Проблемы
Рассмотрим следующий сценарий.
-
Развертывание Microsoft Exchange Server 2019 в организации.
-
Вы устанавливаете и настраивайте службы федерации Active Directory (AD FS) в Exchange Server 2019. Это позволяет клиентам использовать проверку подлинности на основе утверждений AD FS для подключения к Outlook в Интернете (OWA) и Центру администрирования Exchange (EAC).
-
Вы устанавливаете накопительное обновление 2 для Exchange Server 2019.
В этом случае вы не сможете войти в OWA и EAC и получите сообщение об ошибке, похожее на следующее:
Ошибка сервера в приложении "/ecp или owa".
Не удается завести объект типа "Microsoft.Exchange.Security.Authentication.AdfsIdentity", чтобы ввести "System.Security.Principal.WindowsIdentity".
Кроме того, ид события 1003 регистрируется в средствах просмотра событий и появляется такое же сообщение об ошибке исключения:
Произошла внутренняя ошибка сервера. Необязимое исключение: System.InvalidCastException:
Не удается завести объект типа "Microsoft.Exchange.Security.Authentication.AdfsIdentity", чтобы ввести "System.Security.Principal.WindowsIdentity".
Решение
Чтобы устранить эту проблему, установите накопительное обновление 3 для Exchange Server 2019 или накопительное накопительное обновление для Exchange Server 2019.
Обходное решение
Чтобы обойти эту проблему, воспользуйтесь одним из следующих способов:
Способ 1
Настройте одну из следующих версий Exchange Server, чтобы обеспечить Front-End клиентский доступ в организации:
-
Exchange Server 2019 CU1 или RTM
-
Exchange Server 2016 с cu11 или более поздней версией
-
Exchange Server 2013 CU21 или более поздней версии
Например, проблема возникает, если у вас есть сервер с Exchange Server 2019 с cu2 и на сервере AD FS настроена обработка запросов клиентов, таких как https://mail.contoso.com/owa. В этом случае внести необходимые изменения (в записи хоста в DNS или балансире нагрузки), чтобы убедиться, что клиентские запросы, полученные в mail.contoso.com, отправляются на более ранжную версию Exchange Server.
Если серверов более ранних версий нет, используйте метод 2.
Способ 2
Отключать способ проверки подлинности AD FS для OWA и ECP, а также включить любой другой метод проверки подлинности. Для этого запустите следующий cmdlet PowerShell:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
В этом примере команда отключает проверку подлинности AD FS и включает проверку подлинности форм в виртуальном каталоге OWA по умолчанию на сервере с именем Server2019CU2.
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
В этом примере команда отключает проверку подлинности AD FS и включает проверку подлинности форм в виртуальном каталоге ECP по умолчанию на сервере с именем Server2019CU2.
