Exchange 2013/2016: Anmeldung per E-Mail Adresse (UPN)

Die Anmeldung an verschiedenen Diensten und Portalen im Internet läuft ja mittlerweile mit der E-Mail Adresse als Benutzername. Das hat für die Benutzer einige Vorteile, denn man muss sich nicht für verschiedene Portale oder Dienste immer wieder neue Benutzernamen ausdenken (und vergessen), sondern benutzt immer seine E-Mail Adresse.

Die Anmeldung via E-Mail Adresse ist auch bei Exchange Server möglich, allerdings ist funktioniert das nicht ohne weiteres. An dieser Stelle gibt es also ein kleines HowTo und ein paar Denkanstöße, was zu beachten ist.

Exchange Server (unabhängig von der Version) nutzt das Active Directory für die Authentifizierung der Benutzer. Der Benutzername im Active Directory ist also ausschlaggebend für die Anmeldung an Exchange Server. Im internen Netzwerkwerk, bekommt der Benutzer dank Kerberos davon wenig mit. Er meldet sich an Windows an, startet Outlook, fertig.

Bei externen Benutzern oder beim Zugriff auf OWA von extern, sieht es schon wieder anders aus. Hier muss Benutzername und Passwort durch den Benutzer eingetragen werden.

Hier mal ein kleines Beispiel:

Es gibt den Benutzer „frank“ im Active Directory „frankysweb.local“. Frank hat die E-Mail Adresse frank@frankysweb.de:

03-08-_2016_21-24-36

Das /OWA Verzeichnis am Exchange Server ist derzeit wie folgt eingestellt:

Exchange OWA

Somit muss sich Benutzer „Frank“ nur mit seinem Benutzernamen und dem entsprechenden Passwort anmelden, die AD Domain, muss er nicht angeben.

Wer mehrere Domains hat, bekommt hier allerdings Probleme und müsste die Authentifizierung auf „Domäne\Benutzername“ umstellen. Der Benutzer muss sich dann den internen AD-Namen merken, der ja unter Umständen kryptisch für Benutzer sein kann.

Hier kommt nun die Anmeldung per E-Mail Adresse ins Spiel. Dazu muss allerdings das Active Directory und die Benutzerkonten angepasst werden.

Zuerst muss ein neues „Alternatives Benutzerprinzipalnamens-Suffix“ erstellt werden. Das Alternative UPN-Suffix kann in der Konsole „Active Directory Domänen- und Vertrauensstellungen“ konfiguriert werden:

UPN

Wenn sich Benutzer „Frank“ also mit der E-Mail Adresse frank@frankysweb.de anmelden soll, dann muss das UPN-Suffix frankysweb.de angelegt werden. Gleiches gilt für alle anderen Mail Domänen die als Benutzernamen benutzt werden sollen:

UPN

Bis hier her hat die Änderung am Active Directory noch keine Auswirkungen auf die Benutzer, jedoch müssen jetzt die Benutzerkonten angepasst werden:

Benutzer Frank bekommt jetzt das neue Suffix zugewiesen:

Benutzerkonto

Hiermit ändert sich der Anmeldename des Kontos (vorher frank@frankysweb.local, jetzt frank@frankysweb.de)

Benutzerkonto UPN

Wer beispielsweise E-Mail Adressen im Format vorname_nachname@firma.de verwendet, muss hier auch den Benutzernamen entsprechend ändern. Zum Beispiel von „frank“ auf „frank_zoechling“. Das hat unter Umständen für die Benutzer. Wenn es Dienste gibt, an denen sich die Benutzer mit frank@frankysweb.local angemeldet haben (also den UPN verwendet haben), dann lautet der UPN jetzt frank@frankysweb.de. Diese Änderung muss den Benutzern mitgeteilt werden. An dieser Stelle auch an die Windows Anmeldung denken!

Vorteil ist natürlich auch, dass diese Dienste in Zukunft auch die E-Mail Adresse als Benutzernamen benutzen. Diese Änderung sollte also in bestehenden Umgebungen sorgfältig geplant werden.

Auf Exchange Server Seite muss jetzt nur noch das Anmeldeformat auf „Benutzerprinzipalname (UPN)“ umgestellt werden:

Exchange OWA UPN

Der Benutzer kann sich jetzt mit seiner E-Mail Adresse an OWA anmelden. Natürlich nur wenn der UPN jetzt der E-Mail Adresse des Benutzers entspricht:

Benutzer UPN

Mit Exchange 2010 ist dieses verfahren ebenfalls möglich.

3 Kommentare zu “Exchange 2013/2016: Anmeldung per E-Mail Adresse (UPN)”

  1. Hallo Frank, danke für die Erläuterungen zur Nutzung des UPN.
    Ist es aber aus Sicherheitsgründen nicht sinnvoller E-Mail-Adresse und Login-Benutzername unterschiedlich zu wählen? z.B.:
    Max Mustermann hat die Email-Adresse max.mustermann@firma.de meldet sich aber in der Domäne als [personalnummer]@firma.local an.
    Somit kann man aus der Email-Adresse nicht auf den Anmeldenamen schließen.
    Sinnvoll oder nicht?
    Grüße, Ulrich

    1. Hi,
      die Verwendung von Personalnummern als Benutzername macht aus meiner Sicht Sinn, denn dann ändert sich der Benutzername nicht, wenn sich der Name / E-Mail durch Heirat ändert. Bei langen Namen, finde ich es auch schöner einfach eine Personal Nummer als Benutzernamen zu haben also meine vollständige E-Mail Adresse. Aber ob es nun ein Sicherheitsvorteil wäre, wenn der Benutzername nicht direkt ableitbar ist? Aus meiner Sicht ein klares Jein, denn Sicherheit kann ich nur bedingt durch verstecken erreichen.

      Guten Rutsch, Frank

  2. Hallo Frank,

    vielen Dank für Deine Anleitung. Dies funktionierte bei uns schon sehr gut, da wir das bei der Ersteinrichtung so eingestellt hatten und die User können sich mit ihrer E-Mail Adresse im OWA einloggen. Wir haben unter unserer Hauptdomäne mehrere Tenants mit unterschiedlichen Domänen eingerichtet, welche ich auch in „Active Directory-Domänen und -Vertrauensstellungen“ bekanntgegeben habe. Auch die Usereinrichtung ist so wie bei Dir hier vorgestellt. Wenn ich allerdings User einrichte und diese sollen über OWA das erste Mal ihr Passwort ändern, müssen diese Domäne\User eingeben und nicht ihre E-Mail Adresse. Da der User allerdings nur seine eigene Domäne kennt, gibt er hier Firma\Mustermann ein und nicht unsere Hautptdomäne: schreibfaul.local, unter der die ganzen Domänen liegen. Somit klappt die Passwortänderung natürlich nicht, da die Domäne „Firma“ nicht bekannt ist sondern nur „schreibfaul“.
    Kann man hier noch etwas ändern???

    Danke und Grüße
    Marcus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.