Полное отключение обновлений Windows 10 без отключения Центра обновлений (рекомендуемый способ, работа проверена осенью-зимой 2020)

 

Полное отключение обновлений Windows 10 без отключения Центра обновлений (рекомендуемый способ, работа проверена осенью-зимой 2020)

Этот метод я тестировал в течение всего ноября 2020 на Windows 10 последней версии, и он показал себя полностью работоспособным. Суть заключается в настройке обновлений таким образом, чтобы системы использовала локальный сервер обновлений. При этом, по причине фактического отсутствия этого сервера, обновления загружаться не будут.

Одновременно, служба центра обновлений Windows продолжит работать (не нагружая систему), а какие-либо серверы Майкрософт заблокированы не будут: это может быть полезным для работоспособности и правильного функционирования остальных компонентов системы, установки некоторых компонентов разработки Майкрософт, обновления приложений из Windows Store и других задач.

Чтобы отключить обновления Windows 10 этим методом, создайте reg-файл со следующим содержимым:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001
"UpdateServiceUrlAlternate"="server.wsus"
"WUServer"="server.wsus"
"WUStatusServer"="server.wsus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001

После этого «запустите» созданный файл и согласитесь с добавлением параметров в реестр. Сразу после этого, без перезагрузки компьютера, обновления перестанут скачиваться и обновляться.

Организация туннеля IPSec VPN между двумя интернет-центрами Keenetic

Организация туннеля IPSec VPN между двумя интернет-центрами Keenetic (для версий NDMS 2.11 и более ранних)

Обновлено 23.08.2020

В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "IPSec VPN клиент/сервер".

С помощью интернет-центров Keenetic Giga (KN-1010), Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Ultra, Giga II, Viva, Extra, Omni II, а также Keenetic II и Keenetic III реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, объединить несколько интернет-центров (роутеров) в одну сеть по туннелю IPSec VPN.
Это может быть удобно для безопасного подключения к офисной сети (например, из домашней сети к корпоративному серверу) или объединения сетей (к примеру, двух удаленных офисов). В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.

Для организации туннеля IPSec VPN понадобятся два интернет-центра. Для построения туннеля можно использовать различные сочетания моделей, например Ultra II <> Ultra II, Giga III <> Giga III и Ultra II <> Giga III.

 

Далее подробно рассмотрим пример объединения двух сетей через IPSec VPN с помощью интернет-центров Keenetic Ultra II и Giga III.
Установить туннель IPSec можно как в локальной сети (когда на внешнем интерфейсе WAN роутера используются частные/внутренние IP-адреса, их называют еще "серые"), так и через глобальную сеть Интернет (когда на внешнем интерфейсе WAN роутера используются публичные/внешние IP-адреса, их называют также "белые"). Желательно иметь статический/постоянный IP-адрес на WAN-интерфейсе, либо можно воспользоваться сервисом динамических доменных имен DyDNS.

 

В нашем примере организация туннеля IPSec VPN осуществляется в рамках локальной сети, т.е. используются частные/внутренние IP-адреса.

 

Для построения туннеля IPSec VPN через глобальную сеть Интернет, на внешнем интерфейсе WAN роутера должен использоваться публичный/внешний IP-адрес.
Адреса локальной и удаленной сети должны быть из разных подсетей. Например, в нашем случае объединяемые сети имеют разные адресные пространства – 192.168.1.0/24 и 192.168.2.0/24.

 

Мы рассмотрим сценарий, в котором Keenetic Ultra II будет выступать в роли ожидающего подключение IPSec VPN (условно назовем его сервером), а Keenetic Giga III в роли инициатора подключения IPSec VPN (условно назовем его клиентом).

В нашем примере роутер Keenetic Ultra II работает в домашней сети 192.168.1.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.1.2 и выше) и имеет IP-адрес для управления 192.168.1.1. На внешнем интерфейсе WAN этого роутера установлен вручную статический IP-адрес из другой подсети 10.10.1.1 (в вашем случае это может быть внешний/публичный IP-адрес).

Роутер Keenetic Giga III работает в другой сети 192.168.2.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.2.2 и выше) и имеет IP-адрес для управления 192.168.2.1. На внешнем интерфейсе WAN этого роутера установлен вручную статический IP-адрес из подсети 10.10.1.2 (в вашем случае это может быть внешний/публичный IP-адрес).

Необходимо организовать безопасный туннель IPSec VPN между двумя интернет-центрами для объединения двух сетей. Туннель будет устанавливаться между IP-адресами на внешних интерфейсах WAN роутеров.

 

Итак, перейдём непосредственно к настройке интернет-центров.

Сначала необходимо проверить, что на устройствах установлен специальный компонент микропрограммы IPsec VPN (клиент/сервер IPSec VPN для создания защищённых IP-соединений). Проверить наличие компонента можно через встроенный веб-конфигуратор устройства в меню Система > Обновление. Компонент IPsec VPN находится в разделе Applications (приложения). Убедитесь, что около данного компонента установлена галочка.

 

Если галочка отсутствует, установите её и нажмите кнопку Обновить, которая находится в нижней части окна. Запустится процесс обновления компонентов микропрограммы в устройстве. Дополнительную информацию по обновлению компонентов, вы можете найти в статье «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор».

 

Теперь рассмотрим настройки туннеля IPSec VPN.
Настройки на устройствах будем производить через их веб-конфигуратор.

Что необходимо помнить при создании туннеля:

 

На устройствах настройки Фазы 1 и Фазы 2 обязательно должны совпадать! 

 

В противном случае туннель IPSec VPN не будет построен.

 

1. Настройка интернет-центра Keenetic Ultra II, который будет выполнять роль ожидающего подключение IPSec VPN (роль сервера).

 

Зайдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.

 

Откроется окно Настройка IPsec подключения. В нашем случае Keenetic Ultra II будет выполнять роль сервера, поэтому поставим галочку в поле Ожидать подключение от удаленного пира (в этом случае инициатором подключения будет выступать клиент, а сервер будет ожидать подключения).
Опция Nail up (Nailed-up) предназначена для поддержания соединения в активном состоянии и восстановления при разрыве (данный параметр достаточно включить на одном из концов туннеля), а опция Обнаружение неработающего пира DPD (Dead Peer Detection) для определения работоспособности туннеля.

 

В настройках Фазы 1 в поле Идентификатор этого шлюза вы можете использовать любой идентификатор: адрес (IP-адрес), FQDN (полное имя домена), DN (имя домена), e-mail (адрес эл. почты). В нашем примере используется идентификатор e-mail и в пустое поле был вписан произвольный адрес электронной почты. В качестве версии протокола IKE используется IKE v2 (рекомендуем использовать эту версию протокола).
В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.1.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за IPSec-туннелем (в нашем примере 192.168.2.0).

 

Адреса локальной и удаленной сети должны быть из разных подсетей!

 

Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.

 

При множественных туннелях - настройки локального и удаленного идентификаторов должны быть уникальны для каждого туннеля.

 

Сделав настройки IPSec-подключения нажмите кнопку Применить.

После создания подключения нужно обязательно в меню Безопасность > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить для активации IPSec VPN.

 

2. Настройка интернет-центра Keenetic Giga III, который будет выполнять роль инициатора подключения IPSec VPN (роль клиента).

 

Зайдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.

 

Откроется окно Настройка IPsec подключения. В нашем примере Giga III выполняет роль клиента, поэтому установите галочку в поле Автоподключение (в этом случае инициатором подключения выступает клиентский роутер).
Опция Nail up (Nailed-up) предназначена для восстановления соединения при разрыве, а опция Обнаружение неработающего пира DPD (Dead Peer Detection) для определения работоспособности туннеля.
В поле Удаленный шлюз укажите IP-адрес удаленного роутера Keenetic Ultra II, который используется на внешнем интерфейсе WAN (в нашем примере это статический IP-адрес 10.10.1.1, но в вашем случае это может быть внешний/публичный IP-адрес).

 

В настройках Фазы 1 в полях Идентификатор этого шлюза и Идентификатор удаленного шлюза нужно указать тот идентификатор, который вы использовали на удаленном роутере Keenetic Ultra II (в нашем примере, на роутере, который работает в роли сервера, используется идентификатор e-mail). В пустые поля впишите нужный адрес электронной почты (тот, который вы использовали при настройке удаленного роутера). Главное, чтобы идентификаторы и их значения совпадали на обеих сторонах туннеля.
В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.2.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за установленным туннелем (в нашем примере 192.168.1.0).

 

Адреса локальной и удаленной сети должны быть из разных подсетей.

 

Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.

 

На устройствах настройки Фазы 1 и Фазы 2 обязательно должны совпадать!

 

Сделав настройки IPSec-подключения нажмите кнопку Применить.

После создания подключения нужно обязательно в меню Безопасность > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить.

 

3. Мониторинг состояния туннеля IPSec VPN.

 

Итак, настройки IPSec-подключения были выполнены на двух устройствах. Если они указаны верно, то туннель IPSec VPN должен установиться между роутерами.

Для мониторинга состояния туннеля перейдите в меню Системный монитор на закладку IPsec VPN.
В нашем примере VPN-туннель IPSec успешно установился. Вот пример статуса туннеля на роутере Keenetic Ultra II:

 

Пример статуса туннеля на роутере Keenetic Giga III:

 

Для проверки работоспособности туннеля мы с компьютера локальной сети Giga III и имеющего IP-адрес 192.168.2.35 выполнили пинг компьютера удаленной сети 192.168.1.33, который находится за туннелем IPSec в локальной сети роутера Ultra II.

Обращаем ваше внимание, что широковещательные broadcast-запросы (например, NetBIOS) не будут проходить через VPN-туннель, поэтому в сетевом окружении имена удаленных хостов не будут отображаться (доступ к ним возможен по IP-адресу, например \\192.168.1.33).

 

Если вы настроили VPN-туннель IPSec и он был успешно установлен, но пинг проходит только до удаленного роутера и не проходит на хосты удаленной сети, то вероятнее всего на самих хостах блокирует трафик Брандмауэр Windows (Межсетевой экран, Firewall). Дополнительную информацию можно найти в статье «Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic»

 

Примечание 

 

Если на устройстве есть возможность использовать версию протокола IKE v2, используйте её. Если устройство не поддерживает IKE v2, используйте версию IKE v1.
Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nail up (Nailed-up) и Обнаружение неработающего пира (DPD).

 

Публикация базы 1С на сервере Linux

Публикация базы 1С на сервере Linux

1

Обновляем систему, чтобы все пакеты ставились корректно, а также были установлены все последние обновления безопасности.

# yum update

2

Выполняем установку веб-сервера Apache.

# yum install httpd

3

Скачиваем дистрибутивы 1С. Скачать их можно с официального сайта. Нам необходимы файлы:

• 1C_Enterprise83-ws-8.x.x-xxxx.x86_64.rpm
• 1C_Enterprise83-common-8.x.x-xxxx.x86_64.rpm
• Содержаться они в архиве rpm64_8_x_xx_xxxx.tar.gz

На сайте https://releases.1c.ru/ доступны по пути:

Технологические дистрибутивы −> Технологическая платформа 8.3 −>Версия платформы (например 8.3.14) −>Cервер 1С:Предприятия (64-bit) для RPM-based Linux-систем.

4

Устанавливаем пакеты 1С.

# rpm -i 1C_Enterprise83-common-8.3.14-1630.x86_64.rpm 1C_Enterprise83-ws-8.3.14-1630.x86_64.rpm 1C_Enterprise83-server-8.3.14-1630.x86_64.rpm

Публикуем базу:

# cd /opt/1C/v8.3/x86_64/
# ./webinst -publish -apache24 -wsdir yt-demo -dir /var/www/yt-demo -connstr "File=""/opt/yt-demo"";" -confpath /etc/httpd/conf/httpd.conf

После корректной публикации должно быть следующее сообщение: Публикация выполнена (Publication successful).

Кратко рассмотрим параметры утилиты webinst:

• publish - Действие, которое планируем выполнить. Возможны варианты публикации базы или удаления публикации базы.
• apache24 - тип веб-сервера.
  • apache2: публикация веб-клиента для Apache 2.0
  • apache22: публикация веб-клиента для Apache 2.2
  • apache24: публикация веб-клиента для Apache 2.4
• wsdir- имя алиаса, по которому идет обращение в браузере.
• dir - путь публикации, директория в папке веб-сервера.
• connstr - строка соединения, состоит из трех частей «File=» - указывает что база файловая (возможен вариант Srv для серверной базы), «/opt/yt-demo» - путь к каталогу информационной базы 1С , «;» - служебный символ.
• confpath - путь к файлу конфигурации веб-сервера.

