|
не работает RDP с некоторых IP | ☑ | ||
---|---|---|---|---|
0
zak555
16.07.12
✎
15:18
|
доброго времени суток !
есть машина с win 2008 x64 R2, на которой поднял сервер терминалов внезапно, при попытке подключения с некоторых IP к удалённому рабочему столу стало появляться сообщение удаленному рабочему столу не удалось подключиться.... 1. не включён удалённый доступ 2. удалённый комп выключен 3. удалённый комп не подключен к сети куда копать ? |
|||
1
Sakura
16.07.12
✎
15:20
|
нет доступа с внешних адресов? или с веутренних?
|
|||
2
1C_Enigma
16.07.12
✎
15:22
|
проверка подлинности сервера, подключение через шлюз терминалов, настройка уровней проверки подлинности сервера и шифрования
|
|||
3
zak555
16.07.12
✎
15:24
|
(1) с внутренных есть
с некоторых внешних нет, причём раньше они свободно подключались |
|||
4
zak555
16.07.12
✎
15:25
|
(2) чего-чего ?
|
|||
5
tesei
16.07.12
✎
15:25
|
Временные лицензии? Не пора ли чистить реестр в MSLicenсing ?
|
|||
6
zak555
16.07.12
✎
15:26
|
(5) они-то тут причём ?
|
|||
7
zak555
16.07.12
✎
15:32
|
и как часто надо их чистить ?
|
|||
8
zak555
16.07.12
✎
15:36
|
поиском в реестре "MSLicenсing" ничего не нашёл
|
|||
9
shust
16.07.12
✎
15:39
|
Начиная с Windows Vista после удаления содержимого раздела реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing, при подключении к терминальному серверу возникает ошибка: «Удаленный компьютер отключил сеанс, из-за ошибки в протоколе лицензирования. Попытайтесь подключиться к удаленному компьютеру снова или обратитесь к администратору сервера». При этом подразделы Hardware ID? и Store внутри MSLicensing не создаются.
Причина кроется в отсутствии прав у пользователя создать эти разделы. Для устранения ошибки, выполните следующие действия: Запустите mstsc.exe с правами администратора («Запуск от имени администратора») или войдите в систему под учетной записью с правами администратора домена, если компьютер входит в домен. Подключитесь к терминальному серверу. В этот момент будут автоматически созданы разделы реестра Hardware ID? и Store. Отключитесь от терминального сервера. После выполнения описанных выше действий, вы снова можете подключаться к терминальному серверу под учетной записью с правами пользователя. |
|||
10
zak555
16.07.12
✎
15:40
|
(9) это на клиентской машине делать ?
|
|||
11
tesei
16.07.12
✎
15:50
|
Сделай на одной, проверь, хуже не будет. Только админ права надо иметь, иначе запускаться вообще не будет.
|
|||
12
tesei
16.07.12
✎
15:51
|
ключи можешь предварительно экспортировать
|
|||
13
shust
16.07.12
✎
15:51
|
||||
14
zak555
16.07.12
✎
15:51
|
кстати, на моей машине тоже был запрет
но когда пров изменил мне IP -- я потом смог подключаться |
|||
15
zak555
16.07.12
✎
16:40
|
а если переименовать ветку MSLicensing в _MSLicensing ?
|
|||
16
tesei
16.07.12
✎
16:45
|
твой комп, экспериментируй :)
|
|||
17
raykom
16.07.12
✎
19:19
|
Чем закончилось то ? Интересный глюк.
