当我输入query session并按下Enter显示活动会话列表时。输出显示以 开头655且处于某种状态的会话 ID Listen- 我如何跟踪这是什么?
当我使用命令query process /session: [session_id]并按下Enter,将其替换[session_id]为我想要调查的会话 ID 时,它会返回invalid session id。只是好奇这个处于监听状态的会话是什么?有人见过这种情况吗?
另外我有两个,一个是具有以 31c5 开头的随机会话名称和处于侦听状态的会话 ID 为 65536,另一个是 65537 上的 Rdp-tcp
答案1
会话 ID655或65536状态Listen通常为 RDP-Tcp 侦听器会话保留,该会话侦听传入的远程桌面协议 (RDP) 连接。此会话是在启用远程桌面服务角色时由操作系统创建的,它不是实际的用户会话。相反,它是一个在 Windows Server 上启用远程桌面服务角色时始终存在的系统会话。
由于它不是实际的用户会话,您无法使用该query process /session:[session_id]命令查询其进程,并且它将返回“无效的会话 ID”错误消息。
因此,您不必担心此会话 ID,因为当启用远程桌面服务时,它是 Windows Server 操作系统的标准部分。
答案2
我在 Win10 22H2 客户端(>100 个客户端)上发现了同样的情况(也是一个以 31c5c 开头的哈希监听会话...)。我最接近发现的是:
当我在 Win10 工作站上运行 qwinsta 时,这个散列会话名称是什么?
如果我按照答案中的建议运行命令:
net stop termservice
sc queryex TermService
taskkill /pid [PID output from command above] /f
散列会话消失了。所以我猜这真的只是 Windows 本身的问题 ^__^