Ongelman oireet
Oletetaan seuraava tilanne:
-
Otat Microsoft Exchange Server 2019:n käyttöön organisaatiossasi.
-
Active Directory Federation Services (AD FS) asennetaan ja määritetään Exchange Server 2019:ssä. Näin asiakkaat voivat muodostaa yhteyden Outlookin verkkosovellukseen (OWA) ja Exchange admin centeriin (EAC) AD FS:n väitepohjaisen todentamisen avulla.
-
Asennat Exchange Server 2019:n kumulatiivisen päivityksen 2.
Tässä skenaariossa et voi kirjautua OWA:han ja EAC:iin, ja saat seuraavankaltaista virhesanomaa:
Palvelinvirhe /ecp- tai owa-sovelluksessa.
Objektia, jonka tyyppi on Microsoft.Exchange.Security.Authentication.AdfsIdentity, ei voi kirjoittaa "System.Security.Principal.WindowsIdentity".
Lisäksi tapahtumatunnus 1003 kirjataan Tapahtumienvalvontaan ja näyttää saman poikkeusvirheen:
Tapahtui sisäinen palvelinvirhe. Käsittelemätön poikkeus oli: System.InvalidCastException:
Objektia, jonka tyyppi on Microsoft.Exchange.Security.Authentication.AdfsIdentity, ei voi kirjoittaa "System.Security.Principal.WindowsIdentity".
Ratkaisu
Voit korjata ongelman asentamalla Exchange Server 2019:n kumulatiivisen päivityksen 3 tai uudemman Exchange Server 2019:n kumulatiivisen päivityksen.
Vaihtoehtoinen menetelmä
Voit kiertää ongelman jommankumman seuraavista tavoista.
Menetelmä 1
Määritä jokin seuraavista Exchange Server -versioista, jotta Front-End asiakaskäyttömahdollisuus organisaatiossasi:
-
Exchange Server 2019 CU1 tai RTM
-
Exchange Server 2016 CU11 tai uudempi versio
-
Exchange Server 2013 CU21 tai uudempi versio
Ongelma ilmenee esimerkiksi silloin, jos sinulla on palvelin, jossa on käytössä Exchange Server 2019 CU2 ja jossa AD FS on määritetty käsittelemään asiakaspyyntöjä, kuten https://mail.contoso.com/owa. Jos näin käy, tee tarvittavat muutokset (DNS:n isäntätietueisiin tai Load Balancer -palvelimessa) sen tarkistamista varten, että mail.contoso.com vastaanotetut asiakaspyynnöt lähetetään Exchange Serverin aiemmassa versiossa.
Jos aiempia palvelimia ei ole käytettävissä, käytä menetelmää 2.
Menetelmä 2
Poista AD FS -todennusmenetelmä käytöstä OWA:ssa ja ECP:ssä ja ota käyttöön jokin muu todennusmenetelmä. Voit tehdä tämän seuraavalla PowerShell-cmdlet-komennolla:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Tässä esimerkissä komento poistaa AD FS -todennuksen käytöstä ja ottaa lomakkeiden todennuksen käyttöön OWA-oletus näennäishakemistossa palvelimessa, jonka nimi on "Server2019CU2".
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Tämä esimerkkikomento poistaa AD FS -todennuksen käytöstä ja ottaa lomakkeiden todennuksen käyttöön oletusarvoisen ECP-virtuaalihakemiston palvelimessa, jonka nimi on "Server2019CU2".