При переходе на новые технологические релизы платформы 1С:Предприятие 8.3.26.1656 и ветку 8.3.27 многие администраторы столкнулись с критической проблемой: фоновые и регламентные задания внезапно прекращают работу. В системном журнале и консоли заданий фиксируется ошибка: «Неверно указан пользователь или пароль. Неправильное имя пользователя». Ситуация осложняется тем, что до обновления те же самые задания под теми же учетными записями работали корректно. Для диагностики подобных состояний и удобного управления сервером можно использовать кроссплатформенную консоль администрирования кластера.
В этой статье мы подробно разберем, почему возникает этот сбой, как он связан с механизмами безопасности Windows-аутентификации и какие шаги необходимо предпринять для восстановления работоспособности серверных процессов. Мы проанализируем ситуацию с технической точки зрения и рассмотрим несколько вариантов решения — от оперативного «костыля» до полноценного исправления прав доступа (для этого подойдёт утилита управления регламентными заданиями и анализа прав доступа).
Проанализируем природу ошибки. Проблема наиболее ярко проявляется в клиент-серверных информационных базах, где для пользователей настроена исключительно Windows-аутентификация (АутентификацияОС). В новых версиях платформы (начиная с 8.3.26) разработчики внесли существенные изменения в механизмы работы рабочих процессов кластера (rphost) с контекстом безопасности операционной системы.
Рассмотрим ситуацию глубже: когда фоновое задание инициируется сервером, оно должно «подхватить» права пользователя. В версиях 8.3.26.1656 и ранних сборках 8.3.27 происходит разрыв связи между сеансом и данными авторизации ОС. Сервер «забывает» данные пользователя при переходе между потоками, что и приводит к отказу в доступе. Официально эта проблема была зафиксирована под номером 60013328. Несмотря на заявления об исправлениях в сборках типа 8.3.27.1964, практика показывает, что ошибка сохраняется и в более поздних релизах, таких как 8.3.27.1989.
Особое внимание стоит уделить регламентному заданию «Обновление индекса полнотекстового поиска». Оно запускается наиболее часто и первым сигнализирует о проблеме. Если вы видите в журнале регистрации массовые отказы по этому заданию — вы столкнулись именно с этим багом платформы.
Как показывает опыт участников обсуждения, наиболее эффективным и быстрым способом решения является активация стандартной аутентификации 1С:Предприятия для всех пользователей (или хотя бы для тех, под кем запускаются задания). Рассмотрим пошагово, как это реализовать, не нарушая привычный процесс входа для сотрудников.
Разберем алгоритм настройки для пользователя:
Конфигуратор и перейдем в меню Администрирование — Пользователи.Аутентификация 1С:Предприятия в значение Истина.Показывать в списке выбора установим в значение Ложь, чтобы не путать пользователей при входе.Проанализируем программный способ изменения этих параметров, если пользователей в базе много. Мы можем воспользоваться объектом ПользователиИнформационнойБазы:
ПользователиБЗ = ПользователиИнформационнойБазы.ПолучитьПользователей();
Для Каждого ТекущийПользователь Из ПользователиБЗ Цикл
ТекущийПользователь.АутентификацияСтандартная = Истина;
ТекущийПользователь.ПоказыватьВСпискеВыбора = Ложь;
// Установка временного сложного пароля, если необходимо
ТекущийПользователь.Пароль = "СложныйПароль2024!";
ТекущийПользователь.Записать();
КонецЦикла;
После применения этих настроек сервер 1С сможет использовать внутренние механизмы авторизации для запуска фоновых заданий, обходя проблемный участок кода, связанный с доменной авторизацией.
Иногда простая установка флага не помогает из-за кэширования данных в таблице v8users. В ветке 8.3.27 были изменены алгоритмы хеширования паролей, поэтому старые записи могут конфликтовать с новым ядром платформы. Рассмотрим комплексный подход к «оздоровлению» списка пользователей:
1C:Enterprise 8.3 Server Agent и удалить содержимое папки snccntxt. Предварительно рекомендуем изучить информацию по рабочему каталогу центрального сервера (srvinfo) и правилам его очистки.Проанализируем ситуацию с техническим пользователем ОтправкаСерверныхОповещений. Это встроенный механизм, и зачастую он страдает первым. Для управления проблемными сеансами и процессами rphost в таких случаях можно использовать WEB приложение для управления сеансами сервера 1С.
Рассмотрим возражение специалистов по безопасности: «Мы не хотим включать стандартную аутентификацию, так как это снижает защищенность системы». Это резонное замечание, но в условиях текущего бага платформы мы можем пойти на компромисс:
Во-первых, при включении стандартной аутентификации мы не отключаем Аутентификацию ОС. Пользователи продолжат входить «бесшовно». Во-вторых, установив ПоказыватьВСпискеВыбора = Ложь, мы скрываем саму возможность ручного ввода пароля в окне запуска. В-третьих, если сгенерировать случайные пароли длиной 20+ символов и не сообщать их пользователям, риск несанкционированного доступа через форму 1С будет сведен к минимуму.
Интересно отметить, что в сервисе 1С:Фреш (где инфраструктура поддерживается самой фирмой «1С») зачастую используются версии, отличные от публичных релизов. Например, уже активно эксплуатируется версия 8.5.1. Это говорит о том, что разработчики осознают проблемы веток 8.3.26/27 и готовят глубокую переработку ядра.
В режиме 8.5.1 интерфейс «Такси» сохраняется, но механизмы взаимодействия с сервером переписаны. Однако для локальных (On-premise) установок переход на 8.5.1 пока не рекомендуется из-за статуса «тестовая» и возможных проблем с отрисовкой сложных форм. Поэтому наиболее стабильной стратегией сейчас остается использование 8.3.25 (последних сборок) или применение вышеописанных методов исправления аутентификации для 8.3.27.
Подведем итог нашему разбору. Если после обновления ваши фоновые задания «упали» с ошибкой авторизации:
Эти действия позволят вашему серверу корректно инициализировать сеансы фоновых заданий (BackgroundJob) и обеспечат стабильную работу критичных процессов, в том числе таких как автоматическое обновление конфигурации через регламентное задание, до момента выпуска полностью исправленного релиза платформы — для контроля их выполнения можно использовать мониторинг регламентных заданий с отправкой уведомлений о сбоях.