Настройка веб-сервера IIS

Большинство пользователей при работе в тонком или веб-клиенте используют в основном публикацию информационных баз на основании протокола HTTP. С одной стороны — это простой и быстрый способ дать доступ к информационной базе пользователю, у которого нет дистрибутива тонкого клиента, и он может работать только в веб-клиенте или у пользователя нет прямого доступа к серверу «1С:Предприятие». С другой стороны – информационные базы, опубликованным таким образом, категорически не рекомендуются публиковать в глобальной сети Интернет, так как в таком случае используется незащищенный канал, данные по которому могут быть перехвачены злоумышленниками. Например, распространенные виды атак это:

Решением этих проблем является использование расширения протокола HTTP и в данной статье рассмотрены публикации информационных баз с использование протокола с шифрованием (HTTPS) для веб-сервера IIS.

Внимание! В статье не рассматривается выпуск и получение сертификата проверенных поставщиков. Этот пункт должен быть выполнен самостоятельно на основании предпочтений выбора провайдера услуг. В статье предполагается что, пропуская шаг выпуска самоподписанных сертификатов, у пользователя или администратора он имеется в наличие и будет подставлен в настроечные файлы, вместо указанных в статье самоподписанных сертификатов.

План работ:

Включение компонент веб-сервера.

Windows Server 2012 R2, 2016 и 2019.

Выпуск самоподписанного сертификата (Необязательно).

1. Включение компонент веб-сервера

По умолчанию в операционной среде Windows компоненты веб-сервера не установлены. В зависимости от версии установка может несущественно различаться. Мы будем рассматривать два варианта – это распространенный дистрибутив Windows 10, если планируются использовать для пробного включения шифрования протокола и Windows Server 2016/2018, если уже планируется непосредственное разворачивание публикации в продуктивной зоне.

1.1. Windows 10

Включение компонентов веб-сервера IIS в операционной системе Windows 10 выполняется достаточно просто. Для начала нужно открыть раздел «Программы и компоненты» («Programs and Features») в панели управления (Control panel). Сделать можно это несколькими способами:

Нажать сочетание клавиш Win + R и в открывшемся окне ввести «appwiz.cpl» и нажать ОК.

Открыть панель управления (Control panel) и выбрать пункт меню Программы – Программы и компоненты (Programs – Programs and features).

В окне «Программы и компоненты» («Programs and Features») нажмите на кнопку «Включение и отключение компонентов Windows» («Turn Windows features on or off»).

Когда откроется окно «Компоненты Windows» («Windows features») в нем необходимо будет проставить флажки для следующих элементов:

Компоненты разработки приложений

Средства управления веб-сайтом

Консоль управления IIS

После этого нажимайте на кнопку «OK» и дождитесь завершения выполнения операции. После того как включение компонент будет выполнено, можно переходить к пункту «2. Публикация информационной базы».

1.2 Windows Server 2012 R2, 2016 и 2019

Настройка компонент для Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 одинаковая и все настройки производятся в диспетчере серверов (Server Manager).

Откройте диспетчер серверов (Server Manager) и нажмите Управление – Добавить роли и компоненты (Manage – Add Roles and Features).

В ответ на нажатие откроется окно мастера добавления ролей и компонентов (Add Roles and Features).

В этом окне нажмите два раза «Далее» («Next») пока мастер не переключится на страницу ролей сервера (Server Roles).

Во вкладке роли сервера (Server Roles) установите флажок «Web Server IIS». Так как эта роль зависит от другой роли ([Tools] IIS Management Console), то будет предложено установить ее дополнительно. Это можно сделать с помощью нажатия кнопки «Добавить компоненты» (Add Features) в открывшемся окне. После чего нажимаем кнопку «Далее» («Next») пока мастер не дойдет до вкладки «Роль веб-сервера IIS» («Web Server Role IIS»). На этой вкладке нажимайте кнопку «Далее» («Next») и попадете на вкладку «Службу ролей» («Role Services»). Во вкладке нужно найти пункт «Application Development» и выбрать в нем с помощью флажков пункты «ISAPI Extensions» и «ISAPI Filters». Как только закончите с установкой флажков нажимайте «Далее» («Next») и «Установить» («Install»).

На этом установка веб-сервера завершена. Можно переходить к настройкам сертификатов.

2. Выпуск самоподписанного сертификата

Выпуск самоподписанного сертификата для веб-сервера IIS максимально простой.

Для реальных систем не рекомендуем использовать самоподписанный сертификат.

Для начала процедуры выпуска откройте окно Диспетчера служб IIS (Internet Information Services (IIS) Manager) и выделите сервер в списке Подключений (Connections) . После этого нажмите на ссылку «Сертификаты сервера» («Server Certificates») .

Откроется окно доступных сертификатов сервера (Server Certificates) в котором нужно нажать «Создать самозаверенный сертификат…» («Create Self-Signed Certificate…»).

В окне мастера создания самоподписанного сертификата остается указать только произвольное название сертификата. В большинстве случаев, во избежание путаницы лучше явно указывать в качестве значения «Полное имя сертификата» («Specify a friendly name for the certificate») адрес сервера, на котором расположен сервер IIS. Как только имя сертификата будет задано нажимайте на кнопку OK и переходите к пункту привязки сертификата.

3. Привязка сертификата

Предполагается, что сертификат получен и добавлен в список сертификатов сервера. Если сертификат получен с помощью распространенного сертифицирующего центра, то его нужно предварительно импортировать в окне «Сертификаты сервера» («Server Certificates»).

Как только сертификат появится в списке, переходим непосредственно к его привязки к публикации сайта. Для этого выделяем «Default Web Site» и в окне «Действия» («Actions») нажимаем на пункт «Привязки…» («Binding…»).

В этом окне можно увидеть, что публикация работает только на порту 80, который относится к незащищенному протоколу HTTP. Чтобы его расширить, нажмите кнопку Добавить… (Add…) слева от списка привязок сайта и в открывшемся окне выберите Тип (Type) в качестве значения «https». Завершением настройки будет выбор ранее импортированного сертификата в списке «SSL-сертификат» («SSL certificate»). Нажимаем кнопку OK и закрываем мастер привязок сайта.

Можно переходить к публикации информационной и проверки его работоспособности.

4. Проверка публикации

Для публикации информационной базы нужно открыть конфигуратор конкретной базы от имени администратора и перейти в пункт меню «Администрирование». После этого выбрать «Публикация информационной базы».

В окне публикации указать имя публикации и по желанию определить каталог, где будут находиться настройки публикации. Его также можно оставить по умолчанию.

После этого требуется нажать кнопку «Опубликовать» и дождаться окончания операции.

Для проверки корректной работы нужно открыть страницу в браузере и перейти по ссылке, которая состоит из двух частей:

• Имя вашего сервера (например, server1)
• Имя публикации базы (которое было указано в окне настройки публикации)

Для таких параметров ссылка будет иметь вид:

Если все хорошо, то откроется страница с вашей информационной базой.

1C Предприятие 8.2 на Windows Server 2012 и SQL Server 2012

Не так давно появился новый релиз технологической платформы 1С Предприятие 8.2 (8.2.17.143) с поддержкой SQL Server 2012. Информацию о последних выпущенных в “паблик” релизах программных файлов 1С можно найти на странице Текущие релизы программ фирмы «1С»

Успешно развернули серверные компоненты 1С 8.2 на Windows Server 2012 и клиентские компоненты на сервере служб RDS Windows Server 2012. Всё довольно ровно встало и заработало без дополнительных шаманств, в том числе по стандартной схеме и драйвер HASP. БД перенесли с SQL Server 2008 R2 на SQL Server 2012 обычным методом backup/restore. Никаких хаков SQL теперь не требуется, всё работает вполне себе штатно. После запуска базы в “кластере” 1С зашли в Конфигуратор и провели тестирование БД — полёт нормальный.

Поделиться ссылкой на эту запись:

Похожее

Всего комментариев: 26 Комментировать

Веб компоненты работают нормально?

А также интересует HASP — проблем на 2012 нет?

Насчет веб-компонент сказать ничего не могу, так как в используемой у нас конфигурации этот функционал не используется. А вот c HASP (у нас USB ключ если не изменяет память HASP HL) всё пучком. Работает старый драйвер, тот который сделан ещё под Windows Server 2008.

Алексей, для сервера 1c предприятия виртуализацию не используете?
Жду покупку USB redirector компанией и также собираюсь пускать в продакшен подобную схему.

Используем, ещё со времён 1С 8.1. USB-ключи в виртуалку транслируем с помощью девайса DIGI AnywhereUSB/14. Нареканий на него нет.

Мы тоже использовали железку от Digi, пока не перешли на пятую сферу.
В ней проброс USB донглов работает ок.

Сейчас в 1С используется электронная лицензия типа как активация. Так что можно проброс юсб становится неактуальным.
http://usbip.sourceforge.net/
софтовый юсб редиректор.

Ну во первых, если 1С покупалась ещё во времена 8.1 (с последующим обновлением на 8.2), то ключ будет аппаратный. Так что, если для Вас это не актуально, не надо думать что у всех вокруг ситуация аналогичная. А во вторых, все софтовые редиректоры имеют один существенный недостаток — ключи должны хоститься на каком-то отдельном сервере, то есть вы входите в зависимость от дополнительного аппаратного сервера и его ОС, а в случае с USBIP для хостового сервера, который будет раздавать ключи вообще может использоваться только Linux-система (под Windows реализован только клиент). Про всякие там «пробросы через сферы» я вообще молчу. На сегодня единственным адекватным решением для централизованной раздачи ключей могу считать только аппаратные редиректоры. DIGI AnywhereUSB/14 имеет в форм-факторе 1U (рэк) — 14 USB-портов, каждый из которых может быть странслирован в абсолютно разные системы. Более того, железка имеет дублированный LAN и два блока питания, что становиться действительно полезным с точки зрения повышения доступности.

>ключи должны хоститься на каком-то отдельном сервере
непосредственно на хосте виртуализации, к примеру 🙂
в этом случае, не вижу проблемы зависимости от дополнительного аппаратного сервера

непосредственно на хосте виртуализации..
. в этом случае, не вижу проблемы зависимости от дополнительного аппаратного сервера

Нормальная среда виртуализации должна быть сконфигурирована таким образом, чтобы в любое время можно было вывести (в том числе и нештатно) любой хост виртуализации. Сильно сомневаюсь, что в такой ситуации Вы будете говорить о том, что с софтовым перенаправлением также всё чудесно.

Алексей, а железка Digi Anywhere без проблем заработала с Windows Server 2012?

Создание дополнительного кластера 1С предприятия для Windows Server 2012 на одном физическом сервере

Если у вас есть опыт создания дополнительного кластера 1С предприятие на сервере 2008 R2 и ниже. И если вы пытаетесь перенести свой опыт на Windows 2012 Server, вы столкнетесь с тем, что простое копирование веток реестра HKLM\System\CurrentControlSet\Services не создает новой копии службы 1С предприятие в списке служб.

Все дело в том, что Microsoft в целях безопасности поменяла способ хранения списка служб. Теперь основной список служб хранится в защищенной области реестра и требует повышения привилегий при создании службы. Место хранения настроек службы, для сохранения обратной совместимости, не изменилось.

Ничего не изменилось для программ и установщиков, которые прописывают службы через Windows API. А вот для системного администратора уже давно существует утилита SC.EXE. Просто ей мало кто пользовался.

Давайте же для примера создадим копию кластера 1С предприятие с точностью до минорной версии. Мы будем действовать из консоли с повышенными привилегиями. Запустим консоль от имени администратора.

Для начала мы сделаем полную копию каталогов BIN и SrvInfo. 1C не рекомендует разным копиям кластера использовать один и тот же каталог SrvInfo.

Для этого мы можем выполнить следующие консольные команды:

Программа XCOPY задаст вопрос, что мы имеем в виду под «назначением», каталог или файл. Мы должны указать, что это каталог. Как на рисунке.

Далее, мы создаем еще один сервис 1С предприятия, работающий во вновь созданных каталогах.

Для команды sc очень важно отсутствие пробела перед знаком равно («=») в параметрах. Также важен пробел после знака равно («=») в параметрах. Очень внимательно. Ну, а экранирование кавычек в командной строке, это просто «песня».

Далее, необходимо донастроить службу. Укажите пользователя, под которым будет запускаться служба:

+

Настройте параметры восстановления службы.

Запустите службу. Иногда бывает, что при копировании командной строки с сайта, часть символов заменяются. Возможно, вам придется откорректировать параметр запуска в реестре по пути “HKLM\SYSTEM\CurrentControlSet\1C:Enterprise 8.3 Server Agent (x86-64) 2”. Параметр ImagePath.

Перфекционисты также могут скопировать параметр DependOnService из ветки реестра действующего сервиса. На самом деле, сделать это очень важно, для того чтобы операционная система перед запуском могла проверить, доступны ли сервисы, от которых зависит 1С предприятие, сделать попытку поднять сервисы, и выдать вам вразумительное сообщение об ошибке, в случае, если сервисы не поднялись.

Следующим этапом необходимо настроить кластер 1С предприятия.

Укажите порт “RegPort”, соответствующий тому, который вы настроили для запуска сервиса:

Все. Теперь настраиваейте кластер как обычно.

Для тех, кто дочитал досюда, но ему любопытно, что это за параметры 1640, 1641 и так далее.

Сервер 1С предприятия работает на трех основных процессах:

Ragent (агент кластера серверов 1С предприятия), по умолчанию, висит на порту 1540. В примере мы задали для дополнительной сущности порт 1640.

Rmngr (менеджер кластера 1С предприятия), по умолчанию, висит на порту 1541, ожидает, когда к нему постучатся пользователи, назначет пользователю процесс RpHost, а в промежутке между этими действиями выполняет еще кучу нужной и полезной работы. В примере для новой сущности задан порт 1641.

RpHost (рабочий процесс сервера 1С предприятия), по умолчанию занимает диапазон портов 1560:1591. Собственно, эти процессы и обслуживают работу пользователей. В примере мы задали диапазон портов 1660:1691.

Перед тем, как занимать порты под сервис 1С предприятия, уточните, а может, уже кто-то висит на вашем диапазоне портов. Воспользуйтесь командой консоли «NetStat -a -n -o».

И еще одно уточнение. В своем примере я создаю «отладочный кластер» 1С предприятия. Это достигается опцией «-debug» в командной строке запуска сервиса. На самом деле, режим отладки на сервере замедляет работу предприятия. Если вы не собираетесь отлаживать на сервере, то лучше отказаться от данного ключа запуска.