В веб-клиенте (IIS) нет доступа к интернет-поддержке и сервисам 1С (Удаленный узел не прошел проверку)

1. RazorSky 04.03.23 16:31 Сейчас в теме
Следующая ситуация - файловая база опубликована через IIS, если заходить через тонкий или веб-клиент недоступны интернет-сервисы 1С, выдает ошибку «Удаленный узел не прошел проверку».

Если зайти напрямую в файловую базу через толстый клиент, то всё работает.

Уже перерыл весь интернет и нашел уже кажется всю возможную информацию по теме, но итоге проблему так и не удалось решить. Ниже опишу все способы, которые я нашел, и что было сделано.

1. Самый частый совет в подобных ситуациях - проблема в настройке прокси-сервера. Но в моей ситуации прокси отсутствует и везде где можно отключен.

2. Следующий по популярности совет - не хватает прав пользователю, от имени которого запускается пул приложений IIS. Вместо AppPoolIdentity советуют включить локального пользователя или LocalSystem (полные права в ОС, так себе решение). Результат - без изменений.

3. Проверка настроек брэндмауера - для приложений w3wp добавлены разрешающие правила, включен лог - записи drop отсутсвуют. Сторонних антивирусов не установлено Результат - без изменений.

4. Замена файла cacert.pem в каталоге bin платформы (https://fserver.1c.ru/its/files/public/1cits/exe/cacert/cacert.zip) - этот способ советовали раньше для старых версий платформы при обновлении одного из корневых сертификатов. По идее он не должен повлиять на результат, но после замены файла заработал 1С: Контрагент! Но остальные сервисы по прежнему с ошибкой, например, монитор портала 1С.

5. Самым информативном оказалось описание проблемы на сайте ИТС (https://its.1c.ru/db/metod8dev/content/5949/hdoc) - по инструкции включаем лог CAPI2 и видим такие же ошибки как в примере в статье:

URL — http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt
Result — Возврат из операции произошел из-за превышения времени
subjectName — *.1c.ru
RevocationResult — Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен

В статье ИТС указано, что чаще всего проблема из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети - но я не нашел где еще можно проверить эти ограничения.

Также там описан способ игнорирования (на свой страх и риск) ошибки проверки отзыва сертификата (в файле conf.cfg добавить строку IgnoreServerCertificatesChainRevocationSoftFail=true), но это не помогло.

Еще одна статья ИТС по теме, но там в основном про прокси описано - https://its.1c.ru/db/metod8dev/content/5941/hdoc

Итог - исходя из информации ИТС, на основании которой мы нашли в логах конкретные ошибки, кажется, что проблема всё-таки в правах пользователя, но на предыдущих шагах мы уже проверяли запуск пула приложений с расширенными правами и это не помогло. Уже не знаю куда копать дальше.
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
Оставьте свое сообщение

Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот