Anmeldung bei Outlook im Web oder EAC nicht möglich, wenn Exchange Server OAuth-Zertifikat abgelaufen ist

Ursprüngliche KB-Nummer:   2617816

Problembeschreibung

Wenn Sie versuchen, sich bei Outlook im Web oder dem EAC in Exchange Server anzumelden, wird der Webbrowser fixiert oder meldet, dass das Umleitungslimit erreicht wurde. Darüber hinaus wird das Ereignis 1003 in der Ereignisanzeige protokolliert. Beispielsweise wird der folgende Eintrag protokolliert:

Ereignis-ID: 1003
Quelle: MSExchange-Front-End-HTTPS-Proxy
[Owa] Ein interner Serverfehler ist aufgetreten. Nicht behandelte Ausnahme: System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
unter Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Hinweis

Das EAC wurde mit Exchange-Server 2013 eingeführt und ersetzt die Exchange-Verwaltungskonsole ersetzt die Kombination aus Exchange-Verwaltungskonsole (Exchange Management Console, EMC) und die Exchange-Systemsteuerung (Exchange Control Panel, ECP), welche die beiden Verwaltungsschnittstellen in Exchange Server 2010 waren.

Ursache

Dieses Problem tritt auf, wenn das Exchange Server OAuth-Zertifikat (Open Authentication) abgelaufen, nicht vorhanden oder nicht ordnungsgemäß konfiguriert ist.

Lösung

Führen Sie den folgenden Befehl in der Exchange Verwaltungsshell aus, um den Status Ihres vorhandenen OAuth-Zertifikats zu überprüfen:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Wenn der Befehl einen Fehler zurückgibt oder das Zertifikat abgelaufen ist, führen Sie die folgenden Schritte aus, um ein neues OAuth-Zertifikat auf dem Exchange Server zu erstellen und bereitzustellen:

  1. Erstellen Sie ein neues OAuth-Zertifikat, indem Sie den folgenden Befehl ausführen:

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
    
  2. Legen Sie das neue Zertifikat für die Serverauthentifizierung fest. Führen Sie dazu die folgenden Befehle aus:

    Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
    Set-AuthConfig -PublishCertificate
    Set-AuthConfig -ClearPreviousCertificate
    
  3. Starten Sie den Microsoft Exchange-Diensthostdienst neu.

  4. Führen Sie entweder den IISReset Befehl aus, um IIS neu zu starten, oder führen Sie die folgenden Befehle (im Modus mit erhöhten Rechten) aus, um die Outlook im Web- und EAC-Anwendungspools wiederzuverwenden:

    Restart-WebAppPool MSExchangeOWAAppPool
    Restart-WebAppPool MSExchangeECPAppPool
    

    Hinweis

    In einigen Umgebungen kann es eine Stunde dauern, bis das OAuth-Zertifikat veröffentlicht wurde. Wenn Sie über ein Hybridsetup verfügen, müssen Sie den Hybridkonfigurations-Assistenten erneut ausführen, um die Änderungen auf Azure Active Directory (Azure AD) zu aktualisieren.

Weitere Informationen

Führen Sie die folgenden Schritte aus, um das Ablaufdatum Ihres Zertifikats zu überprüfen:

  1. Öffnen Sie die Microsoft Management Console (MMC). Öffnen Sie dazu das Feld "Ausführen" (Windows Logo-Taste+R), geben Sie MMC ein, und drücken Sie dann die EINGABETASTE.

    Hinweis

    Wenn Sie zur Eingabe eines Administratorkennworts oder zur Bestätigung aufgefordert werden, geben Sie das Kennwort ein, oder wählen Sie "Ja" aus.

  2. Wählen Sie FileAdd > /Remove Snap-inSelect > CertificatesAddComputer > > Account aus, und wählen Sie dann Fertig stellen aus, um das Fenster zu schließen.

  3. Suchen Sie den Eintrag Microsoft Exchange Server Authentifizierungszertifikats im Ordner **"**PersonalCertificate > ", und überprüfen Sie das Ablaufdatum.