Ну что я вам могу сказать — фапайте на свое решение, ваше право =) Можете за одно объединиться с TeMochkiN в клуб, чтобы вам было вместе веселее. Считайте его единственно верным, главное чтобы ваши волосы были блестящими и шелковистыми =))
Ну а адекватные люди почитают и просто будут знать что у этой задачи есть несколько путей решения. Ни больше, ни меньше.
Считайте, пользуйтесь методом Сергея. Это ваш выбор. Но в отличие от меня или Сергея вы не сделали ни тот ни другой метод, но при этом даете оценку «степени костыльности» того или иного метода. На мой взгяд это не лучший паттерн поведения, хотя опять же — как себя вести — ваше решение.
Ну и еще, эта задача настолько малоресурсоемка что как ее не сделай — все равноскорее всего будет работать приемлемо.
Можно вообще написать свой интерфейс для запуска 1С — тоже как вариант решения задачи. Можно еще и допфичи туда запихать.
вот он пример идиально комментария — полный и беспристраный анализ ситуации, неоспоримые доводы, остроумные шутки и много логических умозаключений.
Перечитал еще раз — это не про ваш коммент, извините :))
Ухххх! Ну поехали:
>1. Дергать контроллер домена каждый раз, делая поиск по его структуре. Засоряя логи безопасности бесполезными ивентами. Это не страшно, когда у тебя 100-200-300 пользователей. При 500+ это будет уже ощутимая нагрузка на контроллер, и очень короткий и тормозной лог безопастности.
Давайте считать. Берем 10 баз на всю компанию. Делаем предположение что пользователю нужно 4 (всем пользователям, обычно это число 2-3). В компании 500 человек. Блокируют комп 6 раз в день. Запускают 1С 10 раз в день. Рабочий день 8 часов
Мой вариант:
1. Обращение к АД при разблокировке компьютера — 3 000(по 6 разблокировок в день на 500 пользователей) Это получается 0,1 обращение в секунду. то есть одно обращение в 10 секунд. Вы серьезно считаете это серьезным увеличением нагрузки? Что, правда? )
2. Логов AD- 3 тысячи строчек в файловых логах на контроллерах АД
3. Логов с сетевой шары — 40 000 (10 запусков, на 4 файла на две записи в логи (если не включены расширенные логи) на 500 пользователей)
4. Сетевых коннектов 20 000 (4 при каждом запуске ярлыка 1с предположим что это 10 запусков в день на 500 пользователей)
Ваш вариант
1. Обращений к АД — 500 в день (при первом обращении в день к ресурсу если компы на ночь выключают)
2. Логов в АД — 1 000 в день (при первом обращении в день к ресурсу если компы на ночь выключают)
3. Логов на сетевой шаре — 100 000 (10 запусков, на 10 файла на две записи в логи (если не включены расширенные логи) на 500 пользователей)
4. Сетевых коннектов — 50 000 (10 при каждом запуске ярлыка 1с на 10 запусков в день на 500 пользователей)
Как бы мой вариант явно выигрывает по ресурсоемкости. Это я не беру тот факт, что ваш вариант менее лоялен к пользователю — у вас варианты или ждать 90 минут или ребутнуть комп. У меня максимум 15 минут и заблокировать/разблокировать. И это я не начинаю копать в сторону настроек кербероса, ибо если у вас они закручены (например тикет протухает за час) то у вас так же появляются доп коннекты в АД за новым тикетом.
>2. Запускать на ПК пользователя повершелку. Повершелку без подписи.
скрипт запускается с шары, куда все имеют права только на чтение. С правами пользователя. Чем это отличается от логон скриптов или/и GPO?
>3. Формирование списка не делает Ваши базы 1С секурнее. Кластер 1С как был доступен всем подряд со всеми базами, так и продолжает быть доступным. Прописывай правильные параметры подключения и между тобой и базой только авторизация 1Ски. Поэтому нет никакого смысла чего то прятать, безопасность через скрытие мнима.
