Полное руководство по публикации 1С на веб-сервере: от настройки IIS до подключения мобильных устройств

Скачать в pdf виде презентации

Заказать услугу публикации 1С на веб-сервере у ML-SOFT

  1. Стратегическое значение веб-публикации в современной экосистеме 1С

Переход на веб-доступ сегодня является не просто техническим обновлением, а стратегической трансформацией ИТ-инфраструктуры предприятия. Публикация информационной базы (ИБ) превращает локальную систему в глобальную платформу, обеспечивая бесшовный удаленный доступ и открывая возможности для глубокой интеграции мобильных решений.публикация 1С на веб-сервере

Анализ преимуществ: Веб-клиент vs Тонкий клиент Веб-клиент позволяет работать через браузер без установки ПО, что идеально для B2B-взаимодействия с контрагентами. Тонкий клиент через веб-сервер использует HTTP/HTTPS как транспорт, сохраняя полный функционал платформы и упрощая администрирование в распределенных сетях.

Выбор платформы: Почему IIS? В Windows-средах Internet Information Services (IIS) является архитектурным стандартом. В отличие от Apache, где разрядность должна жестко соответствовать клиентской платформе, IIS предоставляет гибкие механизмы изоляции. Опытный архитектор настраивает отдельные пулы приложений для разных баз: это гарантирует, что критический сбой или утечка памяти в одной публикации не приведет к остановке всего сервера. Успех проекта начинается не с кода, а с подготовки фундамента — серверной роли и изоляции ресурсов.

———————————————————————————

  1. Подготовка инфраструктуры: развертывание роли веб-сервера IIS

Веб-сервер выступает посредником, транслирующим запросы пользователей кластеру 1С. Стандартная «установка по умолчанию» в Windows Server категорически недостаточна для промышленной эксплуатации.

Контрольный список обязательных компонентов IIS:

  • Common HTTP Features: Static Content, Default Document, HTTP Errors.
  • Application Development: CGI, ISAPI Extensions, ISAPI Filters, WebSocket Protocol. (ASP.NET 3.5/4.x опционально, но рекомендуется для совместимости).
  • Health and Diagnostics: HTTP Logging, Request Monitor.
  • Management Tools: IIS Management Console.

Добавление роли IIS

Архитектурный нюанс: Настройка пула приложений

После установки роли необходимо настроить пул приложений. Профессиональный стандарт требует установки параметра «No Managed Code» (Без управляемого кода). Модуль 1С (wsisapi.dll) является нативным расширением ISAPI и не требует среды выполнения .NET CLR. Отключение управляемого кода снижает накладные расходы и повышает стабильность рабочего процесса.

———————————————————————————

  1. Инсталляция компонентов «1С:Предприятие» для веб-сервера

Для работы публикации на сервере должны быть установлены «Модули расширения веб-сервера» (Web server extension modules).

Критические требования:

  1. Соответствие версий: Версия платформы на веб-сервере должна до цифры совпадать с версией на сервере приложений 1С.
  2. Анализ разрядности: В 64-битных системах рекомендуется использовать 64-битную платформу. Если вы вынуждены использовать 32-битные модули расширения на 64-битной ОС, вам придется включить поддержку 32-разрядных приложений в свойствах пула IIS, что снизит производительность системы.

———————————————————————————

  1. Архитектура безопасности: настройка прав доступа NTFS

Некорректные права доступа — причина 90% ошибок при запуске. Мы следуем принципу минимальных привилегий, разделяя «удобство разработки» и «безопасность продакшена».

Матрица прав доступа:

Каталог Группа / Пользователь Уровень доступа Комментарий
C:\inetpub\wwwroot Администраторы Полный Для записи .vrd файлов
C:\inetpub\wwwroot Пользователи (Users) Только чтение В продакшене Full Access здесь — риск ИБ
Папка 1С (bin) IIS_IUSRS Чтение и выполнение Доступ к wsisapi.dll
Каталог файловой ИБ IIS_IUSRS, IUSR Изменение (Modify) Только для файловых баз

Примечание: Пользователь IUSR необходим для начального «рукопожатия» (anonymous handshake), в то время как IIS_IUSRS охватывает рабочие процессы пула.

