Installation

Der folgende Inhalt ist für IT-Administratoren gedacht und führt Sie durch den Prozess der Installation von Specops Password Reset.

Hauptkomponenten

Alt-Text für dieses Bild

Specops Password Reset besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung. Die oben gezeigte Architekturübersicht zeigt die Kommunikation zwischen den Komponenten in einer typischen Installation. Beachten Sie, dass die Password Reset Server- und Password Reset Web-Komponenten normalerweise auf demselben Server innerhalb des Netzwerks installiert werden.

Server: Verwalten alle Operationen gegen Active Directory, wie das Ändern/Zurücksetzen von Passwörtern, und reagieren auf Anfragen von der Specops Password Web-Anwendung.
Verwaltungstools: Werden verwendet, um die zentralen Aspekte der Lösung zu konfigurieren und die Erstellung von Specops Password Reset-Einstellungen in Gruppenrichtlinienobjekten zu ermöglichen.
Web: Zeigt die Endbenutzeroberfläche des Produkts an und kommuniziert mit dem Specops Password Reset-Server, um Benutzereingaben zu überprüfen.
Specops Client (früher bekannt als Specops Password Client): Der Specops Client präsentiert einen Link zur Specops Password Reset-Webanwendung auf dem Windows-Anmeldebildschirm und zeigt Endbenutzern Benachrichtigungen über Registrierungsanforderungen an.

Anforderungen

Die Umgebung Ihrer Organisation muss die folgenden Systemanforderungen erfüllen:

Komponente	Anforderung
Server	Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher Windows Identity Foundation installiert
Verwaltungstools	Windows Server 2016/2019/2022 Active Directory und Computer-Snap-In Gruppenrichtlinien-Verwaltungskonsole (GPMC) .Net Framework 4.7.2 oder höher
Web	Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher IIS installiert Vertrauenswürdiges SSL-Zertifikat für alle Namen, unter denen die Webanwendung präsentiert wird
Specops Client	Windows 10 x64, Windows 11 x64 oder Windows Server 2016/2019/2022 Secure Access wird auf Domänencontrollern nicht unterstützt. .Net Framework 4.7.2 oder höher Für Passwortzurücksetzungen mit uReset 8, Secure Access und Specops Password Reset sollte das Specops Cefsharp Runtime MSI installiert werden. Specops Secure Access erfordert .Net 8 Desktop Runtime, die auf Client-Computern bereitgestellt wird.

Installation von Specops Password Reset

Während der Installation wird Specops Password Reset den Setup-Assistenten starten. Der Setup-Assistent hilft Ihnen bei der Installation der folgenden Komponenten für Specops Password Reset:

Server
Verwaltungstools
Web
Specops Client

Laden Sie den Setup-Assistenten herunter.
Speichern und führen Sie den Setup-Assistenten auf Ihrem Server aus.

Hinweis

Standardmäßig wird die Datei extrahiert nach C:\temp\SpecopsPasswordReset_Setup_[VersionNumber]
Doppelklicken Sie auf SpecopsPasswordReset.Setup.exe, um den Setup-Assistenten zu starten.
Um zu beginnen, klicken Sie auf Installation starten im Dialogfeld Specops Setup-Assistent und Akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.

Installation des Specops Password Reset Servers

Der Specops Password Reset Server führt Operationen gegen Active Directory aus und reagiert auf Anfragen von der Specops Password Web-Anwendung.

Wählen Sie im Setup-Assistenten Server aus.
Überprüfen Sie, ob Sie die Voraussetzungen erfüllt haben. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise Folgendes tun:
Überprüfen Sie, ob Sie ein gültiges Betriebssystem verwenden.
Windows Identity Foundation ist installiert.
Überprüfen Sie, ob das Konto, das zum Ausführen des Setup-Assistenten verwendet wird, lokale Administratorrechte hat.
Klicken Sie auf Benutzer auswählen.
Geben Sie den Benutzernamen und das Passwort des Benutzerkontos ein, unter dem der Dienst ausgeführt wird, und klicken Sie auf OK.

