Weiße Seite im OWA und ECP nach Exchange Update – was tun?

Ein Kumulatives Update bei einem Exchange-Server birgt immer gewisse Risiken, da hierbei der komplette Exchange-Server deinstalliert und neu installiert wird. Es ist aber auch nicht möglich (bzw. nicht empfehlenswert) die Updates auszulassen, da man sonst die aktuellen Sicherheitsupdates nicht mehr einspielen kann. Diese sind immer nur für die aktuellsten 2 CUs (Cumulative Update) gültig.

Deshalb sollte man in den sauren Apfel beißen und das Update durchführen. Dieses funktioniert in der Regel auch problemlos, die Fehler sind erst nach dem erfolgreichen Update sichtbar, und zwar in der Form, dass die OWA und ECP Seiten nicht mehr aufrufbar sind. Outlook hingegen funktioniert weiterhin.

Fehlerbild

Der Fehler stellt sich wie folgt dar:

Wenn Sie also diesen Fehler beim Login im OWA oder ECP erhalten, dann haben wir hier eine mögliche Lösung für Sie.

Im Ereignislog von Windows finden Sie dazu meistens folgenden Eintrag im Application-Log mit der Event ID 1003:

Ereignis-ID: 1003‎
Quelle: MSExchange-Front-End-HTTPS-Proxy‎
[Owa] Ein interner Serverfehler ist aufgetreten. Die nicht behandelte Ausnahme war: System.NullReferenceException: Objektverweis nicht auf eine Instanz eines Objekts festgelegt. ‎
unter Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)‎
Event ID: 1003
Source: MSExchange Front End HTTPS Proxy
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Object reference not set to an instance of an object.
at Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)

Lösung

Die Lösung gestaltet sich recht einfach, bedarf aber etwas Geduld. Das Problem ist hier ein abgelaufenes OAuth Zertifikat, welches nur intern verwendet wird.

Diese können Sie mir folgendem Befehl prüfen:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Wenn hierbei ein Fehler auftritt dass das Zertifikat abgelaufen ist, können Sie das Zertifikat mit folgenden Befehlen neu erstellen.

1. Erstellen Sie ein neues OAuth Zertifikat

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

2. das neue Zertifikat für die Server Authentifizierung einrichten

Set-AuthConfig -NewCertificateThumbprint <Thumbrint_aus_Schritt_1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

3. Den Dienst „Microsoft Exchange Service Host“ neu starten

4. Den IIS WebApp-Pool neu starten

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

Es kann nun bis zu ca. 2,5 Stunden dauern bis die Webseiten wieder erreichbar sind. Ich habe bei unseren Installation aber eine durchschnittliche Zeit von ca. 1h festgestellt bis alles wieder funktioniert hat.

Sollten Sie Fragen zu Exchange haben, können Sie gerne kontaktieren.

Sascha Jelinek