|
|||
18
Никола_
Питерский 16.07.12
✎
20:10
|
Да было такое, почистил в реестре и все запахало•
|
|||
19
zak555
17.07.12
✎
09:35
|
сделал (15) -- не помогло
|
|||
20
zak555
17.07.12
✎
09:35
|
но на той машине есть трояны -- сейчас cureIT проверку делает
|
|||
21
zak555
17.07.12
✎
09:36
|
но на моей машине вирей нет
тогда как объяснить (14) ? |
|||
22
shust
17.07.12
✎
09:38
|
Еще у меня было, что из регионов люди не могли подключиться(инет работал), с местного провайдера, причем если использовать
usb модем типа мегафона, то пускало нормально, пинали местного провайдера, не знаю что сделали вроде работает. |
|||
23
zak555
17.07.12
✎
09:40
|
(22) было всё гуд, проблемы начались где-то в первой недели июля
|
|||
24
zak555
17.07.12
✎
10:21
|
есть у кого-нибудь мысли ?
|
|||
25
zak555
17.07.12
✎
18:15
|
походу на машине вири
нашёл cureIT порядка 20 троев, в ручную убил betwinservicexp.exe но rdp не работает по-прежнему |
|||
26
zak555
17.07.12
✎
18:18
|
делаю
telnet IP 3389 выводит ошибку Подключение к IP ...Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения |
|||
27
zak555
17.07.12
✎
18:29
|
вот ещё что интересного увидел :
netstat -b -n TCP 192.168.10.151:1313 87.240.143.241:80 TIME_WAIT 0 TCP 192.168.10.151:1341 69.171.237.32:80 TIME_WAIT 0 TCP 192.168.10.151:1347 87.240.131.97:80 TIME_WAIT 0 TCP 192.168.10.151:1348 87.240.131.97:80 TIME_WAIT 0 TCP 192.168.10.151:1350 173.194.32.163:443 TIME_WAIT 0 TCP 192.168.10.151:1359 80.239.217.162:80 TIME_WAIT 0 TCP 192.168.10.151:1365 87.240.143.245:443 TIME_WAIT 0 TCP 192.168.10.151:1377 87.240.131.97:80 TIME_WAIT 0 TCP 192.168.10.151:1378 87.240.131.97:80 TIME_WAIT 0 TCP 192.168.10.151:1379 87.240.131.97:80 TIME_WAIT 0 TCP 192.168.10.151:1380 87.240.131.97:80 TIME_WAIT 0 TCP 192.168.10.151:1413 81.176.69.85:80 TIME_WAIT 0 это что такое ? ip --- серваки соц сетей |
|||
28
zak555
17.07.12
✎
18:52
|
подключиться с этой машине, к примеру, по rdp к server9523.ananas-t.ru -- могу
|
|||
29
zak555
17.07.12
✎
19:06
|
кстати, тут стоит роутер TEW-652BRP
делаю с него ping до ya.ru --- пишет Success если IP -- пишет ошибку : Fail |
|||
30
zak555
17.07.12
✎
19:09
|
значит я прав в (14)
=> банит машина IP, на которой win 2008 r2 X64 |
|||
31
zak555
17.07.12
✎
19:26
|
может это http://www.oszone.net/6589/ ?
|
|||
32
zak555
17.07.12
✎
19:45
|
никто не знает ?
|
|||
33
raykom
17.07.12
✎
20:00
|
Меня тема тоже интересует, но как то ты сумбурно излагаешь или я тихо понимаю.
Я вот даже с трудом понимаю, проблема с подключениями с локальных ИП или удаленных ? Т.е. проблема с подключением изза роутера ? Или в локалке тоже бвает ? |
|||
34
zak555
17.07.12
✎
20:04
|
(33)
внутри сети --- нет проблем проблемы только для внешних клиентов |
|||
35
zak555
17.07.12
✎
20:28
|
и только некоторые IP внешние не могут подключиться
|
|||
36
kotletka
17.07.12
✎
20:41
|
клиент удаленного рабочего стола на компах последний?
|
|||
37
SachoZ
17.07.12
✎
20:43
|
(35) сделай с этих проблемных компов: tracert ip_сервера
|
|||
38
SachoZ
17.07.12
✎
20:45
|
(35) включена ли на серваке служба Брендмауэр, стоит ли фаервол?
|
|||
39
SachoZ
17.07.12
✎
20:46
|
(36) не должно иметь значения.
|
|||
40
kotletka
17.07.12
✎
20:48
|
(39)имеет ещё как, на серв с 2008 не могли подключиться с компов с хрюши со 2 сп, пока с оф сайта мелкомягких не скачали обновления для рдп клиента
|
|||
41
SachoZ
17.07.12
✎
20:59
|
(40) Да пофигу какая версия у клиента, там все настраивается: http://sysadmins.ru/files/ts_105.jpg
Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее) — позволит подключаться с клиентских компьютеров, работающих под управлением более ранних версий операционных систем Windows (или клиентов в других операционных системах — GNU/Linux, Mac OS X), которые не поддерживают новую версию протокола RDP. Такой вариант считается менее безопасным, хотя это не значит, что нужно отказаться от его использования. http://computerhelp.ucoz.ua/publ/udalennyj_dostup_k_rabochemu_stolu_v_windows_server_2008_i_windows_7/1-1-0-38 |
|||
42
kotletka
17.07.12
✎
21:08
|
(41)нихрена не настраивается, хоть заставься эту галку, что ты споришь, "не читал но осуждаю", я с этой хней 4 часа ипался, поставь клиент 5 версии на хрюшу и подрубись к выню 2008, потом расскажешь
|
|||
43
raykom
17.07.12
✎
21:09
|
(34)Извини, не в обиду вопрос, для порядка. Ошибка подключения возникает с НЕКОТОРЫХ РАЗНЫХ внешних ИП, но для одного и того же локального ИП ?
Т.е. к примеру к 192.168.1.30 с внешнего адреса ххх.ххх.ххх.ххх есть подключение РДП, а с внешнего адреса yyy.yyy.yyy.yyy нет подключения. И НИКОГДА с адреса yyy.yyy.yyy.yyy подключение РДП не работает. Я правильно понимаю ситуацию ? |
|||
44
kotletka
17.07.12
✎
21:11
|
(43)+1,т.к. если со всех внешних не подрубает, тогда нат на роутере не настроен
|
|||
45
SachoZ
17.07.12
✎
21:27
|
(42) Ну то что ты "с этой хней 4 часа ипался" это лично твои сексуальные проблемы, а совместимость с RDP-клиентами любой версии настраивается за 3 минуты. У меня на терминальный сервер с чего только не подключаются и с маков, и с линуксов и с виндовсов версии клиентов от 5.0 до 7.
|
|||
46
SachoZ
17.07.12
✎
21:29
|
(42) Выставляйся, запишу видеоинструкцию, как настроить рдп на 2008мом =).
|
|||
47
zak555
17.07.12
✎
22:54
|
(37)
на проблемном внешнем IP 1. tracert на последнем шаге говорит о превышенном интервале ожидании 2. ping говорит о превышенном интервале ожидании аналогично на моём новом IP tracert & ping идут отлично на моём старом IP тоже не шёл ping и не было последнего шага на tracert |
|||
48
zak555
17.07.12
✎
22:58
|
(38) читай (29) --- дело в IP
|
|||
49
zak555
17.07.12
✎
22:59
|
(40) везде последний клиент и проблема появилась недавно
|
|||
50
SachoZ
17.07.12
✎
23:10
|
(47) На каком шаге? до какого ip доходит, что это за ip? это твой внешний ip роутера?
|
|||
51
zak555
18.07.12
✎
08:00
|
(50)
ещё раз : есть IPсервера (реальный статик) есть мой домашний комп, у которого IPмой (реальный динамический ) сейчас я спокойно подключаюсь по RDP к IPсервера, делаю ping и tracert когда на моём домашнем компе был другой IPмойСтарый (реальный динамический ), то я не мог ни подключиться по RDP к IPсервера, ни сделаю ping (превышен интервал ожидания) и tracert (на последнем шаге писалось превышен интервал ожидания) у меня вирусов нет и не было (!) |
|||
52
Пеппи
18.07.12
✎
08:03
|
выкинь роутер )
|
|||
53
БалбесВ1с
18.07.12
✎
08:11
|
(51)Еще такая хрень лечится пересозданием юзера.
|
|||
54
zak555
18.07.12
✎
08:19
|
вчера "мучался" на компе коллеги
она программой cureIT'ом нашла несколько троянов, убила я нашёл вручную ещё вирь betwinservicexp, который открыл соединение по rdp в режиме ожидания + создал юзера с паролем, админскими правами и правами на подключение к удалённому рабочему столу вычислит эти дрянь в итоге всё равно с той машины не могу подключиться по RDP к IPсервера, ни сделать ping (превышен интервал ожидания) и tracert (на последнем шаге писалось превышен интервал ожидания) там инет от акадо, у них подключение устроено так : модему по mac-адресу назначается внутренний 192.168.1ХХ.1 сети акадо, он в свою очередь становится шлюзом шлюзом для компа, который подключается по витой паре от модема и которому назначается внутренний 192.168.1ХХ.11 сети акадо но по bridge выделен модему "внешний" IP 77.232.XXX.4 но между модемом и компом ещё присутствует роутер TEW-652BRP, у которого сеть 192.168.10.0/25 в итоге, на комп коллеги злоумышленник не смог попасть из-за того, что на роутере порт 3389 не был прокинут (это радует) если зайти на роутер и произвести ping к IPсервера, то пишет ошибку : Fail, хотя к другим IP-адресам пишет Success (об этом я писал в (29) ) значит проблема не в машине, на которой были черви, а в IP 77.232.XXX.4 акада сказала, что выделить другой "внешний" адрес для того же модема ( а именно mac-адресу ) - не может |
|||
55
zak555
18.07.12
✎
08:21
|
появились подозрения, что вирусня может быть на сервере
сейчас запустил там cureIT - быстрая проверка не показала наличие заразы, сейчас делаю полную |
|||
56
zak555
18.07.12
✎
08:22
|
(52) он как раз спас =)
|
|||
57
zak555
18.07.12
✎
08:23
|
(53) создание где ?
|
|||
58
БалбесВ1с
18.07.12
✎
08:33
|
(57)На той станции с которой подключиться пытаешься.
|
|||
59
zak555
18.07.12
✎
08:34
|
(58) что это даст ?
с той станции ping не проходят => блокировка идёт со стороны сервера |
|||
60
БалбесВ1с
18.07.12
✎
08:34
|
(57)Это стрельба из пушки по воробьям чтоб долго причину не искать.Удаляется документсэндсеттингс просто при пересоздании)
|
|||
61
zak555
18.07.12
✎
08:37
|
(60) с роутера ping тоже не возможен => проблема не машине
у меня же была на домашней машине аналогичная ситуация |
|||
62
zak555
18.07.12
✎
09:26
|
cureIT при полной проверке говорит, что на сервере звери не обнаружены
|
|||
63
zak555
18.07.12
✎
09:39
|
если сделать команду на сервере
netstat -a то не успеваешь посмотреть --- какие в начале подключения |
|||
64
zak555
18.07.12
✎
09:41
|
как в итоге можно посмотреть ?
|
|||
65
SachoZ
18.07.12
✎
09:43
|
ты определись у тебя стоит роутер между терминальным сервером и провайдером или не стоит.
|
|||
66
zak555
18.07.12
✎
09:45
|
(65) на компе коллеги стоит роутер между модемом акадо и дом. компьютером коллеги
|
|||
67
SachoZ
18.07.12
✎
09:47
|
(66) нет что там у колеги меня не интересует, именно на стороне сервера есть NAT?
|
|||
68
this
18.07.12
✎
09:49
|
Не читал всю тему, антивирусное ПО стоит? каспер любит блочить айпишники.
|
|||
69
SachoZ
18.07.12
✎
09:49
|
если терминальный сервер за роутером, как оно и должно быть, то на роутере должен быть настроен проброс порта ip_внений:3389 на ip_терминального_сервера:3389, при чем проброс можно сделать и с ip_внений:6666 на ip_терминального_сервера:3389.
Дальше, при попытке подключения с компа колеги ей дает скорее всего дает отлуп роутер, хотя может нафиг посылать и сам сервер, для начала надо определить racertом на чем (где) идет отлуп пакетов. |
|||
70
zak555
18.07.12
✎
09:52
|
(67) нет никакого ната на сервере
|
|||
71
zak555
18.07.12
✎
09:52
|
(69) терминальный сервер не за роутером
|
|||
72
SachoZ
18.07.12
✎
09:54
|
(64) netstat -a > c:\netstat.txt
(70) (71) кабель провайдера воткнут прямо в сервер? |
|||
73
zak555
18.07.12
✎
09:56
|
(72) да, витая пара от прова воткнута прямо в сервер
|
|||
74
SachoZ
18.07.12
✎
09:59
|
(73) это не гуд. Сделай tracert с компа с которого нормально подключается и с компа с которого не подключается, сравни последние узлы, чтоб быть уверенным что отбивает именно твой сервер.
|
|||
75
zak555
18.07.12
✎
10:01
|
(74) сравнивал - отбивает именно сервер
|
|||
76
SachoZ
18.07.12
✎
10:01
|
(73) брэндмауер включен?
|
|||
77
SachoZ
18.07.12
✎
10:02
|
+(76) на сервере.
|
|||
78
zak555
18.07.12
✎
10:02
|
(76) (77) я его и отключал и включал
не помогает |
|||
79
SachoZ
18.07.12
✎
10:04
|
(78) "Политики безопасности IP" (IP Security Policies) смотрел?
|
|||
80
zak555
18.07.12
✎
10:05
|
(79) это где ?
|
|||
81
zak555
18.07.12
✎
10:06
|
||||
82
SachoZ
18.07.12
✎
10:09
|
(81) посмотри журналы windows, что пишет в журналы при попытке подключится?
|
|||
83
zak555
18.07.12
✎
10:15
|
(82) ничего про тот IP, которого сразу отрубает
|
|||
84
zak555
18.07.12
✎
10:16
|
туда только попадают те, которые ввели логин-пароль и нажали "ентер"
а тут сразу отрубается -- даже нет окна аунтификации |
|||
85
SachoZ
18.07.12
✎
10:18
|
Делал (74) ?
|
|||
86
zak555
18.07.12
✎
10:19
|
(85) да
предпоследний узёл -- шлюз провайдера а до последнего не доходит |
|||
87
SachoZ
18.07.12
✎
10:23
|
попробуй еще сделать в консоли на сервере: arp -d *
|
|||
88
zak555
18.07.12
✎
10:26
|
(87) что это ?
|
|||
89
zak555
18.07.12
✎
10:26
|
*сделал
|
|||
90
SachoZ
18.07.12
✎
10:27
|
очищает таблицу соответствия MAC - IP
|
|||
91
Джордж1
18.07.12
✎
10:29
|
zak555, а на компах клиент-банков нет? в (25) очень нехороший симптом
|
|||
92
Фдулич
18.07.12
✎
10:29
|
а может лиценз кончилисть?
|
|||
93
zak555
18.07.12
✎
10:30
|
(90) проверю
|
|||
94
zak555
18.07.12
✎
10:31
|
(91) это на машине, которую вылечил
но с роутера почему не идёт ping тогда ? |
|||
95
SachoZ
18.07.12
✎
10:32
|
(92) тогда б пинговался и трасерт бы проходил, у него именно терминальный сервер рубит соединение.
|
|||
96
zak555
18.07.12
✎
10:32
|
(92) тогда я бы не смог подключаться тоже с домашней машины
|
|||
97
zak555
18.07.12
✎
10:32
|
(90) сервак перезагружать ?
