Достигнуто максимальное количество принтеров за сеанс, не удалось создать следующую очередь печати
Обновлено: 21.11.2024
В этом разделе обсуждается конфигурация принтера на рабочей станции Mac OS X в средах, где очереди печати размещены в операционной системе Windows. См. Очереди печати на Mac для OS 10.8+, если ваши очереди печати размещены на Mac OS 10.8+.
Когда принтер из среды Windows используется совместно и добавляется в систему Mac, функция «Печать и сканирование» запрашивает учетные данные для доступа к принтеру в виде имени пользователя и пароля. Любой пользователь, выполняющий печать на этом принтере, использует предоставленные учетные данные. Это означает, что администратор, добавивший принтер на рабочую станцию, является владельцем всех документов, распечатываемых с рабочей станции, независимо от текущего пользователя, вошедшего в систему.
Идеальные решения варьируются от сети к сети и зависят от следующих факторов, включая:
Существующая конфигурация вашей сети
Сочетание и состав операционных систем, используемых в сети
Используются ли компьютеры Mac одним владельцем или несколькими пользователями
В следующих разделах описаны распространенные сценарии настройки, а также их плюсы и минусы. Ваше решение может соответствовать одному из этих сценариев или может состоять из комбинации.
Сценарий первый: мой собственный Mac (для одного пользователя)
Выделенные компьютеры, используемые в бизнесе
Ноутбуки или настольные компьютеры для сотрудников, используемые в учебных целях
Требования
Принтеры, размещенные и совместно используемые с сервера Windows или Linux.
Системы Mac, используемые одним пользователем (или небольшой группой известных пользователей).
У каждого пользователя есть учетная запись домена и пароль.
Имя пользователя, связанное с учетной записью на Mac, соответствует имени пользователя домена (либо учетной записи, используемой для входа, либо учетной записи, настроенной как учетная запись автоматического входа).
Под управлением Mac OS X 10.8 или более поздней версии.
Установка
Запустите Mac, войдите в систему как локальный администратор и убедитесь, что система подключена к сети.
Выберите Системные настройки
В зависимости от версии Mac OS выберите «Учетные записи» или «Пользователи и группы» .
Нажмите «Мой аккаунт» . (Пропустите этот шаг в Mac OS 10.8 и 10.9)
Убедитесь, что короткое имя, связанное с учетной записью, совпадает с именем пользователя учетной записи домена. Если нет, создайте новый рабочий аккаунт.
Настройте принтеры
Выберите «Системные настройки» > «Печать и сканирование».
Нажмите +, чтобы добавить новый принтер.
Удерживая нажатой клавишу Control, щелкните панель инструментов; затем выберите «Настроить панель инструментов» .
Перетащите значок "Дополнительно" на панель; затем нажмите «Дополнительно» .
Выберите принтер Windows через тип устройства spoolss.
Введите URL-адрес устройства, например: smb://имя_пользователя:пароль@имя_сервера/имя_принтера
Совет: имя_сервера — это имя сервера, на котором размещен принтер, а имя_принтера — имя общего ресурса принтера
Возможно, вам потребуется указать порт в DeviceURL: smb://server_name:139/printer_name
В OS X могут возникать проблемы с именами общих принтеров, содержащими пробелы. Мы рекомендуем использовать имя общего ресурса без пробелов
В поле Имя введите понятное и информативное имя принтера.
Выберите драйвер для этого принтера, выбрав Выбрать программное обеспечение из списка.
Проверьте печать и убедитесь, что задания регистрируются в PaperCut NG/MF от имени правильного пользователя.
Установите клиентское ПО PaperCut NG/MF
Открыть Finder ; затем выберите Перейти > Подключиться к серверу .
Введите smb://servername/pcclient, где servername — это имя сервера, на котором размещен PaperCut NG/MF. Если вам будет предложено ввести имя пользователя и пароль, это имя пользователя, у которого есть доступ для подключения к общему ресурсу SMB на вашем сервере Windows.
Перетащите приложение PCClient в локальный каталог Applications.
Открыть Системные настройки
Выберите пользователей и группы .
Перейдите на вкладку Элементы входа.
Нажмите + ; затем выберите только что установленное приложение PCClient. Установите флажок ПК-клиент, когда он появится.
Перезагрузите систему и убедитесь, что клиент запускается при входе в систему.
Советы и устранение неполадок
Попросите пользователя войти в систему Mac. Убедитесь, что программа PCClient запускается автоматически и показывает баланс пользователя.
Убедитесь, что задание на печать успешно доставлено на принтер и что с пользователя взимается плата в PaperCut.
Убедитесь, что баланс изменился, чтобы отразить новый баланс в программе PCClient.
Сценарий второй: многопользовательский Mac с аутентификацией по всплывающим окнам
В школах и университетах часто есть компьютеры Mac, которые студенты могут использовать в специализированных компьютерных классах. В этих средах компьютеры Mac используются многими пользователями, и первый сценарий не подходит.В более крупных сетях Mac, которые уже используют аутентификацию LDAP или Active Directory или планируют это сделать, возможно, стоит рассмотреть третий сценарий, описанный в следующем разделе.
