Nach der Installation der Juli Security Updates für Exchange Server 2013, 2016 und 2019 funktioniert eventuell das Einloggen im OWA und im ECP nicht mehr.
Die im Browser angezeigte Fehlermeldung lautet:
Server Error in ‘/owa’ ApplicationASSERT: HMACProvider.GetCertificates:protectionCertificates.Length< Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code. Exception Details: Microsoft.Exchange.Diagnostics.ExAssertException: ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1 Source Error: An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.
Im Eventlog ist folgende Fehlermeldung zu sehen:
Event ID: 1003
Source: MSExchange Front End HTTPS Proxy
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Object reference not set to an instance of an object.
at Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
Hintergrund:
Mit den Security Updates wird der Prüfalgorithmus für das Microsoft Exchange OAuth Zertifikat gepatcht. Ist das Zertifikat bei der Installation bereits abgelaufen, dann tritt der Fehler auf. Der Mailfluss auf dem Exchange Server funktioniert weiterhin, aber das OWA und ECP und damit auch das Exchange Management sind nicht mehr benutzbar.
Lösung:
Bitte prüfen sie vor der Installation der Juli Updates, ob ihr Exchange OAuth Zertifikat abgelaufen ist.
Das geht zum Beispiel über die Powershell:
- Get-MicrosoftExchangeCertificate
- Kopieren Sie sich den Thumbprint des Microsoft Exchange Auth Certificate
- Get-MicrosoftExchangeCertificate -Thumbprint “kopiertesThumbprint” | fl
- Prüfen sie das Ablaufdatum und den Status
Wenn das Zertifikat abgelaufen ist:
Das Exchange OAuth Zertfifikat kann über die Powershell erneuert werden:
- Ein neues Zertfikat generieren:
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn=Microsoft Exchange Server Auth Certificate” -FriendlyName “Microsoft Exchange Server Auth Certificate” -DomainName “contoso.com”Für “contoso.com” tragen sie bitte Ihre SMTP Domain ein.
Kopieren sie sich das Thumbprint des neuen Zertifikates. - Set-AuthConfig -NewCertificateThumbprint “kopiertesThumbprint” -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificat - Starten sie den Dienst “Microsoft Exchange Diensthost” neu
- IISReset oder Neustarten der Webapp Pools:
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool
Achtung:
Aus unserer Erfahrung heraus kann es mehrere Stunden dauern, bis das neue Zertifikat für den Exchange Server veröffentlicht wird. Bis dahin wird der Fehler im Browser weiterhin angezeigt. Bisher haben wir Zeiten von bis zu 8 Stunden beobachtet.
Weitere interessante Beiträge aus unserem Blog:
https://www.cloud-design.de/wp-content/uploads/2023/06/C-Level-Event-20.06.2023-CT-Cloud-Design-scaled.jpg
1155
2560
dw3-as
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
dw3-as2023-06-21 14:26:222023-06-21 14:26:31Exklusives C-Level Event am 20.06.23 im ithub
https://www.cloud-design.de/wp-content/uploads/2023/04/4-3-Beitragsbild_MIGRATION-1.jpg
900
1200
dw3-as
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
dw3-as2023-04-24 13:28:402023-04-25 08:48:55CLOUD DESIGN migriert 1.500 IT-Arbeitsplätze und 100 virtuelle Server zu Azure
https://www.cloud-design.de/wp-content/uploads/2023/04/4-3-Beitragsbild_CDT.jpg
900
1200
dw3-as
https://www.cloud-design.de/wp-content/uploads/2021/09/CD_Logo_RGB.png
dw3-as2023-04-19 16:07:352023-04-19 16:18:55CLOUD DESIGN TALK am 31. Mai 2023: Alle sicheren Dinge in der Cloud sind 3!
