| -10 | He удалось расшифровать | Общая ошибка расшифровки. Возможно, проблема в сертификате, используемом для шифрования. |
| -11 | He удалось проверить ЭЦП. | Ошибка сертификата пользователя – в данном случае следует связаться с УЦ, выдавшим вам ЭЦП. XML – файл был подписан дважды, необходимо выбрать и подписать файл расчета еще раз. Нарушен порядок подписания / шифрования файла расчета. Файл расчета сначала подписывается ЭЦП, затем зашифровывается. |
| -12 | ЭЦП не верна. | ЭЦП файла расчёта не верна или отсутствует. |
| -13 | В сертификате отсутствует регистрационный номер страхователя. | Сертификат пользователя не содержит записи о Регистрационном номере страхователя (свойство 1. |
| -14 | В сертификате отсутствует код подразделения ФСС РФ. | Сертификат пользователя не содержит записи о Коде подразделения ФСС РФ (свойство 1.2.643.3.141.1.2 поля «Субъект» сертификата). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания. |
| -15 | Ошибка шифрования | Внутренняя ошибка криптосервиса. Необходимо отправить файл расчета повторно. |
| -16 | Неверный формат регистрационного номера страхователя. | В сертификате, выданным УЦ, неправильно указан регистрационный номер страхователя (количество цифр регистрационного номера не равно 10). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания. |
| -17 | Неверный формат кода подразделения ФСС РФ. | В сертификате, выданным УЦ, неправильно указан код подразделения ФСС РФ (количество цифр код подразделения не равно 4). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания. |
| -18 | Расчет зашифрован на ключе, отличном от открытого ключа ФСС. |
|
| -19 | Расчет не зашифрован или не подписан. | Необходимо подписать, зашифровать и направить файл расчета на шлюз приема расчетов повторно. |
| -20 | Неизвестный формат файла. | Формат файла не xml. Необходимо сформировать новый файл расчёта в соответствии с Технологией приема расчетов (http://fss.ru/ru/legal_information/124/133/258854.shtml).Расчет страхователя по Форма-4 ФСС за 1-й квартал 2017 г. должен быть подготовлен в виде xml файла в формате, заданном следующей XSD-схемой. |
| -41 | Нет доверия к издателю сертификата. |
Данная ошибка возникает в следующих случаях: 1) Корневой сертификат УЦ не соответствует Федеральному закону от 06.  04.2011 № 63-ФЗ (Закон № 63-ФЗ)2) Не установлен корневой сертификат УЦ Необходимо связаться с УЦ, выдавшим сертификат пользователя. |
| -42 | Ошибка при проверке сертификата. | Общая ошибка шифрования. Необходимо отправить файл расчета повторно. |
| -43 | Сертификат отозван. | Сертификат, которым подписан файл расчета, более недействителен. Необходимо связаться с УЦ, выдавшим сертификат пользователя. |
| -44 | Не найден или просрочен СОС издателя сертификата. | Ошибка списка отозванных сертификатов (СОС) УЦ, выдавшего сертификат пользователя. Необходимо связаться для консультации с УЦ, выдавшим сертификат пользователя. |
| -45 | Сертификат поврежден. |
Общая ошибка шифрования. Необходимо отправить файл расчета повторно. |
| -46 | Сертификат просрочен | Сертификат пользователя, которым подписан файл расчета , более недействителен. Необходимо обратиться в УЦ, выдавший сертификат для его переиздания. |
| -50 | В сертификате отсутствует ИНН страхователя. | Сертификат пользователя не содержит записи о ИНН страхователя (свойство 1.2.643.3.131.1.1 поля «Субъект» сертификата). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания. |
| -51 | ИНН, указанный в расчете, отсутствует в базе данных ЕГРЮЛ. | Отчет не принят, т.к. ИНН, указанный в расчете, отсутствует в базе данных ЕГРЮЛ. Необходимо обратиться в ФНС по месту регистрации. |
| -503 | XML-файл расчёта не прошел форматный контроль | Рекомендуется проверить xml-файл по соответствующей ему XSD схеме. |
| -504 | В сертификате указано несуществующее подразделение ФСС РФ | В сертификате пользователя, выданным УЦ, неправильно указан код подразделения ФСС РФ. Необходимо обратиться в УЦ, выдавший сертификат для его переиздания. |
| -505 | Неверное наименование файла. | Необходимо привести наименование файла в соответствие с Технологией приема расчетов (регистрационный номер страхователя_расчетный год_отчетный квартал.ef4). |
| -506 | Вторые разделы расчёта имеют одинаковые шифры налогообложения | Необходимо исправить расчёт. |
| -507 | Нет файла *.xml | Не загружен файл расчета. Необходимо отправить файл расчета повторно. |
| -508 | Ошибки логического контроля | Рекомендуется исправить ошибочные параметры расчёта(например: не заполнена строка Всего Таблицы 1.1). Отчет принят с замечаниями. |
| -509 | Отчетный период в XML-файле не совпал с отчетным периодом в наименовании файла | Необходимо привести содержание xml-файла расчёта в соответствие с наименованием. |
| -511 | Ошибка при чтении XML-файла расчёта | Файл пуст или не является XML-файлом |
| -512 | Расчетный год в XML-файле не совпал с расчетным годом в наименовании файла расчёта. |
Необходимо привести содержание xml-файла расчёта в соответствие с наименованием. |
| -513 | Регистрационный номер страхователя в сертификате не совпадает с регистрационным номером, указанном в имени файла. | Файл расчёта подписан ЭЦП, принадлежащей организации, отличной от указанной в расчёте. Необходимо проверить сертификат используемый для ЭЦП. |
| -514 | Регистрационный номер страхователя в XML-файле не совпадает с регистрационным номером в сертификате ЭЦП. | Необходимо привести содержание xml-файла расчёта в соответствие с сертификатом. |
| -515 | Регистрационный номер страхователя в XML-файле не совпадает с номером страхователя, указанном в имени файла. | Необходимо проверить содержание xml-файла расчёта. |
| -516 | Дополнительный код обособленного подразделения в XML-файле не совпадает с номером страхователя, указанном в имени файла. | Необходимо проверить содержание xml-файла расчёта. |
| -517 | Слишком большой файл | Размер файла расчёта превышает максимально допустимое значение 2097152 байт. Необходимо сформировать новый файл расчёта |
| -518 | Нулевой размер файла | Необходимо сформировать новый файл расчёта |
| -519 | ИНН страхователя в XML-файле не совпадает с ИНН страхователя в сертификате. | При сдаче за другое юр. лицо должны соответствовать рег. номер, при сдаче за своё юр. лицо — ИНН. Следует проверить сертификат, используемый для ЭЦП. |
| -520 | ОГРН страхователя в XML-файле не совпадает с ОГРН страхователя в сертификате. | Необходимо проверить сертификат используемый для ЭЦП. |
| -550 | Сертификат не является квалифицированным сертификатом. | Сертификат пользователя, которым подписан файл расчета, не является квалифицированным сертификатом. |
| -552 | Атрибут QUART_NUM элемента TITLE может иметь значение только из следующего ряда: «3»,»6″,»9″,»0″,»03″,»06″,»09″,»12″. | Необходимо исправить значение атрибута QUART_NUM в XML-файле отчёта. |
| -598 | ИНН страхователя в XML-файле отличается от ИНН, соответствующего регистрационному номеру страхователя в БД ФСС РФ. | Необходимо проверить актуальность использованного ИНН. |
| -599 | Внутренняя ошибка в модуле контроля принимаемых данных. | Сообщите в техническую поддержку. |
fss.ru/uc и установить в хранилище сертификатов («Обновление сертификатов УЦ ФСС РФ»).Академия 1С:Документооборот | Лушников и партнеры: Обмен НСИ с 1С:ERP в 1С:Документооборот
Очень часто вместе с 1С:Документооборот используется учетная система. В учетной системе (1С:Бухгалтерия, 1С:Управление торговлей, 1С:Зарплата и управление персоналом или 1С:ERP) уже введены такие справочники, как Организации, Контрагенты, Подразделения, Физические лица, Пользователи и другая нормативно-справочная информация. Целесообразно интегрировать учетную систему 1С с СЭД 1С:Документооборот, чтобы сократить ввод данных и унифицировать НСИ.
Как настроить бесшовную интеграцию рассказано в статье «Бесшовная интеграция 1С:ERP и 1С:Документооборот».
Настройки обменов и бесшовная интеграция в 1С:Документооборот подробно рассмотрены в видеокурсе.
Создадим папку для обменов. На диске C создадим папку obmen. В данной папке создадим подпапку do-erp.
Зайдем в 1С:Документооборот под пользователем Администратор и создадим нового пользователя obmen, под которым будет производиться обмен. Установим данному пользователю сложный пароль.
Включим пользователя obmen в группу доступа Администраторы.
В настройках обмена данными проверяем флаг «Использовать синхронизацию данных» и указываем префикс информационной базы.
В разделе «Настройка и администрирование» открываем пункт «Синхронизация данных».
Нажимаем на кнопку «Синхронизация данных».
Выбираем с чем хотим настроить обмен.
Выбираем способ настройки вручную.
Будем обмениваться информацией через сетевой каталог.
Указываем созданный нами каталог.
Указываем наименование и префикс другой базы.
Проверяем настроенный обмен.
Сохраним файл настроек, выполним отправку данные в УП и нажмем кнопку «Готово».
В нашем каталоге появятся два файла в формате xml.
Запускаем 1С:ERP.
Открываем раздел «Администрирование», панель навигации «Настройка синхронизации данных».
Устанавливаем флаг «Синхронизация данных», указываем префикс узла информационной базы и для штрихкода и переходим в настройки синхронизации данных.
Нажимаем кнопку «Настроить синхронизацию данных» и выбираем с какой конфигурацией будет идти обмен.
Выбираем вариант загрузки файла, созданного в другой программе, и указываем путь к файлу.
Подтверждаем каталог, через который будет производиться обмен.
Подтверждаем настройки обмена и нажимаем кнопку «Готово».
После некоторых раздумий программа начнет анализировать данные.
После окончания анализа программа укажет список для сопоставления.
Сопоставим данные для справочника Валюты.
Видим, что в 1С:Документооборот у нас три валюты, а в 1С:ERP только одна. Валюта RUB сопоставилась автоматически.
Сопоставим организации.
Сопоставим пользователей.
Нажимаем кнопку «Далее». Происходит загрузка данных.
Настройка синхронизации завершена. Настроим теперь расписание.
По умолчанию установлена периодичность обмена 1 раз в 15 минут. Можно установить свое расписание, например, 1 раз в 60 секунд.
Теперь обмен в обе стороны заработал. Разберемся с предупреждениями на стороне 1С:Документооборот.
У нас все лишь одна проблема на закладке «Незаполненные реквизиты» мигрировала роль из ERP, которую надо дозаполнить.
Установим правила адресации для этой роли.
Больше предупреждений нет на стороне 1С:Документооборот.
Разберемся теперь с предупреждениями на стороне 1С:ERP.
Здесь есть как незаполненные реквизиты, так и конфликты.
Принимаем решение по каждому случаю, пока не разберемся со всеми предупреждениями.
В папке через который происходит обмен у нас создаются файлы сообщений обмена.
На стороне 1С:Документооборот найдем регламентное задание «Синхронизация данных» и укажем пользователя obmen, под которым оно должно исполняться.
В базе 1С:ERP откроем справочник пользователи. Видим, что перенеслись пользователи из 1С:Документооборот.
Разрешим пользователю Администратор входить в базу и установим ему сложный пароль.
Включим данного пользователя в группу доступа Администраторы.
Аналогично поступаем и с пользователем obmen.
Находим регламентное задание «Синхронизация данных» и указываем, чтобы оно выполнялось под пользователем obmen.
В 1С:Документооборот создадим нового пользователя Кислых Валерий Михайлович.
В процессе обмена могут встречаться ошибки, как например, в нашем случае.
В журнале регистрации мы можем увидеть саму ошибку.
И прочитать подробную причину остановки обмена.
Видим, что проблема в справочнике Физические лица. Далее нужно исправить ошибку в правилах обмена.
Однако чтобы обмен не останавливался, мы можем временно не создавать физические лица в 1С:Документообороте и отменить регистрацию изменений для этого справочника. Для этого открываем обработку «Регистрация изменений для обмена данными» из меню «Все функции».
Отменяем регистрацию для физического лица.
На вопрос программы об отмене регистрации для Кислых нажимаем кнопку «Да».
Теперь программа ошибок не выдает при выгрузке данных из 1С:Документооборот.
Посмотрим как мигрировал пользователь Кислых в 1С:ERP.
Физическое лицо не мигрировало, так как по нему мы отменили регистрацию из-за ошибки.
Откроем справочник «Структура предприятия» в 1С:ERP. В нем мигрировало подразделение «Администрация» из 1С:Документооборот, у которого код с префиксом do.
Добавим новое подразделение «Юридический отдел» в 1С:ERP. Префикс в коде будет up.
Добавим в 1С:ERP нового пользователя Козлова (Руководителя Юридического отдела).
Сделаем Козлова руководителем Юридического отдела.
И добавим юриста Волкова как сотрудника Юридического отдела.
Дадим этим пользователям права в 1С:ERP. Для этого создадим для них группу пользователей «Юридический отдел».
В группу доступа «Менеджер по закупкам» добавим группу пользователей «Юридический отдел».
Посмотрим как мигрировали данные в 1С:Документооборот из 1С:ERP.
Откроем карточку пользователя Козлов. Видим, что заполнено полное имя и физическое лицо.
Дозаполняем поля Подразделение, Должность и параметры входа.
Аналогично поступаем и с пользователем Волков.
В справочнике организации 1С:ERP добавляем новое ЮрЛицо.
Заполняем адреса и телефоны.
В 1С:Документооборот проверяем, что организация появилась.
Создадим в 1С:ERP нового поставщика.
В результате заполнения получим:
Проверим в 1С:Документооборот данного корреспондента.
Важно также проверить и другие справочники НСИ, которые будут использоваться в обмене. В шаблонах конфигурации 1С:Документооборот есть папка «Синхронизация данных», в которой есть описание обмена «Управление предприятием, ред.
2.0».
В этой папке открываем файл «Совместное использование.htm». И смотрим внизу какие еще справочники участвуют в обмене и по каким правилам.
В том же файле «Совместное использование.htm» сказано следующее:
Проконтролируем актуальность правил обмена в базе 1С:Документооборот.
Аналогично проконтролируем актуальность правил в 1С:ERP.
Настройки обменов и бесшовная интеграция в 1С:Документооборот подробно рассмотрены в видеокурсе.
Ошибки программы 1С (8.1 / 8.2) и как их исправить
Программный продукт фирмы «1С», написанный на собственной платформе очень популярен среди отечественных компаний, т.к. имеет большое разнообразие сфер использования. Программные решения конкретного функционального направления (управление торговлей, управление производством) называются конфигурациями.
Программные продукты 1С достаточно функциональны и надежны, но к сожалению, содержат ошибки. В данной статье описан список ошибок 1С, с которыми лично столкнулись на практике и способы их обхода (если такое возможно), чтобы ты, пользователь экономил время и эмоции на более приятные моменты в жизни 🙂
Хотим предупредить, что описанные ошибки и способы их обхода идентифицировались на конфигурации «Управление торговлей для Украины».
Но поскольку продукты 1С тиражируются разработчиком, не исключено что эти же ситуации встречаются и в других конфигурациях, а способы их решения будут такими же как для конфигурации «Управление торговлей для Украины».
Все ошибки мы разделили на две категории: 1) логические 2) программные.
Логические – ошибки, которые противоречат привычному пониманию протекания какого-либо бизнес-процесса. Например, любой из нас понимает, что перед продажей продукции, ее сначала необходимо закупить у поставщика, а не наоборот.
Программные – ошибки, которые не видны на стороне пользователя. Находятся в программном коде. Как правило, их очень трудно идентифицировать, а из-за этого найти способы обхода.
Логические ошибки
№ 1. Добавление товара к выполненному и закрытому заказу.
Описание: Допустим, у вас есть отгруженный заказ. Жизненная цепочка заказа была следующая:
«Создание заказа – корректировка заказа – резервирование – отгрузка – закрытие».
Как всем известно, последняя операция «Закрытие заказа» — финализирующая. Ее выполнение подразумевает что заказ больше не будет выполнятся и могут быть подбиты итоги по сделке.
Но тут как раз и нет. Оказывается, к закрытому заказу можно добавить корректировку или отредактировать сам заказ. Что получается? Мы можем добавить количество товара к закрытому заказу. Как это отразится на заказе?
Добавив товар, мы искусственно, постфактум искажаем процент выполнения заказа. Т.е. до момента корректировки заказ был выполнен на 100%, после корректировки только на 80%.
Если мы не просто добавим товар, а еще зарезервируем, получим зарезервированный товар в закрытом заказе.
На наш взгляд данный инцидент – грубейшее нарушение принципов логистики и продаж. Т.е. проведя аналитику за прошлый месяц, отдел логистики получит один процент выполнения заказов. После того как некоторый пользователь создаст корректировки к закрытым заказам, процент выполнения изменится и получится другой результат.
Мнение службы поддержки 1С на данный вопрос: «Данная операция не является ошибкой работы программы, т.к. в технической документации по эксплуатации программы нигде не указано что после операции закрытия заказа должна устанавливаться блокировка на изменение.»
Т.е. 1С не признает данный инцидент как ошибку в работе программы.
Способы решения.
Устанавливать дату запрета редактирования документов (в этом случае пользователи не смогут корректировать сам заказ, но все же смогут создавать корректировки). Для исключения создания пользователями документа «Корректировка», можно запретить (сделать недоступным) использование корректировок.
Если проблема уже существует, найдены заказы, к которым задним числом прикреплены корректировки, необходимо перепровести закрытие заказа на дату, позже, чем все прикрепленные по структуре подчиненности документы к данному заказу. Т.е. нужно сделать так чтобы по иерархии дат документ «Закрытие заказов» был самым последним.
№ 2.
Редактирование цен и скидок в документе.
В 1С есть функция настройки дополнительных прав пользователей. Среди прочих функций есть такая: «Редактирование цен и скидок в документе». Разрешение или запрет данной функции регулируются галочкой (булево) т.е. параметр, который может принимать всего два значения – «да» и «нет». Из самого названия функции понятно ее предназначение, но оказывается когда разработчики писали код и вкладывали в данное понятие смысл, то имели ввиду, что данная опция относится лишь к документам реализации. Т.е. на документы, касающиеся прихода товара данная функция не распространяется. Вопрос. Неужели нельзя было разделить данную функцию на два подвида: а) документы реализации б) документы прихода? Очевидно, можно и нужно было. Это ошибка проектирования системы вводит в заблуждение пользователей и администраторов программ. При значении данной функции «ДА» мы запрещаем редактирование цен только в половине документов, остальная половина документов остается свободной для редактирования цен.
Мнение службы поддержки 1С на данный вопрос: «Настройка «Редактирование цен и скидок в документе» влияет только на документы продажи.
В том случае, если установлено значение «Запрещено редактирование» (флаг не установлен), то пользователю, которому назначена эта роль, не будет доступно редактирование цен и скидок в документах, оформляющих продажу товаров. В том случае, если контрагенту в договоре задан тип скидки по умолчанию, то эта скидка будет установлена для него в документе, однако редактировать ее значение или выбирать другой тип скидки пользователю разрешено не будет».
Способы решения.Данная проблема не решается на стороне пользователя. Функцию разделения редактирования цен в документах реализации и документах прихода можно только самостоятельно дописать в программный код.
№ 3. Выгрузка Приложения №2 к налоговой накладной (корректировки) без дат и номеров налоговых накладных.
В нашей компании данная ошибка всплыла наружу благодаря тому, что бухгалтеры, перегружая данные за месяц (налоговые, корректировки) начали жаловаться на то что им каждый месяц вручную приходится в программе «m.
e.d.ok» проставлять даты и числа налоговых накладных, на основании которых выписано «Приложение 2». Разобравшись в чем дело, мы выяснили, что при выгрузке реестра налоговых накладных, данные номеров и дат по корректировкам к налоговым накладным попросту не выгружаются. На наш запрос о том можно ли выгружать корректировки к налоговым накладным за период, например, месяц, фирма 1С ответила следующее: «Групповая выгрузка реализована только для работы с программой 1С-Звит. В формате *.xml возможна выгрузка только единичных документов. Это меняться не будет.»
Т.е. в данном случае фирмой 1С четко очерчена задача – борьба за рынок программных продуктов и нежелание организовать качественно работу 1С с другими приложениями. Хотя у клиента должен быть выбор, каким программным приложением ему более удобно отчитываться за налоговый период фирма 1С максимально сузила пользовательский выбор в сторону того или иного бухгалтерского ПО. Маркетинговая борьба в данном случае исключает возможность выбора.
Способы решения. Использование программных продуктов линейки 1С, в данном случае «1С-Звит» для сдачи налоговой отчетности.
№ 4. Формирование отчета «Ведомость по денежным средствам» по статьям.
Ошибка в том, что при формировании отчета с группировкой по «Статьям
движения денежных средств» не выводится сама статья. Это касается приходных и расходных кассовых документов. По документу «Внутреннее перемещение
денежных средств» статья все же выводится.
Был задан вопрос в службу поддержки с просьбой объяснить, почему нет возможности группировать стандартным отчетом движения в разрезе по статьям.
Мнение службы поддержки 1С на данный вопрос: «Отчет «Ведомость по денежным средствам» предназнаяен для анализа остатков и оборотов денежных средств. В регистре, на основании данных которого строится отчет, нет информации о статьях ДДС.
Выводить в отчет реквизит документа-регистратора некорректно, т.к. при некоторых видах операций движения формируются по данным табличной части, и статья движения денежных средств указывается именно в строках табличной части.
Например, при оплате от покупателя и оплате поставщику данные хранятся в табличной части, даже если визуально на форме представлены как платеж «не списком».»
Т.е. не пытайтесь формировать отчет «Ведомость по денежным средствам» вместе со статьями – ничего не получится.
Способы решения.
В стандартном отчете «Движения денежных средств» есть возможность выводить суммы с аналитикой по статьям движения. Другое дело что сама суть отчета другая.
Как оказалось, документ «ПКО» и «РКО», отвечающие за учет движения наличных денежных средств состоят из двух разделов. И чтобы реализовать постатейный учет и анализировать отчетом «Ведомость по денежным средствам» необходимо прописывать статью движения именно в двух местах документа. И тут самая большая загадка-ошибка. Раздел документа отвечающий за заполнение статей по-умолчанию пустой и мало того не доступен пользователю для заполнения. По-правильному он должен заполняться самостоятельно при проведении документов, но это не происходит.
Способы решения. Данная недоработка лечится только программно. Дописывается программный код, который копирует статью движения при проведении документа в обе части документа.
№ 5. Разделение прав пользователей подразделений на проведение документов по чужому подразделению.
Данная ошибка касается целого ряда документов: поступление товаров, реализация товаров, резервирование товаров, проведение операций с денежными средствами по чужой кассе.
Поскольку 1С поддерживает работу распределенной базы данных, это подразумевает, что компании пользующиеся продуктом 1С имеют возможность вести учет разветвленной структуры – несколько складов, филиалов, магазинов и т.д. И, конечно же, сколько у компании центров учета столько должно быть и центров ответственности. С разделением центров учета в 1С все получилось, а вот с разделением центра ответственности – нет.
Например: У компании есть склад в г. Одессе и в г. Харькове. Соответственно есть пользователи, которые вносят документы прихода-расхода на этих складах.
Но пользователь склада г. Одессы может поставить на приход товар складу в г. Харьков, тем самым без ведома харьковского склада увеличивая остатки на чужом складе.
Такая же ситуация с учетом денежных средств, резервирования товара. Т.е. ошибка заключается в том что в 1С не предусмотрено разделение ответственности по центрам учета.
Способы решения.Как мы уже сказали в 1С не предусмотрено разделение ответственности по центрам учета, поэтому если у вас есть необходимость разделения центров ответственности, придется самостоятельно дописывать программу. Один из самых простых вариантов – создать под каждое направление контроля справочник с внесением пользователей, которым разрешен доступ к складу или кассе. И конечно в самом документе придется дописать ссылку просмотра контроля из справочника при проведении документа для текущего пользователя.
№ 6. Отображение в отчете «Анализ заказов покупателей» закрытых заказов покупателей.
Характер ошибки:
Если в возврате покупателя в табличной части документа есть ссылка на заказ покупателя, и если товар отпускался с резерва, то при проведении документа «Возврат товаров от покупателя» товар снова вернется в резерв.
В данном случае товар снова возвращается в резерв для данного покупателя, несмотря на то что покупатель вернул товар, а значит отказался от него. Кроме того что товар вернулся в резерв по завершенной сделке, он одновременно недоступен для продажи по другим сделкам, а в отчете «Анализ заказов покупателей» заказ будет считаться выполненным не полностью, из-за ссылки на заказ в документе возврата.
На наш взгляд, возврат никоим образом не должен влиять на выполнение заказа.
Т.е. если покупатель вернул продукцию, это не значит что по этому заказу отгрузится другой товар. Скорее это будет совсем другая сделка.
Взаиморасчеты в этом случае корректируются правильно. Покупатель вернул продукцию, значит мы должны вернуть деньги или отгрузить другую продукцию, чтобы закрыть предоплату покупателя. Но возврат никоим образом не должен влиять на процент выполнения и на количество зарезервированного товара.
Отметим, что даже после закрытия заказа ссылка в возврате на заказ покупателя влияет на процент его выполнения.
Данную ситуацию мы описывали в ошибке № 1.
Способы решения.Не устанавливать (очищать) ссылки на заказы в табличной части документа «Возвраты от покупателей».
№ 7. Автоподстановка статей движения денежных средств в документах учета денежных средств.
В 1С при создании документа, например, «Приходный кассовый ордер» автоматически подставляется статья движения денежных средств. Как это происходит? Дело в том что разработчики 1С под каждый вид операции с денежными средствами придумали предопределенные статьи и прописали их автоподстановку в документ, в зависимости от проводимой операции с денежными средствами (в ПКО видов операций примерно – 7 и под каждую прописана подстановка определенной статьи). В данном случае ошибка разработчиков в том что они за каждую компанию заранее определили название (содержание) статьи, которая будет подставляться в документ и самое главное – сделали невозможным редактирование названия (содержания) статьи в пользовательском режиме работы программы.
Т.е. если вы захотите поменять название статьи, которое автоматически подставляется в документ, вам необходимо будет изменить конфигурацию. Если вы посто удалите предопределенные статьи в справочнике «Статьи движения денежных средств», то статьи подставляться не будут, но и документы проводится также не будут в связи с программной ошибкой.
В данном случае в программе вскрыта программная и логическая ошибка.
Во-первых – автоподстановка ненужных статей движения ДС в документ
Во-вторых – отсутствие возможности отключить автоподстановку или отредактировать ее
В-третьих – удаление предопределенных статей со справочника статей влечет изменения конфигурации. Данную функцию можно было бы включить в настройки параметров учета и т.д.
Способы решения.
В режиме «Конфигуратор» переименовать предопределенные статьи в нужные для автоподстановки в документы.
Удалить все предопределенные статьи, закомментировать программный код в документах, который выдает ошибки при автоподстановке предопределенной статьи.
После этого в режиме предприятия ввести список статей, с которыми должны работать пользователи по своему усмотрению.
№ 8. Зависают остатки товаров в резерве и одновременно отсутствуют на остатках по ведомости.
Характер ошибки: В рабочем месте менеджера по продажам при полном отсутствии товара может быть остаток по зарезервированной продукции (зависает резерв). Ошибку можно также наблюдать в отчете «Анализ доступности товаров на складах». В отчете товар по которому зависли резервы зарезервирован в графе «К передаче» в минус.
Такая ошибка возникает, например, в следующей ситуации:
1. Есть заказ с зарезервированным товаром.
2. Есть реализация по заказу.
3. Есть бой продукции по реализации.
4. Откорректирована реализация на количество разбитой продукции.
5. Оформлен документ «Списание товаров» на основании документа реализации.
И вот в документе списания в поле «Документ резерва» указана реализация по которой списывается товар.
И как раз из-за этого возникает ошибка. Т.е. 1С-ка считает что товар вернулся обратно из реализации в заказ, при этом считает заказ покупателя недовыполненным. А в описаном примере заказ не будет довыполнятся на количество разбитой продукции. Просто проведено списание боя. А поскольку в документе «Списание боя» нет графы списывать с резерва, возникает исключительная ситуация — товар списывается с остатков документом «Списание товаров» и одновременно остается зарезервированным для заказа покупателя как недопоставка. Т.е. возникает коллизия — отсутствие товара на остатке и наличие этого же товара в резерве. Заказ покупателя закрыт при этом закрыт и этим самым подтвержден что не нуждается в довыполнении.
Способы решения. Вместо реализации в поле «Документ резерва» указывать заказ покупателя, по которому проведен бой или оставлять данное поле незаполненым. Тогда резервы списываются и закрываются корректно. Данная ошибка связана по сути с ошибкой № 1 данного раздела «Добавление товара к закрытому заказу».
Должно быть так: заказ закрыт, значит все резервы по заказу обнулены. К сожалению, такой логики нет в программе 1С, поэтому пользователям приходится самостоятельно находить способы решения коллизий 1С.
Системные ошибки
№ 1. Тонкий, Веб-клиент в 1С 8.2. В платформе 1С Предприятие 8.2 было заявлено о том что в платформе заложена поддержка тонкого и веб-клиента. С нашей стороны была попытка организации работы в режиме тонкого клиента на конфигурации «Управление торговлей». Ничего не получилось.
Мнение службы поддержки 1С на данный вопрос: «Конфигурации «Управление небольшой фирмой для Украины» и «Документооборот КОРП
для Украины» разработаны с использованием управляемого приложения и в полном объеме поддерживают работу в указанных режимах. Остальные конфигурации не тестировались в указанных режимах».
Способы решения:Либо использовать конфигурации поддерживающие работу тонкого и веб-клиента, либо ждать, когда украинский разработчик «ABBYY Ukraine» доработает все конфигурации для работы в режиме тонкого клиента.
№ 2. Не создается узел распределенной базы данных (РИБ). Заканчивается память, системная ошибка С++ …
После выпуска платформы 8.2.14.540 перестал выгружаться узел распределенной базы данных.
Описание ошибки на примере: «Процес по выгрузке узла начинается. Затем,
если открыть диспетчер задач компьютера видно как процесс 1Сv8.exe
постепенно растет, вбирая в себя всю оперативную память компьютера, до
момента, пока оперативная память ПК, на котором происходит выгрузка
окончательно не закончится и в итоге выдается системная ошибка о том что
памяти нет. Пробовали делать процесс и в файловом и в серверном варианте.
На ПК с разной мощностью и оперативной памятью. Результат один и тот же.»
Способы решения. Существует альтернативный вариант выгрузки узла распределенной базы. Суть способа в том что узел создается из копии «живой» базы предварительно почистив истории обмена, регистры сведений и др. справочники.
Более подробно способ описан здесь.
№ 3. Остатки списываются не с того склада, который указан в документе.
Описание ошибки. В базе данных проведен документ «Реализация товаров и услуг».
По всем регистрам записи проведены. Но товар с остатков не снялся с указанного склада. Вместо указанного склада, товар снялся с остатков с другого склада.
Тестирование и исправление через конфигуратор не исправляет данную ошибку.
Скорее всего, такая ошибка может быть связана с тем что конфигурация модифицирована либо в документах каким-то образом был изменен склад но вместо перепроведения документ был просто записан.
Способы решения. Перепроведение документа решает данный вопрос. Для поиска таких ошибок полезен будет отчет «Ведомость по товарам на складах» с настройкой отображения склада, установленного в шапке документа и склада, который реально участвует в формировании движения по регистрам накопления. Сохранив в Excel с помощью функции «СОВПАД» найти все несовпадения и перепровести документы с ошибками.
№ 4. Обновление конфигурации «Управление торговлей» до версии 3.0
При обновлении до версии 3.0 возникает программная ошибка. Обновление не может найти справочник «ГруппыДоступаПартнеров».
Способы решения :
— В УТ 2.3 на время выгрузки снять флаг: Сервис — Настройки учета — Настроки параметров учета — Ограничивать права на уровне записей
— Если в УТ 2.3 использовались органичения на уровне записей для контрагентов (справочник Группы доступа к контрагентам не пуст), то в УТ 3.0 установить вручную значение функциональной опции: Администрирование — Настройка пользователей и прав — Группы доступа партнеров.
№ 5.Медленно работает 1С на СУБД SQL Postgre.
Всем компаниям, использующим клиент-серверный вариант работы с 1С, посвящается.
Так сложилось исторически, что проектировщики платформы 1С, разработчики ориентировались на то что их бизнес-приложения будут работать исключительно на линейке программного обеспечения корпорации Microsoft.
Поэтому многие компании, которые решили использовать в клиент-серверном режиме бесплатную СУБД SQL Postgre, которая кстати, идет в поставке вместе с дистрибутивом сервера 1С, потерпели фиаско. Ну почему-то очень медленно работает программа на бесплатном СУБД. Прежде всего, это касается проведения документов, т.е. записи данных. Анонсируемая платформа 8.3, опубликованная в мае 2013 г. нисколько не улучшила показатели в этом направлении. По-прежнему работа с SQL Postgre значительно медленнее (2-3 раза), по сравнению с Microsoft SQL Server. При возникновении ошибок типа «База данных повреждена ошибка СУБД» с файловыми базами данными рекомендуется стандартное тестирование компонентой chdbfl.exe
Способы решения: Дополнительная настройка, наладка SQL Postgre под 1С не дает значительного прироста производительности.
Не советуем использовать в клиент-серверном варианте СУБД SQL Postgre. С программными продуктами линейки Microsoft 1С работает значительно лучше и быстрее.
№ 6.
В печатной форме «Расходная накладная» вместо слова «буд.» выводится на печать слово «дом».
В релизе 2.3.17.1 данная ошибка устранена, но только для вновь созданых клиентов. Для контрагентов внесенных до обновления конфигурации ошибка осталась.
Способы решения: В форме внесения адреса контрагента необходимо выбрать значение «За пределами Украины» и в текстовом поле вместо «дом» руками пробисать «будинок».
№ 7. Потеря данных, ссылки на несуществующие объекты.
Бывают ситуации, когда по каким-либо причинам в 1С исчезают документы. Если какой-либо документ ссылался на документ, который пропал вместо ссылки отобразится циферно-буквенный набор без логической взаимосвязи (7b54dglsjgh7800m). Такая ошибка может появится как в подчиненном узле распределенной базы данных так и в главном. Такая ошибка может быть следствием некорректного отключения питания, перепада напряжения и других экстренных ситуаций для баз данных.
Пропажа документов из базы данных крайне не желательна, т.
к. влечет за собой неправильные остатки по товарам, путаницу во взаиморасчетах и т.д.
Способы решения:
Для исправления ошибок в файловой БД существует внешняя компонентся – chdbfl.exe
Компонента достаточно успешно устраняет ошибки но не восстанавливает данные. Как правило, после ее проверки и обмена данными РИБ (если база распределенная) все данные успешно восстанавливаются.
Другое дело, если БД не распределенная и обновить данные неоткуда. В этом случае после проверки и устранения ошибок данные придется восстанавливать вручную, вносить документы, корректировать регистры, при условии что есть архивная копия, в которой данные содержатся в полном объеме и без ошибок.
Для избежания перебоев с напряжением и травматизма БД рекомендуется использование источников бесперебойного питания на ПК, где установлена БД 1С и резервное копирование базы данных. Инструмент и инструкция копирования (beckup) есть на нашем сайте. Можно почитать и скачать здесь.
№ 8. Слетает программа при перезагрузке (reboot) сервера.
Еще одна глобальная проблема работы программы. Дело в том что время от времени есть необходимость перезагрузки сервера 1С. Это может быть связанно с установкой обновлений операционной системы, и плановой очисткой кеша 1С. И после перезагрузки сервера программа перестает работать. Обычно обибка дает о себе понять сообщением «Ошибка формата потока …«. И что пользователю в этом случае делать вообще не ясно. Исправляется проблема на наш взгяд грубо но эффективно с помощью переустановки программы.
Способы решения: Переустановка программы.
№ 9. Не загружается обмен в подчиненный узел распределенной базы данных.
Характер ошибки. В 1С есть функция установки даты запрета изменения данных. Так вот, если в закрытом периоде в главном узле, к примеру, администратор, изменит какой-нибудь документ, сформирует и отправит обмен в подчиненный узел, они могут не загрузится из-за того что в главном узле установлен период запрета изменения данных.
Дальше происходит все так: в подчиненном узле обмен данными загружает пользователь, например, менеджер по продажам (не важно с полными правами или нет) и происходит коллизия. В подчиненный узел должны быть загружены изменения из главного узла, не это не может произойти по причине, что для пользователя в подчиненном узле закрыт период для внесений изменений. Происходит блокировка загрузки обмена в подчиненном узле, пользователь не может загрузить обмен данными т.к. для него закрыт период.
Способы решения. Загрузить обмен данными под пользователем, для которого не закрыт период или в главном узле открыть период для внесения изменений, выгрузить обмен, а потом снова закрыть период. Таким образом, изменения загрузятся в подчиненный узел.
№ 10. Ошибка dbeng8.
Характер ошибки. В файловой базе данных иногда появляется ошибка при работе 1С или при ее запуске — ошибка dbeng8. Появляется данная проблема внезапно вследствие сбоя базы данных.
Сбой файловой базы данных может быть связан или с внезапным, незапланированным завершением работы программы или нарушением правил эксплуатации ПК. Также база с такой ошибкой может сбоит вследствие принудительного завершения работы программы с помощью диспечера задач Windows.
Способы решения. Для исправления ошибок в файловой БД существует внешняя компонентся – chdbfl.exe. С помощью нее как правило можно устранить данную проблему. Если тестирование и исправление через утилиту chdbfl.exe не помогает, нужно ставить базу на более глубокое тестирование через конфигуратор.
№ 11. Тормозит сервер 1С в связи с ростом кеша.
Характер ошибки. Для серверной версии 1С характерно замедление проведения документов, формирования отчетов. Одной из причин может быть чрезмерный рост кеша программы (оперативной информации) который должен самоочищаться, но этого не происходит по неизвестным причинам.
Способ решения. Помогает перезапуск сервера 1С и SQL сервера.
Процедуру перезапуска нужно производить примерно раз в две недели или по необходимости. Можно также перегружать сам сервер (ПК) где установлена 1С.
№ 12. Ошибка формата потока.
Характер ошибки. Не запускается база данных 1С и само приложение. При этом выскакивает маленькое окошечко с сообщением «Ошибка формата потока».
Способ решения. Как правило, возникает в файловых база данных 1С. Проблема устраняется очень просто. Нужно удалить из списка информационных баз ту базу, которая запускалась с ошибкой и переподключить заново с помощью меню «Добавить» в окошке информационных баз 1С.
Если у тебя, пользователь, есть опыт решения аналогичных вопросов, накопленный опыт, не стесняйся, поделись информацией с братьями по разуму. Напиши нам письмо с характером найденной ошибки с способом ее обхода. Мы обязательно опубликуем все интересные материалы по данной тематике с ссылкой на автора материала или источник.
Надеемся, мы помогли вам сэкономить время и энергию для решения других более важных задач, чем поиск способов решения ошибок в программных продуктах линейки 1С.
Как исправить ошибку «Команда не найдена» в Linux
Изображение
Фото Андреа Пиаккуадио с сайта Pexels
Когда вы пытаетесь запустить команду (с sudo или без нее) и получаете сообщение об ошибке «Команда не найдена», это означает, что сценарий или файл, который вы пытаетесь выполнить, не существует в расположении. указанный вашей переменной PATH. Что это за переменная и как можно запускать команды, которые она не может найти?
Понимание переменных среды
В вычислениях переменная является заполнителем для значения, которое может измениться. Вы каждый день используете переменные в обычной речи, хотя и не думаете о них как о таковых. Когда вы говорите «мой ноутбук», вы используете «ноутбук» в качестве общей переменной или заполнителя для компьютера, который вы носите, независимо от того, является ли он Lenovo, Mac или Raspberry Pi в причудливом корпусе.
Переменные среды — это специальные переменные, содержащие информацию о сеансе входа в систему.
Многие из этих переменных устанавливаются по умолчанию во время установки или создания пользователя. Они хранятся для системной оболочки, приложений и сценариев, используемых при выполнении команд.
Существуют глобальные или системные переменные и локальные или пользовательские переменные.
Глобальные переменные
Глобальные переменные предопределены в вашей оболочке входа в систему, но они не являются неизменяемыми и могут быть изменены или удалены в соответствии с вашими предпочтениями. Вы можете использовать команды printenv или env для отображения переменных среды в вашей системе:
$ env ОБОЛОЧКА=/bin/bash SESSION_MANAGER=local/kiwi.homelinux.local:@/tmp/.ICE-unix/1906, unix/kiwi.homelinux.local:/tmp/.ICE-unix/19 06 WINDOWID=153092103 COLORTERM=истинный цвет XDG_CONFIG_DIRS=/home/tux/.config/kdedefaults:/etc/xdg:/etc/kde/xdg МЕНЬШЕ=-XR XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session1 HISTCONTROL=:ignorespace:ignoredups:ignorespace:ignoredups PKG_CONFIG_PATH=/usr/local/lib64/pkgconfig:/usr/local/share/pkgconfig:/usr/lib64/pkgconfig:/usr/share/pkgconfig [...]
..] Команда env выводит все глобальные переменные среды. Переменные чувствительны к регистру, и все дистрибутивы Linux по умолчанию используют прописные буквы для имен переменных среды.
[ Держите ваши любимые команды Git, псевдонимы и советы под рукой. Загрузите шпаргалку Git. ]
Локальные переменные
Локальная переменная существует только в пределах определенной оболочки. Поэтому, когда вы определяете локальную переменную, она доступна только в вашей текущей оболочке. Он не распространяется и не сохраняется в новом сеансе оболочки, если вы не экспортируете его как глобальную переменную.
Локальные переменные часто определяются в нижнем регистре, чтобы избежать перезаписи глобальной переменной с тем же именем.
Переменная среды PATH
Глобальная переменная среды PATH перечисляет каталоги, в которых ваша система ищет допустимые исполняемые команды. По умолчанию он содержит стандартные каталоги, в которых обычно хранятся исполняемые файлы, такие как /usr/bin , /usr/local/bin и так далее.
Когда вы вводите команду, такую как grep или vim , ваша система выполняет поиск во всех каталогах, перечисленных в вашей переменной PATH, в том порядке, в котором они перечислены, пока не найдет исполняемый файл с тем же именем. . Если он не может найти его, он выдает ошибку «Команда не найдена».
$ printenv ПУТЬ /usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/tux/.local/bin:/home/tux/bin $ окружение $ ПУТЬ env: /usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/tux/.local/bin:/home/tux/bin
5 способов исправить «Команду не найдено» ошибки
Есть несколько способов решить эту проблему. Вот пять из них.
1. Включите путь
Не все, что вы хотите выполнить, должно быть в вашем пути. Вы можете выполнять файлы напрямую, указав путь к файлу, который вы хотите запустить. Идентифицируя местоположение файла, вы избавляете свою систему от необходимости искать ваш путь вообще.
Например, предположим, что у вас есть сценарий с именем hello , который вы хотите запустить.
Он находится в вашем домашнем каталоге, и вы уже пометили его как исполняемый файл с помощью chmod +x :
$ ~/hello hello world
Сообщая вашей системе местоположение файла, переменная PATH никогда не используется, и файл работает так, как ожидалось.
2. Добавьте новый путь
В качестве альтернативы вы можете добавить новый каталог в свой PATH. Добавьте свои исполняемые файлы в этот каталог, а затем вы сможете запускать их, не указывая путь вручную:
$ cp ~/hello ~/.local/bin $ экспорт ПУТЬ=$ПУТЬ:$HOME/.local/bin $ printenv ПУТЬ /usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/tux/.local/bin
Вы можете добавить новые переменные среды PATH в свою оболочку входа в систему, включая их в файл .bashrc в качестве новых настроек.
3. Скопируйте файл в существующий путь
Если вы хотите выполнить свой двоичный файл или сценарий, скопируйте его в любой из путей каталога, уже перечисленных в переменной среды PATH:
$ sudo cp ~/hello /usr/local/bin/ $ привет hello world
4.
Скажите Bash, где искать Вероятно, самый простой вариант, особенно для одноразовых сценариев или приложений, — это указать Bash не учитывать PATH, а «смотреть здесь». Для этого поставьте точку и косую черту перед командой, сценарием или именем приложения. Для сценария hello это выглядит так:
$ sudo ./hello hello world
В систему не вносятся постоянные изменения. Это может быть удобно, если вы пишете сценарий и хотите протестировать его перед копированием или перемещением в обычное место хранения (предположительно по пути).
5. Установите пакет
Иногда, когда вы пытаетесь использовать команду, а Bash отображает ошибку «Команда не найдена», это может быть связано с тем, что программа не установлена в вашей системе. Исправьте это, установив программный пакет, содержащий команду. Например, если у вас не установлен Nmap, то команда nmap завершится ошибкой при вводе ее в терминал:
$ nmap nmap: команда не найдена $ sudo dnf install --assumeyes --quiet nmap $nmap Nmap 7.
92 (https://nmap.org)
Использование: nmap [Тип(ы) сканирования] [Параметры] {целевая спецификация}
[...] [ Хотите узнать больше? Подпишитесь на бесплатную пробную версию с полным доступом к учебной программе Red Hat. ]
Придерживайтесь пути
Переменная PATH — это мощный инструмент, который вы можете использовать для настройки того, как ваша система реагирует на команды, поэтому найдите время, чтобы освоиться с ней. Он часто используется при запуске команд для поиска исполняемого файла команды.
В этом руководстве вы узнали пять способов исправить ошибку «Команда не найдена» в вашем терминале, три из которых основаны на переменной PATH. Теперь, когда вы знаете, что такое переменные и как находятся исполняемые файлы команд, вы не будете так озадачены появлением на экране ошибки «Команда не найдена».
Ознакомьтесь со статьями по теме Включить системного администратора
Изображение
Команды устранения неполадок Linux: 4 инструмента для решения проблем с разрешением DNS-имен
Узнайте, что мешает вам получить доступ к серверу, принтеру или другому сетевому ресурсу с помощью этих четырех команд устранения неполадок Linux.
Изображение
Устранение неполадок и мониторинг производительности системы Linux с помощью nmon
nmon объединяет данные о производительности в режиме реального времени и исторические данные из различных системных ресурсов, что делает его отличным инструментом для вашего системного администратора.
Изображение
8 основных команд навигации по файлам Linux для новых пользователей
Обойти систему Linux несложно, если вы знаете эти основные команды.
Темы: линукс Устранение неполадок
Устранение неполадок синхронизации каталога пользователей Code42
- Последнее обновление
- Сохранить как PDF
Обзор
В этой статье приведены рекомендации по устранению неполадок с синхронизацией каталогов пользователей Code42.
Используйте приложение Code42 в Azure AD для подготовки
Если вы используете Active Directory в качестве службы каталогов, вам следует использовать приложение Code42 в Azure AD для подготовки пользователей к Code42 вместо Code42 User Directory Sync. Дополнительные сведения см. в статье Как подготовить пользователей к Code42 из Azure AD.
Соображения
- Если вам нужна помощь с синхронизацией каталога пользователей Code42, обратитесь за поддержкой к нашим специалистам по работе с клиентами или обратитесь к своему менеджеру по работе с клиентами (CSM), чтобы привлечь команду профессиональных услуг.
- Чтобы выполнить устранение неполадок, как описано в этой статье, у вас должны быть права доступа и управления службой каталогов, используемой в вашей компании (например, Active Directory).
Прежде чем начать
- Дважды проверьте, правильно ли вы указали:
- Инструмент синхронизации каталогов пользователей Code42 установлен на выделенный хост-компьютер или виртуальную машину.
- Настроенные сценарии для управления синхронизацией пользователей из вашей службы каталогов в вашей среде Code42.
- Настроенные свойства в файле config.properties для управления процессом синхронизации.
- Инструмент синхронизации каталогов пользователей Code42 установлен на выделенный хост-компьютер или виртуальную машину.
- Внимательно просмотрите файлы журналов в каталоге \logs, где установлен инструмент Code42 User Directory Sync.
Контрольные списки для устранения неполадок
Используйте следующие контрольные списки для устранения проблем с синхронизацией каталогов пользователей Code42.
Установка и конфигурация
Если у вас возникли проблемы с настройкой синхронизации каталогов пользователей Code42 в первый раз или вы подозреваете, что проблемы связаны с конфигурацией, используйте контрольный список ниже, чтобы помочь вам устранить их.
Инструкции по настройке см. в разделе Настройка синхронизации каталога пользователей Code42.
Используйте поддерживаемую версию Microsoft Active Directory
Синхронизация каталога пользователей Code42 поддерживается для использования только с версиями Microsoft Active Directory с 2003 по 2019.
Убедитесь, что вы выполняете развертывание на выделенном сервере. сервер без операционной системы или виртуальная машина. Другие службы, запущенные на хосте, могут помешать синхронизации.
Убедитесь, что свойство ldap.baseurl не указывает на балансировщик нагрузки.0039
ldap.baseurl свойство. Инструмент User Directory Sync использует пейджинг LDAP для получения больших результатов поиска, поэтому балансировщики нагрузки могут привести к тому, что выгружаемый запрос будет направлен на другой сервер каталогов, что не поддерживается реализацией пейджинга Active Directory. Чтобы решить эту проблему, измените значение свойства в файле configuration.properties.Убедитесь, что свойство ldap.baseurl использует правильный порт.0039
ldap.baseurl вместе с адресом вашего сервера службы каталогов, а для обеспечения доступа к порту требуется правило брандмауэра. Если вы не указали номер порта, порт по умолчанию – 389, а в случае Secure LDAP – порт 636.
Если у вас возникли проблемы с доступом к порту, убедитесь, что правила брандмауэра настроены правильно, и укажите правильный номер порта в ldap.baseurl в файле configuration.properties.Убедитесь, что имя пользователя для привязки LDAP указано в правильном формате
Когда вы установили инструмент синхронизации каталогов пользователей Code42, вы ввели имя пользователя авторизованной учетной записи службы для вашего сервера каталогов в свойство конфигурации ldap.bind.user. Необходимо использовать формат [email protected] , домен\пользователь или "cn=user,dc=domain,dc=com" (значение по умолчанию – «cn=read-only-admin» ). Если формат имени пользователя не соответствует настройкам вашего сервера каталогов, может произойти сбой авторизации LDAP. Мы предлагаем настроить формат [email protected] для сервисных аккаунтов в файле config.properties.
Синхронизация
Если у вас возникли проблемы с синхронизацией, используйте контрольный список ниже, чтобы устранить их.
Инструкции по синхронизации см. в разделе Запуск синхронизации для Code42 User Directory Sync.
Убедитесь, что пароли верны
При установке инструмента синхронизации каталогов пользователей Code42 вам может быть предложено ввести пользователя привязки LDAP и пароли пользователя Code42 SCIM. Возможно, вы также обновили эти пароли, запустив --ldap-bind-password или --scim-password флаги в командной строке.
Затем эти пароли шифруются и сохраняются в файле config.properties в свойствах ldap.bind.password и scim.password соответственно. Если пароли не заданы с помощью командной строки или не являются правильными паролями для пользователя LDAP или SCIM, синхронизация завершается сбоем.
Ниже приведены некоторые сообщения об ошибках, которые могут появиться, если эти пароли неверны:
Пароли могут быть неправильными по многим причинам, например:
- Вы переместили инструмент Code42 User Directory Sync на новый хост.
- Вы перешли на нового пользователя для привязки LDAP или изменили его пароль.
- Вы повторно создали пароль для пользователя SCIM.
- Вы попытались запустить синхронизацию каталогов пользователей под другим пользователем в Windows.
Чтобы исправить неправильные пароли, перенастройте пароли с помощью следующих команд:
- Пароль привязки LDAP:
C42UserDirectorySync --ldap-bind-password - Пароль SCIM:
C42UserDirectorySync.bat --scim-password
Пароли шифруются особым образом
Code42 User Directory Sync шифрует пароли, вводимые через командную строку. Затем зашифрованный пароль сохраняется в файле config.properties. Механизм шифрования этих паролей зависит от операционной системы:
- Шифрование специфично для пользователя в Windows
. Чтобы успешно расшифровать пароль, учетная запись, используемая в командной строке для установки пароля, также должна использоваться при запуске Code42 User Directory Sync вручную или в качестве запланированной задачи. - Шифрование специфично для машины в Linux
Если инструмент Code42 User Directory Sync перенесен на другой хост, новый хост не сможет расшифровать сохраненный пароль, и вы должны сбросить пароль.
Дополнительные сведения см. в руководстве по управлению паролями в разделе Настройка синхронизации каталога пользователей Code42.
Проверьте журнал синхронизации, чтобы убедиться, что пользователи подготовлены должным образом.
При запуске синхронизации с помощью Code42 User Directory Sync обновления, внесенные в вашу среду Code42 в результате подготовки, отображаются в журнале синхронизации. Проверьте журнал, чтобы убедиться, что пользователи должным образом подготовлены к Code42. В журнале синхронизации отображаются результаты синхронизации каталога пользователей Code42, а также поставщики обеспечения SCIM.
Журнал синхронизации отличается от файлов в каталоге \logs, где установлен инструмент синхронизации каталогов пользователей Code42.
Файлы в каталоге \logs записывают процессы Code42 User Directory Sync. Информацию об ошибках и кодах выхода, которые могут отображаться в файлах журналов, см. в разделе Журналы ниже.
Убедитесь, что у вашего пользователя привязки LDAP есть правильные разрешения
Если у пользователя привязки LDAP, определенного свойством конфигурации ldap.bind.user, нет правильных разрешений на вашем сервере Active Directory, могут возникнуть следующие проблемы:
- Инструмент Code42 User Directory Sync не находит большое количество пользователей.
- Атрибуты пользователя отсутствуют.
- В журналах указана эта ошибка для нескольких пользователей: Отметка времени последнего изменения равна нулю .
Пользователь привязки LDAP должен иметь разрешения в Active Directory для просмотра следующих компонентов:
- База поиска LDAP и связанные с ней подразделения
- Группы безопасности пользователей
- атрибут whenChanged
- Все атрибуты, сопоставленные с полями в конфигурации и используемые в сценариях (включая почту, userPrincipalName и sAMAccountName)
Убедитесь, что пользователь, запускающий синхронизацию, имеет правильные разрешения.
Вы можете выполнить синхронизацию либо вручную, либо с помощью запланированной службы. В любом случае есть пользователь, который выполняет синхронизацию, и этот пользователь должен иметь правильные разрешения для запуска синхронизации. Если они этого не делают, синхронизация завершается с ошибкой 9.0039 Доступ запрещен сообщение об ошибке или другие проблемы.
Пользователь, запускающий синхронизацию, должен иметь следующие разрешения:
- Задание вручную или по расписанию: разрешение на вход на сервер, на котором размещен инструмент Code42 User Directory Sync .
- Запланированное задание: разрешение на вход в систему в качестве пакетного задания для запуска запланированного задания
Запустить полную синхронизацию
Обычно при запуске синхронизации выполняется добавочный запуск, который ищет только изменения, внесенные с момента последней синхронизации. Однако при добавочной синхронизации могут возникать проблемы с согласованием изменений с момента последнего запуска.
Если у вас возникли проблемы с добавочной синхронизацией, обновите процесс синхронизации, запустив тестовую полную синхронизацию в пробном режиме:
C42UserDirectorySync --full-sync
пробный тест, запуск полной синхронизации:
C42UserDirectorySync --sync-now --full-sync
Убедитесь в правильности синтаксиса JavaScript в сценариях Active, Org и Role
Когда вы настроили синхронизацию каталогов пользователей Code42, вы настроили сценарии для управления тем, как синхронизация переводит пользователей из вашей службы каталогов в вашу среду Code42. Эти скрипты используют JavaScript. Проблемы с этими сценариями являются очень распространенным источником проблем с синхронизацией. Внимательно проверьте свои скрипты, чтобы убедиться, что ошибки JavaScript не являются основной причиной.
Чтобы определить, почему ваши сценарии не работают, создайте резервные копии сценариев и создайте новые тестовые сценарии, указывающие на конкретного пользователя и содержащие минимальную требуемую обработку.
Затем запустите синхронизацию в тестовом режиме, чтобы опробовать тестовые сценарии. Если тестовые сценарии выполняются, добавляйте другие нужные элементы, пока не обнаружите возможные проблемы со сценариями.
Не пытайтесь инициализировать пользователей во вложенных группах путем инициализации только родительской группы
Если вы инициализируете родительскую группу, инициализируются пользователи в этой группе, но не пользователи во вложенных группах. Чтобы добавить пользователей во вложенные группы, необходимо включить каждую вложенную группу в фильтрацию поиска сценария LDAP.
Отправьте файлы в службу поддержки
Если вам нужна помощь с синхронизацией каталогов пользователей Code42, обратитесь за поддержкой к нашим специалистам по работе с клиентами или обратитесь к своему менеджеру по работе с клиентами (CSM), чтобы привлечь команду профессиональных услуг. Предоставьте копии следующих документов:
- Содержимое папки \logs из места, где установлен инструмент синхронизации каталогов пользователей Code42 .
- Ваши активные, организационные и ролевые сценарии
- Ваш файл config.properties
- Файл базы данных c42db.mv.db из каталога, в котором установлен инструмент синхронизации каталогов пользователей
Журналы
Чтобы просмотреть журналы синхронизации, перейдите в каталог \logs в том месте, где установлен инструмент Code42 User Directory Sync.
Файлы в каталоге \logs записывают процессы синхронизации пользовательского каталога Code42 и отделены от журнала синхронизации, в котором отображаются обновления, внесенные в вашу среду Code42 после подготовки.
Общие сообщения об ошибках
Ниже приведены некоторые из наиболее распространенных сообщений об ошибках, которые могут появляться в журналах при выполнении синхронизации.
| Сообщение об ошибке | Причина | Решение |
| Доступ запрещен | Пользователь, выполняющий синхронизацию, не имеет необходимых прав доступа к файлам журналов. | Убедитесь, что пользователь службы правильно настроен для разрешений на чтение и запись в каталоге, в котором установлен инструмент синхронизации каталогов пользователей Code42. |
| Служба каталогов не вернула ни одного пользователя при проверке отсутствующих пользователей. Пропуск шага деактивации. | Возникла проблема при проверке отсутствующих пользователей в службе каталогов, в результате чего пропускается деактивация в Code42 пользователей, которых больше не видно в каталоге. | Убедитесь, что:
|
| Уникальный индекс или нарушение первичного ключа | Эта ошибка возникает во время синхронизации после обновления с Code42 User Directory Sync версии 1.
|
|
| LDAP: код ошибки 49*, данные 52e* | Имя пользователя и пароль не принимаются сервером LDAP. Это может быть связано с тем, что значения введены неправильно, содержат символы или имя пользователя не читается (из-за пробелов или неправильного указания DN). | Настройте свойство ldap.bind.user в файле config.properties как полное доменное имя учетной записи пользователя службы LDAP. Вам также может понадобиться включить в свойство домен с именем пользователя, например:
Если вы по-прежнему получаете сообщение об ошибке после попытки использовать это решение, убедитесь, что пароль учетной записи службы LDAP не содержит ни одного из следующих символов: |
| Служба LDAP, служба SCIM не удалось запустить | Не удалось одновременно запустить службы SCIM и LDAP.
