Здравствуйте.

Ситуация такая:
Есть сервер терминалов, система Windows 2003 Enterprise sp2. Пользователей 15. На сервере установлена 1С предприятие 8.2, 1 С 7.0, sql 2000. Nod smart security 4.
По локальной сети все работает замечательно.

При попытке подключения из интернета (порт 3389 стандартный для rdp, статический ip + проброс портов через шлюз Ideco 4) все зависает намертво почти, включаю того пользователя, которой из вне поключился. Это происходит, если подключаться при работающих на сервере локальных пользователях. При чем становится невозможно подключиться и из локальной сети, а те пользователи, которые в данный момент работали, начинают "тормозить". Помогает только перезагрузка сервера.

Если подключаться из инета первым (до того, как подключаются пользователи из локалки) то все работает замечательно.

В журнале появляется ошибка:
1 Сервер терминалов получил большое количество незавершенных подключений. Возможно, система находится под атакой.
2 Регистрация сервера {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} DCOM не прошла за отведенное время ожидания.

Спасибо за внимание.

Для начала убить с сервера нод, полностью, а не выключить.

Нод точно не причем. Первым делом на него грешить стал, снес, ребутнул, такая же фигня(

Он точно был полностью удален? В службах ничего от нода не осталось? Пользователи подключаются каждый под своей учеткой? Что будет если во время лага (когда к работающим локально пользователям подключается извне) отключить доступ к интернету? Что именно начинает тормозить (проц, память, харды, сеть)? Поставьте счетчики чтобы понять что именно из этого начинает потребляться чрезмерно. Так же возможно что у клиента удаленного на компе стоит антивирус, который начинает проверять сетевой диск сервера (который цепляется через RDP к клиенту) тем самым нагружая его и все начинает тормозить. Это Вы запросто поймете из логов счетчика, а проверится отключением всех внешних клиентов разом от сервера. Так же есть вариант с проблемой в маршрутизации либо глюке шлюза.

Ошибки публикуйте полностью, а не их огрызки.

1. Нод точно был отключен.
2. Сканирование сетевого диска - точно нет.
3. При отключении от интернета проблема не исчезает.

Еще было замечено, пользователь удаленный висит. Когда его отключаешь, медленно но верно система возвращается в работоспособное состояние.
Ок, сейчас поставлю счетчики.

А там случайно не могли просто каким-нибудь отчетом в 1с завалить сервер? В общем нужно смотреть кто и что съел.

Ну ок. После работы еще потестирую. Потом отпишу. Сейчас все пользователи работают локальные, и удаленный один (пустил его первым на сервер) и все нормально.

В общем что еще посоветую:
1. Собирать инфу - логи журналов, счетчики.
2. Анализировать совершенные события (вход пользователей, кто когда, куда, что сделал опять же по логам можно глянуть если настроен аудит).
3. Локализовать проблему - исключить глюки оборудования, проблемы с маршрутизацией, софтом, утечкой памяти, разобраться какой пользователь конкретно вызывает проблему или это не важно и оказалось совпадением.

и тогда уже будет понятно как решать или хоть куда дальше рыть, а еще попутно нужно попробовать поискать проблему в сети по логам уже существующих ошибок.

Ну в общем что проделано:
По счетчикам - памяти хватает. Длина очереди диска в норме. Процессор не загружается.

Стали появляться ошибки popup (в прикрепленных файлах).

Сделал chkdsk /f - прошло тоже нормально, ошибок не показало.

Все начинается со скрин с именем ID 10010.jpg

Далее ошибка спулера скрин ID 7031.

Но спулер не грузит процессор, 1-5% в момент печати и по памяти 16644 кб.

Может кому интересно, опишу что было.

В общем проблема оказалась простая и древняя.

Сбой происходил из-за драйверов Canon, удалил вообще все драйвера принтеров с сервера, настроил скрюдрайвером печать. Теперь все работает.