Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Alt26.Alt16. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

IDRAC9 → Configuration → System Settings → Hardware Settings → Cooling Configuration:

• Thermal Profile Optimization: Default → Maximum (обязательно)
• Fan Speed Offset: Off → Low
• Minimum Fan Speed in PWM (% of Max): Default → 35% (по желанию)

Бывало такое: случайно удалили не ту учетку, группу или, не дай бог, целую OU? Лезть в бэкапы (Veeam/WSB) ради одного объекта – это долго, муторно, да и простой для пользователя. Решаем проблему красиво.

Суть:
Многие забывают, что начиная с Server 2008 R2 в AD есть «Корзина» (AD Recycle Bin), но по умолчанию она выключена! Если она не активна, удаленный объект улетает в небытие (Tombstone), теряя атрибуты и членство в группах.

Как проверить и включить:

Запускаем PowerShell от админа. Проверяем статус:

Если в EnabledScopes пусто, значит, корзина выключена. Включаем (учтите, действие необратимое, отключить потом нельзя, но оно и не нужно):

Как восстановить удаленное:

Допустим, снесли пользователя ivanov. Не нужно никаких сторонних утилит, одна строка вернет его со всеми группами и правами:

В новых версиях Windows Server (2012+) есть GUI для этого в Active Directory Administrative Center, но консоль грузится вечность. PowerShell отрабатывает за секунды. Проверьте прямо сейчас, включена ли у вас корзина, чтобы потом не кусать локти.

На продакшн-сервере упал веб-сервис, выяснилось, что SSL-сертификат истёк в 00:01, а пользователи начали получать ошибки подключения. Пришлось оперативно проверять все сертификаты.

Для быстрой диагностики я написал PowerShell-скрипт, который подключается к списку серверов, собирает все сертификаты и рассчитывает, сколько дней осталось до их истечения:

Этот скрипт выводит таблицу с оставшимися днями жизни (DaysLeft) каждого сертификата, упорядоченную по возрастанию. Те, у которых DaysLeft≈0 или отрицательно, сразу бросаются в глаза. В реальной инфраструктуре я добавил отправку результата по e-mail через Send-MailMessage и запланировал задачу в Task Scheduler с ежедневным запуском.

Как правило, сообщение возникает при фоновом обмене данными между системами или запуске синхронизации вручную. Что делать при появлении этой ошибки и куда смотреть.
Причина связана с незарегистрированными в системе компонентами — comcntr.dll, ошибками доступа (недостаточно прав).

Регистрируем компоненту только на сервере 1С!!!

Подходы к решению

►1) Проверьте, что обмен запускается в сеансе учетной записи, имеющей достаточные права на уровне 1С и ОС Windows.
В частном случае, если служба Агента сервера 1С работает под технологической записью, а для обмена требуется доступ к файловой ИБ — добавьте NTFS-разрешения на каталог для этого пользователя (права «Изменение»).

►2) Деинсталируйте предыдущ регистрацию, а потом зарегистрируйте в системе новую компоненту comcntr.dll, выполнив операцию в командной строке от имени администратора.

Регистрирует или отменяет регистрацию динамически подключаемых библиотек (DLL) и элементов управления ActiveX в системном реестре. Расположение:

• C:\Windows\System32\regsvr32.exe: 64-разрядная версия (для 64-разрядных DLL).
• C:\Windows\SysWOW64\regsvr32.exe: 32-разрядная версия (для 32-разрядных DLL в 64-разрядных Windows).

Windows 1С Платформа (x64)

Деинсталяция:

Для того чтобы зарегистрировать ComConnector в 64 разрядной операционной системе Windows выполняется
команда: C:\Windows\SysWOW64\regsvr32 “C:\Program Files (x86)\1cv8\8.3.9.2233\bin\comcntr.dll”

Windows 1С Платформа (x32)

Деинсталяция:

Для 32 разрядной операционной системы Windows выполняется
команда: C:\Windows\System32\regsvr32 “C:\Program Files (x86)\1cv8\8.3.9.2233\bin\comcntr.dll”

При успешной регистрации появится:

Указанная ошибка «Модуль comcntr.dll загружен, но не удалось выполнить DllRegisterServer, код ошибки: 0x80070005» при выполнении команды означает, что недостаточно прав — запустите командную строку от имени администратора и повторите операцию.

В редких случаях требуется сначала выполнить удаление регистрации comcntr.dll с помощью ключа «/u» (DllUnregisterServer), а только потом — повторную регистрацию.

Как создать коннектор с помощью оснастки «Службы компонентов»

►1) Открываем «Панель управления — Администрирование — Службы компонентов»

►2) В окне консоли переходим к разделу «Службы компонентов → Компьютеры → Приложения COM+», далее через правую кнопку мыши «Создать → Приложение».
Приложения COM+ → Создать → Приложение

►3) Следуем указаниям Мастера и выбираем «Создать новое приложение».

►4) Указываем имя приложения (V83COMConnector) и способ активации (Серверное приложение).

