TermDD - 錯誤 50

我在執行 Server 2008 R2 的機器的事件日誌中收到以下錯誤：

“RDP 協議組件 X.224 在協議流中檢測到錯誤並已斷開客戶端連接。”

來源：TermDD 事件 ID：50

我每 24 小時得到大約 5 個。

這台機器是一個網路伺服器。它對外暴露，但只有 80 埠對其開放。

我有些擔心這是嘗試通過遠端桌面入侵機器的結果，但我無法理解僅打開埠 80 是如何實現的。

我擔心惡意意圖的另一個原因是，我將該站點託管在另一台 2008 R2 機器上，它顯示了這些日誌事件。然後我更改了路由器中的 IP 轉發規則，將外部流量發送到新機器，它開始顯示日誌事件。

遠端桌面沒有問題，它工作正常，實際上是我與這些機器互動的方式，沒有斷開連接。

關於可能發生的事情有什麼建議嗎？

只有埠 80 暴露給網路，這些不太可能是針對 RDP 伺服器的實際連接嘗試。我會嘗試在您授權的 RDP 連接嘗試之間找到一些相關性。假設您正在連接到允許 RDP 的後端 LAN 或 VPN，因此您還應該確保沒有未經授權的各方試圖嘗試與伺服器電腦進行 RDP 連接。

如果您對這些建議沒有任何進展，請在盒子上嗅探一天的流量，並將擷取過濾器設置為僅記錄 RDP 流量，並查看您可以找到哪些內容並將其與事件日誌條目相關聯。

引用自：https://serverfault.com/questions/224945