Síntomas
Imagine la siguiente situación:
-
Implementará Microsoft Exchange Server 2019 en su organización.
-
Instalar y configurar servicios de federación de Active Directory (AD FS) en Exchange Server 2019. Esto permite a los clientes usar la autenticación basada en notificaciones de AD FS para conectarse a Outlook en la Web (OWA) y al Centro de administración de Exchange (EAC).
-
Instale la actualización acumulativa 2 para Exchange Server 2019.
En este escenario, no puede iniciar sesión en OWA y EAC y recibe un mensaje de error similar al siguiente:
Error de servidor en la aplicación '/ecp o owa'.
No se puede convertir objeto de tipo "Microsoft.Exchange.Security.Authentication.AdfsIdentity" para escribir "System.Security.Principal.WindowsIdentity".
Además, el id. de evento 1003 se registra en el Visor de eventos y muestra el mismo error de excepción:
Se ha producido un error de servidor interno. La excepción no controlada fue: System.InvalidCastException:
No se puede convertir objeto de tipo "Microsoft.Exchange.Security.Authentication.AdfsIdentity" para escribir "System.Security.Principal.WindowsIdentity".
Resolución
Para solucionar este problema, instale la actualización acumulativa 3 para Exchange Server 2019 o una actualización acumulativa posterior para Exchange Server 2019.
Solución alternativa
Para evitar este problema, use cualquiera de los métodos siguientes.
Método 1
Configure una de las siguientes versiones de Exchange Server para proporcionar acceso Front-End cliente en su organización:
-
Exchange Server 2019 CU1 o RTM
-
Exchange Server CU11 de 2016 o una versión posterior
-
Exchange Server CU21 de 2013 o una versión posterior
Por ejemplo, el problema se produce si tiene un servidor que ejecuta Exchange Server 2019 CU2 y tiene AD FS configurado para procesar solicitudes de cliente, como https://mail.contoso.com/owa. Si esto ocurre, realice los cambios adecuados (en los registros de host en DNS o en el equilibrador de carga) para asegurarse de que las solicitudes de cliente que se reciben en mail.contoso.com se envían a una versión anterior de Exchange Server.
Si no hay servidores de versión anterior disponibles, use el método 2.
Método 2
Deshabilite el método de autenticación de AD FS para OWA y ECP y habilite cualquier otro método de autenticación. Para ello, ejecute el siguiente cmdlet de PowerShell:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Este comando de ejemplo deshabilita la autenticación de AD FS y habilita la autenticación de formularios en el directorio virtual predeterminado de OWA en el servidor denominado "Server2019CU2".
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Este comando de ejemplo deshabilita la autenticación de AD FS y habilita la autenticación de formularios en el directorio virtual de ECP predeterminado en el servidor denominado "Server2019CU2".