Пользователь видит работающую программу PCClient.
Когда пользователь печатает задание, клиент открывает всплывающее окно с запросом на ввод имени пользователя и пароля. См. Аутентификация по всплывающему окну.
Пользователь вводит имя пользователя и пароль домена.
Если учетные данные действительны, задание оплачивается с учетной записи пользователя.
Событие печати выполняется как общий пользователь — например, "macuser", "student" и т. д.
В PaperCut NG/MF учетная запись «macuser» настроена на использование проверки подлинности по всплывающему окну путем включения параметра Пользователь без проверки подлинности . Дополнительную информацию см. в разделе Аутентификация по всплывающим окнам.
Всплывающее окно просит пользователя ввести имя пользователя и пароль.
Пароль проходит проверку подлинности, и плата за печать взимается с указанной учетной записи.
Требования
Принтеры размещаются и совместно используются на сервере Windows, Mac или Linux.
Системы Mac настроены на вход в систему под общим именем учетной записи. (например, macuser, студент и т. д.)
Домен содержит учетную запись пользователя, совпадающую с общей учетной записью.
Установка пользовательского клиента PaperCut NG/MF
Открыть Finder ; затем выберите Перейти > Подключиться к серверу .
Введите smb://servername/pcclient, где servername — это имя сервера, на котором размещен PaperCut NG/MF. Если вам будет предложено ввести имя пользователя и пароль, это имя пользователя, у которого есть доступ для подключения к общему ресурсу SMB на вашем сервере Windows.
Введите данные учетной записи для учетной записи, которая может подключаться к общему ресурсу SMB, если требуется
Перетащите приложение PCClient в локальный каталог Applications.
Удерживая нажатой клавишу Command, щелкните только что скопированное приложение PCClient в каталоге приложений. Выберите Открыть содержимое пакета .
Перейдите в раздел Содержание/Ресурсы/ .
Перезагрузите систему и убедитесь, что клиент запускается при входе в систему.
Настройте параметры всплывающего окна
Перейдите на вкладку "Пользователи".
Отображается страница со списком пользователей.
В области «Сведения об учетной записи» выполните следующие действия:
Баланс — установите нулевой баланс аккаунта.
установите флажок "Ограничено".
В области «Дополнительные параметры» установите флажок «Пользователь, не прошедший проверку подлинности» (включить аутентификацию по всплывающему окну).
Если пользователи входят на Mac, используя свое имя пользователя AD/LDAP, вы можете убрать всплывающее окно аутентификации, настроив клиент, как описано в разделе Аутентификация по всплывающим окнам.
Советы и устранение неполадок
Попросите пользователя войти в систему Mac. Убедитесь, что программа PCClient запускается автоматически.
Печать на только что настроенный принтер. В очереди печати сервера убедитесь, что задание отображается под правильным именем пользователя.
На Mac должно появиться всплывающее окно аутентификации. Введите действительное имя пользователя и пароль домена.
Взимать плату с соответствующего пользователя за задание. Также убедитесь, что баланс изменился, чтобы отразить новый баланс в программе PCClient.
Сценарий третий: многопользовательские компьютеры Mac, использующие аутентификацию LDAP или Active Directory
Использование протоколов печати LPR и IPP на серверах печати Windows
LPR — это устаревший протокол, разработанный для UNIX, который клиенты используют для отправки заданий печати на серверы печати. Microsoft поддерживает этот протокол в течение ряда лет с помощью дополнительного модуля Print Services for UNIX (PSfU). При определенных условиях принтеры Windows LPD могут вызывать проблемы при использовании очередей блокировки/освобождения печати PaperCut. Приведенная здесь информация предназначена для того, чтобы помочь клиентам понять проблему и задокументировать предлагаемые обходные пути.
Механизм, используемый подсистемой Windows PSfU для приема LPR и IPP Протокол интернет-печати (IPP) — это интернет-протокол для связи между сервером печати и его клиентами. Это позволяет клиентам отправлять одно или несколько заданий на печать на сервер и выполнять администрирование, например запрашивать состояние принтера, получать состояние заданий на печать или отменять отдельные задания на печать. IPP может работать локально или через Интернет. В отличие от других протоколов печати, IPP также поддерживает управление доступом, аутентификацию и шифрование, что делает его гораздо более функциональным и безопасным механизмом печати, чем старые. задания на печать отличаются от других реализаций в Windows, таких как собственные принтеры на основе SMB. В SMB уведомление о событии для таких приложений, как PaperCut, работает корректно и надежно. Уведомления о событиях для печати на основе LPR и IPP не используют один и тот же набор базовых API, и при некоторых условиях уровень мониторинга печати PaperCut получает уведомление после запуска задания печати. Это означает, что некоторые задания на печать могут начать печататься до того, как будет выдана команда удержания. Это задание затем приостанавливается в состоянии «Приостановлена печать» (т. е. и приостанавливается, и печатается), и это приводит к тому, что все остальные задания в этой очереди задерживаются приостановленным заданием.
Количество процессоров/ядер
Текущая нагрузка на сервер печати
Версия и уровень исправлений Windows
Используйте протокол SMB для очередей сервера печати Windows. Обратите внимание, что использование SMB может накладывать некоторые ограничения на то, как пользователи аутентифицируются и как анонимные пользователи могут печатать на вашем сайте. Это рекомендуемый подход.
Используйте две очереди печати. Очередь A — виртуальная, а очередь B — реальная очередь, прикрепленная к физическому принтеру. Пользователи, печатающие в A с помощью LPR и PaperCut, всегда могут приостановить задание на печать. Затем PaperCut перенаправляет задание на B после выпуска. Управление виртуальными очередями печати описано в разделе Печать Find-Me и балансировка нагрузки на принтер. Настройте очередь A для использования порта без принтера (например, LPT1:), она должна быть постоянно приостановлена (Принтер > Пауза печати), а конфигурация виртуальной очереди для A в PaperCut должна пересылать задания на B (установка заданий может быть перенаправлена на эти очереди назначения ).
Если очередь A не приостановлена, задание будет выполнено с ошибкой, однако его все равно можно будет перенаправить при необходимости.
Требования
Компьютеры Mac настроены в многопользовательском режиме с аутентификацией вне домена. Либо Active Directory, либо LDAP.
Принтеры, размещенные на сервере печати Windows.
На сервере должны быть установлены службы печати TCP (также известные как службы печати для Unix).
Установка
На сервере, на котором размещены принтеры, настройте печать TCP/IP:
Войдите на сервер как системный администратор.
Выберите Панель управления > Добавить и удалить программы.
Нажмите "Добавить/удалить компоненты Windows" .
Выберите другие сетевые службы файлов и печати.
Выберите Службы печати для Unix.
Нажмите "Далее", чтобы завершить установку.
Некоторые системы с установленным брандмауэром могут блокировать печать LPD. В системах с установленным брандмауэром убедитесь, что входящие подключения из локальной сети разрешены через порт 515.
На каждом Mac добавьте необходимые принтеры:
Выберите Приложения > Утилиты.
Откройте утилиту настройки принтера
Нажмите +, чтобы добавить новый принтер.
Перейдите на вкладку IP на верхней панели инструментов.
В списке протоколов выберите Line Printer Daemon — LPD.
В поле "Адрес" введите IP-адрес сервера, на котором размещены принтеры.
В Очереди введите общее имя принтера.
В поле «Имя» определите удобное для пользователя имя; затем выберите тип принтера.
При необходимости повторите для других принтеров.
Установка пользовательского клиента PaperCut NG/MF
Открыть Finder ; затем выберите Перейти > Подключиться к серверу .
Введите smb://servername/pcclient, где servername — это имя сервера, на котором размещен PaperCut NG/MF. Если вас попросят ввести имя пользователя и пароль, это имя пользователя, у которого есть доступ для подключения к общему ресурсу SMB на вашем сервере Windows.
Введите данные учетной записи для учетной записи, которая может подключаться к общему ресурсу SMB, если требуется
Перетащите приложение PCClient в локальный каталог Applications.
Удерживая нажатой клавишу Command, щелкните только что скопированное приложение PCClient в каталоге приложений.
Выберите «Открыть содержимое пакета» .
Перейдите в раздел Содержание/Ресурсы/ .
Перезагрузите систему и убедитесь, что клиент запускается при входе в систему.
Советы и устранение неполадок
Перезагрузите систему и убедитесь, что приложение PCClient запускается при входе в систему и отображает баланс учетной записи пользователя.
Убедитесь, что задания на печать правильно отображаются в журналах заданий PaperCut под учетной записью пользователя PaperCut.
Взимать плату с соответствующего пользователя за задание. Также убедитесь, что баланс изменился, чтобы отразить новый баланс в программе PCClient.
Дополнительная информация и советы
Процесс установки клиента также описан в пользовательском клиенте. После настройки первого Mac и тестирования процесса печати предоставьте конечным пользователям или другим системным администраторам упрощенные примечания по установке клиента, описанные в разделе Развертывание в Mac OS X.
Клиент PCClient может принимать параметры командной строки, как описано в разделе Настройка пользовательского клиента с помощью командной строки. Если клиент запускается с помощью хука входа в систему, вы можете определить параметры командной строки в файле:
Ищите строку, начинающуюся с client_args, и соответствующие комментарии выше.
Комментарии
Поделитесь своими выводами и опытом с другими пользователями PaperCut. Не стесняйтесь добавлять комментарии и предложения к этой статье базы знаний. Пожалуйста, не используйте это для запросов в службу поддержки.
Мы здесь, чтобы помочь
Как компания, состоящая из технических специалистов, мы знаем, насколько важна хорошая поддержка продукта.
Идентификатор события 1124 — Доступность счетчика производительности IIS W3SVC
Идентификатор события 1124 — Доступность счетчика производительности IIS W3SVC
Обновлено: 24 марта 2009 г.
Применимо к: Windows Server 2008 R2
Продукт: | Internet Information Services |
ID: | < td>1124|
Источник: | Microsoft-Windows-IIS-W3SVC |
Версия:< /тд> <тд> 7.5 | |
Символическое имя: | W3SVC_PERF_COUNTER_TIMER_CANCEL_FAILURE |
Сообщение: | Службе публикации в Интернете (WWW-службе) не удалось отменить таймер для счетчика производительности. Поле данных содержит номер ошибки. |
Разрешить
информацию о состоянии счетчика производительности
Сообщение журнала событий содержит информацию о состоянии счетчика производительности. Проблема будет исправлена системой; вам не нужно предпринимать никаких действий.
Для выполнения этой процедуры у вас должно быть членство в группе администраторов или вам должны быть делегированы соответствующие полномочия.
Чтобы убедиться, что счетчик производительности работает правильно:
- Нажмите «Пуск», «Администрирование», «Диспетчер серверов».
- На левой панели диспетчера серверов разверните Диагностика, а затем разверните Надежность и производительность.
- Разверните "Инструменты мониторинга", затем нажмите "Монитор производительности". На средней панели появится окно системного монитора.
- На панели инструментов системного монитора нажмите значок "Добавить" (зеленый знак "плюс"). Появится экран "Добавить счетчики".
- В разделе "Доступные счетчики" выберите счетчик, который нужно проверить.
- В нижней части экрана нажмите "Добавить". На правой панели счетчик отображается в окне Добавленные счетчики.
- Нажмите "ОК".
- В нижней части экрана имя счетчика должно отображаться в поле "Счетчик".
Примечание. Если данные для счетчика не отображаются, проверьте журнал приложений на наличие события с идентификатором 2006 с источником IIS-W3SVC-PerfCounters. Вы можете получить эту ошибку, если для счетчика нет доступных данных.
Соответствующая информация об управлении
По теме:
Идентификатор события 1124 — перенаправление принтера служб терминалов
Идентификатор события 1124 — перенаправление принтера служб терминалов
Обновлено: 5 января 2012 г.
Применимо к: Windows Server 2008
Службы терминалов обеспечивают перенаправление принтеров, которое направляет задания на печать с сервера на принтер, подключенный к клиентскому компьютеру, или на общий принтер, доступный для клиентского компьютера. Когда пользователь устанавливает удаленный сеанс с сервером терминалов, перенаправленный принтер будет доступен для приложений, работающих в удаленном сеансе.
По умолчанию сервер терминалов Windows Server 2008 сначала пытается использовать драйвер Easy Print служб терминалов. Если клиентский компьютер не поддерживает этот драйвер, сервер терминалов ищет соответствующий драйвер принтера, установленный на сервере терминалов. Вы можете либо установить соответствующий драйвер принтера на сервер терминалов, либо создать собственный файл сопоставления принтеров.
Продукт: | Операционная система Windows |
ID: | < td>1124|
Источник: | Microsoft-Windows-TerminalServices-Printers |
Версия:< /td> | 6.0 |
Символическое имя: | EVENT_NOTIFY_SPOOLER_MAX_PRINTERS_REACHED |
Сообщение: td> | Достигнут лимит количества принтеров на сеанс. Следующая очередь печати не создана: Printer = %1Port = %2 |
Решение
Изменить запись реестра MaxPrintersPerSession
Чтобы решить эту проблему, создайте или измените запись реестра MaxPrintersPerSession, чтобы гарантировать, что максимальное количество принтеров на сеанс не будет достигнуто. По умолчанию максимальное количество принтеров на сеанс равно 20.
Чтобы выполнить эту процедуру на сервере терминалов, вы должны быть членом локальной группы администраторов или вам должны быть делегированы соответствующие полномочия.
Чтобы изменить запись реестра:
Внимание! Неправильное редактирование реестра может серьезно повредить вашу систему. Прежде чем вносить изменения в реестр, необходимо создать резервную копию всех ценных данных.
- На сервере терминалов откройте редактор реестра. Чтобы открыть редактор реестра, нажмите "Пуск", выберите "Выполнить", введите regedit и нажмите "ОК".
- Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите "Продолжить".
- Найдите подраздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
- Щелкните правой кнопкой мыши «Службы терминалов», выберите «Создать» и выберите «Параметр DWORD (32-разрядное)».
- Введите MaxPrintersPerSession в качестве имени записи и нажмите клавишу ВВОД.
- Щелкните правой кнопкой мыши MaxPrintersPerSession и выберите Изменить.
- В поле "Значение" введите максимальное количество принтеров, которые вы хотите разрешить за сеанс, а затем нажмите "ОК".
- Закройте редактор реестра.
Чтобы настройки вступили в силу, выполните одно из следующих действий:
- Попросите пользователя выйти из сеанса, а затем начать новый сеанс.
- Перезапустите службу перенаправителя портов пользовательского режима служб терминалов на сервере терминалов.
