Слишком много пользователей выполнивших вход windows server 2016

Здравствуйте!

Подскажите пожалуйста, куплен новый сервер на Windows Server 2019 Standart и лицензии на 5 User DSKTP CAL.

— «Службы удаленных рабочих столов» — установлено,

— «Средство диагностики лицензирования удаленных рабочих столов» — установлено (ошибок нет, лицензии 5 из 5)

— в «Диспетчере лицензирования удаленных рабочих столов» сервер активирован, лицензии прописаны (на пользователя)

— в  групповых политиках (gpedit.msc) настройки проведены:

Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Служба удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Лицензирование — Использовать указанные серверы лицензирования удаленных рабочих столов
— включено (прописан и IP и Имя).

Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Служба удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Лицензирование — Задать режим лицензирования удаленных рабочих столов
— включено (значение «На пользователя»)

Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Служба удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Подключения — Ограничить количество подключений
— включено ( значение 5 )

Где можно было еще упустить настройку? Сервер не выдает лицензии подключающемся пользователям и при попытке подключиться 3-му пользователю выдает сообщение:
«Выберите, какого пользователя отключить, чтобы вы могли выполнить вход»

Решение в виде нужно настраивать домен —
не решение. (для 5 пользователей домен никто не настраивает)

Не могу прикреплять ссылки и картинки.(

Читайте также:  Windows не удаются завершить форматирование

——-
Ты это — заходи если что.

Это сообщение посчитали полезным следующие участники:

Сообщения: 1
Благодарности:

Ведение журнала в учетной записи пользователя, в которую входит более 1010 групп, может привести к сбойу на компьютере, основанном на Windows Server.

В этой статье решается проблема, из-за которой не удается войти в учетную запись пользователя, в которую входит более 1010 групп.

Оригинальная версия продукта: Windows Server 2008 R2 Пакет обновления 1
Исходный номер КБ: 328889

Симптомы

Если пользователь пытается войти на компьютер с помощью учетной записи локального компьютера или учетной записи пользователя домена, запрос на логон может привести к сбой. И вы получите следующее сообщение об ошибке:

Logon Message. Система не может войти в систему из-за следующей ошибки. Во время попытки логотипа контекст безопасности пользователя накопил слишком много ID-данных безопасности. Попробуйте еще раз или проконсультируйтесь с системным администратором.

Проблема возникает, когда пользователь с логотипом является явным или транзитным членом около 1010 или более групп безопасности.

Приложения и код журнала событий безопасности 4625 могут отображать этот код ошибки:

Ошибка STATUS_TOO_MANY_CONTEXT_IDS.

Причина

При входе пользователя на компьютер локализованная служба безопасности (LSA, часть подсистемы местного органа безопасности) создает маркер доступа. Маркер представляет контекст безопасности пользователя. Маркер доступа состоит из уникальных идентификаторов безопасности (SID) для каждой группы, в которую входит пользователь. Эти SID включают транзитные группы и значения SID из SIDHistory пользователя и учетных записей группы.

Массив, содержащий SID-данные членов группы пользователя в маркере доступа, может содержать не более 1024 СИД. LSA не может выбросить какой-либо SID из маркера. Таким образом, если будет больше SID, то LSA не сможет создать маркер доступа, и пользователь не сможет войти в систему.

При построении списка siDs LSA также вставляет несколько общих, известных SID помимо SID для членства пользователя в группе (оцениваемого транзитно). Таким образом, если пользователь является членом более чем 1010 пользовательских групп безопасности, общее число SID может превышать 1024 sid предела.

• Маркеры для учетных записей администратора и не администратора подлежат ограничению.
• Точное число пользовательских SID-данных зависит от типа логотипа (например, интерактивной, службы, сети) и операционной системы контроллера домена и компьютера, создающим маркер.
• Использование Kerberos или NTLM в качестве протокола проверки подлинности не влияет на ограничение маркеров доступа.
• Параметр клиента Kerberos MaxTokenSize обсуждается в теме Проблемы с проверкой подлинности Kerberos,когда пользователь принадлежит ко многим группам. Маркер в контексте Kerberos относится к буферу для билетов, полученных хостом Windows Kerberos. В зависимости от размера билета, типа СИД и включения сжатия SID буфер может вмещать меньшее или гораздо больше siD-данных, чем это вписалось бы в маркер доступа.

Список пользовательских SID-продуктов будет включать в себя:

• Основные SID пользователя и компьютера и группы безопасности, в которые входит учетная запись.
• SiDs в атрибуте SIDHistory групп в области логотипа.

