Настройка аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах

Описание проблемы

Не работает аутентификация операционной системы (windows) через IIS при использовании тонкого клиента или веб-клиента.

С точки зрения пользователей, будет видно окно с запросом логина и пароля.

Проблема может заключаться в том, что методы операционной системы в силу различных причин возвращают описание текущего пользователя сеанса в таком представлении, которое не совпадает ни с одним пользователем в списке пользователей информационной базы 1С

Решение проблемы

На сервере 1С включить технологический журнал, используя следующую настройку:

Воспроизвести ситуацию с неудачной аутентификацией операционной системы. Авторизоваться под пользователем операционной системы, указанным в свойствах пользователя 1С.

Открыть технологический журнал рабочего процесса и найти событие EXCP со следующим описанием: «Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя»

Обратите внимание на предшествующее ему событие CONN и значение свойства DstUserName2 — именно в таком виде пользователь должен быть указан в свойствах пользователя информационной базы.

04:45.940011-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: SrcUserName1: svc-1c@DOMAIN701.COM
04:45.940012-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: DstUserName1: testuser2@DOMAIN701.COM(DOMAIN701.COM\testuser2)
04:45.971001-0,CONN,2,process=rphost,t:clientID=60,Txt=Srvr: DstUserName2: DOMAIN701\testuser2(DOMAIN701\testuser2)
04:46.205021-0,EXCP,2,process=rphost,p:processName=trade,t:clientID=60,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=19,Exception=a01f465c-ed70-442e-ada5-847668d7a41c,Descr=’src\VResourceInfoBaseServerImpl.cpp(991):
a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя’

Заменить значение свойства «Пользователь» пользователя информационной базы согласно следующему формату «\\» + [Имя пользователя из свойства DstUserName2 без скобок].

Проверить работоспособность аутентификации средствами операционной системы, войдя в информационную базу, используя веб-клиент.

Расположение веб-сервера IIS и рабочих серверов 1С на разных машинах

В некоторых случаях, несмотря на корректно указанного пользователя операционной системы в пользователе информационной базы, при попытке входа в опубликованную базу через браузер аутентификация операционной системы не проходит. Такая ситуация может возникать, если веб-сервер IIS и сервер 1с находятся на разных машинах. В таком случае в технологическом журнале рабочего процесса можно наблюдать следующую картину:

56:39.487001-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: SrcUserName1: winserver1c$@DOMAIN701.COM
56:39.487002-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: DstUserName1: testuser2@DOMAIN701.COM(DOMAIN701.COM\testuser2)
56:39.596004-0,CONN,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Txt=Srvr: DstUserName2: NT AUTHORITY\ANONYMOUS LOGON(NT AUTHORITY\ANONYMOUS LOGON )
56:39.659003-0,EXCP,2,process=rphost,p:processName=accounting,t:clientID=39,t:applicationName=WebServerExtension,t:computerName=webserver,t:connectID=16,Exception=a01f465c-ed70-442e-ada5-847668d7a41c,Descr=’src\VResourceInfoBaseServerImpl.cpp(991):
a01f465c-ed70-442e-ada5-847668d7a41c: Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя’

При возникновении такой ситуации необходимо проверить следующие настройки:

1) Убедиться, что процессы сервера 1С запущены от имени доменной учетной записи, входящей в группу Domain Users.

2) Убедиться, что веб-сервер IIS настроен корректно.

В публикации информационной базы найти настройки аутентификации

В настройках аутентификации отключить анонимную аутентификацию и включить Windows-аутентификацию. В Windows-аутентификации упорядочить доступных провайдеров так, чтобы на первом месте был Negotiate.

Пул приложений публикации не нуждается в настройках, в нем можно оставить все по умолчанию.

После изменения настроек перезапустить веб-сервер с помощью команды iisreset в командной строке.

3) Убедиться, что в контроллере домена в свойствах компьютера, на котором запущен веб-сервер, на вкладке делегирование установлено «Доверять компьютеру делегирование любых служб (только Kerberos)»

Для этого откройте оснастку Active Directory Users and Computers (dsa.msc), в компьютерах найдите веб-сервер, перейдите в его свойства и на вкладке Делегирование установить значение «Доверять компьютеру делегирование любых служб (только Kerberos)» и нажать применить.

4) Убедиться, что на клиенте в свойствах обозревателя разрешена встроенная проверка подлинности Windows.

После выполнения всех действий необходимо перезагрузить клиентский компьютер (рабочие серверы перезагрузки не требуют) и убедиться, что аутентификация операционной системы успешно выполняется.

Важно: аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах в тонком клиенте работает, начиная с версии 8.3.10.2620 (для тестирования).

Как подключиться через тонкий клиент 1С

Тонкий клиент – это способ работы с программой 1С, при котором требуется меньше ресурсов компьютера. При установке платформы 1С ставятся и толстый, и тонкий клиенты. Между ними можно переключаться. Бывает еще отдельный дистрибутив тонкого клиента. Его можно использовать, если наша база находится в Интернете. Например, на сервисе 1С:Фреш или 1С:ГРМ.

Рассмотрим, как работать с тонким клиентом.

Запуск 1С в Тонком клиенте

Для начала рассмотрим, как переключаться между тонким и толстым клиентом. Базы на управляемых формах запускаются по умолчанию в тонком клиенте. Проверить это можно, открыв информацию о программе.

Иногда бывает нужно сменить клиента на толстый или же наоборот.

Для этого открываем 1С, выделяем нужную базу и нажимаем кнопку «Изменить».

Получите 267 видеоуроков по 1С бесплатно:

Переходим на последний этап.

Здесь в разделе «Основной режим запуска» указываем настройки.

Тонкий клиент будет запускаться при установке вариантов «Выбирать автоматически» и «Тонкий клиент». Вариант «Толстый клиент» соответственно для толстого клиента.

Добавление базы в Интернете через Тонкий клиент

Если база опубликована в Интернете, для ее запуска достаточно скачать и установить дистрибутив тонкого клиента.

Как скачать тонкий клиент

Для этого зайдем на сайт 1С https://portal.1c.ru/ и откроем раздел «1С:Обновление программ».

Выбираем нужную версию платформы и нажимаем ссылку «Тонкий клиент 1С:Предприятия для Windows».

Затем «Скачать дистрибутив».

Установка тонкого клиента

Распаковываем архив и запускаем файл setup.exe.

Порядок установки такой же, как и для обычной платформы. Отличие на этапе выбора компонентов установки.

Доступен только дистрибутив тонкого клиента.

Нажимаем «Далее» и завершаем установку.

Добавление базы в тонком клиенте

Открываем 1С и нажимаем «Добавить».

Обратите внимание, что для платформы тонкого клиента нет кнопки «Конфигуратор».

Выбираем вариант «На веб-сервере» и указываем путь к базе.

Нажимаем «Далее» и «Готово».

К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.

Тонкий клиент

Тонкий клиент — это одно из клиентских приложений системы «1С:Предприятие 8». В операционной системе Windows исполняемый файл этого приложения — 1cv8c.exe. В операционной системе Linux — 1cv8c.

«Тонким» клиент называется потому, что умеет исполнять ограниченный набор функциональности встроенного языка. В частности на тонком клиенте недоступны все прикладные типы данных. Вместо этого тонкий клиент оперирует ограниченным набором типов встроенного языка, предназначенным лишь для отображения и изменения данных в памяти. Вся работа с базой данных, объектными данными, исполнение запросов — выполняется на стороне сервера. Тонкий клиент только получает готовые данные, подготовленные для отображения.

Подключение через Интернет

Тонкий клиент позволяет работать с интерфейсом «1С:Предприятия 8» через Интернет. Для этого используется веб-сервер, настроенный для работы с «1С:Предприятием 8».

Тонкий клиент взаимодействует с веб-сервером по протоколу HTTP или HTTPS. Веб-сервер, в свою очередь, взаимодействует с «1С:Предприятием 8» в файловом или клиент-серверном варианте работы.

В качестве веб-сервера используется Apache или IIS. Подробнее…

Клиент-серверный вариант работы

В клиент-серверном варианте работы тонкий клиент взаимодействует с кластером серверов напрямую, по протоколу TCP/IP. Подробнее…

Файловый вариант работы

Если система «1С:Предприятие 8» работает в файловом варианте, то тонкий клиент взаимодействует непосредственно с файловой базой данных. В этом варианте работы толстому клиенту требуется непосредственный файловый доступ к базе данных, например, через общий сетевой ресурс.

• загрузка необходимых для работы системы серверных компонентов,
• загрузка прикладной конфигурации,
• другие действия, необходимые для организации нормальной работы системы с информационной базой.

С точки зрения тонкого клиента, данная среда выступает в роли сервера. С точки зрения операционной системы, данная специализированная среда не выделена в отдельный процесс и выполняется в рамках процесса тонкого клиента.

Работа через тонкий клиент

Для того, чтобы начать работу через тонкий клиент, Вам необходимо:

1. Опубликовать в WEB базу данных 1С:

Для этого заходим в личный кабинет scloud.ru раздел «Мои базы 1С». Находим нужную базу и нажимаем «Опубликовать базу», соглашаемся с публикацией базы.

Ссылку на базу можно получить, скопировав ее по кнопке «Копировать» в меню базы.

Для работы в браузере необходимо выбрать в меню «Открыть в браузере».

2. Установить «тонкий клиент» на Ваш компьютер:

скачать дистрибутив программы для Windows.
Для получения дистрибутива для Mac или Linux нужно обратиться в техническую поддержку

распаковать архив и запустить установочный файл.

В появившемся окне программы установки нажмите кнопку «Далее».

На следующей странице выберите необходимые для установки языки.

Затем выберите язык интерфейса (по умолчанию будет установлен язык, выбранный в операционной системе) и нажмите «Далее».

Нажмите «Установить» для запуска процесса установки.

После завершения установки, нажмите «Готово».

Примечание: платформа запуска 1С: Предприятие в облаке централизовано обновляется с некоторой периодичностью. Версии тонкого клиента и платформы, установленной на сервере, должны совпадать, следовательно, тонкий клиент требуется обновлять. Эта операция может проходить автоматически, для этого необходимо установить галку «Запуск от имени администратора» в свойствах ярлыка.

Перед запуском 1C Тонкий клиент требуется настроить запуск от имени администратора.

Для этого нажмите на ярлыке запуска правой кнопкой мыши и выберите «Свойства»

В открывшемся окне, во вкладке «Ярлык» нажмите кнопку «Дополнительно»

В следующем окне нужно установить галку «Запуск от имени администратора» и «ОК» и сохранить изменения.

3. Добавить базы в тонкий клиент

При первом запуске Тонкого клиента появится запрос на добавление информационной базы, следует ответить «Да»

В следующем окне следует выбрать «Добавление в список существующей информационной базы» и «Далее».

На следующем этапе необходимо:

• указать имя базы данных (данное имя будет отображаться в перечне баз данных при запуске 1С),
• выбрать вариант подключения к информационной базе «На Веб-сервере»,
• вставить в данное поле ссылку на базу (данную ссылку мы получили в ЛК на 1 шаге инструкции) нажать «Далее».

И в последнем окне нажать кнопку «Готово».

После этого, появиться окно с перечнем информационных баз. Для входа в информационную базу необходимо выбрать нужную базу и нажать «1С:Предприятие»

В окне «Доступ к веб-серверу» необходимо указать учетные данные, полученные при регистрации.

Если на следующем шаге появится запрос учетных данных для входа в 1С, Необходимо в поле «Пользователь» выбрать нужного Вам пользователя 1С: Предприятие, ввести его пароль (при наличии) и нажать и нажать «ОK».

4. Настроить дополнительные параметры

Как сделать так, чтобы пароль от облака или базы не запрашивался?

Для этого следует выбрать интересующую Вас базу из списка, нажать «Изменить». В открывшемся окне параметров нажать «Далее».

Вам нужна строка «Дополнительные параметры запуска», где через пробел можно указывать следующие параметры:

• /WSN — имя пользователя веб-сервиса (в данном случае логин аккаунта Сервисклауд)
• /WSP — пароль пользователя веб-сервиса
• /N — имя пользователя базы
• /P — пароль пользователя базы

К примеру, строчка «/WSN scXXXXX /WSP Pa$$W0RD /N НатальяР /P 2014Склауд»

• «/WSN scXXXXX /WSP Pa$$W0RD» позволяет не вводить пароль для доступа к базе по веб-ссылке (облаку), где scXXXXX- Ваш логин, Pa$$W0RD – Ваш пароль.
• «/N НатальяР /P 2014Склауд» позволяет не водить учетные данные пользователя базы, где НатальяР – имя пользователя базы 1С, 2014Склауд – пароль выбранного пользователя от базы 1С. Параметры можно комбинировать по вашему усмотрению.