доброго времени суток !

есть машина с win 2008 x64 R2, на которой поднял сервер терминалов
внезапно, при попытке подключения с некоторых IP к удалённому рабочему столу стало появляться сообщение

удаленному рабочему столу не удалось подключиться....
1. не включён удалённый доступ
2. удалённый комп выключен
3. удалённый комп не подключен к сети

куда копать ?

нет доступа с внешних адресов? или с веутренних?

проверка подлинности сервера, подключение через шлюз терминалов, настройка уровней проверки подлинности сервера и шифрования

(1) с внутренных есть

с некоторых внешних нет, причём раньше они свободно подключались

(2) чего-чего ?

Временные лицензии? Не пора ли чистить реестр в MSLicenсing ?

(5) они-то тут причём ?

и как часто надо их чистить ?

поиском в реестре "MSLicenсing" ничего не нашёл

Начиная с Windows Vista после удаления содержимого раздела реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing, при подключении к терминальному серверу возникает ошибка: «Удаленный компьютер отключил сеанс, из-за ошибки в протоколе лицензирования. Попытайтесь подключиться к удаленному компьютеру снова или обратитесь к администратору сервера». При этом подразделы Hardware ID? и Store внутри MSLicensing не создаются.


Причина кроется в отсутствии прав у пользователя создать эти разделы. Для устранения ошибки, выполните следующие действия:
Запустите mstsc.exe с правами администратора («Запуск от имени администратора») или войдите в систему под учетной записью с правами администратора домена, если компьютер входит в домен.
Подключитесь к терминальному серверу. В этот момент будут автоматически созданы разделы реестра Hardware ID? и Store.
Отключитесь от терминального сервера.


После выполнения описанных выше действий, вы снова можете подключаться к терминальному серверу под учетной записью с правами пользователя.

(9) это на клиентской машине делать ?

Сделай на одной, проверь, хуже не будет. Только админ права надо иметь, иначе запускаться вообще не будет.

ключи можешь предварительно экспортировать

http://support.microsoft.com/kb/187614

кстати, на моей машине тоже был запрет
но когда пров изменил мне IP -- я потом смог подключаться

а если переименовать ветку MSLicensing в _MSLicensing ?

твой комп, экспериментируй :)

Чем закончилось то ? Интересный глюк.

Да было такое, почистил в реестре и все запахало•

сделал (15) -- не помогло

но на той машине есть трояны -- сейчас cureIT проверку делает

но на моей машине вирей нет
тогда как объяснить (14) ?

Еще у меня было, что из регионов люди не могли подключиться(инет работал), с местного провайдера, причем если использовать
usb модем типа мегафона, то пускало нормально, пинали местного провайдера, не знаю что сделали вроде работает.

(22) было всё гуд, проблемы начались где-то в первой недели июля

есть у кого-нибудь мысли ?

походу на машине вири

нашёл cureIT порядка 20 троев, в ручную убил betwinservicexp.exe

но rdp не работает по-прежнему

делаю
telnet IP 3389

выводит ошибку

Подключение к IP ...Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения

вот ещё что интересного увидел :

netstat -b -n

TCP    192.168.10.151:1313    87.240.143.241:80      TIME_WAIT       0
TCP    192.168.10.151:1341    69.171.237.32:80       TIME_WAIT       0
TCP    192.168.10.151:1347    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1348    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1350    173.194.32.163:443     TIME_WAIT       0
TCP    192.168.10.151:1359    80.239.217.162:80      TIME_WAIT       0
TCP    192.168.10.151:1365    87.240.143.245:443     TIME_WAIT       0
TCP    192.168.10.151:1377    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1378    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1379    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1380    87.240.131.97:80       TIME_WAIT       0
TCP    192.168.10.151:1413    81.176.69.85:80        TIME_WAIT       0



это что такое ?
ip --- серваки соц сетей

подключиться с этой машине, к примеру, по rdp к server9523.ananas-t.ru -- могу

кстати, тут стоит роутер TEW-652BRP



делаю с него ping до ya.ru --- пишет Success
если IP -- пишет ошибку : Fail

значит я прав в (14)

=> банит машина IP, на которой win 2008 r2 X64

может это http://www.oszone.net/6589/ ?

никто не знает ?

Меня тема тоже интересует, но как то ты сумбурно излагаешь или я тихо понимаю.

Я вот даже с трудом понимаю, проблема с подключениями с локальных ИП или удаленных ?

Т.е. проблема с подключением изза роутера ? Или в локалке тоже бвает ?

(33)

внутри сети --- нет проблем
проблемы только для внешних клиентов

и только некоторые IP внешние не могут подключиться

клиент удаленного рабочего стола на компах последний?

(35) сделай с этих проблемных компов: tracert ip_сервера

(35) включена ли на серваке служба Брендмауэр, стоит ли фаервол?

(36) не должно иметь значения.

(39)имеет ещё как, на серв с 2008 не могли подключиться с компов с хрюши со 2 сп, пока с оф сайта мелкомягких не скачали обновления для рдп клиента

(40) Да пофигу какая версия у клиента, там все настраивается: http://sysadmins.ru/files/ts_105.jpg

Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (опаснее) — позволит подключаться с клиентских компьютеров, работающих под управлением более ранних версий операционных систем Windows (или клиентов в других операционных системах — GNU/Linux, Mac OS X), которые не поддерживают новую версию протокола RDP. Такой вариант считается менее безопасным, хотя это не значит, что нужно отказаться от его использования.
http://computerhelp.ucoz.ua/publ/udalennyj_dostup_k_rabochemu_stolu_v_windows_server_2008_i_windows_7/1-1-0-38

(41)нихрена не настраивается, хоть заставься эту галку, что ты споришь, "не читал но осуждаю", я с этой хней 4 часа ипался, поставь клиент 5 версии на хрюшу и подрубись к выню 2008, потом расскажешь

(34)Извини, не в обиду вопрос, для порядка. Ошибка подключения возникает с НЕКОТОРЫХ РАЗНЫХ внешних ИП, но для одного и того же локального ИП ?
Т.е. к примеру к 192.168.1.30 с внешнего адреса ххх.ххх.ххх.ххх есть подключение РДП, а с внешнего адреса yyy.yyy.yyy.yyy нет подключения.
И НИКОГДА с адреса yyy.yyy.yyy.yyy подключение РДП не работает.

Я правильно понимаю ситуацию ?

(43)+1,т.к. если со всех внешних не подрубает, тогда нат на роутере не настроен

(42) Ну то что ты "с этой хней 4 часа ипался" это лично твои сексуальные проблемы, а совместимость с RDP-клиентами любой версии настраивается за 3 минуты. У меня на терминальный сервер с чего только не подключаются и с маков, и с линуксов и с виндовсов версии клиентов от  5.0 до 7.

(42) Выставляйся, запишу видеоинструкцию, как настроить рдп на 2008мом =).

(37)

на проблемном внешнем IP

1. tracert на последнем шаге говорит о превышенном интервале ожидании
2. ping говорит о превышенном интервале ожидании аналогично

на моём новом IP
tracert  & ping идут отлично

на моём старом IP тоже не шёл ping и не было последнего шага на tracert

(38) читай (29) --- дело в IP

(40) везде последний клиент и проблема появилась недавно

(47) На каком шаге? до какого ip доходит, что это за ip? это твой внешний ip роутера?

(50)

ещё раз :
есть IPсервера (реальный статик)

есть мой домашний комп, у которого IPмой (реальный динамический )
сейчас я спокойно подключаюсь по RDP к IPсервера, делаю ping и tracert

когда на моём домашнем компе был другой IPмойСтарый (реальный динамический ), то я
не мог ни подключиться по RDP к IPсервера, ни сделаю ping (превышен интервал ожидания) и tracert (на последнем шаге писалось превышен интервал ожидания)
у меня вирусов нет и не было (!)

выкинь роутер )

(51)Еще такая хрень лечится пересозданием юзера.

вчера "мучался" на компе коллеги
она программой cureIT'ом нашла несколько троянов, убила
я нашёл вручную ещё вирь betwinservicexp, который открыл соединение по rdp в режиме ожидания + создал юзера с паролем, админскими правами и правами на подключение к удалённому рабочему столу

вычислит эти дрянь

в итоге всё равно с той машины не могу подключиться по RDP к IPсервера, ни сделать ping (превышен интервал ожидания) и tracert (на последнем шаге писалось превышен интервал ожидания)

там инет от акадо, у них подключение устроено так :
модему по mac-адресу назначается внутренний 192.168.1ХХ.1 сети акадо, он в свою очередь становится шлюзом шлюзом для компа, который подключается по витой паре от модема и которому назначается внутренний 192.168.1ХХ.11 сети акадо
но по bridge выделен модему "внешний" IP 77.232.XXX.4

но между модемом и компом ещё присутствует роутер TEW-652BRP, у которого сеть 192.168.10.0/25

в итоге, на комп коллеги злоумышленник не смог попасть из-за того, что на роутере порт 3389 не был прокинут (это радует)


если зайти на роутер и произвести ping к IPсервера, то пишет ошибку : Fail, хотя к другим IP-адресам пишет Success (об этом я писал в (29) )

значит проблема не в машине, на которой были черви, а в IP 77.232.XXX.4

акада сказала, что выделить другой "внешний" адрес для того же модема ( а именно mac-адресу ) - не может

появились подозрения, что вирусня может быть на сервере
сейчас запустил там cureIT - быстрая проверка не показала наличие заразы, сейчас делаю полную

(52) он как раз спас =)

(53) создание где ?

(57)На той станции с которой подключиться пытаешься.

(58) что это даст ?