Обычно это происходит после обновления, потому что:
| Убедитесь, что пароли SCIM и LDAP настроены с параметрами --scim-password и --ldap-bind-password , поскольку шифрование зависит от пользователя в Windows и зависит от компьютера в Linux. |
java.security.cert.CertificateException: нет соответствия альтернативного DNS-имени субъекта | В вашем SSL-сертификате нет имени хоста контроллера домена. Обычно эта ошибка появляется в журнале при начальной синхронизации. | Обновите внутренний сертификат, указав имя хоста контроллера домена в SAN.
Если это невозможно, настройте синхронизацию на игнорирование этой ошибки, добавив |
| Не удается получить доступ к файлу JAR | Инструмент синхронизации каталогов пользователей Code42 установлен в каталоге с пробелами в пути к файлу. | Обновите до Code42 User Directory Sync версии 1.3.0 или более поздней. |
1.0 или более ранней. Причина в том, что UID пользователя ( 
Обычно это происходит после обновления до новой версии Code42 User Directory Sync.
Коды выхода
Ниже приведены коды выхода, которые появляются, когда синхронизация завершается без завершения.
Код выхода |
Сообщение об ошибке |
Причина | Решение |
|---|---|---|---|
| 1 | Отображается сообщение об ошибке, относящееся к сбою проверки. | Недопустимые аргументы | Дважды проверьте правильность ввода и форматирования аргументов, которые вы использовали с исполняемым файлом C42UserDirectorySync . |
| 2 | Ошибка с кодом выхода 2.
| Возникла проблема с URL-адресами SCIM и LDAP, именами пользователей или паролями. | Убедитесь, что имена пользователей и URL-адреса заданы в файле config.properties. Также убедитесь, что пароли для пользователей SCIM и LDAP настроены с помощью
Если вы все еще сталкиваетесь с проблемами, запустите синхронизацию с параметром |
| 3 | Ошибка с кодом выхода 3.
| Недопустимое базовое DN или пароли не могут быть правильно расшифрованы. | Убедитесь, что базовое DN существует и правильно задано в свойстве |
| 4 | Ошибка с кодом выхода 4. | Недопустимая логика в активном сценарии, сценарии организации или роли. | Убедитесь, что сценарии правильно введены и отформатированы. |
Похожие темы
- Наверх
- Была ли эта статья полезной?
- Тип изделия
- Тема
- Доступно в CrashPlan Cloud
- №
- Доступно в других/локальных тарифных планах
- №
- Доступно в версиях Incydr Basic и Advanced
- Да
- Доступно в Incydr Pro, Enterprise и Horizon
- Да
- Доступно в Instructor
- №
- Доступно в CrashPlan для малого бизнеса
- №
- Метки
- Лазурь
- подготовка
- синхронизация
- Синхронизация каталога пользователя
Directory Sync — Устранение неполадок и часто задаваемые вопросы
Обратная связь
Была ли эта страница полезной? Дайте нам знать, как мы можем сделать это лучше.
Обязательно ознакомьтесь с этими часто задаваемыми вопросами и ответами, прежде чем использовать синхронизацию Duo с Azure, Active Directory или OpenLDAP.
Как часто выполняется синхронизация каталогов?
Синхронизация каталога Duo выполняется автоматически два раза в день с 12-часовыми интервалами, выбранными случайным образом при создании синхронизации.
Синхронизация по расписанию выполнялась каждые 24 часа до 10 марта 2022 г. Duo начала обновлять существующие синхронизации каталогов в соответствии с новым расписанием два раза в день, начиная с 10 марта, при этом все расписания синхронизации клиентов были обновлены к 17 марта.
Вы можете запустить полную синхронизацию в любое время, посетив страницу свойств синхронизации вашего каталога в панели администратора Duo и нажав кнопку Кнопка «Синхронизировать сейчас» .
Синхронизируйте отдельного пользователя из того же каталога sync, введя значение его имени пользователя из исходного каталога в поле Sync Individual Users на странице свойств синхронизации каталога, а затем нажав Sync User .
Должна ли служба Duo иметь возможность связываться с моими локальными серверами каталогов?
Нет, службе Duo не нужно связываться с вашими серверами каталогов. Когда вы настраиваете синхронизацию Active Directory или OpenLDAP, прокси-сервер аутентификации Duo, который вы настраиваете, связывается с вашим сервером каталогов для поиска информации о пользователях и группах, а также устанавливает исходящее соединение со службой Duo для отправки информации о пользователе и группе для выполнения синхронизации.
Можно ли использовать прокси-сервер аутентификации Linux Duo для синхронизации с Active Directory?
Да, вы можете использовать сервер Linux для синхронизации доменов Active Directory, если вы укажете NTLMv1, NTLMv2 или обычную аутентификацию при настройке синхронизации каталогов. Дополнительные сведения см. в инструкциях по синхронизации AD.
Можно ли использовать один прокси-сервер Duo Authentication Proxy для синхронизации нескольких каталогов?
Да.
У вас должен быть установлен Authentication Proxy версии 5.2.0 или более поздней версии. Чтобы запустить несколько синхронизаций через один прокси-сервер, все синхронизации должны быть настроены для одной учетной записи клиента Duo, т. е. Значение api_host для всех синхронизаций каталогов одинаково.
Вот пример authproxy.cfg для синхронизации нескольких каталогов с использованием встроенной (SSPI) проверки подлинности. Обратите внимание, что ключ интеграции ( ikey ) отличается, но хост API один и тот же в обоих разделах [cloud] ; это отражает требование о том, что несколько синхронизаций должны выполняться для одной учетной записи клиента Duo:
[облако] ikey=DIABCDEFGHIJKLMNOPQR skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX api_host=api-12345678.duosecurity.com [облако2] ikey=DISTUVWXYZABCDEFGHIJ skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX api_host=api-12345678.duosecurity.com
Версии Authentication Proxy до v5.
1.1 могут запускать синхронизацию только одного каталога. Добавление более одного раздела [cloud] в authproxy.cfg предотвращает запуск прокси-сервиса из-за недопустимой конфигурации.
Можно ли импортировать пользователей и группы из служб Active Directory облегченного доступа к каталогам?
Да, Duo поддерживает импорт пользователей и групп из служб Active Directory облегченного доступа к каталогам (AD LDS) через синхронизацию Active Directory. Импортированные группы должны быть локальными для AD LDS, но пользователи могут быть либо локальными для AD LDS, либо проксированными из базового домена AD (с objectClass=userProxyFull ).
Какие атрибуты Active Directory синхронизируются с Duo?
В следующей таблице перечислены атрибуты Active Directory по умолчанию, синхронизированные с Duo, вместе с соответствующими сопоставлениями атрибутов Duo:
| Атрибут AD | Пара атрибутов |
|---|---|
| Китайский | Имя группы |
| sAMAccountName | Имя пользователя |
| displayName | Полное имя пользователя |
| почта | Адрес электронной почты пользователя |
| Номер телефона* | Телефон (тип Mobile, платформа Generic Smartphone) |
| мобильный* | Телефон (тип Mobile, платформа Generic Smartphone) |
| информация** | Примечания |
*Не синхронизируется, если не установлен флажок «Импортировать телефоны».
** Не синхронизируется, если не установлен флажок «Импорт заметок».
Атрибуты пользователей Active Directory, синхронизированные с Duo, можно изменить с помощью сопоставления настраиваемых атрибутов.
Псевдонимы пользователей не импортируются, если вы не укажете исходный атрибут; атрибутов псевдонима по умолчанию нет. Значения атрибута псевдонима имени пользователя должны быть уникальными во всем синхронизируемом каталоге. Если процесс синхронизации обнаруживает значение псевдонима, которое уже привязано к другому пользователю Duo, то он пропускает обновление свойств пользователя с дублированным значением псевдонима (но обновляет членство в группах этого пользователя).
Импортированные значения нельзя изменить из панели администратора Duo. Чтобы обновить любое из импортированных значений, измените значение исходного атрибута в своем каталоге и выполните синхронизацию. См. Как повлияет на синхронизированных пользователей изменение значений определенных атрибутов пользователей в Active Directory? для получения дополнительной информации об обновлении синхронизированных атрибутов.
Вы можете редактировать свойства пользователя, которые не импортированы из исходного каталога, но если вы добавите эти атрибуты в синхронизацию позже, информация, которую вы добавили вручную, будет перезаписана информацией, импортированной синхронизацией AD.
Какие атрибуты OpenLDAP синхронизируются с Duo?
Нет исходных атрибутов по умолчанию для синхронизации OpenLDAP. Вы должны указать, какой атрибут каталога использовать для каждого пользователя Duo и связанного с ним свойства телефона.
В следующей таблице перечислены свойства Duo, которые можно импортировать из атрибутов OpenLDAP:
| Дуэт Атрибут | | —— | —— | | Название группы | | Имя пользователя | | Полное имя пользователя | | Адрес электронной почты пользователя | | Телефон 1* (тип Mobile, платформа Generic Smartphone) | | Телефон 2* (тип Mobile, платформа Generic Smartphone) | | Примечания** |
*Не синхронизируется, если не установлен флажок «Импортировать телефоны» и не указан исходный атрибут.
** Не синхронизируется, если не установлен флажок «Импортировать заметки» и не указан исходный атрибут.
Псевдонимы пользователей не импортируются, если вы не укажете исходный атрибут. Значения атрибута псевдонима имени пользователя должны быть уникальными во всем синхронизируемом каталоге. Если процесс синхронизации обнаруживает значение псевдонима, которое уже привязано к другому пользователю Duo, то он пропускает обновление свойств пользователя с дублированным значением псевдонима (но обновляет членство в группах этого пользователя).
Импортированные значения нельзя изменить из панели администратора Duo. Чтобы обновить любое из импортированных значений, измените значение исходного атрибута в своем каталоге и выполните синхронизацию. См. Как повлияет на синхронизированных пользователей изменение значений определенных атрибутов пользователей в Active Directory? для получения дополнительной информации об обновлении синхронизированных атрибутов.
Вы можете редактировать свойства пользователя, которые не импортированы из исходного каталога, но если вы добавите эти атрибуты в синхронизацию позже, информация, которую вы добавили вручную, будет перезаписана информацией, импортированной синхронизацией OpenLDAP.
Какие атрибуты каталога Azure синхронизируются с Duo?
В следующей таблице перечислены атрибуты Azure Active Directory по умолчанию, синхронизированные с Duo, а также соответствующие им сопоставления атрибутов Duo:
| Атрибут Azure | Пара атрибутов |
|---|---|
| Китайский | Имя группы |
| userPrincipalName | Имя пользователя* |
| отображаемое имя | Полное имя пользователя |
| почта | Адрес электронной почты пользователя |
| рабочий телефон** | Телефон (тип Mobile, платформа Generic Smartphone) |
| Мобильный телефон** | Телефон (тип Mobile, платформа Generic Smartphone) |
* Имя пользователя Duo создается как полное userPrincipalName («narroway@example.
onmicrosoft.com») или как уникальное имя пользователя без информации о домене («narroway») в зависимости от того, установлен ли флажок «Нормализовать имена пользователей».
** Не синхронизируется, если не установлен флажок «Импортировать телефоны».
Атрибуты Azure AD, синхронизированные с Duo, можно изменить в конфигурации синхронизированных атрибутов каталога.
Псевдонимы и заметки пользователей не импортируются, если вы не укажете исходный атрибут; атрибутов псевдонима по умолчанию нет. Значения атрибута псевдонима имени пользователя должны быть уникальными во всем синхронизируемом каталоге. Если процесс синхронизации обнаруживает значение псевдонима, которое уже привязано к другому пользователю Duo, то он пропускает обновление свойств пользователя с дублированным значением псевдонима (но обновляет членство в группах этого пользователя)
Импортированные значения нельзя изменить из панели администратора Duo. Чтобы обновить любое из импортированных значений, измените значение исходного атрибута в своем каталоге и выполните синхронизацию.
См. Как повлияет на синхронизированных пользователей изменение значений определенных атрибутов пользователей в Azure? для получения дополнительной информации об обновлении синхронизированных атрибутов. Вы можете редактировать свойства пользователя, которые не импортированы из исходного каталога, но если вы добавите эти атрибуты в синхронизацию позже, информация, которую вы добавили вручную, будет перезаписана информацией, импортированной с помощью синхронизации Azure.
Можно ли настроить атрибуты Azure, импортированные в Duo?
Да, при создании новой синхронизации каталога Azure AD вы можете изменить синхронизируемые атрибуты. Обратите внимание, что вы не можете изменить исходный атрибут имени пользователя Duo после запуска первой синхронизации Azure, но вы можете указать до четырех исходных атрибутов для псевдонимов имен пользователей.
Что происходит, когда существующие пользователи Duo синхронизируются с Azure, Active Directory или OpenLDAP?
Пользователя Duo нельзя удалить вручную из панели администратора, с помощью Admin API или с помощью импорта CSV.
Атрибуты пользователя, импортированные из исходного каталога, становятся доступными только для чтения и могут быть обновлены только в исходном каталоге.
Синхронизация каталогов Active Directory, OpenLDAP и Azure AD перезаписывает информацию для любого обязательного или указанного необязательного атрибута, такого как полное имя, адрес электронной почты и псевдонимы имен пользователей, для любого пользователя Duo с совпадающим именем пользователя во внешнем каталоге. Синхронизация не изменяет и не удаляет информацию для атрибутов, которые не настроены в синхронизации. Кроме того, вы можете редактировать значения дополнительных настраиваемых атрибутов, не настроенных в вашей синхронизации (таких как псевдонимы и заметки), вручную из панели администратора, программно через Admin API или путем импорта CSV.
Все телефоны или токены, которые были подключены к пользователю Duo до синхронизации каталога, остаются нетронутыми. Телефонные номера, импортированные из исходного каталога, привязываются к пользователю как дополнительные телефоны.
Членство пользователя в группе Duo обновляется, чтобы соответствовать членству пользователя в группе в исходном каталоге. Группы, управляемые синхронизацией каталогов, идентифицируются как таковые при просмотре (в описании группы указаны тип и имя синхронизации, управляющей группой, т. е. из Azure Sync «Acme AAD» 9).0016). Пользователя нельзя вручную добавить в какую-либо группу из панели администратора Duo, с помощью Admin API или с помощью импорта CSV.
Параметры политики и разрешенный доступ к группам на основе предыдущего членства пользователя в группе Duo больше не применяются, если синхронизация удаляет пользователя из целевых групп политики. Примените политики Duo и конфигурацию разрешенных групп к группам, управляемым синхронизацией каталогов, чтобы сохранить конфигурацию, ранее примененную к пользователям до синхронизации.
Могу ли я синхронизировать несколько каталогов в Duo?
Да, вы можете настроить несколько синхронизаций с разными исходными каталогами любого типа и импортировать всех этих пользователей и группы в Duo.
Если вы сделаете это, убедитесь, что пользователи, которых вы выбираете для импорта, имеют уникальные имена.
Если одно и то же имя пользователя существует в двух разных источниках каталога синхронизации, при каждой синхронизации сведения для этого пользователя будут перезаписываться информацией из исходного каталога этой синхронизации. Duo не будет объединять информацию из нескольких исходных каталогов в данные одного пользователя.
Если вы настроили синхронизацию AD и Azure для импорта группы с одинаковым именем, например «Пользователи Duo», то при каждой синхронизации будет создана группа «Пользователи Duo» в Duo, указанная в описании группы. с помощью которой синхронизация управляет им. Каждая синхронизация заполняет группу, которой она управляет, участниками из этого исходного каталога, поэтому группа «Duo Users», управляемая Azure sync, будет содержать только участников, синхронизированных из этого каталога Azure, а группа «Duo Users», управляемая AD sync, будет содержать только участники синхронизируются из этого каталога AD.
Не поддерживается объединение пользователей из разных исходных каталогов в одну группу Duo.
Если вы создадите более одной синхронизации каталогов с одним и тем же исходным каталогом и настроите их для синхронизации одной и той же группы из этого каталога, то при каждом запуске синхронизации он «примет на себя» управление этой группой и удалит ее. из другой конфигурации синхронизации. Мы не рекомендуем это.
Почему пользователи Active Directory не импортируются при запуске синхронизации каталогов?
Импорт пользователей с помощью синхронизации AD может завершиться ошибкой по нескольким возможным причинам, даже если статус каталога «Подключен»:
Базовое DN , используемое для настройки синхронизации Active Directory, не включает никаких учетных записей пользователей. Указанное базовое DN должно быть на уровне выше всех организационных единиц или контейнеров, содержащих пользователей и группы, которые вы хотите синхронизировать с Duo.
Возможно, вам будет проще установить его на верхний уровень вашего домена.При синхронизации групп через глобальный каталог, которые находятся в дочернем домене многодоменного леса, установите для дочерней группы AD значение Универсальный .
Группа пользователей домена (или любая группа, установленная в качестве основной группы для одного или нескольких пользователей) не может использоваться синхронизацией каталогов для импорта пользователей. Создайте другую группу домена, которая не является основной группой пользователя для использования с синхронизацией.
Учетная запись компьютера прокси-сервера аутентификации не имеет достаточных привилегий для запроса Active Directory и получения атрибутов пользователя. Попробуйте изменить параметр «Войти как:» в «Прокси-службе аутентификации Duo Security», чтобы использовать учетную запись службы домена. Вы можете сделать это с Консоль управления службами (services.
msc).- Просмотрите свойства службы «Duo Security Authentication Proxy Service» и перейдите на вкладку Log on .
- Щелкните Эта учетная запись и введите имя пользователя и пароль учетной записи службы AD.
- Щелкните OK .
- Запустите службу Duo Security Authentication Proxy, чтобы новые права вступили в силу.
Возможно, вам будет проще установить его на верхний уровень вашего домена.
msc).Используемая вами учетная запись обычно не требует прав администратора домена, но ей требуется как минимум право «Вход в качестве службы» на прокси-сервере аутентификации и доступ для чтения к Active Directory.
ВАЖНО : При обновлении программного обеспечения Duo Security Authentication Proxy до более новой версии служба снова будет работать как «Локальная система». Повторите описанный выше процесс, чтобы снова изменить службу на использование учетной записи службы именованного домена.
Почему пользователи OpenLDAP не импортируются при запуске синхронизации каталогов?
Импорт пользователей через синхронизацию OpenLDAP может завершиться ошибкой по нескольким возможным причинам, даже если каталог находится в состоянии «Подключено»:
базовое DN , используемое для настройки синхронизации OpenLDAP, не включает никаких учетных записей пользователей.
Указанное базовое DN должно быть на уровне выше всех организационных единиц или контейнеров, содержащих пользователей и группы, которые вы хотите синхронизировать с Duo. Возможно, вам будет проще установить его на верхний уровень вашего домена.service_account_username , указанный для аутентификации NTLMv1, NTLMv2 или Plain, не имеет достаточных привилегий для привязки к OpenLDAP и поиска информации о пользователе и группе.
Указанное базовое DN должно быть на уровне выше всех организационных единиц или контейнеров, содержащих пользователей и группы, которые вы хотите синхронизировать с Duo. Возможно, вам будет проще установить его на верхний уровень вашего домена.Как повлияет на синхронизированных пользователей изменение значений определенных атрибутов пользователя в Azure?
Изменение значений синхронизированных атрибутов в Azure Active Directory (AAD) влияет на импортированных пользователей следующим образом:
- При изменении адреса электронной почты, отображаемого имени или телефонных номеров пользователя эти новые значения импортируются пользователю Duo. при следующей синхронизации.
- Если значение имени пользователя Azure UPN, импортированное в Duo, изменяется, имя пользователя Duo обновляется соответствующим образом (в соответствии с параметром «Нормализовать имена пользователей»).
- Если вы настроили исходный атрибут имени пользователя, указав что-то другое, кроме имени участника-пользователя, и значение для этого, импортированного в Duo, изменилось, то новый пользователь Duo создается с этим именем пользователя, а существующий пользователь Duo с предыдущим именем пользователя Azure AD помечается для удаления . Устройства не переходят автоматически со старого имени пользователя Duo на новое, поэтому телефоны и токены необходимо будет перенести или повторно зарегистрировать.
Вы можете столкнуться с проблемами, если попытаетесь поменять местами имена пользователей между двумя пользователями Azure одновременно, например изменить «[email protected]» на «[email protected]», а также изменить исходный « bob» учетная запись Azure AD на «joe». Мы рекомендуем изменить исходные имена пользователей Azure на что-то новое и уникальное, чтобы избежать конфликта переименования в Duo.
Как повлияет на синхронизированных пользователей изменение значений определенных атрибутов пользователя в Active Directory?
Изменение значений синхронизированных атрибутов в Active Directory (AD) имеет следующие последствия для импортированных пользователей:
- Если вы измените адрес электронной почты, отображаемое имя, номер телефона или заметки пользователя, эти новые значения будут импортированы в Duo. пользователя при следующей синхронизации.
- Если значение имени пользователя AD, импортированное в Duo, изменяется (по умолчанию — sAMAccountName), имя пользователя Duo обновляется соответствующим образом.
пользователя при следующей синхронизации.Как повлияет на синхронизированных пользователей изменение значений некоторых атрибутов пользователя в OpenLDAP?
Изменение значений синхронизированных атрибутов в OpenLDAP имеет следующие последствия для импортированных пользователей:
- Если изменить значение атрибутов, указанных вами для адреса электронной почты, отображаемого имени, номера телефона или заметок, эти новые значения импортированы пользователю Duo при следующей синхронизации.
- Если значение имени пользователя OpenLDAP, импортированное в Duo, изменяется, имя пользователя Duo обновляется соответствующим образом.
Могу ли я изменить значения атрибутов для синхронизированных пользователей из Duo?
Информация о пользователе синхронизирована из внешнего каталога Azure Active Directory, локального каталога Active Directory или каталога OpenLDAP, который нельзя редактировать в Duo.
Сюда входят имя пользователя, псевдонимы пользователей (если вы импортировали псевдонимы), полное имя, адрес электронной почты, номера телефонов (если вы импортировали телефоны), заметки (если вы импортировали заметки) и членство в группах. Изменения этих пользовательских атрибутов следует вносить в исходный каталог, а затем синхронизировать с Duo.
Синхронизация каталога позволяет редактировать значения дополнительных настраиваемых атрибутов, не настроенных в вашей синхронизации (от alias1 до alias4 и примечания ). Если вы позже настроите эти атрибуты в своей синхронизации, импортированные значения перезапишут те, которые вы добавили вручную. Подробные примеры см. в разделах Обновление синхронизированной информации о пользователе (Azure), Обновление синхронизированной информации о пользователе (AD) или Обновление синхронизированной информации о пользователе (OpenLDAP).
К синхронизированным пользователям можно прикрепить аппаратные токены и дополнительные телефоны.
Они сохраняются после следующей синхронизации каталога.
Могу ли я изменить название группы, синхронизированной с Duo?
Чтобы изменить имя группы, управляемой синхронизацией каталогов, необходимо переименовать группу в исходном каталоге. Имя группы обновится в Duo, когда запустится следующая запланированная синхронизация или когда администратор Duo посетит страницу этого каталога в панели администратора Duo (в зависимости от того, что произойдет раньше).
Можно ли изменить атрибут имени пользователя, синхронизируемый из Active Directory, Azure или OpenLDAP после первоначальной синхронизации?
