Kennwort mit OWA ändern

OWA 2007 benötigt diesen Schritt nicht mehr. Wenn aber ein Exchange 2007 CAS auf Exchange 2003 Backend Server zugreifen muss, dann müssen Sie IISADMPWD nachträglich einrichten.

OWA 2007/2010 bringen schon eine eigene Funktion mit, um ein Kennwort zu ändern. Dies funktioniert aber nur, wenn Sie sich noch an OWA anmelden können. Wenn ihr Kennwort schon abgelaufen ist oder Sie das Kennwort bei der Erstanmeldung ändern müssen, dann benötigen Sie weiterhin IISADMPWD. Siehe auch

What you need to know about the OWA Change Password feature of Exchange Server 2007
http://blogs.technet.com/b/exchange/archive/2008/12/09/450238.aspx
Password Reset Feature in Exchange 2007 and 2010
http://www.ucblogs.net/blogs/exchange/archive/2010/11/08/Password-Reset-Feature-in-Exchange-2007-and-2010.aspx

Mit Exchange 2010 SP1 und Exchange 2007 SP3 kann ein Admin es erlauben auch ein abgelaufenes Kennwort zu ändern.
So you want to change your expired passwords in OWA...
http://blogs.technet.com/b/exchange/archive/2010/10/06/456520.aspx

Hinweis
Wenn Sie OWA per TMG veröffentlichen, können Sie auf dem WebListener beim Einsatz der formularbasierten Anmeldung schon auf dem TMG das Kennwort ändern lassen.

Achtung: ASP ist bei neueren Windows Versionen per Default nicht mehr aktiviert und muss erst über die WebErweiterungen aktiviert werden. Auch auf 64bit sind einige Dinge zu beachten. Am Ende des Artikels finden Sie entsprechende Links zu weiterführenden Seiten

Es gibt Hinweise, dass auf dem Server, über dessen Webseite ein Anwender sein Kennwort ändert, auch ein Profil angelegt wird. Mit Exchange 2007 konnte ich dies aber nicht nachstellen.

Wenn ihre Anwender selbst nicht mit Outlook arbeiten, sondern "nur" Outlook Web Access nutzen, weil Sie z.B. keinen PC in der Domäne verwenden, dann ist es oft auch der Fall, dass die Anwender kein Kennwort ändern können. Dies geht normalerweise über die Anmeldung an Windows, über RAS oder auch über Outlook. Um das Kennwort über einen Webbrowser zu ändern, sind weitere Schritte erforderlich.

Der Outlook Web Access von Exchange 5.5 bringt bis SP2 eine eigene Webseite zum ändern von Kennworten mit. Ab Exchange 5.5 SP3 und mit Exchange 2000 und höher ist diese Funktion nicht mehr Teil von Exchange.

Statt dessen nutzt der Outlook Web Access eine Funktion des Betriebssystems Windows Server, um das Kennwort zu ändern. Jede Windows Server Installation mit einem IIS enthält auch ein Skript, um das Kennwort zu ändern. Allerdings ist diese Funktion nicht standardmäßig eingerichtet, und muss von ihnen bei Bedarf aktiviert werden. Eine Verknüpfung in OWA verweist genau auf diese Funktion. Sie sollten daher diese Funktion auch aktivieren oder den Link in OWA deaktivieren.

IISADMPWD vorbereiten

Das Skript nutzt bis zum Windows 2000 SP3 die HTR-Erweiterung, welche unsicher sein kann. Sie sollten ältere Server daher Updaten oder zumindest die ASP-Variante installieren

Voraussetzung für die Einrichtung von IISADMPWD ist natürlich, dass auf dem Windows Server ein IIS installiert ist. Weiterhin sollten Sie die ASP-Version der Skripte installieren. Dies ist erforderlich, wenn ihr Windows Server Windows 2000 SP3 oder älter ist.

Folgende Regel gilt

Betriebssystem IIS-Version Skript Hilfs-DLL Aktion

Windows 2003

IIS 6.0

asp

asp.dll

In Ordnung

Windows XP

IIS 5.1

asp

asp.dll

In Ordnung

Windows 2000 SP4

IIS 5.0

htr

asp.dll

Bitte erste aktualisieren

Windows 2000 SP3 und älter

IIS 5.0

htr

ism.dll

Bitte erste aktualisieren

Windows NT4

IIS 4.0

htr

ism.dll

Bitte erste aktualisieren

Alternativ können Sie einfach die Dateien im Windows Verzeichnis kontrollieren:

Wenn Sie hier HTR-Dateien finden, sollten Sie das Update vornehmen, da die HTR-Dateien von einer DLL interpretiert werden, für die es keine SicherheitsUpdates mehr gibt.

IISADMPWD freigeben

Nun geht es an das Einrichten eines virtuellen Verzeichnisses auf ihrem Webserver. Hierzu gibt es zwei Wege:

  • Windows Explorer.
  • Verwaltungsprogramme für den IIS

Wenn Sie über den Windows Explorer einfach auf das Verzeichnis "IISADMPWD" mit der Rechten Maustaste klicken und unter "Freigabe" die Karteikarte "Webfreigabe" auswählen, können Sie das Verzeichnis in der gewünschten Webseite frei geben:

Alternativ können Sie über den IIS-Dienstmanager natürlich auch ein neues virtuelles Verzeichnis einrichten. Über das Kontextmenü der gewünschten Webseite addieren Sie ein neues virtuelles Verzeichnis:

Der nun folgende Assistent erwartet die Eingabe von drei Parametern

  • Name des virtuellen Verzeichnis

    Nutzen Sie einfach den Namen "IISADMPWD", da dieser gängig ist und auch aus OWA so verknüpft wird.
  • Pfad zum Verzeichnis
  • Ausführberechtigungen

    Es ist vollkommen ausreichend, "Lesen" und "Skript ausführen" zu geben. Da Ausführen von Programmen oder gar das Schreiben oder Durchsuchen ist nicht erforderlich.

Damit wäre die Funktion schon gegeben, wenn nicht Microsoft eine kleine Hürde eingebaut hätte

ASP erlauben

Ab Windows 2003 sind nicht mehr alle Weberweiterungen per Default aktivier. So kann es durchaus sein, dass Sie den Einsatz von ASP erst erlauben müssen. Bei Windows 2008 müssen Sie die Funktion sogar erst installieren.

SSL konfigurieren

Wenn Sie schon über einen Webbrowser ihr Kennwort ändern wollen, und dazu sowohl das alte als auch das neue Kennwort übermitteln, dann sollte dies natürlich "sicher" erfolgen. Sicher bedeutet in diesem Sinne die Verschlüsselung und Identifizierung des Webservers mittels SSL.

Es ist möglich über eine Änderung eines Eintrags in der IIS Metabase diesen Zwang zu deaktivieren. Dies halt ich nicht für sinnvoll und beschreibe daher nicht. Sie finden aber die Information in dem KB Artikel "327134 How to use the Change Password feature in Outlook Web Access"

Auf der Seite IIS SSL einrichten finden Sie die Anleitung, wie sie ein Zertifikat auf dem IIS installieren. Notfalls können Sie auch mit dem Programm SelfSSL ein Eigenzertifikat installieren. Sie sollten dabei aber immer beachten, dass letztlich das Zertifikat nicht nur die Verschlüsselung sicherstellt, sondern dass sie auf "ihrem" Webserver gelandet sind und niemand ihre Anfrage aus dem Internet analog zu "Phishing" mit Bandseiten auf eigene Server umleitet und damit ihr Kennwort erhält.

Nach der Installation des Zertifikats und der Aktivierung von Port 443 sollten Sie über die Einstellungen der virtuellen Webseite auch die Verwendung von SSL erzwingen.

Damit ist sichergestellt, dass kein unverschlüsselter Zugriff erfolgen kann und die Anwender eine entsprechende Fehlermeldung erhalten. Diese Meldung können Sie über die Karteikarte "Benutzerdefinierte Fehler" gleich so anpassen, dass ein unverschlüsselter Zugriff auf die HTTPS-Verbindung umgelenkt wird:

Leider kann man im Windows 2003 IIS hier keine "echte URL" in der Art "https://servername/pfad/datei.htm" angeben. Sie müssen also entweder eine URL auf eine Datei angeben, die ohne SSL erreichbar ist oder eine Datei zu einer lokalen Pfad angeben. Die Datei sollte dann den "Redirect" enthalten. Das kann eine ASP-Seite mit dem folgenden Inhalt sein.

<%
If Request.ServerVariables("HTTPS")  = "off" Then
   Response.Redirect "https://" & Request.ServerVariables("HTTP_HOST") & "/Exchange"
End If
%>

Erst beim Windows 2008 IIS kann man direkt in der GUI einen Redirect einstellen:

  • 268822 XWEB: OWA How to Redirect http://<server_name>/exchange users to use https:// Prefix
  • 839357 How to redirect an HTTP connection to HTTPS für Outlook Web Access clients

IISLOCKDown, URLScan und ISA-Server konfigurieren

Jeder gute Webserver wurde natürlich mit allerlei Sperren und Filtern versehen, damit Angreifer kein allzu leichtes Spiel haben. Dies zeigen sich zum einen durch den Einsatz von IISLockDown und URLScan auf dem Webserver selbst als auch durch die Trennung von Webserver und Internet durch eine Firewall wie den ISA-Server.

So werden die meisten Exchange OWA-Systeme vermutlich über einen ISA-Server im Internet veröffentlicht, welcher nur die erlaubten URLs passieren lässt. Entsprechend muss natürlich hier dann auch die URL "/IISADMPWD" aus dem Internet per SSL erreichbar gemacht werden. Wenn Sie eine andere Firewall oder Reverse Proxy einsetzen, fragen Sie bitten den Administrator oder ihren Lieferanten. Denke Sie daran, dass der Webserver eine SSL-Verbindung erwartet. Wenn Sie den SSL-Tunnel aus dem Internet beim beim ISA-Server beenden, dann wird der IIS die Funktion verweigern.

