vkapas
20-02-2020, 16:03
Есть некий офис с 15-20 ПК разной степени дряхлости на Windows XP, 7 и 10 с выходом в интернет в 10Мбит/с через оптику.
И есть Windows Server 2012 R2 в роли TS без AD в облаке с каналом 30Мбит/с.
Проблема: через какой-то промежуток времени после подключения к серверу по RDP/Remote App соединение с ним автоматически разрывается.
Это может случиться через час, два, три, четыре или один-два раза за неделю. То есть, время разрыва почти всегда непредсказуемо.
Но это даже не основная проблема. Самое стрёмное — это:
Сразу после такого обрыва связи клиентская машина забывает пароль RDP.
Запись о сохранённом логине-пароле просто исчезает из Диспетчера учётных данных. Соответственно, при попытке повторного подключения пароль запрашивается снова. И без разницы — вручную она туда была внесена или автоматически (галка «Заполнить учётные данные» при подключении).
Через несколько таких отключений-подключений сервер перестаёт принимать пароль от учётной записи RDP.
При попытке подключения появляется ошибка о неверном пароле. Исправляется, иногда, просто ожиданием или, всегда, принудительным разлогиниванием пользователя со стороны сервера.Перед написанием поста пробовал следующее:
Через групповые политики выставил на сервере максимальные значения временных лимитов (Задать ограничение по времени для отключенных сеансов, Задать ограничение по времени для отключенных сеансов, Задать ограничение по времени для отключенных сеансов, Задать ограничение по времени для отключенных сеансов, всё = 5 дней)
Также через GPO включил интервал проверки активности (Настроить интервал проверяемых на активность подключений = 1) и отключил UDP (Выбор транспортных протоколов RDP = Использовать только TCP, Отключение UDP на клиенте = Включено)
Там же настраивал политики сохранения/запроса пароля (Всегда запрашивать пароль при подключении = Отключена, Запретить сохранение паролей = Отключена, Запретить сохранение паролей = Отключено)
Поставил все обновления Windows 7 вплоть до январских
Отдельным пакетом обновил RDP до версии 8 на клиентах
Удалил антивирус на клиентах (на сервере его нет)
Запретип отключение сетевой карты «для экономии энергии» на клиентах
Обновил драйверы клиентских сетевых карт до последних доступных официально версий (у 90% проблемных машин сетевая «Realtek PCIe GBE»)
Включил на клиентах параметр политики Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера "только NTLM" = TERMSERV/
Включил на клиентах параметр политики [I]Сетевая безопасность: уровень проверки подлинности LAN Manager = Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании
Лучший результат, которого в итоге удалось достигнуть, — 1 пользователь подтвердил, что отключаться сеанс стал не 3-5 раз, а 1 раз в день.
Важные уточнения:
Проблема воспроизводится примерно на половине машин из офиса.
Проблема ни разу не появилась при проверке на клиентских машинах с Windows 10 и Server 2012.
Проблему удалось воспроизвести из другого офиса, никак не связанного с первым, на двух машинах с Windows 7 SP1.
Ping с проблемных машин до сервера — 3 мс, потери пакетов не превышают доли процента — например, 20 на 10000 штук.05:00:38 Сенас 28 был отключен, код причины 0
05:00:39 Службы удаленных рабочих столов: Сеанс был отключен:
Пользователь: SERVER\x.yz
Код сеанса: 28
Адрес сети источника: yy.yy.yy.yy
05:01:30 Мультитранспортное подключение разорвано.
05:01:30 Отключение RDP ClientActiveX (Причина= 2308)
05:01:30 Клиент инициировал мультитранспортное подключение к серверу xx.xx.xx.xx.
05:01:31 Установлено подключение RDP ClientActiveX к указанному серверу
05:01:31 Клиент установил мультитранспортное подключение к серверу.
05:01:32 Мультитранспортное подключение разорвано.
05:01:33 Отключение RDP ClientActiveX (Причина= 2308)
05:02:03 Мультитранспортное подключение разорвано.
