Det går inte att logga in på Outlook på webben eller EAC om Exchange Server OAuth-certifikat har upphört att gälla

  • Artikel
  • Gäller för:
    Exchange Server 2019, Exchange Server 2016, Exchange Server 2013, Exchange Server 2010

Original-KB-nummer: 2617816

Symptom

När du försöker logga in på Outlook på webben eller EAC i Exchange Server fryser webbläsaren eller visas ett meddelande om att gränsen för omdirigering har nåtts. Dessutom loggas händelse 1003 i loggboken. Följande post loggas till exempel:

Händelse-ID: 1003
Källa: MSExchange Front End HTTPS Proxy
[Owa] Ett internt serverfel uppstod. Det ohanterade undantaget var: System.NullReferenceException: Objektreferensen är inte inställd på en instans av ett objekt.
på Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Obs!

EAC infördes i Exchange Server 2013 och ersätter Exchange Management Console (EMC) och Exchanges kontrollpanel (ECP), som var de två hanteringsgränssnitten i Exchange Server 2010.

Orsak

Det här problemet uppstår om Exchange Server OAuth-certifikatet (Open Authentication) har upphört att gälla, inte finns eller inte har konfigurerats korrekt.

Lösning

Kontrollera statusen för ditt befintliga OAuth-certifikat genom att köra följande kommando i Exchange Management Shell:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Om kommandot returnerar ett fel, eller om certifikatet har upphört att gälla, använder du följande steg för att skapa och distribuera ett nytt OAuth-certifikat till Exchange-servern:

  1. Skapa ett nytt OAuth-certifikat genom att köra följande kommando:

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

  2. Ange det nya certifikatet för serverautentisering. Gör detta genom att köra följande kommando:

    Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

  3. Starta om Microsoft Exchange Service Host Service.

  4. Kör antingen kommandot IISReset för att starta om IIS eller kör följande kommandon (i förhöjt läge) för att återanvända Outlook på webben- och EAC-programpoolerna:

    Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

    Obs!

    I vissa miljöer kan det ta en timme innan OAuth-certifikatet publiceras. Om du har en hybridkonfiguration måste du köra hybridkonfigurationsguiden igen för att uppdatera ändringarna till Microsoft Entra ID.

Mer information

Följ dessa steg för att kontrollera utgångsdatumet för ditt certifikat:

  1. Öppna konsolen Microsoft-hantering. Detta gör du genom att öppna rutan Kör (Windows-tangent + R), ange MMC och trycka sedan på Retur.

    Obs!

    Om du uppmanas ange ett administratörslösenord eller en bekräftelse skriver du lösenordet eller väljer Ja.

  2. Välj Arkiv>Lägg till/ta bort snapin-modul>Välj certifikat>Lägg till>datorkonto och välj sedan Slutför för att stänga fönstret.

  3. Leta upp posten Microsoft Exchange Server-autentiseringscertifikat i mappen Personligt>certifikat och kontrollera förfallodatumet.