Cumulative Update 9 "Send-MailMessage"

[BoLicH 0]

Hallo verehrte Community,

 

vor einiger Zeit habe ich in meinem Unternehmen ein System eingeführt, welches Mitarbeitern ermöglicht Urlaubsvertretungen für Outlook selbst einzurichten.

Seit dem Cumulative Update 9 funktioniert dies allerdings nicht mehr einwandfrei, da mein dafür angelegter Benutzeraccount keine Berechtigung mehr hat,

den Befehl "Send-MailMessage" auf dem Mailserver via Powershell auszuführen.

 

Der genannte Benutzeraccount hat lokale Administratorrechte auf dem Mailserver.

Weiterhin steht die ExecutionPolicy auf 'Unrestricted'.

Die Werte von WSMan:\localhost\client\trustedhosts sind auf "*.DOMAIN.local" gesetzt.

Auch habe ich die "ExecutionPolicy -Scope" für 'CurrentUser' und 'Localmachine' auf 'Unrestricted' gesetzt.

 

Trotzdem bekomme ich folgenden Fehler:

 

 

send-mailmessage : Dienst nicht verfügbar. Übertragungskanal wird geschlossen. Die Serverantwort war: 4.3.2 Service
not available
In Zeile:1 Zeichen:1
+ send-mailmessage -to "xxxxx <xxxxx@domain.com>" -from "Outlook deleg ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (System.Net.Mail.SmtpClient:SmtpClient) [send-MailMessage], SmtpExcept
   ion
    + FullyQualifiedErrorId : SmtpException,Microsoft.PowerShell.Commands.SendMailMessage
 

 

Führe ich das Skript als Admin aus, klappt alles wunderbar!

Ich danke vorab für eure Hilfe!

 

Viele Grüße

Philipp

[Nobbyaushb 1.531]

Moin,

 

ist das System geheim oder hast du das selbstgestrickt?

 

Unter Umständen muss man mit dem CU9 noch einmal den Startparameter /PrepareAd starten.

 

Aktuell ist übrigens CU10 ;)

[BoLicH 0]

Moin,

 

das System ist selbstgestrickt und nicht geheim :-)

Ich habe eine html Seite gebastelt auf der User Vertretungen incl. Zeitraum, Mailarchivzugriff usw. selbst verwalten können.

Via php authentifiziert sich der Nutzer am AD, Fehler fange ich auch über php ab.

 

Soweit erfolgreich, werden die eingebeben Daten an Powershell-Skripte übergeben, welche die Aktionen zum gewünschten

Zeitpunkt über den Task-Scheduler ausführen.

 

Dies funktioniert auch weiterhin einwandfrei, bis auf das Senden der E-Mails,

welche den Nutzern nochmal alle gesetzen Werte übersichtlich bereitstellen soll.

 

Alle beschriebenen Aktionen werden von einem nur dafür angelegten User ausgeführt.

Jener darf wie beschrieben, aus mir nicht ersichtlichen Gründen,

via Powershell "Send-MailMessage" nicht mehr ausführen.

 

Gerne poste ich auch Teile des Skripts, falls das hilfreich sein sollte!

VG

bearbeitet 28. September 2015 von BoLicH

[tesso 382]

Evtl. wurde beim Update RBAC verändert?

[BoLicH 0]

Hi tesso,

 

danke für den Hinweis.

Selbst wenn ich den Benutzeraccount der Gruppe Domänenadmins hinzufüge,

kann/darf er keine Mails via Powershell senden...

VG

[NorbertFe 2.187]

Das ist auch so ziemlich das "ungünstigste" was man tun kann, weil die Domänenadmins in Exchange sowieso nicht alles dürfen, und zweitens weil dann auch diverse andere Restriktionen greifen können.

[BoLicH 0]

Wer darf denn auf dem Exchange "alles"?

Welche Rechte benötigt ein Nutzer zum Senden von Mails via Powershell?

 

Was bedeutet "4.3.2 Service not available" konkret?

VG

[tesso 382]

Fehlermeldungen in eine Suchmaschine eingeben ist nicht so schwer

4.3.2  The recipients incoming mail queue is stop

 

Auf dem Exchange ist rbac aktiv. Niemand hat alle Rechte auf dem Exchange, es sei denn du gibst sie ihm.

 

Nach der SMTP Fehlermeldung würde ich bei den Diensten suchen oder mal den Server durchstarten.

[BoLicH 0]

Einige Zugriffsrechte auf die Gruppe "Exchange Trusted Subsystem" wurden dem User nach dem Update scheinbar entzogen.

Habe ihm testweise Vollzugriff auf die Gruppe gegeben, DB´s verschoben und neugestartet...

 

Nun läuft es wieder!

Ich danke herzlichst für Eure Bemühungen!

 

VG

[NorbertFe 2.187]

Um eine Mail zu senden ist es allerdings schon etwas "Holzhammer", wenn man ihm Exchange Trusted Subsystem Zugriffsrechte gewährt. Ich würde mal schauen, was man wirklich benötigt, anstatt wild irgendwelche Systemrechte zu vergeben. ;)

[BoLicH 0]

Der "Holzhammer" wurde mir von einem Kollegen auch attestiert, allerdings bin ich nun erstmal froh dass es wieder läuft :)

Inwieweit ich den Zugriff wieder einschränken kann lässt sich jetzt einfacher ermitteln!

 

Du würdest einen solchen Useraccount garnicht in die genannte Gruppe aufnehmen?

[NorbertFe 2.187]

NAtürlich NICHT! ;) Wozu auch?

[BoLicH 0]

Das weiß ich nicht, du scheinst der Experte zu sein :)

Ganz ohne diese Gruppe läufts bei mir nicht...

 

Nunja, nochmals herzlichen Dank, ich denke dass Thema ist geklärt!

 

VG

[MrCocktail 202]

NAtürlich NICHT! ;) Wozu auch?

 

Damit es funktioniert ...

*ironieaus*

 

Das ist nicht nur ein Holzhammer, das ist gleich die ganze Werkbank.

 

Warum kannst du dich nicht einfach im SMTP Dialog anmelden?

[NorbertFe 2.187]

Hat er doch geschrieben:

"Inwieweit ich den Zugriff wieder einschränken kann lässt sich jetzt einfacher ermitteln!"

 

Ersetze "kann" durch "will". ;) Geht doch...

 

Bye

Norbert