Если вы потратили дни на настройку сетевого (SMB) сканирования, посмотрев все ролики на Ютубе, прочитав все официальные мануалы, посетив все support-разделы производителя, прочесав форумы на всех языках от русского до английского и от хинди до японского, и у вас по-прежнему ничего не работает, вы заглянули по адресу. Ниже вы найдете концентрированные знания, полученные путем расхода около 10-12 часов времени на изучение вопроса и перебор около десятка разных настроек в разных комбинациях.

Несмотря на то, что ошибка 801 обычно расшифровывается в интернете как ошибка SMTP, на самом деле она означает целое семейство ошибок отправки задач/работ (jobs) на сервер. Вне зависимости от транспорта — e-mail, SMB или что-то еще. В целом она означает недоступность транспорта, а конкретная причина при этом остается неизвестной (производитель сэкономил на классификации ошибок и диагностических функциях МФУ, чем сильно усложнил жизнь рядовым админам).

Ниже речь пойдет только про отправку отсканированных документов на машину с Windows по протоколу SMB/CIFS. Конкретно я игрался с МФУ MF8580Cdw, которое входит в MF8500C Series вместе со своими братишками-сестренками MF8550Cdn, MF8540Cdn и MF8280Cw. Но это не важно — дело в том, что половина МФУ Canon, созданные за последние лет 14, имеют или точно такой же интерфейс, или аналогичные на 95% настройки. Да и сетевое сканирование нужно настраивать нужно с обоих «концов» — как на МФУ, так и в ОС Windows. Таким образом, эта инструкция универсальна, и подойдет для любых МФУ Canon (и не только Canon).

Если вы здесь, значит, вы уже прошли этапы, которые я условно называю «Боянные настройки». Но на всякий случай, привожу и их:

• Обе машины, и МФУ и ваш SMB-сервер, находятся в одной одноранговой сети, и в одной рабочей группе, скажем, «WORKGROUP».
• В адресной книге МФУ у вас создана запись типа SMB, и в ней Host Name (то есть, компьютера, куда вы отправлять отсканированные файлы) указано без слешей и путей. Просто имя вашего SMB-сервера. Например, «SMB-SERVER» (без кавычек).
• Далее, путь куда вы сканируете. Нужно указывать только URI-часть пути без имени хоста, без открывающего слэша, но с закрывающим левым слэшем — например, «MyScans\» (без кавычек). При этом полный путь для SMB, куда будут отправляться файлы, будет \\MB-SERVER\MyScans\ — его МФУ формирует самостоятельно.
• Имя и пароль указаны в точном соответствии юзеру, созданному на сервере.
• У юзера на сервере стоит галочка «Password never expires» и снята галка «User must change password at the first login».
• У юзера даны права «Full Control» на «шару». Если вы используете Windows Server, то нужно этого же юзера засунуть еще и в Permissions (в отличие от настольных ОС, в серверных ОС эти права назначаются раздельно в разных вкладках).

Это, как говорится, база, и все это легко найти в интернете.

Далее, часть 2, «Неочевидное»:

• В настройках сетевого подключения Windows 10 нажмите Properties и там выберите Network profile = Private. В чем суть — в профиле Public ваш компьютер (при включенном файрволле) режет все входящие подключения, считая сеть публичной (с низкой степенью безопасности в ней).
• Далее. Run -> Manage Advanced Sharing Settings. Нижняя секция, третья по счету сверху, All Networks -> Password protected sharing. В интернете есть совет попробовать оба варианта методом тыка — Turn on password protected sharing и Turn off password protected sharing. У меня работает в первом варианте, когда включено (положение On).

Далее, часть 3, «Вообще нигде не засвеченное, найденное самостоятельно»:

• Run -> Turn Windows feature on or off -> SMB 1.0/CIFS File Sharing Support -> SMB 1.0/CIFS Server. Установить галочку, дать машине перегрузиться. Этот шаг необходим только для новейших ОС, в Windows 7 и ниже все работало и без этой меры.

По итогу всё работает и в Windows Server и в Windows 10, но ценой потери практически 2 дней. И причина столь колоссальных временных затрат — отсталость встроенного программного обеспечения МФУ Canon. Даже несмотря на то, что в аппарате установлена последняя прошивка 5.03, в ней за последние 10 лет выполнялись только мелкие багфиксы, вроде переполнения буфера. Развития функций и актуализации версий протоколов производителем не выполнялось (по слухам, эти МФУ вообще разработаны не Canon; либо Canon в сотрудничестве с кем-то). Именно поэтому, аппарат не умеет корректно работать с SMB 2.0, и вряд ли вообще что-то знает о SMB 3.0.

