Имя: Пароль:
IT
 
не работает RDP с некоторых IP
0 zak555
 
16.07.12
15:18
доброго времени суток !

есть машина с win 2008 x64 R2, на которой поднял сервер терминалов
внезапно, при попытке подключения с некоторых IP к удалённому рабочему столу стало появляться сообщение

удаленному рабочему столу не удалось подключиться....
1. не включён удалённый доступ
2. удалённый комп выключен
3. удалённый комп не подключен к сети

куда копать ?
1 Sakura
 
16.07.12
15:20
нет доступа с внешних адресов? или с веутренних?
2 1C_Enigma
 
16.07.12
15:22
проверка подлинности сервера, подключение через шлюз терминалов, настройка уровней проверки подлинности сервера и шифрования
3 zak555
 
16.07.12
15:24
(1) с внутренных есть

с некоторых внешних нет, причём раньше они свободно подключались
4 zak555
 
16.07.12
15:25
(2) чего-чего ?
5 tesei
 
16.07.12
15:25
Временные лицензии? Не пора ли чистить реестр в MSLicenсing ?
6 zak555
 
16.07.12
15:26
(5) они-то тут причём ?
7 zak555
 
16.07.12
15:32
и как часто надо их чистить ?
8 zak555
 
16.07.12
15:36
поиском в реестре "MSLicenсing" ничего не нашёл
9 shust
 
16.07.12
15:39
Начиная с Windows Vista после удаления содержимого раздела реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing, при подключении к терминальному серверу возникает ошибка: «Удаленный компьютер отключил сеанс, из-за ошибки в протоколе лицензирования. Попытайтесь подключиться к удаленному компьютеру снова или обратитесь к администратору сервера». При этом подразделы Hardware ID? и Store внутри MSLicensing не создаются.


Причина кроется в отсутствии прав у пользователя создать эти разделы. Для устранения ошибки, выполните следующие действия:
Запустите mstsc.exe с правами администратора («Запуск от имени администратора») или войдите в систему под учетной записью с правами администратора домена, если компьютер входит в домен.
Подключитесь к терминальному серверу. В этот момент будут автоматически созданы разделы реестра Hardware ID? и Store.
Отключитесь от терминального сервера.


После выполнения описанных выше действий, вы снова можете подключаться к терминальному серверу под учетной записью с правами пользователя.
10 zak555
 
16.07.12
15:40
(9) это на клиентской машине делать ?
11 tesei
 
16.07.12
15:50
Сделай на одной, проверь, хуже не будет. Только админ права надо иметь, иначе запускаться вообще не будет.
12 tesei
 
16.07.12
15:51
ключи можешь предварительно экспортировать
13 shust
 
16.07.12
15:51
14 zak555
 
16.07.12
15:51
кстати, на моей машине тоже был запрет
но когда пров изменил мне IP -- я потом смог подключаться
15 zak555
 
16.07.12
16:40
а если переименовать ветку MSLicensing в _MSLicensing ?
16 tesei
 
16.07.12
16:45
твой комп, экспериментируй :)
17 raykom
 
16.07.12
19:19
Чем закончилось то ? Интересный глюк.
18 Никола_
Питерский
 
16.07.12
20:10
Да было такое, почистил в реестре и все запахало•
19 zak555
 
17.07.12
09:35
сделал (15) -- не помогло
20 zak555
 
17.07.12
09:35
но на той машине есть трояны -- сейчас cureIT проверку делает
21 zak555
 
17.07.12
09:36
но на моей машине вирей нет
тогда как объяснить (14) ?
22 shust
 
17.07.12
09:38
Еще у меня было, что из регионов люди не могли подключиться(инет работал), с местного провайдера, причем если использовать
usb модем типа мегафона, то пускало нормально, пинали местного провайдера, не знаю что сделали вроде работает.
23 zak555
 
17.07.12
09:40
(22) было всё гуд, проблемы начались где-то в первой недели июля
24 zak555
 
