Scenario
Tänk dig följande situation:
-
Du kör Exchange Server.
-
Du har aktiverat Exchange Web Services (EWS).
-
Push-meddelanden är aktiverat och används i din miljö.
Orsak
När en klient prenumererar på Push-meddelanden från Exchange Server, innehåller meddelanden som skickas till klienten NTLM-information som kan användas för att autentisera som den server som kör Exchange Server. Den här informationen ingick tidigare att ett autentiserat svar till klienter som prenumererar på. Push-meddelanden påverkas. Pull- och direktuppspelning meddelanden påverkas inte.
Lösning
Undvik det här scenariot och förhindra att information från missbruk, definiera begränsningsprincip som förhindrar att EWS-meddelanden som skickas till klienterna prenumererar på. Även om Push-meddelanden är föremål för detta, påverkar en begränsningsprincip Push och Pull direktuppspelning meddelanden lika.
Obs! Den här lösningen medför att vissa klienter inte fungerar korrekt. Detta inkluderar Outlook för Mac, Skype för företag, native iOS e-postklienter och vissa andra tredje parts-klienter. Den kan också innehålla egna LOB-program.
Lösning
Microsoft har ändrat meddelanden kontrakt som upprättas mellan EWS klienter och servrar som kör Exchange Server inte att tillåta autentiserade meddelanden till direktuppspelas av servern. Dessa meddelanden strömmas i stället med anonym autentiseringsmekanismer. Eftersom en klient måste autentisera för att upprätta abonnemanget, anses denna metod vara ett lämpligt och nödvändigt design för att skydda autentiseringsuppgifter och identiteten för servern. När kräver klienter som använder en autentiserad EWS Push-meddelande från servern som kör Exchange Server en Klientuppdatering fortsätta att fungera korrekt.
Denna förändring träder i kraft i följande Exchange-versioner:
-
Exchange Server 2019 – kumulativ uppdatering 1
-
Exchange Server 2016 – kumulativ uppdatering 12
-
Exchange Server 2013 – kumulativ uppdatering 22
-
Exchange Server 2010 – Samlad uppdatering 26