Registration for various services and portals on the Internet now uses an e-mail address as the user name. This has several advantages for users, as they do not have to think up (and forget) new user names for different portals or services, but always use their e-mail address.
Logging in via e-mail address is also possible with Exchange Server, but this does not work without further ado. So here is a little how-to and some food for thought on what you need to bear in mind.
Exchange Server (regardless of the version) uses the Active Directory to authenticate users. The user name in the Active Directory is therefore decisive for logging on to Exchange Server. In the internal network, the user does not notice much of this thanks to Kerberos. He logs on to Windows, starts Outlook and that's it.
The situation is different for external users or when accessing OWA from outside. In this case, the user name and password must be entered by the user.
Here is a small example:
The user "frank" exists in the Active Directory "frankysweb.local". Frank has the e-mail address frank@frankysweb.de:
The /OWA directory on the Exchange Server is currently set as follows:
This means that user "Frank" only has to log in with his user name and the corresponding password; he does not have to enter the AD domain.
However, if you have several domains, you will have problems here and would have to change the authentication to "Domain\Username". The user must then remember the internal AD name, which can be cryptic for users under certain circumstances.
This is where logging in via e-mail address comes into play. However, the Active Directory and the user accounts must be adapted for this.
First, a new "Alternative User Principal Name Suffix" must be created. The alternative UPN suffix can be configured in the "Active Directory domain and trust settings" console:
If user "Frank" is to log in with the e-mail address frank@frankysweb.de, then the UPN suffix frankysweb.de must be created. The same applies to all other mail domains that are to be used as user names:
Up to this point, the change to the Active Directory has not yet had any effect on the users, but the user accounts must now be adjusted:
User Frank is now assigned the new suffix:
This changes the login name of the account (previously frank@frankysweb.local, now frank@frankysweb.de)
For example, if you use email addresses in the format vorname_nachname@firma.de, you must also change the user name accordingly. For example, from "frank" to "frank_zoechling". This may have consequences for users. If there are services to which the users have logged in with frank@frankysweb.local (i.e. have used the UPN), the UPN is now frank@frankysweb.de. This change must be communicated to the users. Also remember the Windows login at this point!
Another advantage is, of course, that these services will also use the e-mail address as the user name in future. This change should therefore be planned carefully in existing environments.
On the Exchange Server side, the logon format now only needs to be changed to "User Principal Name (UPN)":
The user can now log in to OWA with their e-mail address. Of course, only if the UPN now corresponds to the user's e-mail address:
This procedure is also possible with Exchange 2010.
Hallo,
danke für die Anleitung, ich hab die Anmedlung von domain.local auf domain.de umgestellt. jetzt kann ich aber unsere Website die extern gehostet ist nicht mehr aufrufen. Gibt es hier eine Lösung?
Danke
Viele Grüße
Andreas
Gibt es auch einen Modus das beides geht? E-Mail Adresse oder Benutzernamen?
Hallo Frank,
vielen Dank für Deine Anleitung. Dies funktionierte bei uns schon sehr gut, da wir das bei der Ersteinrichtung so eingestellt hatten und die User können sich mit ihrer E-Mail Adresse im OWA einloggen. Wir haben unter unserer Hauptdomäne mehrere Tenants mit unterschiedlichen Domänen eingerichtet, welche ich auch in „Active Directory-Domänen und -Vertrauensstellungen“ bekanntgegeben habe. Auch die Usereinrichtung ist so wie bei Dir hier vorgestellt. Wenn ich allerdings User einrichte und diese sollen über OWA das erste Mal ihr Passwort ändern, müssen diese Domäne\User eingeben und nicht ihre E-Mail Adresse. Da der User allerdings nur seine eigene Domäne kennt, gibt er hier Firma\Mustermann ein und nicht unsere Hautptdomäne: schreibfaul.local, unter der die ganzen Domänen liegen. Somit klappt die Passwortänderung natürlich nicht, da die Domäne „Firma“ nicht bekannt ist sondern nur „schreibfaul“.
Kann man hier noch etwas ändern???
Danke und Grüße
Marcus
Hallo Frank, danke für die Erläuterungen zur Nutzung des UPN.
Ist es aber aus Sicherheitsgründen nicht sinnvoller E-Mail-Adresse und Login-Benutzername unterschiedlich zu wählen? z.B.:
Max Mustermann hat die Email-Adresse max.mustermann@firma.de meldet sich aber in der Domäne als [personalnummer]@firma.local an.
Somit kann man aus der Email-Adresse nicht auf den Anmeldenamen schließen.
Sinnvoll oder nicht?
Grüße, Ulrich
Hi,
die Verwendung von Personalnummern als Benutzername macht aus meiner Sicht Sinn, denn dann ändert sich der Benutzername nicht, wenn sich der Name / E-Mail durch Heirat ändert. Bei langen Namen, finde ich es auch schöner einfach eine Personal Nummer als Benutzernamen zu haben also meine vollständige E-Mail Adresse. Aber ob es nun ein Sicherheitsvorteil wäre, wenn der Benutzername nicht direkt ableitbar ist? Aus meiner Sicht ein klares Jein, denn Sicherheit kann ich nur bedingt durch verstecken erreichen.
Guten Rutsch, Frank