案例
請試想下列案例:
-
您正在執行 Exchange Server。
-
您已啟用 Exchange Web 服務 (EWS)。
-
推播通知已在您的環境中啟用並使用。
原因
當用戶端從 Exchange Server 訂閱推播通知時,傳送到用戶端的通知包括可能用來當做執行 Exchange Server 之伺服器進行驗證的 NTLM 資訊。 這項資訊先前已隨附,以允許對訂閱的用戶端傳送已驗證的回應。 只有推播通知受到影響。 提取和串流通知則不受影響。
因應措施
若要避免此案例並防止資訊遭到濫用,請定義節流原則,使 EWS 通知不會傳送到訂閱的用戶端。 雖然只有推播通知受到此行為的影響,但節流原則會對推播、提取和串流通知造成同樣的影響。
注意:這個因應措施會導致某些用戶端無法正常運行。 這包括 Mac 版 Outlook、商務用 Skype、原生 iOS 郵件用戶端以及其他一些協力廠商用戶端。 此外,還可能包括自訂 LOB 應用程式。
解決方案
Microsoft 已變更在 EWS 用戶端與執行 Exchange Server 的伺服器之間建立的通知合約,不允許伺服器對已驗證的通知進行串流。 相反地,這些通知是使用匿名驗證機制進行串流。 由於用戶端必須經過驗證才能建立訂閱,因此,這個方法被認為是保護伺服器認證和識別的適當、必要設計。 經過這次變更,若用戶端依賴來自執行 Exchange Server 之伺服器的已驗證 EWS 推播通知,則必須進行用戶端更新,才能繼續正常運作。
行為中的這項變更會在下列 Exchange 版本中生效:
