Ein Kumulatives Update bei einem Exchange-Server birgt immer gewisse Risiken, da hierbei der komplette Exchange-Server deinstalliert und neu installiert wird. Es ist aber auch nicht möglich (bzw. nicht empfehlenswert) die Updates auszulassen, da man sonst die aktuellen Sicherheitsupdates nicht mehr einspielen kann. Diese sind immer nur für die aktuellsten 2 CUs (Cumulative Update) gültig.
Deshalb sollte man in den sauren Apfel beißen und das Update durchführen. Dieses funktioniert in der Regel auch problemlos, die Fehler sind erst nach dem erfolgreichen Update sichtbar, und zwar in der Form, dass die OWA und ECP Seiten nicht mehr aufrufbar sind. Outlook hingegen funktioniert weiterhin.
Fehlerbild
Der Fehler stellt sich wie folgt dar:
Wenn Sie also diesen Fehler beim Login im OWA oder ECP erhalten, dann haben wir hier eine mögliche Lösung für Sie.
Im Ereignislog von Windows finden Sie dazu meistens folgenden Eintrag im Application-Log mit der Event ID 1003:
Ereignis-ID: 1003
Quelle: MSExchange-Front-End-HTTPS-Proxy
[Owa] Ein interner Serverfehler ist aufgetreten. Die nicht behandelte Ausnahme war: System.NullReferenceException: Objektverweis nicht auf eine Instanz eines Objekts festgelegt.
unter Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
Event ID: 1003
Source: MSExchange Front End HTTPS Proxy
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Object reference not set to an instance of an object.
at Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
Lösung
Die Lösung gestaltet sich recht einfach, bedarf aber etwas Geduld. Das Problem ist hier ein abgelaufenes OAuth Zertifikat, welches nur intern verwendet wird.
Diese können Sie mir folgendem Befehl prüfen:
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List
Wenn hierbei ein Fehler auftritt dass das Zertifikat abgelaufen ist, können Sie das Zertifikat mit folgenden Befehlen neu erstellen.
1. Erstellen Sie ein neues OAuth Zertifikat
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
2. das neue Zertifikat für die Server Authentifizierung einrichten
Set-AuthConfig -NewCertificateThumbprint <Thumbrint_aus_Schritt_1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate
3. Den Dienst „Microsoft Exchange Service Host“ neu starten
4. Den IIS WebApp-Pool neu starten
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool
Es kann nun bis zu ca. 2,5 Stunden dauern bis die Webseiten wieder erreichbar sind. Ich habe bei unseren Installation aber eine durchschnittliche Zeit von ca. 1h festgestellt bis alles wieder funktioniert hat.
Sollten Sie Fragen zu Exchange haben, können Sie gerne kontaktieren.
- QuickTip: Alle Benutzer auf einem Windows Server benachrichtigen - 19. Juni 2024
- BookStack: Eine moderne Alternative zu klassischen Wiki-Systemen - 17. Mai 2024
- Windows-Sandbox – die sichere Testumgebung - 7. März 2024