A kiszolgálói üzenetblokkok bejövõ kapcsolatokra vonatkozó korlátozásának hibaelhárítása egyenrangú Windows munkacsoportokban

Egy egyenrangú munkacsoport tagjaként mûködtetett, és a cikk elején említett termékek valamelyikét futtató számítógép hálózati erõforrásaihoz való kapcsolódási kísérlet az alábbi hibaüzeneteket eredményezheti:

Egy Windows ügyfélszámítógép egy nyomtatókiszolgáló vagy egy megosztott nyomtatóval rendelkezõ munkaállomás \PIPE\spoolss named pipe-jával létesítendõ kapcsolat megnyitását kezdeményezhette. Ez általában a nyomtatókat lekérdezõ programok (például a Microsoft Word) indításakor, illetve a Vezérlõpult Nyomtatók mappájának megnyitásakor fordul elõ. Ilyenkor mind az ügyfél, mind a kiszolgáló nyomtatásisor-kezelõje megnyit egy, a kapcsolathoz tartozó leírót.
A távoli eljáráshívásnak (RPC) minden aktív RPC-hívás (például OpenPrinter) esetén szüksége van egy named pipe példányra. Ha egy OpenPrinter hívás nem válaszol, az RPC szolgáltatás nyitva hagyja a named pipe kapcsolatot. Az RPC szolgáltatás a környezetleíró (ebben az esetben az OpenPrinters) bezárásáig nem bontja e kapcsolatot.

Ha mindkét alábbi feltétel teljesül, az is elképzelhetõ, hogy névtelen kapcsolat (más néven üres munkameneti kapcsolat) létesítésével próbálkozott, mely soha nem zárja az egyenrangú hálózatban kiszolgálóként funkcionáló munkaállomás \PIPE\spoolss named pipe-ját:

• Az ügyfél kapcsolatot létesített a „nyomtatókiszolgálóként” mûködõ számítógép egyik megosztott nyomtatójával.
• Legalább egy ügyfélen be van állítva egy helyi megosztott nyomtató.

A nyomtatókiszolgálóként funkcionáló munkaállomáson az alábbi módszerek bármelyikével korlátozhatja az üres munkamenet-kapcsolatokat. A javasolt módszer az elsõként ismertetett eljárás.

1. módszer

A Csoportházirend felhasználói felületének használatával, vagy a megfelelõ rendszerleíró kulcs beállításával tiltsa le az üres munkameneti kapcsolatokat azon a Windows rendszert futtató számítógépen, melyen a beérkezõ kapcsolatok száma túllépi a korlátot, és a kapcsolatok között üres munkamenet-kapcsolatok is találhatók.

A Csoportházirend felhasználói felületének (Helyi biztonsági házirend MMC beépülõmodul) használata

1. Mutasson a Start menü Programok almenüjének Felügyeleti eszközök pontjára, majd kattintson a Helyi biztonsági házirend parancsra.
   
   MEGJEGYZÉS: Ha ezt a lépést nem tudja végrehajtani, mert a Felügyeleti eszközök menüpont nem jelenik meg a Programok menüben, kattintson a Start gombra, mutasson a Beállítások, majd a Vezérlõpult pontra, kattintson duplán a Felügyeleti eszközök elemre, végül kattintson a Helyi biztonsági házirend parancsra.
2. Kattintson duplán a Biztonsági beállítások fa Helyi házirend elemére, majd kattintson a Biztonsági beállítások elemre.
3. Kattintson a Névtelen kapcsolatok további korlátozása házirendelemre, majd a Helyi házirendi szabály: csoport Névtelen hozzáférés csak külön engedéllyel elemére.
4. Indítsa újra a számítógépet.

A házirend korlátozást vezet be az üres munkameneti kapcsolatokra.

A Rendszerleíróadatbázis-szerkesztõ használata

FIGYELEM: A Rendszerleíróadatbázis-szerkesztõ helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztõ nem megfelelõ használata miatt fellépõ problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztõt saját kockázatára használhatja.