17.07.12
10:21
есть у кого-нибудь мысли ?
25 zak555
 
17.07.12
18:15
походу на машине вири

нашёл cureIT порядка 20 троев, в ручную убил betwinservicexp.exe

но rdp не работает по-прежнему
26 zak555
 
17.07.12
18:18
делаю
telnet IP 3389

выводит ошибку

Подключение к IP ...Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения
27 zak555
 
17.07.12
18:29
вот ещё что интересного увидел :

netstat -b -n

TCP    192.168.10.151:1313    87.240.143.241:80      TIME_WAIT       0
TCP    192.168.10.151:1341    69.171.237.32:80       TIME_WAIT       0
TCP    192.168.10.151:1347    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1348    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1350    173.194.32.163:443     TIME_WAIT       0
TCP    192.168.10.151:1359    80.239.217.162:80      TIME_WAIT       0
TCP    192.168.10.151:1365    87.240.143.245:443     TIME_WAIT       0
TCP    192.168.10.151:1377    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1378    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1379    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1380    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1413    81.176.69.85:80        TIME_WAIT       0



это что такое ?
ip --- серваки соц сетей
28 zak555
 
17.07.12
18:52
подключиться с этой машине, к примеру, по rdp к server9523.ananas-t.ru -- могу
29 zak555
 
17.07.12
19:06
кстати, тут стоит роутер TEW-652BRP



делаю с него ping до ya.ru --- пишет Success
если IP -- пишет ошибку : Fail
30 zak555
 
17.07.12
19:09
значит я прав в (14)

=> банит машина IP, на которой win 2008 r2 X64
31 zak555
 
17.07.12
19:26
может это http://www.oszone.net/6589/ ?
32 zak555
 
17.07.12
19:45
никто не знает ?
33 raykom
 
17.07.12
20:00
Меня тема тоже интересует, но как то ты сумбурно излагаешь или я тихо понимаю.

Я вот даже с трудом понимаю, проблема с подключениями с локальных ИП или удаленных ?

Т.е. проблема с подключением изза роутера ? Или в локалке тоже бвает ?
34 zak555
 
17.07.12
20:04
(33)

внутри сети --- нет проблем
проблемы только для внешних клиентов
35 zak555
 
17.07.12
20:28
и только некоторые IP внешние не могут подключиться
36 kotletka
 
17.07.12
20:41
клиент удаленного рабочего стола на компах последний?
37 SachoZ
 
17.07.12
20:43
(35) сделай с этих проблемных компов: tracert ip_сервера
38 SachoZ
 
17.07.12
20:45
(35) включена ли на серваке служба Брендмауэр, стоит ли фаервол?
39 SachoZ
 
17.07.12
20:46
(36) не должно иметь значения.
40 kotletka
 
17.07.12
20:48
(39)имеет ещё как, на серв с 2008 не могли подключиться с компов с хрюши со 2 сп, пока с оф сайта мелкомягких не скачали обновления для рдп клиента
41 SachoZ
 
17.07.12
20:59
(40) Да пофигу какая версия у клиента, там все настраивается: http://sysadmins.ru/files/ts_105.jpg

Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее) — позволит подключаться с клиентских компьютеров, работающих под управлением более ранних версий операционных систем Windows (или клиентов в других операционных системах — GNU/Linux, Mac OS X), которые не поддерживают новую версию протокола RDP. Такой вариант считается менее безопасным, хотя это не значит, что нужно отказаться от его использования.
http://computerhelp.ucoz.ua/publ/udalennyj_dostup_k_rabochemu_stolu_v_windows_server_2008_i_windows_7/1-1-0-38
42 kotletka
 
17.07.12
21:08
(41)нихрена не настраивается, хоть заставься эту галку, что ты споришь, "не читал но осуждаю", я с этой хней 4 часа ипался, поставь клиент 5 версии на хрюшу и подрубись к выню 2008, потом расскажешь
43 raykom
 
17.07.12
21:09
(34)Извини, не в обиду вопрос, для порядка. Ошибка подключения возникает с НЕКОТОРЫХ РАЗНЫХ внешних ИП, но для одного и того же локального ИП ?
Т.е. к примеру к 192.168.1.30 с внешнего адреса ххх.ххх.ххх.ххх есть подключение РДП, а с внешнего адреса yyy.yyy.yyy.yyy нет подключения.
И НИКОГДА с адреса yyy.yyy.yyy.yyy подключение РДП не работает.

