1с не видит сетевую папку
Я тебя поздравляю. Ты стал очередной жертвой маркетинга Билли (которые Гейтс).
мелкомягкие позволили LOGON на ранней стадии загрузки ОС с маркетинговыми целями. И усе. И понеслась.. по кочкам..
диск пытается примонтироваться до того как получен айпи от DHCP-сервера, следовательно тогда, когда сеть ещё не видна. По хорошему сетевой диск надо подрубать только после получения айпи.
варианты ручной настройкой параметров сети(IP, Mask, Gate, DNS) - не помогают :)
А всЁ Маркетинг, чОрт его побери. "Наша Win7 - самая быстрозагружаемая Win7 в мире!" А то, что после логона винда еще полчаса ворочается в фоновом режиме - это т-с-с. Зато логон какой быстрый, вай. :)))
еще можно вообще поизвращаться, добавить сетевое имя и адрес сетевого диска в файл LMHOSTS. :)
зы: вдобавок ко всему выше посоветованному я тебе знаешь что еще посоветую?
А сделай-ка ты вход в винду с ручным вводом пароля. Пока юзер пароль введет, глядишь, к тому моменту сеть уже устаканится. :)
Ну или батник в автозагрузку типа:
ping 127.0.0.1
ping 127.0.0.1
ping 127.0.0.1
ping 127.0.0.1
net use p: \\server\folder
Конечно, это лучшее решение. Никто и не спорит.
Ага, а на клиенте у него WIN95, что-ли? :))
Ну ладно, раз ты советуешь, смотрю (0) и вижу "на компах Win7"
на компЕ отличается от на компАХ :)
Делаю вывод - у аффтара на всех трех компАХ win7. Логично? логично. :)
Не обижайся, но поэтому твое "вообще-то" превращается в вообще-то ни о чем :)
И так понятно, что весь разговор ведется о проблеме на клиенте, на котором (клиенте) WIN7.
отступление ***хоть автор и не озвучил, но подозреваю, что на всех трех копмах win7 home. В том числе и на файл-сервере тоже HOME :)***
А остальное ты правильно говоришь. И насчет UAC и насчет "запуска от имени администратора".
Правда, немножко сам себе противоречишь - с одной стороны, ратуешь за безопасность, с другой стороны - возражаешь против пароля на вход. Пароль на вход в свете твоей приверженности безопасности ни лишним, ни вредным не будет. :)
смотрим:
Не надо "от имени администратора". Не надо "отключать UAC". Очень не рекомендуется раздавать шары на полный допуск.
Прекрасно. Хорошо начал. :)
Потому заводить юзеровский пароль на комп - совершенно не обязательно.
Я в затруднении. Мы в затруднении. :))
Так хорошо начал - "не надо то, не надо это".. и вдруг - на тебе "совершенно не обязательно" :)
Нет уж, раз везде пароли, так давай везде.
В целях единообразия. :)
Но вообще это не о проблеме автора. Даже в серьезных организациях с доменами, AD, настроенными ролями, правами и паролями, со строгими политиками безопасности и прочая проблема на клиенте win7 с подключением сетевых дисков периодически всплывают.
34-VZ >И не надо ругаЦЦа на всяких Билли, в том числе из семьи Гейтсов ;)
Ты не поверишь :)
Это не я ругаюсь, это весь мир ругается. И на иксбите, и на озоне, и на рубоарде и в иносми.. много где..
Проблема с подключением сетевых дисков на клиентах WIN7 обсуждается уже несколько лет. А также добавились и клиенты на win8.
При этом неважно, какая ось на сервере. Даже неважно, есть ли, нет ли AD. Проблема возникает. На клиенте.
Вообще-то я с тобой согласна, не надо отключать UAC.
достаточно либо подключать шару с ключом UAC, либо вообще: (цитата)
в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System создать параметр "EnableLinkedConnections" типа DWord и значением "1".
34-VZ >Имеет значение способ обращения к шаре.
в данном конкретном случае аффтар четко зафиксировал способ - диск Z. Давай не будем обсуждать все возможные способы. Ну пожа-а-алуйста. :)
34-VZ >Не надо "от имени администратора". Не надо вредных советов: надо приучать братьев наших меньших работать с обычными правами, и больно бить по голове при стремлении работать с админскими правами.
В данном конкретном случае от имени администратора будет работать не юзер, а программа. 1Cv7.exe.
Ничего страшного в этом не вижу.
И, поскольку автор озвучил ftp, полагаю у него использование каких-либо ВК.
Вот ты не поверишь, но у меня даже v7plus.dll иногда не работала, пока я не запущу 1cv7.exe от имени администратора. :)
ВыбФайл = Новый Файл(ИмяКаталога);
Если Не ВыбФайл.Существует() Тогда
Возврат Ложь;
КонецЕсли;
Прошу подсказать в чем может быть проблема?
(3) ну путь указан вот таким образом: \\srv111\111\1С_РИБ, пытаюсь прочитать данный каталог с srv112.
(4) Скопируй этот путь в адресную строку проводника, чтоб точно понять, что там буква С русская с английской не спутана
(6) всё-таки имхо "пользователь под которым стартует сервер 1С" - это для регламентных заданий. А здесь другой пользователь рулит.
(6) а какой другой? Везде пишут что все действия 1С на сервере выполняются из под учетки под которой работает служба "Агент сервера 1С".
(8) Слеш добавил - не помогло.
(9) По поводу есть ли права на запись - лично не проверял, админ так утверждает, но посмотрел права доступа на данный каталог, у этого юзверя есть все права кроме "особые разрешения".
(11)Работает точно на сервере, ибо у модуля стоят только галочки - "Сервер", "Привелигированный" и "Вызов сервера".
Права настраиваются не только на закладке "Доступ", но еще всякие наследования на закладке "Безопасность (дополнительно)". Был случай когда доступ к папке вроде дали, а с наследованием бардак был
(13) (14). Все попробовал, все равно не видит.
(15) Прям из под пользователя агента сервера 1С пока не могу попробовать, вряд ли мне дадут пароль, пока все на доверии к админам держится :)
(18) Ну тогда доверие походу подрывается, запусти службу от того пользователя от которого сам в эту папку заходишь, вот и проверим кто пи. ит
(18) У тя там наверно локальный пользователь USR1CV8 а сеть доменная, пусть он те пользователя доменного запилит для службы (а у локального с доступом по сети могут быть проблемы)
(17) Посмотрел что с наследованием. Стоит полный доступ для этой папки, подпапок и файлов.
(20) Да походу так и придется сделать, воочию так сказать, убедится. Допустим они мне все покажут и доступ действительно есть на все, но они это делают "интерактивно". Возможен ли вариант, что при отрабатывании этого пользователя из под 1С у него права как то могут отличаться от интерактивных?
(24) да вот и я думаю что это из области фантастики:) Просто когда вариантов не остается, всякое на ум приходит)
(27)В данном случае учетка тоже доменная. Сейчас попробую точно установить юзверя, под которым это все работает. Хочу собрать достаточно инфы прежде чем идти к админам:)
Вообщем. прослезился. Как обычно, админы все перепутали:). Просили дать права для пользователя под которым стартует агент сервера 1С, в итоге они дали права какой то доменной учетке, которая с данным агентом сервера никак не связана. Большое спасибо за участие :)
Сначала расскажу почему вообще может понадобиться что-то настраивать.
Вот предположим, что у нас в качестве места для архивации используется сетевой диск Z, который указывает на некую сетевую папку "\\computer\storage".
Как вообще этот диск попадает к нам в систему? Во-первых, возможно мы подключили его через "Мой компьютер", используя команду "Подключить сетевой диск" с галкой "Восстанавливать при входе в систему". Во-вторых, возможно мы каждый раз подключаем его в одном из скриптов, используя команду net use.
