locked
TMG und Exchange 2003 - Konfiguration der Funktion "Allow Users to change their pw" RRS feed

  • Frage

  • Hallo zusammen,

    ich habe die Funktionalität "Allow Users to change their pw" im Listener für OWA (Exchange 2003) unter TMG (Standard Version, aktuelle Patches) aktiviert und die Konfiguration der "Authentication Server Settings" wie in http://technet.microsoft.com/en-us/library/cc441542.aspx beschrieben durchgeführt. Das klappt aber nicht. Es kommt immer die Meldung, dass das alte PW nicht stimmt oder das neue den Richtlinien nicht entspricht. Das ist aber Quatsch.

    Die Funktionalität ist ja komplett losgelöst vom Exchange Server dahinter, oder?! Dass das also 'nur' Exchange 2003 ist, kann nicht das Problem sein.

    Ich kann auch nicht erkennen, dass beim Aufruf der Seite ein Verbindungsversuch via LDAP/SLDAP mit einem DC versucht wird...

    Hat noch jemand Ideen?

    Danke für Input

    Gernot

    Donnerstag, 13. Januar 2011 09:10

Alle Antworten

  • Hi,

    dieses Feature ist recht aufwaendig zu troubleshooten. Starte mal mit:
    http://www.msisafaq.de/Anleitungen/2006/Firewallrichtlinien/LDAPPassword.htm
    http://technet.microsoft.com/en-us/library/cc514301.aspx
    http://blogs.technet.com/b/yuridiogenes/archive/2009/06/08/another-fun-with-change-password-feature-through-isa-server-2006.aspx
    http://blogs.technet.com/b/isablog/archive/2009/04/28/unable-to-change-password-through-isa-server-2006.aspx
    Kandidaten aus meiner Sicht:
    1) LDAP Auth Probleme oder LDPAPS Fehler
    2) Bei alten Exchange Servern das IISADMPWD


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 13. Januar 2011 09:41
  • moin gernot,

    damit der pw-change überhaupt klappen kann brauchst du eine hausinterne ca - ist die vorhanden?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 10:51
  • Hi Marc,

    na das wäre ja ein Skandal. Für so eine lumpige Funktion ne CA aufzusetzen!

    Ist denn klar, das TMG den Exchange server dazu braucht? Könnte er doch auch ganz alleine.....oder?

    Frank

    Donnerstag, 13. Januar 2011 11:46
  • Hi Frank / Gernot,

    das habe ich nicht gesagt, dass stammt von Jens.Mander :-)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 13. Januar 2011 11:53
  • ...sei geggrüßt wer immer Du auch bist!

    Nen Tipp wär auch gut....;-)

    Frank

     

    Donnerstag, 13. Januar 2011 11:59
  • also ich bin ich. is doch klar oder?

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 12:03
  • Diese virtuelle Welt....

    Hast Du nun was fürs reale .....?

     

    Donnerstag, 13. Januar 2011 12:07
  • axo nen tipp: vlt. mal mit selfsigned certifiactes ausprobieren. der tipp kommt übringens von jens baier!

    ;-)))))


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 12:08
  • Hi,

    hast Du nicht schon dutzende Tipps aus den ganzen Links erhalten? Damit klappt das alles nicht? Bisher hatte ich damit noch keine Probleme!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 13. Januar 2011 12:08
  • hi marc,

    yo klappt bei mir - danke für die linx!

    :-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 12:11
  • Die Droge will ich auch haben.....;-))))))))))))

    Braucht TMG den Exchange server dazu?

    F

     

    Donnerstag, 13. Januar 2011 12:14
  • der pw-change hat imho nix mit dem exchange zu tun. ich lasse mich aber gern lügen strafen, habe das feature bisher immer nur in kombi mit owa eingesetzt.
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 12:20
  • he is back....;-)

    Danke für reale Tipps. Denke ich auch so...

    Wie würdest Du dies am besten mitloggen?

    ClientIP von DC? Oder feiner? Oder...

