Lync&SFB Server：Event ID 41026问题

问题描述：

安装完成Lync 2010或者Lync 2013、SFB 2015之后，更新到最新的补丁之后，会一直遇到如下两个日志报错：
不断的生成事件41025和报错41026

Event ID 41026

可能出现的问题还有，外部用户不能使用白板、投票、PowerPoint与以下错误信息：
我们现在无法连接到服务器进行共享。
网络问题使您无法共享笔记并显示白板，请检查和上传PowerPoint文件。

原因分析：

目前的解决方法是：安装2017年5月.NET Framework后，将不断生成LS数据MCU事件41025和41026
https://support.microsoft.com/kb/4023993
该问题与操作系统无关，会影响Lync Server 2010，Lync Server 2013和Skype for Business Server 2015。
此.NET Framework更新在增强型密钥用法（EKU）上添加了对证书的附加检查，因为默认情况下所有Lync / SfB服务器都使用Web服务器模板，因此它们只在EKU中具有服务器身份验证。

解决方法1：（添加注册表项以临时禁用EKU检查）

1. 按以下类别分别添加相应的注册表项
   Lync Server 2010

   reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.RequireCertificateEKUs /v “C:\Program Files\Microsoft Lync Server 2010\Web Conferencing\DataMCUSvc.exe” /t REG_DWORD /d 0 /f

   Lync Server 2013

   reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.RequireCertificateEKUs /v “C:\Program Files\Microsoft Lync Server 2013\Web Conferencing\DataMCUSvc.exe” /t REG_DWORD /d 0 /f

   Skype for Business Server 2015

   reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.RequireCertificateEKUs /v “C:\Program Files\Skype for Business Server 2015\Web Conferencing\DataMCUSvc.exe” /t REG_DWORD /d 0 /f

2. 重启Skype for Business Server Web 会议
   
   如下属性可查找DataMCUSvc.exe路径位置
   
   也可以使用PowerShell

   Stop-CsWindowsService -InputObject RTCDATAMCU
   Start-CsWindowsService -InputObject RTCDATAMCU

   

   解决方法2：（使用客户端和服务器身份验证请求新的Edge内部和前端池证书）

   此解决方法要求我们在边缘服务器内部接口和所有前端服务器上请求新证书。
   打开“ 证书颁发机构”管理单元，右键单击“ 证书模板”，然后选择“ 管理”：
   
   现在，在Certificate Templates Console窗口中，找到Web Server模板，右键单击它，然后选择Duplicate Template：
   
   在“ 新建模板”窗口中，选择“ 常规”并添加名称：
   
   注意： 请注意模板名称 - WebServerClientandServer。我们需要使用它来申请新证书。
   在“ 扩展”选项卡中 ，选择“ 应用程序策略”并对其进行编辑：
   
   添加客户端身份验证：
   
   
   
   两种身份验证都应该存在：
   
   返回“ 证书颁发机构”管理单元，右键单击“ 证书模板” >“ 新建” >“要颁发的证书模板”：
   
   选择新模板：
   
   现在我们有了带有客户端和服务器身份验证的模板，我们需要使用最近创建的模板请求新的 边缘服务器内部证书。
   Request-CsCertificate -New -Type Internal -Template WebServerClientandServer -FriendlyName“Edge Internal with Client and Server Auth”-Output C：\ UCLobby \ EdgeIntCliSrv.req
   
   注意：我们还可以使用-PrivateKeyExportable $ true开关来允许导出私钥。
   在Active Directory证书服务中，选择申请证书：
   
   示例：http://ca.gears.lab/certsrv/
   高级证书申请：
   
   使用base-64编码的CMC或PKCS＃10文件提交证书请求，或使用base-64编码的PKCS＃7文件提交续订请求。
   
   我们需要选择新的证书模板并提交：
   
   我们下载新证书并将其复制到边缘服务器并导入它：
   
   在边缘服务器上导入并分配新证书：
   Import-CsCertificate -Path C：\ UCLobby \ EdgeIntCliSrv.cer
   https://technet.microsoft.com/en-us/library/gg398688.aspx
   注意：如果我们指定 -PrivateKeyExportable $在真正的Request-CsCertificate我们还需要将其添加到进口csCertificate。
   Set-CsCertificate -Type Internal -Thumbprint 335d17df1520a5e30beee96406ffa53e20805342
   https://technet.microsoft.com/en-us/library/gg398518.aspx
   
   还请为具有客户端和服务器身份验证的Lync/SFB前端服务器请求新证书。
   重新启动Lync / SfB Edge和前端服务后，问题应该得到解决！