|
Не работает авторизация AD в домене Windows 2008 | ☑ | ||
---|---|---|---|---|
0
zhukovia
18.02.19
✎
15:31
|
Стоит 1С сервер 8.3.13.1690 на windows 2008 с поднятым AD. Агент сервера запускается под пользователем USR1CV8.
Перестала вдруг работать аутентификация операционной систем. Из за чего случилось уже не могу сказать. Все было настроено и работало. Пользователи указывались в виде "\\LOCAL\user", без .com или .local Теперь работает только по вводу пароля. После экспериментов заметил, что авторизация начинает работать если запустить Агент сервера 1С от имени Администратора. Причем если пользователю USR1CV8 дать права Администратора, то ничего не работает. Или если Агент сервера запускать под пользователем USR1CV8, без прав Администратора, но при этом подключаться к базе из под учетки Администратор, то тоже работает. Я понимаю что что то произошло с правами, но не понимаю чего править. Помогите советом. |
|||
1
cons24
18.02.19
✎
15:52
|
Может пароль у пользователя просрочен
|
|||
2
cons24
18.02.19
✎
15:53
|
Так и не понятно, доменная авторизация не работает тлькео у USR1CV8 или у всех.
|
|||
3
zhukovia
18.02.19
✎
16:10
|
(1) Пароль обновлял, не помогает.
|
|||
4
zhukovia
18.02.19
✎
16:14
|
(2) Авторизация работает ТОЛЬКО в двух случаях:
1. Если запустить Агента сервере от имени Администратора. Тогда все заходят нормально. 2. Если запустить Агента сервере от имени USR1CV8, но при этом запустить 1с из под учетки Администратора. Под остальными учетками не заходит тогда. |
|||
5
zhukovia
18.02.19
✎
17:32
|
Нет никаких идей ни у кого?
|
|||
6
sieben
18.02.19
✎
17:35
|
Администратора чего?
|
|||
7
Вафель
18.02.19
✎
17:45
|
может сревер 1с запустить от доменного пользователя?
|
|||
8
Cyberhawk
18.02.19
✎
17:59
|
Нужно дать кое-какие права пользователю ОС службы агента (вряд ли у вас там рпхосты от иных пользователей, что указанный пользователь, работают)
|
|||
9
zhukovia
18.02.19
✎
18:17
|
(6) Сервера Windows Администратор. Пользователь системы такой.
(7) USR1CV8 и есть доменный пользователь. (8) Какие то права есть. Все же кроме авторизации работает. А какие права нужны ДЛЯ авторизации? |
|||
10
Cyberhawk
18.02.19
✎
18:21
|
(9) Ну, для начала права на чтение списка пользователей домена
|
|||
11
zhukovia
18.02.19
✎
18:23
|
(10) Это я в принципе понимаю. Но вот какая группа пользователей за это отвечает? Или это в Локальной политике надо смотреть?
|
|||
12
Cyberhawk
18.02.19
✎
18:24
|
Также 1С иногда не понимает "полных" доменных имен. Иногда ей нужно это подсказать через hosts, прописав там ИП-адрес контроллера домена и его (домена) нетбиос-имя.
ТЖ клиента и сервера в помощь, там это довольно легко определяется. |
|||
13
Cyberhawk
18.02.19
✎
18:27
|
Старый добрый 2008. После 2008 R2 такое УГ пошло...
|
|||
14
zhukovia
18.02.19
✎
18:28
|
(12) Подскажите как это посмотреть? И почему тогда под Администратором все видит?
Я полагаю что все же нет прав на чтение списка пользователей. Но как дать эти права? |
|||
15
zhukovia
18.02.19
✎
18:29
|
(13) Покупать пока новый WinServer нецелесообразно, уж больно дорого для моей маленькой сети.
|
|||
16
RomanYS
18.02.19
✎
18:32
|
Всегда думал, что виндовая авторизация работает чисто на клиенте.
Какого доменного показывает в ЖР? |
|||
17
zhukovia
18.02.19
✎
18:55
|
(16) Раньше показывал \\LOCAL\user, а теперь никакого. Ну то есть имя которое забито в Конфигураторе, после авторизации по паролю конечно.
|
|||
18
RomanYS
18.02.19
✎
19:00
|
(17) провались в строку ЖР, там должен быть пользователь ОС даже при вводе пароля
1С случаем не с параметром /wa- запускается? |
|||
19
Cyberhawk
18.02.19
✎
19:13
|
(14) Скорее всего у операционного юнита смотреть надо такое право
|
|||
20
RomanYS
18.02.19
✎
19:25
|
(19) Что-то мне кажется вы не в ту степь направляетесь...
Клиент запускается, получает от клиентской ОС имя пользователя, передает его серверу 1С, тот сверяет его со списком в базе. Зачем и кому здесь нужен доступ к AD? |
|||
21
Cyberhawk
18.02.19
✎
20:00
|
(20) Как минимум клиенту 1С
|
|||
22
zhukovia
18.02.19
✎
20:13
|
(18) Проваливаюсь в строку ЖР, а там пользователь прописанный как в конфигураторе из поля Имя в вкладке Основные.
А что это за еще такой параметр /wa? |
|||
23
zhukovia
18.02.19
✎
20:13
|
(19) Операционный юнит это что?
|
|||
24
RomanYS
18.02.19
✎
20:15
|
(22) /wa- - отключение win-авторизации
|
|||
25
RomanYS
18.02.19
✎
20:16
|
(21) зачем? Пользователь уже авторизован в ОС
|
|||
26
zhukovia
18.02.19
✎
20:19
|
(24) Это при запуске клиента или сервера?
|
|||
27
RomanYS
18.02.19
✎
20:20
|
(26) клиента конечно, причем здесь сервер я пока вообще не понимаю
|
|||
28
zhukovia
18.02.19
✎
20:24
|
(27) При том что база у меня лежит на SQL сервере и, как я понимаю, авторизацию проверяет не клиентское приложение 1С, а сервер предприятия 1с. А он запущен от пользователя USR1CV8 у которого не хватает видимо прав на то чтобы проверить или получить имя пользователя вошедшего в систему. Ну или что то в этом роде.
|
|||
29
zhukovia
18.02.19
✎
20:24
|
(24) Нет у меня такого ключа.
|
|||
30
zhukovia
18.02.19
✎
20:25
|
(19) Что все таки такое Операционный юнит?
|
|||
31
RomanYS
18.02.19
✎
20:35
|
(22) покажи вот такой скрин
https://cloud.mail.ru/public/CBZQ/6kBvrJwuT |
|||
32
vde69
18.02.19
✎
20:41
|
часом недавно не включали ВТОРУЮ сетевуху на сервере?
сколько сейчас включено сетевых? не кабель включен а соединене включено даже если без кабеля и даже если винртуальная |
|||
33
vde69
18.02.19
✎
20:43
|
еще - дай пользователю под которым запускаешь службу права терминального входа и войди под ним, и попробуй постучать на любой доменный сервак (лучше на контролер АД)
|
|||
34
zhukovia
18.02.19
✎
20:44
|
||||
35
vde69
18.02.19
✎
20:45
|
(33) постучатся - команда
tracert ИМЯ_СЕРВЕРА_АД |
|||
36
zhukovia
18.02.19
✎
20:47
|
(32) Да у меня 4 сетевые. В 3 включены кабеля. Но это и раньше тек было.
(33) У меня всего один сервер (физически) На нем стоит и сервер 1с и терминальные клиенты на нем же крутятся. |
|||
37
zhukovia
18.02.19
✎
20:48
|
(35) На самом же сервере? Получается. И по имени и по IP.
|
|||
38
zhukovia
18.02.19
✎
20:50
|
(35) По всем трем IP
|
|||
39
vde69
18.02.19
✎
20:51
|
(36) зайди под юзером службы на сервер и выполни
tracert ИМЯ_СЕРВЕРА_АД обязательно ИМЯ, здесь важно видеть как работает DNS и важно через какой интерфейс он будет искать контролер домена |
|||
40
zhukovia
18.02.19
✎
20:52
|
(39) Работает
|
|||
41
zhukovia
18.02.19
✎
20:53
|
(33) А зачем пользователю Агента сервера 1С нужны права на терминальный вход?
|
|||
42
vde69
18.02.19
✎
20:54
|
(40) работает через какой интерфейс? если АД на этом-же сервере должен трасер идти ТОЛЬКО через локалхост (127.0.0.1)
|
|||
43
vde69
18.02.19
✎
20:54
|
(41) что-бы ты мог под ним войти в систему и проверить
|
|||
44
zhukovia
18.02.19
✎
20:56
|
(43) Почему тогда если запустить 1С клиента от имени Админа (по правому щелчку мыши), то все работает?
|
|||
45
zhukovia
18.02.19
✎
20:56
|
(42) А как понять через какой? АД на том же сервере.
|
|||
46
vde69
18.02.19
✎
20:57
|
(45) что выводит
tracert ИМЯ_СЕРВЕРА_АД |
|||
47
zhukovia
18.02.19
✎
20:58
|
(43) А что посмотреть то? Я бы не хотел под ним входить, а то насоздает всяких каталогов в c:\Users
|
|||
48
vde69
18.02.19
✎
20:59
|
(47) придется, иначе легкой проверки я не знаю...
|
|||
49
zhukovia
18.02.19
✎
20:59
|
(46) C:\Users\zhukovia>tracert wserver.local.loc
Трассировка маршрута к wserver.local.loc [::1] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс wserver.local.loc [::1] Трассировка завершена. |
|||
50
vde69
18.02.19
✎
21:04
|
(49) 1с не очень хорошо работает с доменами где две точки....
1. попробуй в поле вин авторизации поставить \\loc\zhukovia 2. еще проверь короткие алиасы, выполни команду tracert loc (имя сервера без имени домена) |
|||
51
zhukovia
18.02.19
✎
21:09
|
(48) Зашел под USR1CV8. Чего дальше?
(50) 1. \\loc\zhukovia Не помогло. |
|||
52
zhukovia
18.02.19
✎
21:10
|
(50) tracert loc не работает. Но разве имя сервера не wserver?
|
|||
53
zhukovia
18.02.19
✎
21:13
|
(50) И все же почему все из под Администратора работает?
|
|||
54
vde69
18.02.19
✎
21:14
|
(52) да я ошибся, разумеется
tracert wserver |
|||
55
zhukovia
18.02.19
✎
21:16
|
(54) То же самое что и (49)
|
|||
56
vde69
18.02.19
✎
21:21
|
(53) 1с для авторизации создает обратное соединение по имени клиента, при этом использует разрешение DNS, разрешение идет через обратную зону DNS, по этому если при попытке получить имя клиента или имя сервера АД есть домен с 2 точками и учетка не знает IP, то поиск идет через сетевые интерфейсы, а когда их много в дело вступает их очередность в РЕЕСТРЕ, что довольно индивидуально....
по этому для стабильной работы вин авторизации нужно использовать короткие алиасы (алиас LOCAL - плохой, нужен другой) и явным образом указывать интерфейсы для разрешения IP https://wiki.mista.ru/doku.php?id=it:set_dual_net |
|||
57
vde69
18.02.19
✎
21:23
|
(55) (55) под учеткой службы посмотри видны ли учетки домена (например в настройках файловых прав)
|
|||
58
Ёпрст
18.02.19
✎
21:40
|
(0) контролер домена один у вас ? Рестартовать его, для начала, не пробовали ?
|
|||
59
zhukovia
19.02.19
✎
05:31
|
(57) Если это подразумевается войти под USR1CV8 в терминал и посмотреть в проводнике в свойствах папки видно ли пользователей домена, то ДА видно.
|
|||
60
zhukovia
19.02.19
✎
05:32
|
(58) Да один. Сам сервер уже перегружал.
|
|||
61
zhukovia
19.02.19
✎
05:57
|
(56) Отключил 2 ненужных сетевых карты. Но все равно не очень понимаю зачем разрешать имена в ДНС если и клиент и сервер физически на одном компьютере? Правда у меня SQL сервер на другом компе стоит, но это, как мне кажется, к делу не относиться.
(59) А вообще какие права нужно дать для учетки Агента сервера 1С? |
|||
62
Мимохожий Однако
19.02.19
✎
06:25
|
||||
63
zhukovia
19.02.19
✎
07:15
|
(62) У меня не MS SQL, а POSTGRESSQL и стоит он на другом компе Linux. К тому же по ссылке информация о удалении рабочих потоков, а не о авторизации через АД.
|
|||
64
Мимохожий Однако
19.02.19
✎
07:25
|
(63) Давай информации меньшими дозами и тогда ветка будет еще длиннее.))
Рядом с этой ссылкой есть и про другие системы. |
|||
65
Cyberhawk
19.02.19
✎
08:36
|
(23) Аббревиатура OU, оно же "организационная единица" / "Organizational Unit"
|
|||
66
zhukovia
19.02.19
✎
08:43
|
(64) Дак скажите что еще нужно сказать. Я не думаю что есть принципиальная разница для авторизации в 1С на каком SQL сервере стоит система. То что это сервер, а не файловая база я сказал и какая ОС тоже.
|
|||
67
zhukovia
19.02.19
✎
08:50
|
(65)(19) А как или где мне посмотреть тогда насчет него?
И есть какие то специфические права для пользователя Агента Сервера? Я понимаю что задаю одни и те же вопросы, но я правда никак не могу въехать что делать. Может есть какая нибудь инструкция, которую можно поискать, о настройке чего нибудь похожего? Хотя бы направление в котором копать. А то про "посмотреть право у операционного юнита" я правда ничего не понял, а поиск ничего путнего не выдает. |
|||
68
Cyberhawk
19.02.19
✎
09:18
|
"Хотя бы направление в котором копать" // ТЖ
|
|||
69
zhukovia
19.02.19
✎
19:13
|
(68) Аббревиатуры это конечно хорошо, но ТЖ - это что? Я уже себя совсем каким то дураком ощущаю.
|
|||
70
RomanYS
19.02.19
✎
20:20
|
(69) технологический журнал
|
|||
71
zhukovia
21.02.19
✎
14:36
|
Все исправилось... и как всегда непонятно почему.. :(
(58) Сервер я уже перегружал до этого, НО после очередной перезагрузке (связанной с обновлением системы) все вдруг начало работать... Всем спасибо за участие. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |