Устранение неполадок протокола SMB, связанных с ограничением на число входящих подключений в рабочей группе Windows в одноранговой сети

Переводы статьи Переводы статьи
Код статьи: 328459 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

При попытке подключиться в рабочей группе в одноранговой сети к сетевому ресурсу компьютера, работающего под управлением любого из продуктов, перечисленных в начале данной статьи, появляется одно из приведенных ниже сообщений об ошибке.
Operating system error 71 (ошибка операционной системы 71).

Дополнительные подключения к этому удаленному компьютеру в настоящее время невозможны, поскольку число подключений к компьютеру достигло предела.


Системная ошибка 71.

This remote computer has reached its connection limit, you cannot connect at this time (этот удаленный компьютер достиг предельного количества подключений, подключиться в настоящее время невозможно).
Данная проблема возникает, когда число подключений узлов к компьютеру достигает максимально допустимого значения. В этом случае, если клиент Microsoft Windows 2000 создает подключение пустого сеанса, данное подключение учитывается сервером на основе Microsoft Windows XP как один сеанс. Поэтому даже если число подключений не превышает максимально допустимого значения, появляются сообщения об ошибке, описанные в разделе "Проблема".

Кроме того, если один клиентский компьютер с Windows 2000 создает несколько пустых сеансов, данные сеансы учитываются как несколько отдельных сеансов. При выполнении команды net session пустой сеанс отображается как отдельный сеанс. В данном случае, если установлен параметр реестра RestrictAnonymous, и подключение пустого сеанса отклонено, ошибка все равно возникает.

Примечания.
  • Максимально допустимое количество одновременных сетевых подключений для компьютеров под управлением операционной системы Windows XP Professional составляет 10. Данное ограничение распространяется на все протоколы передачи данных и предоставления доступа к ресурсам. Максимально допустимое количество одновременных сетевых подключений для компьютеров под управлением операционной системы Windows XP Home Edition составляет 5. Это ограничение указывает на количество сеансов от других компьютеров, которые могут быть одновременно размещены. Поэтому невозможно использовать средства администрирования для подключения к системе с удаленного компьютера.
  • При подключении нескольких пустых сеансов с одного компьютера учитывается каждый из них.
  • С помощью команды net session можно проверить только один сеанс IPC$. Например, если один компьютер под управлением Windows 2000 пытается использовать несколько сеансов IPC$, одновременно может использоваться только один сеанс IPC$.
  • Параметр RestrictAnonymous не используется для разрешения проблемы.

Причина

Клиентская рабочая станция Windows может открыть подключение по именованному каналу \PIPE\spoolss к серверу печати или рабочей станции с общим принтером. Обычно это происходит при запуске программы, которая запрашивает принтеры (например, Microsoft Word), или при открытии папки "Принтеры" в панели управления. Буферизация принтера на клиентском компьютере и сервере открывает дескриптор, относящийся к этому подключению.
Удаленный вызов процедур (RPC) требует наличия одного экземпляра именованного канала для каждого активного вызова RPC (например OpenPrinter). Если вызов OpenPrinter прекращает отвечать на запросы, удаленный вызов процедур (RPC) держит подключение по именованному каналу открытым. Удаленный вызов процедур (RPC) не закрывает это подключение до тех пор, пока не будет закрыт дескриптор контекста (т. е. OpenPrinters).

Если оба приведенных ниже условия верны, можно открыть постоянное анонимное подключение (также называемое подключение пустого сеанса) по именованному каналу \PIPE\spoolss на рабочей станции, которая выполняет в одноранговой сети роль сервера.
  • Клиентский компьютер подключился к общему принтеру на компьютере, который исполняет роль сервера печати.
  • На одном или нескольких клиентских компьютерах настроен локальный общий принтер.

Решение

Воспользуйтесь приведенными ниже способами, чтобы ограничить количество подключений пустых сеансов к рабочей станции, исполняющей роль сервера печати. Рекомендуется использовать первый способ.

Способ 1

Запретите подключения пустых сеансов к компьютеру Windows, на котором превышено допустимое количество входящих подключений и отображаются дополнительные подключения пустых сеансов, с помощью графического пользовательского интерфейса групповой политики или посредством настройки раздела реестра.

Использование интерфейса пользователя групповой политики (оснастка консоли управления (MMC) "Локальная политика безопасности")

  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Локальная политика безопасности.

