現在オフラインです。再接続するためにインターネットの接続を待っています

ピア ツー ピアの Windows ワークグループにおけるサーバー メッセージ ブロック着信接続の制限のトラブルシューティング

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
現象
ピア ツー ピアのワークグループで、この資料の対象製品として記載されている製品を実行するコンピュータのネットワーク リソースに接続すると、以下のいずれかのエラー メッセージが表示されることがあります。
システム エラー 71 が発生しました。

コンピュータへの接続数が最大値に達しているため、これ以上このリモート コンピュータに接続できません。


System error 71 has occurred.

This remote computer has reached its connection limit, you cannot connect at this time.
この問題は、コンピュータで許可されているホスト接続が最大数に達したときに発生します。Microsoft Windows 2000 クライアントで NULL セッション接続が生成されると、この NULL セッション接続が Microsoft Windows XP ベースのサーバーで 1 つのセッションとしてカウントされます。このため、コンピュータへの接続数が制限を超えていない場合でも、「現象」に記載されているエラー メッセージが表示されます。

さらに、1 台の Windows 2000 クライアント コンピュータから複数の NULL セッションが生成されると、複数の NULL セッションはそれぞれ別々のセッションとしてカウントされます。ただし、net session コマンドを実行したときには、1 つの NULL セッションしか検出されず、1 つのセッションとして表示されます。このとき、RestrictAnonymous レジストリ エントリが設定され、NULL セッション接続が拒否されていても、この現象は発生します。

  • Windows XP Professional ベースのコンピュータで許可されている同時ネットワーク接続の最大数は 10 です。この制限には、すべての転送プロトコルおよびリソース共有プロトコルが含まれています。Windows XP Home Edition ベースのコンピュータで許可されている同時ネットワーク接続の最大数は 5 です。この制限は、一度にホストできる他のコンピュータからのセッション数です。このため、リモート コンピュータからシステムへの接続に、管理ツールの利用状況を使用することはできません。
  • 1 台のコンピュータから複数の NULL セッションで接続しているときは、それぞれが 1 つのセッションとしてとカウントされます。
  • net session コマンドを使用すると、1 つの IPC$ のみをチェックできます。たとえば、1 台の Windows 2000 ベースのコンピュータで複数の IPC$ セッションを使用する場合、一度に使用できるのは、1 つの IPC$ セッションのみです。
  • RestrictAnonymous を使用してもこの問題は解決されません。
原因
Windows クライアント ワークステーションが、共有プリンタが接続されたプリント サーバーまたはワークステーション上の名前付きパイプ \PIPE\spoolss へのパイプ接続を開いた可能性があります。これは通常、プリンタをクエリするプログラム (Microsoft Word など) を起動した場合や、コントロール パネルの [プリンタ] フォルダを開いた場合に発生します。クライアントとサーバーのプリンタ スプールによって、この接続に関連するハンドルが開かれます。
リモート プロシージャ コール (RPC) には、アクティブな RPC 呼び出し (OpenPrinter など) ごとに 1 つの名前付きパイプ インスタンスが必要です。OpenPrinter 呼び出しが応答を停止すると、RPC は名前付きパイプ接続を開いたままにします。RPC は、コンテキスト ハンドル (OpenPrinter) が閉じられるまで、この接続を切断しません。

以下の両方の条件に該当する場合、ピア ツー ピア ネットワークでサーバーとして機能するワークステーション上の名前付きパイプ \PIPE\spoolss を閉じない匿名接続 (NULL セッション接続とも呼ばれます) が開かれることがあります。
  • プリント サーバーとして機能するコンピュータ上の共有プリンタにクライアントが接続されています。
  • 1 つ以上のクライアントにローカル共有プリンタがセットアップされています。
解決方法
以下のいずれかの方法を使用して、プリント サーバーとして機能するワークステーション上の NULL セッション接続を制限します。方法 1 を推奨します。

方法 1

着信接続の制限を超え、追加の NULL セッション接続が作成される Windows コンピュータ上で、グループ ポリシー GUI を使用するか、レジストリ キーを設定して、NULL セッション接続を無効にします。

