每日奇怪的網路輟學
我們有一個 Hyper-V 託管的 Windows Server 2008 R2 標準伺服器,帶有遠端桌面服務,它有一個長期存在的問題,每天凌晨,它的網路都會遇到很多奇怪的問題:
- 使用命令提示符對公共 (
www.google.co.uk) 和私有 (%domainControllerHostname%.%activeDirectoryDNSDomainName%) 進行 nslookup 和 ping FQDN 均成功。- 使用 Internet Explorer 瀏覽網站(
http://support.me、https://www.google.co.uk等)失敗並出現錯誤:• 預高級重置:“無法打開搜尋頁面”。
• 高級後重置:“無法顯示此頁面”。 3. 使用資源管理器瀏覽到域控制器伺服器失敗並出現錯誤:
“網路錯誤 Windows 無法訪問 %domainControllerHostname%\” 4. 使用資源管理器瀏覽到自身失敗並出現錯誤:
“\127.0.0.1\本地電腦網路適配卡的名稱限制已超出”。 5. 使用命令提示符執行命令“nslookup -type=all _ldap._TCP.dc._msdcs.%activeDirectoryDNSDomainName%”成功。 6. 記錄錯誤和警告事件:
日誌名稱:系統
源:Microsoft-Windows-GroupPolicy
日期:14/07/2016 01:37:12
事件 ID:1055
任務類別:無
級別:錯誤
關鍵字:
使用者:%activeDirectoryNetBIOSDomainName%%activeDirectoryDomainAdministratorUsername%
電腦:%RDSServerHostname% .%activeDirectoryDNSDomainName%
描述:
組策略處理失敗。Windows 無法解析電腦名稱。這可能是由以下多種原因之一引起的:
a) 目前域控制器上的名稱解析失敗。
b) Active Directory 複製延遲(在另一個域控制器上創建的帳戶尚未復製到目前域控制器)。
日誌名稱:系統
源:Microsoft-Windows-TerminalServices-RemoteConnectionManager
日期:14/07/2016 03:02:19
事件 ID:1061
任務類別:無
級別:錯誤
關鍵字:經典
使用者:N/A
電腦:%RDSServerHostname%。 %activeDirectoryDNSDomainName%
描述:
遠端桌面會話主機伺服器無法從 AD 檢索使用者許可資訊。錯誤 0x8007054b。
日誌名稱:系統
來源:NETLOGON
日期:14/07/2016 03:32:12
事件 ID:5719
任務類別:無
級別:錯誤
關鍵字:經典
使用者:N/A
電腦:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述:
此由於以下原因,電腦無法與域 %activeDirectoryNetBIOSDomainName% 中的域控制器建立安全會話:
RPC 伺服器不可用。
這可能會導致身份驗證問題。確保這台電腦已連接到網路。如果問題仍然存在,請聯繫您的域管理員。
附加資訊
如果此電腦是指定域的域控制器,它會設置與指定域中的主域控制器模擬器的安全會話。否則,此電腦將與指定域中的任何域控制器建立安全會話。
日誌名稱:系統
源:Microsoft-Windows-TerminalServices-Licensing
日期:14/07/2016 03:35:38
事件 ID:4105
任務類別:無
級別:警告
關鍵字:經典
使用者:N/A
電腦:%RDSServerHostname%。 %activeDirectoryDNSDomainName%
說明:
遠端桌面許可伺服器無法更新 Active Directory 域“%activeDirectoryDNSDomainName%”中使用者“NOC_HelpDesk”的許可屬性。確保許可證伺服器的電腦帳戶是 Active Directory 域“%activeDirectoryDNSDomainName%”中終端伺服器許可證伺服器組的成員。如果許可證伺服器安裝在域控制器上,則網路服務帳戶還需要是終端伺服器許可證伺服器組的成員。
如果許可證伺服器安裝在域控制器上,則在將適當的帳戶添加到終端伺服器許可證伺服器組後,您必須重新啟動遠端桌面授權服務以跟踪或報告 RDS 每使用者 CAL 的使用情況。
Win32錯誤程式碼:0x8007203a
日誌名稱:系統
源:TermDD
日期:14/07/2016 04:53:14
事件 ID:56
任務類別:無
級別:錯誤
關鍵字:經典
使用者:N/A
電腦:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述
:終端伺服器安全層在協議流中檢測到錯誤並已斷開客戶端。客戶端 IP:172.16.50.100。
日誌名稱:系統
源:TermDD
日期:14/07/2016 04:53:24
事件 ID:50
任務類別:無
級別:錯誤
關鍵字:經典
使用者:N/A
電腦:%RDSServerHostname%.%activeDirectoryDNSDomainName%
描述
: RDP 協議組件 X.224 在協議流中檢測到錯誤並已斷開客戶端。
這些問題可以通過重新啟動伺服器暫時解決約 24 小時。
託管在同一 Hyper-V 主機上,甚至在同一網路和 Active Directory 域中的 VM 都沒有問題。
經過多次診斷(包括將 VM 複製到不同的 Hyper-V 伺服器、將 2012 R2 RDS 伺服器添加到同一 AD 域等),我們的 Continuum NOC 確定了原因。
奇怪的是,Windows 服務
A300_Service(應用程序 TotalTimePlus 版本 7.00.0000)似乎是原因 - 立即停止它可以解決所有問題而無需重新啟動。以下是他們電子郵件中的相關部分,其中包含更多技術細節:
我可以在 Process Explorer 中看到該服務總是嘗試將 SYN 數據包發送到這些 IP 192.168.39.218:5010 或 192.168.37.180:5010 中的任何一個。一旦發送了 SYN 數據包,可能會在目的地得到確認。該過程完成。
以下是 Process Explorer 日誌 TCP-IP 快照
NETSTAT 日誌:失敗時我無法看到此應用程序數據包請求。這些是我殺死程序並從服務控制台重新執行服務時的日誌。
$$ A300_Service.exe $$ TCP 192.168.38.4:55275 192.168.37.180:5010 SYN_SENT
$$ A300_Service.exe $$ TCP 192.168.38.4:55276 192.168.39.218:5010 SYN_SENT
$$ A300_Service.exe $$ TCP 192.168.38.4:55277 192.168.0.218:5010 SYN_SENT
$$ A300_Service.exe $$ TCP 192.168.38.4:55278 192.168.37.180:5010 SYN_SENT
$$ A300_Service.exe $$ TCP 192.168.38.4:55279 192.168.39.218:5010 SYN_SENT