Аутентификация операционной системы. Перестала работать. #709186

Добрый день. Платформа 1С:Предприятие 8.2 (8.2.18.96). УПП (1.3.23.1). Windows Server 2008 R2. До сегодняшнего дня отлично работала аутентификация операционной системы. Сегодня аутентификация работать перестала. При старте 1С выскакивает окно авторизации. Из действий, которые могут быть связаны - в 1С в режиме предприятия были созданы 3 пользователя с указанием аутентификация операционной системы (указаны пользователи домена). Как потом выяснилось такие пользователи уже были созданы с галкой Недействительный. (не знаю может быть ли это связано или нет). В какую сторону копать? Настроил ТЖ с параметрами conn и excp, запись логов пошла, но к сожалению пока не могу по ним определить ошибку. в разделе EXCP нашел следующие записи: 'server_addr=any:1560 descr=Ошибка сетевого доступ NetDataExchangeException 'server_addr=any:1561 descr=Ошибка сетевого доступ NetDataExchangeException 'server_addr=any:1562 descr=Ошибка сетевого доступ NetDataExchangeException 'server_addr=any:1563 descr=Ошибка сетевого доступ NetDataExchangeException в разделе CONN: 22.05.2014 13:35:27 Clnt: DstUserName1: ЛогинСервера1С@МойДомен StartProtocol: 0 Success 22.05.2014 13:35:29 Clnt: DstUserName1: ЛогинСервера1С@МойДомен StartProtocol: 0 Success кто знает, в какую сторону копать?

Заэкспарился пароль в винде. Пусть пользователь пароль поменяет.

Добавление - пользователи работают через терминальный доступ непосредственно на сервер 1С. т.е. истек срок действия пароля? данная проблема у всех пользователей. и на сервер через РДП они попадают без проблем

с сервера 1с не видится сервер AD .... или поменяли чего на сервере AD (типа включили последнюю версию авторизации, а сервак 1с сидит на старой...)

по словам админов - ничего не менялось. Когда я открывают список пользователей и выбираю доменного юзера для конкретного пользователя - я вижу список доменов и список пользователей доменов. т.е. получается с сервера 1С видно и домены и пользователи?

Ты его открываешь не с сервера Ну и "Ничего не менялось, а аносамо" еще пользователю простительно сказать, но не админу.

судя по всему у Вас несколько доменов? сервер 1с в том-же домене, что и пользователи????

я заходу на сервер 1С через терминал под своей учеткой, открываю конфигуратор, в пользователе через список доменных пользователей указываю свою учетку, сохраняю, запускаю 1С - спрашивает окно авторизации. по поводу "оно само и ничего не менялось" возразить нечего. только доверять сказанному и работать с тем что есть

домен один. имеет два названия (одно для старых ОС, другое для новых). например ИмяКомпании_Нью и ИмяКомпании.Локал. При установке пользователю конкретной учетки - вижу оба домена и оба списка пользователей (одинаковых). Пробовал выбирать и тех и других. Результат один - выскакивает окно авторизации

забей руками в таком виде \ИмяДоменаДляСтаройСистемылогин

такой адрес подставляется автоматически, когда я выбираю доменного пользователя из списка (что для имя домена для старых ОС, что для новых) получается строка \ИмяКомпании_НьюИмяПользователя или \ИмяКомпании.ЛокалИмяПользователя

План такой: 1.Пишем обработку в которой вызываем метод глобального контекста ПользователиОС, и в полученной ТЗ смотрим на вторую колонку ИмяСервера. Там будет именно короткое имя. Это имя сервера-контроллера домена которое будет использовать 1С при аутентификации. 2.Пытаемся лукапить это короткое имя с компа, на котором стоит сервер 1С. Из командной строки вот так: nslookup.exe server_name 3.Смотрим какой возвращается айпишник и тот ли он, узнаем у админа, если не лукапится идем к админу и просим вежливо..

спасибо за такую развернутую инструкцию. Для обоих имен домена выдал имя контроллера домена. лукап по этому имени показал его ип-адрес. и имя и ип-адрес соответствуют контроллеру домена. по имени и по ип пингуются с сервера 1С..

Ну тогда мы имеем что-то мелкопакостное. Типа того: - системные часы, надо проверить время на сервере и на контроллере домена; - некорректная установка софта на сервак, возможно некорректные записи в реесте, возможно обновления надо поставить, возможно они криво встали и т.п. А сервер перегрузить пробовали?

попробуй \IP_ADИмяПользователя

сейчас сравнил время на контроллере и на сервере 1с через NET TIME. Время отличается. Это может быть причиной проблемы авторизации? P.S. как ни странно, проблема исчезла в пятницу и появилась снова сегодня.

ан нет, время как будто совпадает. разница в секунду, как раз момент между вызовами команды

это нормально

это в принципе не верно

это позволяет исключить танцы с резервным контролером АД... если есть резервный контроллер AD подставь его ап \IP_резервный_ADИмяПользователя

такое может быть при рассогласовании основного и резервного AD

до имени пользователя AD пишется не айпиадрес и не имя контроллера домена, а именно имя самого домена, это разные имена в принципе

Ошибка  0x80090324 denote "Time Skew" все-таки говорит о том что время на участниках процесса авторизации расходится, по-моему больше чем на 15 минут. Проверить нужно все контроллеры домена. Кроме того, обязательно нужно проверить часовые пояса. Вы можете видеть якобы одинаковое время, но если при этом будет другой часовой пояс или летнее/зимнее время, короче время, приведенное к мировому должно быть одинаковым

Кстати, а служба времени запущена на сервере 1С?

Системный журнал Windows тоже поизучать уже пора.

можно указывать имя или IP ЛЮБОГО сервера который может разрешить sid пользователя. Когда ты указываешь имя домена - то дополнительно идет поиск предподчительного сервера и подставляется в запрос.... кроме того автору следует проверить ОБРАТНУЮ зону ДНС, то есть видимость с сервера AD сервера 1с ПО_ИМЕНИ

Бинго! Время сервера 1С и контроллера домена совпадало до секунды. Однако на трех резервных контроллерах было расхождение от 5 до 10 минут. Привели время вручную с точностью до 1 минуты. Авторизация заработала! Большое спасибо! Я люблю вас!

На будущее: с гуглем дружите. Все это было найдено минут за пять. Ну и время на контроллерах домена должно само синхронизироваться. А то в самое неподходящее время опять все обвалится