Стоит 1С сервер 8.3.13.1690 на windows 2008 с поднятым AD. Агент сервера запускается под пользователем USR1CV8.
Перестала вдруг работать аутентификация операционной систем. Из за чего случилось уже не могу сказать. Все было настроено и работало. Пользователи указывались в виде "\\LOCAL\user", без .com или .local Теперь работает только по вводу пароля.
После экспериментов заметил, что авторизация начинает работать если запустить Агент сервера 1С от имени Администратора. Причем если пользователю USR1CV8 дать права Администратора, то ничего не работает. Или если Агент сервера запускать под пользователем USR1CV8, без прав Администратора, но при этом подключаться к базе из под учетки Администратор, то тоже работает.
Я понимаю что что то произошло с правами, но не понимаю чего править. Помогите советом.

Может пароль у пользователя просрочен

Так и не понятно, доменная авторизация не работает тлькео у USR1CV8 или у всех.

(1) Пароль обновлял, не помогает.

(2) Авторизация работает ТОЛЬКО в двух случаях:
1. Если запустить Агента сервере от имени Администратора. Тогда все заходят нормально.
2. Если запустить Агента сервере от имени USR1CV8, но при этом запустить 1с из под учетки Администратора. Под остальными учетками не заходит тогда.

Нет никаких идей ни у кого?

Администратора чего?

может сревер 1с запустить от доменного пользователя?

Нужно дать кое-какие права пользователю ОС службы агента (вряд ли у вас там рпхосты от иных пользователей, что указанный пользователь, работают)

(6) Сервера Windows Администратор. Пользователь системы такой.
(7) USR1CV8 и есть доменный пользователь.
(8) Какие то права есть. Все же кроме авторизации работает. А какие права нужны ДЛЯ авторизации?

(9) Ну, для начала права на чтение списка пользователей домена

(10) Это я в принципе понимаю. Но вот какая группа пользователей за это отвечает? Или это в Локальной политике надо смотреть?

Также 1С иногда не понимает "полных" доменных имен. Иногда ей нужно это подсказать через hosts, прописав там ИП-адрес контроллера домена и его (домена) нетбиос-имя.
ТЖ клиента и сервера в помощь, там это довольно легко определяется.

Старый добрый 2008. После 2008 R2 такое УГ пошло...

(12) Подскажите как это посмотреть? И почему тогда под Администратором все видит?
Я полагаю что все же нет прав на чтение списка пользователей. Но как дать эти права?

(13) Покупать пока новый WinServer нецелесообразно, уж больно дорого для моей маленькой сети.

Всегда думал, что виндовая авторизация работает чисто на клиенте.
Какого доменного показывает в ЖР?

(16) Раньше показывал \\LOCAL\user, а теперь никакого. Ну то есть имя которое забито в Конфигураторе, после авторизации по паролю конечно.

(17) провались в строку ЖР, там должен быть пользователь ОС даже при вводе пароля

1С случаем не с параметром /wa- запускается?

(14) Скорее всего у операционного юнита смотреть надо такое право

(19) Что-то мне кажется вы не в ту степь направляетесь...
Клиент запускается, получает от клиентской ОС имя пользователя, передает его серверу 1С, тот сверяет его со списком в базе. Зачем и кому здесь нужен доступ к AD?

(20) Как минимум клиенту 1С

(18) Проваливаюсь в строку ЖР, а там пользователь прописанный как в конфигураторе из поля Имя в вкладке Основные.
А что это за еще такой параметр /wa?

(19) Операционный юнит это что?

(22) /wa- - отключение win-авторизации

(21) зачем? Пользователь уже авторизован в ОС

(24) Это при запуске клиента или сервера?

(26) клиента конечно, причем здесь сервер я пока вообще не понимаю

(27) При том что база у меня лежит на SQL сервере и, как я понимаю, авторизацию проверяет не клиентское приложение 1С, а сервер предприятия 1с. А он запущен от пользователя USR1CV8 у которого не хватает видимо прав на то чтобы проверить или получить имя пользователя вошедшего в систему. Ну или что то в этом роде.

(24) Нет у меня такого ключа.

(19) Что все таки такое Операционный юнит?

(22) покажи вот такой скрин
https://cloud.mail.ru/public/CBZQ/6kBvrJwuT

часом недавно не включали ВТОРУЮ сетевуху на сервере?

сколько сейчас включено сетевых? не кабель включен а соединене включено даже если без кабеля и даже если винртуальная

еще - дай пользователю под которым запускаешь службу права терминального входа и войди под ним, и попробуй постучать на любой доменный сервак (лучше на контролер АД)

(31) вот https://cloud.mail.ru/public/zkjo/sTjyKJK4h

(33) постучатся - команда

tracert ИМЯ_СЕРВЕРА_АД

(32) Да у меня 4 сетевые. В 3 включены кабеля. Но это и раньше тек было.
(33) У меня всего один сервер (физически) На нем стоит и сервер 1с и терминальные клиенты на нем же крутятся.

(35) На самом же сервере? Получается. И по имени и по IP.

(35) По всем трем IP

(36) зайди под юзером службы на сервер и выполни
tracert ИМЯ_СЕРВЕРА_АД

обязательно ИМЯ, здесь важно видеть как работает DNS и важно через какой интерфейс он будет искать контролер домена

(39) Работает

(33) А зачем пользователю Агента сервера 1С нужны права на терминальный вход?

(40) работает через какой интерфейс? если АД на этом-же сервере должен трасер идти ТОЛЬКО через локалхост (127.0.0.1)

(41) что-бы ты мог под ним войти в систему и проверить

(43) Почему тогда если запустить 1С клиента от имени Админа (по правому щелчку мыши), то все работает?

(42) А как понять через какой? АД на том же сервере.

(45) что выводит

tracert ИМЯ_СЕРВЕРА_АД

(43) А что посмотреть то? Я бы не хотел под ним входить, а то насоздает всяких каталогов в c:\Users

(47) придется, иначе легкой проверки я не знаю...

(46) C:\Users\zhukovia>tracert wserver.local.loc

Трассировка маршрута к wserver.local.loc [::1]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  wserver.local.loc [::1]

Трассировка завершена.

(49) 1с не очень хорошо работает с доменами где две точки....

1. попробуй в поле вин авторизации поставить \\loc\zhukovia
2. еще проверь короткие алиасы, выполни команду tracert loc (имя сервера без имени домена)

(48) Зашел под USR1CV8. Чего дальше?
(50) 1. \\loc\zhukovia Не помогло.

(50) tracert loc не работает. Но разве имя сервера не wserver?

(50) И все же почему все из под Администратора работает?

(52) да я ошибся, разумеется

tracert wserver

(54) То же самое что и (49)

(53) 1с для авторизации создает обратное соединение по имени клиента, при этом использует разрешение DNS, разрешение идет через обратную зону DNS, по этому если при попытке получить имя клиента или имя сервера АД есть домен с 2 точками и учетка не знает IP, то поиск идет через сетевые интерфейсы, а когда их много в дело вступает их очередность в РЕЕСТРЕ, что довольно индивидуально....

по этому для стабильной работы вин авторизации нужно использовать короткие алиасы (алиас LOCAL - плохой, нужен другой) и явным образом указывать интерфейсы для разрешения IP
https://wiki.mista.ru/doku.php?id=it:set_dual_net

(55) (55) под учеткой службы посмотри видны ли учетки домена (например в настройках файловых прав)

(0) контролер домена один у вас ? Рестартовать его, для начала, не пробовали ?

(57) Если это подразумевается войти под USR1CV8 в терминал и посмотреть в проводнике в свойствах папки видно ли пользователей домена, то ДА видно.

(58) Да один. Сам сервер уже перегружал.

(56) Отключил 2 ненужных сетевых карты. Но все равно не очень понимаю зачем разрешать имена в ДНС если и клиент и сервер физически на одном компьютере? Правда у меня SQL сервер на другом компе стоит, но это, как мне кажется, к делу не относиться.
(59) А вообще какие права нужно дать для учетки Агента сервера 1С?

https://its.1c.ru/db/metod8dev#content:1595:hdoc

(62) У меня не MS SQL, а POSTGRESSQL и стоит он на другом компе Linux. К тому же по ссылке информация о удалении рабочих потоков, а не о авторизации через АД.

(63) Давай информации меньшими дозами и тогда ветка будет еще длиннее.))
Рядом с этой ссылкой есть и про другие системы.

(23) Аббревиатура OU, оно же "организационная единица" / "Organizational Unit"

(64) Дак скажите что еще нужно сказать. Я не думаю что есть принципиальная разница для авторизации в 1С на каком SQL сервере стоит система. То что это сервер, а не файловая база я сказал и какая ОС тоже.

(65)(19)  А как или где мне посмотреть тогда насчет него?
И есть какие то специфические права для пользователя Агента Сервера? Я понимаю что задаю одни и те же вопросы, но я правда никак не могу въехать что делать. Может есть какая нибудь инструкция, которую можно поискать, о настройке чего нибудь похожего? Хотя бы направление в котором копать. А то про "посмотреть право у операционного юнита" я правда ничего не понял, а поиск ничего путнего не выдает.

"Хотя бы направление в котором копать" // ТЖ

(68) Аббревиатуры это конечно хорошо, но ТЖ - это что? Я уже себя совсем каким то дураком ощущаю.

(69) технологический журнал

Все исправилось... и как всегда непонятно почему.. :(
(58) Сервер я уже перегружал до этого, НО после очередной перезагрузке (связанной с обновлением системы) все вдруг начало работать...
Всем спасибо за участие.