И вот тут есть один нюанс - этот диск существует только в нашей сессии. Это значит, что если мы запускаем какую-нибудь программу под другим пользователем или даже из под себя но "От имени администратора" - программа этого диска не увидит, так как она будет запущена в отдельной сессии.
Именно поэтому обновлятор-1с не будет видеть ваш сетевой диск в следующих случаях:
- он запущен по расписанию (при запуске программы из планировщика заданий с галкой "выполнять вне зависимости от регистрации пользователя" используется отдельная сессия)
- вы запустили обновлятор ". от имени администратора" (для такого запуска также используется отдельная сессия)
- вы настроили запись архивов под отдельным пользователем (на время такой записи обновлятор делает программную авторизацию под указанным пользователем и это тоже отдельная сессия)
- при заливке в облака менеджер загрузки также работает в отдельной сессии
Что делать?
Раньше я рекомендовал прописывать подключение дисков в скриптах самого обновлятора, но и это помогало не во всех случаях.
Поэтому совсем недавно в дополнительных настройках появилась (вернее она была переделана) новая вкладка:
Именно здесь нужно один раз прописать доступ к:
- сетевым папкам (которые обычно подключаются в систему через net use)
- сетевым дискам (которые обычно подключаются в систему через net use или команду "Подключить сетевой диск")
- локальным папкам, которым сопоставлены диски (которые обычно подключаются в систему через команду subst)
И тогда обновлятор будет подключить и отключать эти ресурсы сам, автоматически - в нужные моменты и в нужных сессиях.
С уважением, Владимир Милькин (преподаватель школы 1С программистов и разработчик обновлятора).
Как помочь сайту: расскажите (кнопки поделиться ниже) о нём своим друзьям и коллегам. Сделайте это один раз и вы внесете существенный вклад в развитие сайта. На сайте нет рекламы, но чем больше людей им пользуются, тем больше сил у меня для его поддержки.
В сегодняшней статье я расскажу об уязвимостях сервера 1С в корпоративной сети.
Как показала практика, в инсталляциях с 1С все допускают одни и те же ошибки разной степени серьезности. Я не буду касаться очевидных вещей вроде установки обновлений, но пройдусь по специфике работы сервера приложений под Windows. Например, по возможности бесконтрольно манипулировать базами Microsoft SQL с помощью инструментов 1С.
Исторически так сложилось, что редко когда системные администраторы и программисты 1С работают как одна команда. Чаще всего специалисты по 1С не вникают в тонкости системного администрирования, а сисадмины не стремятся постичь нюансы работы 1С.
И получается инфраструктура с «детскими болячками», очевидными для специалиста по ИБ ― ниже привожу личный ТОП таких проблем.
По умолчанию платформа 1С при установке создает специальную учетную запись с ограниченными правами, под которой работают службы сервера ― USR1CV8. Все идет хорошо, до тех пор пока не становятся нужны ресурсы сети: например, для автоматических выгрузок-загрузок. Учетная запись по умолчанию не имеет доступа на сетевые папки домена, поскольку является локальной.
В своей практике я встречал множество способов решения этой задачи: папки с доступом на запись для группы «Все», сервер 1С под учетной записью с правами администратора домена, явно прописанные в коде учетные данные для подключения сетевого ресурса. Даже запуск сервера 1С под пользовательской сессией как обычное приложение.
Заходим на сервер по RDP, видим такое окно и получаем нервный тик.
Конечно, «захардкоженые» пароли и сетевые ресурсы с анонимным доступом на запись встречаются редко. В отличие от работы сервера 1С из-под обычной доменной учетной записи. Разумеется, с возможностью выполнить произвольный код «на сервере».
Как известно любому 1С-нику, но не любому системному администратору, в обработках 1С есть два режима выполнения процедур: на сервере и на клиенте. Запущенная в «серверном» режиме процедура будет выполнена под учетной записью службы сервера приложений. Со всеми ее правами.
