Cómo solucionar el error 0x0000011b, que se produce al intentar instalar una impresora de red desde un servidor de impresión, con sistema operativo Windows Server 2012, 2016 ó 2019. Mostramos cómo solucionar también la pérdida del puerto de conexión de las impresoras instaladas en los clientes pertenecientes al servidor de impresión.

Síntomas – Error No se pudo llevar a cabo la operación error 0x0000011b

Al intentar conectar (instalar) una impresora de red, de un equipo servidor de impresión, en un equipo cliente, aparece un error de conexión y no deja instalarla:

Síntomas - Error No se pudo llevar a cabo la operación error 0x0000011b

Con el texto: Conectar a impresora. Windows no puede conectarse a la impresora. No se pudo llevar a cabo la operación, error 0x0000011b.

El problema también se extiende a la impresión. Si ya tenemos impresoras instaladas en equipos clientes, del servidor de impresión, al intentar imprimir, no imprimirá nada y tampoco mostrará error. El trabajo se envía a la cola de impresión, desaparece y no muestra errores, pero tampoco imprime.

Causa del error 0x0000011b

El motivo es el último parche de seguridad aplicado por Microsoft. Para servidores Windows Server 2012 R2, el parche KB5005613, de fecha 14-09-2021.

Causa del error 0x0000011b

Para equipos servidores de impresión con Windows Server 2019, el parche que genera el error es el KB5005030.

Causa del error 0x0000011b

Tras la aplicación de este parche en un servidor de impresión, al intentar instalar impresoras de clientes a través de este servidor de impresión, se producirá el error: 0x0000011b.

En el caso de impresoras ya instaladas antes de aplicar el parche, desde el servidor de impresión, si se intenta usar una de estas impresoras de red desde un equipo cliente (independientemente del sistema operativo que use), no imprimirá y tampoco dará error. Se lanza el trabajo a la cola de la impresora pero no lo llega a imprimir, ni muestra error.

Esta actualización de seguridad mitiga una serie de problemas de seguridad relacionados con las colas de impresión. Tal y como indica en la documentación:

Actualiza el requisito de privilegio de instalación predeterminado de modo que debe ser administrador para instalar controladores al usar Apuntar e Imprimir (Point and Print).

La característica «Punto e Imprimir» se introdujo por parte de Microsoft a partir de Windows Server 2000, básicamente permite que un usuario de un equipo cliente cree una conexión a una impresora remota sin proporcionar discos u otros medios de instalación (sin usar drivers). Todos los archivos y la información de configuración necesarios se descargan automáticamente del servidor de impresión al cliente.

Con este parche de seguridad, Microsoft pretende «blindar» esta opción, de forma que tendremos que establecer por directiva el método de conexión con las impresoras. Esta será la forma de solucionar el problema definitivamente, que explicaremos más adelante.

Tal y como indica Microsoft en su nota sobre esta actualización:

Esta actualización de seguridad incluye mejoras de calidad. Entre los principales cambios se encuentran los siguientes: cambia el requisito de privilegio predeterminado para instalar controladores al usar Apuntar e Imprimir. Después de instalar esta actualización, debe tener privilegios administrativos para instalar controladores. Si usa Apuntar e imprimir, consulte el documento KB5005652 (Cambio de comportamiento predeterminado de puntos e impresión).

Para solucionar el problema de forma rápida (y temporal) desinstalaremos dicho parche, como explicamos a continuación. Y para solucionar el problema de forma definitiva (dejando el parche de seguridad), deberemos modificar la directiva que se aplica a todos los equipos del dominio. Esta solución es la ideal pero es más costosa, también la explicamos a continuación.

Solución del error 0x0000011b al instalar impresoras o pérdida de puertos de conexión de impresoras instaladas

Antes de aplicar cualquiera de las soluciones propuestas, es muy recomendable hacer copia de seguridad del equipo servidor de impresión o bien realizar un snapshot de esta máquina virtual. En ambos métodos de solución del error se realizarán tareas que pueden afectar al correcto funcionamiento del equipo Windows Server 2012/2016/2019. En principio no son acciones peligrosas, pero cada servidor es un mundo en su configuración.

