Skip to main content

Exchange Server 2010 OWA – Die Sache mit den abgelaufenen Kennwörtern

Outlook Web App, die Webseite des Exchange Servers, die eigentlich genauso funktioniert wie Outlook, ist eine feine Sache. Einmal richtig eingerichtet, kann man dort ja eigentlich vollwertig arbeiten. Und ich habe von Firmen gehört, die ihre Mitarbeiter gar nicht mehr mit einem Outlook ausstatten, sondern einfach nur OWA laufen lassen.

Kann man machen. Aber was ist, wenn das Passwort des Benutzers eigentlich abgelaufen ist, aber keine Aufforderung zur Eingabe eines neuen Passworts folgt? Das kann an so einigem liegen. Das werde ich mal kurz zeigen.

Meist ist es ja so, dass im Firmenumfeld nach einer vorgegebenen Anzahl Tagen das Anmeldepasswort neu vergeben werden muss. Gewöhnlich erfährt man von der Aufforderung, wenn man sich zu Dienstbeginn an seinem Arbeitsplatz anmeldet. Aber infolge von vielen verteilten Arbeitsplätzen ist der Zugriff von außen auf das Postfach auch mittlerweile völlig normal geworden. Und von außen erfährt man ja nichts davon, dass man am Rechner ein neues Passwort vergeben muss. Da hat man OWA, und OWA weist den Benutzer auch darauf hin und bringt eine Aufforderung wie:

Ihr Passwort ist abgelaufen.

Wenn aber diese Meldung nicht kommt und man demzufolge gar nicht auf die Idee kommt, ein neues Passwort zu vergeben, liegt das entweder an einer Fehlkonfiguration oder an etwas viel einfacherem. Folgendes kann man einfach mal überprüfen, wenn man selbst im angemeldeten Zustand das Passwort über die Optionen nicht ändern kann:

Get-OwaVirtualDirectory |fl -Property Ch*

Dieser Befehl prüft für das virtuelle Verzeichnis von OWA, was für jede Eigenschaft, die mit „Ch“ beginnt, eingestellt ist. Im Idealfall erhalten Sie eine solche Ausgabe:

ChangePasswordEnabled : True

Steht dort „False“, sollten Sie reagieren und folgenden Befehl einsetzen:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -ChangePasswordEnabled $true

Danach sollte der jeweilige Benutzer im OWA sein Passwort ändern können. Notfalls starten Sie einfach mal den Dienst „Microsoft Exchange Systemaufsicht“ neu.

Aber was ist, wenn dann zwar die Kennwort-Änderung möglich ist, wenn man sich anmelden konnte, aber weiterhin die automatische Aufforderung bei einem abgelaufenen Kennwort nicht erscheint? Dann sollten sie einmal folgenden Registry-Zweig auf Ihren/m Client Access Server überprüfen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchange OWA

Dort gibt es unter Umständen den Eintrag „ChangeExpiredPasswordEnabled“. Der sollte auf „1“ stehen. Wenn der nicht vorhanden ist, legen Sie ihn einfach als neuen DWORD-Wert an. Kopieren Sie aber nicht einfach so von irgendeiner Seite den Namen, denn es könnte ein Schreibfehler oder ein ungewolltes Leerzeichen mit enthalten sein. Und wenn dem so ist, können Sie machen, was Sie wollen, die Aufforderung zum Ändern des Passworts wird nicht erscheinen.

Starten Sie dann einfach mal den oder die Client Access Server Ihrer Exchange-Installation neu. Es ist nicht wirklich notwendig, aber ich halte da viel davon, wenn man in der Registry herumgebaut hat. Es ist sehr wahrscheinlich, dass durch das Neueintragen des Wertes die Aufforderung wieder erscheint. So ist es eben auch auf ServerFault beschrieben. Und es ist nahezu egal, auf welchem Update-Stand Ihr Exchange ist.

Dieses unschöne Verhalten ist nur auf Schreibfehler und dergleichen zurückzuführen. Man muss nur darauf kommen.

Verteilen Sie diese Erkenntnis doch einfach wie 0 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.