05:02:03 Отключение RDP ClientActiveX (Причина= 2)
И есть Windows Server 2012 R2 в роли TS без AD в облаке с каналом 30Мбит/с.
Проблема: через какой-то промежуток времени после подключения к серверу по RDP/Remote App соединение с ним автоматически разрывается.
Это может случиться через час, два, три, четыре или один-два раза за неделю. То есть, время разрыва почти всегда непредсказуемо.
Но это даже не основная проблема. Самое стрёмное — это:
Сразу после такого обрыва связи клиентская машина забывает пароль RDP.
Запись о сохранённом логине-пароле просто исчезает из Диспетчера учётных данных. Соответственно, при попытке повторного подключения пароль запрашивается снова. И без разницы — вручную она туда была внесена или автоматически (галка «Заполнить учётные данные» при подключении).
Через несколько таких отключений-подключений сервер перестаёт принимать пароль от учётной записи RDP.
При попытке подключения появляется ошибка о неверном пароле. Исправляется, иногда, просто ожиданием или, всегда, принудительным разлогиниванием пользователя со стороны сервера.Перед написанием поста пробовал следующее:
Через групповые политики выставил на сервере максимальные значения временных лимитов (Задать ограничение по времени для отключенных сеансов, Задать ограничение по времени для отключенных сеансов, Задать ограничение по времени для отключенных сеансов, Задать ограничение по времени для отключенных сеансов, всё = 5 дней)
Также через GPO включил интервал проверки активности (Настроить интервал проверяемых на активность подключений = 1) и отключил UDP (Выбор транспортных протоколов RDP = Использовать только TCP, Отключение UDP на клиенте = Включено)
Там же настраивал политики сохранения/запроса пароля (Всегда запрашивать пароль при подключении = Отключена, Запретить сохранение паролей = Отключена, Запретить сохранение паролей = Отключено)
Поставил все обновления Windows 7 вплоть до январских
Отдельным пакетом обновил RDP до версии 8 на клиентах
Удалил антивирус на клиентах (на сервере его нет)
Запретип отключение сетевой карты «для экономии энергии» на клиентах
Обновил драйверы клиентских сетевых карт до последних доступных официально версий (у 90% проблемных машин сетевая «Realtek PCIe GBE»)
Включил на клиентах параметр политики Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера "только NTLM" = TERMSERV/
Включил на клиентах параметр политики [I]Сетевая безопасность: уровень проверки подлинности LAN Manager = Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании
Лучший результат, которого в итоге удалось достигнуть, — 1 пользователь подтвердил, что отключаться сеанс стал не 3-5 раз, а 1 раз в день.
Важные уточнения:
Проблема воспроизводится примерно на половине машин из офиса.
Проблема ни разу не появилась при проверке на клиентских машинах с Windows 10 и Server 2012.
Проблему удалось воспроизвести из другого офиса, никак не связанного с первым, на двух машинах с Windows 7 SP1.
Ping с проблемных машин до сервера — 3 мс, потери пакетов не превышают доли процента — например, 20 на 10000 штук.05:00:38 Сенас 28 был отключен, код причины 0
05:00:39 Службы удаленных рабочих столов: Сеанс был отключен:
Пользователь: SERVER\x.yz
Код сеанса: 28
Адрес сети источника: yy.yy.yy.yy
05:01:30 Мультитранспортное подключение разорвано.
05:01:30 Отключение RDP ClientActiveX (Причина= 2308)
05:01:30 Клиент инициировал мультитранспортное подключение к серверу xx.xx.xx.xx.
05:01:31 Установлено подключение RDP ClientActiveX к указанному серверу
05:01:31 Клиент установил мультитранспортное подключение к серверу.
05:01:32 Мультитранспортное подключение разорвано.
05:01:33 Отключение RDP ClientActiveX (Причина= 2308)
05:02:03 Мультитранспортное подключение разорвано.
05:02:03 Отключение RDP ClientActiveX (Причина= 2)