Sintomas
Os certificados EvoSTS são geridos pela Azure Ative Directory (Azure AD) e regularmente atualizados individualmente por inquilino, o que acontece com mais frequência para alguns utilizadores. O capotamento do certificado ou a sua programação não é transparente para o utilizador. Acontece que tal capotamento está a criar falhas de serviço para os utilizadores que executam a Autenticação Moderna Híbrida (HMA). O problema ocorre quando um processo de trabalhador é iniciado ou reciclado ou quando uma máquina é trazida de volta da manutenção e o material chave divergente está presente em AD. Após a inicialização de qualquer processo de trabalhador, o primeiro pedido que contenha dados de autenticação ao portador carregará as bibliotecas OAuth e iniciará o material chave lendo as informações do objeto AuthServer em AD. Depois disso, o processo do trabalhador pode autenticar o pedido contendo dados de autenticação ao portador. No entanto, se o material-chave em Azure AD (EvoSTS) tivesse sido revirado, não pode autenticar esses pedidos devido à segurança inválida da mensagem (o material chave não corresponde) uma vez que a assinatura diverge. Após um intervalo aleatório (temporizador máximo de 30 minutos), o processo do trabalhador irá procurar o material chave on-line através do ponto final de metadados publicado.
Se forem encontradas chaves novas ou divergentes, estas serão adicionadas e carregadas no processo (por exemplo) para o tempo de vida do trabalhador e a autenticação funcionará a partir de agora. Uma vez que os novos dados-chave nunca são reenusidos à AD, a mesma iteração recomeça para qualquer processo de trabalhador que desova uma nova instância.
Resolução
Para corrigir este problema, instale uma das seguintes atualizações:
Para o Exchange Server 2019, instale a Atualização Cumulativa 6 para o Exchange Server 2019 ou uma atualização acumulada posterior para o Exchange Server 2019.
Para o Exchange Server 2016, instale a Atualização Cumulativa 17 para Exchange Server 2016ou uma atualização acumulada posterior para o Exchange Server 2016.
Referências
Conheça o terminologia que a Microsoft usa para descrever atualizações de software.