Почему не работает доменная аутентификация 1С в Windows 11 24H2 и как это исправить?

Системный администратор 1С v8.3 (Управляемые формы) IT и автоматизация бизнеса
← На главную

После обновления клиентских рабочих станций до Windows 11 версии 24H2 (для автоматизации этого процесса подойдет система централизованного администрирования рабочих мест и баз 1С) многие системные администраторы, использующие в своей практике структурированные справки по администрированию Windows и 1C, столкнулись с неприятной ситуацией: привычная «сквозная» доменная аутентификация в 1С:Предприятии перестает работать. Вместо автоматического входа пользователь видит стандартное окно выбора учетной записи и ввода пароля. Проблема носит массовый характер и связана с глубокими изменениями в подсистеме безопасности Microsoft. Давайте подробно разберем, что именно изменилось в операционной системе и как нам вернуть комфортную работу пользователям.

Выясним причину: что изменилось в Windows 11 24H2

Проанализируем техническую составляющую обновлений. Основная причина сбоя кроется в том, что Microsoft продолжает планомерно отказываться от устаревших и потенциально небезопасных протоколов в пользу более защищенных решений. Рассмотрим ключевые факторы, влияющие на работу 1С:

  1. Полное удаление NTLMv1 и принудительный переход на Kerberos: В версии 24H2 протокол NTLMv1 практически полностью исключен из цепочки доверия. Теперь система использует механизм Negotiate, который в первую очередь всегда пытается использовать Kerberos. Если сервер 1С или клиент настроены некорректно для работы с Kerberos, аутентификация завершается ошибкой, не успевая переключиться на NTLMv2.
  2. Отключение уведомлений MPR (Multi Provider Router): Это «тихое» изменение стало камнем преткновения для многих корпоративных приложений. Раньше механизм MPR позволял передавать учетные данные пользователя провайдерам аутентификации сразу после входа в систему. В 24H2 эта передача по умолчанию заблокирована.
  3. Защита LSA (Local Security Authority) и Credential Guard: Эти механизмы теперь включены по умолчанию и работают в более жестком режиме. Они изолируют процесс lsass.exe, предотвращая извлечение токенов доступа даже легитимными приложениями, если те используют старые методы взаимодействия.

Ниже мы рассмотрим пошаговые инструкции, которые помогут нам восстановить работоспособность SSO (Single Sign-On).

Решение 1: Включение уведомлений MPR через групповые политики

Разберем самый эффективный способ восстановления прозрачной авторизации, который помогает в большинстве случаев. Нам необходимо вернуть системе возможность передавать пароль пользователя в уведомлениях Winlogon.

Рассмотрим порядок действий:

  1. Откройте редактор групповых политик (gpedit.msc) или создайте новую политику в домене через gpmc.msc.
  2. Перейдите в раздел: Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsПараметры входа Windows.
  3. Найдите параметр «Конфигурация передачи пароля пользователя в уведомлениях MPR, отправляемых Winlogon».
  4. Установите значение «Включено».
  5. После применения политики на клиентских машинах (команда gpupdate /force) и перезагрузки, аутентификация в 1С должна начать подхватываться автоматически.

Решение 2: Настройка Kerberos и регистрация SPN

Поскольку Windows 11 24H2 настойчиво требует использования Kerberos, проанализируем настройки нашего сервера 1С. Для того чтобы Kerberos работал корректно, у учетной записи, от имени которой запущен сервер 1С (например, USR81C), должен быть правильно прописан SPN (Service Principal Name). Для упрощения управления кластером в таких условиях может пригодиться консоль администрирования серверов 1С (ras) для Linux и Windows — для этого есть альтернативная консоль администрирования серверов и баз 1С.

Посмотрим на пример команды для регистрации SPN. Ее необходимо выполнить от имени администратора домена в командной строке:


setspn -A 1cv8/ИмяСервера:1541 Домен\USR81C
setspn -A 1cv8/ИмяСервера.домен.local:1541 Домен\USR81C

В этом примере:

Важно: Проверьте, чтобы не было дублей SPN. Это можно сделать командой setspn -X. Дубликаты гарантированно ломают доменную авторизацию.

Решение 3: Проверка параметров Credential Guard и делегирования

Если ваша инфраструктура использует Credential Guard, проанализируем ситуацию с делегированием прав. Credential Guard блокирует NTLM-аутентификацию для сетевых ресурсов, если не настроено Kerberos Unconstrained Delegation.

Рассмотрим, что нужно проверить в свойствах учетной записи сервера 1С в Active Directory Users and Computers:

  1. Откройте свойства пользователя USR81C.
  2. Перейдите на вкладку Delegation (Делегирование).
  3. Убедитесь, что выбрано «Trust this user for delegation to any service (Kerberos only)» или настроено ограниченное делегирование (Constrained Delegation) для конкретных служб.

Если вкладка «Delegation» отсутствует, значит для этой учетной записи не зарегистрирован ни один SPN (см. Решение 2).

Решение 4: Настройка для веб-клиента (IIS)

Если ваши пользователи работают через веб-браузер, проанализируем настройки IIS. В качестве вспомогательного инструмента в этом случае может выступить лаунчер для 1C с проверкой доменной авторизации, который оптимизирует запуск баз через веб-публикацию.

Выполним следующие шаги в консоли управления IIS:

  1. Выберите ваш сайт с опубликованной базой 1С.
  2. Откройте раздел Authentication (Аутентификация).
  3. Выберите Windows Authentication и нажмите Providers (Провайдеры).
  4. Убедитесь, что Negotiate находится в самом верху списка. Если там стоит NTLM — Kerberos работать не будет.
  5. В расширенных настройках (Advanced Settings) попробуйте временно установить Extended Protection в значение Off для проверки. Параллельно можно рассмотреть современные способы защиты, такие как аутентификация через JWT-токены или авторизация с токеном в 1С:Шина (поможет модуль авторизации по токенам в 1С:Шина), которые менее зависимы от специфических настроек ОС.

Решение 5: Синхронизация времени и LSA

Не забудем о классике доменной среды. Kerberos крайне чувствителен к расхождению времени. Проанализируем состояние системных часов на сервере и клиенте.

Разница во времени более 5 минут делает тикет Kerberos невалидным. Проверьте статус синхронизации командой:


w32tm /query /status

Также, в некоторых случаях помогает корректировка защиты LSA через реестр, если ваша версия платформы 1С некорректно взаимодействует с изолированным процессом. Посмотрим на параметры реестра:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RunAsPPL"=dword:00000000
"RunAsPPLBoot"=dword:00000000

Внимание: Отключение RunAsPPL снижает уровень защиты системы. Используйте этот метод только в том случае, если другие способы не помогли, и вы понимаете риски безопасности.

Подведем итоги

Мы проанализировали основные причины сбоя доменной аутентификации в 1С на Windows 11 24H2. В большинстве случаев проблема решается либо включением MPR-уведомлений через групповые политики, либо корректной настройкой SPN для перехода на чистый Kerberos. Помните, что откат на версию 23H2 является лишь временной мерой, и настройка инфраструктуры под современные требования безопасности Microsoft — более правильный путь развития системы.

← На главную