Заметки сисадмина

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве



Ошибки при работе на портале ФНС nalog.gov.ru

2023-03-17 · Posted in Crypto-PRO, БухУчет

При проверке условий подключения к личным кабинетам ИП и ЮЛ возникла ошибка «Не удалось проверить возможность соединения с сервером»

Если вы работаете на сайте ФНС с одного ПК с несколькими учётными записями (сертификатами), при каждой смене учётной записи необходимо чистить SSL (Сервис — Свойства браузера — Содержание — Очистить SSL).

1)Пройдите диагностику и выполните рекомендуемые действия.
2)Попробуйте войти по прямой ссылке:

  • для ЮЛ: https://lkul.nalog.ru
  • для ИП: https://lkipgost2.nalog.ru/lk

3)Проверьте работу в браузерах:

Chromium GOST (на MacOS доступен только этот браузер)
Яндекс.Браузер
После установки браузера зайдите в его настройки и включите поддержку ГОСТ-шифрования («Настройки» — «Системные» — «Сеть»):

4. Проверьте, что в антивирусе не включено https-сканирование (часто встречается в антивирусах Avast и ESET).

5. Если на компьютере установлены другие СКЗИ (VipNet CSP, Континент-АП, Агава и др.), удалите их или перейдите на другое рабочее место. Корректная работа с несколькими криптопровайдерами на одном ПК не гарантируется.

При работе в ЛК физического лица появляется окно (не окно КриптоПро) с требованием ввести пароль, но при этом пароля на контейнере нет или стандартный пин-код от токена не подходит.

1)Войдите в Личный кабинет Физического лица.
2)Откройте страницу «Главная» — «Профиль» — «Получить электронную подпись».
3)Если на открывшейся странице выбрана ЭП — удалите подпись и зарегистрируйте КЭП заново.

При регистрации Юридического лица появляется ошибка «У Вас отсутствуют полномочия действовать от лица организации без доверенности»
Для юридических лиц в сервисе «Личный кабинет налогоплательщика» первичную регистрацию можно выполнить с КЭП, выданным на руководителя, указанного в ЕГРЮЛ как лицо, имеющее право действовать без доверенности, либо на лицо, имеющее действующую доверенность с полными полномочиями (доверенность с полными полномочиями должна быть передана и зарегистрирована в налоговой. Процесс входа описан на сайте ФНС, раздел «Регистрация лицом, имеющим действующую доверенность с полными полномочиями»).

Для управляющей компании КЭП должен содержать ФИО руководителя управляющей компании и реквизиты (ИНН, ОГРН) той организации, управление которой осуществляется. Также перед первым входом по сертификату дочерней организации требуется зарегистрировать в ФНС доверенность на руководителя УК.

При входе появляется ошибка «Не удается обнаружить токен или смарт-карту»

1)Если ваш сертификат используется не для ЕГАИС Алкоголя:
При работе в Yandex.Browser перейдите на страницу расширений введя в адресной строке browser://tune/ или в меню браузера выбрав «Дополнения».
При работе в Chromium GOST перейдите на страницу расширений введя в адресной строке chrome://extensions/ или в меню браузера выберите «Дополнительные инструменты — «Расширения».
На открывшейся странице отключите, переключив ползунок, Адаптер Рутокен Коннект и Адаптер Рутокен Плагин.
2)Пройдите диагностику и выполните рекомендуемые действия.

При входе возникает ошибка «Сертификат не соответствует 63-ФЗ «Об электронной подписи». Сертификат выпущен неаккредитованным удостоверяющим центром»

1)Попробуйте войти по прямой ссылке:

  • для ЮЛ: https://lkul.nalog.ru
  • для ИП: https://lkipgost2.nalog.ru/lk

2)Пройдите диагностику и выполните рекомендуемые действия.

Контакты nalog.gov.ru

По вопросам работы на портале и ошибкам, не связанным с настройкой рабочего места и электронной подписью, обратитесь в службу поддержки портала ФНС:
— Телефон: 8 (800) 222-22-22
— Форма обращения в техподдержку ФНС

