Genelde işten çıkarılan personellerde karşılaşılan bir durumdur. Forumlarda da sıklıkla sorulur. Aslında 2007 yılından beri bilinen bir konu olmasına rağmen 2020 yılında dahi hala soran insanlar var. Bunu yazınca çok yaşlandığımı ve aslında bir kaç kuşağın sektöre girdiğini de kabul etmem gerektiğini anlıyorum.
Peki olay nedir?
Hesabı kapatmanıza veya şifreyi değiştirmenize rağmen OWA üzerinden kullanıcı nasıl oluyorda login olabiliyor. Bunun temel sebebi Microsoft’ ın aslında kullanıcı deneyimini arttırmak için kullandığı cache mantığı ile ilgili. Yani IIS performans nedeni ile kullanıcı tarafından yapılan login isteğini bir domain controller’ a iletip oradan aldığı kerberos token’ ı 15dk cache de tutar. bu sunucu bazlı bir ayar olduğu için sizin ortamınızda bu süre ve yine IIS sürümlerine göre farklılık gösterebilir. Yani örneğin kullanıcı login oldu, sonra çıktı. Siz şifresini değiştirdiğiniz ancak kullanıcı aynı şifre ile tekrar login olur çünkü IIS bu süre zarfında bir daha DC ye soru sormaz.
Bunun sonucu olarak şirketten kovulan veya bir şekilde sorunlu ayrılan personel ilk olarak eğer OWA açık ise hızlıca OWA’ dan veya cep telefonundan maillerine erişmek isteri. Active Sync de IIS temelli çalışır.
Muhtemel sizde bu süre daha uzun olabilir, peki böyle bir durumda Exchange yöneticisi ne yapmalı?
Bir kaç tane yöntem var, eğer çok kritik bir kurum değil ise bir kaç dakikalık kesintiye tahammül edebiliyorsanız en temiz yöntem exchange sunucularında IIS servisini yeniden başlatmaktır. Yetkili bir kullanıcı ile cmd ekranında aşağıdaki komutu çalıştırmanız yeterli
iisreset /noforce
Ancak çok fazla exchange sunucusu var veya olurya iisreset sonucunda owa ve IIS’ e bağlı diğer exchange web servislerinin çalışmama durumundan bunu yapmak istemiyorsanız aşağıdaki powershell ile kullanıcının owa ve benzeri posta kutusu erişim araçlarını kapatabilirsiniz.
Set-CASMailbox –Identity “hakan” –OWAEnabled:$false –ActivesyncEnabled:$false –MAPIEnabled:$flase –POPEnabled:$false –IMAPEnabled:false
Ama unutmayın, eğer birden çok dc ve yine replikasyon gecikmeleri nedeni ile bu komut da işinizi görmeyebilir.
En temizi bu tür durumlara şimdiden hazırlıklı olmak. Zaten böyle bir şeyi yaşadığınız ancak genelde iisreset atarsınız, sonrasında ise tüm exchange sunucuları için ( eski sistemde ise sadece OWA yani CAS rolüne sahip sunucuda) aşağıdaki kayıt defteri anahtarını oluşturmanız yeterlidir
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\InetInfo\Parameters
Altında yeni bir DWORD kaydı oluşturun, ismi “UserTokenTTL” değeri ise 300 yani saniye cinsinden 5dk ya denk geliyor.
Umarım faydalı bir ipucu olmuştur.