После обновления клиентских рабочих станций до Windows 11 версии 24H2 (для автоматизации этого процесса подойдет система централизованного администрирования рабочих мест и баз 1С) многие системные администраторы, использующие в своей практике структурированные справки по администрированию Windows и 1C, столкнулись с неприятной ситуацией: привычная «сквозная» доменная аутентификация в 1С:Предприятии перестает работать. Вместо автоматического входа пользователь видит стандартное окно выбора учетной записи и ввода пароля. Проблема носит массовый характер и связана с глубокими изменениями в подсистеме безопасности Microsoft. Давайте подробно разберем, что именно изменилось в операционной системе и как нам вернуть комфортную работу пользователям.
Проанализируем техническую составляющую обновлений. Основная причина сбоя кроется в том, что Microsoft продолжает планомерно отказываться от устаревших и потенциально небезопасных протоколов в пользу более защищенных решений. Рассмотрим ключевые факторы, влияющие на работу 1С:
Negotiate, который в первую очередь всегда пытается использовать Kerberos. Если сервер 1С или клиент настроены некорректно для работы с Kerberos, аутентификация завершается ошибкой, не успевая переключиться на NTLMv2.lsass.exe, предотвращая извлечение токенов доступа даже легитимными приложениями, если те используют старые методы взаимодействия.Ниже мы рассмотрим пошаговые инструкции, которые помогут нам восстановить работоспособность SSO (Single Sign-On).
Разберем самый эффективный способ восстановления прозрачной авторизации, который помогает в большинстве случаев. Нам необходимо вернуть системе возможность передавать пароль пользователя в уведомлениях Winlogon.
Рассмотрим порядок действий:
gpedit.msc) или создайте новую политику в домене через gpmc.msc.gpupdate /force) и перезагрузки, аутентификация в 1С должна начать подхватываться автоматически.Поскольку Windows 11 24H2 настойчиво требует использования Kerberos, проанализируем настройки нашего сервера 1С. Для того чтобы Kerberos работал корректно, у учетной записи, от имени которой запущен сервер 1С (например, USR81C), должен быть правильно прописан SPN (Service Principal Name). Для упрощения управления кластером в таких условиях может пригодиться консоль администрирования серверов 1С (ras) для Linux и Windows — для этого есть альтернативная консоль администрирования серверов и баз 1С.
Посмотрим на пример команды для регистрации SPN. Ее необходимо выполнить от имени администратора домена в командной строке:
setspn -A 1cv8/ИмяСервера:1541 Домен\USR81C
setspn -A 1cv8/ИмяСервера.домен.local:1541 Домен\USR81C
В этом примере:
1cv8 — класс службы для 1С;ИмяСервера — сетевое имя вашего сервера 1С;1541 — порт кластера (укажите ваш, если он отличается);Домен\USR81C — учетная запись, под которой работает служба 1C:Enterprise 8.3 Server Agent.Важно: Проверьте, чтобы не было дублей SPN. Это можно сделать командой setspn -X. Дубликаты гарантированно ломают доменную авторизацию.
Если ваша инфраструктура использует Credential Guard, проанализируем ситуацию с делегированием прав. Credential Guard блокирует NTLM-аутентификацию для сетевых ресурсов, если не настроено Kerberos Unconstrained Delegation.
Рассмотрим, что нужно проверить в свойствах учетной записи сервера 1С в Active Directory Users and Computers:
USR81C.Если вкладка «Delegation» отсутствует, значит для этой учетной записи не зарегистрирован ни один SPN (см. Решение 2).
Если ваши пользователи работают через веб-браузер, проанализируем настройки IIS. В качестве вспомогательного инструмента в этом случае может выступить лаунчер для 1C с проверкой доменной авторизации, который оптимизирует запуск баз через веб-публикацию.
Выполним следующие шаги в консоли управления IIS:
Не забудем о классике доменной среды. Kerberos крайне чувствителен к расхождению времени. Проанализируем состояние системных часов на сервере и клиенте.
Разница во времени более 5 минут делает тикет Kerberos невалидным. Проверьте статус синхронизации командой:
w32tm /query /status
Также, в некоторых случаях помогает корректировка защиты LSA через реестр, если ваша версия платформы 1С некорректно взаимодействует с изолированным процессом. Посмотрим на параметры реестра:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RunAsPPL"=dword:00000000
"RunAsPPLBoot"=dword:00000000
Внимание: Отключение RunAsPPL снижает уровень защиты системы. Используйте этот метод только в том случае, если другие способы не помогли, и вы понимаете риски безопасности.
Мы проанализировали основные причины сбоя доменной аутентификации в 1С на Windows 11 24H2. В большинстве случаев проблема решается либо включением MPR-уведомлений через групповые политики, либо корректной настройкой SPN для перехода на чистый Kerberos. Помните, что откат на версию 23H2 является лишь временной мерой, и настройка инфраструктуры под современные требования безопасности Microsoft — более правильный путь развития системы.