Ну так многие об этом почему-то забывают и пытаются сделать из 1С универсальный нож, а потом ругаются что он плохо работает там, где нужна узкоспециализированная функция
Все очень банально. Простенький плоский отчет с какими-то выборками СКД впрлне осилит. А вот если вам нужны отчеты с навороченной логикой да еще с красивыми графиками, да еще интерактивные вам точно не сюда. Гораздо логичнее вытащить данные в скуль и строить там.
Мы остановились на ms report server + power BI. После этого пиковые нагрузки на 1с упала процентов на 30-40 (их стало меньши и они стали меньше)
в общем ответил выше, но тут отдельный момент. Вы уверены что тот факт, что пользователи видят все базы — это правильный шаг? Я считаю что нет. Когда из много — будет путаница
И еще, ваш подход по сути основывается на ошибке (запрете) доступа к файлу. Мой — на формировании доступного списка.
У нас просто разная идеология, и говорить чья правильная — не возьмусь
>3. У пользователя есть пути до всех баз. Время на проверку доступности не тратится, при запуске 1С нет разницы, в списке 300 баз или 3, из которых доступа только одна. Это вызвано тем, что файловая система возвращает список только тех файлов которые доступны пользователю. Однако в Вашем случае производится запуск powershell скрипта и сборка файла конфигурации, вот это несравнимо дольше :)
Не согласен.
1. В файле есть путь к файлу и 1С честно будет пытаться его прочитать, получит отлуп от сервера, пойдет дальше.
2. Пока что 1С отлуп не светит, но точно тратит на него время. А если в следующей реализации сделают окно с оповещением того что ссылка на базу не доступна? А если у пользователя 1-2 базы а в компании их 15 — у вас 13 раз вылетит предупреждение скорее всего.
>В примере скрипта цифровой подписи нет, и мне что то подсказывает, что Вы оное не практикуете. Не секурно.
факт =)
>Еще недостаток Вашей реализации — Ваш скрипт сносит существующий v8i файл в момент пересборки, попутно снося самопрописанные базы у пользователя. Моё решение выдает пользователю фиксированный список, плюс оставляет пространство для прописывания баз (тестовых, личных), т.е. таки проявляет некоторую гибкость.
Это сделано намеренно, чтобы люди не делали ручные ссылки на базы. Сделал — сам дурак, у тебя все снесется
>Судя по Вашей статье в вашей организации не хватает предварительного тестирования перед деплоем в прод.
1. Разным пользователям нужен разный набор баз. Поэтому формировать его надо под каждого пользователя индивидуально
2. С лицензированием все хорошо — при использовании физического ключа лицензионным считаются все экземпляры служб 1С
Аааа… Вот вы о чем. Да, согласен, есть перерасход. Но он сделано сознательно, во второй части будет объяснено зачем.
По серверам — самый маленький — 4 ядра, 12Гб мозгов, самый большой — 12 ядер и 50 гигов мозгов.
По поводу плана — так он был, и в итоге по совокупности всех моментов пришли к такому
Объясните пожалуйста, что вы имеете в виду под «целостным решением»? Почему решение одна база — одна служба — это плохо? Ну почему? Ну объясните мне глупому.
Сейчас нам удобно, это работает (серверов приложений 8 штук — где-то баз побольше, где-то вообще одна).
Плох он тем, что это нештатная работа сервера 1С — жить на одной машине еще с серверами 1С и на это как раз никто его не тестировал.
Кто сказал? Есть офф документ где говорят что так делать нельзя? Почему несколько платформ на одном сервере — норма, а несколько служб одной — плохо? В чем принципиальная разница? Кто сказал что этого никто не тестировал?
Вы настройки разнесли по разным каталогам, но есть еще как минимум файл лицензии, каталог temp и еще места куда ваши сервера лезут одновременно.
Да? Каталог temp — один для всех, если ПО не выбирает его самостоятельно. Файл лицензий? ну может быть, о нем информации мне попадалось крайне мало, ничего не встречал. И еще места куда лезут и куча других программ на сервере, и ничего, живут же.
Я просто не вижу смысла так делать в продакте. Если программисты 1С которых вы так не любите умудряются подвесить вам rphost, ну поставьте количество ИБ на процесс 1 и Принудительно завершать проблемные процессы
Однозначно поднимая пять серверов 1С вы не сможете оптимально им раздать память.
Вот он ключевой момент — вы не видите смысла делать так в проде. А раз вы не видите, значит этом автоматом ересь? Так вот я вам скажу что это далеко не всегда так. Скорее чаще не так.
Заметьте, не я это сказал про автора
Хаете как раз вы 1С, хотя за счет ее и кормитесь.
А кто сказал что я кормлюсь с 1С? Для меня это обуза — если я от нее избавлюсь мне будет только легче )
А если у вас сервер не падает, то какую проблему вы вообще решаете и какую я вам должен альтернативу предложить?
Могу только предложить успокоиться.
Я был спокоен, пока не пришли вы и менторским тоном, бездоказательно и местами достаточно по хамски не начали хаить мой труд.
Я делюсь опытом с теми, кто вынужден работать с этой платформой. Как я уже писал, это решение, которое годами работает у нас, в среднем в базе по 50-400 человек.
по сути только acyp ведет диалог, хотя и не согласен с моим мнением, за что я ему благодарен. Вы же на пару с VVizard высокомерно заявляете что это все хрень и я в корне не прав, причем так ни разу и не объяснив в чем.
Курсы делают люди, тратят на это ресурсы, вполне естественно что они хотят получать за это деньги, причем не такие большие.
В какой момент статья призвана заменить курсы? Статья призвана показать наши проблемы и как мы их решали.
Вы действительно считаете что 2х недельные курсы можно заменить одной статьей?
В этом ваша проблема. Вы считаете что можно нахватать обрывков знаний и типовых ситуаций и стать профессионалом.
Это так не работает.
См первый ответ.
Я считаю неверным то что вы абсолютно не разбираясь в вопросе, при этом пишите статью для начинающих, засоряя им голову.
Почему вы считаете что не разбираюсь в вопросе? То, что ваше мнение отлично от моего обозначает только одно — мы разные люди с разным опытом.
Ваш подход плох тем что он не системный, это набор каких то лайфхаков которые не опытному человек ничем не помогут а некоторые даже вредны, а даже если и помогут то у человека не будет ясной картины почему это работает.
Опытному же администратору ваши советы не нужны вовсе.
В чем его несистемность? Чем вредны советы? Факты пожалуйста, а не "красные словца"
Я не обсираю, ваши знания не базируются на знании, я об этом и написал.
Также я привел ссылки на источники проверенной информации для «начинающих».
Очередной показатель звиздобольства. Других слов уже просто нет.
Добавлю еще (для тех кто не хочет разбираться и кому нужны инструкции):
its.1c.ru/db/metod8dev#browse:13:-1:1989:2035
its.1c.ru/db/metod8dev#browse:13:-1:1981
kb.1c.ru (нужна регистрация).
О!!! Это прям вообще сказка!!! Открываю раздел админам и что вижу:
Особенности администрирования Windowds XP SP2 — это пять! Там описывается как на пользовательскую ос ставить серверные приложения???!!! Вы это считаете нормой???!!!
Особенности использования MSSQL — раздел tempdb. Что видим? Правильно — шринкануть tempdb!!! Это ж насколько надо вообще ничего не понимать в БД чтобы такое писать. И это — офф сайт!
И вы еще что-то говорите про мою статью?
P.S. Вообще полистал те статьи — там все 10-15 летней давности. И потом вы удивляетесь что людей по 1С нет и все ее не любят. Так вот за это и не любят — инфы от производителя 0, везде франчайзи, которые знают меньше нашего хелпдеска.