    F

    Donnerstag, 13. Januar 2011 12:23
  • Hi @all,

    PW Change ueber Web ist eine Funktion des IISADMWD in Windows generell und wird natuerlich am haeufigsten in Exchange Umgebungen verwendet, wenn OWA eingesetzt wird. Bis W2K3 war es ein Feature des IISADMPWD (IIS), ab 2008 nicht mehr:
    http://support.microsoft.com/kb/297121


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 13. Januar 2011 12:29
  • schön und bei 2008 R2?

    F

    Donnerstag, 13. Januar 2011 12:35
  • Hi,

    sorry, aber mit einer Suchmaschine wuerdest Du das selbst finden oder?
    http://www.google.de/#hl=de&q=iisadmpwd+windows+server+2008+r2&aq=f&aqi=&aql=&oq=&gs_rfai=&fp=835219b6894870ee
    Beispiel:
    http://blogs.msdn.com/b/asiatech/archive/2009/03/17/how-to-manage-my-windows-user-password-through-iis-web-portal.aspx
    Also nicht mehr suppported, aber in Kombination mit Exchange und ISA/TMG weiterhin nutzbar.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 13. Januar 2011 12:45
  • Hi Marc,

    sorry...meine Fehlleistung...

    Ich will es ja ohne Exchange und IIS realisieren. Nur TMG mit OWA Dialog

    Im Log sehe ich zwischen TMG und dem DC auch LAPDS anfragen....doch Zertifikat..
    Wie googlen?....;-)

    Frank

    Donnerstag, 13. Januar 2011 13:27
  • Hi Frank,

    kein Problem. Ist ja keine Fehlleistung :-)

    OK; das aendert die Sachlage. kein Exchange, kein IIS wo IISADMPWD noch dabei ist. Rein ueber die FBA vom TMG willst Du die Kennwortaenderungsfunktion nutzen. Gute Frage. Habe ich noch nie probiert.

    Du brauchst zwingend LDAPS fuer den sicheren Kanal zwischen DC und TMG. Also wenn Du keine CA hast, musst Du es mit Self Signed certs probieren:
    http://support.microsoft.com/kb/935834
    http://support.microsoft.com/kb/321051
    Das self signed cert muss auf den DCs und auf dem TMG in den Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computer kopiert werden

    Die Links die ich als erstes gepostet habe, geben noch diverse Infos, was man alles beachten muss. Ich denke Du wirst das IISADMPWD auf Windows 2008 aktivieren muessen wie in den Links gepostet, wenn Du das ohne Exchange machen willst. Also eine Webserververoeffentlichung ala OWA nur mit dem Ziel der Webserver der nen IIS und das IISADMPWD hat

    Ich meinte natuerlich Bingen (habe mal gehoert das Bing die Abkuerzung ist fuer Besser Ich Nehm Google) statt Googeln. Aber eine Suchmaschine sollte ja jetzt fuer Dein Problem egal sein :-)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 13. Januar 2011 13:45
  • Hi,

    eh voll real...danke.

    Okay klar der OWA Login soll mail und die Funktion anbieten. Der Exchange server bleibt. Später soll dann auch Exchnage 2010 kommen. Also Denke: Unabhängig von Exchange bauen. Negativvvvvv

    Also dann mit MSX2003. Baue also self signed certs und baue die auf dem TMG und MSX2003 (Ist auch DC) ein.
    configurire den exchange server IIS ( Auf Win2003) laut:http://blogs.msdn.com/b/asiatech/archive/2009/03/17/how-to-manage-my-windows-user-password-through-iis-web-portal.aspx

    Dann auf dem TMG ein LAPD Server Set bauen.

    Fehlt was?

    Frank

    Donnerstag, 13. Januar 2011 14:27
  • bin konfus - dachte es ginge um den pw-change auf dem tmg-listener?!

    falls ja, dann brauchst du kein ldap-server-set.

    falls ja, dann brauchst du kein iisadmpwd auf dem exchanger reinhacken.

    falls nein, s.o.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 14:56
  • Sorry...;-)

    Ja OWA Login mit TMG OWA-Listener (Dort checkbox pwc aktiviert).