с той станции ping не проходят => блокировка идёт со стороны сервера

(57)Это стрельба из пушки по воробьям чтоб долго причину не искать.Удаляется документсэндсеттингс просто при  пересоздании)

(60) с роутера ping тоже не возможен => проблема не машине
у меня же была на домашней машине аналогичная ситуация

cureIT при полной проверке говорит, что на сервере звери не обнаружены

если сделать команду на сервере
netstat -a

то не успеваешь посмотреть --- какие в начале подключения

как в итоге можно посмотреть ?

ты определись у тебя стоит роутер между терминальным сервером и провайдером или не стоит.

(65) на компе коллеги стоит роутер между модемом акадо и дом. компьютером коллеги

(66) нет что там у колеги меня не интересует, именно на стороне сервера есть NAT?

Не читал всю тему, антивирусное ПО стоит? каспер любит блочить айпишники.

если  терминальный сервер за роутером, как оно и должно быть, то на роутере должен быть настроен проброс порта ip_внений:3389 на ip_терминального_сервера:3389, при чем проброс можно сделать и с ip_внений:6666 на ip_терминального_сервера:3389.
Дальше, при попытке подключения с компа колеги ей дает скорее всего дает отлуп роутер, хотя может нафиг посылать и сам сервер, для начала надо определить racertом на чем (где) идет отлуп пакетов.

(67) нет никакого ната на сервере

(69) терминальный сервер не за роутером

(64) netstat -a  > c:\netstat.txt
(70) (71) кабель провайдера воткнут прямо в сервер?

(72) да, витая пара от прова воткнута прямо в сервер

(73) это не гуд. Сделай tracert с компа с которого нормально подключается и с компа с которого не подключается, сравни последние узлы, чтоб быть уверенным что отбивает именно твой сервер.

(74) сравнивал - отбивает именно сервер

(73) брэндмауер включен?

+(76) на сервере.

(76) (77) я его и отключал и включал
не помогает

(78) "Политики безопасности IP" (IP Security Policies) смотрел?

(79) это где ?

http://www.winteach.ru/Glava26/26-12.jpg ?

ничего нет

(81) посмотри журналы windows, что пишет в журналы при попытке подключится?

(82) ничего про тот IP, которого сразу отрубает

туда только попадают те, которые ввели логин-пароль и нажали "ентер"
а тут сразу отрубается -- даже нет окна аунтификации

Делал (74) ?

(85) да
предпоследний узёл -- шлюз провайдера
а до последнего не доходит

попробуй еще сделать в консоли на сервере: arp -d *

(87) что это ?

*сделал

очищает таблицу соответствия MAC - IP

zak555, а на компах клиент-банков нет? в (25) очень нехороший симптом

а может лиценз кончилисть?

(90) проверю

(91) это на машине, которую вылечил

но с роутера почему не идёт ping тогда ?

(92) тогда б пинговался и трасерт бы проходил, у него именно терминальный сервер рубит соединение.

(92) тогда я бы не смог подключаться тоже с домашней машины

(90) сервак перезагружать ?

(97) нет

(98) не помогло

сделал ребут сервера -- тоже ничего не изменилось

самое весёлое, что на сервере этом 1с + сбис
и коллега, которая не может подключиться -- бух, которая до офиса доехать не может ибо сильно повредила ногу
а тут как назло НДС
и серийного номера криптоПРО не найти ( чтобы перенести сбис на ноут )

(101)сбис сам умеет номер крипто-про подтягивать - через Мастер создания налогоплательщика. Звони в техподдержку

(101) тимвивер поставь

(103) так нужно кому-то в офис ехать =)

зачем ехать в офис то? ты же можешь подключиться, ты и поставь вивер...Еще вариант через анонимазер ей подключиться попробывать

(105) это же ерунда какая-то =)

а еще для извлечения s/n CryptoPro можно поюзать скрипт, написанный замечательным товарищем ynbIpb

(107) ссылочку пожалуйста =)

(108) да пожалуйста!
http://forum.ru-board.com/topic.cgi?forum=35&topic=25923&start=200#18

Извините, гости не могут заходить в этот форум. Пожалуйста зарегистрируйтесь!.

Возможные причины:

   Неправильный пароль
   Неправильное имя пользователя
   Незарегистрированный Пользователь

(110) тебе помочь пройти регистрацию? :)

(111) только из дома смогу зайти туда

может диапазон ip адресов посмотреть, не попадает какой-то

(113) где посмотреть ?

на сервере

(115) где именно ?

позови сисадмина или поищи в инете, бывает провайдер меняет диапазон адресов

(117) причём тут пров и диапазон ?
p.s. тут и так был мега-одмин =)

было такое с дома не получалось выйти, мой провайдер сменил диапазон, сисадмин настроил и все зарабоатло.

Выполни на компьютере, с которого запускаешь RDP, команду "netstat -rn" и назови ip (не доменное имя) терминального сервера (т.е. ip по которому  будет устанавливать соединение клиент RDP)

а девахе дома хватит на триале посидеть, мы вон сертификат обноваляли, а криптопро старой версии, новую не купили, а новый серт - под новую версию криптопро. ниче все робит под триалом (1 месяц триала)

(121) серийник нашёл

(120) там по IP подключение

(119) что-что сменил ?