Re[2]: Sharepont via WMI
От: dpyzh  
Дата: 14.05.15 04:47
Оценка: 4 (1)
Здравствуйте, kanadohodec, Вы писали:

K>Дополнительная информация: ConnectionOptions для WMI:


K> _options.Impersonation = ImpersonationLevel.Impersonate;


Можно ли здесь попробовать не имперсонацию, а делегирование?
Нужно будет сделать:
To configure unconstrained delegation when the Domain Functional Level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2


On the domain controller for your Web server’s domain, complete the following steps.


1.Click Start , click Administrative Tools , and then click Active Directory Users and Computers .


2.Expand domain, and expand the Computers folder.


3.In the right pane, right-click the computer name for the Web server, select Properties , and then click the Delegation tab.


4.Click to select Trust this computer for delegation to any service (Kerberos only) .


5.Click OK .

https://technet.microsoft.com/en-us/library/ee675779.aspx

В целом выглядит как The Double-Hop Problem, как тут уже писали.


Применительно к WMI
Connecting to a 3rd Computer-Delegation (https://msdn.microsoft.com/en-us/library/aa389288(v=vs.85).aspx)
Re: Sharepont via WMI
От: BrainSlug Израиль  
Дата: 11.05.15 21:23
Оценка: 2 (1)
ниразу не спец по шарепоинту, но такая мысль
K>В диспетчере задач на удалённом сервере я вижу процесс PowerShell запущенный под DOMAIN1\deployAdmin. Он запускает тот же скрипт, что и при ручной установке компонента SharePoint.
K>Однако вручную скрипт соединяется с SQL как DOMAIN1\deployAdmin, а при авто-установке откуда-то вылазит 'NT AUTHORITY\ANONYMOUS LOGON'
что скорее всего к sql server пытается соединиться не скрипт, а установленная служба какая-нибудь, которая запущена локально/с локальными правами.
.
Re: Sharepont via WMI
От: gandjustas Россия http://blog.gandjustas.ru/
Дата: 12.05.15 12:20
Оценка: 2 (1)
Здравствуйте, kanadohodec, Вы писали:

K>Добрый день всем.

K>Вопрос к знатокам WMI, SharePoint, COMов и прилегающих областей.

Возьми autospinstaller (https://autospinstaller.codeplex.com/) и не мучайся
Re[3]: Sharepont via WMI
От: gandjustas Россия http://blog.gandjustas.ru/
Дата: 12.05.15 16:26
Оценка: 2 (1)
Здравствуйте, kanadohodec, Вы писали:

K>Здравствуйте, gandjustas, Вы писали:


K>Да и опять же, жгучий теоретический интерес: как и почему процесс, исполняющийся под учётной записью DOMAIN1\deployAdmin, лезет на SQL сервер как 'NT AUTHORITY\ANONYMOUS LOGON'


Скорее всего double hop issue.
Sharepont via WMI
От: kanadohodec СССР  
Дата: 11.05.15 21:10
Оценка:
Добрый день всем.
Вопрос к знатокам WMI, SharePoint, COMов и прилегающих областей.

Соорудил я веб-апп для автоматического развертывания (deployment) компонентов продукта, базирующегося на SharePoint 2010.
Для установки компонентов на множественные удалённые серверы использую WMI.
Виндоус сервисы устанавливаюся влёт, душа радуется.
А вот с компонентами шаропйнта проблема.

Мой веб-апп вынужден подстраиваться под специфику конторы.
Согласно этой специфике, всё, включая компоненты шаропйнта, устанавливается скриптами PowerShell.
Т.е. кто-то должен скопировать весь пакет, вместе со скриптами, на удалённый сервер, зайти на этот сервер и прогнать скрипты.

Мой веб-апп копирует всё, что надо, на удалённый сервер, запускает на удалённом сервере процесс PowerShell (через WMI), и скармливает ему нужный скрипт с нужными параметрами.

Всё чудно работает со скриптами установки виндоус сервисов.
Но с Шаропойнтом не катит. Шаропойнт тут же соединяется с SQL сервером. И получает ошибку:

SQL database login for 'SP2010IrisQAP_Config' on instance 'SharePointDB' failed. Additional error information from SQL Server is included below.
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

Почему и откуда выскочил 'NT AUTHORITY\ANONYMOUS LOGON' ?

Веб-апп работает под моей учётной записью на моём компе (на время разработки).
Для установки продуктов используется учётная запись DOMAIN1\deployAdmin
В диспетчере задач на удалённом сервере я вижу процесс PowerShell запущенный под DOMAIN1\deployAdmin. Он запускает тот же скрипт, что и при ручной установке компонента SharePoint.

Однако вручную скрипт соединяется с SQL как DOMAIN1\deployAdmin, а при авто-установке откуда-то вылазит 'NT AUTHORITY\ANONYMOUS LOGON'

Где тут кроется лопата?
Спасибо
Санкционный Смотритель.
Re: Sharepont via WMI
От: kanadohodec СССР  
Дата: 11.05.15 21:29
Оценка:
Дополнительная информация: ConnectionOptions для WMI:

            _options = new ConnectionOptions();
            _options.Username = _username;
            _options.Password = _password;
            _options.Authority = string.Format("ntlmdomain:{0}", _domain);
            _options.Impersonation = ImpersonationLevel.Impersonate;
            _options.EnablePrivileges = true;
            _options.Authentication = AuthenticationLevel.Call;
Санкционный Смотритель.
Re[2]: Sharepont via WMI
От: kanadohodec СССР  
Дата: 11.05.15 21:36
Оценка:
Здравствуйте, BrainSlug, Вы писали:

BS>что скорее всего к sql server пытается соединиться не скрипт, а установленная служба какая-нибудь, которая запущена локально/с локальными правами.


Почему она вылазит, когда скрипт запускается удалённо?
(Под учётной записью DOMAIN1\deployAdmin)

Почему не вылазит, когда этот же скрипт я исполняю вручную на сервере, как DOMAIN1\deployAdmin?
Санкционный Смотритель.
Re[2]: Sharepont via WMI
От: kanadohodec СССР  
Дата: 12.05.15 16:17
Оценка:
Здравствуйте, gandjustas, Вы писали:

G>Возьми autospinstaller (https://autospinstaller.codeplex.com/) и не мучайся


Это сыграет только если я уговорю всю громадную контору перейти на autospinstaller.
В чём я очень сомневаюсь.
Да и опять же, жгучий теоретический интерес: как и почему процесс, исполняющийся под учётной записью DOMAIN1\deployAdmin, лезет на SQL сервер как 'NT AUTHORITY\ANONYMOUS LOGON'
Санкционный Смотритель.
Re: Sharepont via WMI
От: -n1l-  
Дата: 14.05.15 06:21
Оценка:
У себя на работе ставлю через ps скрипты, ничего не пашет если не запускать ps из под администратора.
Re[3]: Sharepont via WMI
От: kanadohodec СССР  
Дата: 15.05.15 16:49
Оценка:
Здравствуйте, dpyzh, Вы писали:

D>Можно ли здесь попробовать не имперсонацию, а делегирование?


Именно это я и хочу попробовать.
Но, как это принято во всех "приличных" конторах, на контроллере доменов может хозяйничать только товарищ из поддержки инфраструктуры, а поддержка, естественно, делегирована в контору в Нью-Дели (и тут делегирование).
Ищу "партизана" из местных, кто поможет попробовать на одном из серверов.
И, если сработает, тогда уже я обращусь с официальной заявкой проделать это на всех целевых серверах.
Спасибо.
Санкционный Смотритель.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.