Genel olarak müşterilerde bizim de karşılaştığımız bir sorun ve bloğumda yazıyı paylaşmak istedim.
Malum pek çok şirket ortamında işten çıkarma veya güvenlik nedeni ile acil olarak bazı hesapların erişime kapatılması gerekebilir. Böyle bir durumda üst düzey bir yönetici veya insan kaynaklarından bir personel IT personelini veya sorumlu kişiyi arayarak “Hakan Uzuner” kullanıcı hesabını lütfen kapatın veya sisteme erişimini engelleyin der. Sizde en temel yöntem olan Active Directory üzerinden bu kullanıcıyı bulup hesabını Disable konumuna getiririz ki bu durumda artık Domain Controller üzerinden kendisini doğrulayamaz. Ancak bir süre sonra telefonunuz bir daha çalar ve birden kapatılması gereken hesabın sahibinin hala mail attığını veya mail sistemine eriştiğini sitem dolu sözler ile söyleyen bir kişi ile karşı karşıya kalabilirsiniz. Peki nasıl oluyor da hesabı kapatılan bir kullanıcı hala cep telefonundan veya Owa üzerinden maillerine ulaşabiliyor? Bunun temel sebebi aslında kullanıcı deneyimini arttırmak üzere tasarlanmış olan mimari bir özelliktir. Exchange server’ ın kullandığı IIS in temel bir özelliği olup bu özellik her 15dk da bir kendisine verilen token ları doğrular, yani örneğin bir kullanıcı giriş yaptı ve siz 5dk sonra hesabını kapattınız o hala 10dk boyunca mail sistemine erişebilir. Bu noktada siz bu süreyi 5dk gibi kısa bir süreye çekebilirsiniz.
https://support.microsoft.com/en-us/kb/152526
Ancak gerçek hayat senaryoları ne yazık ki biraz daha farklı, gerek yönettiğim gerekse şu anda destek verdiğimiz müşterilerimizde OWA üzerinden erişimlerde 3 saate kadar ( özellikle farklı browser testlerinde ) active sync erişimlerinde ise 6 saate kadar erişimleri ne yazık ki görebiliyoruz.
Kesin olarak bu konuda çözüm üretmek istiyorsanız birkaç alternatif denemek zorundasınız
1 – Kullanıcı hesabı üzerinden “NT AUTHORITY\SELF” iznini kaldırın
Bunun için kullanıcıyı bulup “Manage Full Access Permissions” bölümünden SELF iznini kaldırın ( Exchange 2013-2016 için kullanıcı üzerinde, edit menüsünde Mailbox Delegation kısmından yapabilirsiniz)
Veya bunun için Powershell kullanabilirsiniz
Remove-MailboxPermission –Identity “*user*” –User “NT AUTHORITY\SELF” –Accessright Fullaccess
2- Disable Mailbox Features
Bir diğer yöntem ise ilgili kullanıcının tüm Exchange server posta kutusu özelliklerini kapatmaktır.
Bunun için en kolay yöntem tabiki powershell
Set-CASMailbox –Identity “User” –OWAEnabled:$false –ActivesyncEnabled:$false –MAPIEnabled:$flase –POPEnabled:$false –IMAPEnabled:false
DB seviyesinde çalışmak için ( çok gerekli olmaz malum bir db deki herkesi kovduk mantığı biraz zor ama komut elinizin altında bulunsun J )
Get-Mailbox -Database DBName | Set-CasMailbox -ActiveSyncEnabled $false
Get-Mailbox -Database DBName | Set-CasMailbox -OWAforDevicesEnabled $false
3- IIS Servisini yeniden başlatmak
Tabiki bu da geçerli bir yöntemdir ama malum çok kişi etkilenebilir L
IISRESET /no force
Bu işe yaramaz ise
IISRESET /force
4 – IIS Token süresini değiştirme
https://support.microsoft.com/en-us/kb/152526
Malum pek çok şirket ortamında işten çıkarma veya güvenlik nedeni ile acil olarak bazı hesapların erişime kapatılması gerekebilir. Böyle bir durumda üst düzey bir yönetici veya insan kaynaklarından bir personel IT personelini veya sorumlu kişiyi arayarak “Hakan Uzuner” kullanıcı hesabını lütfen kapatın veya sisteme erişimini engelleyin der. Sizde en temel yöntem olan Active Directory üzerinden bu kullanıcıyı bulup hesabını Disable konumuna getiririz ki bu durumda artık Domain Controller üzerinden kendisini doğrulayamaz. Ancak bir süre sonra telefonunuz bir daha çalar ve birden kapatılması gereken hesabın sahibinin hala mail attığını veya mail sistemine eriştiğini sitem dolu sözler ile söyleyen bir kişi ile karşı karşıya kalabilirsiniz. Peki nasıl oluyor da hesabı kapatılan bir kullanıcı hala cep telefonundan veya Owa üzerinden maillerine ulaşabiliyor? Bunun temel sebebi aslında kullanıcı deneyimini arttırmak üzere tasarlanmış olan mimari bir özelliktir. Exchange server’ ın kullandığı IIS in temel bir özelliği olup bu özellik her 15dk da bir kendisine verilen token ları doğrular, yani örneğin bir kullanıcı giriş yaptı ve siz 5dk sonra hesabını kapattınız o hala 10dk boyunca mail sistemine erişebilir. Bu noktada siz bu süreyi 5dk gibi kısa bir süreye çekebilirsiniz.
https://support.microsoft.com/en-us/kb/152526
Ancak gerçek hayat senaryoları ne yazık ki biraz daha farklı, gerek yönettiğim gerekse şu anda destek verdiğimiz müşterilerimizde OWA üzerinden erişimlerde 3 saate kadar ( özellikle farklı browser testlerinde ) active sync erişimlerinde ise 6 saate kadar erişimleri ne yazık ki görebiliyoruz.
Kesin olarak bu konuda çözüm üretmek istiyorsanız birkaç alternatif denemek zorundasınız
1 – Kullanıcı hesabı üzerinden “NT AUTHORITY\SELF” iznini kaldırın
Bunun için kullanıcıyı bulup “Manage Full Access Permissions” bölümünden SELF iznini kaldırın ( Exchange 2013-2016 için kullanıcı üzerinde, edit menüsünde Mailbox Delegation kısmından yapabilirsiniz)
Veya bunun için Powershell kullanabilirsiniz
Remove-MailboxPermission –Identity “*user*” –User “NT AUTHORITY\SELF” –Accessright Fullaccess
2- Disable Mailbox Features
Bir diğer yöntem ise ilgili kullanıcının tüm Exchange server posta kutusu özelliklerini kapatmaktır.
Bunun için en kolay yöntem tabiki powershell
Set-CASMailbox –Identity “User” –OWAEnabled:$false –ActivesyncEnabled:$false –MAPIEnabled:$flase –POPEnabled:$false –IMAPEnabled:false
DB seviyesinde çalışmak için ( çok gerekli olmaz malum bir db deki herkesi kovduk mantığı biraz zor ama komut elinizin altında bulunsun J )
Get-Mailbox -Database DBName | Set-CasMailbox -ActiveSyncEnabled $false
Get-Mailbox -Database DBName | Set-CasMailbox -OWAforDevicesEnabled $false
3- IIS Servisini yeniden başlatmak
Tabiki bu da geçerli bir yöntemdir ama malum çok kişi etkilenebilir L
IISRESET /no force
Bu işe yaramaz ise
IISRESET /force
4 – IIS Token süresini değiştirme
https://support.microsoft.com/en-us/kb/152526
Kaynak : Çözümpark