Disabled User haben immer noch Zugriff auf Ihre Mailbox

Disabled User haben immer noch Zugriff auf ihre Mailbox mit OWA, Outlook und ActiveSync.

Wenn Sie einen User disablen, heißt das nicht, dass er ab sofort keinen Zugriff mehr auf seine Mailbox hat. Der User kann sich zwar nicht mehr an der Windows Domain anmelden, aber der Zugang über OWA, Outlook und ActiveSync funktioniert immer noch. Wie kann das sein?

ActiveSync:

Bei ActiveSync ist es so, dass eine authentifizierte Verbindung offen gehalten wird, um auf neue Nachrichten zu prüfen.
Erst wenn der Lebenszyklus der Verbindung ausläuft, wird eine neue Authentifizierung versucht, die dann entsprechend fehlschlägt.
Das kann unter ungünstigen Umständen bis zu 24 Stunden dauern.
Um dies zu umgehen, können Sie zusätzlich zum Disablen des Users noch die ActiveSync Funktion explizit ausschalten.

Beispiel Exchange 2010:

Get-ActiveSyncDeviceStatistics –Mailbox Mailboxname | fl DeviceID

Set-CASMailbox -Identity Mailboxname -ActiveSyncBlockedDeviceIDs “<DeviceID_1>,<DeviceID_2>”

Set-CASMailbox -Identity Mailboxname -ActiveSyncEnabled $false

Nur so können Sie sicher sein, dass der Zugang sofort gesperrt ist.

OWA/Outlook:

Hauptschuld bei OWA/Outlook trägt für dieses Problem das “User Token Caching” des Internet Information Servers.
Im Standard ist dies auf 15 Minuten konfiguriert. Das bedeutet, wenn innerhalb dieser 15 Minuten ein Zugriff erfolgt,
wird das gecachte Token genutzt und kein neues verlangt. Dieser Wert läßt sich aber auch anpassen, wie hier beschrieben.
Es kann bis zu 2 Stunden dauern, bis dann ein neues Token erfordlich wird.

Auch für dieses Problem müssen Sie die WebServices und MAPI entsprechend manuel sperren.

Beispiel Exchange 2010:

WebServices

Set-CASMailbox -Identity Mailboxname -OwaEnabled $false

Set-CASMailbox -Identity Mailboxname -EwsEnabled $false

Set-CASMailbox -Identity Mailboxname -EwsEnabled $false

Set-CASMailbox -Identity Mailboxname -EcpEnabled $false

MAPI

Set-CASMailbox -Identity Mailboxname -MapiEnabled $false

Set-CASMailbox -Identity Mailboxname -MapiBlockOutlookRpcHttp $true

Set-CASMailbox -Identity Mailboxname -EwsAllowMacOutlook $false

Set-CASMailbox -Identity Mailboxname -EwsAllowOutlook $false

Bei Exchange 2007 würde auch das Verschieben der Mailbox helfen, weil damit alle offenen Verbindungen gekappt werden.
Mit Exchange 2010 würde das nicht den erwünschten Effekt bringen, wegen des “Online Mailbox Move” Prozesses,
der erst nach Abschluss die Verbindungen beenden würde und sie damit je nach Größe der Mailbox evtl. keine Zeit gewonnen hätten.
Auch ein IISReset kann weiterhelfen. Allerdings wären davon natürlich alle User betroffen, so dass dies vermutlich keine Option darstellt.