Hallo zusammen,
ich würde gern gemäß dieser Anleitung ( https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/ ) einen gMSA für Exchange benutzen.
Der gMSA Account ist erstellt, der Gruppe "View-Only Organization Management" hinzugefügt und lässt sich auch den geplanten Tasks zuweisen. Diese werden auch ausgeführt, es sei denn ich starte eine "Exchange Managment Shell", in der ich dann gern Exchange spezifische Powershell-Skripte ausführen würde (bspw. die Exchange-Backup-Skripte, die hier https://www.frankysweb.de/exchange-server-backup-der-konfiguration-erstellen/ beschrieben sind).
Das funktioniert bei mir jedoch nicht, weil sich der gMSA wohl nicht gegenüber Exchange authentifizieren kann. In einem Microsoft Forum ( https://answers.microsoft.com/en-us/msoffice/forum/all/can-a-gmsa-account-perform-exchange-operations-on/06c3ce51-d9f4-459a-bcc2-4ed39533e68e ) habe ich auch die Aussage gelesen "Group Managed Service Accounts (gMSA) are not supported in on-premises Exchange Server environments. Therefore, you cannot perform Exchange operations using GMSA account."
Bin ich da wirklich so sehr auf dem Holzweg oder übersehe ich etwas? Wie lassen andere solche Skripte automatisiert ausführen?
Doch das geht wenn Test-AdServiceAccount true liefert auf dem Exchange. Nur hat der gMSA mit "View-Only Organization Management" vermutlich nicht genung Rechte.
Ich bin an dieser Stelle leider bislang nicht weitergekommen.
Den gMSA Account habe ich testweise in die Gruppe der Domänen-Admins aufgenommen und auch in die Gruppe "Organization Management" (nicht mehr nur View-Only).
Wenn ich mit "Test-AdServiceAccount" den Benutzer teste, bekomme ich wie gewünscht das "True" zurück.
Wenn ich mit psexec64.exe aus den SysinternalsTools eine Powershell als dieser gMSA Account starte, die "RemoteExchange.ps1" ausführe und anschließend das "Connect-ExchangeServer -auto -ClientApplication:ManagementShell", bekomme ich die folgenden Fehlermeldungen:
WARNUNG: Am Active Directory-Standort XXXXX sind keine Exchange-Server verfügbar. Es wird eine Verbindung zu einem Exchange-Server an einem anderen Active Directory-Standort hergestellt. AUSFÜHRLICH: Verbindung mit XXXXXXXXXXXXXXXXXXXXXXXXXX wird hergestellt. New-PSSession : [XXXXXXXXXXXXXXXXXXXXXXXXXX] Beim Verarbeiten von Daten vom Remoteserver "XXXXXXXXXXXXXXXXXXXXXXXXXX" ist folgender Fehler aufgetreten: [ClientAccessServer=XXXXXXXXXXXXX,BackEndServer=XXXXXXXXXXXXXXXXXXXXXXXXXX,RequestId=63fca4c7-e3b5-46e4-9b63-115dd2767 817,TimeStamp=11.09.2025 07:02:10] [AuthZRequestId=f48d73b6-a8cd-47d8-b718-74907b36c0be][FailureC ategory=AuthZ-CmdletAccessDeniedException] Der Vorgang konnte nicht ausgeführt werden, weil 'XXXXX\XXXXXXXXXXXXgMSA$' nicht gefunden wurde. Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting". In Zeile:1 Zeichen:1 + New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Micr ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New -PSSession], PSRemotingTransportException + FullyQualifiedErrorId : IncorrectProtocolVersion,PSSessionOpenFailed