グループ ポリシー ユーザー インターフェイス (ローカル セキュリティ ポリシー MMC スナップイン) の使用

  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。

    : [すべてのプログラム] の一覧に [管理ツール] が表示されないため、この手順を実行できない場合は、[スタート] ボタンをクリックし、[設定]、[コントロール パネル] の順にポイントし、[管理ツール] をダブルクリックし、[ローカル セキュリティ ポリシー] をダブルクリックします。

    : Windows XP では、
    RestrictAnonymous
    サブキーの値は 0 または 1 です。値 1 は Windows XP ベースのクライアントの NULL セッション接続を制限します。SAM アカウントの列挙規則に対応して、次の新しいレジストリ サブキーが追加されました。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymoussam
    ポリシーは、[セキュリティの設定\ローカル ポリシー\セキュリティのオプション\ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない] の下にある [ローカル セキュリティ設定] 経由で構成可能です。
  2. [セキュリティの設定] の下の [ローカル ポリシー] をダブルクリックし、[セキュリティ オプション] をクリックします。
  3. [匿名接続の追加を制限する] をダブルクリックし、[ローカル ポリシーの設定] ボックスの一覧の [明示的な匿名アクセス権がない場合アクセスを許可しない] をクリックします。
  4. コンピュータを再起動します。
このポリシーによって、NULL セッション接続が制限されます。

レジストリ エディタの使用

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
NULL セッション接続を制限する (NULL セッションのアクセスを無効にする) には、以下の手順を実行します。
  1. レジストリ エディタを起動します。
  2. レジストリで次のキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
    値の名前 : RestrictAnonymous
    データの種類 : REG_DWORD
    値のデータ : 2
    デフォルト値 : 0
    値を 2 に設定すると、NULL セッション接続が制限されます。

    RestrictAnonymous 値を設定するには、Windows NT 4.0 および Windows XP Professional ではレジストリ キーを 0 または 1 に、Windows 2000 では 0、1、または 2 に変更します。Windows 2000 の場合、これらの数値は、以下の設定に対応しています。
    • 0 [なし (既定のアクセス権に依存)]
    • 1 [SAM のアカウントと共有の列挙を許可しない]
    • 2 [明示的な匿名アクセス権がない場合アクセスを許可しない]
  4. コンピュータを再起動します。

方法 2

次の方法を使用して、セッション アイドル時間が長く、名前付きパイプ \PIPE\spoolss へのハンドルを開いた NULL セッション接続を無効にします。

クライアント上のプリンタ共有の削除

ローカル プリンタ共有が有効なクライアントを特定し (関連情報については、「詳細」を参照してください)、これらのコンピュータ上のすべてのローカル プリンタ共有を削除します。
  1. [プリンタ] フォルダを開き、ローカル プリンタを共有しているかどうかを確認します。
  2. 共有プリンタの [プロパティ] ウィンドウを開き、[共有] タブをクリックします。
  3. [共有しない] をクリックします。
状況
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
詳細
Windows NT Workstation 4.0、Windows 2000 Professional、および Windows XP Professional を実行するコンピュータには、最大 10 個までの同時クライアント着信セッションのライセンスがあります。Windows XP Home Edition を実行するコンピュータには、最大 5 個までの同時クライアント着信セッションのライセンスがあります。1 台のコンピュータからの論理ドライブ、論理プリンタ、およびトランスポート レベルの接続は、1 セッションと数えられます。

サーバー サービスによって既に最大数のセッションが開かれている場合に、別のユーザーがリソースの割り当てを要求すると、この資料の「現象」に記載されているエラー メッセージがコンピュータから返されます。

通常、あるコンピュータから別のコンピュータへのセッションが複数作成されることはありませんが、例外もあります。たとえば、コンピュータ A で、ログオンしているユーザーとは別のユーザー コンテキストでサービスが実行され、そのサービスによりコンピュータ B への論理接続が作成される場合があります。論理接続は、ファイル共有、プリンタ、シリアル ポート、および名前付きパイプとメール スロットを使用するコンピュータ間の通信によって発生します。

