Достигнут предел безопасности для tcp ip windows xp

Решение: Достигнут предел безопасности для TCP/IP

Здравствуйте уважаемые коллеги

У нас в домене уже долгое время существует одна проблема:

Домен поднят на 4 серверах по два в двух офисах соединеных оптикой, т.к. к скорости нареканий нет все сделано в одном сайте. Рабочих станций около 130 winxp.

Суть проблемы — на какойто части машин (на XP, на 2003 нет (возможно просто по тому что на этих машинах работают под учетками администраторов, на XP если пользователь админ вроде как тоже этого глюка нет)) теряется авторизация в домене у сервисов (служба времени, применение политик и т.
д.), у части пользователей отсутствует доступ к сетевым ресурсам, причем
часть пользователей с такими же ошибками продолжают нормально работать т.е. практически не заметно что что произошло.
Раньше для исправления использовали сначала перезагрузка, если не помогло 
вывод-ввод из домена, очень часто симптомы пропадали сами.  Сейчас ошибки
регистрируются на подавляющем большинстве рабочих станций.

т.е. рабочая станция например перестает применять политики и не выполняются стартовые скрипты.  В журналах системы есть записи

Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (согласователь)
Код события: 40961
Дата:  13.09.2007
Время:  13:02:34
Пользователь:  Н/Д
Компьютер: xxx-01
Описание:
Системе безопасности не удалось установить безопасное подключение к
серверу ldap/xxx@xxx.com. Отсутствуют
доступные протоколы проверки подлинности.

Тип события: Предупреждение
Источник события: Tcpip
Категория события: Отсутствует
Код события: 4226
Дата:  12.09.2007
Время:  17:44:20
Пользователь:  Н/Д
Компьютер: xxx-01

Описание:
Достигнут предел безопасности для TCP/IP, налагаемый  на количество
попыток одновременных TCP-подключений.
Данные:
0000: 00 00 00 00 01 00 54 00   ……T.
0008: 00 00 00 00 82 10 00 80   ….?..?
0010: 01 00 00 00 00 00 00 00   ……..
0018: 00 00 00 00 00 00 00 00   ……..
0020: 00 00 00 00 00 00 00 00   ……..

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Дата:  13.09.2007
Время:  7:52:03
Пользователь:  XXXXXX
Компьютер: xxx-01
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение,
описывающее причину, уже было помещено в журнал обработчиком политики.

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата:  12.09.2007
Время:  21:19:25
Пользователь:  NT AUTHORITYSYSTEM
Компьютер: xxx-01
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой
политики
CN={AD6E10C0-86F2-4600-9187-BE37006241D5},CN=Policies,CN=System,DC=XXX,DC
=XXX,DC=ru. Этот файл должен находиться в
<\XXXX.XXX.XXSysVolXXX.XXX.XXXPolicies{AD6E10C0-86F2-4600-9187-BE370
06241D5}gpt.ini>. (Попытка выполнить операцию для несуществующего
сетевого подключения. ). Обработка групповой политики прекращена.

В результате наших изысканий мы предполагаем, что по неизвестной нам
причине  после истечения TTL тикета Kerberos новый тикет не выдается что
регистриуется в виде приведенных выше ошибок и как следствие все сервисы
требующие авторизации перестают работать. Что в свою очередь приводит к
тормозам, отсутствию доступа к сетевым ресурсам, невозможности наката
обновлений и групповых политик.

Плюс к этому в окружении в соответвии с корпоративной политикой стоит Altiris, к которому доступа м ы не имеем.