Hinweis

Alle vom Specops Password Reset Server-Komponente ausgeführten Operationen werden im Kontext des hier ausgewählten Dienstkontos ausgeführt.
Klicken Sie auf Auswählen, um die Verwaltungsebene zu identifizieren, auf der die Active Directory-Berechtigungen erstellt werden. Dies wird auch verwendet, um die Lizenznutzung zu verfolgen.
Klicken Sie auf Auswählen und dann auf Selbstsigniertes Zertifikat erstellen. Das selbstsignierte Zertifikat wird verwendet, um Anrufe an den Specops Password Reset-Dienst abzusichern.

Hinweis

Benennen Sie das selbstsignierte Zertifikat in der Microsoft Management Console mit einem benutzerfreundlichen Namen um, damit es während eines Upgrades leicht identifiziert werden kann: Zertifikate > Persönlich > Rechtsklick und Eigenschaften auswählen > das Benutzerfreundlicher Name-Feld ausfüllen und auf OK klicken.
Klicken Sie auf Konfigurieren, um die Administratorbenachrichtigungen zu konfigurieren, die verwendet werden, um E-Mails an den Administrator mit Benachrichtigungen bezüglich der Specops Password Reset-Lizenz zu senden.
Geben Sie im Feld E-Mail-Einstellungen den SMTP-Servernamen ein.
Geben Sie den SMTP-Benutzernamen und das SMTP-Passwort ein.

Hinweis

Wenn keine Anmeldeinformationen angegeben sind, authentifiziert sich der Server als das Dienstkonto, unter dem er ausgeführt wird.
Klicken Sie auf OK.
Klicken Sie auf Konfigurieren, um die Einstellungen für die mobile Verifikationsnachricht zu konfigurieren. Dies generiert einen SMS-Verifizierungscode, der verwendet wird, um Benutzer zu authentifizieren, die Passwortzurücksetzungen über den Helpdesk anfordern.
Geben Sie im Textfeld Von E-Mail die E-Mail-Adresse ein, die verwendet wird, um die Validierungsnachricht zu senden.
Konfigurieren Sie die Einstellungen An E-Mail, Betreff und Inhalt gemäß den Spezifikationen Ihres SMS-Anbieters.
Im Dropdown-Menü Platzhaltercode einfügen können Sie die Informationen auswählen, die für jeden Benutzer unterschiedlich sein werden.
Klicken Sie auf OK.
Klicken Sie auf Installieren.

Installation des Specops Password Reset Web

Die Specops Password Reset-Webkomponente präsentiert die Endbenutzeroberfläche des Produkts und kommuniziert mit dem Specops Password Reset-Server, um Benutzereingaben zu überprüfen. Während der Installation haben Sie die Möglichkeit, den Specops Password Reset-Webdienst (Mobile Access) einzuschließen. Die Mobile Access-Komponente wird verwendet, um die Verbindung der Specops Password Reset-Mobilgeräteanwendung mit dem Specops Password Reset-Server zu ermöglichen. Die Specops Password Web-Installation installiert auch das Specops Password Reset-Webanpassungstool, das zur Verwaltung von Sprachübersetzungen und grafischem Branding der Website verwendet werden kann.