Ну а адекватные люди почитают и просто будут знать что у этой задачи есть несколько путей решения. Ни больше, ни меньше.
Ну и еще, эта задача настолько малоресурсоемка что как ее не сделай — все равноскорее всего будет работать приемлемо.
Можно вообще написать свой интерфейс для запуска 1С — тоже как вариант решения задачи. Можно еще и допфичи туда запихать.
Перечитал еще раз — это не про ваш коммент, извините :))
>1. Дергать контроллер домена каждый раз, делая поиск по его структуре. Засоряя логи безопасности бесполезными ивентами. Это не страшно, когда у тебя 100-200-300 пользователей. При 500+ это будет уже ощутимая нагрузка на контроллер, и очень короткий и тормозной лог безопастности.
Давайте считать. Берем 10 баз на всю компанию. Делаем предположение что пользователю нужно 4 (всем пользователям, обычно это число 2-3). В компании 500 человек. Блокируют комп 6 раз в день. Запускают 1С 10 раз в день. Рабочий день 8 часов
Мой вариант:
1. Обращение к АД при разблокировке компьютера — 3 000(по 6 разблокировок в день на 500 пользователей) Это получается 0,1 обращение в секунду. то есть одно обращение в 10 секунд. Вы серьезно считаете это серьезным увеличением нагрузки? Что, правда? )
2. Логов AD- 3 тысячи строчек в файловых логах на контроллерах АД
3. Логов с сетевой шары — 40 000 (10 запусков, на 4 файла на две записи в логи (если не включены расширенные логи) на 500 пользователей)
4. Сетевых коннектов 20 000 (4 при каждом запуске ярлыка 1с предположим что это 10 запусков в день на 500 пользователей)
Ваш вариант
1. Обращений к АД — 500 в день (при первом обращении в день к ресурсу если компы на ночь выключают)
2. Логов в АД — 1 000 в день (при первом обращении в день к ресурсу если компы на ночь выключают)
3. Логов на сетевой шаре — 100 000 (10 запусков, на 10 файла на две записи в логи (если не включены расширенные логи) на 500 пользователей)
4. Сетевых коннектов — 50 000 (10 при каждом запуске ярлыка 1с на 10 запусков в день на 500 пользователей)
Как бы мой вариант явно выигрывает по ресурсоемкости. Это я не беру тот факт, что ваш вариант менее лоялен к пользователю — у вас варианты или ждать 90 минут или ребутнуть комп. У меня максимум 15 минут и заблокировать/разблокировать. И это я не начинаю копать в сторону настроек кербероса, ибо если у вас они закручены (например тикет протухает за час) то у вас так же появляются доп коннекты в АД за новым тикетом.
>2. Запускать на ПК пользователя повершелку. Повершелку без подписи.
скрипт запускается с шары, куда все имеют права только на чтение. С правами пользователя. Чем это отличается от логон скриптов или/и GPO?
>3. Формирование списка не делает Ваши базы 1С секурнее. Кластер 1С как был доступен всем подряд со всеми базами, так и продолжает быть доступным. Прописывай правильные параметры подключения и между тобой и базой только авторизация 1Ски. Поэтому нет никакого смысла чего то прятать, безопасность через скрытие мнима.
Аэм… Так как бы это вообще не про безопасность
Все очень банально. Простенький плоский отчет с какими-то выборками СКД впрлне осилит. А вот если вам нужны отчеты с навороченной логикой да еще с красивыми графиками, да еще интерактивные вам точно не сюда. Гораздо логичнее вытащить данные в скуль и строить там.
Мы остановились на ms report server + power BI. После этого пиковые нагрузки на 1с упала процентов на 30-40 (их стало меньши и они стали меньше)
И еще, ваш подход по сути основывается на ошибке (запрете) доступа к файлу. Мой — на формировании доступного списка.
У нас просто разная идеология, и говорить чья правильная — не возьмусь
Не согласен.
1. В файле есть путь к файлу и 1С честно будет пытаться его прочитать, получит отлуп от сервера, пойдет дальше.
2. Пока что 1С отлуп не светит, но точно тратит на него время. А если в следующей реализации сделают окно с оповещением того что ссылка на базу не доступна? А если у пользователя 1-2 базы а в компании их 15 — у вас 13 раз вылетит предупреждение скорее всего.
>В примере скрипта цифровой подписи нет, и мне что то подсказывает, что Вы оное не практикуете. Не секурно.
факт =)
>Еще недостаток Вашей реализации — Ваш скрипт сносит существующий v8i файл в момент пересборки, попутно снося самопрописанные базы у пользователя. Моё решение выдает пользователю фиксированный список, плюс оставляет пространство для прописывания баз (тестовых, личных), т.е. таки проявляет некоторую гибкость.
Это сделано намеренно, чтобы люди не делали ручные ссылки на базы. Сделал — сам дурак, у тебя все снесется
>Судя по Вашей статье в вашей организации не хватает предварительного тестирования перед деплоем в прод.
Почему вы так решили?
2. С лицензированием все хорошо — при использовании физического ключа лицензионным считаются все экземпляры служб 1С
По серверам — самый маленький — 4 ядра, 12Гб мозгов, самый большой — 12 ядер и 50 гигов мозгов.
По поводу плана — так он был, и в итоге по совокупности всех моментов пришли к такому
Сейчас нам удобно, это работает (серверов приложений 8 штук — где-то баз побольше, где-то вообще одна).
Постулаты — да, возможно. Кое-что поправлю.
Согласен, аргументированная претензия. Тут моя статья про тест https://habr.com/company/microsoft/blog/346776/
Кто сказал? Есть офф документ где говорят что так делать нельзя? Почему несколько платформ на одном сервере — норма, а несколько служб одной — плохо? В чем принципиальная разница? Кто сказал что этого никто не тестировал?
Да? Каталог temp — один для всех, если ПО не выбирает его самостоятельно. Файл лицензий? ну может быть, о нем информации мне попадалось крайне мало, ничего не встречал. И еще места куда лезут и куча других программ на сервере, и ничего, живут же.
Вот он ключевой момент — вы не видите смысла делать так в проде. А раз вы не видите, значит этом автоматом ересь? Так вот я вам скажу что это далеко не всегда так. Скорее чаще не так.
А кто сказал что я кормлюсь с 1С? Для меня это обуза — если я от нее избавлюсь мне будет только легче )
Я был спокоен, пока не пришли вы и менторским тоном, бездоказательно и местами достаточно по хамски не начали хаить мой труд.
Я делюсь опытом с теми, кто вынужден работать с этой платформой. Как я уже писал, это решение, которое годами работает у нас, в среднем в базе по 50-400 человек.
по сути только acyp ведет диалог, хотя и не согласен с моим мнением, за что я ему благодарен. Вы же на пару с VVizard высокомерно заявляете что это все хрень и я в корне не прав, причем так ни разу и не объяснив в чем.
В какой момент статья призвана заменить курсы? Статья призвана показать наши проблемы и как мы их решали.
См первый ответ.
Почему вы считаете что не разбираюсь в вопросе? То, что ваше мнение отлично от моего обозначает только одно — мы разные люди с разным опытом.
В чем его несистемность? Чем вредны советы? Факты пожалуйста, а не "красные словца"
Очередной показатель звиздобольства. Других слов уже просто нет.
О!!! Это прям вообще сказка!!! Открываю раздел админам и что вижу:
И вы еще что-то говорите про мою статью?
P.S. Вообще полистал те статьи — там все 10-15 летней давности. И потом вы удивляетесь что людей по 1С нет и все ее не любят. Так вот за это и не любят — инфы от производителя 0, везде франчайзи, которые знают меньше нашего хелпдеска.