 IISLockDown und URLScan können ebenfalls die Funktion beeinträchtigen, wenn beim der Installation z.B.: die Unterstützung für ASP deaktiviert oder in URLScan, die Erweiterung ".asp" blockiert wurde. Die Erweiterung ".htr" wird durch URLScan meist sowieso gesperrt, da diese Skripte ein Sicherheitsrisiko darstellen.

OWA einstellen

Normalerweise ist der Link "Kennwort ändern" in OWA schon von Hause aus vorhanden. Sie finden ihn unter den Optionen in OWA.

Sie können aber über den Registrierungseditor eben diesen Button auf dem Server natürlich auch ausschalten. Vielleicht haben Sie dies in der Vergangenheit gemacht, damit kein Anwender diese Funktion aufruft und durch die Fehlermeldung irritiert wird. Dann müssen Sie diese Einstellung wieder rückgängig machen. Der Eintrag befindet sich auf dem Server unter:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\OWA\]
"DisablePassword"=dword:00000000

Sie können diese Zeilen als "REG-Datei" speichern und z.B. über Gruppenrichtlinien importieren. Die manuelle Änderung m Regedit ist ebenfalls möglich. Der Wert "0" aktiviert den Button zum Kennwort ändern.

Auf der Zielgeraden

Wenn Sie nun in OWA den Link zur KennwortÄnderung aufrufen, dann sollten Sie folgendes Fenster erhalten.

Achten Sie auf jeden Fall auf das "Schloss" in der Fußzeile, um die Verschlüsselung zu prüfen. Nun ist diese Seite natürlich nichts "Besonderes". Da es aber eine ASP-Seite ist, können Sie z.B. mit Frontpage aber notfalls auch mit einem Texteditor diese Seite natürlich entsprechend der Firmenidentität farblich gestalten oder direkt in ihr Portal einbinden.

Im den Verzeichnis gibt es natürlich noch einige anderen ASP-Seiten, die sie alternativ aufrufen können. Die tun alle mehr oder minder das gleiche mit unterschiedlichen Formularlayouts. Sie können diese Seiten auch außerhalb von OWA nutzen.

Change Passwort "selbst" gemacht

Seit der Verfügbarkeit von .NET ? und erst recht mit ASP.NET gibt es natürlich noch viele andere Optionen eine KennwortÄnderung selbst zu schreiben. In der MSDN ist sogar ein kompletter Beispielcode aufgeführt .

Wenn Sie sich dann noch z.B.: Visual Studio Express für Web Developer installieren, dann ist der Weg vom Anfang bis zur eigenen "Kennwortseite" nicht mehr weit.

Kennwort mit ISA 2006 ändern

Der ISA 2006 erlaubt auch eine formularbasierte "Voranmeldung" und seit 2006 kann ISA auch selbst eine "Kennwort ändern"-Funktion anbieten. Diese nutzt natürlich auch genau den Pfad "/IISADMPWD", aber wird von ISA selbst bereit gestellt. Sie erkennen diese Funktion an der "schöneren" Maske hierzu. Damit dies Funktioniert, muss der Listener aber zwingend die Authentifizierung per Formular durchführen und gegen das Active Directory oder LDAP authentifizieren.

Zusätzlich funktioniert das ändern nur, wenn der LDAP-Server mit einem Zertifikat ausgestattet ist, bei dem sowohl der FQDN, das Datum als auch der Aussteller für den ISA in Ordnung aussehen.

Wenn Sie den ISA nur zur Veröffentlichung ohne Authentifizierung nutzen, d.h. die Anmeldung wird erst durch Exchange durchgeführt, dann können Sie diese Optionen nicht auswählen und die oben gemachen Angaben treffen wieder zu, bzw. sie müssen im ISA dann natürlich auf dem Listener den Pfad "/iisadmpwd/*" veröffentlichen.

Windows 2008, x64 und mehr

Mit jeder Windows Version wird Windows "sicherer" weil Dinge eben nicht mehr per Default aktiv sind, sondern erst aktiviert werden müssen oder sogar erst nachinstalliert werden müssen. Damit fallen dann natürlich auch einige Dinge heraus, weil sie sich als nicht "sicher genug" erwiesen habe oder nicht mehr ins Produkt gehören. Gerade IISADMPWD ist ja eine Komponente, die bei Windows 2003 auch nur noch "dabei" war aber nicht per Default im IIS eingebunden wurde. Auf Windows 2008 und erst recht mit 64bit müssen Sie noch weitere Schritte durchführen, die ich hier aber noch nicht weiter beschrieben habe. Folgende Seiten helfen aber.

Weitere Links