我有几个 W2K3 SP2 服务器,启用了管理员 TS。今天早上我发现,我无法登录其中的一些服务器。我在不同的服务器场中有几个 Citrix 服务器,一个 SAP (IA64) 应用服务器和一个 cvs 服务器。它们都显示相同的症状;远程连接被拒绝。我能够在本地登录,并且终端服务器服务已启动,没有用户(因此连接没有耗尽)。
大多数服务器的日志都没有错误。其中一个 Citrix 服务器报告了以下错误:
Event ID 50
Source TermDD
Type Error
Description The RDP protocol component X.224 detected an error in the protocol stream and has disconnected the client.
和
Event ID 1006
Source TermService
Type Error
Description The terminal server received large number of incomplete connections. The system may be under attack.
无论如何,我认为这些错误出现的原因是服务器无法正常工作,而 Citrix 用户大量尝试登录。(我已对服务器进行 nmap,端口似乎已启动)。
我之前通过重启解决了这个问题,但由于有这么多服务器受到影响,这似乎是一个糟糕的解决方法。有什么想法可以正确地排除故障吗?
答案1
只是想知道重新启动是否能解决问题(即使是暂时的)?
此外,如果有人试图暴力攻击 rdp 端口以查找可以远程登录的用户的密码:请检查以确保组/帐户策略未锁定帐户的远程访问。(应启用此功能)
祝你好运!
答案2
以下是 EventID.net 上发布的有关类似问题的问题:
http://www.eventid.net/display.asp?eventid=50&eventno=606&source=TermDD&phase=1
唯一的问题是 M### 没有链接到 MS 网站上的 MS 文章,而是链接到 EventID.net 上的(相同)文章,所以你必须弄清楚它们适用于哪些 MS 文章(或者成为订阅者,不确定是否免费,没有检查)。
答案3
我最近发现,当 Advantage Validation Tool 没有正确安装时,TS 会出现连接问题,只是客人,您可以检查您的 WIN2K 上的软件部分,或者它们会获得自动更新,这是锁定的系统,因为 WGA 存在问题
答案4
Event ID 1006
Source TermService
Type Error
Description The terminal server received large number of incomplete connections. The system may be under attack.
Event ID如果您的服务器监听互联网的 RDP 端口并且遭到暴力破解或扫描,也会出现这种情况。