Installation

Der folgende Inhalt richtet sich an IT-Administratoren und führt Sie durch den Installationsprozess von Specops Password Reset.

Hauptkomponenten

Alt-Text für dieses Bild

Specops Password Reset besteht aus folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung. Die obige Architekturübersicht zeigt die Kommunikation zwischen den Komponenten in einer typischen Installation. Beachten Sie, dass die Password Reset-Server- und die Password Reset-Web-Komponente normalerweise auf demselben Server im Netzwerk installiert sind.

Server: Verwaltet alle Vorgänge im Zusammenhang mit Active Directory, wie z. B. das Ändern/Rücksetzen von Kennwörtern, und antwortet auf Anfragen der Specops Password Web-Anwendung.

Verwaltungstools: Dient zur Konfiguration der zentralen Aspekte der Lösung und ermöglicht die Erstellung von Specops Password Reset-Einstellungen in Gruppenrichtlinienobjekten.

Web: Zeigt die Endbenutzeroberfläche des Produkts an und kommuniziert mit dem Specops Password Reset-Server, um die Benutzereingaben zu überprüfen.

Specops Authentication Client (früher bekannt als Specops Password Client): Specops Authentication Client präsentiert einen Link zur Specops Password Reset-Webanwendung auf dem Windows-Anmeldebildschirm sowie Informationen an den Endbenutzer über die Registrierungsanforderungen.

Anforderungen

Die Umgebung Ihres Unternehmens muss folgende Systemanforderungen erfüllen:

Anforderungen
Komponente Anforderung
Server
  • Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • Windows Identity Foundation installiert
Verwaltungstools
  • Windows Server 2016/2019/2022
  • Active Directory- und Computer-Snap-Ins
  • Gruppenrichtlinien-Verwaltungskonsole (GPMC)
  • .Net Framework 4.7.2 or later
Web
  • Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • IIS installiert
  • Vertrauenswürdiges SSL-Zertifikat für alle Namen, unter denen die Webanwendung dargestellt wird als
Specops Client
  • Windows 10 x64, Windows 11 x64 or Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • For password resets with uReset 8 and Specops Password Reset, the Specops Cefsharp runtime MSI should be installed.

Installation von Specops Password Reset

Während der Installation startet Specops Password Reset den Setup-Assistenten. Der Setup-Assistent unterstützt Sie bei der Installation der folgenden Komponenten für Specops Password Reset:

  • Server
  • Verwaltungstools
  • Web
  • Specops Client
  1. Laden Sie den Setup-Assistenten herunter.
  2. Speichern Sie den Setup-Assistenten und führen Sie ihn auf Ihrem Server aus.
    HINWEIS
    Standardmäßig wird die Datei nach C:\temp\SpecopsPasswordPolicy_Setup_[VersionNumber] extrahiert
  3. Doppelklicken Sie auf SpecopsPasswordReset.Setup.exe, um den Setup-Assistenten zu starten.
  4. Klicken Sie zu Beginn Sie im Dialogfeld des Specops Setup-Assistenten auf Installation starten und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.

Installieren des Specops Password Reset-Servers

Der Specops Password Reset-Server führt Vorgänge mit Active Directory durch und antwortet auf die Anfragen der Specops Password Web-Anwendung.

  1. Wählen Sie im Setup-Assistenten die Option Server.
  2. Überprüfen Sie, ob Sie alle Voraussetzungen erfüllen. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise folgende Schritte unternehmen:
  3. Vergewissern Sie sich, dass Sie ein gültiges Betriebssystem verwenden.
  4. Windows Identity Foundation muss installiert sein.
  5. Vergewissern Sie sich, dass das Konto, unter dem der Setup-Assistent ausgeführt wird, über lokale Administratorrechte verfügt.
  6. Klicken Sie auf Benutzer auswählen.
  7. Geben Sie den Benutzernamen und das Kennwort des Benutzerkontos ein, unter dem der Dienst ausgeführt werden soll, und klicken Sie auf OK.
    HINWEIS
    Alle Vorgänge der Specops Password Reset-Serverkomponente werden im Kontext des hier ausgewählten Dienstkontos ausgeführt.
  8. Klicken Sie auf Auswählen, um die Verwaltungsebene zu bestimmen, auf der die Active Directory-Berechtigungen erstellt werden. Dies wird auch zur Verfolgung der Lizenznutzung verwendet.
  9. Klicken Sie auf Auswählen und dann auf Selbstsigniertes Zertifikat erstellen. Das selbstsignierte Zertifikat wird verwendet, um Anrufe an den Specops Password Reset-Dienst abzusichern.
    HINWEIS
    Benennen Sie das selbstsignierte Zertifikat in der Microsoft-Verwaltungskonsole in einen benutzerfreundlichen Namen um, damit es bei einer Aktualisierung leicht wiedererkannt werden kann: Zertifikate > Persönlich > klicken Sie mit der rechten Maustaste auf Eigenschaften, geben Sie einen Namen in das Feld Benutzerfreundlicher Name ein und klicken Sie auf OK.
  10. Klicken Sie auf Konfigurieren, um die Administrator-Benachrichtigungen zu konfigurieren, die verwendet werden, um E-Mails an den Administrator mit Benachrichtigungen über die Specops Password Reset-Lizenzen zu senden.
  11. Geben Sie im Feld E-Mail-Einstellungen den Namen des SMTP-Servers ein.
  12. Geben Sie den SMTP-Benutzernamen und das SMTP-Kennwort ein.
    HINWEIS
    Wenn keine Anmeldeinformationen angegeben werden, authentifiziert sich der Server mit dem Dienstkonto, unter dem er läuft.
  13. Klicken Sie auf OK.
  14. Klicken Sie auf Konfigurieren, um die Einstellungen für die Bestätigungsnachricht an das Mobil-Gerät zu konfigurieren. Dadurch wird ein SMS-Verifizierungscode generiert, der zur Authentifizierung von Nutzern verwendet wird, die eine Kennwortrücksetzung über den Helpdesk beantragen.
  15. Geben Sie in das Textfeld Absender-E-Mail die E-Mail-Adresse ein, an die die Validierungsnachricht gesendet werden soll.
  16. Konfigurieren Sie die Einstellungen An E-Mail, Betreff und Text entsprechend den Vorgaben Ihres SMS-Anbieters.
  17. In der Platzhaltercode-Auswahlbox können Sie die Informationen auswählen, die für jeden Benutzer anders sein sollen.
  18. Klicken Sie auf OK.
  19. Klicken Sie auf Installieren.

Installation von Specops Password Reset-Web

Die Specops Password Reset-Webkomponente stellt die Endbenutzeroberfläche des Produkts dar und kommuniziert mit dem Specops Password Reset-Server, um die Benutzereingaben zu überprüfen. Während der Installation erhalten Sie die Möglichkeit, den Specops Password Reset-Webdienst (Mobile Access) einzubinden. Die Komponente Mobile Access ermöglicht der Specops Password Reset-Anwendung für mobile Geräte, die Verbindung mit dem Server herzustellen. Bei der Installation von Specops Password Web wird auch das Specops Password Reset-Web-Anpassungstool installiert, mit dem Sie die Sprachübersetzungen und das grafische Branding der Website verwalten können.