Так как атрибут SIDHistory может содержать несколько значений, ограничение в 1024 SID можно быстро достичь, если учетные записи переносились несколько раз. Количество SID в маркере доступа будет меньше общего числа групп, в которые пользователь входит в следующую ситуацию:

• Пользователь из доверенного домена, где отфильтровываются SIDHistory и SID.
• Пользователь из доверенного домена через траст, в котором СИИ находятся на карантине. Затем включаются только SID из того же домена, что и пользователя.
• В него включены только СИИ локальной группы домена из домена ресурса.
• В нее включены только СИД локальной группы server с сервера ресурсов.

Из-за этих различий пользователь может войти на компьютер в одном домене, но не на компьютер в другом домене. Кроме того, пользователь может войти на один сервер в домене, но не на другой сервер в том же домене.

Вы можете узнать о членстве в группе домена затрагиваемого пользователя с помощью NTDSUTIL. Он имеет средство оценки членства в группе, которое также работает через границы лесов. Этот инструмент также работает для следующих пользователей:

• пользователей, которые находятся выше лимита в 1024 СИД
• пользователей, которые находятся в стольких группах, что Kerberos не удается искомого билета даже с 65 535 битами буфера

Выполните приведенные ниже действия.

Откройте командную подсказку на компьютере с инструментами управления AD (контроллер домена или компьютер с RSAT).

Переключиться на gro mem eva средство и получить доступные команды в качестве следующего скриншота:

Подключение к диктовкам, которые необходимы для оценки:

• Настройка учетной записи DC %s — DC домена пользователя
• Set Global Catalog %s — GC of the user’s forest
• Set Resource DC %s — DC домена ресурса
• Установите учетные данные по мере необходимости или подробные журналы, если результаты кажутся неправильными или коллекция не удается.

Выполните оценку следующим образом (например, для администратора contoso.com в ):

Run contoso.com Admin

В выполнении будут собираться сведения о пользователе в шагах 1-2, сведения о группе домена ресурсов на шаге 3, а затем компилятор отчета в шагах 4 и 5.

Результаты будут храниться в файле TSV в текущем каталоге в качестве следующего скриншота:

Ниже приводится руководство по прочтям TSV-файл:

• Тип SID: Указывает, является ли это основным sid group/User или SIDHistory.
• Количество записей истории SID: Сколько SID-ов из SIDHistory представляет эта учетная запись?
• One Level MemberOf Count: Сколько SID-данных добавляется в коллекцию на одном уровне (член записей)?
• Общее количество memberOf: Сколько siDs добавляет эта запись в коллекцию в общей сложности?
• Владелец группы. Для сред, делегирование управления группами, вы можете получить подсказки о том, как использовать слишком много групп для атаки пользовательского логотипа.
• Тип группы: вид Sid. WellKnown, пользовательский SID, глобальные и универсальные группы безопасности будут во всех маркерах, созданных для этого пользователя. Локализованная группа безопасности домена будет только в этом домене ресурса. Это может быть важно, если у пользователя есть проблемы с логотипом только в определенном домене ресурса.
• Член WhenChanged (UTC): Последнее изменение в составе группы. Это может помочь соотнести со временем, когда пользователь (ы) впервые сообщил о проблемах с логотипом.

Подсказки по поиску групп, на которые нужно нацелить изменение:

Группы, которые имеют SIDHistory, имеют хорошее плечо, помогая уменьшить количество SID.

Группы, которые внедряют многие другие группы через вложение, имеют большое рычаги для уменьшения подсчета SID.

Найми подсказки в названии группы, чтобы определить, может ли группа больше не использоваться. Например, у нас был клиент, у которого в решении развертывания программного обеспечения есть группа на одно приложение. И мы нашли группы, которые содержали office2000 или access2000.

Передай отчет о списке групп администраторам служб и приложений. Определите группы, которые больше не нужны, возможно, только для этого пользователя в этом подразделении или отделе.

Этот инструмент не включает некоторые виды специальных ИИИ WellKnown, перечисленных ниже в этой статье. Поэтому помните, что пользователю необходимо очистить несколько SID из 1024 в отчете, прежде чем он сможет успешно войти в систему.

Средство также не охватывает серверные локальные группы. Если у вас есть проблемы только на определенных серверах домена ресурсов, возможно, пользователь или часть его группы являются членами серверно-локальных групп.

