Симптоми
Помислете за следния сценарий:
-
Разполагате Microsoft Exchange Server 2019 във вашата организация.
-
Можете да инсталирате и конфигурирате услугите за федерации на Active Directory (AD FS) в Exchange Server 2019. Това позволява на клиентите да използват удостоверяване, базирано на AD FS искове, за да се свързват с Outlook в уеб (OWA) и центъра за администриране на Exchange (EAC).
-
Инсталирате кумулативна актуализация 2 за Exchange Server 2019.
В този случай не можете да влезете в OWA и EAC и получавате съобщение за грешка, подобно на следното:
Грешка в сървъра в приложение '/ecp или owa'.
Не може да се хвърли обект от тип "Microsoft.Exchange.security.Authentication.AdfsIdentity", за да въведете "System.Security.Principal.WindowsIdentity".
Освен това ИД на събитие 1003 се записва в визуализатора на събития и показва същата грешка при изключение:
Възникна вътрешна грешка в сървъра. Необработено изключение беше: System.InvalidCastException:
Не може да се хвърли обект от тип "Microsoft.Exchange.security.Authentication.AdfsIdentity", за да въведете "System.Security.Principal.WindowsIdentity".
Решение
За да коригирате този проблем, инсталирайте кумулативната актуализация 3 за Exchange Server 2019 или по-нова сборна актуализация за Exchange Server 2019.
Заобиколно решение
За да заобиколите този проблем, използвайте някой от следните методи:
Метод 1
Конфигурирайте една от следните версии на Exchange Server, за да предоставите Front-End на клиента във вашата организация:
-
Exchange Server 2019 CU1 или RTM
-
Exchange Server 2016 CU11 или по-нова версия
-
Exchange Server 2013 CU21 или по-нова версия
Например проблемът възниква, ако имате сървър, на който се изпълнява Exchange Server 2019 CU2 и AD FS е конфигуриран да обработва клиентски заявки, като например https://mail.contoso.com/owa. Ако това се случи, направете подходящи промени (в записите на хоста в DNS или в балансьора на натоварването), за да се уверите, че клиентските заявки, получени на mail.contoso.com, се изпращат до по-стара версия на Exchange Server.
Ако няма налични сървъри с по-стара версия, използвайте метод 2.
Метод 2
Забранете метода за удостоверяване на AD FS за OWA и ECP и разрешете всеки друг метод за удостоверяване. За да направите това, изпълнете следната кратка команда на PowerShell:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Тази команда за пример забранява удостоверяването на AD FS и разрешава удостоверяването на формуляри в виртуалния справочник по подразбиране на OWA на сървъра, който се нарича "Server2019CU2".
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Тази примерна команда забранява удостоверяването на AD FS и разрешава удостоверяването на формуляри в виртуалния справочник ecp по подразбиране на сървъра, който се нарича "Server2019CU2".