  1. Wählen Sie im Setup-Assistenten die Option Web.
  2. Überprüfen Sie, ob Sie alle Voraussetzungen erfüllen. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise folgende Schritte unternehmen:
  3. Vergewissern Sie sich, dass Sie ein gültiges Betriebssystem verwenden.
  4. Vergewissern Sie sich, dass das Konto, unter dem der Setup-Assistent ausgeführt wird, über lokale Administratorrechte verfügt.
  5. Überprüfen Sie, ob IIS installiert ist.
  6. Konfigurieren Sie IIS für Specops Password Reset.
  7. Klicken Sie auf Auswählen, um auszuwählen, mit welchem Specops Password Reset-Serverdienst sich die Webkomponente verbinden soll.
  8. Geben Sie den Namen des Servers ein und klicken Sie auf OK.
  9. Klicken Sie auf Auswählen, um die Website zu identifizieren, auf der Specops Password Reset Web installiert werden soll.
    HINWEIS
    • Wenn mehrere Websites auf Ihrem IIS laufen, können Sie auswählen, welche Sie für die Specops Password Reset-Webkomponente verwenden möchten.
    • Wenn die Webkomponente auf einem Server im internen Netzwerk installiert ist und Sie Ihre internen Kennwort-Clients anweisen möchten, den von Ihnen installierten Webserver zu verwenden, sollte das Kontrollkästchen Service-Verbindungspunkt-Information bei der Installation aktualisieren aktiviert bleiben.
  10. Klicken Sie auf OK.
  11. Klicken Sie auf Auswählen, um das Zertifikat auszuwählen, das Sie für die SSL-Verschlüsselung verwenden möchten, und klicken Sie auf OK.
  12. Klicken Sie auf Installieren.
    HINWEIS
    Der Specops Password Reset-Web-Setup-Assistent wird angezeigt. Mit diesem Assistent können Sie die mobile Komponente installieren.
  13. Klicken Sie im Assistenten zur Einrichtung der Specops Password Reset-Web auf Weiter.
  14. Lesen und akzeptieren Sie die Lizenzvereinbarung, und klicken Sie auf Weiter.
  15. Wählen Sie das Dropdown-Feld neben Password Reset-Web Service (Mobile Access) und klicken Sie auf Wird auf der lokalen Festplatte installiert.
  16. Klicken Sie auf Weiter.
  17. Klicken Sie auf Installieren.

Installation der Webkomponente in der DMZ

Wenn sich der Computer in einer Arbeitsgruppe befindet, wird die Installation über die Benutzeroberfläche des Setup-Assistenten empfohlen:

  1. Vergewissern Sie sich, dass Sie .Net 3.5 SP1 auf dem DMZ-Server installiert haben.
  2. Wählen Sie nicht die Option Während der Installation die Informationen zum Service-Verbindungspunkt aktualisieren.
    HINWEIS
    Diese Option ist nicht sichtbar, wenn der DMZ-Server nicht in die Domain eingebunden ist.
  3. Wenn das Zertifikat auf dem Server installiert ist, können Sie es im Setup-Assistenten auswählen/anzeigen.
    HINWEIS
    Wenn Sie das Zertifikat nicht auswählen/anzeigen können, fahren Sie mit dem Einrichtungsassistenten fort und wählen Sie das SSL-Zertifikat unter IIS-Manager/Standardwebsite/Bindungen/https/Bearbeiten/ aus.
  4. Die DMZ-Zone, in der Ihre öffentlichen DNS-Einträge gehostet werden, muss mit einem Eintrag aktualisiert werden, der einen Site-Namen enthält, den sich die Endbenutzer leichter merken können.
  5. Stellen Sie sicher, dass der Port 4371 in Ihrer Firewall für den internen Specops Password Reset-Server offen sein.

Wenn der Computer in der DMZ Mitglied einer separaten Active Directory-Domain für die DMZ ist, wird empfohlen, die MSI-Datei über eine Befehlszeile zu installieren:

Folgende Parameter werden im Befehlszeilenskript verwendet:

  • IISPARENTWEBSITE: Name der übergeordneten Website, z. B. "Standard-Website"
  • REMOTINGSERVER: Name des SPR-Servers, der von der DMZ aus erreichbar sein muss
  • IISTHUMBPRINT: TLS-Zertifikat
Kopieren

Befehlszeile

MSIEXEC /i SpecopsPasswordResetWeb-x64.msi ALLUSERS=1 IISPARENTWEBSITE="Default Web Site" REMOTINGSERVER=spr.acme.org REMOTINGPORT=4371 SERVERINDMZ=1 IISTHUMBPRINT="‎" IISAPPLICATIONNAME=SpecopsPassword IISAPPLICATIONPOOLNAME=SpecopsPassword
                    IISHASSILVERLIGHTPAGES=false IISUSEWCF=false IISENABLESSL=true IISENABLEANONYMOUSAUTHENTICATION=true IISSECUREFOLDERS="Enrollment,Helpdesk"

Installieren der Verwaltungstools

Durch die Installation der Verwaltungstools werden das Specops Password Reset-Konfigurationstool und das GPMC Snap-In installiert. Mit dem Konfigurationstool können Sie Konfigurationen verwalten, die für Ihre gesamte Domain gelten. Sie können das GPMC-Snap-In verwenden, um Specops Password Reset-Richtlinien in einem Gruppenrichtlinienobjekt zu konfigurieren. Das GPO kann dann auf Ihre gesamte Domain oder einen Teil Ihrer Domain angewendet werden.

Die Verwaltungstools sollten auf dem Computer installiert sein, von dem aus Sie das Produkt verwalten möchten.

  1. Wählen Sie im Setup-Assistenten die Option Verwaltungstools.
  2. Klicken Sie auf Ext. Menü hinzufügen, um die Specops Display-Spezifizierer in der Konfigurationspartition Ihrer Active Directory-Gesamtstruktur zu registrieren.
  3. Klicken Sie auf Installieren.

Installation von Specops Authentication Client

Specops Authentication Client wird mit einem MSI-basierten Installationsassistenten installiert. Beachten Sie, dass der installierte Client bei einem Upgrade von Specops Authentication Client überschrieben wird.

Sofern eine Installation vorgenommen wurde, finden Sie Specops Authentication Client unter "Apps hinzufügen/entfernen" oder "Apps und Features" in der Windows-Systemsteuerung. Die Versionen und Ausgaben können variieren.

HINWEIS
Ältere Versionen des Specops Authentication Client können noch "Specops uReset Client" oder "Specops Password Client" heißen.

Der Specops Authentication Client kann für folgende Specops Software-Produkte verwendet werden:

  • Specops Password Reset
  • Specops Password Policy
  • Specops uReset

Upgrade von Specops Authentication Client

Organisationen, die nur Specops Password Policy verwenden, müssen die Specops Authentication Client MSI implementieren. Die CefSharp Runtime MSI ist für dieses Szenario nicht erforderlich.

Organisationen, die Specops uReset oder Specops Password Reset verwenden, müssen zusätzlich zur Specops Authentication Client MSI die CefSharp Runtime MSI implementieren. Die CefSharp Runtime MSI wird vom Secured Browser angefordert, der zum Zurücksetzen von Kennwörtern genutzt wird.

Da Specops Authentication Client eine spezifische Version der CefSharp Runtime MSI verwendet, ist es wichtig, die neueste CefSharp Runtime MSI zeitgleich zur oder vor der Implementierung der Specops Authentication Client MSI zu implementieren.

Wenngleich die Specops Authentication Client MSI nur mit genau einer Version installiert werden kann, können mehrere Versionen der CefSharp Runtime MSI zeitgleich installiert werden. Dies dient dem Zweck, das Aufspielen in einer größeren Organisation zu vereinfachen.

Der empfohlene Ablauf für das Upgrade der Specops Authentication Client:

  1. Spielen Sie die neueste CefSharp Runtime MSI auf, falls dies nicht bereits erfolgt ist
  2. Spielen Sie die neueste Specops Authentication Client MSI auf
  3. Heben Sie alle vorherigen Versionen der CefSharp Runtime MSI auf (falls erforderlich)
HINWEIS

Bei Verwendung von Specops Authentication Client in Verbindung mit einem Tool zum Zurücksetzen des Kennworts:

Die neuste CefSharp-Browser-Laufzeitversion ist erforderlich, wenn Specops uReset/Specops Password Reset verwendet wird (Kunden, die nur Specops Password Policy nutzen, benötigen die CefSharp-Browser-Laufzeit nicht). Es empfiehlt sich, die CefSharp-Browser-Laufzeit vor dem Specops Authentication Client selbst aufzuspielen.

Installations-/Upgradeverhalten für CefSharp-Browser-Laufzeit wurde geändert. Bei der Installation einer neueren CefSharp-Laufzeit wird die früher installierte Laufzeit nicht überspielt. Stattdessen können verschiedene CefSharp-Browserversionen nebeneinander existieren. Sinn und Zweck dahinter ist, die Einführung auch in Unternehmen zu ermöglichen, in denen der neue CefSharp-Browser zuerst implementiert wurde. Sobald er implementiert ist, können für den Specops Authentication Client Upgrades durchgeführt werden. So kann leichter gewährleistet werden, dass der Specops Authentication Client bei einem Upgrade auf allen Computern funktioniert, und zwar unabhängig davon, ob die neueste CefSharp-Browserlaufzeit aufgespielt wurde.

Specops Authentication Client muss entweder mittels manueller Installation oder unter Zuhilfenahme eines Implementierungstools auf den Client-Computern des Unternehmens installiert werden.

Herunterladen von Specops Authentication Client

Laden Sie die MSI direkt von der Download-Seite herunter. Benutzer, die Specops Password Policy installieren, können über den Abschnitt Client-Installationsdateien herunterladen des Installationsassistenten von Password Policy auch auf die Download-Seite zugreifen.

Implementierung von Specops Authentication Client

Um Specops Authentication Client für alle Benutzer zu implementieren, verwenden Sie GPSI, Specops Deploy/App oder ein anderes Implementierungstool. Specops Authentication Client unterstützt eine stille Installation, wenn ein Implementierungstool zum Einsatz kommt. Die Client-MSI kann mit Hilfe von standardmäßigen MSI-Switches (z. B. /qn) still implementiert werden. Es gibt keine Specops-Befehlszeilenparameter für die MSI-Installation.

Manuelle Installation oder entsprechendes Upgrade von Specops Authentication Client

  1. Öffnen Sie den eben heruntergeladenen Setup-Assistenten für Specops Authentication Client (.msi-Datei)
  2. Klicken Sie im Assistenten auf Weiter.
  3. Akzeptieren Sie die Lizenzvereinbarung, indem Sie einen Haken in das Kästchen setzen, und klicken Sie auf Weiter.
  4. Wählen Sie den Ort aus, an dem der Client installiert werden soll (der Standardpfad lautet C:\Program Files\Specopssoft\Specops Authentication Client\), und klicken Sie auf Weiter.
  5. Klicken Sie auf Installieren.
  6. Sobald die Installation abgeschlossen ist, klicken Sie auf Fertigstellen.

Konfiguration von Specops Authentication Client

Specops Authentication Client kann über die Verwaltungsvorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden. Weitere Informationen zur Konfiguration finden Sie auf der Specops Authentication Client-Seite.

Konfiguration nach der Installation

Nach der Installation von Specops Password Reset müssen Sie folgende Konfigurationseinstellungen vornehmen.

Importieren Ihres Lizenzschlüssels

Geben Sie Ihren Lizenzschlüssel im das Password Reset-Konfigurationstool ein.

  1. Öffnen Sie das Specops Password Reset-Konfigurationstool.
  2. Wählen Sie im Navigationsbereich die Option Lizenz.
  3. Klicken Sie auf Lizenz importieren.
  4. Navigieren Sie zum Speicherort der entsprechenden TXT-Datei und klicken Sie auf Öffnen.

Überprüfen Sie, ob Ihre Domain für die Verwendung mit Specops Password Reset konfiguriert ist

  1. Öffnen Sie das Specops Password Reset-Konfigurationstool.
  2. Wählen Sie im Navigationsbereich Domains.
  3. Überprüfen Sie, ob Ihre Domain unter Konfigurierte Domains aufgeführt ist.

Authentifizierung für den Password Reset-Webserver aktivieren

Hinzufügen von Mitgliedern zu den lokalen Specops Password Reset-Sicherheitsgruppen

Installieren Sie zusätzliche Webserver, die Sie möglicherweise für den externen Zugriff verwenden möchten.

Siehe Installation der Webkomponente in der DMZ (falls zutreffend)

Wenn Sie die Geheimfragen-Authentifizierung verwenden, stellen Sie sicher, dass sich die Benutzer bei ihren Systemen registrieren

Informationen über die verschiedenen Registriermöglichkeiten und bewährte Verfahren finden Sie unter Specops Password ResetRegistrieroptionen und Bewährte Praktiken.

Überprüfen, ob der Specops Client auf Ihren Client-Rechnern installiert ist

Führen Sie die folgenden Schritte auf dem Client durch, um festzustellen, ob der Client erfolgreich installiert wurde.

  1. Zur Ansicht der installierten Programme in der Systemsteuerung:
    Option
    1. Öffnen Sie Programme und Funktionen.
    2. Suchen Sie in der Liste der installierten Programme nach Specops Authentication Client.
    HINWEIS
    Sie können auch die Version des Clients anzeigen.
  2. Anzeige der installierten Programme in der Registry.
    Option
    1. Öffnen Sie den Registry-Editor.
    2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client
HINWEIS
Dieser Schlüssel erscheint erst, nachdem der Client installiert wurde.

Überprüfen der Sicherheitseinstellungen für administrative Konten

Windows enthält viele integrierte Sicherheitsfunktionen, die die Sicherheit von Administratorkonten erhöhen sollen. Eines dieser Features ist die Funktion adminSDHolder, die automatisch die ACL von Objekten rekonfiguriert, die Mitglieder von integrierten privilegierten Active Directory-Gruppen sind. Dieser Prozess wird alle 60 Minuten auf dem PDC-Emulator ausgeführt und entfernt die geerbten Berechtigungen Ihres Specops Password Reset-Dienstkontos von den geschützten Benutzerobjekten. Wenn Sie möchten, dass Ihre Administratorkonten Specops Password Reset nutzen können, müssen Sie dem Container AdminSDHolder manuell Berechtigungen für das Dienstkonto hinzufügen.

  1. Melden Sie sich mit einem Konto mit Domain-Administratorrechten an und führen Sie folgenden Befehl aus:
    Kopieren
    dsacls "CN=AdminSDHolder, CN=System, <Domain DN>" /G "<ServiceAccount>:CCDC;classStore;" "<ServiceAccount>:LC;;" "<ServiceAccount>:CA;Reset Password;" "<ServiceAccount>:RP;userAccountControl;" "<ServiceAccount>:RPWP;mobile;"
                                "<ServiceAccount>:RPWP;pwdLastSet;" "<ServiceAccount>:RPWP;lockoutTime;"Example:dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G "EXAMPLEsprsvc:CCDC;classStore;" "EXAMPLEsprsvc:LC;;" "EXAMPLEsprsvc:CA;Reset
                                Password;" "EXAMPLEsprsvc:RP;userAccountControl;" "EXAMPLEsprsvc:RPWP;mobile;" "EXAMPLEsprsvc:RPWP;pwdLastSet;" "EXAMPLEsprsvc:RPWP;lockoutTime;"
                            
  2. Ersetzen Sie <domainDN> und <serviceAccount> durch die Domain-Komponenten Ihrer Domain und den Namen des SPR-Servicekontos.
HINWEIS
Die Erlaubnis, Specops Password Reset mit Konten mit Administratorrechten zu betreiben, ist aus Sicherheitsgründen keine optimale Vorgehensweise. Aktivieren Sie diese Einstellungen nur, wenn dies in der Praxis Ihres Unternehmens wirklich erforderlich ist.

Konfigurieren des Zugriffs auf die fein abgestuften Kennwortrichtlinien von Active Directory

Wenn Specops Password Reset in einer Domain installiert ist, in der fein abgestufte Kennwortrichtlinien verwendet werden, muss dem Specops Password Reset-Servicekonto die Berechtigung zum Lesen der konfigurierten Kennwortrichtlinien erteilt werden.

HINWEIS
Die Erlaubnis, Specops Password Reset mit Konten mit Administratorrechten zu betreiben, ist aus Sicherheitsgründen keine optimale Vorgehensweise. Aktivieren Sie diese Einstellungen nur, wenn dies in der Praxis Ihres Unternehmens wirklich erforderlich ist.

Konfigurieren des Zugriffs auf die fein abgestuften Kennwortrichtlinien von Active Directory

Wenn Specops Password Reset in einer Domain installiert ist, in der fein abgestufte Kennwortrichtlinien verwendet werden, muss dem Specops Password Reset-Servicekonto die Berechtigung zum Lesen der konfigurierten Kennwortrichtlinien erteilt werden.

