症状
EvoSTS 证书由 Azure Active Directory (Azure AD)管理,并定期定期更新每个租户,这对于某些用户而言会更频繁。 证书滚动更新或其日程对用户不透明。 它将显示,此类翻转为运行混合新式身份验证(HMA)的用户创建服务中断。 当工作进程启动或回收,或者当计算机从维护中恢复,并且发散密钥材料出现在 AD 中时,就会出现此问题。 初始化任何工作进程时,第一个包含载荷身份验证数据的请求将加载 OAuth 库,并通过从 AD 中的 AuthServer 对象读取信息来启动密钥材料。 此后,工作进程可以验证包含载荷身份验证数据的请求。 但是,如果已对 Azure AD (EvoSTS)中的密钥材料进行了滚动,则它无法通过与签名分离的无效邮件安全(密钥材料不匹配)对这些请求进行身份验证。 在随机间隔(最长30分钟的计时器)后,工作进程将通过已发布的元数据终结点联机查找和获取密钥材料。
如果找到新的或发散的键,则会在工作进程的生命周期内添加和加载该进程(实例),身份验证现在将从现在开始工作。 由于新的密钥数据永远不会被写回 AD,因此对于任何工作进程都将再次启动相同的迭代以生成新实例。
解决方案
若要解决此问题,请安装下列更新之一:
对于 Exchange Server 2019,请安装 exchange server 2019 的累积更新 6或 exchange server 2019 的更高累积更新。
对于 Exchange Server 2016,请安装 exchange server 2016 的累积更新 17或 exchange server 2016 的更高累积更新。
参考
了解 terminology Microsoft 用于描述软件更新的术语。
