Síntomas
Los certificados de EvoSTS se administran mediante Azure Active Directory (Azure AD) y se actualizan regularmente por inquilinos, que se producen con más frecuencia para algunos usuarios. La renovación del certificado o su programación no es transparente para el usuario. Este rollover crea interrupciones de servicio para los usuarios que ejecutan una autenticación moderna híbrida (HMA). El problema se produce cuando se inicia o se recicla un proceso de trabajo o cuando un equipo vuelve de mantenimiento y el material de clave divergente está presente en AD. Tras la inicialización de cualquier proceso de trabajo, la primera solicitud que contenga los datos de autenticación del portador cargará las bibliotecas de OAuth e iniciará el material de clave leyendo la información del objeto AuthServer en AD. Después, el proceso de trabajo puede autenticar la solicitud que contenga datos portadores de autenticación. Sin embargo, si el material de clave en Azure AD (EvoSTS) se ha revertido, no puede autenticar esas solicitudes debido a una seguridad de mensajes no válida (el material de clave no coincide) porque la firma difiere. Después de un intervalo aleatorio (temporizador máx 30 minutos), el proceso de trabajo buscará y obtendrá el material de clave en línea mediante el extremo de metadatos publicado.
Si se encuentran claves nuevas o divergentes, estas se agregarán y se cargarán en el proceso (instancia) durante el período de duración del proceso de trabajo y la autenticación funcionará a partir de ahora. Como los nuevos datos clave nunca vuelven a escribirse en AD, la misma iteración comienza de nuevo para cualquier proceso de trabajo que genere una nueva instancia.
Resolución
Para solucionar este problema, instale una de las siguientes actualizaciones:
Para Exchange Server 2019, instale la actualización acumulativa 6 para exchange Server 2019 o una actualización acumulativa posterior para Exchange Server 2019.
Para Exchange Server 2016, instale la actualización acumulativa 17 para exchange Server 2016o una actualización acumulativa posterior para Exchange Server 2016.
Referencias
Más información sobre el terminología que usa Microsoft para describir las actualizaciones de software.