Kennwort mit OWA ändern
OWA 2007 benötigt diesen Schritt nicht mehr. Wenn aber ein Exchange 2007 CAS auf Exchange 2003 Backend Server zugreifen muss, dann müssen Sie IISADMPWD nachträglich einrichten.
OWA 2007/2010 bringen schon eine eigene Funktion mit, um ein Kennwort zu ändern. Dies funktioniert aber nur, wenn Sie sich
noch an OWA anmelden können. Wenn ihr Kennwort schon abgelaufen ist oder
Sie das Kennwort bei der Erstanmeldung ändern müssen, dann benötigen Sie
weiterhin IISADMPWD. Siehe auch
What you need to know about the OWA Change Password feature of Exchange
Server 2007
http://blogs.technet.com/b/exchange/archive/2008/12/09/450238.aspx
Password Reset Feature in Exchange 2007 and 2010
http://www.ucblogs.net/blogs/exchange/archive/2010/11/08/Password-Reset-Feature-in-Exchange-2007-and-2010.aspx
Mit Exchange 2010 SP1 und Exchange 2007 SP3 kann ein
Admin es erlauben auch ein abgelaufenes Kennwort zu ändern.
So you want to change your expired passwords in OWA...
http://blogs.technet.com/b/exchange/archive/2010/10/06/456520.aspx
Hinweis
Wenn Sie OWA per
TMG veröffentlichen, können Sie auf dem WebListener beim Einsatz der formularbasierten
Anmeldung schon auf dem TMG das Kennwort ändern lassen.
Achtung: ASP ist bei neueren Windows Versionen per Default nicht mehr aktiviert und muss erst über die WebErweiterungen aktiviert werden. Auch auf 64bit sind einige Dinge zu beachten. Am Ende des Artikels finden Sie entsprechende Links zu weiterführenden Seiten
Es gibt Hinweise, dass auf dem Server, über dessen Webseite ein Anwender sein Kennwort ändert, auch ein Profil angelegt wird. Mit Exchange 2007 konnte ich dies aber nicht nachstellen.
Wenn ihre Anwender selbst nicht mit Outlook arbeiten, sondern "nur" Outlook Web Access nutzen, weil Sie z.B. keinen PC in der Domäne verwenden, dann ist es oft auch der Fall, dass die Anwender kein Kennwort ändern können. Dies geht normalerweise über die Anmeldung an Windows, über RAS oder auch über Outlook. Um das Kennwort über einen Webbrowser zu ändern, sind weitere Schritte erforderlich.
Der Outlook Web Access von Exchange 5.5 bringt bis SP2 eine eigene Webseite zum ändern von Kennworten mit. Ab Exchange 5.5 SP3 und mit Exchange 2000 und höher ist diese Funktion nicht mehr Teil von Exchange.
Statt dessen nutzt der Outlook Web Access eine Funktion des Betriebssystems Windows Server, um das Kennwort zu ändern. Jede Windows Server Installation mit einem IIS enthält auch ein Skript, um das Kennwort zu ändern. Allerdings ist diese Funktion nicht standardmäßig eingerichtet, und muss von ihnen bei Bedarf aktiviert werden. Eine Verknüpfung in OWA verweist genau auf diese Funktion. Sie sollten daher diese Funktion auch aktivieren oder den Link in OWA deaktivieren.
IISADMPWD vorbereiten
Das Skript nutzt bis zum Windows 2000 SP3 die HTR-Erweiterung, welche unsicher sein kann. Sie sollten ältere Server daher Updaten oder zumindest die ASP-Variante installieren
Voraussetzung für die Einrichtung von IISADMPWD ist natürlich, dass auf dem Windows Server ein IIS installiert ist. Weiterhin sollten Sie die ASP-Version der Skripte installieren. Dies ist erforderlich, wenn ihr Windows Server Windows 2000 SP3 oder älter ist.
