Problembehandlung für das Limit bei eingehenden SMB-Verbindungen in einer Windows Peer-to-Peer-Arbeitsgruppe

Wenn Sie in einer Peer-to-Peer-Arbeitsgruppe versuchen, sich mit den Netzwerkressourcen eines Computers zu verbinden, der unter einem der zu Beginn dieses Artikels aufgeführten Betriebssysteme läuft, wird möglicherweise eine der beiden folgenden Fehlermeldungen angezeigt:

Dieses Problem tritt auf, wenn ein Computer die maximal zulässige Anzahl an Hostverbindungen erreicht. In diesem Fall wird beim Generieren einer Nullsitzungsverbindung im Microsoft Windows 2000-Client diese Nullsitzungsverbindung als eine Sitzung auf dem Microsoft Windows XP-basierten Server gezählt. Daher treten die im Abschnitt "Symptom" erwähnten Fehlermeldungen auf, selbst wenn die maximale Anzahl der Verbindungen mit Computern nicht erreicht ist.

Außerdem werden mehrere Nullsitzungen als mehrere Sitzungen gezählt, wenn mehrere Nullsitzungen von einem einzelnen Windows 2000-Clientcomputer generiert werden. Eine Nullsitzung wird jedoch als einzelne Sitzung aufgeführt, wenn Sie den Befehl net session ausführen. Wenn der RestrictAnonymous-Registrierungseintrag festgelegt ist und die Nullsitzungsverbindung abgelehnt wird, tritt dieses Symptom weiterhin auf.

Hinweise

• Bei Windows XP Professional-Computern sind maximal 10 gleichzeitige Netzwerkverbindungen zulässig. Dieses Limit umfasst alle Transfer- und Ressourcenfreigabeprotokolle. Bei Windows XP Home Edition-Computern sind maximal 5 gleichzeitige Netzwerkverbindungen zulässig. Dieses Limit ist die Anzahl von Sitzungen von anderen Computern, die maximal gleichzeitig gehostet werden können. Daher können nicht die Verwaltungstools verwendet werden, um eine Verbindung von einem Remotecomputer herzustellen.

• Wenn mehrere Nullsitzungen von einem einzelnen Computer vorhanden sind, wird jede einzelne gezählt.
• Nur eine IPC$-Freigabe kann mit dem Befehl net session überprüft werden. Wenn beispielsweise ein einzelner Windows 2000-Computer versucht, mehrere IPC$-Sitzungen zu verwenden, kann jeweils nur eine IPC$-Sitzung verwendet werden.
• RestrictAnonymous ist bei dieser Lösung nicht gültig.

Eine Windows Client-Arbeitsstation hat möglicherweise eine Pipe-Verbindung zu der Named Pipe "\PIPE\spoolss" auf entweder einem Druckserver oder einer Arbeitsstation mit einem freigegebenen Drucker hergestellt. Dies ist üblicherweise der Fall, wenn Sie ein Programm (zum Beispiel Microsoft Word) starten, das eine Druckerabfrage durchführt, oder wenn Sie den Ordner "Drucker" in der Systemsteuerung öffnen. Die Druckerwarteschlangen von Client und Server öffnen jeweils ein Handle für diese Verbindung.
Bei einem RPC-Aufruf (RPC = Remote Procedure Call, Remoteprozeduraufruf) wird jeweils eine Instanz einer Named Pipe für jeden aktiven RPC-Aufruf (wie OpenPrinter) benötigt. Falls ein OpenPrinter-Aufruf nicht mehr reagiert, hält RPC diese Named Pipe-Verbindung geöffnet. RPC unterbricht diese Verbindung erst, wenn das Kontexthandle (d. h. OpenPrinters) geschlossen wurde.

Wenn beide der folgenden Bedingungen erfüllt sind, kann eine anonyme Verbindung (auch als Nullsitzung bekannt) geöffnet werden, welche die Named Pipe "\PIPE\spoolss" auf der Arbeitsstation, die als Server in Ihrem Peer-to-Peer-Netzwerk fungiert, nicht mehr schließt:

• Ihr Client hat sich mit einem freigegebenen Drucker auf dem Computer verbunden, der als Druckserver fungiert.
• Sie haben einen lokal freigegebenen Drucker auf einem oder mehreren Clients eingerichtet.

Wenden Sie eine der folgenden Methoden an, um Nullsitzungen auf Ihrer als Druckserver fungierenden Arbeitsstation zu verhindern. Dabei ist die erste Methode zu bevorzugen.

Methode 1

Unterbinden von Nullsitzungsverbindungen auf dem Windows-Computer, dessen Limit für eingehende Verbindungen überschritten wird und der einige zusätzliche Nullsitzungen anzeigt, entweder mithilfe der Gruppenrichtlinien-Benutzeroberfläche oder durch Festlegen eines Registrierungsschlüssels

Verwenden der Gruppenrichtlinie "Benutzerschnittstelle" (MMC-Snap-In Lokale Sicherheitsrichtlinie)

1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
   
   Hinweis: Falls Sie diesen Schritt nicht ausführen können, weil Verwaltung nicht unter Programme aufgeführt ist, klicken Sie auf Start, zeigen Sie auf Einstellungen und dann auf Systemsteuerung, doppelklicken Sie auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
   
   Hinweis: In Windows XP kann der
   RestrictAnonymous
   -Unterschlüssel den Wert 0 oder 1 haben. Der Wert 1 schränkt Nullsitzungsverbindungen auf Windows XP-basierten Clients ein. Um die Aufzählung der SAM-Accounts zu regulieren, wurde der folgende Registrierungsunterschlüssel hinzugefügt:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymoussam
   Die Richtlinie ist konfigurierbar über die lokalen Sicherheitseinstellungen unter Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben.
2. Doppelklicken Sie unter Sicherheitseinstellungen auf Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
3. Doppelklicken Sie auf Weitere Einschränkungen für anonyme Verbindungen, und klicken Sie anschließend unter Einstellung der lokalen Richtlinie auf Kein Zugriff ohne explizite anonyme Berechtigung.
4. Starten Sie den Computer neu.

Diese Richtlinie schränkt Nullsitzungen ein.

Verwendung des Registrierungs-Editors

Wichtig: Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung eine Sicherungskopie der Registrierung erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
Gehen Sie folgendermaßen vor, um Nullsitzungsverbindungen einzuschränken (oder den Zugriff für Nullsitzungen zu deaktivieren):

1. Starten Sie den Registrierungs-Editor.
2. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie darauf:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
   Wertname: RestrictAnonymous
   Datentyp: REG_DWORD
   Wert: 2
   Standard: 0
   
   Der Wert 2 schränkt Nullsitzungsverbindungen ein.
   
   Ändern Sie den Registrierungsschlüssel in 0 oder 1 für Windows NT 4.0 oder in 0, 1 oder 2 für Windows 2000, um den Wert für RestrictAnonymous festzulegen. Diese Zahlen entsprechen den folgenden Einstellungen:
   • 0 Keine. (Standardberechtigungen verwenden).
   • 1 Aufzählung von SAM-Konten und -Namen nicht zulassen.
   • 2 Kein Zugriff ohne explizite anonyme Berechtigung
4. Starten Sie den Computer neu.

Methode 2

Verwenden Sie die folgende Methode, um Nullsitzungen zu vermeiden, die eine hohe Leerlaufzeit haben und ein Handle zur Named Pipe "\PIPE\spoolss" geöffnet haben.

Entfernen der Druckerfreigabe auf Clients

Stellen Sie fest, auf welchen Clients lokale Druckerfreigaben aktiviert sind (siehe Abschnitt "Weitere Informationen"), und entfernen Sie alle lokalen Druckerfreigaben auf diesen Computern:

1. Öffnen Sie den Ordner Drucker, um zu überprüfen, ob Sie einen lokalen Drucker freigegeben haben.
2. Öffnen Sie das Fenster Eigenschaften des freigegebenen Druckers, und klicken Sie dann auf Freigabe.
3. Aktivieren Sie die Option Nicht freigegeben.

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Auf Computern mit Windows NT Workstation 4.0, Windows 2000 Professional und Windows XP Professional sind aus Lizenzgründen maximal 10 gleichzeitige eingehende Client-Sitzungen zulässig. Auf Computern mit Windows XP Home Edition sind aus Lizenzgründen maximal 5 gleichzeitige eingehende Client-Sitzungen möglich. Alle Verbindungen mit logischen Laufwerken und logischen Druckern sowie Verbindungen auf Transportebene, die von einem einzigen Computer ausgehen, gelten zusammen als eine einzige Sitzung.

Wenn der Serverdienst bereits die maximale Anzahl an geöffneten Sitzungen beansprucht und ein Benutzer versucht, eine Ressource zu reservieren, gibt der Computer die Fehlermeldungen zurück, die im Abschnitt "Problembeschreibung" dieses Artikels aufgeführt sind.

In der Regel hat ein Computer nicht mehrere Sitzungen mit einem anderen Computer geöffnet. Es gibt jedoch Ausnahmen. Nehmen wir an, auf Computer A wird ein Dienst nicht im Kontext des angemeldeten Benutzers, sondern in einem anderen Benutzerkontext ausgeführt, und dieser Dienst stellt eine logische Verbindung mit Computer B her. Die logische Verbindung kann aus Dateifreigaben, Druckern und seriellen Anschlüssen sowie aus der Kommunikation zwischen Computern über Named Pipes und Mailslots resultieren.

Verwenden Sie die folgenden Befehle, um Informationen zu Sitzungen sowie geöffneten Dateien und freigegebenen Ressourcen zu erhalten.

Informationen zu aktiven Sitzungen auf dem Computer, auf dem der Serverdienst ausgeführt wird

Geben Sie den folgenden Befehl ein, um Informationen zu aktiven Sitzungen auf dem Computer zu erhalten, auf dem der Serverdienst ausgeführt wird: Zählen Sie die Anzahl der geöffneten Sitzungen, um festzustellen, ob das Sitzungslimit von 10 (bzw. 5 im Fall von Windows XP Home Edition) bereits erreicht ist. In der Regel gibt es nur eine Sitzung pro Remoteclient.

Falls es mehrere Sitzungen von einem Remoteclient gibt, sehen Sie sich den Kontext Benutzername auf dem Remoteclient an, der mehr als eine Sitzung aufgebaut hat:

• Überprüfen Sie alle Dienste, die gerade ausgeführt werden, und finden Sie heraus, ob Dienste im Benutzerkontext des Benutzers ausgeführt werden, der in der Sitzungstabelle aufgeführt ist.
• Sehen Sie nach, ob es geplante Tasks gibt, die über ein Anmeldeskript ausgeführt werden, bei dem ein anderes Benutzerkonto verwendet wird als das des Anmelders.
• Suchen Sie nach Reihen, in denen die Spalte Benutzername leer ist, und überprüfen Sie die Leerlaufzeit.

Bei einer Sitzung mit leerem Benutzerkontext handelt es sich um eine Nullsitzung.

Temporäre Nullsitzungen werden normalerweise durch IPC$-Verbindungen als erster Schritt beim Herstellen einer Verbindung verursacht. Sie bleiben 30 bis 90 Sekunden lang aktiv.

Hinweis: Verwenden Sie den folgenden Befehl, um Sitzungen von Clientcomputern zu beenden: Mit diesem Befehl werden alle Sitzungen dieses Computers getrennt und sämtliche geöffneten Dateien geschlossen. Dieser Befehl kann einen Datenverlust zur Folge haben, wenn geöffnete Dateien geschlossen werden, die nicht gespeichert wurden.

Informationen zu geöffneten Dateien

Geben Sie den folgenden Befehl ein, um Informationen zu Dateien zu erhalten, die auf dem Computer geöffnet sind, auf dem der Serverdienst ausgeführt wird: Wenn Sie in der Sitzungstabelle Nullsitzungen von Benutzern bemerkt haben, die dauerhaft geöffnet sind, stellen Sie fest, welche Datei oder Pipe der Nullbenutzer verwendet.

Informationen zur NetBIOS-Verbindungstabelle

Geben Sie den folgenden Befehl ein, um eine Liste der ein- und ausgehenden Verbindungen und des Datenverkehrs über diese Verbindungen anzuzeigen:

Informationen zu freigegebenen Ressourcen

Gehen Sie den folgenden Befehl ein, um Dateifreigaben, versteckte administrative Freigaben oder freigegebene Drucker anzuzeigen: Möglicherweise sind weitere Schritte zur Problembehandlung erforderlich, um festzustellen, wieso ein Client mehrere Sitzungen ausführt.

Ermitteln Sie mithilfe des Netzwerkmonitors die Komponente, die für den Aufbau der zusätzlichen Sitzung verantwortlich ist. Überprüfen Sie darüber hinaus, welcher Sicherheitskontext für die SMB-Sitzung verwendet wird. Verwenden Sie den Parser "R_WINSPOOL" im Netzwerkmonitor, um den Datenverkehr herauszufiltern, der durch die Druckerwarteschlangen erzeugt wird. Wenn ein Windows-Computer nach anderen Computern sucht, die als Druckerwarteschlangen-Server fungieren, verwendet er dazu die Transaktionen "NetShareEnum" über das RemAPI-Protokoll (auch als Microsoft Windows Lanman Remote API-Protokoll bezeichnet). Bei der Verwendung einer NetShareEnum-Transaktion wird standardmäßig lediglich der anonyme Zugriff benötigt, um NetServerEnum2- und NetServerEnum3-Anfragen zu senden. Auf Windows-Betriebssystemen sind anonyme Zugriffe standardmäßig aktiviert.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base: