Exchange邮箱无法打开OWA和ECP页面

症状

在运行 Microsoft Exchange Server 的服务器上安装安全更新后，Outlook 网页版 (OWA) 或 Exchange 控制面板 (ECP)，或者这两个应用程序都停止在服务器上工作。

OWA 显示以下错误消息：

发生了错误
无法完成你的请求。 HTTP 状态代码：500

exchange-server-owa-something-went-wrong.png

ECP 显示以下错误消息：

“/ecp”应用程序中发生服务器错误。
ASSERT:HMCProvider.GetCertificates:protectionCertificates.Length<1

exchange-server-ecp-something-went-wrong.png

事件查看器中记录的错误事件：

事件 ID：1003
源：MSExchange 前端 HTTPS 代理
[Owa]发生了内部服务器错误。

事件ID 1003.png

原因

OAuth Exchange Server证书出现过期、缺失或配置不正确等情况，则会出现此问题。

解决方案

1、若要检查现有 OAuth 证书的状态，请在命令行管理程序中Exchange命令（PowerShell）：

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

2、如果命令返回错误或证书已过期，请使用以下步骤创建新的 OAuth 证书，Exchange服务器（PowerShell）：如确认服务器中现有证书正常的情况下，可跳转至第3步
（1）通过运行以下命令创建新的 OAuth 证书：

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

（2）设置用于服务器身份验证的新证书。 为此，请运行以下命令（PowerShell）：

Set-AuthConfig -NewCertificateThumbprint  -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

（3）重新启动 Microsoft Exchange 服务主机服务。
（4）运行命令IISReset以重新启动 IIS 或在提升模式下 (运行以下命令) 回收 Outlook 网页版 和 EAC 应用程序池：

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

注：在某些环境中，发布 OAuth 证书可能需要一个小时。 如果你有混合设置，必须再次运行混合配置向导以更新对混合配置Azure Active Directory (Azure AD) 。

如在执行完以上步骤后，仍无法访问请继续依据第3步进行排查

3、在IIS管理其中确认默认网站以及Exchange Back End中https是否已正确绑定证书

默认网站证书绑定.png	Exchange Back End证书绑定.png

4、确认证书绑定无误后，可以使用一下指令给指定证书分配服务，Exchange服务器（PowerShell）：
（1）使用Get-ExchangeCertificate获取所有证书的Thumbprint，并记录下上步中所使用的证书的Thumbprint

Get-ExchangeCertificate

（2）为上步中所使用的证书分配给Exchange服务，请使用以下语法（PowerShell）：

Enable-ExchangeCertificate -Thumbprint  -Services ,... [-Server ]

示例：将指纹值为 434AC224C8459924B26521298CE8834C514856AB 的证书分配给 POP、IMAP、IIS 和 SMTP 服务。

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

（3）在Exchange服务器上，运行IISReset命令以重新启动 IIS。

验证

1、在Exchange证书的服务器上运行命令行管理程序，运行以下命令来验证证书Exchange服务（PowerShell）：

Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services

2、尝试访问OWA和ECP页面。应可正常访问。(Windows徽标键+R)

其他补充内容

1、若要检查证书的到期日期，请按照以下步骤操作：
（1）打开 Microsoft 管理控制台。 为此，请打开"运行"框 (Windows徽标键+R) 输入 MMC，然后按 Enter。

注：如果系统提示您输入管理员密码或进行确认，请键入密码或选择"是 "。

（2）Select FileAdd > /Remove Snap-inSelect > CertificatesAddComputer > > Account， and then select Finish to close the window.
（3）在 personalCertificate > Microsoft Exchange Server查找"身份验证证书"条目，并验证到期日期。

参考网址

1、无法访问具有过期 OAuth 证书的 OWA/EAC - Exchange | Microsoft Docs
2、将证书分配给 Exchange Server 服务 | Microsoft Docs
3、OWA 或 ECP 在安装安全更新后停止工作 - Exchange | Microsoft Docs