Проверяем, в файле /etc/httpd/conf/httpd.conf должна быть строка:

LoadModule _1cws_module "/opt/1C/v8.3/x86_64/wsap24.so"

А также часть кода для публикации:

# 1c publication
Alias "/yt-demo" "/var/www/yt-demo/"
<Directory "/var/www/yt-demo/">
    AllowOverride All
    Options None
    Require all granted
    SetHandler 1c-application
    ManagedApplicationDescriptor "/var/www/yt-demo/default.vrd"
</Directory>

5

Прописываем права на папку /opt/yt-demo. Так как в данном примере с базой будет работать только веб-сервер - предоставляем права только учетной записи веб-серера.

# chown -R apache:apache /opt/yt-demo/

6

Перезапускаем Apache.

# service httpd restart

7

Проверяем доступность публикации.

 

Публикация базы 1С на Windows Server 2016

1

Установка роли веб-сервера. Через диспетчер серверов необходимо установить роль веб-сервера IIS.

2

Установка клиента 1С. Скачиваем дистрибутив с официального сайта. Нам нужна «Технологическая платформа 1С:Предприятия для Windows».

3

При установке выбираем компоненты «1С: Предприятие 8» и «Модули расширения веб-сервера».

4

После установки добавляем в список информационных баз нужную нам базу и запускаем в режиме конфигуратора.

5

Выполняем действие - «Администрирование» - «публикация на веб-сервере».

6

Нажимаем кнопку опубликовать. И получаем сообщение о том, что публикация выполнена и необходимо перезапустить веб-сервер.

7

Делаем отдельный пул приложений. Назовем его 1c-32x и разрешим ему запуск 32-х битных приложений.

8

Назначаем сайту пул приложений 1c-32x.

9

Проверяем доступность публикации через веб-браузер.

 

Автозапуск 1С при подключении к ТС на Windows Server 2016

 

Порой возникает необходимость автоматического запуска 1С и входа в базу при входе на Терминальный сервер. Как пример: подключение на терминальный сервер через устройства типа ТСД (Терминал сбора данных).

Шаг 1

Для того, чтобы настроить автозапуск 1С при подключении на Терминальный сервер под управлением Windows Server 2016 нам необходимо внести изменения в реестр, т.к начиная с данной редакции серверной ОС эта функция отключена:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 
Name: fQueryUserConfigFromDC
Type: Reg_DWORD
Value: 1 (Decimal)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\\
Name: fQueryUserConfigFromDC
Type: Reg_DWORD
Value: 1 (Decimal)

После того, как изменения в реестр будут внесены, необходимо перезагрузить сервер.

Шаг 2

На данном этапе мы переходим к настройке Среды запуска для конкретного пользователя.

1. После того как мы перезагрузили сервер нам необходимо зайти в консоль Управление компьютером. Для этого нам необходимо зайти в Средства администрирования.

Рисунок 1 - Настройка Среды запуска для пользователя

2. Затем выбираем консоль Управление компьютером.

Рисунок 2 - Выбор консоли Управление компьютером

3. Далее переходим на вкладку Локальные пользователи, выбираем Пользователи. Переходим в свойства пользователя, которому необходимо настроить автоматический запуск 1С и кликаем на вкладку Среда.

Рисунок 3 - Настройка автоматического запуска 1С

4. Для того, чтобы 1С запускалась автоматически на данном этапе нам необходимо ввести в поля Имя файла программы и Рабочая Папка следующие параметры. Т.е вводим путь до исполняемого файла клиента 1С.

   Пример:

   Имя файла программы: C:\Program Files (x86)\1cv8\common\1cestart.e

   Рабочая папка: C:\Program Files (x86)\1cv8\common\

Рисунок 4 - Путь к исполняемому файлу

Дополнительно

Данный функционал можно довести до полного автоматизма. То есть когда при входе на Терминальный сервер открывается не только окно программы 1С, но ещё и запускается нужная база данных с уже введенными от неё учетными данными.

Для этого необходимо добавить ключи в поле Имя файла программы которое мы рассматривали на предыдущем шаге.

"C:\Program Files (x86)\1cv8\common\1cestart.exe" enterprise /S "server_name\bp" /N "Иванов Иван" /P "1243"

Где:

• enterprise - запуск системы 1С:Предприятие 8.x в режиме «1С:Предприятие»;
• /S - адрес информационной базы, хранящейся на сервере 1С:Предприятия 8.x, складывается следующим образом: <Имя компьютера, работающего сервером приложений>\ <Ссылочное имя информационной базы, известное в рамках сервера 1С:Предприятия 8.x>;
• /N - имя пользователя. Должно быть указано так же, как в списке пользователей, создаваемом в Конфигураторе;
• /P - пароль пользователя, имя которого указано в параметре /N. Если у пользователя нет пароля, этот параметр можно опустить.

Настройка автоматического запуска 1С при входе на Терминальный сервер завершена.

Настройка экстренного отключения удаленного сервера Windows

При проектировании информационной системы не будет лишним предусмотреть возможность экстренного отключения серверов на случай рейдерского захвата.

Предполагается, что серверы находятся на удаленной площадке за пределами офиса.

Проще всего реализовать такое отключение можно с помощью ярлыка, который будет ссылаться на скрипт.

Выключать сам сервер не рекомендуется, так все открытые приложения и несохраненные данные будут потеряны, более целесообразно просто отключить сервер от сети, чтобы на него не смогли зайти извне.

Скрипт отключения сетевого интерфейса:

@echo off
echo %username% %date% %time% >> D:\Backup\scripts\shutdown\shutdown_log.txt
C:\WINDOWS\system32\netsh.exe interface set interface lan disabled

Расшифровка команд в скрипте:

1. echo %username% %date% %time% - команда, которая запоминает дату, время и имя пользователя, который выполнил скрипт. Нужно для понимания когда и кем был выполнен скрипт.
2. D:\Backup\scripts\shutdown\shutdown_log.txt - путь и имя файла, в который будет записана вышеуказанная информация.
3. C:\WINDOWS\system32\netsh.exe - вызов утилиты, отвечающей за управление сетевыми интерфейсами.
4. interface set interface lan disabled - команда отключения сетевого интерфейса, где lan - название интерфейса.

Проверяем работу скрипта:

Рисунок 1 - Отработка скрипта в командной строке

Скрипт отработал, смотрим состояние интерфейса:

Рисунок 2 - Консоль управления сетевыми подключениями

Интерфейс успешно перешел в отключенное состояние, проверяем лог:

Рисунок 3 - Консоль проводника с файлом лога

Видим, что файл создался по указанному нами адресу и содержит необходимую информацию о времени отключения и пользователе, который его инициировал.

 

Проброс COM-портов через TCP/IP с помощью Virtual Serial Ports Emulator (VSPE).

Подключение кассового оборудования. Проброс COM-портов через TCP/IP с помощью Virtual Serial Ports Emulator (VSPE).

4.1 Настройка VSPE на сервере
Запустить программу VSPE. Нажать на кнопку «Создать новое устройство».

После нужно создать виртуальные порты (для каждой кассы свой порт). Номера портов лучше взять пониже, дабы избежать проблем.
В открывшемся окне в выпадающем меню выбрать TcpServer. Нажать кнопку «Далее».

Установить локальный номер tcp-порта, который будет прослушиваться. Выбрать COM-порт, к которому подключено оборудование через преобразователь интерфейсов. Нажать на кнопку «Настройки».

Нажать кнопку «Готово».
В появившемся окне нажать на кнопку запуска (зеленый треугольник). Серверная часть настроена.

4.2 Настройка VSPE на клиенте.

Запустить программу VSPE. Нажать на кнопку «Создать новое устройство».



В открывшемся окне в выпадающем меню выбрать «Connector».



Выбрать виртуальный COM-порт, который будет использоваться для проброса. Нажать на кнопку «Готово».



Нажать на кнопку «Создать новое устройство».



В открывшемся окне в выпадающем меню выбрать TcpClient



Указать IP-адрес удаленного сервера и номер TCP-порта, на который будет осуществляться подключение. Выбрать виртуальный COM-порт, который будет использоваться для соединения.



В появившемся окне нажать на кнопку запуска (зеленый треугольник). Клиентская часть готова.

После меняем настройки 1С на наши виртуальные порты. Делаем тестирование.

5. Примечание
Несколько нюансов данного ПО:
• Данный продукт бесплатный для Windows с архитектурой х86 и платный для х64. Использовать версией для х64 можно и без ключа. Просто постоянно выскакивает предложение купить программу. Других ограничений (по времени работы или функционалу) нет.

• Программа не сохраняет настройки автоматически и не запускается в момент старта ОС. Поэтому необходимо сохранить настроенную конфигурацию и создать ярлык с параметром:

"C:\Program Files\Eterlogic.com\Virtual Serial Ports Emulator\VSPEmulator.exe" -minimize -hide_splash c:/****.vspe

где, c:/****.vspe - путь к сохраненному файлу.

Созданный ярлык помещаем в автозагрузку или создаем bat-файл для запуска программы с использованием сохраненной конфигурации. Bat-файл должен содержать строку следующего формата:

• VSPEmulator. exe c:/vspebat. vspe - minimize - hide_splash,

  Для автоматического запуска программы VSPE после запуска ОС Windows следует поместить ссылку на этот bat-файл в автозагрузку или планировщик заданий. (для серверной и клиентской части).

• Так же необходимо сделать проброс портов (которые указывали) на маршрутизаторе.

 

Настройка веб-публикации 1С, подключение кассового оборудования

Содержание:
1. Настройка веб-сервера в IIS
2. Публикации базы в 1С
   1. Настройка прав доступа для IIS
   2. Публикация базы данных на веб-сервере
   3. Подключение к опубликованной информационной базе через веб-браузер
3. Создание бесплатного SSL-сертификата Let’s Encrypt на IIS
   1. Создание SSL-сертификата
   2. Создание отдельного пула и сайта с подключенным ssl-сертификатом
4. Подключение кассового оборудования. Проброс COM-портов через TCP/IP с помощью Virtual Serial Ports Emulator (VSPE)
   1. Настройка VSPE на сервере
   2. Настройка VSPE на клиенте
5. Примечание
1. Настройка веб-сервера в IIS
Устанавливаем веб-сервер Internet Information Server, который по умолчанию входит в поставку Microsoft Windows Server. При установке обязательно выбираем компоненты:
• Общие функции HTTP (Common HTTP Features)
  • Статическое содержимое (Static Content)
  • Документ по умолчанию (Default Document)
  • Обзор каталогов (Directory Browsing)
  • Ошибки HTTP (HTTP Errors)
• Разработка приложений (Application Development)
  • ASP
  • ASP.NET 3.5
  • Расширяемость .NET 3.5 (.NET Extensibility 3.5)
  • Расширения ISAPI (ISAPI Extensions)
  • Фильтры ISAPI (ISAPI Filters)
• Исправление и диагностика (Health and Diagnostics)
  • Ведение журнала HTTP (HTTP Logging)
  • Монитор запросов (Request Monitor)
• Средства управления (Management Tools)
  • Консоль управления IIS (IIS Management Console)
2. Публикации базы в 1С
На этот же сервер, где развернут веб-сервер IIS, устанавливаем «1С:Предприятие» (32-разрядные компоненты), обязательно выбрав при установке компоненты:
• 1С:Предприятие
• Модули расширения веб-сервера

Если планируется настроить 64-разрядный модуль расширения веб-сервера, то необходимо дополнительно запустить программу установки 64-разрядного сервера из соответствующей поставки «1С:Предприятие» и установить компоненту:
• Модуль расширения веб-сервера

2.1 Настройка прав доступа для IIS
Теперь необходимо установить необходимые права на ключевые папки, используемые при работе веб-доступа к базам данных «1С:Предприятие». Для каталога хранения файлов веб-сайтов, опубликованных на веб-сервере (по-умолчанию: C:\inetpub\wwwroot\), необходимо дать полные права группе «Пользователи» (Users). В принципе, этот шаг можно пропустить, но тогда для публикации или изменения публикации базы данных надо будет запускать «1С:Предприятие» от имени администратора. Для настройки безопасности данного каталога, кликаем по нему правой кнопкой мыши и в контекстном меню выбираем «Свойства» (Properties).
В открывшемся окне свойств, переходим на вкладку «Безопасность» (Security) и нажимаем кнопку «Изменить» (Edit…), для изменения действующих разрешений. Появится окно разрешений для данного каталога. В списке Групп или пользователей (Groups or user names) выделим группу «Пользователи» (Users) и в списке разрешений для выбранной группы установим флаг «Полный доступ» (Full control). Затем нажмем «Применить» (Apply) для записи изменений и закроем все окна при помощи кнопки «ОК».