    Also kein LDAP Set und kein IISDMPWD...

    Was brauche ich dann?

    Der TMG macht LADPS auf port 636.....sehe ich im log...

    Bin jetzt auch konfus...

    Donnerstag, 13. Januar 2011 15:04
  • dann musst du die kommunikation zwischen tmg und dc "absichern". sprich: ca oder selfsigned zwischen tmg und dc. dann sollte es gehen!
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 13. Januar 2011 15:06
  • Hast Du ein how to für die certs? Wie Auf dem TMG erzeugen?

    Hab schon gebingt...;-)

     

    Donnerstag, 13. Januar 2011 15:41
  • Hi Marc,

    habe das self signed CA Zertifikat auf dem TMG und den DCs eingebaut. Und jeweils ein self signed Server Zertifikat (Mit priv. Schlüssel!!) auf den DCs eingebaut. Mit ldp.exe kann ich mich von der TMG auf die DCs verbinden ...auf Port 636.

    Jedoch klappt die Passwortänderung über das OWA login nicht. Hast Du noch eine Idee, wo ich etwas kontrollieren kann?

    Gruß

    Frank

    Mittwoch, 19. Januar 2011 15:27
  • und auch alle host-fremden self-signed jeweils auf den gegenüber-hosts mit in die trusted-root-stores eingepflegt? siehe kommentar von marc weiter oben.
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 20. Januar 2011 07:14
  • Hi Marc,

    Also ich soll die Serverzertifikate ohne privaten Schlüssel (.cer datei) auch in dén jeweiligen Trusted store importieren, d. h. TMG Server cert in jeweiligen DC und DC Server certs in die TMG.

    Habe ich das richtig verstanden?

    Und dies obwohl ich mit ldp eine LADPS connection bekomme? Wozu dient diese Maßnahme?

    Hier mal der ldp log:....ist das in ordnung?

    ld = ldap_sslinit("xxxx", 636, 1);

    Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);

    Error 0 = ldap_connect(hLdap, NULL);

    Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv);

    Host supports SSL, SSL cipher strength = 128 bits

    Established connection to xxxxxxx.

    Retrieving base DSA information...

    Getting 1 entries:

    Dn: (RootDSE)

    configurationNamingContext: CN=Configuration,DC=ti-s,DC=local;

    currentTime: 20/01/2011 08:52:10 W. Europe Standard Time;

    defaultNamingContext: DC=ti-s,DC=local;

     

    Donnerstag, 20. Januar 2011 07:55
  • keine ahnung was marc machen würde - aber ich würds probieren!
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 20. Januar 2011 08:19
  • okay mache ich, Jürgen.

    Aber das Verstehen der Maßnahme wäre auch nett...;-)

     

     

    Donnerstag, 20. Januar 2011 08:24
  • Guten Morgen Sabine,

    danke für die Links.

    Habe meine .cer dateien jeweils in die Gegenspieler eingebaut. Leider kein Erfolg.

    Mit ldp und ASDIEdit laufen die SSL Verbindungen zu den DCs.

    Hoffe nun auf ein Wunder...oder gibt es noch etwas , was ich tun kann....;-)

    Frank

    Freitag, 21. Januar 2011 09:02
  • tja karl,

    da fällt mir zumindest nichts mehr zu ein. sry...


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 21. Januar 2011 10:07
  • Hallo zusammen,

    also ich behaupte inzwischen: Mit TMG Enterprise Version geht's ohne irgendwelche Zertifikate oder Konfiguration von Sicherheitseinstellungen. Unter TMG Standard Version geht's einfach nicht.

    Ich habe jetzt unabhängig voneinander 2 TMG Enterprise Server konfiguriert. Beide funktionieren sofort! Die 2 Standard Server funktionieren nicht!
    Alles immer komplett unterschiedliche Umgebungen...

    Ich werde das mal durch einen MS Call klären lassen.

    Grüße

    Gernot

    Dienstag, 1. Februar 2011 10:49
  • Hi Gernot,

    gibt es ein Update? Was hat der MS Call ergeben?

     


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 8. Februar 2011 10:36