Как запретить автоматическую установку сетевых принтеров в windows 10/11

2023-03-17 · Posted in Windows – 10, Windows – 11

При всем удобстве windows 10, есть у нее один недостаток, который имеет чаще положительный знак дома и отрицательный в рабочей сети (или например в сети многоквартирного дома или в сети, где много различных устройств и принтеров), а именно автоматический поиск устройств и принтеров доступных в сети и добавление их в список доступных на компьютере устройств. Выглядит это примерно так: у вас нет ни одного принтера, ну или один, а в списке устройств и принтеров у вас висят десятки различных принтеров. Все бы ничего, если бы среди этого списка не было много одинаковых или недоступных вам физически. А еще ваш принтер, установленный по умолчанию регулярно переключается на чей-то другой. Ладно, скажете вы, можно удалить же. Вы тратите время и удаляете чужие и неизвестные принтеры. А на последнем удаленном принтеры, все ранее удаленные принтеры, вновь радостно сообщают вам о готовности и доступности и так можно продолжать долго…

Есть несколько способов запретить автоматическую установку сетевых принтеров в windows 10, я приведу два. Сразу отмечу, что лично мне порой достаточно первого способа. Чуть реже, может понадобится способ два, выполненный в дополнение к первому.

Вариант 1:

Нам необходимо открыть редактор реестра. Для начала необходимо открыть окно «выполнить». Это можно сделать нажав правой кнопкой мыши на кнопке пуске и выбрав пункт «выполнить». Или нажав комбинацию горячих клавиш: win + R (win — клавиша со значком windows). Далее в появившемся окне, вводим regedit и жмем на кнопку OK. (К слову regedit.exe находится в папке X:\Windows откуда редактор реестра, можно запустить напрямую).

Переходим по пути:

и выставляем значение dword равное 1. Если такого пункта нет, то создаем AdvancedNoNetCrawling dword и опять же вписываем 1. Закрываем. На всякий случай перезагружаем компьютер (хотя можно и обойтись без этого). Переходим к нашим принтерам и удаляем все лишние. Если новые перестают появляется, выдыхаем и пользуемся.

Вариант 2:

Переходим по пути:

и создайте параметр NoAddPrinter типа DWORD со значением, равным 1.

После применения внесенных настроек, при попытке установить новый принтер будет выведено соответствующее предупреждение

Многие предлагают в центре управления сетями и общим доступом выбрать «Изменить дополнительные параметры общего доступа и в секции «Сетевое обнаружение», нужного Вам профиля, выбрать «Отключить сетевое обнаружение». Однако это приведет к тому, что ваш компьютер станет невидим в сети и перестанет видеть другие компьютеры. Мне такой вариант как правило не удобен.

Вариант 3:

Переходим по пути:

создайте параметр AutoSetup типа dword со значением 0

Вариант 4:

В последних сборка х Windows 10, помимо «Отключить сетевое обнаружение», появился пункт «Отключить автоматическую настройку устройств», снятие галочки с которого в общем решает проблему.

ПУСК > Параметры > Сеть и интернет > Центр управления сетями и общим доступом > Дополнительные параметры общего доступа > Общий (частный профиль) > Сетевое обнаружение

Windows 10

Windows 11

Правкой кнопкой на сетевом подключении > параметры сети и Интернета > Дополнительные сетевые параметры > Дополнительные параметры общего доступа > Частные сети

IPv4 vs IPv6 priority in Windows

Short version

Long Version

RFC6724 defined a change in how addresses should be preferred. With this change IPv6 is no longer the preferred address in nearly every case :(

This question, which was asked in June of 2012 was “fixed” by an RFC from September 2012. Depending on your Windows version, you either had this new policy out of the box (Windows 8.1), or likely already delivered through an update (Windows 8, Windows 7, Windows Vista).

We’re here because we want to use IPv6; we want that change undone.

How to put it back

If you get multiple IP addresses for a single host, your machine has to decide which address it will use. An example ranking might be:

  • IPv6 loopback
  • Native IPv6
  • Unique-Local addresses (ULAs), e.g. fdxx::
  • Site-local, e.g. fec0
  • 6bone
  • 6to4
  • IPv4compat
  • IPv4
  • Teredo, e.g. 2001

On your Windows machine, this ranking is called the prefix policy.

Prefix policy

You can view your computer’s prefix policy by running:

In the olden times (originally defined by RFC 3484), the prefix policy was:

So you see it would pretty much always use IPv6 (yay!):

  1. IPv6 loopback
  2. Native IPv6, ULAs, site-local, 6one
  3. 6to4
  4. IPv4compat
  5. IPv4
  6. Teredo

If you went through the effort to deploy IPv6: it just worked.

New Prefix Policy

In 2012 a new preference order was defined by RFC6724. Nowadays the prefix policy pretty much ensures that you’ll never use IPv6:

You’ll see that you will never be able to use your Unique Local Addresses, or site-local address; it’s perpetually broken:

  1. IPv6 loopback
  2. Native IPv6
  3. IPv4
  4. 6to4
  5. Teredo
  6. ULAs
  7. site-local
  8. 6bone
  9. IPv6compat

How to fix it?

What we want is to fix IPv6 so that ULAs are preferred over IPv4. At the very least we want to push the use of ULAs (fc00::/7) above that of IPv4:

Which is done by:

That will only keep it active until the next reboot. To make the change permanant:

If i:

  • went through the effort to generate a ULA global prefix for my /48
  • and choose a subnet id for my /64
  • and deploy ULAs to every machine in the enterprise
  • and update the DNS servers to return IPv6 ULA addresses in addition to IPv4 addresses

the least the computer could do is have the common courtesy to use the address.

Bonus Chatter

The fc00::/7 range is divided into two parts:

  • fd00::/8 – GlobalID prefix generated locally
  • fc00::/8 – ???

Nobody ever really decided was fc would be good for, and so just sits there.

The fd addresses are defined as:

fd [40-bit random GlobalID] [16-bit subnet] [64-bits for host assignment]

So if you generated a4d7f6dd66 as your cryptoghpcallly random 40-bit GlobalID, that gives you your /48:

  • fda4:d7f5:dd66:: /48
  • fda4:d7f5:dd66:face:: /64 (in the face subnet)
  • fda4:d7f5:dd66:face::825 as a host IP address

SixXS maintained a public database of Unique Local Address GlobalID prefixes in order to reduce the chance of collissions, e.g.:

  • fdee:e004:2208::/48: Apple Inc – Leopard OSX
  • fdd4:43c8:ba34::/48: TekSavvy – Danny Murray
  • fdac:afbd:fea1::/48: IBM Rational Build Forge – Chris Fuller

But due to slowing use, and the dubious value in the first place, SixXS discontinued the service in 2018.

Solution #1: Add a prefix policy to prefer IPv4 addresses over IPv6

Prefix policy table is similar a routing table, it determines which IP addresses are preferred when making a connection. Note that higher precedence in prefix policies is represented by a higher “precedence” value, exactly opposite to routing table “cost” value.

Default Windows prefix policy table:

Note that IPv6 addresses (::/0) are preferred over IPv4 addresses (::/96, ::ffff:0:0/96).

We can create a policy that will make Hurricane Electric IPv6 tunnel less favorable than any IPv4 address:

2001:470::/32 is Hurricane Electric’s prefix, 3 is a Precedence (very low) and 6 is a Label.

I could have used a more generic prefix, but I wanted to make sure that if and when I get direct IPv6 connectivity from an ISP, it will take precedence over IPv4.

If you adapt this solution, you need to substitute an appropriate IPv6 prefix instead of my Hurricane Electric one.

Solution #2: Tweak registry to make Windows always prefer IPv4 over IPv6

This solution is more generic, but more invasive and less standards-compliant. In the end, Windows will still modify the prefix policy table for you.

1)Open RegEdit, navigate to

2)Create DisabledComponents DWORD registry value, set its value to 20 (Hexadecimal).
See https://support.microsoft.com/kb/929852  for more info about this registry key, especially if DisabledComponents already exists on your system.

3)Reboot.

How to restore deleted DNS SRV records?

SRV (Service Record) is a type of resource record supported in the database of the DNS server. It records services running on each computer.

What is SRV record?

Generally, it is an application when set up for Microsoft’s Active Directory. DNS can be independent of Active Directory, but Active Directory must have the help of DNS to work. In order for the Active Directory to work properly, the DNS server must support SRV, which maps the service name to the server that provides the service. Active Directory clients and domain controllers use SRV resource records to determine the IP address of the domain controller.

SRV record function includes (based on their grouping in DNS console):

_MSDCS

In this group, SRV records are collected based on their status. Various states include DC, domain call, GC, and PDC. DC and GC are divided by site, so that the AD client can quickly know where to look for local services. “Domain call” is used to support replication. Each DC gets a GUID, which will be used when calling replication. The PDC entry contains the SRV record of the DC set as the PDC simulator.

_SITES

The site represents a high-speed connection area. After the DC index is established based on the site affiliation of the DC, the client can check _SITES to find local services without sending their LDAP query requests over the WAN. The standard LDAP query port is 389, and the global catalog query uses 3268.

