Benutzer können ihr abgelaufenes Kennwort nicht über Outlook Web Access ändern

wenn OWA über einen Citrix NetScaler mit aktiviertem SSL Offloading zur Verfügung gestellt ist.

Damit SSL Offloading bei der Bereitstellung von Outlook Web Access Verwendung finden kann ist dieses zuerst einmal auf den entsprechenden Servern zu aktivieren (How to Configure SSL Offloading in Exchange 2010).

Wenn ein Anwender das Kennwort ändern muss und sich am Outlook Web Access anmeldet sollte er eine Aufforderung erhalten sein Kennwort zu ändern. Die URL verweist üblicherweise nach

https://FQDN/ECP

Bei Problemen mit dieser Funktion ist als erstes zu prüfen, auf welche URL die Weiterleitung geschieht. In dem hier zu beschreibenden Fehlerfall geschieht die Weiterleitung auf

http://FQDN/ECP

Scheinbar funktioniert das SSL Offloading mit der ECP Site nicht korrekt. Da OWA von extern selbstverständlich nur über https zur Verfügung steht kann dieser Aufruf nur mit einer Fehlermeldung enden. Der betroffene Anwender kann sich nun nicht mehr über OWA anmelden bis er an anderer Stelle sein Kennwort geändert hat.

Für dieses Problem kann es mehrere Lösungen geben. Eine recht einfache, welche noch einen Mehrwert für die Benutzer bietet kann eine einfache http zu https Umleitung sein.

Zuerst benötigen wir eine Responder Action

Target: “https://”+HTTP.REQ.HOSTNAME+HTTP.REQ.URL

Um diese anzuwenden benötigen geht es ohne Responder Policy nicht

Action: HTTPtoHTTPS_responder
Expression: HTTP.REQ.HEADER(“Host”).EQ(“owa.FQDN”)&&HTTP.REQ.URL.EQ(“/ECP”)

Die Expression könnte auch ein einfaches true sein, je nachdem wie restriktiv an die Umleitung heran gegangen wird.

Anschließend ist ein Service oder eine Service Group zu erstellen, die möglichst niemals down ist. Der einfachste Weg ist einen dummy zu erstellen, in welchem das Health Monitoring deaktiviert ist. Das Protokoll sollte erneut http sein.

Nun einen Load Balancing Server für http anlegen, welcher dieselbe IP verwendet wie der für OWA über https. Sollte es sich um keine öffentliche IP, sondern eine NAT Weiterleitung handeln ist die entsprechende Portweiterleitung einzurichten.

Die erstellte Responder Policy ist nun noch an den http OWA Load Balancing Server anzuhängen (Tab Policies > Responder).

Muss nun ein Anwender sein Kennwort ändern und erhält als Weiterleitung vom OWA Service fälschlicherweise eine http URL, kommt diese Anfrage am http OWA Virtual Server an. Der Virtual Server wertet seine angehängten Policies und somit auch die gebundene Responder Policy an. Diese trifft nun zu und Antwortet mit einer Umleitung auf dieselbe URL, nur mit https.

Die Bindung des Rewrites und auch die Expression der Policy ist selbstverständlich an die eigenen Bedürfnisse anpassbar. Fasst man die Expression etwas weiter, muss der Anwender gar nicht mehr darauf achten https anstatt http zu verwenden, sondern wird im zweifelsfall korrekt weitergeleitet.

Action: HTTPtoHTTPS_responder
Expression: HTTP.REQ.HEADER(“Host”).EQ(“owa.FQDN”)

Alternativ kann die Expression auch einfach true sein, wenn alle Anfragen auf den http dummy entsprechend nach https umzuleiten sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.