Sintomi
Considerare lo scenario descritto di seguito:
-
È possibile distribuire Microsoft Exchange Server 2019 nell'organizzazione.
-
Installare e configurare Active Directory Federation Services (AD FS) in Exchange Server 2019. In questo modo i client possono usare l'autenticazione basata sulle attestazioni di ADFS per connettersi a Outlook sul Web (OWA) e all'interfaccia di amministrazione di Exchange (EAC).
-
Installare l'aggiornamento cumulativo 2 per Exchange Server 2019.
In questo scenario non è possibile accedere a OWA ed EAC e viene visualizzato un messaggio di errore analogo al seguente:
Errore del server nell'applicazione '/ecp o owa'.
Impossibile eseguire il cast dell'oggetto di tipo 'Microsoft.Exchange.Security.Authentication.AdfsIdentity' al tipo 'System.Security.Principal.WindowsIdentity'.Inoltre, l'ID evento 1003 viene registrato nel Visualizzatore eventi e mostra lo stesso errore di eccezione:
Si è verificato un errore interno del server. L'eccezione non gestita era: System.InvalidCastException:
Impossibile eseguire il cast dell'oggetto di tipo 'Microsoft.Exchange.Security.Authentication.AdfsIdentity' al tipo 'System.Security.Principal.WindowsIdentity'.
Risoluzione
Per risolvere il problema, installare l'aggiornamento cumulativo 3 per Exchange Server 2019 o un aggiornamento cumulativo successivo per Exchange Server 2019.
Soluzione alternativa
Per risolvere il problema, usare uno dei metodi seguenti.
Metodo 1
Configurare una delle versioni di Exchange Server seguenti per Front-End l'accesso client all'interno dell'organizzazione:
-
Exchange Server 2019 CU1 o RTM
-
Exchange Server 2016 CU11 o versione successiva
-
Exchange Server 2013 CU21 o versione successiva
Ad esempio, il problema si verifica se si dispone di un server che esegue Exchange Server CU2 2019 e ha ADFS configurato per elaborare le richieste client, ad esempio https://mail.contoso.com/owa. In questo caso, apportare le modifiche appropriate (ai record host nel DNS o nel servizio di bilanciamento del carico) per assicurarsi che le richieste dei client ricevute in mail.contoso.com siano inviate a una versione precedente di Exchange Server.
Se non sono disponibili server della versione precedente, usare il metodo 2.
Metodo 2
Disabilitare il metodo di autenticazione AD FS OWA ed ECP e abilitare qualsiasi altro metodo di autenticazione. A questo scopo, eseguire il cmdlet di PowerShell seguente:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Questo comando di esempio disabilita l'autenticazione di AD FS e abilita l'autenticazione basata su form nella directory virtuale OWA predefinita nel server denominato "Server2019CU2".
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
Questo comando di esempio disabilita l'autenticazione AD FS e abilita l'autenticazione basata su form nella directory virtuale ECP predefinita nel server denominato "Server2019CU2".