none
服务器远程桌面连接报错 RRS feed

  • 问题

  • 公司有台2008 R2 的AD域控服务器,刚刚在XP客户端上连接远程桌面后不小心碰掉了网线,然后再连接2008服务器就报错一直连接不上了,换一台电脑也是一样,请问这是怎么回事。


    duan519520


    2013年4月24日 5:33

答案

  • OK,TermDD Binary末尾的30030980字符序调整后便是80090330,跟你最初截图的报错一致,是WinErrCode的SEC_E_DECRYPT_FAILURE (The specified data could not be decrypted)

    我想追问一下:这个TermDD 56,是在你现在每次用客户端去连失败时都会记录的吗?或是说,其实只有一条,就是你网线碰掉后的一段时间里仅记录了这么一次?

    如果是后者,那么这个错,跟你现在每次连失败就关系不大了。

    另外,你能告知你连接失败的客户端上的rdp client版本号都是多少吗?(如下图)

    ----------------------------------------------------------------------------------------------------

    再有,你服务器端tsconfig.msc里的RDP-TCP属性里的安全层是什么?是否是“协商”?改为“RDP安全层”可以吗?


    • 已编辑 Finy 2013年4月26日 4:16
    • 已标记为答案 duan519520 2013年5月2日 7:15
    2013年4月26日 2:16

全部回复

  • 客户端Eventlog中可否有相关报错信息?

    2013年4月24日 5:56
  • 客户端没有报错信息


    duan519520

    2013年4月24日 8:06
  • 你真的只是 “在XP客户端上连接远程桌面后不小心碰掉了网线” 吗?

    确认没动过Server端的RDP设置?

    现在能通过其他方式进入服务器,看一下EventLog吗?


    • 已编辑 Finy 2013年4月24日 9:01
    2013年4月24日 8:59
  • 我确定碰掉网线后连不上去的,服务器上也没做什么。

    我在服务器上发现了一个审计失败的告警,还有两个系统错误。

    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2013/4/24 17:13:23
    事件 ID:         5061
    任务类别:          系统完整性
    级别:            信息
    关键字:           审核失败
    用户:            暂缺
    计算机:           WIN-FRMAO1D1KH9.yingshi.com
    描述:
    加密操作。

    主题:
     安全 ID:  SYSTEM
     帐户名称:  WIN-FRMAO1D1KH9$
     帐户域:  YINGSHI
     登录 ID:  0x3e7

    加密参数:
     提供程序名称: Microsoft Software Key Storage Provider
     算法名称: RSA
     密钥名称: TSSecKeySet1
     密钥类型: 计算机密钥。

    加密操作:
     操作: 解密。
     返回代码: 0xc000000d


    duan519520

    2013年4月24日 9:30
  • TermDD 56正是问题关键!

    你的客户机到服务器之间的网络设备会不会丢弃大包(即MTU,黑洞路由器问题)?(你用多种大小的包ping一下服务器,看看是不是都有回应,大小建议从1470~1520)

    如果现在还能重现这个问题,能否在客户端连接并出错时抓一下包?这个也许很有分析价值。


    当然,一种更直接的排除是由网络引起这个问题的方法是:拿根网线,直连一台笔记本到服务器,看一下能否远程桌面。如果可以操作的话,这是最直接的。
    • 已编辑 Finy 2013年4月25日 2:48
    2013年4月25日 2:41
  • 我拿了一根网线直接连到服务器上了,但是还是一样连不上去,日志里面报的错也是一样。用不同大小的包ping服务器都没问题可以ping通。

    duan519520

    2013年4月25日 3:18
  • 嗯,那一定不是网络传输问题。

    服务器上的Eventlog中的“应用程序和服务日志”/Microsoft/Windows下面的Remotedesktopxxxxx和TerminalServicexxxxx看过有什么信息吗?

    另外还是请你在客户端机器上装个抓包软件,抓一下连接失败的过程,share出来供分析。

    2013年4月25日 4:24
  • 服务器上没有Remotedesktopxxxxx和TerminalServicexxxxx的日志,我用网线直接连到服务器上,然后在客户端装了个 Wireshark 1.9.2 抓包软件,抓下来的信息不知道怎么共享出来,所以只能放到这个网站上了http://down.51cto.com/data/765974


    duan519520

    2013年4月25日 5:52
  • 服务器上没有Remotedesktopxxxxx和TerminalServicexxxxx的日志,我用网线直接连到服务器上,然后在客户端装了个 Wireshark 1.9.2 抓包软件,抓下来的信息不知道怎么共享出来,所以只能放到这个网站上了http://down.51cto.com/data/765974


    duan519520

    抓包已看,手头暂时没RDP协议Parser,不太好分析。

    另外,你不是08嘛,Eventlog的这个下面没有RemoteDesktop以及TerminalService开头的Log吗?

    另外,请你把TermDD 56事件的“详细信息”复制出来看一下,或者可以点那个复制按钮,然后贴出来,主要为了看一下Binary数据,形如:

    日志名称:          System
    来源:            TermDD
    日期:            2013/4/24 14:22:49
    事件 ID:         56
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           VM-W2K8R2-DC.pigger.com
    描述:
    终端服务器安全层在协议流中检测到错误,并已取消客户端连接。 客户端 IP: 192.168.100.8。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="TermDD" />
        <EventID Qualifiers="49162">56</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-24T06:22:49.320576500Z" />
        <EventRecordID>2790</EventRecordID>
        <Channel>System</Channel>
        <Computer>VM-W2K8R2-DC.pigger.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data>\Device\Termdd</Data>
        <Data>192.168.100.8</Data>
       <Binary>0000040002002C000000000038000AC00000000038000AC00000000000000000000000000000000032000AD0</Binary>
      </EventData>
    </Event>

    • 已编辑 Finy 2013年4月25日 10:46
    2013年4月25日 10:39
  • RemoteDesktop  这个开头的没有,,,,TerminalService这个开头的有几个,但是没有任何的报错信息,也没有事件ID为56的信息。。

    日志名称:          System
    来源:            Schannel
    日期:            2013/4/25 13:16:25
    事件 ID:         36888
    任务类别:          无
    级别:            错误
    关键字:          
    用户:            SYSTEM
    计算机:           WIN-FRMAO1D1KH9.yingshi.com
    描述:
    生成以下严重警告: 20。内部错误状态为 960。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
        <EventID>36888</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-25T05:16:25.015960400Z" />
        <EventRecordID>5291</EventRecordID>
        <Correlation />
        <Execution ProcessID="524" ThreadID="648" />
        <Channel>System</Channel>
        <Computer>WIN-FRMAO1D1KH9.yingshi.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="AlertDesc">20</Data>
        <Data Name="ErrorState">960</Data>
      </EventData>
    </Event>


    日志名称:          System
    来源:            TermDD
    日期:            2013/4/25 13:16:25
    事件 ID:         56
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           WIN-FRMAO1D1KH9.yingshi.com
    描述:
    终端服务器安全层在协议流中检测到错误,并已取消客户端连接。 客户端 IP: 172.16.21.173。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="TermDD" />
        <EventID Qualifiers="49162">56</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-25T05:16:25.015960400Z" />
        <EventRecordID>5292</EventRecordID>
        <Channel>System</Channel>
        <Computer>WIN-FRMAO1D1KH9.yingshi.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data>\Device\Termdd</Data>
        <Data>172.16.21.173</Data>
        <Binary>0001040002002C000000000038000AC00000000038000AC00000000000000000000000000000000030030980</Binary>
      </EventData>
    </Event>


    duan519520


    2013年4月26日 1:40
  • OK,TermDD Binary末尾的30030980字符序调整后便是80090330,跟你最初截图的报错一致,是WinErrCode的SEC_E_DECRYPT_FAILURE (The specified data could not be decrypted)

    我想追问一下:这个TermDD 56,是在你现在每次用客户端去连失败时都会记录的吗?或是说,其实只有一条,就是你网线碰掉后的一段时间里仅记录了这么一次?

    如果是后者,那么这个错,跟你现在每次连失败就关系不大了。

    另外,你能告知你连接失败的客户端上的rdp client版本号都是多少吗?(如下图)

    ----------------------------------------------------------------------------------------------------

    再有,你服务器端tsconfig.msc里的RDP-TCP属性里的安全层是什么?是否是“协商”?改为“RDP安全层”可以吗?


    • 已编辑 Finy 2013年4月26日 4:16
    • 已标记为答案 duan519520 2013年5月2日 7:15
    2013年4月26日 2:16
  • 我貌似能重现你的故障了。。。

    虽然客户端报错跟你不同(可能是rdp client版本差异),但Server端在每次客户端企图连接时都会报schannel 36888。

    我做的事情是,把RDP属性里的证书给换了一张。

    那么,你服务器上,可曾换过rdp服务所用证书?


    • 已编辑 Finy 2013年4月26日 4:33
    2013年4月26日 4:32
  • 我的服务器没有换过证书,客户端每次连接都会报 TermDD 56 错


    duan519520

    2013年4月26日 6:27
  • 服务器端tsconfig.msc里的RDP-TCP属性里改为“RDP安全层”就可以了,客户端现在可以登录了,但是我很不明白就是不小心碰掉了一下网线为什么就会出现这样的故障呢。

    duan519520


    2013年4月26日 6:31
  • 服务器端tsconfig.msc里的RDP-TCP属性里改为“RDP安全层”就可以了,客户端现在可以登录了,但是我很不明白就是不小心碰掉了一下网线为什么就会出现这样的故障呢。

    duan519520


    那你现在再把安全层改回先前的,是不是又不能登录了?

    2013年4月26日 8:06
  • 是的,改成“协商”后又连接不上了。


    duan519520

    2013年4月26日 9:07