С ним наблюдается вот такая проблема

С периодичностью примерно раз в две недели  в начале недели пользователи
начинают жаловаться что у них долго открываются документы офиса, при
замерах получаются следующие результаты от клика на файле до открытия
оболочки например excel 30-40 сек  и от открытия оболочки до загрузки
документа тоже 30-40 сек. Причем от размера файла и загрузки машины ничего
не зависит. Если смотреть запущенные процессы TCPView видим что процессы
Aclient.exe AclntUsr.Exe открывают про 10-20 соединений и забивают tcp-ip
стек соединений (в xp ограничение 10 одновременных сессий)

Если завершить эти процессы  проблемы с офисом сразу же исчезают, машина
начинает работать  ощутимо быстрее. Т.К. эти процессы принадлежат
Альтирису можно сделать вывод что он некорректно работает.

От администраторов альтириса пока никаких ответов нет но я предполагаю что возможно он забивает стек соединений и рабочие станции не могут авторизоваться либо наоборот от потери авторизации и начинается беспорядочное открытие сессий с их зависанием. (это одна из вероятных версий)

Вообще в процессе поиска решений было перепробовано кучу советов с различных форумах, перечитано с десяток KB но пока нет никакого решения. В домене все в норме DCdiag никаких проблем не показывает, все явные функции Ad работают в норме. Складывается впечатление что это проблема только рабочих станций.

Не встречал ли кто либо подобных проблем у себя?

Сложный компьютер простыми словами

В Windows XP есть такое ограничение, как Максимальное число пользователей, т.е. максимально допустимое число компьютеров (вернее сеансов), которые могут быть одновременно подключены к одному компьютеру через сеть и равно это число:

Windows XP Professional – 10.

Windows XP Home Edition – 5.

В серверных версиях это число не ограниченно.

В случае когда все соединения заняты, Вы можете увидеть следующее сообщение:

Дополнительные подключения к этому удаленному компьютеру в настоящее время невозможны, поскольку число подключений к компьютеру достигло предела.

Пример:

В локальной сети, на одном из 20 компов установлен принтер с доступом печати по сети.

Послали на печать с первого компа.

На компе с принтером свободных соединений стало меньше , т.е. 9.

В идеале, после того как документ напечатался, соединение должно завершится, но на практике оно может быть активно часами. Даже несмотря на то, что установлен таймаут в 15 минут.

Из-за чего в какой-то момент печать с некоторых компов будет недоступна (не дай бог с компа управляющего )

Временно избавиться от этого можно либо перезагрузив комп, либо запустить команду net session /delete.

Чтобы узнать максимальное число одновременных подключений на Вашем компе – наберите в командной строке net config server (Пуск – Выполнить – CMD – net config server).

Скрытый сервер No

Максимальное число пользователей 10

Максимальное число открытых файлов в сеансе 16384

Время холостого хода (мин) 15

При этом учитываются как транспортные подключения, так и подключения общего доступа к ресурсам, т.е. сеансы с других компьютеров. Однако подключения выполненные с удаленных компов средствами администрирования – не учитываются (админ все может ).

Снять это ограничение не совсем просто, в плане техническом, да не забудем о законной стороне,т.е. о нарушение лицензии (если Вас это тревожит). Глубоко, как говорится, не копал, но если кого заинтересует вопрос о лицензии – читайте тут, делайте выводы (а вдруг приедут в черном, и начнут сверять версии системных файлов о_0).

Борются с ограничением по-разному:

Как заменить файлы?

Этот пост носит информативный характер и не является поводом для проделывания вышеописанного. , так сказать , читайте и знайте как это делаетсяработает.

Рекомендую прочитать один из предыдущих постов по схожей теме- Ограниченное количество одновременных подключений Windows.

При попытке доступа к папке с общим доступом, находящейся на другом компьютере в сети, отобразилось окно с ошибкой: Дополнительные подключения к этому удалённому компьютеру в настоящее время невозможны, поскольку число подключений к компьютеру достигло предела.

Максимальное количество пользователей (подключений), доступное на данном компьютере под управлением Windows, можно узнать, открыв от имени администратора командную строку (Пуск → ввести в поисковую строку cmd → ПКМ на результате поиска → Запуск от имени администратора) и введя туда команду:

Посмотреть активные сессии можно командой:

Сбросить сессию можно командой:

Снять ограничения можно лишь сторонней программой (например FixLimUserWindows), осуществив её запуск в безопасном режиме загрузки Windows (до появления логотипа «Windows» на загрузочном экране нажать на клавишу «F8» и выбрать в появившемся списке «загрузиться в безопасном режиме»).

