1、虚拟机配置:dc01.jzlld.org(10.0.0.1/8),exchange01.jzlld.org(10.0.0.2/8),xp01.jzlld.org(10.0.0.3/8)。dc01、exchange01操作系统均为2003SP1,xp01操作系统为XPSP2。
2、角色配置:dc01提供域控制器及企业级别CA服务,exchange01邮件服务器,xp01为用户OWA修改密码的测试计算机。
二、操作步骤:
1、建立jzlld.org域及邮件服务器环境:
在dc01上创建新域jzlld.org并将exchange01、xp01加入到域,在exchange01上安装exchange2003(操作步骤省略)。在dc01上创建一个测试帐户test,其密码为P@ssw0rd。注意一定要清除掉该用户属性中的“用户不能更改密码”复选框。该用户为测试帐户。
将dc01配置为企业级别根CA,不需要在安装CA之前安装www服务,因为建立的是企业级别的CA,申请证书的也都是企业中的安全主体。如果需要在安装CA之后安装www服务,可以使用certutil.exe /vroot密令来重新建立Web发布及共享文件夹。次处操作步骤省略。
3、在exchange01上配置iisadmpwd虚拟目录:
打开IIS管理控制台,右击“默认站点”-“新建”-“虚拟目录”-在目录别名中输入“iisadmpwd”-然后在目录路径中输入“c:\windows\system32\inetsrv\iisadmpwd”,设置“读取”及“运行脚本”权限。创建完成之后在该虚拟目录的属性“虚拟目录”中的“应用程序池”处修应用程序池为“ExchangeApplicationPool”。
右击iisadmpwd“属性”-“文档”中将默认的文档修改为aexp2b.asp。注意:如果是仅仅利用OWA的形式修改密码,此处的操作可以省略。
5、 为exchange01上的默认站点申请SSL通讯使用的证书:
在IIS控制台中,右击“默认站点”-在属性中的“目录安全性”中,选择“服务器证书”-“新建立一个证书”-然后在“延迟或立即请求”中选择“立即将证书请求发送到联机证书办法机构”。其他设置遵循默认设置即可。没必要启用“默认网站”或其他虚拟目录的SSL功能,除非希望当用户访问的时候必须要求SSL通讯。
6、在exchange01上修改注册表显示“更改密码”按扭:
修改注册表位置为:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb下找到DisablePassword,将其值设置为0,即为启用“更改密码”按扭。该值为1为删除掉“更改密码”按扭(默认设置)。
7、有的时候需要修改IIS Metabase元数据中的PasswordChangeFlags值,该值为0:要求通过 SSL 密码更改,该值为1:允许通过非安全端口密码更改,该值为2:禁用密码更改,该值为4:禁用密码过期通知。默认为该值为0。如果需要修改可以使用以下命令:
将jzlld.org域中,默认域GPO中的“计算机配置”-“Windows设置”-“安全设置”“帐户策略”-“密码策略”中的“密码最短使用期限”设置为0天。该值默认为1,意味着密码变化24小时之后才可以更改新的密码,修改为0天,意味着可以立刻更改密码,否则可能在修改密码的时候出现“密码太短,或不满足密码唯一性限制”。另外也可以将“强制密码历史”设置为0,即不保留密码历史。为了域的安全性考虑小帅只做这两处的修改就可以了,没有修改密码复杂度要求。
这一点小帅曾经在2004年的日志中《应用在OU上的GPO帐户策略》文章中提及到这个问题,请参考该链接:http://desperado.blogdriver.com/desperado/122626.html
9、测试利用OWA形式修改Test@jzlld.org帐户的密码为P@ssw0rd1
1、certutil.exe命令行参:
http://support.microsoft.com/default.aspx?scid=kb;en-us;185195
2、FIX:当您使用 IIS 6.0 中的密码改变页时,遇到不同的问题:
http://support.microsoft.com/?scid=kb;zh-tw;833734&spid=2097
3、实现与 OutlookWebAccess 更改密码功能
http://support.microsoft.com/kb/297121/