    Примечание. Если пункт Администрирование отсутствует в списке Программы, нажмите кнопку Пуск, выберите в меню Настройки пункт Панель управления, два раза щелкните значок Администрирование и запустите оснастку Локальная политика безопасности.

    Примечание. В Windows XP подраздел
    RestrictAnonymous
    может иметь значение 0 или 1. Значение 1 ограничивает подключения пустых сеансов на клиентских компьютерах с Windows XP. Для управления перечислением учетных записей SAM был добавлен приведенный ниже подраздел.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymoussam
    Политика настраивается в окне "Локальные параметры безопасности" в разделе Параметры безопасности\Локальные политики\Параметры безопасности\Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями.
  2. В разделе Параметры безопасности два раза щелкните компонент Локальные политики, а затем — раздел Параметры безопасности.
  3. Дважды щелкните пункт Дополнительные ограничения для анонимных подключений и выберите в разделе Параметр локальной политики: параметр Нет доступа без явного разрешения анонимного доступа.
  4. Перезагрузите компьютер.
Эта политика ограничивает подключения пустых сеансов.

Использование редактора реестра

Внимание! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра. Однако их неправильное изменение может привести к серьезным проблемам. Поэтому такие действия необходимо выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Чтобы ограничить подключения пустых сеансов (или отключить доступ для пустых сеансов), выполните указанные ниже действия.
  1. Запустите редактор реестра.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. В меню Правка выберите команду Создать параметр, чтобы создать параметр с указанными ниже характеристиками.
    Имя параметра: RestrictAnonymous
    Тип данных: REG_DWORD
    Значение: 2
    По умолчанию: 0
    Значение 2 ограничивает подключения пустых сеансов.

    Значения параметра RestrictAnonymous (0 или 1 на компьютере с Windows NT 4.0 и 0, 1 или 2 на компьютере с Windows 2000) соответствуют указанным ниже настройкам.
    • 0 — Отключен. Использовать разрешения по умолчанию.
    • 1 — Не разрешать перечисление учетных записей и имен SAM.
    • 2 — Нет доступа без явного разрешения анонимного доступа.
  4. Перезагрузите компьютер.

Способ 2

Воспользуйтесь приведенным ниже способом, чтобы запретить подключения пустых сеансов, которые имеют большое время простоя и открывают дескриптор на именованный канал \PIPE\spoolss.

Удаление общих принтеров на клиентских компьютерах

Определите клиентские компьютеры с установленными локальными общими принтерами (см. раздел "Дополнительные сведения") и удалите все локальные общие принтеры на этих компьютерах.
  1. Откройте папку Принтеры, чтобы проверить наличие локального общего принтера.
  2. Откройте диалоговое окно Свойства общего принтера и щелкните вкладку Доступ.
  3. Установите флажок Общий доступ отсутствует.

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе "Информация в данной статье применима к".

Дополнительная информация

Согласно условиям лицензии, на компьютерах с Windows NT Workstation 4.0, Windows 2000 Professional и Windows XP Professional количество одновременных входящих клиентских сеансов не может быть более 10. На компьютерах под управлением Windows XP Home Edition лицензия допускает не более 5 одновременных входящих клиентских сеансов. Все подключения логических дисков, логических принтеров, а также подключения транспортного уровня с одного компьютера составляют один сеанс.

Если служба сервера уже открыла максимально допустимое количество сеансов и еще один пользователь пытается выделить ресурс, компьютер выдает сообщения об ошибке, приведенные в разделе "Проблема" этой статьи.

Обычно компьютер не открывает несколько сеансов с другим компьютером. Однако существуют исключения из этого правила. Например, на компьютере А запущена служба в контексте пользователя, отличном от пользователя, вошедшего в систему. Данная служба создает логическое подключение к компьютеру B. Это логическое подключение может быть следствием наличия общих папок, принтеров, последовательных портов, а также результатом обмена данными между компьютерами с использованием именованных каналов и почтовых слотов.

Воспользуйтесь приведенными ниже командами, чтобы получить сведения о сеансах, открытых файлах и общих ресурсах.

Сведения об активных сеансах на компьютере со службой сервера

Чтобы получить сведения об активных сеансах на компьютере со службой сервера, введите указанную ниже команду.
net session
Сосчитайте число открытых сеансов, чтобы определить, было ли достигнуто предельное число открытых сеансов — 10 (5 для Windows XP Home Edition). Обычно на один удаленный клиентский компьютер приходится один сеанс.

Если на один удаленный клиентский компьютер приходится несколько сеансов, просмотрите контекст имени пользователя этого удаленного компьютера.
  • Просмотрите все запущенные службы и найдите службу, запущенную в контексте пользователя, аналогичном имени пользователя в таблице сеансов.
  • Найдите назначенные задания, которые выполняются в сценарии входа в систему и используют учетную запись пользователя, отличающуюся от имени пользователя, вошедшего в систему.
  • Найдите строки, в которых столбец Имя пользователя пуст, и проверьте время простоя.
Сеанс с пустым контекстом пользователя — это пустой сеанс.

Обычно временные пустые сеансы связаны с подключениями к ресурсу IPC$ и являются первым этапом установления подключения. Период активности таких сеансов составляет 30—90 секунд.

Примечание. Чтобы отключить сеансы удаленного клиентского компьютера, используйте приведенную ниже команду.
net session /delete \\имя_компьютера
Эта команда отключает все сеансы данного компьютера и закрывает открытые файлы. Выполнение этой команды может привести к потере данных, если открытые файлы не были сохранены.

Сведения об открытых файлах

Чтобы получить сведения об открытых файлах на компьютере со службой сервера, введите указанную ниже команду.
net files
Если в таблице сеансов присутствовали постоянные подключения пустых сеансов, определите файл или канал, который используется неопределенным пользователем.

Сведения о таблице NetBIOS-подключений

Чтобы просмотреть список входящих и исходящих подключений с указанием объема трафика, создаваемого данными подключениями, введите приведенную ниже команду.
nbtstat -s

Сведения об общих ресурсах

Чтобы просмотреть общие файловые ресурсы, скрытые административные общие ресурсы и общие принтеры, введите приведенную ниже команду.
net share
Для определения причин возникновения нескольких клиентских сеансов могут потребоваться дополнительные действия.

Чтобы найти компоненты, которые открывают дополнительные сеансы, и определить контекст безопасности, который используется для сеансов SMB, воспользуйтесь сетевым монитором. Чтобы отфильтровать трафик, создаваемый буферизацией принтера, используйте в сетевом мониторе средство синтаксического анализа R_WINSPOOL. При поиске компьютеров, исполняющих роль серверов очереди печати, компьютер под управлением Windows использует транзакции NetShareEnum по протоколу RemAPI (также известному как Microsoft Windows Lanman Remote API Protocol). По умолчанию при использовании транзакции NetShareEnum необходим только анонимный доступ для выполнения запросов NetServerEnum2 и NetServerEnum3. По умолчанию анонимный доступ в операционных системах семейства Windows разрешен.

Дополнительные сведения см. в указанных ниже статьях базы знаний Майкрософт.
122920 Ограничение числа входящих подключений в Windows (эта ссылка может указывать на содержимое полностью или частично на английском языке)
132679 Системная учетная запись и неопределенные сеансы в Windows NT (эта ссылка может указывать на содержимое полностью или частично на английском языке)
143474 Ограничение доступа анонимных пользователей
149522 Системная ошибка 71 и диспетчер лицензий (эта ссылка может указывать на содержимое полностью или частично на английском языке)
154541 Клиентские компьютеры открывают большое количество подключений \Pipe\Spoolss к серверу печати WinNT (эта ссылка может указывать на содержимое полностью или частично на английском языке)
156431 Ошибка 71 при использовании Windows NT Server с компакт-диска MSDN Select (эта ссылка может указывать на содержимое полностью или частично на английском языке) (может быть на английском языке)
179483 Сообщение об ошибке: "В настоящее время создание дополнительных подключений невозможно"
191611 Некоторые вопросы использования многосетевых обозревателей
246261 Использование параметра реестра RestrictAnonymous в Windows 2000
289655 Включение совместного использования пустых сеансов на компьютере с Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке) (может быть на английском языке)
302099 Клиентские компьютеры с Windows 2000 при сопоставлении дисков одному серверу используют несколько подключений (эта ссылка может указывать на содержимое полностью или частично на английском языке) (может быть на английском языке)
314882 Ограничение числа входящих подключений в Windows XP
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 328459 - Последний отзыв: 29 апреля 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Ключевые слова: 
kbprb kbtshoot KB328459

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com