Используйте следующую процедуру, чтобы перезапустить службу перенаправителя портов пользовательского режима служб терминалов на сервере терминалов.
Чтобы выполнить эту процедуру на сервере терминалов, вы должны быть членом локальной группы администраторов или вам должны быть делегированы соответствующие полномочия.
Чтобы перезапустить службу:
- На сервере терминалов откройте оснастку «Службы». Чтобы открыть оснастку «Службы», нажмите «Пуск», выберите «Администрирование» и нажмите «Службы».
- Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите "Продолжить".
- На панели «Службы» щелкните правой кнопкой мыши «Перенаправитель портов пользовательского режима служб терминалов» и выберите «Перезапустить».
- Убедитесь, что в столбце «Статус» для службы перенаправителя портов пользовательского режима служб терминалов указано «Запущено».
Чтобы убедиться, что перенаправление принтера работает правильно, установите удаленный сеанс с сервером терминалов и убедитесь, что перенаправленный принтер доступен и работает должным образом.
Соответствующая информация об управлении
По теме:
Идентификатор события 1124 — перенаправление принтеров служб удаленных рабочих столов
Идентификатор события 1124 — перенаправление принтеров служб удаленных рабочих столов
Опубликовано: 8 января 2010 г.
Применимо к: Windows Server 2008 R2
Службы удаленных рабочих столов обеспечивают перенаправление принтеров, которое направляет задания на печать с сервера на принтер, подключенный к клиентскому компьютеру, или на общий принтер, доступный для клиентского компьютера. Когда пользователь устанавливает удаленный сеанс с сервером узла сеансов удаленных рабочих столов, перенаправленный принтер будет доступен для приложений, работающих в удаленном сеансе.
По умолчанию сервер узла сеансов удаленных рабочих столов под управлением Windows Server 2008 или Windows Server 2008 R2 сначала пытается использовать драйвер Easy Print служб удаленных рабочих столов. Если клиентский компьютер не поддерживает этот драйвер, сервер узла сеансов удаленных рабочих столов ищет соответствующий драйвер принтера, установленный на сервере узла сеансов удаленных рабочих столов. Вы можете либо установить соответствующий драйвер принтера на сервере узла сеансов удаленных рабочих столов, либо создать собственный файл сопоставления принтеров.
Продукт: | Операционная система Windows |
ID: | < td>1124|
Источник: | Microsoft-Windows-TerminalServices-Printers |
Версия:< /td> | 6.1 |
Символическое имя: | EVENT_NOTIFY_SPOOLER_MAX_PRINTERS_REACHED |
Сообщение: td> | Достигнут лимит количества принтеров на сеанс. Следующая очередь печати не создана: Printer = %1Port = %2 |
Решение
Изменить запись реестра MaxPrintersPerSession
Чтобы решить эту проблему, создайте или измените запись реестра MaxPrintersPerSession, чтобы гарантировать, что максимальное количество принтеров на сеанс не будет достигнуто. По умолчанию максимальное количество принтеров на сеанс равно 20.
Для выполнения этой процедуры на сервере узла сеансов удаленных рабочих столов необходимо быть членом локальной группы администраторов или иметь соответствующие полномочия.
Чтобы изменить запись реестра:
Внимание! Неправильное редактирование реестра может серьезно повредить вашу систему. Прежде чем вносить изменения в реестр, необходимо создать резервную копию всех ценных данных.
- На сервере узла сеансов удаленных рабочих столов откройте редактор реестра. Чтобы открыть редактор реестра, нажмите "Пуск", выберите "Выполнить", введите regedit и нажмите "ОК".
- Если появится диалоговое окно "Контроль учетных записей пользователей", подтвердите, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите "Да".
- Найдите подраздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
- Щелкните правой кнопкой мыши «Службы терминалов», выберите «Создать» и выберите «Параметр DWORD (32-разрядное)».
- Введите MaxPrintersPerSession в качестве имени записи и нажмите клавишу ВВОД.
- Щелкните правой кнопкой мыши MaxPrintersPerSession и выберите Изменить.
- В поле "Значение" введите максимальное количество принтеров, которые вы хотите разрешить за сеанс, а затем нажмите "ОК".
- Закройте редактор реестра.
Чтобы настройки вступили в силу, выполните одно из следующих действий:
- Попросите пользователя выйти из сеанса, а затем начать новый сеанс.
- Перезапустите службу перенаправителя портов пользовательского режима служб удаленных рабочих столов на сервере узла сеансов удаленных рабочих столов.
Используйте следующую процедуру, чтобы перезапустить службу перенаправителя портов пользовательского режима служб удаленных рабочих столов на сервере узла сеансов удаленных рабочих столов.
Для выполнения этой процедуры на сервере узла сеансов удаленных рабочих столов необходимо быть членом локальной группы администраторов или иметь соответствующие полномочия.
Чтобы перезапустить службу:
- На сервере узла сеансов удаленных рабочих столов откройте оснастку «Службы».Чтобы открыть оснастку «Службы», нажмите «Пуск», выберите «Администрирование» и нажмите «Службы».
