本周,我们的一两台运行 2012 R2 的远程桌面会话主机服务器开始出现问题,当用户尝试登录时,他们会卡在某个登录消息上,例如“处理组策略设置”、“应用组策略打印机策略”等。本周有 3 个不同的用户遇到过这种情况,分别发生在三天内。这种情况只发生在早上,而且每天只发生一次。
然后我们在该服务器上看到一个没有用户名的会话,该会话已断开连接并卡在“退出”状态(通过任务管理器连接到会话进行确认)。
我们还可以看到文件服务器上的用户配置文件磁盘上有两把锁,由同一台服务器锁定。用户根本无法登录。如果我们关闭其 UPD 的打开文件,而他们再次尝试登录,则会收到一条消息,提示他们无法登录,因为远程桌面服务正忙(可能是退出此幻影会话)。
我们唯一的解决方法是手动将它们登录到我们池中不同的特定服务器,然后让它们远程连接到该会话。
查看事件,我可以按此顺序看到此用户首次登录尝试的事件:
(这种情况并不罕见,因为几乎每个用户、每次登录,无论成功与否,我们都会遇到这种情况)。
然后我可以看到该用户进行了更多次登录尝试,每次尝试都会经历一组事件,最后以原因代码 12 的断开连接结束,如下所示:
有谁知道为什么这次登录尝试会创建这个恶意会话,以及我们如何纠正它?
干杯
编辑
答案1
似乎与通过组策略打印机首选项部署打印机有关,因此我们转到组策略中的另一个“已部署的打印机”模型来解决这个问题。