Exchange 2016 CU6全新部署OWA\ECP無法打開

環境描述

===============

• 2臺AD服務器，系統為Windows Server 2012 R2,林和域功能級別均為Windows Server 2012 R2 

• Exchange版本為Exchange 2016 CU6

問題描述

===============

• Exchange安裝完成后，OWA\ECP均不能打開，PS可以正常打開，通過安裝程序自己生產的管理網頁可以正常打開。

• 在應用程序日志中看到2004,2005, 1309等事件

問題分析

===============

• Exchange 2016安裝的時候，會有一個自簽發證書“Microsoft Exchange Server Auth Certificate”被創建，以用于服務器之間的認證和和組織內OAuth集成；

• 如果“Exchange Server Authcertificate”證書缺失，就會出現ECP/OWA訪問報錯的問題；同時，我們還會在應用程序日志中看到2004, 2005, 1309等事件；

• 因此，我們需要通過如下命令檢查所有服務器的證書，如果只有部分服務器缺失，請從正常的服務器上導出（包含私鑰）再導入有問題的機器；若全部服務器缺失，請安裝下一部分的解決方法操作；

    Get-ExchangeCertificate(Get-AuthConfig).CurrentCertificateThumbprint

問題處理步驟

===============

• 登錄到Exchange Server并啟動Exchange命令行管理程序

• 使用EMS cmdlet創建新的證書。

New-ExchangeCertificate-KeySize 2048 -PrivateKeyExportable $ true -SubjectName“CN = Microsoft ExchangeServer驗證證書”-DomainName“* .DOMAINNAME.COM ”-FriendlyName“MicrosoftExchange Server驗證證書”- 服務SMTP

• 系統將提示您覆蓋默認的SMTP證書，鍵入“N”并按Enter鍵回答“否”

• 根據需要復制證書指紋，以便以后輸入證書指紋

• 使用該cmdlet將當前日期保存到對象

$ date = Get-Date

• 運行cmdlet設置Exchange服務器的身份驗證配置。系統將提示您新的證書生效日期未來至少為 “48”小時，并且可能不會部署在所有必需的服務器上。忽略此提示并鍵入 Yes繼續或按Enter鍵。默認答案是是。

Set-AuthConfig-NewCertificateThumbprint certificate_thumbprint -NewCertificateEffectiveDate$ date

• 使用以下命令發布新證書：

Set-AuthConfig-PublishCertificate

• 如果您有舊證書，則需要運行以下cmdlet以清除以前的證書：

Set-AuthConfig-ClearPreviousCertificate

• 證書配置在Exchange命令行管理程序中完成后，重新啟動IIS服務，這將從事件查看器修復證書警告消息。

需要注意的是，以上操作可能不會馬上生效，需要等待一段時間（48小時以內）