OWA пускает на отключенные учетные записи
 

Exchange 2010 SP3. Столкнулся с интересной фичей (или багом?)
Отключаю учетную запись в Active Directory - но по OWA учетка все еще работает некоторое время. Первые минут 10 точно даёт зайти. На следующий день уже не пускал. Точный временной интервал я не вычислил.
Причем POP3-клиентов перестает пускать сразу же, как только отключишь учетку.
Это особенность работы OWA, который кэширует учетные данные или только у меня он так себя ведет? И если это не только у меня, то где подкрутить, чтобы блокировка на отключенную учетку отражалась в OWA сразу?

Сколько домен контроллеров в сети и сайтов?
Как настроена репликация?

Контроллера два. Оба в одном сайте. Сеть гигабит. Репликация практически мгновенная. Всё виртуализировано на Hyper-V.

Заметил еще одну интересную вещь. Если поменять пароль, то на OWA пускает и под новым, и под старым паролем. Конкретный отрезок времени, которое длится это явление, пока тоже не отследил.

Никакого TMG посередине нет?

Это особенность работы ОВА, данные кэшируются на IIS сервере. Если требуется немедленно заблокривать вход то только IISRESET или перезагрузка сервера где сайт с ОВА

DJ Mogarych, TMG посередине нет.
Gremuciy, еще до того, как прочитал Ваше сообщение, поэкспериментировал с перезапуском службы IIS. У меня массив из двух CAS. На том сервере, где служба была перезапущена - пускать перестает. На том, где не перезапущена - пускает. Вы не в курсе, каков вообще механизм кэширования? Можно ссылку на официальную статью? По мне, это очень нехорошо в плане безопасности.

вот тут, но для 2007. и там только написано:
но вот как, пока не нашёл (

exo, покопавшись в статье, которую Вы дали, нашел, где настраивается время жизни cookie.
Меня удивляет другое. В статье сказано:
Но у меня пускает даже в том случае, если выйти из OWA, а потом опять зайти (учетная запись при этом отключена). Причем пускает даже из другого браузера с другой машины, где cookies созданы не были.

там минимум нужно 1 минуту ждать.

exo, это понятно. Но я немного другое имею в виду. Я представляю себе это так. Куки помогают "запомнить" вошедшего на OWA пользователя, а время, которое его будет "помнить" OWA, задается правкой реестра на сервере клиентского доступа. Т.е. пользователь залогинился с параметром "Общедоступный компьютер", работает с почтой, потом отходит на 15 минут, возвращается - а его выкинуло, и нужно снова логиниться. Это нормально.
Но почему те же 15 минут отводятся на то, чтобы до OWA "дошло", что учетная запись заблокирована, либо для нее сменился пароль? Можно, конечно, выставить интервал в одну минуту, но при этом пользователя будет выкидывать из почты после одной минуты бездействия, что совсем неудобно.
Форсирование в виде перезапуска службы IIS - это, по-моему, скорее костыль.

old_nick, Вот обсуждение аналогичной ситуации на течнете (линк) а так же ссылка на статью о параметр в регистре позволяющий изменить время жизни толкена до минимальных 30 секунд (линк)

Gremuciy, спасибо. По всей видимости, именно то, что нужно. Как проверю - отпишусь.

если это сделано в целях производительности, а у вас много пользователей - то лучше будет после каждой блокировки у.з. вручную перезагружать службы IIS. ведь это не сложно. ихмо.

Проверил. Поковырял реестр и выставил 30 секунд. На всякий случай перезагрузился (в статье рекомендуют просто перезапустить службы веб-сервера). Вместо обещанных 30 секунд по факту выбрасывает через минуту-две после блокировки учетки на контроллере. Но это для меня не так уж принципиально. Скорее всего все равно буду пользоваться IISRESET'ом, чтобы всё мгновенно подхватывалось. exo, пользователей не много: около 200 человек, и в ближайшее время сильно не увеличится.