Exchange Server impossibile effettuare il login in ‘/owa’ application a causa di un certificato scaduto.

Can’t sign in to Outlook on the web or EAC if Exchange Server OAuth certificate is expired

A causa di svariati motivi spesso accade che l’utente non riesce ad effettuare il login in OWA oppure nella console di amministrazione ECP.

Una volta inserito nome utente e password il browser presenta una pagine di errore con :

GetCertificates:protectionCertificates.Length<1

Il messaggio di errore specificato deriva dal fatto che un certificato è scaduto, rovinato, inaccessibile oppure la configurazione di ISS è cambiata e si sono perse le configurazioni di binding sui web pool application.

Il log eventi di Windows registra questo messaggio di errore :

Event ID: 1003
Source: MSExchange Front End HTTPS Proxy
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Object reference not set to an instance of an object.
at Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Per procedere alla diagnosi e alla successiva risoluzione della problematica per prima cosa è necessario fare una verifica da powershell utilizzando il seguente comando :

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Se il risultato è un errore è chiaro che il certificato associato è scaduto, non accessibile o mal configurato.

A questo punto è necessario creare un nuovo certificato auto firmato in sostituzione di quello non più valido.

Per farlo utilizziamo sempre la powershell con questi comandi :

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn=Microsoft Exchange Server Auth Certificate” -FriendlyName “Microsoft Exchange Server Auth Certificate” -DomainName @()

Attendiamo il completamento dell’operazione, annotiamo il valore del thumbprint del certificato appena creato e assegniamo il certificato con questi tre comandi:

Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)

Set-AuthConfig -PublishCertificate

Set-AuthConfig -ClearPreviousCertificate

Ricordiamoci nel primo comando di inserire il Thumbprint annotato precedentemente.

Una volta associato il certificato riavviamo i servizi di ISS o l’intero server.

Se non vogliamo riavviare l’intero server possiamo usare i due comandi :

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

A questo punto possiamo provare a rifare l’accesso all’OWA o all’ECP. Il login verrà effettuato correttamente.

IL riferimento ufficiale Microsoft per questa problematica è:

https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired

ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT

Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.

Non perderti nemmeno un articolo!

Iscriviti alla nostra newsletter inserendo la tua mail qui :


 

 

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock