Технологические вопросы крупных внедрений
26.02.2019
В статье описывается детализированная процедура настройки прав доступа, необходимых для работы ЦУП версии 2.1
Для получения значений показателей производительности, ЦУП обращается к источникам информации, требующим специальных настроек прав доступа. Ниже приведено соответствие источников информации показателям производительности.
Если при настройке прав, на одном из компьютеров (А), требуется указать локальную учетную запись с другого компьютера (Б), тогда нужно:
Если при настройке прав, на одном из компьютеров (А), требуется указать локальную учетную запись с другого компьютера (Б), тогда нужно:
Если в кластере исследуемой информационной базы нет ни одного администратора, то указывать имя и пароль администратора кластера исследуемой ИБ в мастере настройки подключения не нужно, т.к. в этом случае доступ к кластеру не ограничен.
Узнать, есть ли в кластере администраторы, можно посмотрев в узел "Администраторы" интересующего кластера. Если в кластере не зарегистрированы администраторы, то этот узел не будет содержать дочерних элементов, и не будет выдан запрос об аутентификации при выборе этого узла:
Для аутентификации средствами операционной системы, в кластере исследуемой информационной базы должен быть администратор с аутентификацией операционной системой, с указанным пользователем Windows, от имени которого запущены рабочие процессы кластера ЦУП. В этом случае в мастере настройки подключения также не нужно указывать имя и пароль администратора кластера исследуемой информационной базы.
Если рабочие процессы кластера ЦУП запущены от имени локального (не доменного) пользователя, то для аутентификации средствами ОС в кластере исследуемой базы, следует создать аналогичного пользователя на компьютере сервера 1С:Предприятия исследуемой базы и указать его в поле "Пользователь".
Добавление пользователя:
Свойства окна настройки администратора с аутентификацией операционной системой:
Для аутентификации при помощи имени и пароля, в кластере исследуемой информационной базы должен быть администратор с аутентификацией паролем, известным вам. В этом случае имя и пароль этого администратора нужно указать в мастере настройки ЦУП на шаге "Кластер".
Свойства окна настройки администратора с аутентификацией паролем:
Шаг "Кластер":
Возможны 3 варианта настройки доступа к исследуемой информационной базе:
Если в исследуемой информационной базе нет пользователей, значит, доступ к ней не ограничен, и указывать имя и пароль пользователя не нужно.
При отсутствии зарегистрированных пользователей исследуемой информационной базы, окно списка пользователей будет пустым:
Для аутентификации средствами операционной системы, в исследуемой информационной базе должен быть пользователь с аутентификацией операционной системой с указанным пользователем Windows, от имени которого запущены рабочие процессы кластера ЦУП. В этом случае также не нужно указывать имя и пароль пользователя исследуемой информационной базы.
Если пользователь ЦУП локальный (не доменный), то для аутентификации средствами ОС в исследуемой информационной базе, следует создать аналогичного пользователя на компьютере сервера исследуемой базы и указать его в поле "Пользователь".
Свойства окна настройки пользователя с аутентификацией операционной системой:
Для аутентификации при помощи имени и пароля, в исследуемой информационной базе должен быть пользователь с аутентификацией паролем, известным вам. В этом случае имя и пароль этого пользователя нужно указать в мастере настройки ЦУП на шаге "Информационная база".
Свойства окна настройки пользователя с аутентификацией паролем:
Шаг "Информационная база":
Пользователю, который указывается при подключении к исследуемой информациноой базе, назначьте роль, содержащую следующие права:
Используемый сервером 1С:Предприятия, исследуемой информационной базы, логин базы данных, должен быть членом фиксированной серверной роли "processadmin", для возможности получения информации о блокировках.
3.1. Откройте SQL Server Management Studio и подключитесь к серверу, на котором находится исследуемая база данных.
3.2. Перейдите в раздел "<Instance>\Security\Logins" и откройте свойства логина, используемого сервером 1С:Предприятия, исследуемой базы, для подключения к СУБД:
3.3. Откройте страницу "Server Roles" и установите флажок напротив роли "processadmin":
Показатели производительности Windows используются ЦУПом для решения следующих задач:
Как следствие, ЦУП требует наличия прав на удаленное использование счетчиков производительности Windows в следующих случаях:
Пользователь, от имени которого запускаются рабочие процессы сервера ИБ ЦУП, должен входить в группу "Performance Monitor Users" на анализируемом сервере:
Для включения пользователя в группу запустите команду "Выполнить" (Win+R) и введите lusrmgr.msc:
ВНИМАНИЕ: После добавления пользователя в группу, может потребоваться выход и повторный вход в систему или перезагрузка для того, чтобы изменения вступили в силу.
