Как узнать, кто пытался открыть общий ящик в Exchange, если аудит не был включен?

Question

[shupike]

Добрый день, коллеги! Напомните, пожалуйста, как посмотреть, кто заходил в общий ящик Exchange (2019) через консоль? Аудит для этого ящика, к сожалению, был отключен - как-то можно посмотреть, кто ломился за последние 24 часа? Ящик был настроен давно для некоторых удаленных сотрудников, причем не делегирован (в силу большого размера), а именно подключен независимо в Outlook через MAPI. Проблема в том, что учетка в AD, связанная с этим ящиком, периодически блокируется от неправильных попыток ввода пароля - можно это выяснить в таких условиях? Спасибо.

Answer 1

[Роман Безруков]

1. Смотрите и разбирайте логи IIS на Exchange
2. Security Log на Exchange - разбирайте события 4625 (An account failed to log on), в которых Account Name = "учетка в AD, связанная с этим ящиком", могут быть полезные данные

По-правильному, для общих ящиков в Exchange создается почтовый ящик типа Shared Mailbox, у него по умолчанию отключен пользователь в AD, и в делегировании отдельно назначаются права на доступ (Full Mailbox Access) и на отправку (Send As). Обычный пользовательский почтовый ящик (ваш случай) можно преобразовать в Shared Mailbox и отключить соответствующую учетку в AD

Comments

[shupike]

Да, это именно shared-ящик изначально, но для него была активирована соответствующая учетка в AD, чтобы иметь возможность зайти в этот ящик через OWA, не прибегая к делегированию. Посмотрю тогда по событию 4625.

[shupike]

Странно, но таких событий нет вообще. То есть какой-то другой тип события искать?

[Роман Безруков]

shupike, возможно, аудит таких событий не включен. По-хорошему, должны фиксироваться события 4624 (Audit Success) и 4625 (Audit Failure)

[shupike]

Параллельно выяснил, что проблема исходила от одной из рабочих станций - там у сотрудника 6 ящиков подключено в Outlook, в том числе рассматриваемый. Удалил из почтового профиля этот ящик - проблема пока не наблюдается. Получается так, что Outlook будто бы периодически "путает" учетки и подсовывает авторизацию от другого ящика (это заметно по тому, что логин запрашивается чужой и приходится нажимать "другая учетная запись" и дальше имя ящика и пароль. Пока что понаблюдаю - если дело в Outlook, проще будет ящик делегировать данному сотруднику, обойдя авторизацию.

[shupike]

>вы добавили в один профиль Outlook два ящика с разными учетными данными? так не надо >делать - либо два профиля, либо выдача прав на нужный ящик
Цитирую ваш ответ из сообщения в почте - здесь его почему-то нет; да, пришлось настроить в свое время несколько ящиков в одном профиле - это было сделано из-за того, что объем "родного ящика" уже приближался к 30 Гб, а общий занимал почти 25 Гб. И по достижении объема OST-файла 50 Гб аутлук начинал нестабильно работать, если общий ящик делегировать.

[Роман Безруков]

shupike, да, ситуация понятна - поэтому большие ящики надо либо разносить по отдельным профилям Outlook, чтобы не упереться в дефолтное ограничение 50ГБ, либо ходить в них через OWA (с делегированием или напрямую).
Дефолтное ограничение профиля Outlook в 50ГБ можно изменить через реестр, но при экспорте в PST придется разбивать на части по 50ГБ