Nach der Installation der Juli Sicherheitsupdates kann es passieren, dass das Exchange Administrative Center (EAC) und OWA nicht mehr geöffnet werden können. Die Ursache ist ein abgelaufenes Zertifikat für die Exchange Server OAuth Authentifizierung. Auch Microsoft weißt auf dieses Problem in den Release Notes der Updates hin. Leider überliest man die Hinweise zu den Updates ja manchmal, oder installiert die Updates beispielsweise mit WSUS, sodass die bekannten Probleme der Updates meist nicht mit bekommt. Daher an dieser Stelle mal ein kleiner Artikel wie das Problem behoben werden kann.
Ursache des Fehlers ist das abgelaufene Zertifikat mit dem Namen „Microsoft Exchange Server Auth Certificate“:
In der Ereignisanzeige des Exchange Servers wird der folgende Fehler protokolliert:
- Ereignis-ID: 1003
- Quelle: MSExchange Front End HTTPS Proxy
- Meldung:
[Owa] An internal server error occurred. The unhandled exception was: Microsoft.Exchange.Diagnostics.ExAssertException: ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1 bei Microsoft.Exchange.Diagnostics.ExAssert.AssertInternal(String formatString, Object[] parameters) bei Microsoft.Exchange.Diagnostics.ExAssert.RetailAssert[T1,T2](Boolean condition, String formatString, T1 parameter1, T2 parameter2) bei Microsoft.Exchange.Clients.Common.HmacProvider.GetCertificates() bei Microsoft.Exchange.Clients.Common.HmacProvider.GetHmacProvider() bei Microsoft.Exchange.Clients.Common.HmacProvider.ComputeHmac(Byte[][] messageArrays) bei Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) bei Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) bei Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() bei Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() bei Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) bei Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass280_0.b__0()
bei Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func2 filterDelegate, Action1 catchDelegate)
Mit dem folgenden Script lässt sich das Problem beheben:
Das Script muss in einer Exchange Shell mit administrativen Rechten (Elevated) ausgeführt werden. Das Script startet die IIS AppPools neu, dies sorgt zwar für keine Unterbrechung der Outlook Verbindung, es kann allerdings bis zu einer Stunde dauern, bis OWA und EAC wieder funktionieren. Hier muss man also Geduld aufbringen.
Hinweis: In einer Exchange Hybrid Umgebung muss nach dem Wechsel des Zertifikats der Hybrid Configuration Wizard erneut ausgeführt werden, damit die Änderungen auch im Azure AD übernommen werden.