Pokud vypršela platnost certifikátu OAuth Exchange Server, nelze se přihlásit k Outlooku na webu nebo EAC

  • Článek
  • Platí pro:
    Exchange Server 2019, Exchange Server 2016, Exchange Server 2013, Exchange Server 2010

Původní číslo KB: 2617816

Příznaky

Když se pokusíte přihlásit k Outlooku na webu nebo EAC na Exchange Server, webový prohlížeč zamrzne nebo hlásí, že bylo dosaženo limitu přesměrování. Událost 1003 je navíc zaznamenána do prohlížeče událostí. Například je zaznamenána následující položka:

ID události: 1003
Zdroj: MSExchange Front End HTTPS Proxy
[Owa] Došlo k vnitřní chybě serveru. Neošetřená výjimka byla: System.NullReferenceException: Odkaz na objekt není nastaven na instanci objektu.
na adrese Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Poznámka

EAC byl zaveden v Exchange Serveru 2013 a nahrazuje Konzoli pro správu serveru Exchange (EMC) a Ovládací panel serveru Exchange (ECP), což byla dvě rozhraní pro správu v Exchange Serveru 2010.

Příčina

K tomuto problému dochází v případě, že platnost certifikátu OAuth (open authentication) Exchange Serveru vypršela, není k dispozici nebo není správně nakonfigurován.

Řešení

Pokud chcete zkontrolovat stav existujícího certifikátu OAuth, spusťte v prostředí Exchange Management Shell následující příkaz:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Pokud příkaz vrátí chybu nebo vypršela platnost certifikátu, vytvořte a nasaďte nový certifikát OAuth na server Exchange pomocí následujícího postupu:

  1. Vytvořte nový certifikát OAuth spuštěním následujícího příkazu:

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

  2. Nastavte nový certifikát pro ověřování serveru. Chcete-li to provést, spusťte následující příkazy:

    Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

  3. Restartujte hostitelskou službu Microsoft Exchange Service.

  4. Buď spusťte příkaz IISReset a restartujte IIS, nebo spusťte následující příkazy (v režimu se zvýšenými oprávněními), abyste recyklovali Outlook na webu a fondy aplikací EAC:

    Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

    Poznámka

    V některých prostředích může publikování certifikátu OAuth trvat hodinu. Pokud máte hybridní instalaci, musíte znovu spustit Průvodce hybridní konfigurací, aby se změny Microsoft Entra ID aktualizovaly.

Další informace

Pokud chcete zkontrolovat datum vypršení platnosti certifikátu, postupujte takto:

  1. Otevřete konzoli Microsoft Management Console. Uděláte to tak, že otevřete pole Spustit (klávesa s logem Windows + R), zadejte MMC a stisknete Enter.

    Poznámka

    Pokud budete vyzváni k zadání hesla správce nebo k potvrzení, zadejte heslo nebo vyberte Ano.

  2. Vyberte Soubor>Přidat/odebrat modul snap-in>Vybrat certifikáty>Přidat>Účet počítače a poté výběrem Dokončit okno zavřete.

  3. Vyhledejte položku Ověřovací certifikát Microsoft Exchange Serveru ve složce Osobní>Certifikát a ověřte datum vypršení platnosti.