Dec. 5th, 2013

narga: (Default)
Коллеги, у меня бредовый вопрос на тему 1с. Именно коллеги, потому что 1с-ники как обычно не в курсе.
Так вот, есть в 1с8 такая штука как регламентные задания. То есть всякая там автоматическая категоризация, очистка протокола доставки писем и т.п.
Что характерно - можно редактировать, можно запустить, можно удалить. Остановить, сбросить и т.п. - нельзя. Или нельзя из гуя, или нельзя конкретно в нашей конфигурации. Или кто-то забыл нарисовать кнопки.
Так вот, периодически задания зависают. Причины тому могут быть самые разные - от внезапного ребута до остановки службы 1с и "просто так вышло".
И вот тут то ли совпадение, то ли какая-то взаимосвязь. В тот момент, когда какое-то задание зависло\некорректно выполняется - авторизация в вебе и тонком клиенте перестаёт работать. Виндовая работает, 1с-ная нет. Через какое-то время (например, клиент раз пять обновит страницу) - пускает. При этом авторизация толстого клиента работает всегда.
Вопрос - а есть у них там какой-то таймаут ответа от 1с, после которого мы отваливаемся? И связано ли это с регламентными заданиями?
То, что 1с тормозит при некорректной работе какого-то задания - известный факт, 1с-ники это подтвердили.
Совпадение? Связано?

Я вчера на эту тему уже весь мозг сломала. Для проверки авторизации выполняла самые различные советы с 1с-форумов. Тут и запрет редиректа, и другие права, и на уровне бреда замена всевозможная SPN для gmsa под IIS, потому что блин кто-то из 1с-ников утверждает, что с 1с оно работает только так, а эдак и работать не может. Я уже и спорить не могу на эту тему. Веб-сервер уже стоит на сервере с 1с, всё работает, но... не всегда. Авторизация виндовая, анонимная отключена. За работу 1с отвечать не могу, кроме того что эти самые регламентные задания действительно периодически зависают.

MSA & GMSA

Dec. 5th, 2013 12:47 pm
narga: (Default)
Использование MSA - Managed Service Account (управляемая учетная запись) - позволит настроить запуск некоторых служб от имени аккаунта с автоматической генерацией паролей, регулярной сменой и отсутствием дополнительных прав.
GMSA позволяет использовать msa на нескольких серверах.
Сервера 2008r2 и выше, сервисы - IIS, Exchange 10 и выше, SQL 2008 и выше, уровень леса 2008r2
Перед работой Import-Module ActiveDirectory.

Создание msa

New-ADServiceAccount name (по дефолту + нужные команды вроде установки SPN)
-AccountPassword - задать пароль, если вдруг надо, -DisplayName - отображаемое имя, -ServicePrincipalNames понятно.

Привязать к целевому серверу

Add-ADComputerServiceAccount -Identity servername -ServiceAccount msaname

Установить на целевой сервер:

Install-ADServiceAccount msaname

Периодически при инсталле будет отлуп:

Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1

Как выяснилось, связано с репликацией между контроллерами. После того, как репликация пройдет, инсталл произойдет успешно.

GMSA создаётся так:
Для начала KDS новый ключ:
Add-KdsRootKey -EffectiveImmediately

New-ADServiceAccount gmsaname
 -DNSHostName - хост с KDS
-PrincipalsAllowedToRetrieveManagedPassword - какие компьютеры смогут получить доступ к записи.
То есть: New-ADServiceAccount gmsaname -DNSHostName keyhostname -PrincipalsAllowedToRetrieveManagedPassword servername$
Дальше инсталл на целевых серверахх как с msa

Удаление: Remove-ADServiceAccount msaname

Запуск пула IIS от имени msa: диспетчер IIS => app pools => your pool => advansed settings => proccess model => identity => custom account => set => user name - msa без пароля => ok => ok.

Ну и по мелочи на тему spn:

Посмотреть:

Get-ADServiceAccount msaname -Properties serviceprincipalname

Удалить:
Set-ADServiceAccount msaname -ServicePrincipalNames @{remove="spn"}

Добавить:
Set-ADServiceAccount msaname -ServicePrincipalNames @{add="spn"}

Profile

narga: (Default)
narga

January 2025

S M T W T F S
   1234
567891011
12131415161718
19202122232425
2627282930 31 

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 2nd, 2025 02:57 am
Powered by Dreamwidth Studios