none
Orchestrator 2012 SP1. Не работает PowerShell Script Execution Integration Pack RRS feed

  • Вопрос

  • Коллеги, кто имел опыт работы с PowerShell Script Execution Integration Pack в Оркестраторе, прошу помочь.

    Ситуация следующая. Пытаюсь выполнить подобный примитивный ранбук:

    Исполнение ранбука возвращает успех. Но результат исполнения скрипта просто отсутствует. Такая ситуация при любом содержимом скртпта :(.

    Конфигурация следующая:

    - Сервер исполнения и хранения - Оркестратор-сервер.

    - Моделирование ранбука - Сервисменеджер-сервер.

    - На Оркестраторе дополнительно установлены Framework 4.0, System Center 2012 Orchestrator Integration Toolkit, winrm quickconfig успешно выполнено, порт 5985 открыт.

    - Исполнение скриптов опробовано под сервисной у\з администратора Оркестратора и под сервисной у\з Сермисменеджера.

    - Авторизация успешно работает Default или Kerberos.

    - Скрин конфига PowerShell Script Execution Integration Pack:

    16 апреля 2013 г. 11:46

Ответы

  • Просто в такой конфигурации вам нужно крайне внимательно отслеживать делегирование. Потому что по факту PowerShell Script Execution использует PowerShell Remoting. Т.е. в вашем случае все участники должны понимать Kerberos (читай иметь SPN-записи), и должно быть правильно настроено делегирование. Причем в вашем случае делегированием занимается именно процесс WinRM, а не сам Orchestrator. Именно WinRM будет передавать учетные данные на удаленный сервер. 

    SCSMSolutions
    email: freemanru (at) gmail (dot) com

    • Помечено в качестве ответа Dismantled 18 апреля 2013 г. 7:02
    17 апреля 2013 г. 14:13
    Модератор
  • Решено.

    Прописан SPN для scorsvc:

    Winrm/sc-or
     
    Winrm/sc-or.mydomain.local
    

    Установлено делегирование для SC-OR по инструкции

    http://blog.scsmsolutions.com/2012/11/configure-the-kerberos-for-scsm-2012-spn-and-delegation/

    Антон, большое спасибо!

    • Помечено в качестве ответа Dismantled 18 апреля 2013 г. 7:02
    18 апреля 2013 г. 7:01

Все ответы

  • Дальнейшее экспериментирование показало, что непосредственно PowerShell Script Execution Integration Pack работает корректно. Не исполняются только те команды скрипта, которые обращаются к некому третьему ресурсу (как в моём примере выше - New-Item -ItemType directory -Path \\server\temp\test).

    Применение в скрипте команды [Security.Principal.WindowsIdentity]::GetCurrent() | Out-File C:\ps.log показало, что ранбуки исполняются, как положено, из под учётки scorsvc на Оркестраторе (SC-OR). А тот самый третий ресурс (\\server из примера) показывает нам Анонимус логон, что и даёт отрицательный результат.

    Было принято решение прописать соответтвующие SPN-ы для scorsvc. Было прописано (всё сразу):

    orunbook/sc-or

    orunbook/sc-or.mydomain.local

    omanagement/sc-or

    omanagement/sc-or.mydomain.local

    SC-OR перезапущен, но результата это не принесло.

    Добавил ещё пресловутый:

    MSOMSdkSvc/sc-or

    MSOMSdkSvc/sc-or.mydomain.local

    Тоже никакого результата. Кстати, попутный вопрос, откуда эти префиксы MS и Svc вначале и конце названия службы? В оригинале имя службы просто OMSDK. Может быть мне тоже эти префиксы добавить, например к orunbook :)?

    Какие ещё есть варианты? (ну кроме - не использовать Оркестратор :))

    17 апреля 2013 г. 8:25
  • А с чем связано использование PowerShell Script Execution? Почему не используете стандартный модуль?


    SCSMSolutions
    email: freemanru (at) gmail (dot) com

    17 апреля 2013 г. 11:42
    Модератор
  • Стандартный не понимает Add-PSSnapin SqlServerCmdletSnapin100

    Какие-то у них разногласия по разрядности.

    http://www.sc-orchestrator.eu/index.php/scoblog/64-using-64bit-powershell-cmdlets-in-the-run-net-script-activity-from-orchestrator

    http://social.technet.microsoft.com/Forums/en-US/scogeneral/thread/511813d7-e90b-496a-823c-ef44e0ef4922/


    • Изменено Dismantled 17 апреля 2013 г. 11:53
    17 апреля 2013 г. 11:52
  • Просто в такой конфигурации вам нужно крайне внимательно отслеживать делегирование. Потому что по факту PowerShell Script Execution использует PowerShell Remoting. Т.е. в вашем случае все участники должны понимать Kerberos (читай иметь SPN-записи), и должно быть правильно настроено делегирование. Причем в вашем случае делегированием занимается именно процесс WinRM, а не сам Orchestrator. Именно WinRM будет передавать учетные данные на удаленный сервер. 

    SCSMSolutions
    email: freemanru (at) gmail (dot) com

    • Помечено в качестве ответа Dismantled 18 апреля 2013 г. 7:02
    17 апреля 2013 г. 14:13
    Модератор
  • Т. е. , на сколько я понял, для моего случая нужно будет прописать у/з scorsvc такой spn? Winrm/sc-or Winrm/sc-or.mydomain.local Сохраняется ли при этом необходимость в спн-ах служб оркестратора, указанных мной выше?
    • Изменено Dismantled 17 апреля 2013 г. 19:01
    17 апреля 2013 г. 19:00
  • Winrm/sc-or

    Winrm/sc-or.mydomain.local

    Только это не помогло.
    Давайте попробуем по порядку. Есть следующие участники событий:

    А - SCSM

    Б - Оркестратор

    С - некий третий ресурс

    scorsvc - учётная запись, с правами администратора на А и Б

    winrm - служба

    omanagement и orunbook - службы оркестратора

    Сценарий:

    На А создаётся ранбук, содержащий в себе  PowerShell Script Execution. Ранбук отправляется на исполнение на Б под учёткой scorsvc и там исполняется. Ранбук исполняется на Б и при этом в некоторых командах обращается на С. Но команды отправленные на С игнорируются по понятным причинам.

    Вопросы:

    Какие взаимоотношения (SPN и делегирования) должны быть у вышеуказанных участников для успешной реализации сценария?

    Условие:

    Все участники в пределах одного локального домена. Непосредственно на ресурсе (-сах) "С" нет возможности изменять какие-либо настройки.

    18 апреля 2013 г. 6:14
  • Решено.

    Прописан SPN для scorsvc:

    Winrm/sc-or
     
    Winrm/sc-or.mydomain.local
    

    Установлено делегирование для SC-OR по инструкции

    http://blog.scsmsolutions.com/2012/11/configure-the-kerberos-for-scsm-2012-spn-and-delegation/

    Антон, большое спасибо!

    • Помечено в качестве ответа Dismantled 18 апреля 2013 г. 7:02
    18 апреля 2013 г. 7:01