以下のコマンドを使用して、セッション、開いているファイル、および共有リソースに関する情報を取得します。

サーバー サービスを実行しているコンピュータ上のアクティブなセッションに関する情報

サーバー サービスを実行しているコンピュータ上のアクティブなセッションに関する情報を表示するには、次のコマンドを入力します。
net session
開いているセッションの数が上限である 10 (Windows XP Home Edition では 5) に達しているかどうかを確認します。通常、リモート クライアントごとのセッションは 1 つのみです。

リモート クライアントからのセッションが複数ある場合は、そのリモート クライアントの "ユーザー名" 列の内容を確認します。
  • 実行しているサービスをすべて確認し、セッション テーブルに表示されたユーザー名のユーザー コンテキストでサービスが実行されているかどうかを確認します。
  • ログオン スクリプトで実行され、ログインしたユーザーとは別のユーザー アカウントを使用している、スケジュールされたタスクを探します。
  • "ユーザー名" 列が空になっている行のアイドル時間を確認します。
"ユーザー名" 列が空のセッションは、NULL セッションです。

通常、一時的な NULL セッションは、接続を確立するための第 1 段階として、IPC$ 接続によって作成されます。NULL セッションがアクティブな期間は 30 ~ 90 秒間です。

: クライアント コンピュータ セッションを切断するには、次のコマンドを使用します。
net session /delete \\computername
このコマンドは、そのコンピュータからの接続をすべて切断し、開いているファイルをすべて閉じます。このコマンドによって、開いたままでデータが保存されていないファイルが閉じられると、データが失われることがあります。

開いているファイルに関する情報

サーバー サービスを実行しているコンピュータ上の開いているファイルに関する情報を表示するには、次のコマンドを入力します。
net files
セッション テーブルに永続的な NULL ユーザー セッションが表示される場合は、NULL ユーザーが使用しているファイルまたはパイプを確認します。

NetBIOS 接続テーブルに関する情報

着信接続と発信接続、およびこれらの接続で転送されるトラフィックの量を参照するには、次のコマンドを入力します。
nbtstat -s

共有リソースに関する情報

ファイル共有、非表示の管理用共有、および共有プリンタを表示するには、次のコマンドを入力します。
net share
クライアント セッションが複数存在する原因を特定するには、より詳細なトラブルシューティングが必要な場合があります。

ネットワーク モニタを使用して、追加セッションを開始したコンポーネントと、サーバー メッセージ ブロック (SMB) セッションに使用されたセキュリティ コンテキストを確認します。プリンタ スプールによるトラフィックをフィルタするには、ネットワーク モニタで R_WINSPOOL パーサーを使用します。Windows ベースのコンピュータから印刷キュー サーバーとして機能するコンピュータが検索される場合、RemAPI プロトコル (Microsoft Windows Lanman Remote API プロトコルとも呼ばれます) を介して NetShareEnum トランザクションが使用されます。デフォルトでは、NetShareEnum トランザクションを使用するとき、NetServerEnum2 要求および NetServerEnum3 要求を匿名アクセスで実行できます。デフォルトでは、Windows オペレーティング システムの匿名アクセスは有効になっています。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
122920 Windows における着信接続数の制限
132679 Windows NT のローカル システム アカウントと Null セッション
143474 匿名ログオン ユーザーがアクセスできる情報の制限
149522 システム エラー 71 とライセンス マネージャ
154541 クライアントが WinNT プリント サーバーに対して多数の \Pipe\Spoolss 接続を開く
156431 MSDN Select CD から NT Server を使用するとエラー 71 が発生する
179483 [NT] これ以上このリモート コンピュータに接続できません
191611 マルチホーム化されたブラウザに関する問題
246261 Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
289655 Windows 2000 ベースのコンピュータで NULL セッション共有を有効にする方法
302099 Windows 2000 クライアントで複数の接続が使用される
314882 Windows XP における着信接続の制限
Error71, 10 user limit, connection, nullsession, nulluser, license, winspool:RpcGetPrinter RpcSetAllocFailCount, winspool opnum 0x45,
プロパティ

文書番号:328459 - 最終更新日: 08/13/2007 02:48:00 - リビジョン: 6.0

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • kbtshoot kbprb KB328459
フィードバック