Убедитесь (по-умолчанию так и есть), что на компьютере, где запущен сервер СУБД:
Следующим пользователям необходимо установить соответствующие права на локальные и сетевые каталоги настройки и сбора технологического журнала:
Принципиальная схема обращения ЦУП к каталогам технологического журнала исследуемой информационной базы выглядит так:
При включении записи аналитических показателей, сервер ЦУП настраивает файлы logcfg.xml для каждого рабочего сервера исследуемой информационной базы. Для этого у рабочих процессов кластера ЦУП должны быть права записи (зеленый замок) в каталог файла настройки технологического журнала logcfg.xml. Рабочие процессы исследуемой информационной базы перечитывают настройки logcfg.xml и в течении минуты включают запись технологического журнала в указанные каталоги. При этом у рабочих процессов должны быть права записи (красный замок) в указанные в настройках ЦУП каталоги.
При выключении записи аналитических показателей, сервер ЦУП удаляет сделанные им ранее настройки из logcfg.xml. Рабочие процессы исследуемой информационной базы в очередной раз перечитывают logcfg.xml и в течении минуты отключают запись в каталоги технологического журнала.
После остановки записи в технологический журнал исследуемой информационной базы, фоновые задания информационной базы ЦУП, работающие в рабочих процессах кластера информационной базы ЦУП, загружают созданный технологический журнал в информационную базу ЦУП и удаляют файлы технологического журнала. Для возможности чтения и удаления файлов и каталогов технологического журнала, у рабочих процессов ЦУП должны быть права чтения и записи (красный замок) в каталоги технологического журнала.
Доступ к каталогам настройки и сбора технологического журнала может осуществляться по сетевым путям, поэтому важно понимать, как настраиваются права доступа в данном случае. Ниже рассмотрен случай, когда на рабочем сервере исследуемой информационной базы расположены рабочие процессы и каталоги технологического журнала, к которым обращается ЦУП.
Рабочие процессы исследуемой информационной базы обращаются к локальному каталогу технологического журнала, поэтому у них должен быть соответствующий доступ к нему (зеленый замок).
Сетевой каталог можно рассматривать, как ссылку на локальный каталог, но при этом права доступа к сетевому каталогу настраиваются отдельно (красный замок). В результате, права доступа к сетевому ресурсу, это результат пересечения множества прав на локальный (зеленый замок) и сетевой каталоги (красный замок).
ВНИМАНИЕ: Для того, чтобы пользователь смог получить доступ к содержимому сетевого каталога, у него должны быть соответствующие права доступа сразу в локальный (зеленый замок) и сетевой каталог (красный замок). Следовательно, если у пользователя, обращающегося к сетевому ресурсу, не будет доступа к локальному или сетевому ресурсу, то в доступе будет отказано.
Настройка сбора технологического журнала выполняется на шаге "Технологический журнал" мастера настройки подключения. Для каждого рабочего сервера кластера исследуемой информационной базы необходимо добавить по одной строке настроек технологического журнала, о каждой из которых рассказывается далее.
Пример настроек, где:
Каталог настроек технологического журнала исследуемой информационной базы расположен в подкаталоге "conf", каталога запуска сервера 1С:Предприятия исследуемой информационной базы. Например, если сервер исследуемой информационной базы находится на компьютере под управлением операционной системы Microsoft Windows, этот каталог, при установке 1С:Предприятия по-умолчанию, будет иметь имя:
"%PROGRAMFILES%\1cv8\8.3.x.y\bin\conf" (C:\Program Files\1cv8\8.3.10.2302\bin\conf).
Если сервер ЦУП и сервер 1С:Предприятия исследуемой информационной базы находятся на одном компьютере, то в качестве имени каталога настройки ТЖ можно использовать локальное имя каталога ТЖ (по-умолчанию: %PROGRAMFILES%\1cv8\8.3.x.y\bin\conf).
Если сервер ЦУП и сервер 1С:Предприятия исследуемой информационной базы находятся на разных компьютерах, то необходимо, для каталога настройки ТЖ, создать сетевой ресурс, чтобы он был доступен по сети. Затем имя полученного сетевого ресурса нужно указать в качестве имени каталога настройки ТЖ.
В результате получится сетевой ресурс вида "\\Server1C\conf" (где: Server1C - имя сервера исследуемой ИБ; conf - имя созданного ранее сетевого ресурса), который необходимо указать в качестве каталога настройки ТЖ.
У пользователя, от имени которого запущены рабочие процессы кластера исследуемой информационной базы, должны быть настроены права на чтение и запись в указанном каталоге настройки ТЖ, как локально, так и по сети. Локальные права настраиваются в свойствах каталога на закладке "Security" (безопасность). Сетевые права настраиваются в свойствах каталога на закладке "Sharing" (доступ).
Рабочие процессы исследуемой информационной базы | |
Право чтения | + |
Право записи | + |
Сетевой каталог ТЖ ссылается на локальный каталог сбора данных ТЖ, т.е. сетевой и локальный каталоги ТЖ указывают на одно и тоже место, но различными способами.
Если сервер ЦУП и сервер 1С:Предприятия исследуемой информационной базы находятся на одном компьютере, то в качестве имени сетевого каталога ТЖ можно использовать локальное имя каталога ТЖ (частный случай).
Если сервер ЦУП и сервер 1С:Предприятия исследуемой информационной базы находятся на разных компьютерах, то необходимо для локального каталога ТЖ, создать сетевой ресурс, который и станет сетевым каталогом ТЖ. Затем имя полученного сетевого ресурса нужно указать в качестве имени сетевого каталога ТЖ.
В результате получится сетевой ресурс вида "\\Server1C\Logs" (где: Server1C - имя сервера исследуемой ИБ; Logs - имя созданного ранее сетевого ресурса), который необходимо указать в качестве каталога настройки ТЖ.
У пользователей, от имени которых запущены рабочие процессы кластера информационной базы ЦУП, должны быть права чтения и записи в сетевой каталог ТЖ, как локально, так и по сети. Локальные права настраиваются в свойствах каталога на закладке "Security" (безопасность). Сетевые права настраиваются в свойствах каталога на закладке "Sharing" (доступ).
Рабочие процессы ЦУП | Рабочие процессы исследуемой ИБ | |
Право чтения | + | + |
Право записи | + | + |
ПРИМЕЧАНИЕ: В качестве локального каталога технологического журнала можно также задавать и сетевой каталог, расположенный на другом компьютере, но делать это не рекомендуется из-за соображений производительности сервера исследуемой информационной базы.
Локальный каталог ТЖ может располагаться в любом каталоге на компьютере сервера 1С:Предприятия исследуемой информационной базы. Этот каталог является основой для создания сетевого каталога ТЖ.
У пользователей, от имени которых запущены рабочие процессы кластеров, как исследуемой информационной базы, так и информационной базы ЦУП, должны быть права чтения и записи в этот каталог.
Рабочие процессы ЦУП | Рабочие процессы исследуемой ИБ | |
Право чтения | + | + |
Право записи | + | + |
ПРИМЕЧАНИЕ: В качестве локального каталога технологического журнала можно также задавать и сетевой каталог, расположенный на другом компьютере, но делать это не рекомендуется из-за соображений производительности сервера исследуемой информационной базы.
При использовании аутентификации Windows в качестве такого пользователя выступает пользователь Windows, от имени которого запущены рабочие процессы кластера. При использовании аутентификации SQL Server'а - пользователь, указанный в настройках подключения к серверу SQL в мастере настройки ЦУП.
6.1.1. Откройте SQL Server Management Studio и подключитесь к серверу, на котором находится исследуемая база данных.
6.1.2. Перейдите в раздел "<Instance>\Security\Logins" и создайте новые логины для пользователей, от имени которых запускается ЦУП и все рабочие процессы кластера базы ЦУП:
6.1.3. В параметрах новых ролей на странице "General" выберите:
6.1.4. Откройте свойства SQL Server:
6.1.5. На странице "Permissions", для созданных ролей, установите разрешение "Alter trace":
В случае если включен сбор информации о гранулярности блокировок, то дополнительно необходимо установить разрешения "Connect any database" и "View any definition":
При использовании аутентификации Windows необходимо предоставить доступ к серверу СУБД учетной записи, от имени которой запущены рабочие процессы кластера ЦУП.
Для этого на компьютере, где запущен SQL Server исследуемой информационной базы, добавьте соответствующего пользователя Windows в группу"SQLServerMSSQLUser$<SERVERNAME>$<INSTANCENAME>":
На компьютере, где запускается SQL Server предоставьте пользователю, от имени которого работает служба сервера СУБД, права на чтение и запись в локальный каталог трассировки, указанный в мастере настройки подключения на шаге "Трассировки":
Если необходимо чтобы собранные трассировки удалялись автоматически, то следует предоставить доступ к локальному каталогу трассировки по сети. В полученном сетевом каталоге должны быть предоставлены права на чтение и запись для пользователя Windows, от имени которого запущены рабочие процессы кластера ЦУП. Сетевой каталог должен быть указан в мастере настройки подключения на шаге "Сервер ЦУП (Трассировки)".