Non è possibile accedere a Outlook sul Web o EAC se il certificato OAuth di Exchange Server è scaduto

Numero KB originale: 2617816

Sintomi

Quando si tenta di accedere a Outlook sul Web o EAC in Exchange Server, il Web browser blocca o segnala che è stato raggiunto il limite di reindirizzamento. Inoltre, l'evento 1003 viene registrato nel visualizzatore eventi. Ad esempio, viene registrata la voce seguente:

ID evento: 1003
Origine: Proxy HTTPS front-end di MSExchange
[Owa] Si è verificato un errore interno del server. Eccezione non gestita: System.NullReferenceException: Riferimento all'oggetto non impostato su un'istanza di un oggetto.
a Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Annotazioni

EAC è stato introdotto in Exchange Server 2013 e sostituisce Exchange Management Console (EMC) e Exchange Control Panel (ECP), che erano le due interfacce di gestione di Exchange Server 2010.

Motivo

Questo problema si verifica se il certificato OAuth (Open Authentication) di Exchange Server è scaduto, non è presente o non è configurato correttamente.

Risoluzione

Per controllare lo stato del certificato OAuth esistente, eseguire il comando seguente in Exchange Management Shell:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Se il comando restituisce un errore o il certificato è scaduto, seguire questa procedura per creare e distribuire un nuovo certificato OAuth nel server Exchange:

1. Creare un nuovo certificato OAuth eseguendo il comando seguente:

   New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
   

2. Impostare il nuovo certificato per l'autenticazione server. A tale scopo, eseguire i seguenti comandi:

   Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
   Set-AuthConfig -PublishCertificate
   Set-AuthConfig -ClearPreviousCertificate
   

3. Riavviare il servizio host del servizio Microsoft Exchange.

4. Eseguire il IISReset comando per riavviare IIS o eseguire i comandi seguenti (in modalità con privilegi elevati) per riciclare Outlook sul Web e i pool di applicazioni EAC:

   Restart-WebAppPool MSExchangeOWAAppPool
   Restart-WebAppPool MSExchangeECPAppPool
   

   Annotazioni

   In alcuni ambienti, la pubblicazione del certificato OAuth potrebbe richiedere un'ora. Se si dispone di un'installazione ibrida, è necessario eseguire di nuovo la Configurazione ibrida guidata per aggiornare le modifiche apportate a Microsoft Entra ID.

Maggiori informazioni

Per controllare la data di scadenza del certificato, seguire questa procedura:

1. Aprire Microsoft Management Console. A tale scopo, aprire la casella Esegui (tasto logo Windows+R), immettere MMC e quindi premere INVIO.

   Annotazioni

   Se viene richiesta una password amministratore o per la conferma, digitare la password o selezionare Sì.

2. Selezionare File>Aggiungi/Rimuovi snap-in>Selezionare Certificati>Aggiungi>Account Computer e quindi selezionare Fine per chiudere la finestra.

3. Trovare la voce Certificato di autenticazione di Microsoft Exchange Server nella cartella Certificato personale> e verificare la data di scadenza.