Установка ras windows server

Для администрирования серверов 1С:Предприятие из любой операционной системы есть такой инструмент, как Remote Administration Service (RAS).

Предположим, что на хосте с ОС Windows подняты две службы агента сервера 1С. Одна для рабочей зоны, вторая для тестовой зоны. Для создания сервера администрирования (RAS) на этом хосте нужно создать соответствующие службы для каждой из зон.

Для этого создаём cmd-файл (кодировка UTF-8) следующего содержания:

chcp 65001
set V8=C:\Program Files\1cv8\8.3.24.1368\bin
set NameSrvc=ras_1539
set DisplName="Сервер администрирования 1С:Предприятия 8.3 (x86-64) (ragent:1540)"
set Command="\"%V8%\ras.exe\" --service cluster -p 1539 127.0.0.1:1540"
sc create %NameSrvc% binPath= %Command% start= auto obj= .\USR1CV8 password= Password DisplayName= %DisplName% depend= Tcpip/Dnscache/lanmanworkstation/lanmanserver/
set NameSrvc=ras_1639
set DisplName="Сервер администрирования 1С:Предприятия 8.3 (x86-64) (ragent:1640)"
set Command="\"%V8%\ras.exe\" --service cluster -p 1639 127.0.0.1:1640"
sc create %NameSrvc% binPath= %Command% start= auto obj= .\USR1CV8 password= Password DisplayName= %DisplName% depend= Tcpip/Dnscache/lanmanworkstation/lanmanserver/

Картинка с сайта: sysadminchik.ru

Сохраняем и выполняем этот cmd-файл от имени администратора:

Картинка с сайта: sysadminchik.ru

После этого, созданные службы можно запускать:

Картинка с сайта: sysadminchik.ru

Теперь с рабочего места администратора можно получить доступ к управлению этими серверами 1С (рабочей и тестовой зон).

Для этого через клиент 1С:Предприятие нужно войти в любую информационную базу, где перейти в «Настройки — Параметры». Там ставим галочку «Режим технического специалиста». После этого становятся доступны «Функции для технического специалиста», заходим туда. В открывшемся окне раскрываем список «Стандартные» и выбираем «Управление серверами» (эти шаги описаны с картинками в инструкции «Администрирование сервера 1С из-под Linux» — ссылка внизу страницы).

Здесь нажимаем кнопку «Добавить» и указываем:

— Имя подключения произвольное, например, Server1 (1540);

— Адрес сервера администрирования — сервер, с установленным Сервером 1С;

— Порт, в нашем случае 1539 (по умолчанию 1545);

— Пользователь и пароль администратора кластера 1С оставляем пустыми (если не создавали такого администратора).

Картинка с сайта: sysadminchik.ru

Нажимаем «Подключиться». Аналогично настраиваем для порта 1639

Картинка с сайта: sysadminchik.ru

Такой способ администрирования будет работать через клиент 1С:Предприятие, как с ОС Windows, так и ОС Linux.

Для администрирования серверов 1С:Предприятие традиционно используется одноименная MMC-оснастка, что достаточно неудобно по многим причинам, которых мы коснемся ниже. Альтернативой является использование сервера администрирования RAS, недостатком которого является отсутствие графической оболочки. Поэтому многие сторонние разработчики представили собственные решения работающие на базе RAS, одно из них ПУСК — серьезный продукт, существующий уже несколько лет и включенный в реестр отечественного ПО.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Перед тем, как переходить к основной теме данной статьи рассмотрим штатные инструменты с их плюсами и минусами. Начнем с MMC-оснастки Администрирование серверов 1С Предприятия, уже сам факт использования MMC указывает на то, что это продукт исключительно для платформы Windows, а если учесть, что под капотом используются COM-соединения, то перспектив увидеть кроссплатформенное решение здесь нет. Также Поэтому для оснастки мы выделим два основных минуса:

• Работает только под Windows
• Работает только с одной версией платформы одновременно

Второй недостаток проистекает от использования COM-соединения, которое требует чтобы версии COM-коннектора и платформы сервера совпадали, поэтому если у вас в эксплуатации несколько серверов 1С:Предприятие с разными версиями платформы то вас ожидает постоянная суета с перерегистрацией компоненты для работы с нужным сервером.

Понимая тупиковый путь развития оснастки фирма 1С разработала кроссплатформенный сервер администрирования RAS, который является частью сервера 1С:Предприятие, но RAS — это сетевая консольная служба и для работы с ней требуется клиент. Штатный клиент в поставке 1С — также полностью консольное приложение и говорить о каком-либо удобстве повседневной работы здесь нельзя.

Справедливости ради следует сказать, что для работы с RAS существует стандартная обработка доступная в любой информационной базе, но она достаточно ограничена по возможностям и требует установки на машину администратора экземпляра платформы 1С:Предприятие, что требует выделение клиентской лицензии.

Все это учли разработчики компании ИТ-Экспертиза и создали веб-приложение, работающее через сервер администрирования RAS и предоставляющий администратору практически все возможности стандартной оснастки с максимально повторяющим оригинальный инструмент поведением. Проект развивается с 2022 года и в настоящий момент включен в реестр отечественного ПО.

В чем плюсы такого решения? Это удобно, кроссплатформенно, может быть использовано в рамках импортозамещения. А формат веб-приложения позволяет работать с продуктом из любого места и любой платформы, был бы браузер.

Мы будем устанавливать ПУСК на выделенный виртуальный сервер под управлением DEB-based дистрибутивов, в нашем случае это будет Ubuntu 24.04 LTS, но вы можете использовать любой актуальный дистрибутив на базе Debian. Все приведенные ниже команды должны запускаться от имени суперпользователя root или через sudo, если не указано иного.

Установка Java JDK

Для нормальной работы ПУСК нам понадобится виртуальная машина JAVA версии не ниже 17 и здесь у нас есть несколько вариантов ее получения. В данном случае мы будем устанавливать именно версию 17.

Начнем с оригинальной версии Java от Oracle, ее можно скачать со следующей страницы:

JDK Development Kit 17.0.14 downloads

Для скачивания данного продукта вам понадобится зарубежный IP-адрес и учетная запись Oracle, других ограничений нет, с указанной страницы скачиваем DEB-пакет, на момент написания статьи это был jdk-17.0.14_linux-x64_bin.deb.

Следующий вариант, который мы использовали, это Liberica JDK, которую долгое время использовало и продолжает использовать сама фирма 1С. Скачать нужную версию Java можно отсюда:

Download Liberica JDK

Никаких ограничений на данной странице нет, просто качаем DEB-пакет нужной версии под Linux.

И наконец тем, кому нужен продукт из реестра отечественного ПО или желающим использовать только отечественные продукты следует обратить внимание на Axiom JDK, продукт Axiom Standard JDK бесплатен, однако предоставляется по запросу, получить его можно на официальном сайте:

Axiom JDK 17.0.14+10, LTS, Latest

Здесь нас также интересует DEB-пакет.

Будем считать, что вы скачали один из указанных выше пакетов и разместили его на сервере в домашней директории пользователя. В нашем случае это будет Liberica JDK. Подключаемся на сервер и повышаем права до суперпользователя, в Ubuntu для этого выполните:

sudo -s 

В Debian

su -

Затем перейдем в домашнюю директорию и установим пакет:

cd ~
apt install ./jdk-17.0.14_linux-x64_bin.deb

Обратите внимание, что в последней команде используется имя скачанного пакета и в вашем случае оно может быть иным.

На этом установка Java JDK окончена.

Установка ПУСК

Прежде всего скачаем последний актуальны пакет ПУСК со страницы:

Панель Управления Сервисами и Компонентами (ПУСК)

На момент написания статьи это версия 1.1.62 от 22.08.2024.

Затем нам понадобится набор Java-библиотек для работы с RAS, которые можно получить здесь:

Программный Java-интерфейс для административного сервера

Вам следует скачать java-api для версий платформы 8.3.11 и старше.

Оба архива также следует передать на сервер в домашнюю папку пользователя.

Установку начнем с распаковки архива с самим ПУСК, сам продукт будет размещаться в /opt, поэтому выполним:

cd ~
tar -xzvf ite-pusk-1.1.62.tar.gz -C /opt

Теперь займемся java-библиотеками от 1С, разработчики зачем-то запаковали их в несколько вложенных архивов, поэтому придется поработать:

unzip java-api-8.3.11.zip
cd java-api-8.3.11/
unzip java-api-1.6.7.zip
cd java-api-1.6.7/
unzip com._1c.v8.ibis.admin-1.6.7.zip
cd com._1c.v8.ibis.admin-1.6.7/
cp -r lib /opt/pusk

Последняя команда скопирует нужные библиотеки в директорию установки ПУСК.

После чего перейдем в каталог ПУСК и выполним его установку:

cd /opt/pusk/
./ite-pusk-linux.sh install

Теперь пробуем запустить панель:

systemctl start ite-pusk

После чего набираем в браузере адрес сервера и порт 8080, в нашем случае это 192.168.72.99:8080 и убеждаемся что веб-панель загрузилась. Убедившись в этом можно добавить сервис в автозагрузку:

systemctl enable ite-pusk

На этом установка панели управления ПУСК закончена, но прежде чем подключать к ней сервера 1С нужно выполнить некоторые подготовительные действия на их стороне.

Установка сервера администрирования 1С в виде службы на платформе Windows

Чтобы управлять сервером на базе Windows нам потребуется установить и запустить на нем сервер администрирования RAS, для этого воспользуемся BAT-файлом install_ras.cmd, в который внесем следующее содержимое:

@echo off
rem %1 - полный номер версии 1С:Предприятия
rem %2 - имя сервера (с портом агента 1540)
rem %3 - порт RAS (1545)
chcp 1251
set SrvUserName=LocalSystem
set SrvUserPwd=""
set Agent=%2
set RASPort=%3
set SrvcName="ras %Agent%"
set BinPath="\"C:\Program Files\1cv8\%1\bin\ras.exe\" cluster --service --port=%RASPort% %Agent%"
set Description="1C:8.3 RAS %1 %Agent%"
sc stop %SrvcName%
sc delete %SrvcName%
sc create %SrvcName% binPath= %BinPath% start= auto obj= %SrvUserName% password= %SrvUserPwd% displayname= %Description% depend= Dnscache/Tcpip/lanmanworkstation/lanmanserver

После чего запустим командную строку от имени администратора и выполним:

install_ras.cmd 8.3.25.1501 localhost:1540 1545

Также не забудьте разрешить входящие подключения на порт TCP 1545 в брандмауэре.

Чтобы удалить регистрацию службы RAS создайте еще один пакетный файл uninstall_ras.cmd с содержимым:

@echo off
rem %1 -имя сервера (с портом агента 1540)
chcp 1251
set Agent=%1
set SrvcName="ras %Agent%"
sc stop %SrvcName%
sc delete %SrvcName%

Для остановки и удаления службы выполните в консоли с правами администратора:

uninstall_ras.cmd localhost:1540

После удаления службы RAS не забудьте перезагрузить сервер.

Установка сервера администрирования 1С в виде службы на платформе Linux

Возможно вы удивитесь, но в Linux все делается гораздо проще. Прежде всего сделаем символическую ссылку на systemd-юнит RAS:

systemctl link /opt/1cv8/x86_64/8.3.25.1501/ras-8.3.25.1501.service

Затем добавим службу в автозагрузку и запустим ее:

systemctl enable --now ras-8.3.25.1501

Для удаления службы выполните:

systemctl disable --now ras-8.3.25.1501

Приведенная выше команда остановит службу и выключит ее из автозагрузки.

Обратите внимание, что в командах используется полный номер платформы.

Подключение серверов 1С:Предприятие в ПУСК

Снова возвращаемся в веб-интерфейс ПУСК, который можно найти по адресу сервера и порту 8080, в нашем случае это 192.168.72.99:8080, после чего переходим в раздел Подключения и нажимаем кнопку Добавить. После чего заполняем поля: Описание — пишем все что угодно, главное, чтобы по нему можно было однозначно понять какой именно сервер перед нами. Ниже в разделе Сервер администрирования 1С (ras) выбираем Уже запущен и указываем адрес нашего сервера 1С:Предприятие. Порт, если вы использовали стандартный 1545 менять не нужно.

Картинка с сайта: interface31.ru

Аналогичным образом подключаем остальные сервера. Платформа сервера не имеет значения, главное чтобы на нем была запущена служба RAS.

После добавления сервера мы можем начинать работать с ним. На верхнем уровне нас ждет довольно информативная панель статистики. Мы можем сразу увидеть количество соединений к кластеру по типу клиентов и количество выданных лицензий и их номера. Это очень удобно, особенно если вам нужно быстро оценить текущий расход лицензий в разрезе приобретенных комплектов. В остальном рабочее пространство повторяет собой оснастку MMC как по внешнему виду, так и по поведению (насколько это максимально возможно).

Картинка с сайта: interface31.ru

В целом ПУСК производит приятное впечатление и если вы привыкли работать со стандартной оснасткой, то без проблем освоите и новый инструмент.

Дополнительная SSL и парольная защита

Как вы уже могли заменить панель не содержит никаких средств защиты или аутентификации, а значит ею может воспользоваться любой, кто правильно наберет адрес. При этом без всякой дополнительной проверки панель позволяет выполнять деструктивные действия, например, полное удаление информационной базы, включая удаление базы данных на сервере СУБД. Поэтому просто так оставлять подобное положение дел нельзя.

Поэтому добавим SSL-шифрование и аутентификацию по паролю, для этих целей мы будем использовать веб-сервер Caddy в режиме обратного прокси. Почему именно Caddy? Потому что он быстр и прост, а также обеспечивает надежное шифрование с использованием самых современных стандартов в автоматическом режиме.

Но сначала внесем некоторые изменения в работу панели ПУСК, в частности ограничим ее работу только на localhost, для этого перейдем в директорию /opt/pusk/data и скопируем файл примера конфигурации:

cd /opt/pusk/data
cp application.properties.sample application.properties

Затем откроем файл /opt/pusk/data/application.properties и ниже опции:

server.port=${PORT:8080}

Добавим:

server.address=127.0.0.1

Перезапустим панель:

systemctl restart ite-pusk

И убедимся что снаружи она недоступна, но работает на адресе 127.0.0.1, для этого выполните команду:

ss -tpln | grep 8080

Если все сделано правильно, то в выводе вы увидите строку:

LISTEN 0 100 [::ffff:127.0.0.1]:8080 *:* users:(("java",pid=844,fd=18))

Теперь установим веб-сервер Caddy:

apt install caddy

Затем сформируем хеш пароля при помощи команды:

caddy hash-password

После ее запуска вам потребуется два раза ввести пароль и вы получите строку хеша к нему, сохраните ее.

Так как мы используем SSL шифрование, то правила хорошего тона требуют использования доменного имени, поэтому мы советуем завести на локальном DNS сопоставление локального FQDN адресу сервера, в нашем случае мы выбрали имя pusk.example.com, но на всякий случай сохранили и возможность входа по IP-адресу 192.168.72.99. В качестве имени для входа мы будем использовать имя pusk.

Откроем на редактирование файл /etc/caddy/Caddyfile и приведем его содержимое к следующему виду:

pusk.example.com 192.168.72.99 {
    basicauth {
         pusk <PASS_HASH>
     }
    tls internal
    file_server
    reverse_proxy 127.0.0.1:8080
}

Обратите внимание, что отступы в файле формируются сугубо при помощи табуляции и следует использовать два — четыре — шесть и т.д. отступов, в противном случае вы получите предупреждение о некорректном форматировании конфигурационного файла.

Коротко пройдемся по опциям:

• basicauth — предписывает использовать базовую аутентификацию (Basic Auth), ниже указываем логин — pusk и хеш пароля полученный на предыдущем шаге.
  

Важно! Начиная с версии Caddy 2.8.0 и новее вместо опции basicauth следует использовать basic_auth

• tls internal — указывает на использование самоподписанного сертификата
• reverse_proxy 127.0.0.1:8080 — указываем адрес службы, на которую мы проксируем запросы, в нашем случае это запущенная панель ПУСК

Сохраняем конфигурацию и перезапускаем веб-сервер:

systemctl reload caddy

После чего убеждаемся, что панель доступна теперь только по защищенному соединению и для доступа к ней вам потребуется пройти аутентификацию. Теперь для доступа к панели просто указываем имя домена или IP-адрес без указания порта.

Известные проблемы

Большинство задач по обслуживанию сервера 1С:Предприятие выполняется без необходимости аутентификации в информационных базах, но ряд задач, например, установки блокировки начала сеансов или блокировки регламентных заданий такую аутентификацию требуют. После чего ПУСК будет пытаться выполнить аутентификацию с указанными учетными данными в каждую из информационных баз кластера. На скриншоте ниже зеленым цветом обозначены базы в которых аутентификация выполнена и серым в которых она не прошла.

Картинка с сайта: interface31.ru

При этом во всех современных релизах конфигураций включена блокировка по ошибочному вводу учетных данных, по умолчанию допускается три попытки ввода и блокировка на 5 минут. Таким образом, если у вас в кластере есть базы с одинаковым именем административного пользователя, обычно Администратор и разными паролями, то после входа в одну из них остальные окажутся перманентно заблокированными. Данная ошибка была выявлена еще на этапе бета-тестирования в 2022 году, но, к сожалению, до сих пор не исправлена.

Какие обходные пути у этой проблемы? Их несколько:

• Установить одинаковые пароли для административной учетной записи во всех базах
• Переименовать административную учетную запись в каждой базе с использованием уникального имени
• Выключить контроль попыток ввода пароля

Чтобы реализовать последний сценарий откройте информационную базу в разделе Администрирование — Настройки пользователей и прав, затем перейдите в Настройки входа и на закладке Дополнительные снимите флаг Количество попыток ввода пароля до блокировки. В более старых релизах снять этот флаг не представляется возможным, в этом случае укажите количество попыток равными нулю.

Картинка с сайта: interface31.ru

Какой из этих способов использовать — смотрите сами, также можно их комбинировать для разных информационных баз.

И все таки, не смотря на некоторые недостатки, ПУСК остается удобным инструментом для консолидированного управления вашими серверами 1С:Предприятие из единого места и с использованием любой платформы.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

This blog post is a step by step guide on how to install Routing and Remote Access Service on Windows Server 2019.

Overview:

The Remote Access server role provides three network access technologies in Windows Server 2019. These technologies are the role services of the Remote Access server role.

• DirectAccess
• Routing and Remote Access
• Web Application Proxy

By using RRAS, you can deploy DirectAccess and VPN connections to provide end-users with remote access to your organization’s network. You can also create a site-to-site VPN connection between two servers at different locations.

• PART-1 How to Install Remote Access Service on Windows Server 2019
• PART-2 How to Install and Configure VPN in Windows Server 2019
• PART-3 Configure Network Policy Server (NPS) for VPN in Windows Server 2019
• PART-4 Configure Port Forwarding and Test VPN Connection on Windows 10

Understanding Test Lab:

• WS2K19-DC01: Domain Controller and DNS server.
• WS2K19-VPN01: Member Server.
• WS10-CLI01: Windows 10 PC.

Install Remote Access service on Windows Server 2019:

1. Open Server Manager Console.

Картинка с сайта: msftwebcast.com

2. At the top of the Server Manager, click on Manage and select Add Roles and Features.

Картинка с сайта: msftwebcast.com

3. On the Before you begin page, click Next.

Картинка с сайта: msftwebcast.com

4. Select Role-based or feature-based installation and then click Next.

Картинка с сайта: msftwebcast.com

5. Select a server from the server pool on which you want to install the Remote Access Service, click Next.

Картинка с сайта: msftwebcast.com

6. On select server roles page, select Remote Access Service. Click Next.

Картинка с сайта: msftwebcast.com

7. On select features page, click Next.

Картинка с сайта: msftwebcast.com

8. On the Remote Access page, read a brief overview of the Routing and Remote Access Service. Click Next.

Картинка с сайта: msftwebcast.com

9. On select role services page, select DirectAccess and VPN (RAS) service.

Картинка с сайта: msftwebcast.com

10. A new window will pop up, click on Add Features to include required features and management tools for DirectAccess and VPN.

Картинка с сайта: msftwebcast.com

11. Make sure that DirectAccess and VPN role service is selected.

Картинка с сайта: msftwebcast.com

12. On the Web Server Role (IIS) page, read a brief overview of the IIS Service. Click Next.

Картинка с сайта: msftwebcast.com

13. All required IIS role services are already selected. Click Next to continue.

Картинка с сайта: msftwebcast.com

14. Click on the Install button to start the installation of Remote Access Service on Windows Server 2019.

Картинка с сайта: msftwebcast.com

15. After installing the Remote Access service on windows server 2019, the next step is to configure the Remote Access server.

16. Click on the Open the Getting Started Wizard link to start the wizard to configure DirectAccess and VPN on Windows Server 2019 Remote Access Server.

Картинка с сайта: msftwebcast.com

17. From this console, we can configure VPN on Windows Server 2019. In the next post on How to Configure VPN using Remote Access Service on Windows Server 2019.

Картинка с сайта: msftwebcast.com

After installing the Remote Access Service, next steps will be configure it.

Thank you for reading.

Post Views: 4,514