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Полезный блог для начинающих пользователей компьютера и не только..

Страницы

6/20/2019

Как снять ограничение TCP/IP — соединений

Здравствуйте уважаемые читатели блога.
Сегодня рассмотрим тему ограничение количества сессий TCP/IP для Windows.
В ОС Windows XP SP2(x86,x64)/SP3, 2003 Server SP1(x86)/SP2(x86,x64), Vista без SP(x86,x64) и с SP1(x86,x64) существует ограничение на количество одновременных попыток сетевых подключений, установленное в режим 10.
В Windows 7 Professional, основная проблема в том, что количество одновременных подключений tcp ip в этой системе равно 20. Весьма распространено заблуждение о том,
что ограничено максимальное количество соединений вообще.

Для установления TCP соединения локальный компьютер сперва посылает удалённому
компьютеру приглашение к соединению (так называемый SYN пакет).
Состояние, в котором при этом находится локальный компьютер, называют
полуоткрытым соединением (англ. half-open connection) или попыткой подключения
(англ. connection attempt).
Далее в зависимости от ответа удалённого компьютера полуоткрытое соединение либо
закрывается, либо переходит в нормальное установленное TCP соединение.

В чем суть ограничения

Ограничение заключается в том, что компьютеру не разрешается иметь более 10
одновременных полуоткрытых исходящих соединений. При достижении предела
новые попытки подключений ставятся в очередь .
Таким способом, фактически ограничена скорость подключения к другим компьютерам.
На количество установленных соединений жесткого предела в системе нет. Кроме
того, ограничение никак не затрагивает входящие соединения .
Ограничение введено компанией Microsoft в попытке замедлить распространение
вирусов с зараженного компьютера, а также ограничить возможности участия
компьютера в DoS — атаках.

Как проверить срабатывание ограничения

Чтобы проверить, срабатывает ли на вашем компьютере это ограничение, загляните в
Event Viewer (например через Control Panel — Administrative Tools; или
Пуск — Выполнить — EventVwr.msc).
Каждое сообщение «EventID 4226: TCP/IP has reached the security limit
imposed on the number of concurrent TCP connect attempts» говорит о том, что ограничение сработало .
Причем в XP это реализовано на уровне системного файла TCPIP.SYS, который необходимо патчить с помощью программы: EventID 4226 Patcher Version2.23d , которая увеличит это число до 50.

Как снять ограничение

Для того чтобы увеличить до максимума число возможных сессий в виндовой сетке, следует сделать следующее: запустить глобальные политики: CTRL+R — gpedit.msc
—Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход в систему — выставляем его в (отключение ограничения)

Значение этого параметра «0» отключает кэширование данных входа. При любом значении большем 50 кэшируется, только 50 попыток входа в систему .

или же внести правки в следующий ключ реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionWinlogonCachedLogonsCount

изменив значение CachedLogonsCount на 50 или
В Vista SP2 и Windows 7 это ограничение уже было убрано из драйвера протокола, но в системе имеется ограничение на использование сетки для шаринга и печати, установленное в 20 соединений.
Также максимальное число входящих подключений к IIS, которое можно настроить через ключ реестра:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpNumConnections (тип: DWORD, задав его от 5000 до 65536).
или же с помощью программы: EventID 4226 Patcher Version 2.23d , которая увеличит это число до 50.

От чего зависит скорость TCP/IP — соединения, Вы можете узнать здесь
Как устранить ошибки в TCP/IP — сетях читайте далее
Надеюсь эта статья поможет разобраться Вам с количеством одновременных подключений TCP/IP соединений. Подписывайтесь на обновления блога.