►5) Выбираем учетную запись, от имени которой будет запускаться приложение.
По умолчанию → «Текущий (вошедший в систему) пользователь», но для фоновой работы обмена рекомендуется указать отдельную учетную запись («Указанный пользователь») → здесь выбираете сами.

Появилась ошибка:

Не удалось подключиться к приложению: -2147467238(0x8000401A): Процесс сервера не может быть запущен, так как указана неправильная идентификация. Проверьте правильность указания имени пользователя и пароля. Техническую информацию об ошибке см. в журнале регистрации.

Установил у себя галочка → Указанный пользователь → от имени которого запускается служба сервера 1С, по умолчанию (.\USR1CV8) и ваш пароль от ней

►6) На этапах «Добавление ролей приложения» и «Добавление пользователей для ролей» особой настройки не требуется → нажимаем «Далее → Далее → Готово».

►7) В созданном приложении открываем «Компоненты» и выбираем команду «Создать → Компонент»

►8) Следуем Мастеру установки и выбираем пункт «Установка новых компонентов».

►9) В открывшемся диалоге указываем расположение файла comcntr.dll, нажав на кнопку «Открыть». Потом «Далее» и «Готово».

►10) Финальные действия после установки → открываем свойства компонента V83COMConnector через правый клик и во вкладе «Безопасность» убираем признак «Принудительная проверка доступа для приложения» и применяем политику «Уровень ограничений = Неограниченный».

Класс V83COMConnector успешно зарегистрирован и может использоваться для подключения к информационным базам.

Прочие возможные причины (опционально, требуют дополнительной проверки)

Если ошибка появляется снова:

• Перезапуск сервера 1С (из-за зависшего процесса с использованием компоненты) или вручную закрыть зависший com-процесс.
• Наличие некорректного кода (например, обращение к устаревшему компоненту V82COMConnector вместо V83COMConnector).
• Переключить тип приложения с «Серверное» на «Библиотечное».
• В «Приложения COM+ → V83COMConnector → Роли → CreatorOwner → Пользователи» добавить USR1CV8 и учетные записи пользователей ОС сервера, кто имеет право запускать задания.
• Через «Программы и компоненты» вызвать установку необходимой платформы в режиме «Исправить» и отметить COM-соединение.

Разработчики отключили в «Проводнике» (File Explorer, ранее Windows Explorer) предварительный просмотр для файлов, скачанных из интернета. Теперь превью автоматически блокируется,  чтобы предотвратить кражу учетных данных через вредоносные документы.

Изменение уже вступило в силу для пользователей, установивших октябрьские обновления для Windows 11 и Windows Server.

При попытке просмотреть такой файл панель превью покажет предупреждение: «Файл, который вы пытаетесь просмотреть, может навредить компьютеру. Если вы доверяете файлу и источнику, от которого его получили, откройте его, чтобы увидеть содержимое».

Эта защитная мера призвана блокировать для потенциальных атакующих возможность эксплуатировать уязвимости, позволяющие извлечь NTLM-хеши, когда пользователи просматривают файлы с HTML-тегами (вроде <link>, <src> и других), ссылающимися на внешние пути на серверах злоумышленников.

Такой вектор атаки не требует от пользователя практически никаких действий, кроме выбора файла для предпросмотра, и исключает необходимость обманом вынуждать жертву открывать или запускать файл в системе.

«Начиная с обновлений для Windows, выпущенных 14 октября 2025 года и позже, “Проводник” автоматически отключает функцию превью для файлов, загруженных из интернета, — сообщает Microsoft. — Это изменение призвано повысить безопасность, предотвращая использование уязвимости, которая может привести к утечке NTLM-хешей при предпросмотре потенциально небезопасных файлов».

В случае необходимости можно вручную снять блокировку для отдельного файла. Для этого понадобится кликнуть правой кнопкой мыши по файлу в «Проводнике», выбрать «Свойства» и нажать кнопку «Разблокировать» внизу вкладки «Общие».

Также блокировку можно отключить для всей сетевой папки сразу, добавив ее адрес в доверенные зоны через «Свойства обозревателя» (Internet Options) в панели управления Windows (вкладка «Безопасность»).

• Свойства браузера → Безопасность → Местная интрасеть → Сайты → галочка Автоматически определять принадлежность к интрасети → Дополнительно → \\сервер_или_его-ip Добавить
• Панель управления → Свойства обозревателя → Безопасность → Другой → Запуск программ и небезопасных файлов → Включить.

GPO: все UNC считать Intranet

Если хотите без точечных записей:

User/Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Intranet Sites: Include all network paths (UNCs) = Enabled

Это ослабляет безопасность: любой UNC станет “intranet”.

GPO: назначить шару в зону (точечно)

User Configuration → Policies → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Site to Zone Assignment List

• Enabled → Show…
• Добавь запись, например:
  • Value name: file://fileserver (или FQDN: file://fileserver.domain.local)
  • Value (Zone): 1 (Intranet) или 2 (Trusted Sites)

Примечание: Site to Zone Assignment List поддерживает назначение сайтов/адресов зонам; значения зон: 1=intranet, 2=trusted, 3=internet, 4=restricted.