Мы автоматизировали развертывание нашего кластера с помощью Powershell и специально добавили узлы в существующий кластер.
Ситуация, в которой мы находимся, следующая:
Мы имеемсоздайте веб-приложение, работающее под управлением IIS, и запустите сценарии powershell на сервере IIS.Эти сценарии будут удаленно устанавливать SQL Server, настраивать его и пытаться добавить компьютер в существующий кластер, если указан флаг «HA».Теперь это добавление в кластер вызывает у нас проблемы с безопасностью.Проблема заключается в том, что функция Add-Clusternode не будет принимать учетные данные, поэтому для этого есть два способа:
Мы запускаем ее как учетную запись службы, под которой запускается IIS.для этой учетной записи службы требуются права локального администратора на всех узлах кластера, а не только на том, который мы пытаемся добавить.Это довольно серьезная проблема безопасности, поскольку это, в свою очередь, означает, что при доступе к среде IIS можно запускать вредоносный код на всех узлах кластера.
Попытка выполнить это удаленно через Invoke-Команда, однако это требует, чтобы CredSSP был включен, если я хочу сделать это как пользователь установки.Включение CredSSP само по себе не является проблемой, однако, это должно быть запущено из расширенного Powershell, который вызывает запросы.И поскольку это запускается из веб-интерфейса, на самом деле нет экрана (или приглашения) PowerShell.
Кто-нибудь имеет опыт работы с этим и, возможно, имеет третий вариант или другой возможный обходной путь для этой проблемы?
Заранее спасибо!
С уважением,
Дэнни