Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
-
Sie stellen Microsoft Exchange Server 2019 in Ihrer Organisation zur Bereitstellung.
-
Sie installieren und konfigurieren Active Directory Federation Services (AD FS) in Exchange Server 2019. Dadurch können Clients die anspruchsbasierte AD FS-Authentifizierung verwenden, um eine Verbindung mit Outlook im Web (OWA) und dem Exchange Admin Center (EAC) herzustellen.
-
Sie installieren kumulatives Update 2 für Exchange Server 2019.
In diesem Szenario können Sie sich nicht bei OWA und EAC anmelden, und Es wird eine Fehlermeldung angezeigt, die der folgenden ähnelt:
Serverfehler in der Anwendung "/ecp oder owa".
Objekt vom Typ "Microsoft.Exchange.Security.Authentication.AdfsIdentity" kann nicht zum Eingeben von "System.Security.Principal.WindowsIdentity" gegossen werden.
Darüber hinaus wird die Ereignis-ID 1003 in der Ereignisanzeige protokolliert und zeigt denselben Ausnahmefehler an:
Ein interner Serverfehler ist aufgetreten. Die nicht behandelte Ausnahme war: System.InvalidCastException:
Objekt vom Typ "Microsoft.Exchange.Security.Authentication.AdfsIdentity" kann nicht zum Eingeben von "System.Security.Principal.WindowsIdentity" gegossen werden.
Fehlerbehebung
Installieren Sie zum Beheben dieses Problems das kumulative Update 3 für Exchange Server 2019 oder höher für Exchange Server 2019.
Problemumgehung
Verwenden Sie eine der folgenden Methoden, um dieses Problem zu beheben.
Methode 1
Konfigurieren Sie eine der folgenden Versionen von Exchange Server, um Front-End Clientzugriff in Ihrer Organisation zu ermöglichen:
-
Exchange Server 2019 CU1 oder RTM
-
Exchange Server 2016 CU11 oder höher
-
Exchange Server 2013 CU21 oder höher
Das Problem tritt z. B. auf, wenn Sie über einen Server verfügen, der Exchange Server 2019 CU2 ausgeführt wird und ad FS zum Verarbeiten von Clientanforderungen wie https://mail.contoso.com/owa. Nehmen Sie in diesem Fall entsprechende Änderungen (an den Hosteinträgen in DNS oder ihrem Load Balancer) vor, um sicherzustellen, dass Clientanforderungen, die am mail.contoso.com empfangen werden, an eine frühere Version von Exchange Server.
Wenn keine Server mit früherer Version verfügbar sind, verwenden Sie Methode 2.
Methode 2
Deaktivieren Sie die AD FS-Authentifizierungsmethode für OWA und ECP, und aktivieren Sie jede andere Authentifizierungsmethode. Führen Sie dazu das folgende PowerShell-Cmdlet aus:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Dieser Beispielbefehl deaktiviert die AD FS-Authentifizierung und aktiviert die Formularauthentifizierung im virtuellen Standardverzeichnis von OWA auf dem Server mit dem Namen "Server2019CU2".
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Dieser Beispielbefehl deaktiviert die AD FS-Authentifizierung und aktiviert die Formularauthentifizierung im virtuellen EcP-Standardverzeichnis auf dem Server mit dem Namen "Server2019CU2".