  1. Melden Sie sich mit einem Konto mit Domain-Administratorrechten an und führen Sie folgenden Befehl aus:
  2. Kopieren 
    dsacls “CN=Password Settings Container,CN=System,<domainDN>” /I:T /G <serviceAccount>:GR;; Example: dsacls “CN=Password Settings Container,CN=System,DC=example,DC=com” /I:T /G EXAMPLEsprsvc:GR;;
  3. Ersetzen Sie <domainDN> und <serviceAccount> durch die Domain-Komponenten Ihrer Domain und den Namen des SPR-Servicekontos.

Konfigurieren Sie Ihre Umgebung für die Verwendung mit dem Mobile Access Web-Service

Wenn Sie den Mobile Access Web Service als Teil der Specops Password Reset-Web-Installation installiert haben, müssen Sie wie folgt vorgehen, damit der Service in Ihrer Organisation genutzt werden kann.

Den Mobile Access Web-Service über das Internet erreichbar machen: Ihre Firewall muss die Kommunikation über den TCP-Port 443 zulassen, damit das mobile Gerät über https eine Verbindung zum Dienst herstellen kann.

Aktivieren der Dienstsuche: Damit das Gerät den Mobile Access-Dienst finden kann, verlangt die Anwendung vom Benutzer die Eingabe seiner E-Mail-Adresse. Der Domain-Teil der E-Mail-Adresse wird für eine DNS-Abfrage verwendet, um einen Diensteintrag für den Mobile Access Web-Service in der E-Mail-Zone zu finden. Dazu muss jede DNS-Zone mit einem neuen Diensteintrag aktualisiert werden, der auf den Password Reset Mobile Access-Dienst verweist.

Erstellen des Specops Password SRV-Eintrags: Dieser Service-Eintrag sollte in Ihrer mailfähigen externen DNS-Zone von Ihnen oder Ihrem ISP erstellt werden, je nachdem, wer die Zonendaten verwaltet.

Folgende Einstellungen sollten bei der Erstellung des Service-Datensatzes verwendet werden:

Teil des DNS-Eintrags Wert Erläuterung
_Service _tcp Der Zugriff auf den Dienst "_specopspassword" erfolgt über TCP.
Zonenname [zone] Dieser Teil ist der Name Ihrer Internetzone.
Der vollständige Name des Service-Datensatzes für die Domain "example.com" würde lauten:
_specopspassword._tcp.example.com.
TTL [TTL] Die Zeit (in Sekunden), die der Datensatz zwischengespeichert werden darf, bevor er als veraltet gilt.

Jede Zone hat einen Standard-TTL-Wert, aber es können auch separate TTLs für jeden Datensatz erstellt werden.
Klasse IN Das Standard-DNS-Klassenfeld, das immer "IN" lautet.
Priorität 0 Gibt es mehr als einen Ziel-Host für den Diensteintrag, bestimmt die Priorität den Vorzug zwischen den Zielen.
Niedrigere Werte bedeuten eine höhere Präferenz.
Port 443 Der Zugriff auf den Dienst "_specopspassword" erfolgt über SSL an Port tcp/443.
Wenn diese Konfiguration auf dem Webserver geändert wird, müssen die Portdaten im SRV-Eintrag dies ebenfalls widerspiegeln.
Ziel [target FQDN] Das Ziel ist der FQDN des Hosts, auf dem der Specops Password Reset Web-Service läuft.

Für einen Host mit dem Namen "spr" in der Domain example.com würde das Ziel lauten:
spr.example.com

Der vollständige Datensatz zur Verbindung von Clients mit dem Host "spr.example.com" sähe dann wie folgt aus:
_specopspassword._tcp.example.com 86400 IN 0 0 443 spr.example.com

Testen des Service-Datensatzes: Der Diensteintrag kann mit folgendem Befehl getestet werden:

nslookup -type=SRV _specopspassword._tcp.[your_domain_name] 8.8.8.8

Expected response:
nslookup -type=SRV _specopspassword._tcp.example.com 8.8.8.8

Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
_specopspassword._tcp.example.com SRV service location:
priority = 0
weight = 0
port = 443
svr hostname = spr.example.com

Wenn Sie intern einen Proxy verwenden, müssen Sie eine Ausnahme hinzufügen, um die Authentifizierung zu umgehen, so dass das System die Specops Password Reset-Webseite ohne Authentifizierung aufrufen kann.