徵狀
EvoSTS 憑證是由 Azure Active Directory (Azure AD)管理,並定期逐一更新每個租使用者,這對某些使用者會執行較頻繁的操作。 證書滾動更新或其排程對使用者來說不是透明的。 如此一來,這種變換會針對執行混合式新式驗證(HMA)的使用者建立服務中斷。 當工作進程開始或回收,或是從 AD 中的電腦重新開機或發散金鑰內容出現時,就會發生此問題。 初始化任何輔助進程時,第一個包含載荷驗證資料的要求將會載入 OAuth 文件庫,並透過從 AD 中的 AuthServer 物件讀取資訊來啟動金鑰資料。 此後,工作進程就可以驗證封裝含載荷驗證資料的要求。 不過,如果 Azure AD (EvoSTS)中的金鑰資料已滾過,則無法驗證那些由於不正確郵件安全性(金鑰材質不相符)等簽章為簽章 diverges 的要求。 在隨機間隔之後(最多30分鐘的計時器),工作進程將透過發佈的中繼資料端點來線上查閱及取得金鑰資料。
如果找到新的或 [發散] 鍵,就會在工作程式的生命週期中新增和載入這些金鑰,而且驗證將從現在起起作用。 因為新的金鑰資料永遠不會寫回到 AD,所以對於任何工作程式,都會再次針對產生新實例的任何工作進程再次啟動同一個小版本。
解決方案
若要修正此問題,請安裝下列其中一個更新:
針對 Exchange server 2019,請安裝 exchange server 2019 的累積更新 6或 exchange server 2019 的更新累計更新。
針對 Exchange server 2016,請安裝 exchange server 2016 的累加更新 17,或 exchange server 2016 的更新累計更新。
參考
瞭解 terminologyMicrosoft 用來描述軟體更新的術語。