_TCP

In this group, all DCs in the DNS zone are collected. If the client cannot find their specific site, or any DC with a local SRV record does not respond, and needs to find a DC elsewhere in the network, these clients should be placed in this group.

_UDP

Keberos v5 allows clients to use “connectionless” services to obtain tickets and change passwords. This is done through the UDP port corresponding to the TCP port of the same service. Specifically, the ticket exchange uses UDP port 88, and the password change uses 464

Who will register SRV records?

All DCs and GCs will find DNS servers to register their SRV records when they are generated.

What’s the advantage of SRV for customers?

Users only need to know which domain to find a computer that provides the target service except for the target FQDN, they can easily find the server and obtain its IP.

For this function, since the customers who need it are rare, Eranet does not support it temporarily.

How to repair DNS SRV records?

If you delete the SRV record in DNS by mistake, you can restore it by following the two simple steps:

1)Create two new zones in the DNS forward lookup zone: abc.com (your domain name) and _msdcs.abc.com

2)Run:

And the SRV records can be quickly restored.

Печать отчетов со штриховыми кодами в 1С

Большинство компаний предоставляют отчетность в контролирующие органы через различные электронные сервисы. Но есть и такие, которые сдают отчеты на бумаге. Для них разработан специальный формат сдачи с печатью двух видов штрихкодов — управляющего и двухмерного. Управляющий линейный штрих-код размещают в левом верхнем углу каждой страницы, в нем закодирована информация о типе отчета и номере листа документа. Двухмерный штрих-код размещают в правом верхнем углу каждого листа декларации или отчета. В нем закодированы все показатели, отраженные на листе. При приеме бумажной отчетности инспектор с помощью сканера может считать данные каждого листа отчета, на котором напечатаны штрихкоды. Программа 1С автоматически формирует и выводит на печать штрихкоды. Как в 1С печатать штрихкоды читайте в этой статье.

Печать отчетов со штриховыми кодами в 1С

Чтобы вывести на печать в 1С отчеты со штрихкодами зайдите в раздел «Отчеты» (1) и кликните на ссылку «Регламентированные отчеты» (2). Откроется окно с созданными отчетами.

В окне выберете вашу организацию (3) и встаньте мышкой на нужном отчете (4). Затем нажмите кнопку «Печать» (5) и выберете пункт «Форма со штрихкодом PDF417» (6). Откроется форма отчета 1С с печатью штрихкодов.

В печатной форме отчета вы увидите два штрих-код:

  1. Линейный штрих-код EAN (7). В нем закодирован тип отчета и номер листа;
  2. Двухмерный код PDF417 (8). В нем зашифрованы все данные, входящие в отчет.

Как переустановить компоненту в 1С

Печать штрихкодов в 1С возможна благодаря специальной компоненте: 1C:Печать штрихкодов. В конфигурации 1С 8.3 Бухгалтерия она установлена по умолчанию. Но если у вас возникли проблемы с печатью штрихкодов в 1С, попробуйте переустановить компоненту. Для этого зайдите в окне отчетов нажмите на ссылку «Настройки» (1). Откроется окно настроек.

В настройках нажмите на ссылку «Шаблоны печати машиночитаемых форм» (2). Откроется окно настроек шаблонов.

В окне шаблонов нажмите кнопку «Переустановить компоненту» (3). Откроется сообщение мастера установки (4). Чтобы восстановить компоненту установите флажок на «Восстановить…» (5) и нажмите кнопку «Готово» (6). Компонента будет восстановлена.

Установка компоненты в 1С вручную

В ранних версиях 1С, например в конфигурации 1С 8.2 Бухгалтерия, компоненту для печати штрихкодов устанавливают вручную. Сначала ее нужно скачать с сайта https://releases.1c.ru/total в разделе «Технологические дистрибутивы». Для этого кликните на «1С:Печать штрихкодов (ActiveX)» (1).

После скачивания запустите установку, откроется окно с сообщением «Вас приветствует программа InstallShield Wizard для 1С:Печать штрихкодов. Нажмите кнопку «Далее» (2).

В окне «Лицензионное соглашение» выберете «Я принимаю условия…» (3) и нажмите кнопку «Далее» (4).

Вид установки выберете «Полная» (5) и нажмите кнопку «Далее» (6).

Для завершения нажмите кнопку «Установить» (7). Компонент для печати штрихкодов 1С будет установлен на ваш компьютер.

При успешной установке откроется окно с сообщением «Программа InstallShield Wizard успешно установила 1С:Печать штрихкодов» (8).