环境描述
===============
2台AD服务器,系统为Windows Server 2012 R2,林和域功能级别均为Windows Server 2012 R2
Exchange版本为Exchange 2016 CU6
问题描述
===============
Exchange安装完成后,OWA\ECP均不能打开,PS可以正常打开,通过安装程序自己生产的管理网页可以正常打开。
在应用程序日志中看到2004,2005, 1309等事件
问题分析
===============
Exchange 2016安装的时候,会有一个自签发证书“Microsoft Exchange Server Auth Certificate”被创建,以用于服务器之间的认证和和组织内OAuth集成;
如果“Exchange Server Authcertificate”证书缺失,就会出现ECP/OWA访问报错的问题;同时,我们还会在应用程序日志中看到2004, 2005, 1309等事件;
因此,我们需要通过如下命令检查所有服务器的证书,如果只有部分服务器缺失,请从正常的服务器上导出(包含私钥)再导入有问题的机器;若全部服务器缺失,请安装下一部分的解决方法操作;
Get-ExchangeCertificate(Get-AuthConfig).CurrentCertificateThumbprint
问题处理步骤
===============
登录到Exchange Server并启动Exchange命令行管理程序
使用EMS cmdlet创建新的证书。
New-ExchangeCertificate-KeySize 2048 -PrivateKeyExportable $ true -SubjectName“CN = Microsoft ExchangeServer验证证书”-DomainName“* .DOMAINNAME.COM ”-FriendlyName“MicrosoftExchange Server验证证书”- 服务SMTP
系统将提示您覆盖默认的SMTP证书,键入“N”并按Enter键回答“否”
根据需要复制证书指纹,以便以后输入证书指纹
使用该cmdlet将当前日期保存到对象
$ date = Get-Date
运行cmdlet设置Exchange服务器的身份验证配置。系统将提示您新的证书生效日期未来至少为 “48”小时,并且可能不会部署在所有必需的服务器上。忽略此提示并键入 Yes继续或按Enter键。默认答案是是。
Set-AuthConfig-NewCertificateThumbprint certificate_thumbprint -NewCertificateEffectiveDate$ date
使用以下命令发布新证书:
Set-AuthConfig-PublishCertificate
如果您有旧证书,则需要运行以下cmdlet以清除以前的证书:
Set-AuthConfig-ClearPreviousCertificate
证书配置在Exchange命令行管理程序中完成后,重新启动IIS服务,这将从事件查看器修复证书警告消息。
需要注意的是,以上操作可能不会马上生效,需要等待一段时间(48小时以内)
本文转自 zyliday 51CTO博客,原文链接:http://blog.51cto.com/itsoul/1972346