Exchange Server impossibile effettuare il login in ‘/owa’ application a causa di un certificato scaduto.

Can’t sign in to Outlook on the web or EAC if Exchange Server OAuth certificate is expired

A causa di svariati motivi spesso accade che l’utente non riesce ad effettuare il login in OWA oppure nella console di amministrazione ECP.

Una volta inserito nome utente e password il browser presenta una pagine di errore con :

GetCertificates:protectionCertificates.Length<1

Il messaggio di errore specificato deriva dal fatto che un certificato è scaduto, rovinato, inaccessibile oppure la configurazione di ISS è cambiata e si sono perse le configurazioni di binding sui web pool application.

Il log eventi di Windows registra questo messaggio di errore :

Event ID: 1003
Source: MSExchange Front End HTTPS Proxy
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Object reference not set to an instance of an object.
at Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Per procedere alla diagnosi e alla successiva risoluzione della problematica per prima cosa è necessario fare una verifica da powershell utilizzando il seguente comando :

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Se il risultato è un errore è chiaro che il certificato associato è scaduto, non accessibile o mal configurato.

A questo punto è necessario creare un nuovo certificato auto firmato in sostituzione di quello non più valido.

Per farlo utilizziamo sempre la powershell con questi comandi :

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn=Microsoft Exchange Server Auth Certificate” -FriendlyName “Microsoft Exchange Server Auth Certificate” -DomainName @()

Attendiamo il completamento dell’operazione, annotiamo il valore del thumbprint del certificato appena creato e assegniamo il certificato con questi tre comandi:

Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)

Set-AuthConfig -PublishCertificate

Set-AuthConfig -ClearPreviousCertificate

Ricordiamoci nel primo comando di inserire il Thumbprint annotato precedentemente.

Una volta associato il certificato riavviamo i servizi di ISS o l’intero server.

Se non vogliamo riavviare l’intero server possiamo usare i due comandi :

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

A questo punto possiamo provare a rifare l’accesso all’OWA o all’ECP. Il login verrà effettuato correttamente.

IL riferimento ufficiale Microsoft per questa problematica è:

https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired

ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT

Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.

Non perderti nemmeno un articolo!

Iscriviti alla nostra newsletter inserendo la tua mail qui :


 

 

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato.