現象
次のような状況で問題が発生します。
-
組織に Microsoft Exchange Server 2019 を展開します。
-
2019 年 2019 年に Active Directory フェデレーション サービス (AD FS) をインストールしてExchange Serverします。 これにより、クライアントは AD FS クレームベース認証を使用して Outlook on the web (OWA) と Exchange 管理センター (EAC) に接続できます。
-
2019 年 10 月の累積的な更新プログラム 2 Exchange Serverインストールします。
このシナリオでは、OWA と EAC にサインインできません。次のようなエラー メッセージが表示されます。
"/ecp または owa" アプリケーションのサーバー エラー。
型 'Microsoft.Exchange.Security.Authentication.AdfsIdentity' のオブジェクトをキャストして、「System.Security.Principal.WindowsIdentity」と入力できない。
さらに、イベント ID 1003 はイベント ビューアーに記録され、同じ例外エラーが表示されます。
内部サーバー エラーが発生しました。 未処理の例外は、System.InvalidCastExceptionです。
型 'Microsoft.Exchange.Security.Authentication.AdfsIdentity' のオブジェクトをキャストして、「System.Security.Principal.WindowsIdentity」と入力できない。
解決策
この問題を解決するには 、Exchange Server 2019 以降の Exchange Server 2019の累積的な更新プログラム 3 をインストールします。
回避策
この問題を回避するには、次のいずれかの方法を使用します。
方法 1
組織のクライアント アクセスを許可Exchange Server次Front-Endのいずれかのバージョンを構成します。
-
Exchange Server 2019 CU1 または RTM
-
Exchange Server 2016 CU11 以降のバージョン
-
Exchange Server 2013 CU21 以降のバージョン
たとえば、この問題は、Exchange Server 2019 CU2 を実行しているサーバーで、AD FS がクライアント要求 (https://mail.contoso.com/owa など) を処理するように構成されている場合 に発生します。 この場合は、(DNS または Load Balancer のホスト レコードに) 適切な変更を加え、mail.contoso.com で受信したクライアント要求が以前のバージョンの Exchange Server に送信されるのを確認します。
以前のバージョンのサーバーが利用できない場合は、方法 2 を使用します。
方法 2
OWA と ECP AD FS 認証方法を無効にし、その他の認証方法を有効にします。 これを行うには、次の PowerShell コマンドレットを実行します。
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
このコマンド例では、AD FS 認証を無効にし、"Server2019CU2" という名前のサーバー上の既定の OWA 仮想ディレクトリでフォーム認証を有効にします。
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
このコマンド例では、AD FS 認証を無効にし、"Server2019CU2" という名前のサーバー上の既定の ECP 仮想ディレクトリでフォーム認証を有効にします。