Далее необходимо дать полные права на каталог с установленными файлами «1С:Предприятие» (по-умолчанию: C:\Program Files (x86)\1cv8\ для 32-разрядного модуля расширения и C:\Program Files\1cv8\ для 64-разрядного) группе IIS_IUSRS. Для этого выполняем аналогичные описанным выше действия, с той лишь разницей, что для того, чтобы необходимая группа появилась в списке «Группы или пользователи» (Groups or user names), необходимо нажать расположенную под списком кнопку «Добавить» (Add..), а в окне выбора групп или пользователей нажать «Дополнительно» (Advanced…).

Затем нажимаем расположенную справа кнопку «Поиск» (Find Now), после чего выбираем необходимую группу IIS_IUSRS в таблице результатов поиска и нажимаем «ОК».

И, наконец, если публикация выполняется для файловой базы, необходимо также дать группе IIS_IUSRS полные права на каталог с расположенными файлами данной информационной базы.

2.2 Публикация базы данных на веб-сервере
Переходим к непосредственной публикации базы данных на веб-сервере. Для этого запускаем «1С:Предприятие» в режиме Конфигуратор для той базы, которую требуется опубликовать. Затем в меню выбираем «Администрирование» — «Публикация на веб-сервере…»

Откроется окно настройки свойств публикации на веб-сервере. Основные поля, необходимые для публикации, уже заполнены по-умолчанию:
• Имя виртуального каталога — имя, по которому будет происходить обращение к базе данных на веб-сервере. Может состоять только из символов латинского алфавита.
• Веб-сервер — выбирается из списка найденных на текущем компьютере веб-серверов. В нашем случае это Internet Information Services.
• Каталог — физическое расположение каталога, в котором будут располагаться файлы виртуального приложения.
• Соответствующими флагами можно указать типы клиентов для публикации, а также указать возможность публикации Web-сервисов. В расположенной ниже таблице можно отредактировать список Web-сервисов, которые будут опубликованы, а также в столбце «Адрес» изменить синоним, по которому будет происходить обращение к данному Web-сервису.
• Также для веб-сервера IIS есть возможность указать необходимость выполнения аутентификации на веб-сервере средствами ОС, установив соответствующий флаг.
Выбрав необходимые настройки публикации, нажимаем «Опубликовать».

Если публикация прошла без ошибок, увидим соответствующее сообщение.

2.3 Подключение к опубликованной информационной базе через веб-браузер
Для подключений к опубликованной базе данных запускаем Internet Explorer, в строке адреса вводим путь вида http://localhost/<Имя публикации информационной базы>. В данном примере это http://http://localhost/BP.

К данной информационной базе также можно подключиться и с любого компьютера в сети, обратившись к веб-серверу по его внутреннему (или если прокинут порт 80 - по внешнему) IP-адресу.
3. Создание бесплатного SSL-сертификата Let’s Encrypt на IIS
Наличие SSL-сертификата для сайта позволяет защитить данные пользователей, передаваемые по сети от атак человек-посередине (man-in-the-middle) и гарантировать целостность переданных данных.
Let’s Encrypt – это некоммерческий центр сертификации, позволяющий в автоматическом режиме через API выпускать бесплатные SSL/TLS сертификаты. Выдаются только сертификаты для валидации доменов (domain validation) со сроком действия 90 дней, что не является проблемой из-за наличия встроенной возможности автоматического перевыпуска сертификата, в результате чего обеспечивается непрерывность защиты.
Далее описан способ получить SSL-сертификат от Let’s Encrypt при помощи консольной утилиты LetsEncrypt-Win-Simple. Она представляет собой простой мастер, который позволяет выбрать один из сайтов, запущенных на IIS и автоматически выпустить и привязать к нему SSL-сертификат.
3.1 Создание SSL-сертификата
Скачиваем последний релиз клиента со страницы проекта на GitHub https://github.com/PKISharp/win-acme/releases
Распакуем его в каталог на сервере с IIS: c:\inetpub\letsencrypt

Запустится интерактивный мастер, который сначала попросит указать ваш e-mail, на который будут отправляться уведомления о проблемах с обновлением сертификата, и согласиться с пользовательским соглашением.

Затем нужно будет выбрать, что необходимо создать новый сертификат (N: Create new certificate) и выбрать тип сертификата (в нашем примере нет необходимости использовать сертификат с несколькими SAN), поэтому достаточно выбрать пункт 1. Single binding of an IIS site.
Далее утилита выведет список запущенных на IIS сайтов и предложит выбрать сайт, для которого нужно выпустить сертификат.

Следующий этап – выполнение валидации домена. Доступно несколько вариантов валидации: TLS, через запись в DNS или через HTTP). Самый простой вариант — выбрать пункт 4 [http-01] Create temporary application in IIS (recommended). В этом случае на веб-сервере будет создано небольшое приложение, через которое серверы Let’s Encrypt смогут провести валидацию.

Примечание. При выполнении TLS/HTTP проверки ваш сайт должен быть доступен снаружи по полному DNS имени по протоколам HTTP (80/TCP) и HTTPS (443/TCP).
После валидации утилита letsencrypt-win-simple автоматически отправит запрос на генерацию сертификата, скачает его (все необходимые файлы, а также закрытый ключ сохраняются в каталог C:\Users\User\AppData\Roaming\letsencrypt-win-simple) и создаст привязку на сайте IIS. В том случае, если на сайте уже установлен SSL-сертификат, он будет заменен новым. Кроме того, будет создано правило в планировщике заданий Windows, которое запускается каждый день и автоматически выпускает и устанавливает новый сертификат каждые 60 дней.
3.2 Создание отдельного пула и сайта с подключенным с SSL-сертификатом.
Создаем отдельный пул в IIS для letsencrypt


Добавляем сайт в новый пул. Порт указываем 443 (или другой на который позже сделаем проброс на 443 порт).
Указать новый сертификат в «Сертификаты SSL»:

Настроить привязку к нашему сайту:

Проверяем.
Веб-публикация 1С доступна по защищенному соединению https.

4. Подключение кассового оборудования. Проброс COM-портов через TCP/IP с помощью Virtual Serial Ports Emulator (VSPE).
4.1 Настройка VSPE на сервере
Запустить программу VSPE. Нажать на кнопку «Создать новое устройство».

После нужно создать виртуальные порты (для каждой кассы свой порт). Номера портов лучше взять пониже, дабы избежать проблем.
В открывшемся окне в выпадающем меню выбрать TcpServer. Нажать кнопку «Далее».

Установить локальный номер tcp-порта, который будет прослушиваться. Выбрать COM-порт, к которому подключено оборудование через преобразователь интерфейсов. Нажать на кнопку «Настройки».

Нажать кнопку «Готово».
В появившемся окне нажать на кнопку запуска (зеленый треугольник). Серверная часть настроена.

4.2 Настройка VSPE на клиенте.
Запустить программу VSPE. Нажать на кнопку «Создать новое устройство».

В открывшемся окне в выпадающем меню выбрать «Connector».

Выбрать виртуальный COM-порт, который будет использоваться для проброса. Нажать на кнопку «Готово».

Нажать на кнопку «Создать новое устройство».

В открывшемся окне в выпадающем меню выбрать TcpClient

Указать IP-адрес удаленного сервера и номер TCP-порта, на который будет осуществляться подключение. Выбрать виртуальный COM-порт, который будет использоваться для соединения.

В появившемся окне нажать на кнопку запуска (зеленый треугольник). Клиентская часть готова.
После меняем настройки 1С на наши виртуальные порты. Делаем тестирование.
5. Примечание
Несколько нюансов данного ПО:
• Данный продукт бесплатный для Windows с архитектурой х86 и платный для х64. Использовать версией для х64 можно и без ключа. Просто постоянно выскакивает предложение купить программу. Других ограничений (по времени работы или функционалу) нет.

• Программа не сохраняет настройки автоматически и не запускается в момент старта ОС. Поэтому необходимо сохранить настроенную конфигурацию и создать ярлык с параметром:

"C:\Program Files\Eterlogic.com\Virtual Serial Ports Emulator\VSPEmulator.exe" -minimize -hide_splash c:/****.vspe

где, c:/****.vspe - путь к сохраненному файлу.

Созданный ярлык помещаем в автозагрузку или создаем bat-файл для запуска программы с использованием сохраненной конфигурации. Bat-файл должен содержать строку следующего формата:

• VSPEmulator. exe c:/vspebat. vspe - minimize - hide_splash,

  Для автоматического запуска программы VSPE после запуска ОС Windows следует поместить ссылку на этот bat-файл в автозагрузку или планировщик заданий. (для серверной и клиентской части).

• Так же необходимо сделать проброс портов (которые указывали) на маршрутизаторе.