Ограничение максимального числа одновременных подключений через сервер шлюза удаленных рабочих столов
По умолчанию число одновременных подключений клиентов Службы удаленных рабочих столов к ресурсам внутренней сети (компьютерам) через сервер Шлюз удаленных рабочих столов не ограничивается, за исключением серверов Шлюз удаленных рабочих столов, работающих на компьютерах под управлением ОС Windows Server 2008 R2 Standard. Производительность сервера Шлюз удаленных рабочих столов можно оптимизировать путем ограничения числа одновременных подключений клиентов к ресурсам внутренней сети через сервер Шлюз удаленных рабочих столов.
Примечание
Для серверов Шлюз удаленных рабочих столов, работающих на компьютерах под управлением ОС Windows Server 2008 R2 Standard, поддерживается не более 250 одновременных подключений.
Для выполнения этой процедуры пользователь, по меньшей мере, должен быть членом локальной группы Администраторы или аналогичной группы на сервере шлюза удаленных рабочих столов. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .
Ограничение максимального числа одновременных подключений через сервер шлюза удаленных рабочих столов
На сервере шлюза удаленных рабочих столов откройте диспетчер шлюза удаленных рабочих столов. Чтобы открыть диспетчер шлюза удаленных рабочих столов, нажмите кнопку Пуск, затем последовательно выберите пункты Администрирование, Службы удаленных рабочих столов и Диспетчер шлюза удаленных рабочих столов.
В дереве консоли Диспетчер шлюза удаленных рабочих столов щелкните правой кнопкой мыши локальный сервер Шлюз удаленных рабочих столов и выберите пункт Свойства.
В диалоговом окне Свойства сервера Шлюз удаленных рабочих столов на вкладке Общие в разделе Максимальное число подключений выполните одно из следующих действий.
Чтобы ограничить максимальное число одновременных подключений клиентов Службы удаленных рабочих столов к сетевым ресурсам через сервер Шлюз удаленных рабочих столов, установите переключатель Разрешить число одновременных подключений не более и задайте максимальное число подключений.
Чтобы снять ограничение на число одновременных подключений клиентов к внутренней сети через сервер Шлюз удаленных рабочих столов, установите переключатель Разрешить наибольшее число одновременных подключений. Это значение используется по умолчанию.
Примечание
Для серверов Шлюз удаленных рабочих столов, работающих на компьютерах под управлением ОС Windows Server 2008 R2 Standard, поддерживается не более 250 одновременных подключений.
Как увеличить максимальное число сетевых пользователей в винде?
(Проблема с дистрибутивным рендером, пропадают текстуры)
В связи с расширением сети возникла проблема: у винды есть ограничение на число одновременно подключенных к серверу пользователей — 10 юзеров.
Вызываем команду «net config server» и видим вот такое:
Нагуглил, что для решения это проблемы якобы надо установить специальную серверную винду, в которой этого ограничения нет. Я её поставил (Windows Server 2008 SP2), а ограничение всё-таки есть — как было 10, так и осталось. Скрины сделаны из неё.
Параметр «Число одновременных пользователей» больше 10 увеличить невозможно.
Возможно, что именно от этого я периодически имею серьёзную проблему с дистрибутивным рендером: несмотря на строго сетевые английские пути, пропадают текстуры, выпавшие бакеты идут даже по ирмапе. Причём машины, теряющие их, хаотично меняются. Время появления глюка тоже предугадать нельзя — то нормально, то начнёт глючить.
Вирей народный 2.40.03, макс 2011, сеть гигабит, для общего доступа расшарен весь диск, а не отдельные папки. Самая жесть начинается, когда рендерят двое-трое и подключают по 7-10 машин.
Также иногда некоторые юзеры не могут зайти на сервак, полагаю, по той же причине (10 подключений — максимум)
Кто сталкивался с такой проблемой, рулит большой фермой, и может что-то подсказать, как разрулить ситуацию? Может я где-то ошибся и проблема не в винде?
Windows server максимальное количество пользователей
Windows Server 2008 R2 Foundation (далее WSF) имеет ограничения не только по количеству поддерживаемой оперативной памяти, числу процессоров и количеству пользователей в Службе Каталога, но и по количеству одновременных подключений.
Предлагаю посмотреть на каждое из упомянутых ограничений в отдельности.
Server Message Block connections — 30
Windows Server 2008 R2 поддерживает протокол SMB 2.0. Протокол SMB 2.0 используется для предоставления одновременного доступа к общим ресурсам в сети. Windows Server 2008 R2 Foundation поддерживает МАКСИМУМ 30 входящих подключений. Это означает, что комбинация количества одновременно подключенных к серверу пользовательских соединений и устройств не может быть более 30. При попытке установить более 30 одновременных соединений, сервер выдаст сообщение о том, что не возможно принять дополнительные соединения.
