No se puede iniciar sesión en Outlook en la Web o EAC si el certificado de OAuth de Exchange Server ha expirado

• Se aplica a:

  Exchange Server 2019, Exchange Server 2016, Exchange Server 2013, Exchange Server 2010

Número KB original: 2617816

Síntomas

Cuando intenta iniciar sesión en Outlook en la Web o EAC en Exchange Server, el explorador web se bloquea o indica que se alcanzó el límite de redirección. Además, el evento 1003 se registra en el visor de eventos. Por ejemplo, se registra la siguiente entrada:

Id. de evento: 1003
Origen: MSExchange Front End HTTPS Proxy
[OWA] Error interno del servidor. La excepción no controlada fue: System.NullReferenceException: La referencia de objeto no está establecida en una instancia de un objeto.
en Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Nota:

EAC se introdujo en Exchange Server 2013 y reemplaza la Consola de administración de Exchange (EMC) y el panel de control de Exchange (ECP), las dos interfaces de administración que había en Exchange Server 2010.

Causa

Este problema se produce si el certificado de autenticación abierta (OAuth) de Exchange Server ha expirado, no está presente o no está configurado correctamente.

Solución

Para comprobar el estado del certificado de OAuth existente, ejecute el siguiente comando en el Shell de administración de Exchange:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Si el comando devuelve un error o el certificado ha expirado, siga estos pasos para crear e implementar un nuevo certificado de OAuth en el servidor de Exchange:

1. Cree un nuevo certificado de OAuth mediante la ejecución del siguiente comando:

   New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
   

2. Establezca el nuevo certificado para la autenticación del servidor. Para ello, ejecute los siguientes comandos:

   Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
   Set-AuthConfig -PublishCertificate
   Set-AuthConfig -ClearPreviousCertificate
   

3. Reinicie el host de servicio de Microsoft Exchange Service.

4. Ejecute el comando IISReset para reiniciar IIS o los siguientes comandos (en modo con privilegios elevados) para reciclar los grupos de aplicaciones Outlook en la Web y EAC:

   Restart-WebAppPool MSExchangeOWAAppPool
   Restart-WebAppPool MSExchangeECPAppPool
   

   Nota:

   En algunos entornos, el certificado de OAuth puede tardar una hora en publicarse. Si tiene una configuración híbrida, tendrá que volver a ejecutar el Asistente para la configuración híbrida a fin de actualizar los cambios en Microsoft Entra ID.

Más información

Para comprobar la fecha de caducidad de su certificado, siga estos pasos:

1. Abra Microsoft Management Console. Para ello, abra el cuadro Ejecutar (tecla del logotipo de Windows + R), escriba MMC y, después, presione Entrar.

   Nota:

   Si se le pide una contraseña de administrador o que confirme la acción, escriba la contraseña o seleccione Sí.

2. Seleccione Archivo>Agregar o quitar complemento>Seleccionar certificados>Agregar>Cuenta de equipo y, después, Finalizar para cerrar la ventana.

3. Busque la entrada Certificado de autenticación de Microsoft Exchange Server en la carpeta Certificado personal> y compruebe la fecha de expiración.