現象
EvoSTS 証明書は、Azure Active Directory (Azure AD) によって管理され、テナントごとに定期的に更新されます。これは、一部のユーザーに対してより頻繁に行われます。 証明書のロールオーバーまたはそのスケジュールが、ユーザーに対して透過的ではありません。 このようなロールオーバーは、ハイブリッド先進認証 (HMA) を実行しているユーザーのサービス停止を作成していることがわかります。 この問題は、ワーカープロセスを開始またはリサイクルしたとき、またはコンピューターがメンテナンスから回復され、左右逆方向キーマテリアルが広告に存在する場合に発生します。 ワーカープロセスが初期化されると、bearer authentication データを含む最初の要求によって OAuth ライブラリが読み込まれ、AD 内の AuthServer オブジェクトからの情報を読み取ることによってキーマテリアルが開始されます。 この後、ワーカープロセスは、bearer authentication データを含む要求を認証することができます。 ただし、Azure AD (EvoSTS) のキーマテリアルがロールオーバーされている場合、署名の一部が無効になっているため、無効なメッセージセキュリティ (キーマテリアルは一致しない) のために要求を認証できません。 ランダム間隔 (タイマーの最大30分) が経過すると、ワーカープロセスは公開されたメタデータエンドポイントを介して、キーマテリアルをオンラインで検索して取得します。
新しいキーまたは左右逆方向キーが検出された場合は、ワーカープロセスの有効期間の間、それらのキーが追加され、プロセス (インスタンス) に読み込まれ、認証が機能するようになります。 新しいキーデータは AD に書き戻されることはないため、新しいインスタンスを作成しているワーカープロセスでは、同じ反復が再び開始されます。
解決方法
この問題を解決するには、次のいずれかの更新プログラムをインストールします。
Exchange server 2019 の場合は、exchange server 2019 の累積的な更新プログラム 6または exchange server 2019 の累積的な更新プログラム6をインストールします。
Exchange server 2016 の場合は、 累積更新プログラム 17 (exchange server 2016 の場合)またはそれ以降の exchange server 2016 の累積的な更新プログラムをインストールします。
参照情報
詳細については、 terminologyソフトウェアの更新を説明するために Microsoft が使用する用語。