Для поддержки более 30 одновременных входящих соединений по протоколу SMB 2.0, необходимо использовать Windows Server 2008 R2 Standard или более старшие редакции.
ВАЖНО!
Хотя Windows Server 2008 R2 Foundation поддерживают до 30 одновременных соединений, Лицензионное Соглашение с Конечным Пользователем ( End User License Agreement (EULA) ) для Windows Server 2008 R2 Foundation , поддерживает максимум 15 учетных записей пользователя.
Network Access Connections (RRAS) — 50
Служба Маршрутизации и Удаленного Доступа ( Routing and Remote Access Service — RRAS) в Windows Server 2008 R2 поддерживает удаленных пользователя или связь типа «сайт-сайт» при использовании виртуальных частных сетей (VPN) или телефонных соединений через модем.
Windows Server 2008 R2 Foundation поддерживает максимум 50 соединений RRAS. Если необходимо более чем 50 соединений RRAS, используйте Windows Server 2008 R2 Standard или более старшие редакции .
Network Access Connections (NPS) — 10
Сервер Сетевых Политик ( Network Policy Server (NPS) ) является Remote Authentication Dial-In User Service (RADIUS) сервером в реализации Microsoft. NPS заменил Сервер Интернет Аутентификации ( Internet Authentication Service (IAS)) который был в Windows Server 2003. NPS производит централизованную аутентификацию соединений, авторизацию и сбор сведений об использованных ресурсах для множества типов сетевых подключений, включая беспроводные соединения и подключения по Виртуальной Частной Сети (virtual private network (VPN)).
Windows Server 2008 R2 Foundation поддерживает максимум 10 NPS соединений.
При необходимости обеспечивать более 10 NPS соединений, используйте Windows Server 2008 R2 Standard или более старшие редакции.
Более подробную информацию о NPS, можно получить «Network Policy Server» на Microsoft Web site (http://go.microsoft.com/fwlink/?LinkId=140236
Terminal Services Gateway Connections – 50
Шлюз Терминальных Соединений ( Terminal Services Gateway (TS Gateway ) позволяет авторизованным удаленным пользователям подключаться к терминал-серверу и удаленным рабочим столам в корпоративной сети через любые Интернет соединения, с помощью Remote Desktop Connection (RDC) 6.0.
Windows Server 2008 R2 Foundation поддерживает максимум 50 TS Gateway соединений.
Если необходимо поддержать больше чем 50 TS Gateway соединений , используйте Windows Server 2008 R2 Standard или более старшие редакции .
Для того, чтобы получить доступ к приложениям, размещенным на терминальном сервере, например к Microsoft® Office, необходимо приобрести Windows Server 2008 Terminal Services client access license (TS CAL) для каждой учетной записи пользователя, но не превышая 15 лицензий.
Возникает законный вопрос: «Если Windows Server 2008 R2 Foundation поддерживает только 15 учетных записей пользователей, то почему речь идет о 50 подключениях»? Ответить можно так: «Такое количество соединений поддерживается в случае, если Windows Server 2008 R2 Foundation работает в режиме прокси, т.е. через него происходит подключение к другим терминальным серверам ».
Максимальные ограничения Active Directory
Active Directory — структура очень гибкая и масштабируемая, однако она все же имеет свои ограничения. Некоторые из них возможно достичь лишь в теории, с другими мы сталкиваемся регулярно. Начнем с наиболее глобальных.
Максимальное количество доменов в лесу
Для Windows 2000 максимальное рекомендованное количество доменов в лесу составляло не более 800, а начиная с Windows Server 2003 (функциональный уровень леса Windows Server 2003) было увеличено до 1200 доменов. Это ограничение связано с максимальным размером записи базы данных AD.
Максимальное количество домен-контроллеров в домене
Максимальное рекомендуемое количество домен-контроллеров (DC) в домене — 1200. Эта цифра обусловлена ограничением службы репликации (File Replication System, FRS), которая не в состоянии осуществлять репликацию папки SYSVOL между большим количеством объектов.
Максимальное количество объектов
Каждый контроллер домена в лесу Active Directory за время своего существования может создать чуть меньше 2.15 миллиарда объектов. Ограничение касается всех объектов из всех разделов AD, хранящихся на данном контроллере домена. Связано это ограничение с тем, что каждый DC имеет собственный пул идентификаторов Distinguished Name Tags (DNTs). Диапазон значений DNTs лежит в диапазоне от 0 до 2 147 483 393. При создании каждого объекта из этого пула выделяется уникальный DNT, который не может быть использован повторно, даже если объект будет удален. Таким образом, контроллеры домена ограничены в создании примерно 2-мя миллиардами объектов (включая объекты, создаваемые путем репликации).
Максимальное количество идентификаторов безопасности
По умолчанию в домене AD можно создать около одного миллиарда субъектов безопасности (пользователей, компьютеров или групп). Ограничение связано с тем, что каждому субъекту безопасности при создании назначается уникальный идентификатор (Relative ID, RID) из общего пула. В Windows Server 2008 R2 и более ранних операционных системах общий размер пула RID ограничен 2 30 (1 073 741 823) идентификаторами. Начиная с Windows Server 2012 при достижении этого предела есть возможность разблокировать 31-й разряд, тем самым увеличив пул RID вдвое — до 2 31 (2 147 483 628) идентификаторов.
Максимальное количество примененных GPO
К каждому аккаунту пользователя или компьютера в домене можно применить не более 999 объектов групповых политик (Group Policy objects, GPO). Это не значит, что общее количество GPO в системе жестко ограничено, просто один пользователь или компьютер не сможет обработать больше 999 GPO. Ограничение это установлено для повышения производительности.
Ограничение на членство в группах
Каждый из субъектов безопасности (пользователей, компьютеров или групп) может быть членом не более чем 1015 групп, вне зависимости от их вложенности. Это связано с ограничением на размер токена доступа, который создается для каждого субъекта безопасности.
Максимальное количество членов группы
В домене Windows 2000 максимальное рекомендованное число членов группы составляет 5000. Эта рекомендация основана на количестве одновременных атомарных изменений, которые могут быть совершены в одной транзакции базы данных. Начиная с Windows Server 2003 (уровень функционирования леса Windows Server 2003) для репликации используется технология Linked Value Replication (LVR), позволяющая реплицировать отдельные значения многозначного атрибута. Т.е. в Windows 2000 при изменении одного из членов группы (группа как вариант многозначного атрибута) вся группа должна быть реплицирована, тогда как при использовании LVR реплицируется только тот член группы, который был изменен. Это позволяет превысить ограничение на 5 000 членов в группе.
На данный момент каких либо новых рекомендаций на этот счет нет. Согласно данным Microsoft, в производственной среде зафиксировано более 4 миллионов членов группы, а в тестовой — 500 миллионов.
Максимальное количество записей в ACL
Доступ к объектам в AD регулируется списками доступа (AccessControl List, ACL) — Discretionaly ACL (DACL), который определяет пользователей и группы, которым разрешен или запрещен доступ к объекту и Security ACL (SACL), который отвечает за аудит доступа к объекту.
Каждый ACL содержит записи контроля доступа (Access Control Entry, ACE), в которых хранится SID пользователя или группы и маска доступа, определяющая его права. Максимальный размер ACL составляет 64К, поэтому, исходя из того, что ACE различаются по размеру, максимальное количество записей составляет около 1820.
Ограничение на имена и пути файлов
Файловые объекты, использующиеся службой AD, такие как папка SYSVOL, файл базы данных ntds.dit и лог-файлы ограничены длиной имени в 260 символов. Это ограничение обусловлено параметром MAX_PATH для Win32 API. Поэтому при выборе места для SYSVOL и базы данных следует избегать вложенных структур папок, которые делают полный путь к файлу длиннее 260 символов.
Ограничение на полное доменное имя
Полное доменное имя (Fully Qualified Domain Name, FQDN) должно быть не более 64 символов, включая точки и дефисы. Это важное ограничение, которое необходимо иметь в виду при выборе доменного имени. Связано ограничение также с параметром MAX_PATH, ограничивающим длину пути к папке SYSVOL. Типичный UNC-путь для доступа к групповой политике выглядит примерно так:
Если этот путь превысит ограничение MAX_PATH в 260 символов, то политика не сможет быть прочитана и применена.
Дополнительные ограничения на длину имен
• NetBIOS имя компьютера или домена не должно превышать 15 символов; • DNS имя компьютера должно быть не более 24 символов; • имя организационной единицы (OU) не должно превышать 64 символов; • user logon name — имя входа пользователя. Имеет ограничение в 256 символов; • sAMAccountName, известное также как pre-Windows 2000 logon name — в схеме имеет ограничение в 256 символов. Однако для обеспечения обратной совместимости для него установлен лимит в 20 символов для пользователя и 16 для компьютера; • display name — отображаемое имя пользователя. Представляет из себя комбинацию имен First name, Initials и Last name и может иметь максимальную длину 256 символов; • common name (cn) — предоставляемое имя объекта, используется для поиска. Максимальная длина 64 символа; • distinguished name (dn) — различающееся имя. Однозначно определяет объект и указывает его расположение в структуре AD. Например ″CN=Vasily Pupkin, OU=Employees, OU=Accounts, DC=Contoso, DC=com″. Максимальная длина dn составляет 256 символов, при превышении этой длины LDAP-клиент не сможет получить доступ к объекту и выдаст ошибку.
Такие вот ограничения. Помнить их все наизусть вовсе необязательно, но если вы работаете с AD, то нужно хотя-бы знать об их существовании. Более подробно об ограничениях Active Directory можно узнать из статьи Active Directory Maximum Limits — Scalability.
