Can’t sign in to Outlook on the web or EAC if Exchange Server OAuth certificate is expired
A causa di svariati motivi spesso accade che l’utente non riesce ad effettuare il login in OWA oppure nella console di amministrazione ECP.
Una volta inserito nome utente e password il browser presenta una pagine di errore con :
GetCertificates:protectionCertificates.Length<1
Il messaggio di errore specificato deriva dal fatto che un certificato è scaduto, rovinato, inaccessibile oppure la configurazione di ISS è cambiata e si sono perse le configurazioni di binding sui web pool application.
Il log eventi di Windows registra questo messaggio di errore :
Event ID: 1003
Source: MSExchange Front End HTTPS Proxy
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Object reference not set to an instance of an object.
at Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
Per procedere alla diagnosi e alla successiva risoluzione della problematica per prima cosa è necessario fare una verifica da powershell utilizzando il seguente comando :
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List
Se il risultato è un errore è chiaro che il certificato associato è scaduto, non accessibile o mal configurato.
A questo punto è necessario creare un nuovo certificato auto firmato in sostituzione di quello non più valido.
Per farlo utilizziamo sempre la powershell con questi comandi :
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn=Microsoft Exchange Server Auth Certificate” -FriendlyName “Microsoft Exchange Server Auth Certificate” -DomainName @()
Attendiamo il completamento dell’operazione, annotiamo il valore del thumbprint del certificato appena creato e assegniamo il certificato con questi tre comandi:
Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate
Ricordiamoci nel primo comando di inserire il Thumbprint annotato precedentemente.
Una volta associato il certificato riavviamo i servizi di ISS o l’intero server.
Se non vogliamo riavviare l’intero server possiamo usare i due comandi :
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool
A questo punto possiamo provare a rifare l’accesso all’OWA o all’ECP. Il login verrà effettuato correttamente.
IL riferimento ufficiale Microsoft per questa problematica è:
ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT
Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.
Non perderti nemmeno un articolo!
Iscriviti alla nostra newsletter inserendo la tua mail qui :