Az üres munkamenet-kapcsolatok korlátozása (vagy az üres munkamenetek elérésének tiltása):

1. Indítsa el a Rendszerleíróadatbázis-szerkesztõt.
2. A rendszerleíró adatbázisban keresse meg az alábbi rendszerkulcsot, majd kattintson rá:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
3. Kattintson a Szerkesztés menü Azonosító hozzáadása elemére, majd adja hozzá az alábbi azonosítót és értéket:
   Azonosítónév: RestrictAnonymous
   Adattípus: REG_DWORD
   Érték: 2
   Alapértelmezés: 0
   
   A 2-es érték korlátozza az üres munkameneti kapcsolatokat.
   
   A RestrictAnonymous azonosító értékének beállításához Windows NT 4.0 rendszeren állítsa az azonosító értékét a 0 vagy 1, Windows 2000 rendszeren a 0, 1 vagy 2 értékre. Az értékek az alábbi beállításoknak felelnek meg:
   • 0: Nincs megszorítás. A rendszer az alapértelmezett engedélyek szerint jár el.
   • 1: A SAM-fiókok és -nevek felsorolása nem engedélyezett.
   • 2: Névtelen hozzáférés csak külön engedéllyel.
4. Indítsa újra a számítógépet.

2. módszer

Az alábbi módszerrel azon üres munkameneti kapcsolatok elkerülésére van mód, melyek munkameneti üresjárati ideje magas, és leírót nyitottak a \PIPE\spoolss named pipe-hoz.

A nyomtatómegosztás eltávolítása az ügyfeleken

Állapítsa meg, mely ügyfeleken engedélyezett a helyi nyomtatók megosztása (errõl további információt a cikk „További információ” címû szakaszában talál), majd az alábbi módon mindezen számítógépeken távolítsa el az összes helyi nyomtatómegosztást:

1. A Nyomtatók mappát megnyitva ellenõrizze, hogy valamely helyi nyomtató meg van-e osztva.
2. Nyissa meg a megosztott nyomtató Tulajdonságok ablakát, és kattintson a Megosztás lapra.
3. Kattintson a Ne legyen megosztva a nyomtató választógombra.

A Microsoft megerosítette a hiba létezését a cikk elején a "Kapcsolódó témakör" részben felsorolt Microsoft termékekben.

A Windows NT Workstation 4.0, Windows 2000 Professional és Windows XP Professional rendszereket futtató számítógépek a licencszerzõdések értelmében legfeljebb 10 egyidejû bejövõ ügyfélmunkamenettel rendelkezhetnek. A Windows XP Home Edition rendszert futtató számítógépek esetén a licencszerzõdés legfeljebb 5 egyidejû bejövõ ügyfélmunkamenetet engedélyez. Az egy számítógéprõl eredeztethetõ összes logikai meghajtó, helyi nyomtató és szállításiréteg-szintû kapcsolat egyetlen munkamenetnek minõsül.

Ha a kiszolgálószolgáltatás elérte a nyitott munkamenetek számának felsõ korlátját, és újabb felhasználó próbál meg erõforrást lefoglalni, a számítógép a cikk fentebb található, „A jelenség” szakaszában ismertetett hibaüzenetekkel tér vissza.

Két számítógép között rendszerint nincsenek többszörös munkamenetek. Ennek ellenére elõfordulhatnak kivételek. Ilyen eset például, ha az A jelû számítógép a bejelentkezett felhasználóétól különbözõ felhasználói környezetben futtat egy szolgáltatást, és a szolgáltatás logikai kapcsolatot létesít a B jelû számítógéppel. Ezt a logikai kapcsolatot fájlmegosztások, nyomtatók, soros portok, de akár a két számítógép között named pipe-okon vagy mail slot-okon keresztül zajló kommunikáció is létrehozhatják.

A munkamenetekrõl, illetve a nyitott fájlokról és megosztott erõforrásokról az alábbi parancsokkal kaphat információt.

Információ a kiszolgálószolgáltatást futtató számítógép aktív munkameneteirõl

A kiszolgálószolgáltatást futtató számítógép aktív munkameneteirõl az alábbi parancs kiadásával kaphat információt: A nyitott munkamenetek megszámlálásával gyõzõdhet meg arról, hogy a rendszer elérte-e a munkamenetek számának felsõ határaként megszabott 10-es (Windows XP Home Edition rendszer esetén 5-ös) értéket. Rendszerint egy távoli ügyfélhez egyetlen munkamenet tartozik.

Ha több kapcsolat is tartozik ugyanahhoz a távoli ügyfélhez, azon tekintse meg a Felhasználónév környezetet:

• Tekintse meg az összes futó szolgáltatást, és állapítsa meg, van-e olyan, mely a munkamenet-táblázatban feltüntetett felhasználóhoz tartozó felhasználói környezetben fut.
• Keressen olyan ütemezett feladatokat, melyek a bejelentkezési parancsfájl részeként, a bejelentkezõ felhasználóétól eltérõ felhasználói környezetben futnak.
• Keresse meg azokat a sorokat, melyekben a Felhasználónév oszlop értéke üres, és figyelje meg azok üresjárati idejét.

Az üres felhasználói környezettel rendelkezõ munkamenetek neve üres munkamenet.

Az ideiglenes üres munkameneteket rendszerint a kapcsolatlétesítés elsõ lépésében járó IPC$ kapcsolatok okozzák. Ezek a kapcsolatok 30-90 másodpercig aktívak.

MEGJEGYZÉS: Az ügyfélszámítógépek munkameneteinek leválasztásához az alábbi parancs áll rendelkezésére: A parancs a megadott számítógép minden munkamenetét bontja, és minden nyitott fájlt bezár. A parancs adatvesztést okozhat, ha nem mentett nyitott fájlokat kell bezárnia.

Információk a nyitott fájlokról

Ha a nyitott fájlokról szeretne információt kapni, a kiszolgálószolgáltatást futtató számítógépen adja ki az alábbi parancsot: Ha a munkamenet-táblázatban állandó üres felhasználói munkamenetek is szerepelnek, állapítsa meg, az üres felhasználó mely fájlokat és pipe-okat használja.

Információ a NetBIOS kapcsolatok táblázatáról

A bejövõ és kimenõ kapcsolatok listájának, valamint az általuk bonyolított forgalom mértékének megtekintéséhez adja ki az alábbi parancsot:

Információ a megosztott erõforrásokról

A fájlmegosztások, a rejtett felügyeleti (rendszergazdáknak szóló) megosztások és a megosztott nyomtatók megtekintéséhez adja ki az alábbi parancsot: Elképzelhetõ, hogy a többszörös ügyfélmunkamenetek okának feltárása érdekében további problémamegoldási lépéseket kell tennie.

A Hálózatfigyelõ segítségével megállapíthatja, mely összetevõ kezdeményezi egy újabb munkamenet létrehozását, és hogy a kiszolgálói üzenetblokk (SMB-) munkamenet milyen biztonsági környezetet használ. A nyomtatásisor-kezeléssel kapcsolatos forgalom szûréséhez használja a Hálózatfigyelõ R_WINSPOOL elemzõjét. A Windows alapú számítógépek a RemAPI (más néven Microsoft Windows Lanman Remote API Protocol) protokollon keresztüli NetShareEnum tranzakciókkal kutatják fel a nyomtatásisor-kiszolgálóként üzemelõ számítógépeket. Alapértelmezés szerint egy NetShareEnum tranzakció csak a NetServerEnum2 és NetServerEnum3 kérelmekhez szükséges névtelen hozzáférés kérelmezését hajtja végre. A Windows operációs rendszerben alapértelmezés szerint engedélyezett a névtelen hozzáférés.

További információt a Microsoft Tudásbázis következõ cikkeiben talál a cikkek számára kattintva: