Berechtigungsproblem bei Exchange Mailversand über Drittanbietersoftware
Hi Leute,
ich habe vor einiger Zeit schon einmal Problem mit unserem Exchange hier im Forum geschildert!
Alter Beitrag:
SMTP-Authentifizierung Exchange2010
Das Ergebnis war für diesen Moment zufriedenstellend, da ich mich damit abgefunden hatte die Benutzer in die Gruppe "Domänen-Admins" zu stecken (Damals waren es nur 2 Benutzer die ich auch noch selber verwalte)
Nun ist es so, dass wir noch 3-4 Benutzer anlegen müssen die E-Mails über zusätzliche Software versenden müssen (z.B. BackupExec). Diese 2-3 Benutzer werden nicht von unserem Team verwaltet sondern von externen Mitarbeitern. Daher möchte ich keinen dieser Benutzer der Gruppe "Domänen-Admins" hinzufügen - ist schlicht und ergreifend zu Gefährlich!
Gibt's wirklich kein Workaround wie ich es hin bekomme, dass z.B. auch "normale" Domänen-Benutzer über eine Drittanbieter-Software mit dem Exchange Mails versenden können?
Noch mal kurze Problembeschreibung:
Benutzerkonto kann erst Mails über z.B. BackupExec versenden wenn dieser in der Gruppe "Domänen-Admins" ist.
ich habe vor einiger Zeit schon einmal Problem mit unserem Exchange hier im Forum geschildert!
Alter Beitrag:
SMTP-Authentifizierung Exchange2010
Das Ergebnis war für diesen Moment zufriedenstellend, da ich mich damit abgefunden hatte die Benutzer in die Gruppe "Domänen-Admins" zu stecken (Damals waren es nur 2 Benutzer die ich auch noch selber verwalte)
Nun ist es so, dass wir noch 3-4 Benutzer anlegen müssen die E-Mails über zusätzliche Software versenden müssen (z.B. BackupExec). Diese 2-3 Benutzer werden nicht von unserem Team verwaltet sondern von externen Mitarbeitern. Daher möchte ich keinen dieser Benutzer der Gruppe "Domänen-Admins" hinzufügen - ist schlicht und ergreifend zu Gefährlich!
Gibt's wirklich kein Workaround wie ich es hin bekomme, dass z.B. auch "normale" Domänen-Benutzer über eine Drittanbieter-Software mit dem Exchange Mails versenden können?
Noch mal kurze Problembeschreibung:
Benutzerkonto kann erst Mails über z.B. BackupExec versenden wenn dieser in der Gruppe "Domänen-Admins" ist.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 210572
Url: https://administrator.de/forum/berechtigungsproblem-bei-exchange-mailversand-ueber-drittanbietersoftware-210572.html
Ausgedruckt am: 24.12.2024 um 14:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
also ich habe mir jetzt den alten Thread gar nicht erst durchgelesen, weil Bullshitverdacht.
Warum legst Du nicht einen Empfangskonnektor an? Jeder im AD angelegte und mit Exchangepostfach versehene Benutzer darf nach entsprechender Authentifizierung über den Exchangeserver per SMTP Mails versenden.
per Powershell so:
1) Konnektor anlegen:
new-ReceiveConnector -Name 'Relay' -Usage 'Custom' -Bindings '0.0.0.0:25' -RemoteIPRanges '[IP Adresse(n) der Clients]' -AuthMechanism 'BasicAuth' -PermissionGroups 'ExchangeUsers' -Server '[Hostname des Exchanges]'
Damit darf der authentifizierte Benutzer mit seiner primären SMTP-Adresse Mails über den Exchange senden
2) Um nun jede beliebige Absenderadresse zu verwenden müssen noch folgende Rechte vergeben werden:
Get-ReceiveConnector -Identity “Relay” | Add-ADPermission –User "Authenticated Users" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Get-ReceiveConnector -Identity “Relay” | Add-ADPermission –User "Authenticated Users" –ExtendedRights ms-Exch-SMTP-Accept-Any-Sender
Gruß
Marcus
also ich habe mir jetzt den alten Thread gar nicht erst durchgelesen, weil Bullshitverdacht.
Warum legst Du nicht einen Empfangskonnektor an? Jeder im AD angelegte und mit Exchangepostfach versehene Benutzer darf nach entsprechender Authentifizierung über den Exchangeserver per SMTP Mails versenden.
per Powershell so:
1) Konnektor anlegen:
new-ReceiveConnector -Name 'Relay' -Usage 'Custom' -Bindings '0.0.0.0:25' -RemoteIPRanges '[IP Adresse(n) der Clients]' -AuthMechanism 'BasicAuth' -PermissionGroups 'ExchangeUsers' -Server '[Hostname des Exchanges]'
Damit darf der authentifizierte Benutzer mit seiner primären SMTP-Adresse Mails über den Exchange senden
2) Um nun jede beliebige Absenderadresse zu verwenden müssen noch folgende Rechte vergeben werden:
Get-ReceiveConnector -Identity “Relay” | Add-ADPermission –User "Authenticated Users" –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Get-ReceiveConnector -Identity “Relay” | Add-ADPermission –User "Authenticated Users" –ExtendedRights ms-Exch-SMTP-Accept-Any-Sender
Gruß
Marcus
Moin Marcus,
Das Thema mit dem Add-ADPermission habe ich an vielen anderen Stellen auch gelesen, habe damit bei mir (Exchange 2013/CU2) aber ein Problem: es funktioniert einfach nicht.
Ich habe es soweit verfiziert, dass es nicht mit einem FrontendTransport-Connector geht, sehr wohl aber mit einem HubTransport.
Da ich aber ja Client-Kommunikation abwickeln will, sollte es doch ein FrontendTransport sein?
Bei Deinem New-ReceiveConnector kommt ein HubTransport heraus...soll das so sein? Warum geht das nicht mit einem Frontend?
Danke für ne Info!
Matthias
Das Thema mit dem Add-ADPermission habe ich an vielen anderen Stellen auch gelesen, habe damit bei mir (Exchange 2013/CU2) aber ein Problem: es funktioniert einfach nicht.
Ich habe es soweit verfiziert, dass es nicht mit einem FrontendTransport-Connector geht, sehr wohl aber mit einem HubTransport.
Da ich aber ja Client-Kommunikation abwickeln will, sollte es doch ein FrontendTransport sein?
Bei Deinem New-ReceiveConnector kommt ein HubTransport heraus...soll das so sein? Warum geht das nicht mit einem Frontend?
Danke für ne Info!
Matthias
Servus Matthias,
was meinst Du mit "FrontendTransport"? Einen Exchange 2010 mit Edge Transport Rolle?
Falls ja, dann wird das auf dem Edge Transport mit den Empfangskonnektoren ähnlich funktionieren. Hier gibt es nur das Problem, dass der ET ja in der DMZ steht und auch nicht Mitglied der Domäne ist, also einen Domänenbenutzer nicht authentifizieren kann.
Daher müsstest Du nicht mit "Authenticated Users" arbeiten sondern mit den lokalen Benutzern bzw. Gruppen.
Gruß
Marcus
was meinst Du mit "FrontendTransport"? Einen Exchange 2010 mit Edge Transport Rolle?
Falls ja, dann wird das auf dem Edge Transport mit den Empfangskonnektoren ähnlich funktionieren. Hier gibt es nur das Problem, dass der ET ja in der DMZ steht und auch nicht Mitglied der Domäne ist, also einen Domänenbenutzer nicht authentifizieren kann.
Daher müsstest Du nicht mit "Authenticated Users" arbeiten sondern mit den lokalen Benutzern bzw. Gruppen.
Gruß
Marcus
Hallo Marcus,
das ist bei Exchange 2013 wohl komplett anders...ich kenne Exchange aber nicht < 2013 In Exchange 2013 gibt es nur noch FrontendTransport (für Client-Kommunikation) und HubTransport (für interne Kommunikation von Exchange).
TransportFrontends sind eigentlich auf den CAS zu finden, die HubTransports auf den MBX. Unser Server hat beide Rollen in einem,
Viele Grüße,
Matthias
das ist bei Exchange 2013 wohl komplett anders...ich kenne Exchange aber nicht < 2013 In Exchange 2013 gibt es nur noch FrontendTransport (für Client-Kommunikation) und HubTransport (für interne Kommunikation von Exchange).
TransportFrontends sind eigentlich auf den CAS zu finden, die HubTransports auf den MBX. Unser Server hat beide Rollen in einem,
Viele Grüße,
Matthias
Zitat von @blindzero:
Hallo Marcus,
das ist bei Exchange 2013 wohl komplett anders...ich kenne Exchange aber nicht < 2013 In Exchange 2013 gibt es nur noch
FrontendTransport (für Client-Kommunikation) und HubTransport (für interne Kommunikation von Exchange).
TransportFrontends sind eigentlich auf den CAS zu finden, die HubTransports auf den MBX. Unser Server hat beide Rollen in einem,
Viele Grüße,
Matthias
Hallo Marcus,
das ist bei Exchange 2013 wohl komplett anders...ich kenne Exchange aber nicht < 2013 In Exchange 2013 gibt es nur noch
FrontendTransport (für Client-Kommunikation) und HubTransport (für interne Kommunikation von Exchange).
TransportFrontends sind eigentlich auf den CAS zu finden, die HubTransports auf den MBX. Unser Server hat beide Rollen in einem,
Viele Grüße,
Matthias
Aha! Seit wann sprechen wir denn von einem Exchange 2013?
Exchange 2013 habe ich nur in einer Testumgebung bisher gesehen und das auch nur wenige Schnupperminuten, sorry.