Det går inte att logga in i Outlook på webben eller EAC om Exchange Server OAuth-certifikatet har upphört att gälla

Ursprungligt KB-nummer:   2617816

Symptom

När du försöker logga in på Outlook på webben eller EAC i Exchange Server låser sig webbläsaren eller rapporter om att omdirigeringsgränsen har nåtts. Dessutom loggas händelse 1003 i loggboken. Följande post loggas till exempel:

Händelse-ID: 1003
Källa: MSExchange Front End HTTPS-proxy
[Owa] Ett internt serverfel inträffade. Det ohanterade undantaget var: System.NullReferenceException: Objektreferensen är inte inställd på en instans av ett objekt.
på Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Anteckning

EAC infördes i Exchange Server 2013 och ersätter Exchange Management Console (EMC) och Exchange Control Panel (ECP), som var de två hanteringsgränssnitten i Exchange Server 2010.

Orsak

Det här problemet uppstår eftersom certifikatet för öppen autentisering för Exchange Server (OAuth) har upphört att gälla.

Lösning

Så här skapar och distribuerar du ett nytt OAuth-certifikat till den server som kör Exchange Server:

  1. Skapa ett nytt OAuth-certifikat genom att köra följande kommando:

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName "contoso.com"
    

    Anteckning

    Ändra parameterns DomainName värde i exemplet (contoso.com) till den SMTP-domän som används i organisationen.

  2. Ange det nya certifikatet för serverautentisering. Det gör du genom att köra följande kommandon:

    Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
    Set-AuthConfig -PublishCertificate
    Set-AuthConfig -ClearPreviousCertificate
    
  3. Starta om värdtjänsten för Microsoft Exchange-tjänsten.

  4. Kör kommandot för att starta om IIS eller kör följande kommandon (i förhöjdt läge) till att återanvända Outlook på webben och IISReset EAC-programpooler:

    Restart-WebAppPool MSExchangeOWAAppPool
    Restart-WebAppPool MSExchangeECPAppPool
    

    Anteckning

    I vissa miljöer kan det ta en timme innan OAuth-certifikatet publiceras. Om du har en hybridkonfiguration måste du köra hybridkonfigurationsguiden igen för att uppdatera ändringarna i Azure Active Directory (Azure AD).

Mer information

Kontrollera utgångsdatumet för ditt certifikat genom att följa de här stegen:

  1. Öppna Microsoft Management Console. Det gör du genom att öppna rutan Kör (Windows-tangenten + R), ange MMC och sedan trycka på Retur.

    Anteckning

    Om du uppmanas att ange ett administratörslösenord eller att bekräfta skriver du lösenordet eller väljer Ja.

  2. Välj Lägg > till/ta bort snapin-certifikat > lägg > till > datorkonto och välj sedan Slutför för att stänga fönstret.

  3. Leta reda på posten Microsoft Exchange Server Auth Certificate i mappen Personal > Certificate och verifiera utgångsdatumet.