HMA EvoSTS 證書滾動更新會導致驗證提示,因為在 Exchange Server 2019 和2016中,工作進程衍生(預熱階段)的金鑰停用。

徵狀

EvoSTS 憑證是由 Azure Active Directory (Azure AD)管理,並定期逐一更新每個租使用者,這對某些使用者會執行較頻繁的操作。 證書滾動更新或其排程對使用者來說不是透明的。 如此一來,這種變換會針對執行混合式新式驗證(HMA)的使用者建立服務中斷。 當工作進程開始或回收,或是從 AD 中的電腦重新開機或發散金鑰內容出現時,就會發生此問題。 初始化任何輔助進程時,第一個包含載荷驗證資料的要求將會載入 OAuth 文件庫,並透過從 AD 中的 AuthServer 物件讀取資訊來啟動金鑰資料。 此後,工作進程就可以驗證封裝含載荷驗證資料的要求。 不過,如果 Azure AD (EvoSTS)中的金鑰資料已滾過,則無法驗證那些由於不正確郵件安全性(金鑰材質不相符)等簽章為簽章 diverges 的要求。 在隨機間隔之後(最多30分鐘的計時器),工作進程將透過發佈的中繼資料端點來線上查閱及取得金鑰資料。

如果找到新的或 [發散] 鍵,就會在工作程式的生命週期中新增和載入這些金鑰,而且驗證將從現在起起作用。 因為新的金鑰資料永遠不會寫回到 AD,所以對於任何工作程式,都會再次針對產生新實例的任何工作進程再次啟動同一個小版本。

解決方案

若要修正此問題,請安裝下列其中一個更新:

針對 Exchange server 2019,請安裝 exchange server  2019 的累積更新 6或 exchange server 2019 的更新累計更新。

針對 Exchange server 2016,請安裝 exchange server   2016 的累加更新 17,或 exchange server 2016 的更新累計更新。 

參考

瞭解 terminologyMicrosoft 用來描述軟體更新的術語。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×