Wie erstelle ich eine Exchange 2016 Backup-Konfiguration mit NetWorker ohne einen Domänenadmin?

Standardmäßig geht Dell EMC davon aus, dass man zur Konfiguration des Backup-Accounts einen Account mit Domänenadmin-Berechtigungen hat.

Das „NMM Exchange Admin Configuration„-Tool würde damit dann in einem Rutsch den Benutzer konfigurieren und mit den entsprechenden Berechtigungen versehen.

Aber was ist, wenn man (z.B. aus Sicherheitsgründen) eben keinen Domämenadmin zur Hand hat? Auch das ist möglich, jedoch ist die NMM Doku leider hier recht lückenhaft.

Apropos Tool: Was genau macht das eigentlich?

Im Log des Tools (Standardmäßig: C:\Program Files\EMC NetWorker\nsr\applogs\UserConfigUI.log ) steht leider auch nicht so viel.

Das Tool legt im AD eine neue Gruppe namens „NMM Exchange Admin Role“ an, fügt den angegebenen User dort hinzu, gibt ihm die benötigten Berechtigungen in Exchange, auf den Exchange-Knoten des DAGs und im AD.
Darüber hinaus vergibt es noch Send-As und Receive-As Berechtigungen für den User – allerdings nicht auf Mailbox-, sondern auf Exchange-Server-Ebene.

Dies tut es mittels des Powershell-Kommandos:

get-ExchangeServer <Exchange Server name> | Add-AdPermission -user <username> -extendedrights Receive-As, Send-As

Und im letzten Schritt registriert es noch eine Exchange PowerShell-Library für den Benutzer und legt in der Registry diverse Einträge in „HKEY_LOCAL_MACHINE\SOFTWARE\LEGATO\NETWORKER\VSSCLIENT“ an.
Exchange Domain, Exchange Passwort & Exchange Username

Sprich – das sind die Informationen des Backup-Benutzers. Sollte sich also irgendwann mal das Passwort des Benutzers ändern, muss man das Tool auf allen Knoten noch einmal laufen lassen, um das Passwort zu aktualisieren.


HKEY_LOCAL_MACHINE\SOFTWARE\LEGATO\NETWORKER\VSSCLIENT

Hat man KEINEN Domänenadmin zur Hand, muss man diese ganzen Dinge leider manuell machen.
Das heißt:
– Der gewünschte User muss auf allen Exchange-Knoten in die „Local Administrators“ Gruppe.
– Im AD muss der User in die „Backup Operators“ und in die „Remote Desktop Users“ Gruppen.
– Im Exchange selber benötigt er die Rollen „Organization Management“ und „Exchange Servers“.
– Und die Berechtigungen: Database Copies, Databases, Disaster Recovery, Mailbox Import Export, Mail Recipient Creation, Mail Recipients, View-Only Configuration, View-Only Recipients.
– Der User benötigt außerdem eine eigene Mailbox.
– Und er braucht die Send-As und Receive-As Berechtigungen, die man mit diesem Powershell-Befehl vergeben kann: get-ExchangeServer <Exchange Server name> | Add-AdPermission -user <username> -extendedrights Receive-As, Send-As

Sobald dies erledigt ist, muss man auf jedem Knoten das NMM Exchange Admin Configuration Tool ausführen.
Dies muss mit dem User ausgeführt werden, der konfiguriert werden soll, da dieser ja jetzt über die entsprechenden Berechtigungen verfügt. D.h. man kann sich entweder direkt mit diesem User einloggen oder (falls dies nicht geht) das Tool mittels Rechtsklick -> Run as Different User starten.


Hier wählt man: Configure Admin User

Es erscheint ein neues Fenster.
Configure existing user

Bei User Name den Benutzer eintragen und bei Password das Passwort für den Benutzer.
Wichtig: Unten MUSS das Häkchen bei „Skip Active Directory Authentication“ gesetzt werden!

Dann klickt man auf Configure.

Im Anschluss sollte in dem unteren Teil des Fensters stehen, dass der Benutzer erfolgreich konfiguriert worden ist.

Diese Prozedur muss auf allen Exchange-Knoten durchgeführt werden.

Das Tool führt jetzt nur noch zwei Schritte aus:
1) Es registriert die Exchange PowerShell Library für den User
2) Es erstellt die oben genannten Registry Einträge

Sobald der User damit angelegt worden ist, kann man das Backup nun über die NMC konfigurieren.