Solución rápida y temporal del error 0x0000011b

Para solucionar el error, al menos de forma temporal (no es recomendable por seguridad) será suficiente con desinstalar el parche KB5005613 para W2012 o el parche KB5005030 para W2016/2019. Para desinstalar un parche accederemos al Panel de control, a «Programas» – «Programas y características» – «Actualizaciones instaladas». Nos mostrará una lista de las actualizaciones de seguridad de Windows instaladas en el sistema. Entre ellas, deberá estar la «Actualización de seguridad para Microsoft Windows (KB5005613 o KB5005030), pulsaremos con el botón derecho del ratón sobre ella y elegiremos «Desinstalar»:

Solución rápida y temporal del error  0x0000011b

Nos pedirá confirmación para realizar la desinstalación, pulsaremos «Sí»:

Solución rápida y temporal del error  0x0000011b

Una vez desinstalada, es posible que pida reiniciar el sistema (en nuestro caso no fue necesario). Y sin hacer nada más, las impresoras volverán a funcionar y a poder conectarse a este servidor de impresión.

Esta solución NO debe ser definitiva, dado que los servidores Windows deben estar actualizados con los últimos parches, por seguridad. Y precisamente este parche que hemos desinstalado soluciona algunos problemas de seguridad con las colas de impresión. Por ello, en cuanto se pueda, se debe volver a instalar la actualización y aplicar la solución definitiva que mostramos a continuación.

Solución definitiva para el error 0x0000011b en las impresoras del servidor de impresión Windows

Para solucionar definitivamente el problema, si hemos desinstalado la actualización, volveremos a instalarla desde Windows Update, que el sistema Windows Server del servidor de impresión quede actualizado completamente.

Una vez actualizado el sistema operativo con todos los parches hasta la fecha, podremos o bien desactivar este nuevo comportamiento (no recomendado por seguridad) o bien establecer la directiva para configurar y permitir que los clientes usen Apuntar e Imprimir de forma selectiva (sólo para uno o varios servidores). A continuación explicamos cómo hacer ambas cosas.

Si queremos desactivar este nuevo comportamiento (no recomendado) de Windows para servidores de impresión y Apuntar e Imprimir (conectar impresoras de un servidor de impresión en un cliente sin necesidad de tener los drivers, que se descargarán del propio servidor de impresión), en el servidor Windows Server de impresión, accederemos al Registro de configuraciones (regedit), accederemos a la clave:

Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Si no existe el valor RestrictDriverInstallationToAdministrators lo añadiremos, de tipo DWORD, con valor 0:

Solución definitiva para el  error  0x0000011b en las impresoras del servidor de impresión Windows

Básicamente, al establecer el valor en de RestrictDriverInstallationToAdministrators a 0, se permitirá a los usuarios no administradores instalar controladores firmados y no firmados en un servidor de impresión. Hay que tener en cuenta que esta clave a valor 0 NO anula la configuración de la directiva de grupo de «Restricciones de Apuntar e Imprimir». En consecuencia, la configuración de la Política de grupo de restricciones de apuntar e imprimir puede anular este comportamiento para permitir que los no administradores puedan instalar controladores de impresión firmados y no firmados en un servidor de impresión.

A continuación explicamos cómo configurar la directiva que nos permitirá definir el comportamiento que deseemos para la instalación de impresoras con la opción de Apuntar e Imprimir. Desde el servidor de impresión, abriremos el editor de directivas, ejecutando:

gpedit.msc

Accederemos a la rama «Configuración del equipo» – «Plantillas administrativas» – «Impresoras». Veremos una directiva llamada «Restricciones de apuntar e imprimir». Pulsaremos doble clic sobre ella:

Solución definitiva para el  error  0x0000011b en las impresoras del servidor de impresión Windows

Si habilitamos la directiva marcando «Habilitada», nos permitirá marcar la opción «Los usuarios solo pueden apuntar e imprimir en los siguientes servidores». En el cuadro de texto introduciremos el nombre del servidor de impresión, por ejemplo «srvprinter». Si son varios servidores, los separaremos con un punto y coma (;). Podremos establecer también otros comportamientos, como «Mostrar advertencia e indicador de elevación» al instalar los controladores para una nueva conexión de impresora:

Solución definitiva para el  error  0x0000011b en las impresoras del servidor de impresión Windows

El texto explicativo de la directiva:

Esta configuración de directiva controla el comportamiento de Apuntar e imprimir del cliente, incluidos los avisos de seguridad para equipos con Windows Vista. La configuración de directiva solo se aplica a clientes que no sean administradores de impresión y a equipos miembros de un dominio.

  • Si habilita esta configuración de directiva:
    • Los clientes con Windows XP y versiones posteriores solo podrán descargar componentes de controlador de impresión de una lista de servidores designados explícitamente. Si hay disponible un controlador de impresión compatible en el cliente, se establecerá una conexión a la impresora. Si no hay disponible un controlador de impresión compatible en el cliente, no se establecerá ninguna conexión.
    • Los clientes con Windows Vista se pueden configurar para no mostrar las advertencias de seguridad ni los símbolos del sistema con privilegios elevados cuando los usuarios apunten e impriman o cuando los controladores de las conexiones de impresoras necesiten actualizarse.
  • Si no establece esta configuración de directiva:
    • Los equipos cliente con Windows Vista pueden apuntar e imprimir en cualquier servidor.
    • Los equipos con Windows Vista mostrarán una advertencia y un símbolo del sistema con privilegios elevados cuando los usuarios creen una conexión de impresora a cualquier servidor mediante Apuntar e imprimir.
    • Los equipos con Windows Vista mostrarán una advertencia y un símbolo del sistema con privilegios elevados cuando sea necesario actualizar un controlador para una conexión de impresora existente.
    • Los equipos cliente con Windows Server 2003 y Windows XP pueden crear una conexión de impresora a cualquier servidor del bosque mediante Apuntar e imprimir.
  • Si deshabilita esta configuración de directiva:
    • Los equipos cliente con Windows Vista pueden crear una conexión de impresora a cualquier servidor mediante Apuntar e imprimir.
    • Los equipos con Windows Vista no mostrarán ninguna advertencia ni un símbolo del sistema con privilegios elevados cuando los usuarios creen una conexión de impresora a cualquier servidor mediante Apuntar e imprimir.
    • Los equipos con Windows Vista no mostrarán ninguna advertencia ni un símbolo del sistema con privilegios elevados cuando sea necesario actualizar un controlador para una conexión de impresora existente.
    • Los equipos cliente con Windows Server 2003 y Windows XP pueden crear una conexión de impresora a cualquier servidor mediante Apuntar e imprimir.
    • La configuración «Los usuarios solo pueden apuntar e imprimir en equipos de su bosque» solo se aplica a Windows Server 2003 y Windows XP SP1 (y Service Packs posteriores).

Por otro lado, si lo anterior no soluciona el problema, podremos desactivar la comprobación de RPC seguro en la conexión de las impresoras. Aunque esto, NO es recomendable por seguridad, únicamente lo aplicaremos de forma temporal para «salir del paso». Para desactivar este comportamiento nuevo de seguridad con los últimos parches de Windows Server 2012, accederemos a regedit y agregaremos en:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

Un nuevo valor DWORD de 32 bits con el nombre «RpcAuthnLevelPrivacyEnabled» y valor «0»:

RpcAuthnLevelPrivacyEnabled

Necesitaremos reiniciar el servidor para que se apliquen los cambios.

Como hemos dicho, esta solución debe ser temporal, en cuanto se tengan todos los clientes Windows actualizados a partir de la actualización lanzada el 12 de enero de 2021 (Windows 8, Windows 10), se debe establecer este valor a «1», que como indica Microsoft:

Habilita el modo de aplicación. Antes de habilitar el modo de Forzar para el lado del servidor, nos aseguraremos de que todos los dispositivos cliente hayan instalado la actualización de Windows lanzada el 12 de enero de 2021 o una actualización de Windows posterior. Esta solución aumenta el nivel de autorización para la interfaz RPC de la impresora IRemoteWinspool y agrega una nueva política y un valor de registro en el lado del servidor para obligar al cliente a usar el nuevo nivel de autorización si se fuerza el cumplimiento de este modo. Si el dispositivo cliente no tiene aplicada la actualización de seguridad del 12 de enero de 2021 o una actualización posterior de Windows, la experiencia de impresión se interrumpirá cuando el cliente se conecte al servidor a través de la interfaz IRemoteWinspool.