|
|||
98
SachoZ
18.07.12
✎
10:33
|
(97) нет
|
|||
99
zak555
18.07.12
✎
10:33
|
(98) не помогло
|
|||
100
zak555
18.07.12
✎
10:39
|
сделал ребут сервера -- тоже ничего не изменилось
|
|||
101
zak555
18.07.12
✎
10:57
|
самое весёлое, что на сервере этом 1с + сбис
и коллега, которая не может подключиться -- бух, которая до офиса доехать не может ибо сильно повредила ногу а тут как назло НДС и серийного номера криптоПРО не найти ( чтобы перенести сбис на ноут ) |
|||
102
Джордж1
18.07.12
✎
11:08
|
(101)сбис сам умеет номер крипто-про подтягивать - через Мастер создания налогоплательщика. Звони в техподдержку
|
|||
103
SachoZ
18.07.12
✎
14:18
|
(101) тимвивер поставь
|
|||
104
zak555
18.07.12
✎
14:26
|
(103) так нужно кому-то в офис ехать =)
|
|||
105
sdaf
18.07.12
✎
14:56
|
зачем ехать в офис то? ты же можешь подключиться, ты и поставь вивер...Еще вариант через анонимазер ей подключиться попробывать
|
|||
106
zak555
18.07.12
✎
15:23
|
(105) это же ерунда какая-то =)
|
|||
107
sdv2000
18.07.12
✎
16:14
|
а еще для извлечения s/n CryptoPro можно поюзать скрипт, написанный замечательным товарищем ynbIpb
|
|||
108
zak555
18.07.12
✎
16:17
|
(107) ссылочку пожалуйста =)
|
|||
109
sdv2000
18.07.12
✎
16:19
|
(108) да пожалуйста!
http://forum.ru-board.com/topic.cgi?forum=35&topic=25923&start=200#18 |
|||
110
zak555
18.07.12
✎
16:27
|
Извините, гости не могут заходить в этот форум. Пожалуйста зарегистрируйтесь!.
Возможные причины: Неправильный пароль Неправильное имя пользователя Незарегистрированный Пользователь |
|||
111
sdv2000
18.07.12
✎
16:29
|
(110) тебе помочь пройти регистрацию? :)
|
|||
112
zak555
18.07.12
✎
16:36
|
(111) только из дома смогу зайти туда
|
|||
113
kn
18.07.12
✎
16:37
|
может диапазон ip адресов посмотреть, не попадает какой-то
|
|||
114
zak555
18.07.12
✎
16:38
|
(113) где посмотреть ?
|
|||
115
kn
18.07.12
✎
16:40
|
на сервере
|
|||
116
zak555
18.07.12
✎
16:40
|
(115) где именно ?
|
|||
117
kn
18.07.12
✎
16:43
|
позови сисадмина или поищи в инете, бывает провайдер меняет диапазон адресов
|
|||
118
zak555
18.07.12
✎
16:45
|
(117) причём тут пров и диапазон ?
p.s. тут и так был мега-одмин =) |
|||
119
kn
18.07.12
✎
16:50
|
было такое с дома не получалось выйти, мой провайдер сменил диапазон, сисадмин настроил и все зарабоатло.
|
|||
120
viknik
18.07.12
✎
16:55
|
Выполни на компьютере, с которого запускаешь RDP, команду "netstat -rn" и назови ip (не доменное имя) терминального сервера (т.е. ip по которому будет устанавливать соединение клиент RDP)
|
|||
121
manyak
18.07.12
✎
17:01
|
а девахе дома хватит на триале посидеть, мы вон сертификат обноваляли, а криптопро старой версии, новую не купили, а новый серт - под новую версию криптопро. ниче все робит под триалом (1 месяц триала)
|
|||
122
zak555
18.07.12
✎
18:29
|
(121) серийник нашёл
|
|||
123
zak555
18.07.12
✎
18:29
|
(120) там по IP подключение
|
|||
124
zak555
18.07.12
✎
18:29
|
(119) что-что сменил ?
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |