|
|
Win2019, Kerberos и 1С
arsik, ivanov-i-i, H A D G E H O G s, alexxx961503, ansh15, Crusher, shuhard, Amra, Garykom, nick86, SergeNKZ, MWWRuza, Шурик71, Rovan, obs191, golem14, КонецЕсли, Dedal, ЯнСмит, DimVad, kir-g, phabeZ, spiller26, Черников, END, Сукпун, Mihenius, Tarlich, zenik, Федя Тяпкин, drearyd, Мультук, bimbambum, Скучный бух, RomanYS, who respawn, dmt, Волшебник, reloc, integer, ads55
☑ | |
|
0
SergeNKZ
08.04.26
✎
10:48
|
Доброго дня! Коллеги, кто сталкивался с проблемой?
Имеем WinSrv 2019 Standart, MSSQL 2014, платформа 8.3.27.1936. Аутентификация в домене с использованием kerberos. Агент сервера 1С запускается под доменной учетной записью. Аутентификация пользователей 1С - по операционной системе. Раз в 24 часа отваливается доменная аутентификация: при попытке подключения к базе 1С вываливается диалог на ввод пароля. kerberos обновляет сертификаты раз в 6 часов. Перезапуск агента сервера устраняет проблему, но через 24 часа проблема повторяется. Web не используется. SPN для учетной записи настроен согласно инструкциям. Кроме одного: делегирование запрещено. Делегирование запрещено внутренней политикой информационной безопасности. Вопрос: может ли это критично влиять на возникновение описанной проблемы? Куда еще копать для её (проблемы) устранения?
|
|
|
1
Garykom
гуру
08.04.26
✎
10:52
|
|
|
|
2
SergeNKZ
08.04.26
✎
10:59
|
(1) Спасибо, пробовали, не результат не далО. По ссылке попробую еще раз, но меня смущает в данной рекомендации то, что у нас Web не используется.
|
|
|
3
Garykom
гуру
08.04.26
✎
11:03
|
(2) Если нет даже попытки доменной авторизации это тоже показатель
Может настройка перезапуска rphost поможет?
|
|
|
4
SergeNKZ
08.04.26
✎
11:10
|
(3) Перезапуск rphost не помогает. Только перезапуск агента сервера. По rphost'у было предположение, что может влиять размер, но на другой платформе (для разработки, 8.3.27.1859) rphost не достигает даже 1 гБ, но симптомы те же: раз в 24 часа отваливается.
|
|
|
5
SergeNKZ
08.04.26
✎
15:38
|
Тех. журнал ничего не дает. Кроме самого факта, что событие EXCP зарегистрировано в журнале. Дальше сообщения ...EXCP,1 (или 2, или 3) ничего.
Еще раз обращу внимание, что доменная аутентификация после рестарта агента сервера работает вполне хорошо. Но по истечении 24 часов учетная запись, от которой запускается агент сервера, не может получить от домена учетку, под которой проходит аутентификация пользователя. При этом под этой учетной записью (под которой запущен агент сервера) можно войти в домен. То есть доверительные отношения с доменом не теряются, но идентифицировать подключающегося пользователя не возможно. До рестарта агента сервера. Я уже голову сломал и все, что можно, перерыл. Везде речь именно про Web. Но у нас только тонкий клиент. Без Web'а.
|
|
|
6
Garykom
гуру
08.04.26
✎
15:50
|
А если создать регламентное с фоновым на сервере, которое периодически пробует к некой сетевой шаре стучаться с доменной учеткой?
Например каждые полчаса
Интересно произойдет отвал или нет
|
|
|
7
arsik
гуру
08.04.26
✎
17:22
|
(5) Ну так понятно что на агенте протухает токен выданный Kerberos. Вот почему он новый токен не может получить - это нужно смотреть доменную политику безопасности
|
|
