locked
Kennwort Aendern ueber OWA-Form-Based RRS feed

  • Frage

  • Hallo,

    ich habe gerade das Problem, dass sich Benutzer zwar über OWA einloggen können, aber Sie können Ihre Kennwörter nicht immer ändern.

    Das normale Ändern des Passworts klappt über die Form-Based-Authentication.

    Was nicht klappt ist das Ändern des Kennworts, wenn der User Account ein bald ablaufendes Kennwort hat, oder "user must change password at next logon" aktiv ist.

     

    zur Umbebung

    - 2mal TMG, SP1, Update 1, Rollup 3, kein domänenmitglied, computerzertifikate, Verwaltung über EMS

    - LDAPs wird nach intern für die Authentifizierung verwendet

    - TMG greift auf die internen DNS zu

    - am TMG wird Form-Based-Authentication verwendet, intern zum Exchange dann die Standard-Auth

    - Exchange 2010 SP1

     

    --

    Gruß

    slaYer977

     

     

     

     

    Mittwoch, 18. Mai 2011 13:57

Antworten

Alle Antworten

  • Hi,

    was bekommst du denn für eine Fehlermeldung?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Mittwoch, 18. Mai 2011 13:59
  • Hi,

    AFAIK musst Du das am Exchange erst aktivieren:
    http://anewmessagehasarrived.blogspot.com/2010/08/power-to-people-exchange-2010-sp-1.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 18. Mai 2011 14:29
  • Hallo,

    ... "user must change password at next logon" aktiv ist.

    Das ist ja auch verständlich: Die erste Anmeldung erfolgt auf dem TMG, die Anmeldung am Exchange-Server ist schon die zweite Anmeldung. Wenn Du ein TMG im Einsatz hast, dann darfst Du die Option "Benutzer muss nach der ersten Anmeldung Passwort wechseln" nicht aktivieren.  Oder sehe ich da was falsch? Mir erschien das bis jetzt recht nachvollziehbar zu sein.

    Samstag, 21. Mai 2011 11:29
  • Hallo,

    vielen Dank für die Informationen und die Links.

    Werde ich bald testen.

     

    --

    Gruß

     -slaYer977-

    Montag, 23. Mai 2011 09:10
  • Hi Slayer,

    hat sich schon was ergeben? Sonst schau auch mal hier:
    http://support.microsoft.com/kb/957859/en-us?sd=rss&spid=14873


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Marc.Grote Freitag, 10. Juni 2011 20:42
    Donnerstag, 2. Juni 2011 12:14
  • Moin,

     

    also ich habe heute noch mal die ganze Konfig geprüft.

    Basierend auf den Anleitungen habe ich geprüft ob alle Einstellungen korrekt sind.

    - Echange 2010 SP1 als CAS

    - Registry auf CAS & iisreset /noforce

    - CAS ist auf Basic eingestellt

    - TMG nutz formularbasierte Auth.

    - LDAPs wird verwendet

    - Im TMG aktiviert, dass User ihr Kennwort ändern dürfen, und dass diese Benachrichtigt werden bei auslaufenden Kennwörtern

    - SSL-Zertifikate geprüft (Serverzertifikate, Root-Zertifikat)

    - LDP.exe Tests durchgeführt

    - im Listener wird global katalog nicht verwendet

    - Domäne ist angegeben

    - Der SSL-Listener Account für die LDAP-Verbindung ist sogar ein Domänenaccount (temporär)

    - Anmeldeausdrücke *@contoso.com & contoso\* sind eingerichtet

    - ...

     

    UND es funktioniert trotzdem nicht.

     

    - User kann sich an OWA anmelden und über OWA sein Kennwort ändern

    - User kann beim TMG Formular das Häkchen bei "will kennwort ändern" setzten und dann anschließend sein Kennwort ändern

     

    Was nicht geht ist:

    - Wird im AD für den User der Hacken gesetzt, "User muss bei nächster Anmeldung Kennwort ändern", dann klappt die Anmeldung am TMG nicht mehr.

    - Sprich, versucht man sich dann über den TMG bei OWA einzuloggen kommt diese Meldung: "Die Anmeldung bei Forefront TMG war nicht möglich. Überprüfen Sie, ob der Domänenname, der Benutzername und das Kennwort richtig sind, und versuchen Sie es erneut."

    - Als Workaround kann man aber vor der Anmeldung auf dem TMG-Formular den Haken "Ich möchte mein kennwort nach der Anmeldung ändern" setzten und dann das Kennwort ändern.

     

    Meine Frage ist nun, ob das ggf. an LDAP liegt.

    Kann es sein, dass die TMG-LDAP-Abfrage gegen das AD nicht mitbekommt, dass das "change password Flag" gesetzt ist.

    Und der TMG somit nur stumpf versucht den User zu Authentifizieren und ihm nicht automatisch die Möglichkeit gibt sein Kennwort zu ändern?

    ich wette mit einem TMG, der Domänenmitglied ist, hat man dieses Problem nicht. Kann es jetzt nur nicht nachstellen.

     

    --

    Gruß

     -slaYer977-

     

     

     

    Freitag, 3. Juni 2011 12:16
  • Moin,

     

    das Skript könnte natürlich die Lösung sein.

    Ich muss mal schauen, wann ich dazu komme es umzusetzen.

    Werde hier dann berichten.

    Vielen Dank für diesen Link.

     

    --

    Gruß

     -slaYer977-

    Freitag, 3. Juni 2011 12:20
  • Moin,

     

    noch eine kurze Frage:

    Muss das Skript auf beiden TMGs in der DMZ oder nur auf dem EMS ausgeführt werden?

     

    --

    Gruß

     -slaYer977-

    Freitag, 3. Juni 2011 12:24
  • Hi,

    nur auf dem EMS, da es die zentrale Konfiguration aendert


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 3. Juni 2011 12:50
  • Moin moin,

     

    also ich hab jetzt einfach mal das Script auf meiner Testumgebung ausgeführt.

     

    Auf dem EMS funktioniert das Script nicht, da bekomme ich:

    ===

    PS C:\> Cscript hotfixTMG.vbs /webListener:owa /Value:true
    Microsoft (R) Windows Script Host, Version 5.8
    Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.

    C:\hotfixTMG.vbs(28, 1) FPC.Root.1: Das System kann die angegebene Datei nicht finden.

    ===

     

    Führe ich es auf einem der TMGs aus läuft das Skript durch:

    ===

    PS C:\> Cscript hotfixTMG.vbs /webListener:owa /Value:true
    Microsoft (R) Windows Script Host, Version 5.8
    Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.

    Cookie auth VPS settings not defined, hotfix 957859 disabled
    EnableLDAPPasswordExpiration set to Wahr

    ===

     

    Ob es das Problem löst, kann ich leider nicht sagen, da ich in meiner Testumgebung nur die TMGs + EMS haben. Kein AD und kein Exchange.

    Allerdings bin ich jetzt etwas verwirrt.

    - Warum geht das Skript nicht auf dem EMS?

    - Soll es ggf. doch auf den TMGs und nicht auf dem EMS ausgeführt werden?

    (Deine Arguementation oben pro EMS finde ich eigentlich auch logisch. )

     

    Ggf. kann ich ende der Woche das Skript auf einer richtigen Testumgebung inkl. Exchange usw. testen.

     

    --

    Gruß

     -slaYer977-

     

     

     

    Mittwoch, 8. Juni 2011 19:01
  • Hi,

    es war von mir nur eine (logische) Vermutung, es auf dem EMS auszufuehren. Dokumentiert scheint das ja nicht wirklich zu sein. Also wuerde ich es mal auf den TMG Array Membern ausfuehren, auch wenn das mir weiterhin unlogisch erscheint, da die Array Member ja nur die Konfig vom EMS erhalten


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 8. Juni 2011 19:46
  • Moin moin,

     

    ich habe das Skript heute auf einem Produktivsystem ausgeführt.

    Man muss es in der tat auf den TMGs im Array ausführen und nicht auf dem EMS.

    Damit war auch sofort das Problem mit dem Kennwortändern behoben.

     

    Was mich heute nur etwas gewundert hat war, dass ich mich zunächst mit einem tmg-service account lokal auf dem TMG per RDP angemeldet habe um das Skript auszuführe. Der ServiceAccount wird auch für die ganze Arraykommunikation und für den KOnfigurationsspeicher verwendet.

    Damit konnte ich das Skript nicht ausführen. Es kam die Fehlermeldung, dass diese Skript nur ausgeführt werden kann, wenn eine Verbindung zum KOnfigurationsspeicher besteht. Hab dann lokal auf dem TMG die TMG Verwaltung gestartet und mich mit dem Konfigurationsspeicher auf dem EMS verbunden. Trotzdem konnte ich das Skript nicht erfolgreich ausführen.

    Meldet man sich aber als der lokale Administrator an dem System an, (der TMG ServiceAccount ist zwar auch lokaler Admin...) dann funktioniert das Skript. Merkwürdig....

     

    --

    Gruß

     -slaYer977-

    Freitag, 10. Juni 2011 19:13
  • Hi,

    was hast Du denn fuer einen TMG Service Account eingerichtet?
    Du haettest das Skript eigentlich mit jedem Account ausfuehren koennen, welcher volle Berechtigung hat, also Vordefiniert\Administratoren und der Account\DomaenenAdmin, welcher den TMG installiert hat.
    Dann schreibt das Script also direkt in den EMS und kann aber nur von einem TMG Knoten ausgefuehrt werden. Gut zu wissen.
    Schoen das es jetzt funzt mit dem genannten Link


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 10. Juni 2011 19:26