Exchange 2016 CU6全新部署OWA\ECP無法打開

環境描述

===============

2台AD伺服器，系統為Windows Server 2012 R2,林和域功能級别均為Windows Server 2012 R2 

Exchange版本為Exchange 2016 CU6

問題描述

Exchange安裝完成後，OWA\ECP均不能打開，PS可以正常打開，通過安裝程式自己生産的管理網頁可以正常打開。

<a href="https://s1.51cto.com/wyfs02/M01/A7/24/wKioL1nhr6ey8-_5AABk95-ecxc748.png" target="_blank"></a>

在應用程式日志中看到2004,2005, 1309等事件

<a href="https://s2.51cto.com/wyfs02/M00/A7/24/wKioL1nhsAaza8tUAABhxqjxl8s123.jpg" target="_blank"></a>

問題分析

Exchange 2016安裝的時候，會有一個自簽發證書“Microsoft Exchange Server Auth Certificate”被建立，以用于伺服器之間的認證和群組織内OAuth內建；

如果“Exchange Server Authcertificate”證書缺失，就會出現ECP/OWA通路報錯的問題；同時，我們還會在應用程式日志中看到2004, 2005, 1309等事件；

是以，我們需要通過如下指令檢查所有伺服器的證書，如果隻有部分伺服器缺失，請從正常的伺服器上導出（包含私鑰）再導入有問題的機器；若全部伺服器缺失，請安裝下一部分的解決方法操作；

    Get-ExchangeCertificate(Get-AuthConfig).CurrentCertificateThumbprint

問題處理步驟

登入到Exchange Server并啟動Exchange指令行管理程式

使用EMS cmdlet建立新的證書。

New-ExchangeCertificate-KeySize 2048 -PrivateKeyExportable $ true -SubjectName“CN = Microsoft ExchangeServer驗證證書”-DomainName“* .DOMAINNAME.COM ”-FriendlyName“MicrosoftExchange Server驗證證書”- 服務SMTP

系統将提示您覆寫預設的SMTP證書，鍵入“N”并按Enter鍵回答“否”

根據需要複制證書指紋，以便以後輸入證書指紋

使用該cmdlet将目前日期儲存到對象

$ date = Get-Date

運作cmdlet設定Exchange伺服器的身份驗證配置。系統将提示您新的證書生效日期未來至少為 “48”小時，并且可能不會部署在所有必需的伺服器上。忽略此提示并鍵入 Yes繼續或按Enter鍵。預設答案是是。

Set-AuthConfig-NewCertificateThumbprint certificate_thumbprint -NewCertificateEffectiveDate$ date

<a href="https://s4.51cto.com/wyfs02/M00/08/6E/wKiom1nhs1ihxaRaAACYtljwKI4897.jpg" target="_blank"></a>

使用以下指令釋出新證書：

Set-AuthConfig-PublishCertificate

如果您有舊證書，則需要運作以下cmdlet以清除以前的證書：

Set-AuthConfig-ClearPreviousCertificate

<a href="http://msexperttalk.com/wp-content/uploads/2016/07/5.jpg" target="_blank"> </a>

證書配置在Exchange指令行管理程式中完成後，重新啟動IIS服務，這将從事件檢視器修複證書警告消息。

需要注意的是，以上操作可能不會馬上生效，需要等待一段時間（48小時以内）

本文轉自 Juck_Zhang  51CTO部落格，原文連結:http://blog.51cto.com/itsoul/1972346