———————————————————————————

  1. Процедура публикации информационной базы

Публикация выполняется из Конфигуратора (Администрирование — Публикация на веб-сервере).

Настройка веб-интерфейса 1с

Ключевые параметры:

  • Имя: Виртуальный каталог в URL (например, server/erp). Регистр символов важен!
  • Функциональные флаги:
    • Для пользователей: «Публиковать доступ для клиентских приложений».
    • Для API: Оставьте активными только «HTTP-сервисы» или «Web-сервисы».
    • Pro-tip: Если база используется только как API-шлюз, отключите доступ для клиентских приложений. Это минимизирует площадь атаки.

———————————————————————————

  1. Защита данных: Внедрение SSL-сертификатов Let’s Encrypt

Публикация через HTTP недопустима из-за рисков перехвата паролей (MitM). Мы используем автоматизированный выпуск сертификатов через win-acme (WACS).

Получить SSL сертификат на сервер

Алгоритм внедрения:

  1. Распакуйте win-acme в C:\inetpub\letsencrypt.
  2. Запустите wacs.exe от имени администратора.
  3. Выполните: N (New Certificate) -> 1 (Single binding).
  4. Валидация: Выберите метод http-01.
  5. Внимание: Для успешной проверки порт 80 должен быть открыт, так как Let’s Encrypt создаст временное приложение в IIS для подтверждения владения доменом.
  6. Утилита автоматически создаст задачу в планировщике для продления сертификата каждые 60 дней.

———————————————————————————

  1. Расширенные возможности: Мобильный доступ

Мобильный клиент vs Приложение

  • Мобильный клиент: Прямое онлайн-подключение к базе. Не требует синхронизации, но потребляет клиентскую лицензию 1С.
  • Мобильное приложение: Автономная работа (оффлайн) с периодическим обменом. Идеально для зон с плохим покрытием сети.

———————————————————————————

  1. Диагностика и устранение типичных ошибок

При возникновении проблем в первую очередь анализируются логи IIS (C:\inetpub\logs\LogFiles) и журналы Windows.Выбрать поддержку 32 битных приложений 1с

Реестр решений:

  1. Ошибка 500.0: Если вы установили 32-битные модули расширения 1С на 64-битную систему, включите «Разрешить 32-разрядные приложения» в настройках пула. В остальных случаях проверьте права доступа к wsisapi.dll.
  2. Ошибка 404.0: «Тихий убийца» API. Проверьте в Конфигураторе флаги «Публиковать Web-сервисы расширений по умолчанию» и аналогичный для HTTP-сервисов. Без них расширения не будут доступны по сети.
  3. Подробные ошибки: Чтобы увидеть реальный код сбоя вместо заглушки 1С, в IIS в разделе «Страницы ошибок» выберите «Подробные сообщения об ошибках».
  4. Отладка мобильных устройств: Сервер 1С должен быть запущен с параметрами -debug -http. Мобильное устройство подключается к серверу отладки (обычно порт 1550), который также должен быть открыт на сетевом периметре.

———————————————————————————

  1. Сетевая безопасность и правила для фаерволла/межсетевого экрана

Финальный этап — изоляция критических узлов. Мы используем топологию DMZ.

Схема разрешенных портов:

  • Public -> Web-server: TCP 443 (HTTPS).
  • Web-server -> 1C Server: TCP 1540 (Agent), 1541 (Manager), 1560-1591 (Work processes).
  • Management: TCP 1545 (RAS) — доступ только для административной подсети, запрещен для IIS и внешних пользователей.
  • Debugging: TCP 1550 — для отладки мобильных клиентов.
  • Database: TCP 1433 — доступ только от сервера 1С.

Золотое правило: Пользователи из внешней сети должны видеть только порт 443 веб-сервера. Прямой доступ к портам кластера 1С и СУБД должен быть полностью исключен. Соблюдение этой архитектуры гарантирует профессиональный уровень безопасности корпоративных данных.