Я правильно понимаю ситуацию ?
44 kotletka
 
17.07.12
21:11
(43)+1,т.к. если со всех внешних не подрубает, тогда нат на роутере не настроен
45 SachoZ
 
17.07.12
21:27
(42) Ну то что ты "с этой хней 4 часа ипался" это лично твои сексуальные проблемы, а совместимость с RDP-клиентами любой версии настраивается за 3 минуты. У меня на терминальный сервер с чего только не подключаются и с маков, и с линуксов и с виндовсов версии клиентов от  5.0 до 7.
46 SachoZ
 
17.07.12
21:29
(42) Выставляйся, запишу видеоинструкцию, как настроить рдп на 2008мом =).
47 zak555
 
17.07.12
22:54
(37)

на проблемном внешнем IP

1. tracert на последнем шаге говорит о превышенном интервале ожидании
2. ping говорит о превышенном интервале ожидании аналогично

на моём новом IP
tracert  & ping идут отлично

на моём старом IP тоже не шёл ping и не было последнего шага на tracert
48 zak555
 
17.07.12
22:58
(38) читай (29) --- дело в IP
49 zak555
 
17.07.12
22:59
(40) везде последний клиент и проблема появилась недавно
50 SachoZ
 
17.07.12
23:10
(47) На каком шаге? до какого ip доходит, что это за ip? это твой внешний ip роутера?
51 zak555
 
18.07.12
08:00
(50)

ещё раз :
есть IPсервера (реальный статик)

есть мой домашний комп, у которого IPмой (реальный динамический )
сейчас я спокойно подключаюсь по RDP к IPсервера, делаю ping и tracert

когда на моём домашнем компе был другой IPмойСтарый (реальный динамический ), то я
не мог ни подключиться по RDP к IPсервера, ни сделаю ping (превышен интервал ожидания) и tracert (на последнем шаге писалось превышен интервал ожидания)
у меня вирусов нет и не было (!)
52 Пеппи
 
18.07.12
08:03
выкинь роутер )
53 БалбесВ1с
 
18.07.12
08:11
(51)Еще такая хрень лечится пересозданием юзера.
54 zak555
 
18.07.12
08:19
вчера "мучался" на компе коллеги
она программой cureIT'ом нашла несколько троянов, убила
я нашёл вручную ещё вирь betwinservicexp, который открыл соединение по rdp в режиме ожидания + создал юзера с паролем, админскими правами и правами на подключение к удалённому рабочему столу

вычислит эти дрянь

в итоге всё равно с той машины не могу подключиться по RDP к IPсервера, ни сделать ping (превышен интервал ожидания) и tracert (на последнем шаге писалось превышен интервал ожидания)

там инет от акадо, у них подключение устроено так :
модему по mac-адресу назначается внутренний 192.168.1ХХ.1 сети акадо, он в свою очередь становится шлюзом шлюзом для компа, который подключается по витой паре от модема и которому назначается внутренний 192.168.1ХХ.11 сети акадо
но по bridge выделен модему "внешний" IP 77.232.XXX.4

но между модемом и компом ещё присутствует роутер TEW-652BRP, у которого сеть 192.168.10.0/25

в итоге, на комп коллеги злоумышленник не смог попасть из-за того, что на роутере порт 3389 не был прокинут (это радует)


если зайти на роутер и произвести ping к IPсервера, то пишет ошибку : Fail, хотя к другим IP-адресам пишет Success (об этом я писал в (29) )

значит проблема не в машине, на которой были черви, а в IP 77.232.XXX.4

акада сказала, что выделить другой "внешний" адрес для того же модема ( а именно mac-адресу ) - не может
55 zak555
 
18.07.12
08:21
появились подозрения, что вирусня может быть на сервере
сейчас запустил там cureIT - быстрая проверка не показала наличие заразы, сейчас делаю полную
56 zak555
 
18.07.12
08:22
(52) он как раз спас =)
57 zak555
 
18.07.12
08:23
(53) создание где ?
58 БалбесВ1с
 
18.07.12
08:33
(57)На той станции с которой подключиться пытаешься.
59 zak555
 
18.07.12
08:34
(58) что это даст ?

с той станции ping не проходят => блокировка идёт со стороны сервера
60 БалбесВ1с
 
18.07.12
08:34
(57)Это стрельба из пушки по воробьям чтоб долго причину не искать.Удаляется документсэндсеттингс просто при  пересоздании)
61 zak555
 
18.07.12
08:37
(60) с роутера ping тоже не возможен => проблема не машине
у меня же была на домашней машине аналогичная ситуация
62 zak555
 
18.07.12
09:26
cureIT при полной проверке говорит, что на сервере звери не обнаружены
63 zak555
 
18.07.12
09:39
если сделать команду на сервере
netstat -a

то не успеваешь посмотреть --- какие в начале подключения
64 zak555
 
18.07.12
09:41
как в итоге можно посмотреть ?
65 SachoZ
 
18.07.12
09:43
ты определись у тебя стоит роутер между терминальным сервером и провайдером или не стоит.
66 zak555
 
18.07.12
09:45
(65) на компе коллеги стоит роутер между модемом акадо и дом. компьютером коллеги
67 SachoZ
 
18.07.12
09:47
(66) нет что там у колеги меня не интересует, именно на стороне сервера есть NAT?
68 this
 
18.07.12
09:49
Не читал всю тему, антивирусное ПО стоит? каспер любит блочить айпишники.
69 SachoZ
 
18.07.12
09:49
если  терминальный сервер за роутером, как оно и должно быть, то на роутере должен быть настроен проброс порта ip_внений:3389 на ip_терминального_сервера:3389, при чем проброс можно сделать и с ip_внений:6666 на ip_терминального_сервера:3389.
Дальше, при попытке подключения с компа колеги ей дает скорее всего дает отлуп роутер, хотя может нафиг посылать и сам сервер, для начала надо определить racertом на чем (где) идет отлуп пакетов.
70 zak555
 
18.07.12
09:52
(67) нет никакого ната на сервере
71 zak555
 
18.07.12
09:52
(69) терминальный сервер не за роутером
72 SachoZ
 
18.07.12
09:54
(64) netstat -a  > c:\netstat.txt
(70) (71) кабель провайдера воткнут прямо в сервер?
73 zak555
 
18.07.12
09:56
(72) да, витая пара от прова воткнута прямо в сервер
74 SachoZ
 
18.07.12
09:59
(73) это не гуд. Сделай tracert с компа с которого нормально подключается и с компа с которого не подключается, сравни последние узлы, чтоб быть уверенным что отбивает именно твой сервер.
75 zak555
 
18.07.12
10:01
(74) сравнивал - отбивает именно сервер
76 SachoZ
 
18.07.12
10:01
(73) брэндмауер включен?
77 SachoZ
 
18.07.12
10:02
+(76) на сервере.
78 zak555
 
18.07.12
10:02
(76) (77) я его и отключал и включал
не помогает
79 SachoZ
 
18.07.12
10:04
(78) "Политики безопасности IP" (IP Security Policies) смотрел?
80 zak555
 
18.07.12
10:05
(79) это где ?
81 zak555
 
18.07.12
10:06
82 SachoZ
 
18.07.12
10:09
(81) посмотри журналы windows, что пишет в журналы при попытке подключится?
83 zak555
 
18.07.12
10:15
(82) ничего про тот IP, которого сразу отрубает
84 zak555
 
18.07.12
10:16
туда только попадают те, которые ввели логин-пароль и нажали "ентер"
а тут сразу отрубается -- даже нет окна аунтификации
85 SachoZ
 
18.07.12
10:18
Делал (74) ?
86 zak555
 
18.07.12
10:19
(85) да
предпоследний узёл -- шлюз провайдера
а до последнего не доходит
87 SachoZ
 
18.07.12
10:23
попробуй еще сделать в консоли на сервере: arp -d *
88 zak555
 
18.07.12
10:26
(87) что это ?
89 zak555
 
18.07.12
10:26
*сделал
90 SachoZ
 
18.07.12
10:27
очищает таблицу соответствия MAC - IP
91 Джордж1
 
18.07.12
10:29
zak555, а на компах клиент-банков нет? в (25) очень нехороший симптом
92 Фдулич
 
18.07.12
10:29
а может лиценз кончилисть?
93 zak555
 
18.07.12
10:30
(90) проверю
94 zak555
 
18.07.12
10:31
(91) это на машине, которую вылечил

но с роутера почему не идёт ping тогда ?
95 SachoZ
 
18.07.12
10:32
(92) тогда б пинговался и трасерт бы проходил, у него именно терминальный сервер рубит соединение.
96 zak555
 
18.07.12
10:32
(92) тогда я бы не смог подключаться тоже с домашней машины
97 zak555
 
18.07.12
10:32
(90) сервак перезагружать ?
98 SachoZ
 
18.07.12
10:33
(97) нет
99 zak555
 
18.07.12
10:33
(98) не помогло
100 zak555
 
18.07.12
10:39
сделал ребут сервера -- тоже ничего не изменилось
101 zak555
 
18.07.12
10:57
самое весёлое, что на сервере этом 1с + сбис
и коллега, которая не может подключиться -- бух, которая до офиса доехать не может ибо сильно повредила ногу
а тут как назло НДС
и серийного номера криптоПРО не найти ( чтобы перенести сбис на ноут )
102 Джордж1
 
18.07.12
11:08
(101)сбис сам умеет номер крипто-про подтягивать - через Мастер создания налогоплательщика. Звони в техподдержку
103 SachoZ
 
18.07.12
14:18
(101) тимвивер поставь
104 zak555
 
18.07.12
14:26
(103) так нужно кому-то в офис ехать =)
105 sdaf
 
18.07.12
14:56
зачем ехать в офис то? ты же можешь подключиться, ты и поставь вивер...Еще вариант через анонимазер ей подключиться попробывать
106 zak555
 
18.07.12
15:23
(105) это же ерунда какая-то =)
107 sdv2000
 
18.07.12
16:14
а еще для извлечения s/n CryptoPro можно поюзать скрипт, написанный замечательным товарищем ynbIpb
108 zak555
 
18.07.12
16:17
(107) ссылочку пожалуйста =)
109 sdv2000
 
18.07.12
16:19
110 zak555
 
18.07.12
16:27
Извините, гости не могут заходить в этот форум. Пожалуйста зарегистрируйтесь!.

Возможные причины:

   Неправильный пароль
   Неправильное имя пользователя
   Незарегистрированный Пользователь
111 sdv2000
 
18.07.12
16:29
(110) тебе помочь пройти регистрацию? :)
112 zak555
 
18.07.12
16:36
(111) только из дома смогу зайти туда
113 kn
 
18.07.12
16:37
может диапазон ip адресов посмотреть, не попадает какой-то
114 zak555
 
18.07.12
16:38
(113) где посмотреть ?
115 kn
 
18.07.12
16:40
на сервере
116 zak555
 
18.07.12
16:40
(115) где именно ?
117 kn
 
18.07.12
16:43
позови сисадмина или поищи в инете, бывает провайдер меняет диапазон адресов
118 zak555
 
18.07.12
16:45
(117) причём тут пров и диапазон ?
p.s. тут и так был мега-одмин =)
119 kn
 
18.07.12
16:50
было такое с дома не получалось выйти, мой провайдер сменил диапазон, сисадмин настроил и все зарабоатло.
120 viknik
 
18.07.12
16:55
Выполни на компьютере, с которого запускаешь RDP, команду "netstat -rn" и назови ip (не доменное имя) терминального сервера (т.е. ip по которому  будет устанавливать соединение клиент RDP)
121 manyak
 
18.07.12
17:01
а девахе дома хватит на триале посидеть, мы вон сертификат обноваляли, а криптопро старой версии, новую не купили, а новый серт - под новую версию криптопро. ниче все робит под триалом (1 месяц триала)
122 zak555
 
18.07.12
18:29
(121) серийник нашёл
123 zak555
 
18.07.12
18:29
(120) там по IP подключение
124 zak555
 
18.07.12
18:29
(119) что-что сменил ?