Exchange nefunkční přihlášení do OWA, konec platnosti OAuth certifikátu -> SAMURAJ-cz.com

Úterý, 15.11.2022 08:54 | Samuraj - Petr Bouška | Microsoft admin

Článek je stručné upozornění na vypršení platnosti certifikátu Microsoft Exchange Server Auth Certificate. Které může způsobit, že se uživatelé nepřihlásí do webového rozhraní pošty Outlook on the web (dříve Outlook Web App - OWA). Pravděpodobně v případě, když se provozuje Exchange Hybrid. Zobrazuje se chyba OAuthTokenRequestFailedException. Řešení je vytvořit a nastavit nový certifikát.

Microsoft Exchange Server Auth Certificate

Když nainstalujeme první Exchange Server 2016 (patrně i 2019), tak se zároveň vystaví Self Signed certifikát Microsoft Exchange Server Auth Certificate. Má platnost 5 let a distribuuje se na všechny servery v Exchange organizaci. Používá se pro OAuth autentizaci mezi servery.

Pokud nakonfigurujeme Exchange Hybrid pomocí Hybrid Configuration Wizard (HCW), tak se standardně nastaví OAuth authentication relationship. A využije se právě certifikát Microsoft Exchange Server Auth Certificate.

Konec platnosti certifikátu a chyba OWA

Pokud uběhne 5 let, tak certifikát vyprší a automaticky se neprodlouží. Když se uživatel pokusí přihlásit do Outlook on the web, tak se po zadání přihlašovacích údajů začne načítat schránka, ale pak se zobrazí chyba.

Something went wrong

X-OWA-Error Microsoft.Exchange.Security.OAuth.OAuthTokenRequestFailedException

OWA chyba OAuthTokenRequestFailedException

Na certifikát se můžeme podívat klasicky pomocí certlm.msc. Nebo Exchange Admin Center (EAC) - Servers - Certificates. Detailněji pomocí PowerShellu.

Pokud chybu hledáme na Google, tak patrně rychle nalezneme, že jde o problém s vypršením certifikátu. Ale třeba hned nenalezneme Microsoft článek, který pěkně popisuje řešení - Can't sign in to Outlook on the web or EAC if Exchange Server OAuth certificate is expired. Pokud hledáme podle určitých chyb na serveru, tak je informace v EWS Application pool crashes because the Exchange Server OAuth certificate is expired.

Stručné kroky pro nastavení nového certifikátu

Kontrola aktuálního certifikátu

Nejprve ověříme certifikát, který je použitý pro OAuth autentizaci

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Vytvoření a nastavení nového certifikátu

Vytvoříme nový certifikát, nesmíme přepsat defaultní SMTP certifikát, zobrazí se jeho Thumbprint, který použijeme v dalším kroku

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

Nastavíme jej pro serverovou autentizaci, varování o čase potvrdíme Y

Set-AuthConfig -NewCertificateThumbprint <Thumbprint> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

Restartujeme službu Microsoft Exchange Service Host Service

Restart-Service MSExchangeServiceHost

Restartujeme IIS

iisreset

Smazání původního certifikátu

Můžeme smazat starý certifikát (třeba pomocí EAC).

Exchange Hybrid

Pokud máme Exchange Hybrid, tak musíme znovu spustit Hybrid Configuration Wizard. Ten provádí nastavení OAuth, konfiguruje AuthServer a přenáší náš certifikát do Azure AD. Více informací Configure OAuth authentication between Exchange and Exchange Online organizations.

Po provedení mi ještě možná 2 hodiny přihlášení do OWA nefungovalo (snažil jsem se stále řešit, ale patrně chtělo pouze počkat).

Můžeme provést kontrolu připojení pomocí Test-OAuthConnectivity

Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com/ews/exchange.asmx -Mailbox bouska@firma.cz -Verbose | Format-List

zobrazeno: 2141krát | Komentáře [1]

Autor: Petr Bouška

Související články:

Microsoft Exchange

Jednou částí mé práce je administrace poštovního serveru od firmy Microsoft, tedy Exchange Serveru. Články začínají u verze 2003 a jak jde čas, tak pokračují dále.

Nastavení Outlook Web Access (OWA) na Exchange Server 2003 [11.06.2006 15:44]
Nastavení Outlook Mobile Access (OMA) na Exchange Server 2003 [20.06.2006 14:27]
Nastavení Exchange ActiveSync na Exchange Server 2003 [30.06.2006 16:29]
Exchange 2007 - problém zasekávání zpráv v Drafts [25.08.2007 12:39]
Outlook - Zaseknutá událost v kalendáři [20.02.2008 16:43]
Kopírování kontaktů z GALu v Outlook 2010 [27.10.2010 18:19]
PowerShell - Exchange server [19.11.2010 08:45]
Exchange Web Services a PowerShell [13.01.2011 11:00]
MS Outlook a konfigurace pomocí Group Policy [23.03.2011 16:30]
Exchange 2007 a správa mobilních zařízení [13.04.2011 16:49]
Exchange 2010 CAS Array a DAG mezi Sites [12.02.2012 18:34]
Exchange 2010 - změna umístění databáze nebo logů [15.02.2012 21:03]
Přechod z Exchange 2007 na Exchange 2010 - část 1 [04.03.2012 19:55]
Přechod z Exchange 2007 na Exchange 2010 - část 2 [05.03.2012 18:08]
Exchange 2010 a funkce synchronizace SMS [15.03.2012 16:20]
Exchange - příjem a odesílání pošty pomocí Receive Connectors [14.10.2012 18:40]
Mazání velkého počtu zpráv ve schránce na Exchange 2010 SP1 [09.08.2013 16:16]
Exchange server a statistiky posílání zpráv [19.10.2013 15:18]
Exchange Send As - posílání emailů z jiné adresy [20.12.2013 15:37]
Sdílené poštovní schránky na Exchange serveru [16.08.2014 13:10]
Exchange a Outlook kalendář - žádosti o schůzku [30.10.2015 11:10]
Exchange Server 2016 Namespaces - adresy služeb [07.03.2019 14:19]
Exchange Server 2016 instalace a základní konfigurace [13.03.2019 20:07]
Exchange Server 2016 Database Availability Group [17.03.2019 14:02]
Exchange Server 2016 Client Access - přístup klientů [27.03.2019 17:58]
Exchange Server 2016 Mail Flow - směrování pošty a konektory [03.04.2019 11:55]
Exchange Server 2016 DSN, Message Tracking a analýza posílání zpráv [15.04.2019 16:59]
Exchange Server 2016 koexistence Public Folders [07.05.2019 13:06]
Exchange Server 2016 přesun poštovních schránek a OAB [12.05.2019 10:52]
Exchange Server 2016 Public Folders a jejich migrace [24.05.2019 08:32]
Exchange Server 2016 odstranění serverů verze 2010 [07.06.2019 13:39]
Exchange Server 2016 přechod z verze 2010 [10.06.2019 16:35]
Exchange Server 2016 instalace Cumulative Update [13.06.2019 18:19]
Exchange Server 2016 a integrace se Skype for Business [23.06.2019 10:47]
Exchange Outlook on the web - změna hesla, veřejné složky, mobilní zařízení [24.06.2019 14:54]
Outlook kalendář hledání volné zasedačky [25.06.2019 12:21]
Exchange 2016 úprava členů distribuční skupiny v Outlooku [27.06.2019 08:23]
Exchange 2016 skupiny, místnosti, Back Pressure, sdílené schránky [03.07.2019 14:38]
Exchange Server 2016 a Office Online Server [04.07.2019 11:09]
Exchange 2016 a fotografie uživatelů [19.07.2019 13:58]
Cisco Email Security - konfigurace AntiSpam řešení [16.10.2019 06:59]
Cisco Email Security - provozní správa a činnosti [17.10.2019 11:55]
SMTP over TLS šifrování na MS Exchange a Cisco Email Security [25.11.2019 15:56]
Protokol SMTP a adresy v elektronické poště [19.12.2019 12:44]
Ověřování emailů pomocí SPF - Sender Policy Framework [09.01.2020 07:12]
Ověřování emailů pomocí DKIM - DomainKeys Identified Mail [17.01.2020 10:41]
Ověřování emailů pomocí DMARC - Domain-based Message Authentication, Reporting and Conform [02.02.2020 17:36]
Outlook problémy s připojením na Exchange 2016 (ThrottlingPolicy) [28.07.2020 12:24]
Exchange Hybrid - tok pošty, konektory, domény [26.10.2020 19:05]
Exchange Hybrid Configuration Wizard [28.10.2020 10:40]
Exchange Hybrid - schránky a jejich umístění, příjemci, atributy a opravy chyb [29.10.2020 07:45]
Chyba Exchange s datem 1.1.2022 - nezpracovává emaily [01.01.2022 09:23]
Exchange nefunkční přihlášení do OWA, konec platnosti OAuth certifikátu [15.11.2022 08:54] ...... právě čtete

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

[1] Vašek K

Může vypršení certifikátu souviset i s problémem ActiveSync, že se občas neodešle email z mobilních zařízení?

Úterý, 15.11.2022 09:42 | odpovědět

www.SAMURAJ-cz.com

Kategorie článků

Nástroje

Hledání

Články