Shame on you, Canon!

Если вы столкнулись с проблемой подключения к Интернету через PPTP-сервер, когда через тоннель недоступна часть сайтов, и особенно, если доступ по http работает нормально, а доступ по https к тем же самым узлам отсутствует, то нижеприведенная информация для вас. Например, такая ситуация происходит с VPN-сервисом VPN99.net, а также с частными pptpd, которые часто разворачиваются в «облаках» DigitalOcean, AWS и др. по инструкции вроде этой.

Потратив на эту проблему 2 дня — погуглив, прочесав все форумы, перепробовав массу настроек методом перебора — я нашел корень проблемы. Это параметры MTU/MRU. С одной стороны, это весьма очевидно, но с другой — совершенно нет. Дело в том, что обычно есть проблема с фрагментацией на крупном размере пакета, таком как 1500 байт (что логично). А на размере пакетов, скажем, в 1300-1400 байт такой проблемы быть не должно. Однако, проблема есть и размер пакетов как таковой оказался не критичен. Зато выяснилось, что демон pptpd с дефолтными конфигами имеет некоторые особенности. Например, его актуальные версии, такие как 2.4.5, не реагируют на установку параметров mtu n / mru n в конфигурационном файле. Консольная справка показывает валидность только параметра mru, а mtu, видимо, был исключен из настроек современной версии демона. Но есть другие варианты решения проблемы:

#1. Задать MTU и MRU в PPP-клиенте. Причем, в моем случае, доступ к узлам по SSL появляется только тогда, когда MTU меньше MRU на 4 байта или более. При этом само значение MTU / MRU не критично, любое в интервале 1400-1450 подойдет без проблем. Если PPTP-сервер не ваш, то это единственный доступный способ. Что касается именно 4 байтов, то, возможно, дело в FCS — проверочной последовательности кадра. Что-то там не симметрично при приеме и передаче.

#2. Если ОС ваша, то можно пропатчить скрипт ip-up, выставив в нем жестко значение MTU только для нужного интерфейса. Способ не самый изящный, так как вносятся изменения в системный скрипт ОС. Но решение вполне рабочее, и результат достигается.

#3. Самый красивый вариант для привилегированных пользователей ОС — это активировать согласование MSS (максимального размера сегмента) при помощи ядра ОС и iptables, если они, конечно, поддерживают такую возможность. Одна команда и файрволл возьмет вопрос согласования на себя (синтаксис для CentOS 7.xx).

# iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

Для того, чтобы все работало, в CentOS 7 нужно выключить firewalld, установить iptables и не забыть сохранить правила, чтобы они работали и после перезагрузки (в интернете есть масса инструкций как это сделать). И этот вариант заработает только в относительно свежей ОС — потребуется ядро Linux версии не ниже 2.4.3 и iptables 1.2.1a или выше.

Есть такие карты как APC NMC (Network Management Card), весьма распространенные и весьма проблемные при этом. Причины их глюкавости кроются в том, что компания APC всегда была слаба в области разработки ПО, но решила к этому своему «навыку» добавить еще и железо 15-летней давности (следы разработки этих устройств ведут в начало нулевых). И на этом старье начала писать сервисы, такие как telnet, FTP, HTTP, HTTPS, SNMP и SSH. По информации от корифеев форума APC, железо не потянуло современную крипту, которая жизненно необходима для HTTP и SSH, и компания-производитель бросила поддержку карт первого поколения в 2010 году (последняя прошивка с бинарниками версии 372/373 датирована февралем 2010 года). А с тех пор в алгоритмах шифрования, применяемых в SSH и SSL нашли кучу багов, и все цивильные производители ПО запретили работу своих продуктов с использованием «дырявых» протоколов. С этого момента начинаются новые проблемы, которых изначально у карт первого поколения не было. Кстати, первое поколение карт APC — это AP9617, AP9618 и AP9619 (далее по тексту заметки просто NMC 1). Внешний вид AP 9617 для общего развития:

Эти карты очень долго продавались после того как их поддержка была прекращена, что позволило «счастливым владельцам» этих карт хапнуть немало горя в процессе их эксплуатации. Карты первого поколения до сих пор встречаются тоннами на eBay и Авито, в том числе, новые в заводской упаковке.

Далее привожу свои наработки по борьбе с особенностями и глюками карт APC NMC 1:

#1. У карт первого поколения (NMC 1) нет разъема Jack 3.5 мм, а значит, нет консольного порта. То есть, при любой критической ошибке конфигурирования вы будете вынуждены делать сброс карты и начинать ее настройку с нуля. Это было бы не так больно, если бы карта желала делать DHCP client с обычного DHCP-сервера (а она не желает, см. ниже).

#2. Вся техника APC, включая PDU, ATS, и, конечно же, карты NMC 1, не умеет грузиться по DHCP в конфигурации по умолчанию. Дело в том, что в APC посчитали, что грузиться по DHCP в любой сети — это глупость и разгильдяйство, а грузиться можно только в сети, где есть должным образом настроенная DHCP Option 43 (если вкратце, то устройство APC при получении IP-конфигурации от сервера делает вывод «годный» он или нет). Поэтому карта, которую вы сбросите в дефолт, в 99% сетей будет недоступна через telnet и веб. А так как у нее нет консольного порта, дело пахнет легким геморроем. По слухам, в NMC 2 этот идиотизм отключили.

#3. Легкий геморрой. Как вы знаете, в APC решили, что грузиться по DHCP в абы какой сети не кошерно, но и IP-адрес по умолчанию задавать тоже не стали. Хотелось бы посмотреть в лицо этому человеку из APC, а потом плюнуть в него же. Потому, что такого извращения я не встречал за свой 16-летней опыт работы с сетевухой. По версии APC, первым делом я должен воспользоваться утилитой Network Management Device IP Configuration Wizard v5.0.2, которая методом сканирования всей моей сети найдет нужное устройство (находит) и установит на нем желанные параметры TCP/IP (не устанавливает). Эта утилита сыпет одной и той же ошибкой, ссылаясь на ARP-кэш и необходимость перезагрузить систему (какую именно — ОС или NMC 1 не уточняется, но перезагрузка вообще всего, ровно как и ручная очистка кэша ARP, не помогают). Я перегружался и пробовал раз 5-6, пока не стало очевидно, что это бесполезно. Дело в том, что NMC 1 стоит в режиме DHCP & BOOTP, и фирменная утилита в принципе не может задать ей IP-параметры, так как для этого нужно выставить интерфейс в режим Manual. Осознанно или неосознанно, Network Management Device IP Configuration Wizard этого сделать не смогла. После понимания причин произошедшего, мне захотелось не только плюнуть в рожу разработчикам, но и обоссать их несколько раз.

Теперь о том, как все же задать IP-конфигурацию при первом использовании карты или после ее ресета, который, кстати, делается установкой и удержанием скрепки в соотв. отверстии NMC. Из командной строки Windows нужно дать команды:

arp -s 192.168.1.5 00-00-00-00-00-00
ping 192.168.1.5 -l 113

Где 00-00-00-00-00-00 — MAC-адрес NMC, который можно узнать, сканируя вашу сеть все той же утилитой Network Management Device IP Configuration Wizard (с этой задачей она справляется), или из наклейки на NMC (для того, чтобы люди окончательно заебались, в APC решили не печатать MAC-адрес на наклейке на самой коробке). А 192.168.1.5 — желаемый IP-адрес NMC. После этого к карте можно будет подключиться по telnet, используя «apc» в качестве логина и пароля.

#4. Не включайте на NMC 1 протокол SSH, так как он вырубит вам единственно работающий в данном случае протокол удаленного доступа — telnet (они одновременно не «живут»). А если все-таки включили, и больше не можете прицепиться, ищите Putty версии ниже, чем 0.63. Например, Putty 0.62 будет работать. При этом текущая версия Putty (0.73) мгновенно посылает нафиг закрытием коннекта (попытки принудительно разрешить SSHv1 и прочее небезопасное старье успехом не увенчались).

#5. Не включайте на NMC 1 протокол HTTPS! Вы просто потеряете доступ к NMC 1 через веб. В ряде источников указано, что это можно побороть, включив поддержку небезопасного протокола SSLv3, однако мне это не помогло. Браузеры продолжили показывать сообщения об отсутствии совместимого алгоритма шифрования (пробовал Firefox и Internet Explorer). В FF это делается правкой реестра браузера (страница about:config, поиск ключа security.tls.version.min и изменение его значения в 0; после чего перезапустить FF). В IE достаточно поставить соотв. галку в Tools — Internet Options — Advanced, скроллить в самый низ до опций Use SSL 2.0, Use SSL 3.0. Но еще раз — в моем случае это не сработало!

