Anmeldung bei Outlook im Web oder EAC nicht möglich, wenn Exchange Server OAuth-Zertifikat abgelaufen ist

Ursprüngliche KB-Nummer: 2617816

Problembeschreibung

Wenn Sie versuchen, sich bei Outlook im Web oder der EAC in Exchange Server anzumelden, reagiert der Webbrowser nicht mehr, oder es wird eine Meldung angezeigt, dass das Umleitungslimit erreicht wurde. Darüber hinaus wird das Ereignis 1003 in der Ereignisanzeige protokolliert. Beispielsweise wird der folgende Eintrag protokolliert:

Ereignis-ID: 1003
Quelle: MSExchange Front End HTTPS Proxy.
[Owa] Ein interner Serverfehler ist aufgetreten. Nicht behandelte Ausnahme: System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
unter Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Hinweis

Das EAC wurde mit Exchange-Server 2013 eingeführt und ersetzt die Exchange-Verwaltungskonsole ersetzt die Kombination aus Exchange-Verwaltungskonsole (Exchange Management Console, EMC) und die Exchange-Systemsteuerung (Exchange Control Panel, ECP), welche die beiden Verwaltungsschnittstellen in Exchange Server 2010 waren.

Ursache

Dieses Problem tritt auf, wenn das Exchange Server OAuth-Zertifikat (Open Authentication) abgelaufen, nicht vorhanden oder nicht ordnungsgemäß konfiguriert ist.

Lösung

Um den Status Ihres vorhandenen OAuth-Zertifikats zu überprüfen, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Wenn der Befehl einen Fehler zurückgibt oder das Zertifikat abgelaufen ist, führen Sie die folgenden Schritte aus, um ein neues OAuth-Zertifikat zu erstellen und auf dem Exchange-Server bereitzustellen:

  1. Erstellen Sie ein neues OAuth-Zertifikat, indem Sie den folgenden Befehl ausführen:

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
    
  2. Legen Sie das neue Zertifikat für die Serverauthentifizierung fest. Führen Sie dazu die folgenden Befehle aus:

    Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
    Set-AuthConfig -PublishCertificate
    Set-AuthConfig -ClearPreviousCertificate
    
  3. Starten Sie den Hostdienst für Microsoft Exchange-Dienste neu.

  4. Führen Sie entweder den Befehl IISReset aus, um IIS neu zu starten, oder führen Sie die folgenden Befehle (im Modus mit erhöhten Rechten) aus, um die Anwendungspools für Outlook im Web und EAC wiederzuverwenden:

    Restart-WebAppPool MSExchangeOWAAppPool
    Restart-WebAppPool MSExchangeECPAppPool
    

    Hinweis

    In einigen Umgebungen kann es eine Stunde dauern, bis das OAuth-Zertifikat veröffentlicht wird. Wenn Sie über ein Hybridsetup verfügen, müssen Sie den Hybridkonfigurations-Assistenten erneut ausführen, um die Änderungen an Azure Active Directory (Azure AD) zu aktualisieren.

Weitere Informationen

Um das Ablaufdatum Ihres Zertifikats zu überprüfen, befolgen Sie diese Schritte:

  1. Öffnen Sie die Microsoft Management Console (MMC). Öffnen Sie dazu das Feld Ausführen (Windows-Logo-Taste+R), geben Sie MMC ein, und drücken Sie dann die Eingabetaste.

    Hinweis

    Wenn Sie zur Eingabe eines Administratorkennworts oder zur Bestätigung aufgefordert werden, geben Sie das Kennwort ein bzw. klicken Sie auf Ja.

  2. Wählen Sie Datei>Snap-In hinzufügen/entfernen>Zertifikate auswählen>Hinzufügen>Computerkonto, und klicken Sie dann auf Fertig stellen, um das Fenster zu schließen.

  3. Suchen Sie den Eintrag Microsoft Exchange Server-Authentifizierungszertifikat im Ordner Persönlich>Zertifikat, und überprüfen Sie das Ablaufdatum.