Wählen Sie im Setup-Assistenten Web aus.
Überprüfen Sie, ob Sie die Voraussetzungen erfüllt haben. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise Folgendes tun:
Überprüfen Sie, ob Sie ein gültiges Betriebssystem verwenden.
Überprüfen Sie, ob das Konto, das zum Ausführen des Setup-Assistenten verwendet wird, lokale Administratorrechte hat.
Überprüfen Sie, ob IIS installiert ist.
Konfigurieren Sie IIS für Specops Password Reset.
Klicken Sie auf Auswählen, um auszuwählen, mit welchem Specops Password Reset-Serverdienst die Webkomponente verbunden werden soll.
Geben Sie den Namen des Servers ein und klicken Sie auf OK.
Klicken Sie auf Auswählen, um die Website zu identifizieren, auf der das Specops Password Reset Web installiert wird.
Hinweis
- Wenn auf Ihrem IIS mehr als eine Website läuft, können Sie auswählen, welche Sie für die Specops Password Reset-Webkomponente verwenden möchten.
- Wenn die Webkomponente auf einem Server im internen Netzwerk installiert ist und Sie Ihre internen Passwort-Clients auf den Webserver, den Sie installieren, umleiten möchten, sollte die Aktualisierung der Service Connect Point-Informationen während der Installation aktiviert bleiben.
Klicken Sie auf OK.
Klicken Sie auf Auswählen, um das Zertifikat auszuwählen, das Sie für die SSL-Verschlüsselung verwenden möchten, und klicken Sie auf OK.
Klicken Sie auf Installieren.

Hinweis

Der Specops Password Reset-Web-Setup-Assistent wird angezeigt. Der Assistent ermöglicht es Ihnen, die mobile Komponente zu installieren.
Klicken Sie im Specops Password Reset-Web-Setup-Assistenten auf Weiter.
Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Weiter.
Wählen Sie das Dropdown-Menü neben Password Reset Web Service (Mobile Access) und klicken Sie auf Wird auf lokaler Festplatte installiert.
Klicken Sie auf Weiter.
Klicken Sie auf Installieren.

Installation der Webkomponente in der DMZ

Wenn der Computer in einer Arbeitsgruppe ist, wird die Benutzeroberfläche im Setup-Assistenten als empfohlene Installationsmethode empfohlen:

Überprüfen Sie, ob .Net 3.5 SP1 auf dem DMZ-Server installiert ist.
Wählen Sie nicht Aktualisieren der Service Connection Point-Informationen während der Installation.

Hinweis

Diese Option wird nicht sichtbar sein, wenn der DMZ-Server nicht in die Domäne eingebunden ist.
Wenn das Zertifikat auf dem Server installiert ist, können Sie das Zertifikat im Setup-Assistenten auswählen/anzeigen.

Hinweis

Wenn Sie das Zertifikat nicht auswählen/anzeigen können, fahren Sie mit dem Setup-Assistenten fort und wählen Sie das SSL-Zertifikat im IIS-Manager/Standardwebsite/Bindings/https/Bearbeiten/ aus.
Die DMZ-Zone, die Ihre öffentlich zugänglichen DNS-Einträge hostet, muss mit einem Eintrag aktualisiert werden, der einen einfacheren Seitennamen für Endbenutzer bereitstellt, den sie sich merken können.
Überprüfen Sie, ob Port 4371 in Ihrer Firewall für den internen Specops Password Reset-Server geöffnet ist.

Wenn der Computer in der DMZ Mitglied einer separaten Active Directory-Domäne für die DMZ ist, wird empfohlen, das MSI über die Befehlszeile zu installieren:

Die folgenden Parameter werden im Befehlszeilenskript verwendet:

IISPARENTWEBSITE: Name der übergeordneten Website, z. B. „Standardwebsite“
REMOTINGSERVER: Name des SPR-Servers, der von der DMZ aus erreichbar sein muss
IISTHUMBPRINT: TLS-Zertifikat

MSIEXEC /i SpecopsPasswordResetWeb-x64.msi
  ALLUSERS=1 IISPARENTWEBSITE="Default Web Site"
  REMOTINGSERVER=spr.acme.org REMOTINGPORT=4371
  SERVERINDMZ=1 IISTHUMBPRINT="‎" IISAPPLICATIONNAME=SpecopsPassword
  IISAPPLICATIONPOOLNAME=SpecopsPassword IISHASSILVERLIGHTPAGES=false
  IISUSEWCF=false IISENABLESSL=true IISENABLEANONYMOUSAUTHENTICATION=true
  IISSECUREFOLDERS="Enrollment,Helpdesk"

Installation der Verwaltungstools

Die Installation der Verwaltungstools installiert das Specops Password Reset-Konfigurationstool und das GPMC-Snap-In. Sie können das Konfigurationstool verwenden, um Konfigurationen zu verwalten, die für Ihre gesamte Domäne gelten. Sie können das GPMC-Snap-In verwenden, um Specops Password Reset-Richtlinien in einem Gruppenrichtlinienobjekt zu konfigurieren. Das GPO kann dann auf Ihre gesamte Domäne oder einen Teil Ihrer Domäne angewendet werden.