Если сервер 1С работает с правами администратора домена, то потенциальный вредитель сможет сделать с доменом что угодно. Разумным выходом станет создание специальной учетной записи ― по мотивам USR1CV8, только уже в домене. В частности, ей стоит разрешить вход только на определенные серверы в оснастке «Пользователи и Компьютеры Active Directory».
Настройка входа только на разрешенные серверы.
Не лишним будет и разрешить вход на сервер только в качестве службы, отключив возможность локального (интерактивного) входа в систему. Сделать это можно через локальные политики безопасности непосредственно на сервере, либо с помощью доменных групповых политик.
Назначение прав пользователя в локальной политике безопасности.
Все то же самое касается и учетной записи сервера Microsoft SQL. Седых волос может прибавиться от вредных привычек:
- запускать SQL с правами администратора компьютера или даже домена для удобного резервного копирования;
- включать возможность запуска исполняемых команд через хранимую процедуру xp_cmdshell для переноса резервных копий на сетевые ресурсы через красивые планы обслуживания.
Регулярно в практике встречается подключение баз данных к серверу 1С под пользователем «SA» (суперпользователь в SQL). Вообще, это не так страшно как звучит, ведь пароль от SA захэширован в файле 1CV8Reg.lst на сервере приложений. Хэш злоумышленник получить гипотетически может ― не забываем про права учетной записи сервера ― но расшифровка окажется долгой, особенно если использовать брутфорс.
Но все же не лишним будет настроить аудит доступа к этому файлу с уведомлением ответственных лиц.
Другое дело, когда программистам 1С «делегируют» обязанности DBA. Опять же, из личного опыта: сервер SQL был в зоне ответственности программистов, как и интеграция внешнего сайта с базами 1С. Итогом был пароль SA в скриптах сайта.
Для собственного успокоения стоит поставить на SA сложный пароль или вовсе деактивировать эту учетную запись. На SQL тогда нужно включить доменную аутентификацию для управления и создать для 1С отдельное имя входа с правами на необходимые базы.
Если вы не хотите оставить возможность создавать базы SQL через интерфейс 1С, то новому пользователю хватит общей роли public и db_owner непосредственно в базе 1С.
Это можно проделать через Management Studio или простым скриптом T-SQL:
Правам пользователей в 1С почему-то мало кто уделяет внимание. А ведь пользователь с правами «Административные функции» или «Администрирование» запросто выгрузит базу в .DT через конфигуратор и унесет домой ― это подарит не одно мгновение волнительного счастья вашему руководству. Поэтому стоит поймать на рюмочку чая 1С-ника и посидеть совместно над базой, чтобы узнать, какие пользователи имеют подобные права. А заодно ― чем грозит понижение их полномочий.
Право выгрузить базу у роли Полные Права в типовой 1С: Бухгалтерии 2.0.
Следующий важный момент ― запуск внешних обработок. Как мы помним, в 1С можно запускать код с правами учетной записи сервера. Хорошо, если она не имеет административных прав на систему, но все равно стоит исключить возможность запуска подобных обработок для пользователей. И не забудьте попросить специалиста по 1С «встраивать» дополнительные отчеты и обработки в базу. Хотя не во всех обработках поддерживается встраивание ― эта возможность зависит от версии 1С.
Проверить, какие типовые роли не имеют прав на открытие внешних обработок, можно в конфигураторе.
Все эти действия не только помогут защититься от потенциального «внутреннего вредителя», но и станут дополнительной преградой на пути вирусов-шифровальщиков, маскирующихся под обработки 1С.
Если все же необходим запуск внешних обработок, то неплохим вариантом контроля и подстраховки будет аудит их запуска. Штатного механизма аудита у 1С пока нет, но в сообществе уже придумали несколько обходных маневров. Внедрять эти механизмы стоит в паре со специалистом 1С, также как и настраивать уведомления о событиях в журнале регистраций базы.
Отдельно отмечу возможность настройки доменной аутентификации пользователей вместо аутентификации 1С. И пользователям будет удобнее ― меньше паролей в их памяти снижает риск появления стикеров на мониторе.
Итак, пользователи теперь не могут запускать обработки, учетная запись сервера максимально ограничена. Но есть и еще кое-что: учетная запись администратора кластера 1С, которая не создается по умолчанию.
Ее отсутствие опасно: любой человек с ноутбуком при открытом доступе к сетевым портам сервера (по умолчанию это TCP:1540) может создать там свою базу, и ограничений на запуск обработок не будет. А еще злодей сможет получить информацию по базам данных, по работающим пользователям, изменить параметры кластера и даже принудительно завершить работу определенных пользователей.
Пример скрипта на PowerShell, изгоняющего всех пользователей изо всех баз сервера:
Использование подобного способа работы с сервером 1С в благих целях уже упоминалось в одной из предыдущих статей.
Создать администратора кластера не просто, а очень просто ― достаточно щелкнуть правой кнопкой на пункте «администраторы» в управлении кластером 1С, создать нового администратора, задав логин и пароль.
Создание администратора кластера 1С.
Я коснулся лишь части недоработок при настройке 1С: Предприятия. Для самостоятельного изучения рекомендую почитать до сих пор не потерявшие актуальность материалы:
Поделитесь в комментариях своими нестандартными решениями и курьезами при работе с системой 1С: Предприятие.
В этой статье я привел решение ошибки «Каталог обмена информацией не существует» в случае, если сервер 1с установлен на Linux и Windows сервере.
Решение для сервера 1с на Linux на примере Centos Stream.
Скорее всего вы получаете одну из нескольких ошибок:
Прямое подключение к информационной базе недоступно на сервере под управлением ОС Linux — ошибка говорит сама за себя, нам потребуется настройка сетевого обмена.
Ошибка подключения: Каталог обмена информацией не существует — данная ошибка возникает из-за того, что при настройке обмена авторизация в сетевой папке происходит учетной записью usr1cv8 из под Linux.
Для решения данной проблемы нам придется смонтировать сетевую папку в Linux под учетной записью, под которой работает сервер 1с.
1) Расшариваем сетевую папку на вашем файловом сервере и даем права на запись для учетной записи guest.
У меня будет //192.168.128.32/public/1C_Share
2) Установим cifs-utils на Linux сервере 1с:
3) Создадим каталог для обмена, в который будет монтироваться сетевая папка:
4) Посмотрим uid пользователя usr1cv8, чтобы при монтировании указать его владельцем: каталога
mount -t cifs //192.168.128.32/public/1C_Share /1C_Share -o user=guest,password=,uid=993
Теперь в настройках 1с указываем каталог для обмена \1C_Share и смотрим есть ли подключение:
6) Сейчас сделаем так, чтобы сетевая папка в Linux монтировалась автоматически после перезагрузки:
nano /etc/fstab и в конфиге добавляем внизу
//192.168.128.32/public/1C_Share /1C_Share cifs username=guest,password=,uid=993,iocharset=utf8,nofail 0 0
Решение для сервера 1с установленном на Windows Server.
Здесь все гораздо проще. Нужно авторизоваться в сетевом каталоге под учетной записью с которой у вас запущена служба 1с. У меня это USR1CV8.
Для этого под пользователем USR1CV8 переходим в Панель управления — Диспетчер учетных данных — Учетные данные Windows и добавляем адрес сервера //192.168.128.32 с данными авторизации, которые вы указали на файловом сервере.
Если вдруг у вас появляется подобная ошибка при файловом режиме работы 1с, то вам не хватает прав на запись для вашей учетной записи в каталоге, в котором вы настраиваете обмен.
Читайте также:
- Плательщик и покупатель разные реквизиты как заполнить в 1с
- Написать программу которая проверяет является ли введенная с клавиатуры строка двоичным числом
- Как создать программу не зная программирования
- В редакторе adobe flash cs4 частота смены кадров 24 кадр сек
- Касперский блокирует программу как исправить