Exchange 2016 CU6全新部署OWA\ECP无法打开

环境描述

===============

• 2台AD服务器，系统为Windows Server 2012 R2,林和域功能级别均为Windows Server 2012 R2

• Exchange版本为Exchange 2016 CU6

问题描述

===============

• Exchange安装完成后，OWA\ECP均不能打开，PS可以正常打开，通过安装程序自己生产的管理网页可以正常打开。

• 在应用程序日志中看到2004,2005, 1309等事件

问题分析

===============

• Exchange 2016安装的时候，会有一个自签发证书"Microsoft Exchange Server Auth Certificate"被创建，以用于服务器之间的认证和和组织内OAuth集成；

• 如果"Exchange Server Authcertificate"证书缺失，就会出现ECP/OWA访问报错的问题；同时，我们还会在应用程序日志中看到2004, 2005, 1309等事件；

• 因此，我们需要通过如下命令检查所有服务器的证书，如果只有部分服务器缺失，请从正常的服务器上导出（包含私钥）再导入有问题的机器；若全部服务器缺失，请安装下一部分的解决方法操作；

Get-ExchangeCertificate(Get-AuthConfig).CurrentCertificateThumbprint

问题处理步骤

===============

• 登录到Exchange Server并启动Exchange命令行管理程序

• 使用EMS cmdlet创建新的证书。

New-ExchangeCertificate-KeySize 2048 -PrivateKeyExportable $ true -SubjectName"CN = Microsoft ExchangeServer验证证书"-DomainName"* .DOMAINNAME.COM "-FriendlyName"MicrosoftExchange Server验证证书"- 服务SMTP

• 系统将提示您覆盖默认的SMTP证书，键入"N"并按Enter键回答"否"

• 根据需要复制证书指纹，以便以后输入证书指纹

• 使用该cmdlet将当前日期保存到对象

$ date = Get-Date

• 运行cmdlet设置Exchange服务器的身份验证配置。系统将提示您新的证书生效日期未来至少为 "48"小时，并且可能不会部署在所有必需的服务器上。忽略此提示并键入 Yes继续或按Enter键。默认答案是是。

Set-AuthConfig-NewCertificateThumbprint certificate_thumbprint -NewCertificateEffectiveDate$ date

• 使用以下命令发布新证书：

Set-AuthConfig-PublishCertificate

• 如果您有旧证书，则需要运行以下cmdlet以清除以前的证书：

Set-AuthConfig-ClearPreviousCertificate

• 证书配置在Exchange命令行管理程序中完成后，重新启动IIS服务，这将从事件查看器修复证书警告消息。

需要注意的是，以上操作可能不会马上生效，需要等待一段时间（48小时以内）