环境描述

===============

 

  • 2台AD服务器,系统为Windows Server 2012 R2,林和域功能级别均为Windows Server 2012 R2 

  • Exchange版本为Exchange 2016 CU6

 

问题描述

===============

 

  • Exchange安装完成后,OWA\ECP均不能打开,PS可以正常打开,通过安装程序自己生产的管理网页可以正常打开。

 

wKioL1nhr6ey8-_5AABk95-ecxc748.png

 

  • 在应用程序日志中看到2004,2005, 1309等事件

wKioL1nhsAaza8tUAABhxqjxl8s123.jpg

 

问题分析

===============

  • Exchange 2016安装的时候,会有一个自签发证书“Microsoft Exchange Server Auth Certificate”被创建,以用于服务器之间的认证和和组织内OAuth集成;


  • 如果“Exchange Server Authcertificate”证书缺失,就会出现ECP/OWA访问报错的问题;同时,我们还会在应用程序日志中看到2004, 2005, 1309等事件;


  • 因此,我们需要通过如下命令检查所有服务器的证书,如果只有部分服务器缺失,请从正常的服务器上导出(包含私钥)再导入有问题的机器;若全部服务器缺失,请安装下一部分的解决方法操作;

    Get-ExchangeCertificate(Get-AuthConfig).CurrentCertificateThumbprint

 

问题处理步骤

===============

 

  • 登录到Exchange Server并启动Exchange命令行管理程序

  • 使用EMS cmdlet创建新的证书。

New-ExchangeCertificate-KeySize 2048 -PrivateKeyExportable $ true -SubjectName“CN = Microsoft ExchangeServer验证证书”-DomainName“* .DOMAINNAME.COM ”-FriendlyName“MicrosoftExchange Server验证证书”- 服务SMTP

image.png

  • 系统将提示您覆盖默认的SMTP证书,键入“N”并按Enter键回答“否”

  • 根据需要复制证书指纹,以便以后输入证书指纹

  • 使用该cmdlet将当前日期保存到对象

$ date = Get-Date

  • 运行cmdlet设置Exchange服务器的身份验证配置。系统将提示您新的证书生效日期未来至少为 “48”小时,并且可能不会部署在所有必需的服务器上。忽略此提示并键入 Yes继续或按Enter键。默认答案是是。

Set-AuthConfig-NewCertificateThumbprint certificate_thumbprint -NewCertificateEffectiveDate$ date

wKiom1nhs1ihxaRaAACYtljwKI4897.jpg


  • 使用以下命令发布新证书:

Set-AuthConfig-PublishCertificate

  • 如果您有旧证书,则需要运行以下cmdlet以清除以前的证书:

Set-AuthConfig-ClearPreviousCertificate

 

  • 证书配置在Exchange命令行管理程序中完成后,重新启动IIS服务,这将从事件查看器修复证书警告消息。

 

需要注意的是,以上操作可能不会马上生效,需要等待一段时间(48小时以内)