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter
    Si vous avez un HLB en frontal qui fait du layer 7, vous pouvez n'installer ce certificat que sur le HLB, et laisser un certificat "bidon" sur les serveurs Exchange. Il m'arrive d'utiliser un selfsign valide 10 ans que je déploie sur tous les serveurs.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 22 mars 2016 09:47
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    je viens de tester de faire passer l'authentification en intégrée. Tout fonctionne à nouveau.

    Concrètement, quels sont les changements apportés par ce contournement au point de vue technique?

    Au point de vue sécurité?

    Merci pour votre aide.

    Adrien

    Adrien ESCUDERO

    mardi 22 mars 2016 12:53
    |