Exchange 2016 CU6全新部署OWA\ECP無法打開

環(huán)境描述

===============

• 2臺AD服務(wù)器，系統(tǒng)為Windows Server 2012 R2,林和域功能級別均為Windows Server 2012 R2 

• Exchange版本為Exchange 2016 CU6

問題描述

===============

• Exchange安裝完成后，OWA\ECP均不能打開，PS可以正常打開，通過安裝程序自己生產(chǎn)的管理網(wǎng)頁可以正常打開。

• 在應(yīng)用程序日志中看到2004,2005, 1309等事件

問題分析

===============

• Exchange 2016安裝的時候，會有一個自簽發(fā)證書“Microsoft Exchange Server Auth Certificate”被創(chuàng)建，以用于服務(wù)器之間的認證和和組織內(nèi)OAuth集成；

• 如果“Exchange Server Authcertificate”證書缺失，就會出現(xiàn)ECP/OWA訪問報錯的問題；同時，我們還會在應(yīng)用程序日志中看到2004, 2005, 1309等事件；

• 因此，我們需要通過如下命令檢查所有服務(wù)器的證書，如果只有部分服務(wù)器缺失，請從正常的服務(wù)器上導(dǎo)出（包含私鑰）再導(dǎo)入有問題的機器；若全部服務(wù)器缺失，請安裝下一部分的解決方法操作；

    Get-ExchangeCertificate(Get-AuthConfig).CurrentCertificateThumbprint

問題處理步驟

===============

• 登錄到Exchange Server并啟動Exchange命令行管理程序

• 使用EMS cmdlet創(chuàng)建新的證書。

New-ExchangeCertificate-KeySize 2048 -PrivateKeyExportable $ true -SubjectName“CN = Microsoft ExchangeServer驗證證書”-DomainName“* .DOMAINNAME.COM ”-FriendlyName“MicrosoftExchange Server驗證證書”- 服務(wù)SMTP

• 系統(tǒng)將提示您覆蓋默認的SMTP證書，鍵入“N”并按Enter鍵回答“否”

• 根據(jù)需要復(fù)制證書指紋，以便以后輸入證書指紋

• 使用該cmdlet將當(dāng)前日期保存到對象

$ date = Get-Date

• 運行cmdlet設(shè)置Exchange服務(wù)器的身份驗證配置。系統(tǒng)將提示您新的證書生效日期未來至少為 “48”小時，并且可能不會部署在所有必需的服務(wù)器上。忽略此提示并鍵入 Yes繼續(xù)或按Enter鍵。默認答案是是。

Set-AuthConfig-NewCertificateThumbprint certificate_thumbprint -NewCertificateEffectiveDate$ date

• 使用以下命令發(fā)布新證書：

Set-AuthConfig-PublishCertificate

• 如果您有舊證書，則需要運行以下cmdlet以清除以前的證書：

Set-AuthConfig-ClearPreviousCertificate

• 證書配置在Exchange命令行管理程序中完成后，重新啟動IIS服務(wù)，這將從事件查看器修復(fù)證書警告消息。

需要注意的是，以上操作可能不會馬上生效，需要等待一段時間（48小時以內(nèi)）