Die Verwaltungstools sollten auf dem Computer installiert werden, von dem aus Sie das Produkt verwalten möchten.

Wählen Sie im Setup-Assistenten Verwaltungstools aus.
Klicken Sie auf Menüerweiterung hinzufügen, um die Specops-Anzeigespezifikatoren im Konfigurationsabschnitt Ihres Active Directory-Waldes zu registrieren.
Klicken Sie auf Installieren.

Installation des Specops Client

Der Specops Client wird mit einem MSI-basierten Installer installiert. Beachten Sie, dass das Upgrade des Specops Client den installierten Client überschreibt.

Wenn installiert, kann der Specops Client in „Programme hinzufügen/entfernen“ oder „Programme und Funktionen“ in der Windows-Systemsteuerung gefunden werden. Versionen und Veröffentlichungen können variieren.

Hinweis

Ältere Versionen des Specops Client können als „Specops uReset Client“ oder „Specops Password Client“ identifiziert werden.

Der Specops Client kann in den folgenden Specops Software-Produkten verwendet werden:

Specops Password Reset
Specops Password Policy
Specops uReset

Upgrade des Specops Client

Organisationen, die nur Specops Password Policy verwenden, müssen das Specops Client MSI bereitstellen. Das CefSharp Runtime MSI ist für dieses Szenario nicht erforderlich.

Organisationen, die Specops uReset oder Specops Password Reset verwenden, müssen zusätzlich zum Specops Client MSI das CefSharp Runtime MSI bereitstellen. Das CefSharp Runtime MSI wird vom gesicherten Browser benötigt, der zum Zurücksetzen von Passwörtern verwendet wird.

Da der Specops Client eine spezifische Version des CefSharp Runtime MSI verwendet, ist es wichtig, das neueste CefSharp Runtime MSI gleichzeitig oder vor der Bereitstellung des Specops Client MSI bereitzustellen.

Während das Specops Client MSI nur mit genau 1 Version installiert werden kann, können mehrere Versionen des CefSharp Runtime MSI gleichzeitig installiert werden. Der Zweck davon ist es, die Bereitstellung in einer größeren Organisation zu vereinfachen.

Der empfohlene Ablauf für das Upgrade des Specops Client ist:

Stellen Sie das neueste CefSharp Runtime MSI bereit, wenn es noch nicht bereitgestellt ist
Stellen Sie das neueste Specops Client MSI bereit
Entfernen Sie alle vorherigen Versionen des CefSharp Runtime MSI, falls erforderlich
Laden Sie die administrativen (ADMX) Vorlagen herunter und aktualisieren Sie sie, um die neueste Version zu haben. In den meisten Fällen sind keine Konfigurationsänderungen erforderlich, es sei denn, dies wird ausdrücklich in den Versionshinweisen angegeben. Siehe den Abschnitt unten zur Konfiguration des Specops Client.

Hinweis

Bei Verwendung des Specops Client in Verbindung mit einem Passwortzurücksetzungstool:

Die neueste CefSharp-Browser-Runtime-Version ist erforderlich, wenn Specops uReset/Specops Password Reset verwendet wird (Specops Password Policy-Kunden benötigen die CefSharp-Browser-Runtime nicht). Es wird empfohlen, die CefSharp-Browser-Runtime vor dem Specops Client selbst bereitzustellen.

Das Installations-/Upgrade-Verhalten für die CefSharp-Browser-Runtime wurde geändert. Die Installation einer neueren CefSharp-Runtime wird die ältere installierte Runtime nicht mehr ersetzen. Stattdessen können mehrere CefSharp-Browserversionen koexistieren. Die Absicht ist, eine Einführung in einer Organisation zu ermöglichen, bei der der neue CefSharp-Browser zuerst bereitgestellt wird. Sobald er bereitgestellt ist, kann der Specops Client aktualisiert werden. Dies erleichtert es, sicherzustellen, dass der Specops Client auf allen Computern während eines Upgrades funktioniert, unabhängig davon, ob die neueste CefSharp-Browser-Runtime bereits bereitgestellt wurde oder nicht.

Der Specops Client muss auf den Client-Computern der Organisation installiert werden, entweder durch manuelle Installation oder durch Bereitstellung mit einem Bereitstellungstool.

Herunterladen des Specops Client

Laden Sie das MSI direkt von der Download-Seite herunter. Benutzer, die Specops Password Policy installieren, können auch über den Abschnitt Client-Installationsdateien herunterladen des Password Policy-Installers auf die Download-Seite zugreifen.

Bereitstellung des Specops Client

Um den Specops Client für alle Benutzer bereitzustellen, verwenden Sie GPSI, Specops Deploy/App oder ein anderes Bereitstellungstool. Der Specops Client unterstützt die stille Installation bei der Bereitstellung mit einem Bereitstellungstool. Das Client MSI kann mit Standard-MSI-Schaltern (z. B. /qn) still bereitgestellt werden. Es gibt keine Specops-Befehlszeilenparameter für die MSI-Installation.

Manuelle Installation oder Upgrade des Specops Client

Öffnen Sie den Specops Client-Setup-Assistenten, den Sie gerade heruntergeladen haben (.msi-Datei)
Klicken Sie im Assistenten auf Weiter.
Akzeptieren Sie die Lizenzvereinbarung, indem Sie das Kontrollkästchen aktivieren, und klicken Sie auf Weiter.
Wählen Sie den Speicherort aus, an dem der Client installiert werden soll (Standardpfad ist C:\Program Files\Specopssoft\Specops Client\), und klicken Sie dann auf Weiter.
Klicken Sie auf Installieren.
Sobald die Installation abgeschlossen ist, klicken Sie auf Fertigstellen.

Konfiguration des Specops Client

Der Specops Client kann mit der administrativen Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden. Weitere Informationen zur Konfiguration finden Sie auf der Specops Client-Seite.

Nach der Installation Konfiguration

Sie müssen die folgenden Konfigurationseinstellungen abschließen, sobald Sie Specops Password Reset installiert haben.

Importieren Sie Ihren Lizenzschlüssel

Geben Sie Ihren Lizenzschlüssel im Password Reset-Konfigurationstool ein.

Öffnen Sie das Specops Password Reset-Konfigurationstool.
Wählen Sie im Navigationsbereich Lizenz aus.
Klicken Sie auf Lizenz importieren.
Navigieren Sie zum Speicherort der TXT-Datei und klicken Sie auf Öffnen.

Überprüfen Sie, ob Ihre Domäne für die Verwendung mit Specops Password Reset konfiguriert ist

Öffnen Sie das Specops Password Reset-Konfigurationstool.
Wählen Sie im Navigationsbereich Domänen aus.
Überprüfen Sie, ob Ihre Domäne unter Konfigurierte Domänen aufgeführt ist.

Aktivieren Sie die Authentifizierung für den Password Reset-Webserver

Fügen Sie Mitglieder zu den lokalen Sicherheitsgruppen von Specops Password Reset hinzu

Installieren Sie zusätzliche Webserver, die Sie für den externen Zugriff verwenden möchten

Siehe Installation der Webkomponente in der DMZ (falls zutreffend)

Wenn Sie die Authentifizierung mit Sicherheitsfragen verwenden, stellen Sie sicher, dass sich die Benutzer in den Systemen registrieren

Weitere Informationen zu den verschiedenen Registrierungsoptionen und bewährten Verfahren finden Sie in den Specops Password Reset Registrierungsoptionen und bewährten Verfahren.

Überprüfen Sie, ob der Specops Client auf Ihren Client-Computern installiert ist

Führen Sie die folgenden Schritte auf dem Client aus, um festzustellen, ob der Client erfolgreich installiert wurde.

Anzeigen installierter Programme aus der Systemsteuerung:
- Öffnen Sie Programme und Funktionen.
- Finden Sie in der Liste der installierten Programme Specops Client.
Hinweis

Sie können auch die Version des Clients anzeigen.
Anzeigen installierter Programme aus der Registrierung.
- Öffnen Sie den Registrierungseditor.
- Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client
Hinweis

Der obige Schlüssel wird nur existieren, nachdem der Client installiert wurde.

Überprüfen Sie die Sicherheitseinstellungen für Administratorkonten

Windows enthält viele integrierte Sicherheitsfunktionen, die entwickelt wurden, um die Sicherheit von Administratorkonten zu verbessern. Eine dieser Funktionen ist die adminSDHolder-Funktionalität, die automatisch die ACL auf Objekten neu konfiguriert, die Mitglieder von integrierten privilegierten Active Directory-Gruppen sind. Dieser Prozess läuft alle 60 Minuten auf dem PDC-Emulator und entfernt die geerbten Berechtigungen Ihres Specops Password Reset-Dienstkontos von den geschützten Benutzerobjekten. Wenn Sie möchten, dass Ihre Administratorkonten Specops Password Reset verwenden können, müssen Sie manuell Berechtigungen für das Dienstkonto zum AdminSDHolder-Container hinzufügen.

Melden Sie sich mit einem Konto mit Domänenadministratorrechten an und führen Sie den folgenden Befehl aus:

dsacls "CN=AdminSDHolder, CN=System, <Domain DN>" /G
  "<ServiceAccount>:CCDC;classStore;" "<ServiceAccount>:LC;;"
  "<ServiceAccount>:CA;Reset Password;" "<ServiceAccount>:RP;userAccountControl;"
  "<ServiceAccount>:RPWP;mobile;" "<ServiceAccount>:RPWP;pwdLastSet;"
  "<ServiceAccount>:RPWP;lockoutTime;"

Beispiel:dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G
          "EXAMPLEsprsvc:CCDC;classStore;" "EXAMPLEsprsvc:LC;;"
          "EXAMPLEsprsvc:CA;Reset Password;" "EXAMPLEsprsvc:RP;userAccountControl;"
          "EXAMPLEsprsvc:RPWP;mobile;" "EXAMPLEsprsvc:RPWP;pwdLastSet;"
          "EXAMPLEsprsvc:RPWP;lockoutTime;"

Ersetzen Sie <domainDN> und <serviceAccount> durch die Domänenkomponenten Ihrer Domäne und den Namen des SPR-Dienstkontos.

Hinweis

Die Erlaubnis, dass Specops Password Reset mit Konten mit administrativen Berechtigungen arbeitet, ist aus Sicherheitsgründen nicht best practice. Aktivieren Sie diese Einstellungen nur, wenn es die praktische Realität Ihrer Organisation erfordert.

Konfigurieren Sie den Zugriff auf Active Directory Feinabgestimmte Passwortrichtlinien

Wenn Specops Password Reset in einer Domäne installiert ist, in der feinkörnige Passwort-Richtlinien verwendet werden, muss dem Specops Password Reset Service-Konto die Berechtigung erteilt werden, die konfigurierten Passwort-Richtlinien zu lesen.

Melden Sie sich mit einem Konto mit Domänenadministrator-Berechtigungen an und führen Sie den folgenden Befehl aus:

dsacls “CN=Password Settings Container,CN=System,<domainDN>” /I:T /G
<serviceAccount>:GR;;

Beispiel: dsacls “CN=Password Settings Container,CN=System,DC=example,DC=com” /I:T /G EXAMPLEsprsvc:GR;;

Ersetzen Sie <domainDN> und <serviceAccount> durch die Domänenkomponenten Ihrer Domäne und den Namen des SPR-Servicekontos.

Konfigurieren Sie Ihre Umgebung für die Verwendung mit dem Mobile Access Web Service

Wenn Sie den Mobile Access Web Service als Teil der Specops Password Reset Web-Installation installiert haben, müssen Sie die folgenden Schritte ausführen, bevor der Dienst in Ihrer Organisation einsatzbereit ist.

Machen Sie den Mobile Access Web Service vom Internet aus erreichbar: Ihre Firewall muss die Kommunikation über TCP-Port 443 zulassen, damit mobile Geräte über HTTPS eine Verbindung zum Dienst herstellen können.

Dienstentdeckung aktivieren: Damit das Gerät den Mobile Access-Dienst finden kann, muss der Benutzer in der Anwendung seine E-Mail-Adresse eingeben. Der Domänenteil der E-Mail-Adresse wird verwendet, um eine DNS-Abfrage durchzuführen, um einen Dienstdatensatz für den Mobile Access Web Service in der E-Mail-Zone zu finden. Dies erfordert, dass jede DNS-Zone mit einem neuen Dienstdatensatz aktualisiert wird, der auf den Password Reset Mobile Access Service verweist.

Erstellen Sie den Specops Password SRV-Datensatz: Der Dienstdatensatz sollte in Ihrer mailfähigen externen DNS-Zone von Ihnen oder Ihrem ISP erstellt werden, je nachdem, wer die Zonendaten verwaltet.

Die folgenden Einstellungen sollten beim Erstellen des Dienstdatensatzes verwendet werden:

DNS-Datensatzteil	Wert	Erklärung
_service	_tcp	Der „_specopspassword“-Dienst wird über TCP zugegriffen.
Zonename	[zone]	Dieser Teil ist der Name Ihrer Internetzone. Der vollständige Name des Dienstdatensatzes für die Domäne „example.com“ wäre: _specopspassword._tcp.example.com.
TTL	[TTL]	Die Zeit (in Sekunden), die der Datensatz zwischengespeichert werden kann, bevor er als veraltet gilt. Jede Zone hat einen Standard-TTL-Wert, aber es ist auch möglich, separate TTLs für jeden Datensatz zu erstellen.
Klasse	IN	Das Standard-DNS-Klassenfeld, dies ist immer „IN“.
Priorität	0	Wenn mehr als ein Zielhost für den Dienstdatensatz existiert, bestimmt die Priorität die Präferenz zwischen den Zielen. Niedrigere Werte bedeuten höhere Präferenz.
Port	443	Der „_specopspassword“-Dienst wird über SSL auf Port TCP/443 zugegriffen. Wenn diese Konfiguration auf dem Webserver geändert wird, müssen die Portdaten im SRV-Datensatz dies ebenfalls widerspiegeln.
Ziel	[target FQDN]	Das Ziel ist der FQDN des Hosts, auf dem der Specops Password Reset Web Service läuft. Für einen Host namens „spr“ in der Domäne example.com wäre das Ziel: spr.example.com

Der vollständige Datensatz, um Clients mit dem Host „spr.example.com“ zu verbinden, könnte so aussehen: _specopspassword._tcp.example.com 86400 IN 0 0 443 spr.example.com

Testen Sie den Dienstdatensatz: Der Dienstdatensatz kann getestet werden, indem der folgende Befehl ausgeführt wird:

nslookup -type=SRV _specopspassword._tcp.[your_domain_name]  8.8.8.8`

Erwartete Antwort:

nslookup -type=SRV _specopspassword._tcp.example.com 8.8.8.8

Server: google-public-dns-a.google.com

Adresse: 8.8.8.8

Nicht-autoritative Antwort:

_specopspassword._tcp.example.com SRV-Dienststandort:

Priorität = 0

Gewicht = 0

Port = 443

Server-Hostname = spr.example.com

Wenn Sie intern einen Proxy verwenden, müssen Sie eine Ausnahme hinzufügen, um die Authentifizierung zu umgehen, und dem System erlauben, ohne Authentifizierung auf die Specops Password Reset-Webseite zuzugreifen.