#6. Если вы решили обновить свою карту, думая, что спасение где-то там, то вы ошибаетесь. Во-первых, в последней версии AOS (APC OS) 3.7.3 никакие из этих проблем не решены. Во-вторых, скорее всего, вы увеличите количество проблем на единицу. А именно, при обновлении прошивки через apc_hw02_aos373_sumx372 софтина сообщит вам следующее: Not all Network Management Cards were upgraded successfully / Could not log into the Management Card’s FTP server / Encountered 1 failures during upgrade. Анализ текстового лога (results.txt) показывает, что ОС залилась успешно, а дальше, после 2-минутного ожидания устройства, утилите удалось залогиниться, но дальше что-то сбойнуло. Сначала непонятно что именно пошло не так (разработчикам софта было впадлу сделать вывод осмысленного сообщения), но потом вы понимаете, что даже если зашли в девайс по telnet и вырубили HTTPS, вы не можете попасть в девайс по HTTP: Error: The application was not able to load. / You are attempting to access an APC device. / There was a problem loading the application. Please login to the device via telnet for more details.

Попахивает пиздецом, конечно. Куда не сунься, везде что-то недоделано, недопилено. И это не только у меня — Google показывает множественные мучения других пользователей. Но поисковики, RTFM и раскидывание мозгами дали результат — оказывается, дело в том, что при старте NMC 1 через telnet можно увидеть некий Stat, а выше его — версию APP.

Так вот, по всей видимости, «A» — это и есть APP, и под этим термином в APC подразумевают и веб-сервер. Если вы не видите строки Smart-UPS & Matrix-UPS APP v3.7.2 (или иной версии), а в Stat вы видите «A минус», то ничего хорошего не ждите, веб-сервер не заработает. Если вы видите «A?», то просто подождите, приложение загружается. В моем случае там был «A минус», что означает отсутствие приложений.

Я прицепился к APC NMC 1 при помощи FTP-клиента, предварительно выставив в нем режим передачи файлов как binary. И влил в корневую директорию файл apc_hw02_sumx_372.bin

После заливки файла карта автоматически перегрузилась, как и задумано разработчиком (именно поэтому за раз нельзя залить более 1 файла). После перезагрузки карты я увидел статус «A?», который после недолгого ожидания и рефреша картинки сменился на «A плюс».

Ну и как вы уже догадались, обращение через браузер показало желанную форму ввода логина и пароля. Ура! Карта побеждена и работает. Подумаешь, что на все это потрачено 2 вечера :(

И еще один момент — обратите внимание на название архива с прошивкой, где sumx в названии указывает на то, что это прошивка для SmartUPS & MatrixUPS. Это важно потому, что существует еще минимум 2 других прошивки для NMC 1 для работы совместно с другими UPS. Другая прошивка не убьет вашу карту, но не позволит ей правильно работать с вашим устройством.

Вывод

В общем, ребята, софты APC — это лютый пиздец, и образец идиотизма с налетом олдскула одновременно. Те, кто работал над этом ПО, точно занимались не своим делом. Это я уже молчу про то, что все Windows ПО APC использует Java, имеет огромные дистрибутивы, долго ставится, и при этом обладает скудной функциональностью и интерфейсами «назад в 2003-й».

P.S.

Несколько улучшить ситуацию можно перейдя на NMC 2, то есть, на карты с номерами AP9630, AP9631 или AP9635 и логотипом Schneider Electric на них. Я лично с ними не работал, но согласно найденной в сети информации, с ними меньше проблем в плане HTTPS, ну и как говорилось выше, они могут грузиться с обычного DHCP-сервера без всяких опций. Также у APC хватило ума оснастить их консольным портом, что позволяет настраивать эти карты без подключения по TCP/IP. Ну и для этих карт существует утилита для обновления с Win32 GUI вместо command line (в 2011-12 годах в APC заметили, что люди больше не работают в командной строке). Но в целом это аналогичный по функциям и качеству продукт, как и NMC 1, и не следует ожидать от них чудес.

Есть такой ПК как HP EliteDesk 800 G1. Его версия USDT (Ultra-Slim Desktop, средняя по размеру в линейке) крайне недурна собой. А именно: компактна (габариты корпуса 25 x 25 x 7 см), шустра (так как это настоящий Intel Core i5), почти неслышима при установке скорости вращения кулера на минимальные обороты (регулируется из BIOS), и проста в обслуживании как автомат Калашникова. Полная разборка и сборка этого ПК, если вы уже делали ее несколько раз, занимает 5 минуты в сумме. Добавить памяти или заменить HDD — 1 минута. Количество винтов в этом ПК — штук 5 максимум, все остальные блоки крепятся на защелках.

