Проверка и переиздание сертификатов OAuth
В Exchange существует самоподписанный бэкенд-сертификат, который используется внутри Exchange и он же присвоен для сайта Exchange Backend. В случае, если этот сертификат истёк - могут быть некоторые проблемы. В частности, проблема возникла при установке патча безопасности KB5004778 (июль 2021), после установки которого отвалилась OWA и ECP. При этом, сертификат недостаточно было продлить в ECP. Проверить сертификат можно следующим командлетом:
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List
Если сертификат просрочен, или команда возвращает ошибку, его следует сначала создать:
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
Затем назначить серверу и опубликовать, используя отпечаток из предыдущего командлета:
Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date) Set-AuthConfig -PublishCertificate Set-AuthConfig -ClearPreviousCertificate
После этого следует перезагрузить IIS:
IISReset
Либо пулы:
Restart-WebAppPool MSExchangeOWAAppPool Restart-WebAppPool MSExchangeECPAppPool
ВАЖНО: публикация сертификата происходит не сразу - в случае с проблемным патчем OWA заработала только через несколько часов (два). Возможно, это связано с расхождением установленной таймзоны с временем UTC.
Возможно, в случае каких-либо проблем стоит также проверить - назначен ли нужный сертификат в привязках сайта Exchange backend.
https://docs.microsoft.com/en-gb/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired