症状
请考虑以下情况:
-
在组织中Microsoft Exchange Server 2019 年 10 月。
-
在 2019 年 1 月 (AD FS) 并Exchange Server Active Directory 联合身份验证服务。 这使客户端能够使用基于 AD FS 声明的身份验证连接到 Outlook 网页 (OWA) 和 Exchange 管理中心 (EAC) 。
-
安装 2019 年 1 月Exchange Server累积更新 2。
在此方案中,无法登录到 OWA 和 EAC,并且会收到如下所示的错误消息:
"/ecp 或 owa"应用程序中的服务器错误。
无法将"Microsoft.Exchange.Security.Authentication.AdfsIdentity"类型的对象强制键入"System.Security.Principal.WindowsIdentity"。
此外,事件 ID 1003 记录在事件查看器中,并且显示相同的异常错误:
发生内部服务器错误。 未处理异常是:System.InvalidCastException:
无法将"Microsoft.Exchange.Security.Authentication.AdfsIdentity"类型的对象强制键入"System.Security.Principal.WindowsIdentity"。
解决方法
若要解决此问题,请安装2019 年 10月累积更新 3 Exchange Server或 2019 年 1 月Exchange Server累积更新。
解决方法
若要解决此问题,请使用以下任一方法。
方法 1
配置以下版本的客户端Exchange Server,Front-End组织中提供客户端访问权限:
-
Exchange Server 2019 CU1 或 RTM
-
Exchange Server 2016 CU11 或更高版本
-
Exchange Server 2013 CU21 或更高版本
例如,如果服务器运行 Exchange Server 2019 CU2,并且 AD FS 配置为处理客户端请求(例如 https://mail.contoso.com/owa)。 如果发生这种情况,请对 DNS (或负载均衡器) 中的主机记录进行相应的更改,以确保在 mail.contoso.com 上收到的客户端请求发送到早期版本的 Exchange Server。
如果没有可用的早期版本服务器,请使用方法 2。
方法 2
禁用 OWA 和 ECP 的 AD FS 身份验证方法,并启用任何其他身份验证方法。 为此,请运行以下 PowerShell cmdlet:
Set-OwaVirtualDirectory -Identity "Server2019CU2\ecp (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
此示例命令禁用 AD FS 身份验证,并在服务器上名为"Server2019CU2"的默认 OWA 虚拟目录上启用窗体身份验证。
Set-EcpVirtualDirectory -Identity "Server2019CU2\owa (Default Web site)" - AdfsAuthentication:$false -FormsAuthentication $true
此示例命令禁用 AD FS 身份验证,并在服务器上名为"Server2019CU2"的默认 ECP 虚拟目录上启用窗体身份验证。