我们有一台 Hyper-V 托管的带有远程桌面服务的 Windows Server 2008 R2 标准服务器,该服务器存在一个长期存在的问题,即每天凌晨,它的网络都会遇到很多奇怪的问题:
- 使用命令提示符对公共 (
www.google.co.uk) 和私有 (%domainControllerHostname%.%activeDirectoryDNSDomainName%) 的 FQDN 进行 nslookup 和 ping 操作均成功。 使用 Internet Explorer 浏览网站(
http://support.me、https://www.google.co.uk等)失败并出现错误:• 重置前:“无法打开搜索页面”。
• 重置后:“无法显示该页面”。使用资源管理器浏览域控制器服务器失败并出现错误:
“网络错误 Windows 无法访问 \%domainControllerHostname%\”
使用 Explorer 浏览其自身失败并出现错误:
“\127.0.0.1\ 超出了本地计算机网络适配卡的名称限制”。
使用命令提示符执行命令“nslookup -type=all _ldap._TCP.dc._msdcs.%activeDirectoryDNSDomainName%”成功。
- 记录错误和警告事件:
日志名称:系统
来源:Microsoft-Windows-GroupPolicy
日期:2016 年 7 月 14 日 01:37:12
事件 ID:1055
任务类别:无
级别:错误
关键字:
用户:%activeDirectoryNetBIOSDomainName%\%activeDirectoryDomainAdministratorUsername%
计算机:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
组策略处理失败。Windows 无法解析计算机名称。这可能是由以下一个或多个原因造成的:
a) 当前域控制器上的名称解析失败。b
) Active Directory 复制延迟(在另一个域控制器上创建的帐户尚未复制到当前域控制器)。
日志名称:系统
来源:Microsoft-Windows-TerminalServices-RemoteConnectionManager
日期:2016 年 7 月 14 日 03:02:19
事件 ID:1061
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
远程桌面会话主机服务器无法从 AD 检索用户许可信息。错误 0x8007054b。
日志名称:系统
来源:NETLOGON
日期:2016 年 7 月 14 日 03:32:12
事件 ID:5719
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
此计算机无法与域 %activeDirectoryNetBIOSDomainName% 中的域控制器建立安全会话,原因如下:
RPC 服务器不可用。
这可能会导致身份验证问题。请确保此计算机已连接到网络。如果问题仍然存在,请联系您的域管理员。附加信息
如果此计算机是指定域的域控制器,它将与指定域中的主域控制器模拟器建立安全会话。否则,此计算机将与指定域中的任何域控制器建立安全会话。
日志名称:系统
来源:Microsoft-Windows-TerminalServices-Licensing
日期:2016 年 7 月 14 日 03:35:38
事件 ID:4105
任务类别:无
级别:警告
关键字:经典
用户:N/A
计算机:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
远程桌面许可证服务器无法更新 Active Directory 域“%activeDirectoryDNSDomainName%”中用户“NOC_HelpDesk”的许可证属性。确保许可证服务器的计算机帐户是 Active Directory 域“%activeDirectoryDNSDomainName%”中终端服务器许可证服务器组的成员。如果许可证服务器安装在域控制器上,则网络服务帐户也需要是终端服务器许可证服务器组的成员。
如果许可证服务器安装在域控制器上,则在将适当的帐户添加到终端服务器许可证服务器组后,必须重新启动远程桌面授权服务以跟踪或报告 RDS 每用户 CAL 的使用情况。
Win32 错误代码:0x8007203a
日志名称:系统
来源:TermDD
日期:2016-07-14 04:53:14
事件 ID:56
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
终端服务器安全层检测到协议流中的错误并已断开客户端连接。客户端 IP:172.16.50.100。
日志名称:系统
来源:TermDD
日期:2016 年 7 月 14 日 04:53:24
事件 ID:50
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
RDP 协议组件 X.224 检测到协议流中的错误,并已断开客户端的连接。
这些问题可以通过重新启动服务器在约 24 小时内暂时解决。
托管在同一 Hyper-V 主机上甚至位于同一网络和 Active Directory 域中的虚拟机都没有问题。
答案1
经过多次诊断(包括将 VM 克隆到不同的 Hyper-V 服务器、将 2012 R2 RDS 服务器添加到同一个 AD 域等),我们的 Continuum NOC 确定了原因。
奇怪的是,Windows 服务A300_Service(应用程序 TotalTimePlus 版本 7.00.0000)似乎是原因 - 立即停止它可以解决所有问题,而无需重新启动。
以下是他们电子邮件中的相关部分,其中包含更多技术细节:
我可以在 Process Explorer 中看到,此服务始终尝试将 SYN 数据包发送到以下 IP 之一:192.168.39.218:5010 或 192.168.37.180:5010。一旦 SYN 数据包发送,目的地可能会确认。该过程已完成。
以下是 Process Explorer 日志 TCP-IP 快照
NETSTAT 日志:我无法在发生故障时看到此应用程序数据包请求。这些是我在终止进程并从服务控制台重新执行服务时的日志。
[A300_Service.exe] TCP 192.168.38.4:55275 192.168.37.180:5010 SYN_SENT
[A300_Service.exe] TCP 192.168.38.4:55276 192.168.39.218:5010 SYN_SENT [A300_Service.exe] TCP 192.168.38.4:55277 192.168.0.218:5010 SYN_SENT [A300_Service.exe] TCP 192.168.38.4:55278 192.168.37.180:5010 SYN_SENT [A300_Service.exe
] TCP 192.168.38.4:55279 192.168.39.218:5010 SYN_SENT