И все бы хорошо, но у этого компьютера есть 3 особенности, о которых лучше знать заранее:

#1. ПК нельзя заземлять! У ПК внешний блок питания, вроде как от ноутбука, только в 2 раза больше по объему. И вот — корпус БП пластиковый, и заземляющий контакт сетевой вилки не имеет гальванической связи с корпусом ПК. Так почему нельзя заземлять? Потому, что при любой неполадке в электросети, ток может потечь на землю через корпус ПК, а значит, сделать USDT посредником в силовой сети. Мне эта ошибка стоила покупки новой материнской платы, так как после одного один из блэкаутов, USDT, включенный через APC Smart-UPS, попросту не включится. Изучение материнской платы показало коротыш в цепи питания, который был создан южным мостом (он улетел в астрал). Предположительно, ток потек через USB-кабель, включенный между UPS и USDT, что и стало причиной выгорания южного моста.

#2. USDT не любит загрузку в режиме AHCI с HDD со стилем разметки MBR. То есть, ПК может успешно загрузиться от 0 до 1-2 раз, а потом, когда вы уже обжили вашу ОС Windows, начать выдавать сообщение: Attempting Boot from Hard Drive. После истечения таймаута, а это менее минуты, он дополнит сообщение такой информацией: A disk read error occured / Press Ctrl+Alt+Del to restart. При том, что диск заведомо исправен, проходит все тесты и гарантированно системный с прекрасно работающим MBR-сектором.

Я потерял два световых дня (!) на изменение практически всех параметров BIOS, прошивку разных версий BIOS (2.65-2.71), сброс настроек в default, аппаратный сброс CMOS, отключение других носителей, периферии, замену HDD, переустановку ОС и так далее, но все тщетно. В один из рестартов ПК я опять получал черное окно Attempting Boot from Hard Drive. Я даже попробовал SSD вместо HDD, а заодно более плотную установку HDD внутри, установку HDD без корзины и так далее. Ничего! То есть, умудриться поставить ОС в режиме MBR можно, и может быть, даже разок перезагрузиться. Но третья и последующие перезагрузки покажут вам все то же неприглядное черное окно:

Кстати, что касается BIOS, то последняя версия на сайте HP (он же HP FTP) — 02.71, но встроенный в BIOS автоапдейтер качает «более новую» версию 02.71. Причем, обновлятор может найти «более новую» 02.71 аж по 2 перезагрузки подряд :) Приключения на этом не заканчиваются — HP Support Assistance не видит никаких обновлений BIOS, а HP SoftPaq SDM — видит и реально устанавливает версию 02.75. Ну что же, глючное ПО и бардак, видимо, бывают и у HP. Впрочем, как уже было сказано, никакие версии BIOS не позволяют решить проблему необнаружения загрузочного MBR-диска.

Свет в конце тоннеля появился, когда я переключил эмуляцию SATA в режим RAID — USDT загрузился без вопросов несколько раз подряд (конечно же, упав в BSOD, так как ранее диски работали в режиме AHCI; но это так и должно быть). Эта ситуация натолкнула на мысль, что можно попробовать грузить ПК не в режиме MBR, а в режиме UEFI. Для этого я создал загрузочную флешку под требования UEFI и поставил Windows 7 с нее. Но перед тем как это получилось, пришлось изменить разметку диска с MBR на GPT, иначе инсталлятор Windows 7 в режиме UEFI попросту не дает выбрать нужный диск для установки. Сконвертировать MBR-диск в GPT-диск проще всего через Acronis Disk Director, так как это ПО позволяет делать конвертацию без очистки логических разделов и потери данных (вы сохраните все папки и файлы). Процесс конвертации занимает всего 1-2 минуты. После установки Windows в режиме UEFI произойдут и кой-какие положительные изменения в BIOS, а именно, появится новый пункт Windows Boot Manager:

Кстати, я не исключаю, что эта проблема может быть связана с конкретной ревизией материнской платы, ревизией какого-либо чипа. Моя материнская плата внутри HP имеет обозначение 18E5 — именно так она видна в BIOS, именно из такой папки качаются все обновления BIOS. А парт-номер HP, нанесенный шелкографией на плату, по которому и происходит заказ материнской платы как запасной части, 696559-001. Другие надписи на плате — ARTHUR REV A.

#3. Еще какой-то гений в HP решил, что у этого ПК не нужен видеовыход самого популярного стандарта, HDMI. Вообще. И вместо него сделал 2 видеовыхода DisplayPort, и до кучи — VGA.

P.S.
Скорее всего, данная информация будет справедлива и для других версий HP EliteDesk 800 G1, а именно Desktop (самый большой ПК в линейке) и SFF (самый маленький).