Příznaky
Zvažte následující scénář:
-
Nasazení Microsoft Exchange Server 2019 ve vaší organizaci.
-
V aplikaci Exchange Server 2019 nainstalujete a nakonfigurujete službu AD FS (Active Directory Federation Services). To klientům umožňuje používat ověřování založené na deklaracích identity služby AD FS pro připojení k Outlooku na webu (OWA) a Centru pro správu Exchange (EAC).
-
Nainstalujete kumulativní aktualizaci 2 pro Exchange Server 2019.
V tomto scénáři se nemůžete přihlásit k aplikacím OWA a EAC a zobrazí se chybová zpráva podobná následující:
Chyba serveru v aplikaci '/ecp nebo owa'.
Objekt typu Microsoft.Exchange.Security.Authentication.AdfsIdentity nelze přetypovat tak, aby na typ System.Security.Principal.WindowsIdentity.
Id události 1003 se navíc zaprotokoluje v Prohlížeči událostí a zobrazuje stejnou chybu výjimky:
Došlo k chybě interního serveru. Neošetřená výjimka byla: System.InvalidCastException:
Objekt typu Microsoft.Exchange.Security.Authentication.AdfsIdentity nelze přetypovat tak, aby na typ System.Security.Principal.WindowsIdentity.
Řešení
Pokud chcete tento problém vyřešit, nainstalujte kumulativní aktualizaci 3 pro Exchange Server 2019 nebo novější kumulativní aktualizaci pro Exchange Server 2019.
Alternativní řešení
Pokud chcete tento problém vyřešit, použijte některou z následujících metod.
Metoda 1
Nakonfigurujte jednu z následujících verzí Exchange Server tak, aby Front-End klientem ve vaší organizaci:
-
Exchange Server 2019 CU1 nebo RTM
-
Exchange Server 2016 CU11 nebo novější
-
Exchange Server 2013 CU21 nebo novější
K tomuto problému dochází například v případě, že máte server se systémem Exchange Server 2019 CU2 a má nakonfigurovanou službu AD FS pro zpracování požadavků klientů, například https://mail.contoso.com/owa. Pokud k tomu dojde, proveďte příslušné změny (u hostitelských záznamů v DNS nebo v nástroji pro vyrovnávání zatížení), abyste se ujistili, že se žádosti klientů přijaté v mail.contoso.com odesílají do starší verze Exchange Server.
Pokud nejsou k dispozici žádné servery starší verze, použijte metodu 2.
Metoda 2
Zakažte metodu ověřování služby AD FS pro OWA a ECP a povolte jinou metodu ověřování. Pokud to chcete udělat, spusťte následující rutinu PowerShellu:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Tento příkaz příkladu zakáže ověřování služby AD FS a povolí ověřování pomocí formulářů ve výchozím virtuálním adresáři OWA na serveru s názvem Server2019CU2.
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Tento příkaz v příkladu zakáže ověřování služby AD FS a povolí ověřování pomocí formulářů ve výchozím virtuálním adresáři ECP na serveru s názvem "Server2019CU2".