Чтобы получить список серверных локальных групп и их участников:

Запустите в качестве администратора в командной подсказке повышенного уровня.

Чтобы получить список участников из домена:

Смешайте и соединие групп, сообщаемой там, с отчетом пользователя от NTDSUTIL.

Решение

Чтобы устранить эту проблему, используйте один из следующих методов.

Способ 1

Это решение применимо к следующей ситуации:

• Пользователь, столкнувшийся с ошибкой логотипа, не является администратором.
• Администраторы могут успешно войти на компьютер или домен.

Это решение должен выполнять администратор, который имеет разрешения на изменение членства пользователя в группе. Администратор должен изменить членство пользователя в группе, чтобы убедиться, что он больше не является членом более 1010 групп безопасности. Рассмотрите транзитные составы групп и локальные членство в группе.

Параметры уменьшения количества SID-данных в маркере пользователя включают следующие. Коллекция данных из NTDSUTIL должна помочь вам увидеть, какие группы находятся в области для изменения или удаления:

Удалите пользователя из достаточного количества групп безопасности.

Преобразование неиспользованых групп безопасности в группы рассылки. Группы рассылки не учитываются в отношении ограничения маркера доступа. Группы рассылки могут быть преобразованы обратно в группы безопасности, если требуется преобразованная группа.

Определите, полагаются ли основные службы безопасности на историю SID для доступа к ресурсам. Если нет, удалите атрибут SIDHistory из этих учетных записей. Значение атрибута можно получить с помощью авторитетного восстановления.

Несмотря на то, что максимальное число групп безопасности, в которые пользователь может быть членом, составляет 1024, в качестве наилучшей практики это число ограничивается менее 1010. Это число обеспечивает успешное генерацию маркеров, так как предоставляет пространство для общих СИД, вставленных LSA.

Способ 2

Решение применяется к ситуации, в которой учетная запись администратора не может войти на компьютер.

Если пользователь, чей логотип не работает из-за слишком 100 членов группы, входит в группу администраторов, администратор, у которого есть учетные данные для учетной записи администратора (то есть учетная запись с известным относительным идентификатором [RID] 500), должен перезапустить контроллер домена, выбрав вариант запуска Safe Mode (или выбрав безопасный режим с возможностью запуска сети). В безопасном режиме администратор должен войти в контроллер домена с помощью учетных данных учетных данных администратора.

Корпорация Майкрософт изменила алгоритм генерации маркеров. LSA может создать маркер доступа для учетной записи администратора, чтобы администратор вход в систему, независимо от того, сколько транзитных групп или неактивных групп является членом учетной записи администратора. Когда используется один из этих параметров запуска безопасного режима, маркер доступа, созданный для учетной записи администратора, включает ВИИ всех встроенных и всех групп Domain Global, в которые входит учетная запись администратора.

Эти группы обычно включают в себя:

• Все (S-1-1-0)
• BUILTINUsers (S-1-5-32-545)
• BUILTINAdministrators (S-1-5-32-544)
• NT AUTHORITYINTERACTIVE (S-1-5-4)
• NT AUTHORITYAuthenticated Users (S-1-5-11)
• LOCAL (S-1-2-0)
• Пользователи доменадомена (S-1-5-21-xxxxx-yyy-zzzzzzzz-513)
• Администраторы доменадомена (S-1-5-21-xxxxxx-yyy-zzzzzzzz-512)
• BUILTINPre-Windows 2000 Compatible Access (S-1-5-32-554), если все члены этой группы
• NT AUTHORITYThis Organization (S-1-5-15), если контроллер домена работает под управлением Windows Server 2003

Если используется параметр запуска «Безопасный режим», пользовательский интерфейс пользователей Active Directory и Computers не доступен. В Windows Server 2003 администратор может также войти в систему, выбрав безопасный режим с возможностью запуска сети; В этом режиме доступен пользовательский интерфейс пользователей и компьютеров Active Directory.

После входа администратора в систему, выбрав один из параметров запуска безопасного режима и используя учетные данные учетной записи администратора, администратор должен определить и изменить членство групп безопасности, которые привели к отказу в обслуживании логотипа.

После этого изменения пользователи должны иметь возможность успешно войти в систему после периода времени, равного задержке репликации домена.

Способ 3

Этот параметр имеет наибольшее значение, если у вас много групп, созданных для предоставления доступа к ресурсам, используемым на определенном наборе серверов, и они не имеют отношения ко многим другим серверам. Маркер доступа пользователей всегда содержит SID-данные пользовательских, глобальных и универсальных групп. Однако он содержит только siD-Domain-Local групп домена, где находятся серверы ресурсов. Поэтому из 600 групп, в которые входит пользователь, 400 помогают в предоставлении доступа к ресурсам файлового сервера на двух группах серверов, и тогда возможны следующие идеи:

• Разделите серверы на несколько групп на число Domain-Local групп.
• Вместо одного домена ресурсов, в котором есть все группы и серверы, есть несколько доменов, в которых определены только группы, содержащие необходимые серверы.
• У вас есть отдельный домен для серверов с небольшой потребностью в локальных группах домена. Одним из примеров могут быть серверы Exchange, так как Exchange имеет сильное предпочтение для универсальных групп.

Дополнительные сведения

Общие СИИ учетной записи часто включают в себя:

• Все (S-1-1-0)
• BUILTINUsers (S-1-5-32-545)
• BUILTINAdministrators (S-1-5-32-544)
• NT AUTHORITYAuthenticated Users (S-1-5-11)
• Logon Session Sid (S-1-1-5-5-X-Y)
• BUILTINPre-Windows 2000 Compatible Access (S-1-1-5-32-554), если пользователь является членом этой группы (вложен)

Средство Whoami часто используется для проверки маркеров доступа. Этот инструмент не показывает sid сеанса logon.

Примеры siD в зависимости от типа сеанса logon:

• LOCAL (S-1-2-0)
• ЛОГОС КОНСОЛИ (S-1-2-1)
• NT AUTHORITYNETWORK (S-1-5-2)
• NT AUTHORITYSERVICE (S-1-5-6)
• NT AUTHORITYINTERACTIVE (S-1-5-4)
• NT AUTHORITYTERMINAL SERVER USER (S-1-5-13)
• NT AUTHORITYBATCH (S-1-5-3)

SID для часто используемых первичных групп:

• DomainDomain Computers (S-1-5-21-xxxxx-yyyy-zzzzzzzz-515)
• Пользователи доменадомена (S-1-5-21-xxxxx-yyy-zzzzzzzz-513)
• Администраторы доменадомена (S-1-5-21-xxxxxx-yyy-zzzzzzzz-512)

SiDs that document how the Logon Session got verified, one of the following values:

• Орган проверки подлинности подтвердил удостоверение (S-1-18-1)
• Удостоверение службы (S-1-18-2)

SiDs, которые дают сведения о контексте маркера и сведения о претензиях, несколько возможных:

• Используемые утверждения устройств (S-1-5-21-0-0-0-496)
• Используемые утверждения пользователей (S-1-5-21-0-0-0-497)
• Сертификат организации (S-1-5-65-1)
• Маркер был создан с помощью проверенного удостоверения PKI (S-1-18-4)
• Маркер был создан с помощью подхода MFA (S-1-18-5)
• Использовался защитник учетных данных (S-1-18-6)

SiDs, которые описывают уровень согласованности маркера, наиболее распространенные примеры:

• Средний обязательный уровень (S-1-16-8192)
• Высокий обязательный уровень (S-1-16-12288)

Маркер доступа включает SID по отношению к происхождению пользователя или компьютера, одно из следующих значений:

• NT AUTHORITYOTHER_ORGANIZATION (S-1-5-1000)
• NT AUTHORITYThis Organization (S-1-5-15), если учетная запись из того же леса, что и компьютер.

• Как видно из заметки на входе SID Logon Session SID, не подсчитывайте SID в списке выходных данных инструмента и предположите, что они завершены для всех целевых компьютеров и типов логотипов. Следует учитывать, что учетная запись может попасть в этот лимит, если у нее более 1000 СИД. Не забывайте, что в зависимости от компьютера, на котором создается маркер, можно также добавлять локальные группы серверов или рабочих станций.
• xxxxxxxx-yyyy-zzzzzzzzzz указывает на компоненты домена или рабочей станции SID.

В следующем примере показано, какие локальные группы безопасности домена будут показываться в маркере пользователя при входе пользователя на компьютер в домене.

В этом примере предположим, что Joe принадлежит к домену A и является членом локальной группы домена Домен AChicago Users. Джо также входит в локализованную доменную группу Домен BChicago Users. Когда Джо входит на компьютер, принадлежащий домену A (например, Домен AWorkstation1), маркер создается для Джо на компьютере, а маркер содержит, в дополнение ко всем универсальным и глобальным членам группы, SID для домена AChicago Users. Он не будет содержать SID для пользователей домена BChicago, так как компьютер, на котором вошел Джо (Домен AWorkstation1), принадлежит домену A.

Аналогично, когда Джо входит на компьютер, принадлежащий домену B (например, Домен BWorkstation1), маркер создается для Джо на компьютере, а маркер содержит, помимо всех универсальных и глобальных членов группы, SID для пользователей домена BChicago; он не будет содержать SID для пользователей домена AChicago, так как компьютер, на котором вошел Джо (Домен BWorkstation1), принадлежит домену B.

Однако, когда Джо входит на компьютер, принадлежащий домену C (например, Домен CWorkstation1), для Джо на компьютере с логотипом создается маркер, содержащий все универсальные и глобальные членские группы для учетной записи пользователя Джо. В маркере не отображается ни sid for Domain AChicago Users, ни SID для домена BChicago Users, так как локальные группы домена, в которых находится Джо, находятся в другом домене, чем компьютер, на котором вошел Джо (Domain CWorkstation1). И наоборот, если Бы Джо был членом какой-либо локальной группы домена, которая принадлежит к домену C (например, Domain CChicago Users), маркер, созданный для Джо на компьютере, содержал бы, помимо всех универсальных и глобальных членов группы, SID для пользователей домена CChicago.

Adblock
detector» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

   pressstart

28.11.12 — 23:30

   Мизантроп

1 — 28.11.12 — 23:38

   Мизантроп

2 — 28.11.12 — 23:38

т.е. добавить роль «Терминальный сервер»

   pressstart

3 — 28.11.12 — 23:49

   Мизантроп

4 — 28.11.12 — 23:53

Роли сервера какие установлены? Должен быть «Сервер приложений».

   Мизантроп

5 — 28.11.12 — 23:55

   pressstart

6 — 28.11.12 — 23:57

(5) Да, такая роль установлена.

   Fragster

7 — 28.11.12 — 23:57

смолл бизнес сервер не может быть полноценным сервером терминалов. кстати, не вижу смолл бизнес сервер юзер/девайс кал

   Fragster

8 — 28.11.12 — 23:58

в данном случае — на СБС — контроллер домена и скуль (если входит в комплект), на обычной винде Винсервер стандарт — сервер терминалов

   Мизантроп

9 — 29.11.12 — 00:00

это же SBS, я не увидел.

Прошу прощения за тупые советы

   Fragster

10 — 29.11.12 — 00:06

   Fragster

11 — 29.11.12 — 00:07

файлопомойки, прокси, веб и прочие — на линупсах, да.

   pressstart

12 — 29.11.12 — 00:07

(7)От сервера требовалось чтоб :

10 юзеров подключились в терминале и работают в 1С 7.7 DBF

Такое возможно ?

   pressstart

13 — 29.11.12 — 00:08

(10) А обмен/апгрейд серверной лицензии до Standart возможен ?

   Fragster

14 — 29.11.12 — 00:10

(13) хз. вообще СБС дороже «стандарт», так как туда всякие плюшки типа скуля, эксченжа, шарепоинта и прочего входят (в зависимости от поставки). я бы сел на мозг представителям мелкософта

   Fragster

15 — 29.11.12 — 00:11

ну и да — СБС — там свои юзер калы, которые включают юзеркалы на все, что в комплкте СБС

   pressstart

16 — 29.11.12 — 00:12

   pressstart

17 — 29.11.12 — 00:13

плюс не надо покупать лицензии для файловых юзеров. Они входят в комплект вроде как.

   Fragster

18 — 29.11.12 — 00:14

что за магическая цифра 25? у нас тогда было 60 юзеров в домене с контроллером на СБС

   Fragster

19 — 29.11.12 — 00:15

(17) надо, надо докумать. просто с СБС какое-то количество (5, вроде) в комплекте.

   Fragster

20 — 29.11.12 — 00:15

*докупать

   pressstart

21 — 29.11.12 — 00:19

А я же еще купил 10 лицензий «на устройство». Почему они не позволяют устройствам войти? Я совсем запутался: Искать ли решение или это какая-то ошибка со стороны продавца ?

   pressstart

22 — 29.11.12 — 00:21

Где то же установлена цифра 2. Ведь именно третьего не пускает, хотя по рисункам видно что 10 свободных лицензий.

Где-то же что-то должно выдавать лицензии, но не выдает.

   pressstart

23 — 29.11.12 — 00:34

ушел сносить все к черту и ставить демку на 180 дней до выяснения. Нам не нужны вторые и третьи сервера.