Нет, атрибут имени пользователя можно изменить только перед первой синхронизацией каталога. После синхронизации каталога поле имени пользователя будет отключено. Единственный способ изменить исходный атрибут имени пользователя Duo — создать новый каталог, используя нужный атрибут имени пользователя. Это может повлиять на число ваших лицензированных пользователей и повлиять на аутентификацию пользователей или помешать ей.
Обратитесь в службу поддержки Duo для получения дополнительной информации и рекомендаций.
Могу ли я изменить атрибут(ы) псевдонима имени пользователя, синхронизированные с Active Directory, Azure или OpenLDAP после первоначальной синхронизации?
Да, вы можете изменить исходный атрибут для псевдонимов с первого по четвертый в любое время. Новые значения, импортированные при следующей синхронизации , перезаписывают предыдущие значения псевдонимов. Обязательно выберите исходные атрибуты для псевдонимов, которые имеют уникальные значения в вашем каталоге.
Можно ли изменить формат имени пользователя UPN, синхронизированного с Azure после первоначальной синхронизации?
Да, если вы импортировали userPrincipalName из Azure в качестве имени пользователя Duo, вы можете включить или отключить параметр «Нормализовать имена пользователей» после выполнения начальной синхронизации. Имена пользователей Duo будут обновлены путем добавления или удаления суффикса домена соответственно.
Можно ли редактировать атрибуты синхронизированных телефонов?
Да, вы можете изменить имя, тип и платформу устройства, а также активировать смартфон для Duo Mobile. Однако вы не можете изменить номер телефона или добавочный номер, пока телефон находится под управлением Directory Sync.
Если вы отключите параметр синхронизации телефонов в конфигурации синхронизации каталога, то синхронизация каталога Duo больше не будет добавлять или обновлять телефоны информацией из исходного каталога. Ранее синхронизированные телефоны становятся неуправляемыми при синхронизации, и вы можете изменить номер телефона или добавочный номер или удалить телефон из Duo.
Можно ли редактировать атрибуты синхронизированных групп?
Нет, атрибуты группы нельзя редактировать в Duo после синхронизации группы. Duo импортирует имя группы, а также членов каждой группы из внешнего каталога. Пользователей Duo нельзя удалить из синхронизированной группы, а несинхронизированных пользователей Duo нельзя добавить в синхронизированную группу любым способом, кроме синхронизации каталога.
При просмотре информации о группе вы увидите от AD Sync » имя синхронизации «, добавленное к имени группы или в качестве описания группы.
Чтобы изменить имя синхронизируемой группы, измените имя в исходном каталоге. Duo обновит имя группы до нового значения в следующий раз, когда выполняется синхронизация или когда администратор просматривает страницу сведений о каталоге в панели администратора Duo (в зависимости от того, что произойдет раньше). изменяет статус для всех членов этой группы.Вы также можете выбрать, какие методы проверки подлинности доступны для членов этой группы.
Дополнительные сведения об использовании групп для управления состоянием и методами проверки подлинности см. в разделе Настройки группы.
Что произойдет, если синхронизированный пользователь будет удален из синхронизированных групп?
Если пользователь синхронизированного каталога удаляется из всех групп внешних каталогов, которые синхронизируются с Duo (или если учетная запись пользователя AD/OpenLDAP или Azure удаляется в исходном каталоге), следующая полная синхронизация каталога или отдельная синхронизация этого пользователя перемещает пользователя в корзину и помечает учетную запись как «ожидающую удаления».
На этом этапе пользователь больше не может аутентифицироваться в Duo. Свойства пользователя доступны только для чтения, и вам больше не выставляется счет за этого пользователя.
Если пользователь, отмеченный для удаления, не подключается повторно к учетной записи внешнего каталога через синхронизацию в течение семи дней, пользователь автоматически удаляется из Duo. В свойствах пользователя указана целевая дата удаления.
Вы можете безвозвратно удалить ранее синхронизированного пользователя из корзины в любое время в течение семидневного периода ожидания, щелкнув представление «Корзина» на странице «Пользователи» в панели администратора Duo и выполнив действие Удалить навсегда . Подробные инструкции см. в разделе «Постоянное удаление пользователей».
Что произойдет, если синхронизированная учетная запись пользователя будет отключена в Azure или Active Directory?
Если синхронизированная учетная запись пользователя каталога отключена в Azure или Active Directory, пользователь будет автоматически отключен в Duo при следующей синхронизации каталога.
Отключенный пользователь Duo по-прежнему помечен как пользователь каталога, доступен только для чтения и не может быть включен вручную.
Как новые телефонные устройства создаются с помощью синхронизации каталогов?
Когда пользователь синхронизируется из внешнего каталога с Duo, новые телефоны будут созданы с использованием мобильных и телефонных номеров, имеющихся у каждого пользователя, если телефон с таким номером еще не существует в Duo. Эти устройства нельзя удалить из интерфейса Duo, и их номера телефонов нельзя изменить, но администраторы Duo могут изменить имя, тип и платформу устройства.
Синхронизированный телефон можно подключить к другому пользователю Duo (таким образом, телефон будет подключен к нескольким пользователям одновременно). Вы также можете удалить синхронизированные телефоны у пользователей, синхронизированных с AD, но если номер телефона все еще присутствует в свойствах внешнего каталога пользователя, телефон будет повторно подключен после следующей синхронизации.
Атрибут Active Directory phoneNumber и атрибут Azure AD phone сопоставляются с атрибутом Duo phone1 и задают тип и платформу атрибутов Duo равными Неизвестно . Атрибут Active Directory mobile сопоставляется с атрибутом Duo phone2 , если phoneNumber не пуст, и в этом случае mobile сопоставляется с атрибутом Duo phone1 . Если пользователь уже существует в Duo с подключенным телефоном перед синхронизацией, и такого же телефона нет в исходном каталоге, этот ранее существовавший телефон будет phone1 в Duo, а дополнительные телефоны, созданные в результате синхронизации, будут начинаться с phone2. .
Новые телефонные устройства, независимо от того, находится ли номер в поле исходного каталога phoneNumber или mobile , создаются в Duo с типом, установленным на Mobile , и платформой, установленной на Generic Smartphone .
Почему международные телефонные номера не импортируются в Duo?
Международные телефонные номера, хранящиеся в исходном каталоге, должны иметь префикс + и код страны, например. +4401617150105 для номера в Великобритании.
Что происходит, когда существующие телефонные номера Duo синхронизируются с каталогом?
Если номер телефона, импортированный внешней синхронизацией каталога, уже существует в Duo, информация из внешнего каталога объединяется с информацией о существующем телефонном номере Duo. Имя, тип и платформа устройства Duo сохраняются, а соответствующий пользователь привязывается к телефону, если это еще не так. Если существующий телефон был подключен к другому пользователю до синхронизации каталога, это подключение сохраняется и после синхронизации.
Что произойдет, если номер телефона будет удален из справочника?
Если номер телефона удаляется из каталога пользователя и не привязан ни к каким другим пользователям Duo при его удалении, телефон удаляется из Duo при следующей синхронизации.
Если телефон привязан более чем к одному пользователю в Duo, то телефон все равно будет существовать и останется привязанным к пользователям, у которых телефон не был удален. Вы можете вручную удалить этот телефон из панели администратора.
Как синхронизация каталогов влияет на аппаратные токены пользователей Duo?
Аппаратные токены могут быть добавлены к синхронизированному пользователю Duo, и информация для этих токенов не будет перезаписана процессом синхронизации.
Как статусы пользователей каталога связаны со статусами пользователей Duo?
Пользователь Duo имеет один из четырех возможных статусов: Активен , Обход , Отключен и Заблокирован . Статус пользователя можно изменить в Duo в интерактивном режиме из панели администратора, программно через Admin API или путем импорта CSV, если соответствующий пользователь внешнего каталога включен в Azure или Active Directory с учетом следующих дополнительных соображений:
- Если пользователь синхронизирован с внешний каталог AD или Azure AD, то статус пользователя не может быть установлен на «Отключено» в Duo каким-либо другим способом, кроме процесса синхронизации.
- Если администратор Duo изменит статус активного, синхронизированного пользователя на «Обойти», этот статус не будет перезаписан синхронизацией независимо от любых изменений статуса пользователя «включено» во внешнем каталоге AD или Azure AD.
- Если учетная запись пользователя внешнего каталога отключена в Azure AD или AD, но пользователь по-прежнему является членом группы, синхронизированной с Duo, статус пользователя Duo автоматически устанавливается на «Отключен», и его нельзя изменить в панели администратора Duo. . Отключенный статус внешнего каталога для отдельного пользователя также переопределяет любой статус, назначенный синхронизированной группе в Duo.
- Если пользователь Duo находится в статусе «Заблокирован» в Duo из-за большого количества неудачных попыток входа в систему, администратор Duo может разблокировать пользователя. Блокировка учетной записи во внешнем каталоге не влияет на статус пользователя Duo.
- Если учетная запись пользователя внешнего каталога удаляется из всех групп, синхронизированных с Duo, или удаляется из каталога, соответствующий пользователь Duo перемещается в представление «Корзина» и автоматически помечается как «Ожидает удаления». Это состояние можно очистить только путем повторного подключения пользователя Duo к синхронизированной учетной записи каталога (путем добавления соответствующей учетной записи Azure, AD или LDAP в группу, используемую для синхронизации).
Это состояние можно очистить только путем повторного подключения пользователя Duo к синхронизированной учетной записи каталога (путем добавления соответствующей учетной записи Azure, AD или LDAP в группу, используемую для синхронизации).Параметры состояния Duo не импортируются и не обновляются при синхронизации из каталога OpenLDAP, поэтому при необходимости в Duo можно установить статус «Активно», «Обход» или «Отключено».
Как удаление синхронизированной группы из Duo Directory Sync влияет на синхронизированных пользователей, группы и устройства Duo?
Если группа каталогов удалена из внешнего каталога или удалена из конфигурации каталога в Duo, пользователи Duo из этой группы будут помечены для удаления, если они не являются членами другой синхронизированной группы. Все телефоны, импортированные для этих пользователей с помощью синхронизации, также будут удалены, если они не привязаны к оставшемуся пользователю.
Группы, которые ранее были синхронизированы из внешнего каталога, по-прежнему будут существовать в Duo.
Однако они будут изменены на обычные группы, все атрибуты которых можно изменить, а также их можно удалить из панели администратора Duo или API администратора. Duo обновляет имя группы, чтобы указать, что она когда-то управлялась синхронизацией каталога, изменяя с Имя группы с Тип синхронизации « Имя синхронизации » на Имя группы (ранее с « Имя синхронизации »). .
Как удаление каталога влияет на синхронизированных пользователей Duo?
Если вы удалите весь каталог Azure или AD из Duo, ранее синхронизированные пользователи, телефоны и группы будут преобразованы в обычные объекты Duo и могут быть обновлены вручную. Удаление каталога не приводит к удалению ранее импортированных объектов.
Почему я получаю электронные письма от Duo о синхронизации моего каталога?
Duo отправляет администраторам электронное письмо с правами на управление синхронизацией каталогов в случае последовательных сбоев, приостановки синхронизации или других проблем.
Некоторые причины, по которым запланированная синхронизация каталогов Active Directory и LDAP может завершиться сбоем и вызвать уведомление по электронной почте, включают:
- Прокси-сервер аутентификации отключен от службы Duo.
- Прокси-сервер аутентификации не может связаться с указанными серверами каталогов.
- Для каталога указано недопустимое базовое DN.
Синхронизация Azure Active Directory может завершиться сбоем и вызвать уведомление по электронной почте, когда приложению Duo Sync требуется повторная авторизация в Azure.
Обратите внимание, что сбой запуска запланированного процесса синхронизации отличается от того, если синхронизация завершается с индикаторами успеха, но не синхронизирует ожидаемых пользователей, группы или атрибуты. В таких ситуациях дважды проверьте выбранные группы и атрибуты синхронизации, а также остальную часть конфигурации синхронизации каталога, чтобы убедиться, что ваши настройки соответствуют ожидаемым результатам.