Сколько времени требуется, чтобы правило транспорта Exchange перестало применяться после его удаления?
Вчера моя компания столкнулась с новым трояном, который использует старый социальный метод "он пришел от кого-то, кому я доверяю", чтобы приостановить подозрения пользователя (и рациональность), и он был открыт и запущен.
В ходе поиска, хранения и устранения этой вещи я использовал правила транспорта Exchange Online (Office365), чтобы заблокировать всю исходящую электронную почту от зараженных пользователей (и отправить мне заблокированное сообщение). Убедившись, что ошибка устранена, я снял флажок с "Транспортные правила", но обнаружил, что пользователи по-прежнему не могут отправлять сообщения. Затем я удалил правила транспорта и проверил с одним пользователем, и некоторые прошли, в то время как некоторые были заблокированы.
Я использовал Powershell для входа в систему, и Get-TransportRule не показывает правила, которые все еще (иногда, случайно) блокируют этих пользователей через полчаса.
Сколько времени это займет? Как долго, пока я не начну процесс оформления заявки? Или я что-то пропустил?
2 ответа
Изменения в правилах перевозки вступают в силу примерно через 15 минут после моего опыта.
В Azure AD процесс Forward Sync используется для принудительного обновления объектов во всей инфраструктуре. Я не знаю, являются ли Правила транспорта объектами, которые используют этот механизм, или это отдельный процесс Exchange.
В O365 это будет зависеть от размера вашей организации и ее распространения в центрах обработки данных Microsoft. У меня более 10000 пользователей в O365 Shared, так что все займет некоторое время.
В частности, статьи Technet для Exchange Online и Exchange 2013 отличаются. Справка Exchange 2013 объясняет, что время репликации для правил транспорта зависит от репликации Active Directory. Я могу только надеяться / предполагать, что Exchange Online использует решение Azure AD, но в справке Exchange Online об этом ничего не говорится.
Я бы запустил быструю трассировку (так же, как O365 позволит вам выполнить детальную трассировку), чтобы убедиться, что это транспортное правило, вызывающее проблему. По большей части я нахожу, что они довольно быстро выходят из игры. Я думаю, что самое длинное, что я ждал, чтобы увидеть одну работу, было 10 минут. Я не уверен, какова официальная линия. Я бы определенно открыл билет - им все равно понадобится пара часов, чтобы вернуться к вам.
Если у вас возникли исходящие проблемы - возможно, Microsoft обнаружила это и заблокировала для вас некоторых пользователей. Если это так - вы должны открыть билет, чтобы разблокировать их.