Почему не удается подключиться к Exchange через PowerShell?

Question

[shupike]

Добрый день! Откопал старый скрипт PowerShell - когда-то применял к Exchange 2013, все отлично работало. Скрипт позволяет через GUI добавлять почтовые ящики к учеткам в AD (попутно назначая alias). Но вот на Exchange 2019 фокус не прошел - не удается подключиться к серверу, находясь прямо на сервере. Проблема вот здесь:
$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://mail.domain.ru/PowerShell/ -Authentication Kerberos
Выдается ошибка:
"Connecting to remote server mail.domain.ru failed with the following error message : WinRM cannot process the request. The following error occurred while using Kerberos authentication: The computer mailserver.com is unknown to Kerberos."

Что предпринять, чтобы подключиться к серверу из PowerShell? Заранее спасибо.

Comments

[Роман Безруков]

-ConnectionUri https://mail.domain.ru/PowerShell/

точно HTTPS? креды еще потерялись...

[shupike]

Ну вот эта часть скрипта отвечает за подключение и в таком виде раньше работало:
$strLogin = $env:username
$strDomain = $env:userdomain
$credential=$strDomain+"\"+$strLogin

$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://mail.domain.ru/PowerShell/ -Authentication Kerberos
#-Credential $credential
Import-PSSession $s

Причем я сейчас дописал https, ранее было просто http.

[Роман Безруков]

shupike,
1. Должно быть HTTP;
2. Должно быть так:

$credential = Get-Credential($strDomain+"\"+$strLogin)

[MVV]

shupike, 'S' дописывать не надо: удаленное подключение к серверу Exchange для Powershell работает по протоколу WinRM поверх HTTP, без использования TLS.

Answer 1

[MVV]

Причина ошибки, скорее всего - в том, что SPN HTTP/mail.domain.ru (или HOST/mail.domain.ru, которое может использоваться вместо предыдущего, если оно вообще в лесу не зарегистрировано) )для сервера Exchange не зарегистрировано. Это нормальное положение дел, если сам сервер называется по-другому, не MAIL. Для проверки псомотрите командой setspn -L имя_сервера, какие SPN для него зарегистрированы, и обращайтесь по соответсвующему имени хоста(вторая часть SPN) из SPN с именем службы (первая часть SPN) HTTP или HOST.

Comments

[shupike]

setspn -L имя_сервера - я правильно же понимаю, что команда setspn с ключом -L только покажет SPN для сервера, а ничего не добавит?

[MVV]

shupike, да.

Answer 2

[shupike]

Порядок, скрипт запускается и выполняет команды. Но остался нюанс - я запускаю от своей учетки, а нужно все это делегировать коллеге, а его учетка не входит в Organization Management (Microsoft Exchange Security Exchange Groups). И он не видит списка учетных записей в Active Directory, которые считывает скрипт при запуске. Достаточно будет его учетную запись добавить в эту группу? При этом он также получит полный доступ к управлению Exchange-сервером? Тут как бы хотелось ему предоставить только добавление/удаление ящиков, чтобы не зашел в ECP. Как это лучше реализовать?

Comments

[Роман Безруков]

Вы читали официальную документацию Exchange? В ней есть ответы на ваши вопросы:
1. В документации описаны все группы, которые создает Exchange в AD при установке, их назначение и состав по умолчанию, также у этих групп есть внятное описание (Description)
2. В документации описан механизм Exchange RBAC и соответствующие административные роли. Есть примеры с назначением ролей

а его учетка не входит в Organization Management

она и не должна входит в эту группу, ибо эта группа имеет самые большие полномочия, и раздавать ее кому попало - небезопасно. По указанным требованиям вашему коллеге достаточно роли Recipient Management (либо делайте свою роль).

И он не видит списка учетных записей в Active Directory, которые считывает скрипт при запуске

Так-то любой авторизованный пользователь может выполнить поиск в AD. А откуда скрипт их считывает? Со стороны AD вашему коллеге нужна группа Account Management (либо делегировать конкретные права)