- ASP Version für Windows 2000 SP2 oder SP 3
HTR-2-ASP Windows 2000 Package
http://Microsoft.com/downloads/details.aspx?FamilyId=67D0D0F8-2978-4E7A-B079-346314BD2D5E&displaylang=en - ASP-Version für Windows NT 4.0 SP6a
HTR-2-ASP Windows NT 4.0 Package
http://Microsoft.com/downloads/details.aspx?FamilyId=81CD9ED2-D1FF-425B-837D-A502EDE956FE&displaylang=en
Folgende Regel gilt
Betriebssystem | IIS-Version | Skript | Hilfs-DLL | Aktion |
---|---|---|---|---|
Windows 2003 |
IIS 6.0 |
asp |
asp.dll |
In Ordnung |
Windows XP |
IIS 5.1 |
asp |
asp.dll |
In Ordnung |
Windows 2000 SP4 |
IIS 5.0 |
htr |
asp.dll |
Bitte erste aktualisieren |
Windows 2000 SP3 und älter |
IIS 5.0 |
htr |
ism.dll |
Bitte erste aktualisieren |
Windows NT4 |
IIS 4.0 |
htr |
ism.dll |
Bitte erste aktualisieren |
Alternativ können Sie einfach die Dateien im Windows Verzeichnis kontrollieren:
Wenn Sie hier HTR-Dateien finden, sollten Sie das Update vornehmen, da die HTR-Dateien von einer DLL interpretiert werden, für die es keine SicherheitsUpdates mehr gibt.
IISADMPWD freigeben
Nun geht es an das Einrichten eines virtuellen Verzeichnisses auf ihrem Webserver. Hierzu gibt es zwei Wege:
- Windows Explorer.
- Verwaltungsprogramme für den IIS
Wenn Sie über den Windows Explorer einfach auf das Verzeichnis "IISADMPWD" mit der Rechten Maustaste klicken und unter "Freigabe" die Karteikarte "Webfreigabe" auswählen, können Sie das Verzeichnis in der gewünschten Webseite frei geben:
Alternativ können Sie über den IIS-Dienstmanager natürlich auch ein neues virtuelles Verzeichnis einrichten. Über das Kontextmenü der gewünschten Webseite addieren Sie ein neues virtuelles Verzeichnis:
Der nun folgende Assistent erwartet die Eingabe von drei Parametern
- Name des virtuellen Verzeichnis
Nutzen Sie einfach den Namen "IISADMPWD", da dieser gängig ist und auch aus OWA so verknüpft wird. - Pfad zum Verzeichnis
- Ausführberechtigungen
Es ist vollkommen ausreichend, "Lesen" und "Skript ausführen" zu geben. Da Ausführen von Programmen oder gar das Schreiben oder Durchsuchen ist nicht erforderlich.
Damit wäre die Funktion schon gegeben, wenn nicht Microsoft eine kleine Hürde eingebaut hätte
ASP erlauben
Ab Windows 2003 sind nicht mehr alle Weberweiterungen per Default aktivier. So kann es durchaus sein, dass Sie den Einsatz von ASP erst erlauben müssen. Bei Windows 2008 müssen Sie die Funktion sogar erst installieren.
SSL konfigurieren
Wenn Sie schon über einen Webbrowser ihr Kennwort ändern wollen, und dazu sowohl das alte als auch das neue Kennwort übermitteln, dann sollte dies natürlich "sicher" erfolgen. Sicher bedeutet in diesem Sinne die Verschlüsselung und Identifizierung des Webservers mittels SSL.
Es ist möglich über eine Änderung eines Eintrags in der IIS Metabase diesen Zwang zu deaktivieren. Dies halt ich nicht für sinnvoll und beschreibe daher nicht. Sie finden aber die Information in dem KB Artikel "327134 How to use the Change Password feature in Outlook Web Access"
Auf der Seite IIS SSL einrichten finden Sie die Anleitung, wie sie ein Zertifikat auf dem IIS installieren. Notfalls können Sie auch mit dem Programm SelfSSL ein Eigenzertifikat installieren. Sie sollten dabei aber immer beachten, dass letztlich das Zertifikat nicht nur die Verschlüsselung sicherstellt, sondern dass sie auf "ihrem" Webserver gelandet sind und niemand ihre Anfrage aus dem Internet analog zu "Phishing" mit Bandseiten auf eigene Server umleitet und damit ihr Kennwort erhält.
Nach der Installation des Zertifikats und der Aktivierung von Port 443 sollten Sie über die Einstellungen der virtuellen Webseite auch die Verwendung von SSL erzwingen.
Damit ist sichergestellt, dass kein unverschlüsselter Zugriff erfolgen kann und die Anwender eine entsprechende Fehlermeldung erhalten. Diese Meldung können Sie über die Karteikarte "Benutzerdefinierte Fehler" gleich so anpassen, dass ein unverschlüsselter Zugriff auf die HTTPS-Verbindung umgelenkt wird:
Leider kann man im Windows 2003 IIS hier keine "echte URL" in der Art "https://servername/pfad/datei.htm" angeben. Sie müssen also entweder eine URL auf eine Datei angeben, die ohne SSL erreichbar ist oder eine Datei zu einer lokalen Pfad angeben. Die Datei sollte dann den "Redirect" enthalten. Das kann eine ASP-Seite mit dem folgenden Inhalt sein.
<% If Request.ServerVariables("HTTPS") = "off" Then Response.Redirect "https://" & Request.ServerVariables("HTTP_HOST") & "/Exchange" End If %>
Erst beim Windows 2008 IIS kann man direkt in der GUI einen Redirect einstellen:
- 268822 XWEB: OWA How to Redirect http://<server_name>/exchange Users to use https:// Prefix
- 839357 How to redirect an HTTP connection to HTTPS für Outlook Web Access clients
IISLOCKDown, URLScan und ISA-Server konfigurieren
Jeder gute Webserver wurde natürlich mit allerlei Sperren und Filtern versehen, damit Angreifer kein allzu leichtes Spiel haben. Dies zeigen sich zum einen durch den Einsatz von IISLOCKDown auf dem Webserver selbst als auch durch die Trennung von Webserver und Internet durch eine Firewall wie den ISA-Server.
So werden die meisten Exchange OWA-Systeme vermutlich über einen ISA-Server im Internet veröffentlicht, welcher nur die erlaubten URLs passieren lässt. Entsprechend muss natürlich hier dann auch die URL "/IISADMPWD" aus dem Internet per SSL erreichbar gemacht werden. Wenn Sie eine andere Firewall oder Reverse Proxy einsetzen, fragen Sie bitten den Administrator oder ihren Lieferanten. Denke Sie daran, dass der Webserver eine SSL-Verbindung erwartet. Wenn Sie den SSL-Tunnel aus dem Internet beim beim ISA-Server beenden, dann wird der IIS die Funktion verweigern.
IISLOCKDown können ebenfalls die Funktion beeinträchtigen, wenn beim der Installation z.B.: die Unterstützung für ASP deaktiviert oder in URLScan, die Erweiterung ".asp" blockiert wurde. Die Erweiterung ".htr" wird durch URLScan meist sowieso gesperrt, da diese Skripte ein Sicherheitsrisiko darstellen.
OWA einstellen
Normalerweise ist der Link "Kennwort ändern" in OWA schon von Hause aus vorhanden. Sie finden ihn unter den Optionen in OWA.
Sie können aber über den Registrierungseditor eben diesen Button auf dem Server natürlich auch ausschalten. Vielleicht haben Sie dies in der Vergangenheit gemacht, damit kein Anwender diese Funktion aufruft und durch die Fehlermeldung irritiert wird. Dann müssen Sie diese Einstellung wieder rückgängig machen. Der Eintrag befindet sich auf dem Server unter:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\OWA\]
"DisablePassword"=dword:00000000
Sie können diese Zeilen als "REG-Datei" speichern und z.B. über Gruppenrichtlinien importieren. Die manuelle Änderung m Regedit ist ebenfalls möglich. Der Wert "0" aktiviert den Button zum Kennwort ändern.
Auf der Zielgeraden
Wenn Sie nun in OWA den Link zur KennwortÄnderung aufrufen, dann sollten Sie folgendes Fenster erhalten.
Achten Sie auf jeden Fall auf das "Schloss" in der Fußzeile, um die Verschlüsselung zu prüfen. Nun ist diese Seite natürlich nichts "Besonderes". Da es aber eine ASP-Seite ist, können Sie z.B. mit Frontpage aber notfalls auch mit einem Texteditor diese Seite natürlich entsprechend der Firmenidentität farblich gestalten oder direkt in ihr Portal einbinden.
Im den Verzeichnis gibt es natürlich noch einige anderen ASP-Seiten, die sie alternativ aufrufen können. Die tun alle mehr oder minder das gleiche mit unterschiedlichen Formularlayouts. Sie können diese Seiten auch außerhalb von OWA nutzen.
Change Passwort "selbst" gemacht
Seit der Verfügbarkeit von .NET ? und erst recht mit ASP.NET gibt es natürlich noch viele andere Optionen eine KennwortÄnderung selbst zu schreiben. In der MSDN ist sogar ein kompletter Beispielcode aufgeführt .
- ChangePassword Class
http://msdn2.microsoft.com/en-us/library/system.web.ui.webcontrols.changepassword.aspx
Wenn Sie sich dann noch z.B.: Visual Studio Express für Web Developer installieren, dann ist der Weg vom Anfang bis zur eigenen "Kennwortseite" nicht mehr weit.
Kennwort mit ISA 2006 ändern
Der ISA 2006 erlaubt auch eine formularbasierte "Voranmeldung" und seit 2006 kann ISA auch selbst eine "Kennwort ändern"-Funktion anbieten. Diese nutzt natürlich auch genau den Pfad "/IISADMPWD", aber wird von ISA selbst bereit gestellt. Sie erkennen diese Funktion an der "schöneren" Maske hierzu. Damit dies Funktioniert, muss der Listener aber zwingend die Authentifizierung per Formular durchführen und gegen das Active Directory oder LDAP authentifizieren.
Zusätzlich funktioniert das ändern nur, wenn der LDAP-Server mit einem Zertifikat ausgestattet ist, bei dem sowohl der FQDN, das Datum als auch der Aussteller für den ISA in Ordnung aussehen.
Wenn Sie den ISA nur zur Veröffentlichung ohne Authentifizierung nutzen, d.h. die Anmeldung wird erst durch Exchange durchgeführt, dann können Sie diese Optionen nicht auswählen und die oben gemachen Angaben treffen wieder zu, bzw. sie müssen im ISA dann natürlich auf dem Listener den Pfad "/iisadmpwd/*" veröffentlichen.
- Configuring and Troubleshooting the Password Change
Feature in ISA Server 2006
http://technet.microsoft.com/en-us/library/cc514301.aspx
Windows 2008, x64 und mehr
Mit jeder Windows Version wird Windows "sicherer" weil Dinge eben nicht mehr per Default aktiv sind, sondern erst aktiviert werden müssen oder sogar erst nachinstalliert werden müssen. Damit fallen dann natürlich auch einige Dinge heraus, weil sie sich als nicht "sicher genug" erwiesen habe oder nicht mehr ins Produkt gehören. Gerade IISADMPWD ist ja eine Komponente, die bei Windows 2003 auch nur noch "dabei" war aber nicht per Default im IIS eingebunden wurde. Auf Windows 2008 und erst recht mit 64bit müssen Sie noch weitere Schritte durchführen, die ich hier aber noch nicht weiter beschrieben habe. Folgende Seiten helfen aber.
- IISADMPWD auf IIS7 unter Windows 2008 einrichten
http://telnetport25.wordpress.com/2008/05/08/windows-2008-iis-7-the-exchange-2007-cas-and-iisadmpwd/ - What you need to know about the OWA Change Password feature of Exchange Server
2007
http://blogs.technet.com/b/exchange/archive/2008/12/09/450238.aspx - IISADMPWD on Server 2008 x64 and IIS7 - Change User domain password
via a webpage
http://www.comm-fu.com/iisadmpwd-on-server-2008-x64-and-iis7-change - Windows 2008, IIS 7, the Exchange 2007 CAS and IISADMPWD…
http://www.telnetport25.com/brswe-arts/8-cas-2007/192-windows-2008-iis-7-the-exchange-2007-cas-and-iisadmpwd.html - how-to-manage-my-windows-User-password-through-iis-web-portal
http://blogs.msdn.com/b/asiatech/archive/2009/03/17/how-to-manage-my-windows-User-password-through-iis-web-portal.aspx
Weitere Links
-
Schritt für Schrittanleitung
Nicki Wruck ist so freundlich, eine PDF-Version seiner eigenen Anleitung zum Download bereit zu stellen.
Benutzerkennwort mit OWA ändern.pdf - IIS SSL einrichten
- IISLOCKDown
-
Configuring the Change Password Feature in Outlook Web Access
Exchange 2007: http://technet.microsoft.com/en-us/library/bb684904(EXCHG.80).aspx
Exchange 2010: http://technet.microsoft.com/en-us/library/bb684904.aspx -
Exchange 2016: Passwortänderung via OWA funktioniert nicht
https://www.frankysweb.de/exchange-2016-passwortaenderung-via-owa-funktioniert-nicht/ -
What you need to know about the OWA Change Password feature of Exchange
Server 2007
http://blogs.technet.com/b/exchange/archive/2008/12/09/450238.aspx -
So you want to change your expired passwords in OWA...
http://blogs.technet.com/b/exchange/archive/2010/10/06/456520.aspx - What you need to know about the OWA Change Password feature of Exchange
Server 2007
http://blogs.technet.com/b/exchange/archive/2008/12/09/450238.aspx - Password Reset Feature in Exchange 2007 and 2010
http://www.ucblogs.net/blogs/exchange/archive/2010/11/08/Password-Reset-Feature-in-Exchange-2007-and-2010.aspx - Q184058 unable to Change Password using the IIS 4.0 Change Password Feature
- Q315579 "HTTP Error 403" Error Message When Password Changed with OWA or Iisadmpwd
- Q186863 XWEB: unable to Change Password using OWA
- Q267596 XWEB: How to Change OWA Passwords Through IIS
- Q269082 IISADMPWD Virtual Directory Not Created During IIS 5.0 Installation
- 331834 Change password functionality replaced with Active Server Pages
- 831047 FIX: You experience various problems when you use the Password Change pages in IIS 5.0
- 321582 The Outlook Web Access Change Password Option Does Not Function
- 297121 Implementing the Change Password feature with Outlook Web Access
- 315579 'HTTP Error 403' Error Message When Password Changed with OWA or Iisadmpwd
- 267568 XWEB: Old Password Still Works After You Change It Through Outlook Web Access
- 309508 XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment
- 331834 IIS: Change password functionality replaced with Active Server Pages
- 957859 The "change password" feature does not work as expected after you install ISA Server 2006 Service Pack 1
- Service Desk Password Reset Tool - Version 2.0
http://www.telnetport25.com/windows-applications/270-service-desk-password-reset-tool-version-20.html - IISADMPWD: IIS 7 Authentication with “User must change password at
next logon” Flag Set in Active Directory
http://webactivedirectory.com/active-directory/iisadmpwd-iis-7-authentication-with-User-must-change-password-at-next-logon-flag-set-in-active-directory/