- Если появится диалоговое окно "Контроль учетных записей пользователей", подтвердите, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите "Да".
- На панели «Службы» щелкните правой кнопкой мыши «Перенаправитель портов пользовательского режима служб удаленных рабочих столов» и выберите «Перезапустить».
- Убедитесь, что в столбце «Статус» для службы перенаправителя портов пользовательского режима служб удаленных рабочих столов указано «Запущено».
Чтобы убедиться, что перенаправление принтера работает правильно, установите удаленный сеанс с сервером узла сеансов удаленных рабочих столов и убедитесь, что перенаправленный принтер доступен и работает должным образом.
Как увеличить лимит печати в Windows 7 и 8
Нравится этот блог 1
Во время недавнего занятия один системный администратор спросил, как увеличить количество принтеров, перечисленных в интерфейсе «Устройства и принтеры». Должен признаться, я никогда не сталкивался с ограничением принтера, и мне пришлось провести некоторое исследование. Разумеется, существуют некоторые ограничения относительно количества отображаемых принтеров. По дизайну. Хотя Microsoft также предоставила средства для превышения лимита с помощью групповой политики. В разделе «Политика компьютера» > «Административные шаблоны» > «Принтеры» > «Мастер добавления принтеров».
Чтобы получить более полную информацию о включении ограничений по умолчанию, обратитесь непосредственно в службу поддержки Майкрософт. Как использовать параметры групповой политики для управления принтерами в Active Directory.
Согласно Блейку Моррисону из Technet, количество принтеров в списке ограничено 20 в управляемой сети, хотя, судя по моим исследованиям, в неуправляемой сети эти ограничения больше (и на снимке экрана выше). До 50 принтеров всех типов, кроме устройств, подключенных по Bluetooth.
В другой статье, посвященной перенаправлению принтеров служб терминалов и событию с кодом 1124, указано, что количество принтеров, поддерживаемых в сеансе служб терминалов (удаленных), равно 20. В статье также предлагается взлом реестра для решения связанной с этим проблемы. Если вы столкнулись с ограничениями принтеров в службах терминалов, решение заключается в увеличении максимального количества принтеров за сеанс через реестр. Я не смог найти эквивалентный параметр в групповой политике, по крайней мере, не связанный со службами терминалов (удаленный рабочий стол) или настройками принтера.
Желая быть более тщательным, я нашел еще несколько потенциально полезных фактов.
Что касается фактических ограничений, в некоторых дополнительных исследованиях был обнаружен диалог с Аланом Моррисом из Microsoft Print server – limit -количество принтеров, совместно используемых через один и тот же порт TCP, в котором обсуждается ограничение на количество принтеров, совместно используемых через один и тот же порт TCP/IP ( используя \\nnn.nnn.nnn.nnn\ вместо \\ \ ) для совместного использования принтера, например, при использовании и направлении печати через сервер печати. В ходе обсуждения было установлено проверенное ограничение в 5000 общих принтеров на один TCP/IP-адрес, хотя одновременно порт может использовать только один общий принтер. Я не уверен, почему можно использовать этот подход, кроме формы объединения принтеров? Управляемые службы печати или такие решения, как FollowMe, позволяют компаниям централизовать элементы управления и маршрутизировать трафик печати, что устраняет необходимость в конфигурациях отдельных или отделных принтеров, которые предполагали бы необходимость объединения или совместного использования 5000 принтеров. В любом случае, 5000 принтеров кажутся довольно высоким пределом.
Хорошо, теоретический верхний предел довольно велик. Что еще может ограничить видимость или выбор принтера? Я решил копнуть еще глубже.
Обнаружено еще одно ограничение, связанное с печатью, но не связанное с диспетчером печати. Интересно, что в Windows 7 вы можете выбрать только до 15 файлов одновременно, если хотите либо «распечатать», либо «открыть» их. Если вы превысите 15 файлов в одном процессе выбора, «печать» и «открыть» исчезнут из контекстного меню. Подробный набор ответов можно найти здесь. Самый полезный ответ в приведенной выше цепочке ссылается на очень полезную статью службы поддержки Microsoft, связанную с контекстными меню в Windows 7. Значение ограничения по умолчанию — «15», и предполагается, что изменение значения реестра на 16 позволяет неограниченное количество для выбора файла. Проверка настройки позволяет выбрать больший диапазон файлов, хотя не все файлы будут открываться из-за ограничений памяти и производительности. Поскольку я не проводил контролируемого теста, я не хочу давать абсолютных рекомендаций. Перед установкой значения ключа я действительно был ограничен выбором только 15 файлов, прежде чем контекст печати исчез. Полный поиск в реестре не нашел значения реестра, поэтому вам нужно добавить MultipleInvokePromptMinimum в качестве именованного значения непосредственно в HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer. Установив ограничение значения Dword на 20 знаков после запятой, контекст печати не исчез, поскольку я выбрал 20 небольших файлов для печати. Мой тест выполнялся на 64-битной виртуальной системе Windows 7 Professional с 3 ГБ ОЗУ. Как предлагается в статье службы поддержки, было бы лучше выбрать десятичное число, лучше подходящее для аппаратных ограничений вашей системы.Я также должен отметить, что контекст печати исчезнет, если вы выберете непечатаемые файлы в своем наборе выбора.
Оглядываясь назад на свою переписку, я также заметил вопрос об ограничении в оснастке диспетчера печати. В обзоре управления печатью Windows 7 указано, что в Windows 7 можно добавить оснастку «Управление печатью» через консоль управления Microsoft (MMC). Прочитав всю документацию по управлению печатью, упомянутую выше, я не смог найти указанное ограничение количества принтеров. Поскольку в моем распоряжении нет большого количества принтеров или служб печати, я протестировал решение, которое должно обеспечить обходной путь, если вы столкнетесь с ограничением на экземпляр диспетчера печати. Я смог добавить несколько экземпляров оснастки «Диспетчер печати» после запуска MMC с повышенными разрешениями, а также выбрать несколько серверов печати и управлять ими в каждом экземпляре оснастки. Если вы столкнулись с ограничением количества принтеров для экземпляра диспетчера печати, простое решение — создать дополнительные экземпляры диспетчера принтеров в одной консоли MMC. Обязательно сохраните консоль после того, как настроите каждую оснастку в соответствии со своими потребностями.
Еще одна неделя, еще одна критическая уязвимость. Последний критический недостаток безопасности называется PrintNightmare и является отсылкой к двум уязвимостям в службе диспетчера очереди печати Windows — CVE 2021-1675 и CVE 2021-34527, опубликованным в период с июня по июль 2021 года.
CVE 2021-1675 — это исправленная уязвимость, позволяющая удаленно выполнять код и повышать привилегии на серверах и компьютерах, на которых работает диспетчер очереди печати. CVE 2021-34527 также допускает удаленное выполнение кода и повышение привилегий в одной и той же службе с помощью несколько иных средств. (Обновление от 6 июля 2021 г.: Microsoft выпустила исправление для CVE-2021-34527.) На данный момент неясна точная связь между двумя уязвимостями и тем, было ли исправление неполным или был обнаружен другой метод атаки.
Прежде чем я двинусь дальше, давайте начнем с самого главного: если вы еще этого не сделали, отключите все службы диспетчера очереди печати Windows, работающие на контроллере домена. (Semperis' Directory Services Protector (DSP) включает индикаторы, которые постоянно сканируют на наличие угроз и признаков компрометации, включая включенные диспетчеры очереди печати на контроллерах домена.)
Semperis Directory Services Protector постоянно сканирует AD и уведомляет об индикаторах раскрытия и компрометации, включая индикатор для поиска контроллеров домена с активной службой диспетчера очереди печати
Фон диспетчера очереди печати
Диспетчер очереди печати — это служба Windows, включенная по умолчанию на всех клиентах и серверах Windows. Служба управляет заданиями на печать, загружая драйверы принтеров, получая файлы для печати, ставя их в очередь, планируя и т. д.
Служба диспетчера очереди печати требуется, когда компьютер физически подключен к принтеру, предоставляющему услуги печати другим компьютерам в сети. Можно использовать сторонние драйверы и программное обеспечение (например, предлагаемые производителями принтеров), но многие организации полагаются на службу диспетчера очереди печати по умолчанию.
На контроллерах домена диспетчеры очереди печати в основном используются для очистки принтеров — удаления принтеров, опубликованных в Active Directory и недоступных в сети. Отсечение принтеров особенно важно в больших средах с большим количеством принтеров, поскольку оно «очищает» список принтеров, доступный пользователям домена. Однако для того, чтобы этот подход работал, должна быть установлена соответствующая групповая политика.
С точки зрения безопасности Диспетчер очереди печати Windows и принтеры в целом уже много лет являются привлекательной мишенью для злоумышленников. Червь Stuxnet 2010 года, использованный против иранских ядерных объектов, использовал уязвимость в службе для повышения привилегий и распространения вредоносного ПО по сети. Та же самая уязвимость диспетчера очереди печати вновь обнаружилась в 2020 году, когда исследователи обнаружили новые способы ее использования. Учитывая тот факт, что принтеры, как известно, можно взломать, может быть, нам действительно пора отказаться от бумаги?
Ошибка нулевого дня PrintNightmare
Итерация уязвимости диспетчера очереди печати в июне 2021 г. началась со вторника исправлений Microsoft за июнь 2021 г., который включал исправление для CVE 2021-1675, которое Microsoft считала уязвимостью повышения привилегий с использованием «менее вероятного» в то время — оценка 6,8 ( Средний риск) оценка CVSS. Microsoft обновила этот CVE 21 июня, включив в него удаленное выполнение кода, и повысила оценку CVSS до 7,8 (высокий риск). Через несколько дней на GitHub появился код PoC-эксплойта. Код был быстро переведен в автономный режим, но уже несколько раз разветвлялся.
