#0
by vde69
собственно проблема старая, и у многих возникшая... есть 2 физических сервера (на обоих установлен сервер 1с, один сервер продакт второй для разработки) serv-1 serv-2 на serv-2 поднята IIS и настроена сквозная доменная авторизация, которая замечательно работает с сервером 1с на serv-2, но вот на сервер 1с который стоит на serv-1 доходит запрос на подключение без указания домена... на сколько я понимаю проблема в длинном доменном имени, которое 1с (точнее ее длл которая прикручена к IIS) не может скушать. Вроде для 1с нужно нетбиос имя домена. Может кто подскажет где поправить? То-есть нужна настройка которая для IIS явным образом указывает соответствие длинных имен доменов к коротким...
#3
by vde69
читаем еще раз serv-1 serv-2 два сервера в одном домене !!! когда IIS и 1с на одном сервере - все работает, когда на разных (но в одном домене) - нет
#5
by vde69
при чем тут делегирование билета? обьясните на пальцах чего надо сделать/попробовать или теорию
#6
by Armando
Есть старая темя на партнерке, но там некоторые пишут, что им не помогло. "Windows Server 2008, в отличии от Win2003, не позволяет использовать многократную передачу «билета» NTLM при использовании многозвенной архитектуры. Для решения проблемы попробуйте выполнить следующие настройки: На клиентской рабочей станции настройте Internet Explorer таким образом, чтобы он использовал аутентификацию Windows, а также добавьте адрес сайта в зону локальной сети, поскольку для зоны Internet браузер не использует аутентификацию Windows. Для этого: - Запустите браузер Internet Explorer. В строке меню выберите пункт "Tools" и выберите команду "Internet Options". Перейдите на вкладку "Advanced" установите флажок напротив пункта "Enable Integrated Windows Authentication". - Перейдите на вкладку "Security" выберите зону для изменения "Local intranet", нажмите кнопку "Sites" укажите имя web-сервера, нажмите "Add". Настройте Web-сервер таким образом, чтобы он использовал аутентификацию Windows и отключите использование анонимного доступа, так как если он включен то web-сервер сначала пытается воспользоваться этим способом аутентификации. Для этого: - Запустите оснастку iis.msc находящуюся в каталоге "%SystemRoot%system32inetsrviis.msc" перейдите в раздел "Web Sites - Default Web Sites - <ИмяОпубликованнойИБ>" из контекстного меню выберите "Properties". Перейдите на вкладку "Directory Security" нажмите кнопку "Edit" в разделе "Authentication and access control". Установите флажок "Integrated Windows authentication". Остальные флажки должны быть обязательно сняты. Настройте Active Directory для делегирования полномочий Kerberos (необходимы права администратора домена). Для этого: - Разрешите делегирование web-серверу. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Computers" выберите компьютер являющийся web-сервером, откройте его свойства. Если функциональный уровень домена "Windows Server 2003", то выберите вкладку "Delegation" и установите флажок "Trust this computer for delegation to any services (Kerberos only)", если функциональный уровень домена "Windows 2000", то на вкладке "General" установите флажок "Trust this computer for delegation". - Разрешите делегирование пользователю. На контроллере домена откройте оснастку "Active directory users and computers", в группе "Users" выберите пользователя, откройте его свойства. На вкладке "Delegation" установите флажок "Trust this user for delegation to any services (Kerberos only)" и убедитесь, что на вкладке "Account" в разделе "Account options" снят флажок для пункта "Account is sensitive and cannot be delegated"."
#7
by vde69
давайте порассуждаю логически вариант 1, когда IIS и 1с на одном сервере --------------------------------------------- IIS создает отдельную сессию и ее авторизует по керберосу, сессия эта работает под службой IIS которая запущена под системной учеткой. билет кербероса хранится в связке с этой сесией... далее IIS вызывает DLL 1с, скорее всего в DLL вполне удачно передается билет кербероса... далее DLL дает запрос на сервер 1с, при этом серверу 1с билет не достается, а достается текстовое поле "доменпользователь" + его пароль далее сервер 1с пытается авторизовать этого пользователя, если не выходит переходит в режим "авторизация 1с" -------------------------------------------------------- вариант 2, когда IIS и 1с на разном сервере все тоже самое только DLL передает серверу 1с поле "пользователь" + его пароль (это я точно знаю так как парсил трафик), по сколько домена нет сервер не знает где его авторизовать... -------------------------------------------------- я тут вижу 2 проблемных места 1. возможно в первом варианте сервер 1с как-то умеет авторизовать юзера даже без передачи ей имени домена 2. возможно в первом случае в 1с приходит имя домена а во втором нет как понять что верно а что нет - пока не понимаю...
#9
by vde69
еще одну странность заметил IIS и 1с на разных серверах, запускаю ослика на сервере - где установлен IIS - работает - не работает - не работает
#10
by Мыш
От какого пользователя запускаешь? Входит ли этот пользователь в группу локальных админов?
#12
by Господин ПЖ
вся эта байда в работает как-то через раз... у нас как-то получилось настроить. работало. потом поменяли настройку в iis не относящуюся напрямую - все развалилось нафих еще можно повтыкать про "double hop authentication"
Тэги:
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
- 1C на разных процессорах...
- 1C SQL --- VS --- 1C файловый вариант
- v8: 8.1. Доменная аутентификация WS, ошибка авторизации
- Не получается поднять web-клиент на win7 х64 IIS 7.5 - 1C 8.2.11.236 Server x64
- Не проходит доменная авторизация 1С пользователей после повышения уровня леса
- Apache и 1С на разных серверах
- Веб-сервер 1С, IIS 7.0, авторизация Windows
- HTTPСоединение, HTTP Авторизация, Сервер IIS
- 1C 8.3 + Windows Server 2008 R2 64x Публикация на веб сервере IIS
- Доменная авторизация для SOAP (WSОпределения, WSПрокси, СоздатьWSПрокси)
- Доменная авторизация при COM соединении или обращении по web-сервису
В этой группе 1С
- Cobian 11 (11.2.0.556) удалять файлы после создания архива
- Работа по по OLE 7.7->8.3
- УПП импорт материалов, почему НДС прибавляется к себестоимости?
- Регламентное задение "Извлечение текста" - где взять более полную информацию?
- 6-НДФЛ в ЗУП 2.5.: строка 130 есть в регистре, но в отчет идет не она.
- Вылетает программа при печати двухмерного штрихкода
- Как без прав администратора кластера серверов выгнать активных пользователей?
- Нумерация документов (Реализация товаров и услуг)
- редактирование печатной формы чека ккм 1с розница 2,1
- Протокол oData, Детализация запроса к Регистру Бухгалтерии (ДвиженияССубконто)
- Мобильное приложение, вызов клавиатуры, сканер штрих-кода
- Не выводится поле во внешнем отчете СКД
- Как извлечь значение из поля табличной управляемой формы?
- 6-НДФЛ По подразделениям ЗУП 3.0
- ERP доступ только на чтение
- Как применить директиву &Перед &После &Вместо на 8.3.9
- Не видно варианта настроек (отчет СКД)
- СКД Суммирование в группировке
- Эквайринг и обычный принтер
- Регламентное задание и КриптоПРО