30 июня стало очевидно, что исправления недостаточно, а полностью исправленные системы по-прежнему уязвимы для удаленного выполнения кода и повышения привилегий до SYSTEM. Исходный код эксплойта был изменен, что сделало исправление лишь частично эффективным.
1 июля Microsoft создала новую уязвимость CVE 2021-34527. (6 июля 2021 г. — Microsoft выпустила исправление.)
Анализ уязвимостей диспетчера очереди печати
Уязвимость удаленного выполнения кода диспетчера очереди печати использует вызов функции RpcAddPrinterDriver в службе диспетчера очереди печати, который позволяет клиентам добавлять произвольные файлы DLL в качестве драйверов принтера и загружать их как SYSTEM (контекст службы диспетчера очереди печати).
Эта функция предназначена для того, чтобы пользователи могли удаленно обновлять принтеры — например, ИТ-специалист удаленно устанавливает ваш новый офисный принтер. Однако логическая ошибка в том, как это работает, позволяет любому пользователю внедрить в процесс свою собственную неподписанную DLL, минуя аутентификацию или проверку файла.
Смягчение проблемы PrintNightmare
Обновление от 7 июля 2021 г. Microsoft выпустила исправление для CVE 2021-34527. По-прежнему рекомендуется отключать диспетчер очереди печати там, где он не требуется. Вы можете отключить службу диспетчера очереди печати на всех ваших контроллерах домена (или на любой машине, если на то пошло) с помощью параметра групповой политики в разделе «Конфигурация компьютера». Windows Settings\Security Settings\System Services или, что еще лучше, используя GP Preferences в Computer Configuration\Preferences\Control Panel Settings\Services. Дополнительным неофициальным решением является ограничение доступа к папке драйвера, из которой загружается служба. Это необходимо делать на каждом сервере, и, насколько мне известно, это не было полностью протестировано, поэтому используйте его на свой страх и риск.
Защита контроллеров домена
Контроллеры домена никогда не должны использоваться в качестве серверов печати. Единственная известная мне законная причина запуска диспетчера очереди печати на контроллере домена — это упомянутая выше обрезка принтеров. В дополнение к многочисленным уязвимостям в Windows Print Spooler вектор атаки на эту службу, известный как «ошибка принтера», позволяет злоумышленнику, который может скомпрометировать ресурс с неограниченным делегированием Kerberos, также скомпрометировать контроллер домена с привилегиями SYSTEM. Хорошее объяснение этой атаки здесь.
Постоянно отслеживайте уязвимости, такие как PrintNightmare
Еженедельно мы обнаруживаем уязвимости в часто используемой ИТ-инфраструктуре. Короткое время цикла от раскрытия до размещения оружия требует быстрого подхода к смягчению последствий, который включает в себя непрерывный мониторинг окружающей среды в сочетании с расстановкой приоритетов и информацией о необходимых действиях по исправлению.
Продукт Semperis Directory Services Protector (DSP) включает в себя индикаторы, которые постоянно сканируют уязвимые места и признаки компрометации в средах с гибридной идентификацией (включая обнаружение включенных диспетчеров очереди печати на контроллерах домена), а также обеспечивают приоритизацию, метрики и рекомендации по исправлению.< /p>
Дополнительные ресурсы
Хотите узнать больше о том, как противостоять PrintNightmare, PetitPotam и другим новым атакам, нацеленным на Active Directory? Присоединяйтесь к бесплатному веб-семинару по запросу «Усиление защиты Active Directory: уроки, извлеченные из недавних атак, таких как PrintNightmare», организованный Шоном Дьюби, директором по обслуживанию Semperis.
Ран Харел (Ran Harel), старший менеджер по продуктам безопасности в Semperis, имеет более чем 15-летний опыт работы в области безопасности, включая тестирование на проникновение, безопасность и управление рисками и соответствием требованиям в глобальных финансовых учреждениях. В последнее время Ран занимал руководящие должности в глобальном поставщике услуг в области кибербезопасности и в двух приобретенных стартапах. Ссылка
Зарегистрироваться
Получите последние новости и контент от Semperis.
Нажимая «Подписаться», я соглашаюсь на использование моих личных данных в соответствии с Политикой конфиденциальности Semperis. Semperis не будет продавать, обменивать или сдавать в аренду ваши личные данные третьим лицам.
Избранное
Представляем атаку Golden GMSA
В этой статье представлена новая атака, нацеленная на групповые управляемые учетные записи служб (gMSA), получившая название «Золотая GMSA», позволяющая злоумышленникам получить дамп атрибутов корневого ключа службы распространения ключей (KDS), а затем сгенерировать пароль для всех связанных gMSA в автономном режиме. . TL;DR Злоумышленник с высокими привилегиями.
Защита среды гибридной идентификации от кибератак
Поскольку мир продолжает осваивать цифровую трансформацию и распределенную работу, компании будут продолжать развертывать SaaS.
Наблюдение за атаками на личные данные: февраль 2022 г.
Кибератаки, нацеленные на Active Directory, находятся на подъеме, что требует от групп AD, идентификации и безопасности.
Читайте также: