Termdd ошибка 56 windows 2008 r2

Termdd ошибка 56 windows 2008 r2

Войти

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Windows Server 2008. Ошибки TermDD

Начальные данные такие:
— Есть Windows Server 2008
— Выделенный IP
— Смотрит в интернет своим RDP
— Все обновления установлены.
Журнал системных событий сразу нескольких серверов стал регулярно фиксировать ошибки такого вида:

Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17.
(здесь IP реальный, но один из)

Событие 50, TermDD
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.

На всех серверах глядит в интернет RDP.

Время появления — случайное, периодичность появления случайная.

Интернет советовал поставить заплатки от MS, поменять версию RDP-клиента, подправить реестр и еще всякие штуки.

Что же это такое?
Очевидно, что это кто-то цепляется на Ваш RDP, что-то пытается сделать и соскакивает.
Сервер его отрубает и генерит событие. Что и должен делать.

Что делать?
Можно ничего. Но уменьшить вероятность подбора пароля, увеличив его длину и уменьшив читабельность соответствующим образом. Сервак попал кому-то на заметку или в какие-то базы для сканирования.
Если RDP из интернета убрать нельзя, то лучший вариант — блокировать засветившиеся IP.
Если можно — убрать RDP внутрь. Подключаться сначала в это «внутрь», а оттуда — к RDP.
Можно изменить порт RDP по-умолчанию — на какое-то время это поможет.

Источник

Termdd ошибка 56 windows 2008 r2

Общие обсуждения

Доброго времени суток.

Хочу разобраться в проблеме —

Сервер Windows 2008 SP2 (Без роли терминала) со всеми обновлениями в один прекрасный день (может быть из за обновлений или еще почему) перестал пускать любого пользователя по RDP выдавая сообщение:

«Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера или администратору сети».

В журнале сервера регистрируется ошибка —

Если зайти в оснастку Пуск- Администрирование — Службы терминалов — Конфигурация служб терминалов, выбрать свойства подключения RDP и в разделе «Уровень безопасности» поставить вместо «Согласование», «Уровень безопасности RDP» то людей начинает пускать на сервер.

Интересно почему не работает с режимом «Согласование» .

Все ответы

попробуйте обновить прошивки и драйверы сетевого адаптера Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий

Драйвер сетевой карты обновил первым делом.

Знаю точно что в этом сервере глючит PCI RAID контроллер, но данная проблема думаю не из за него, так как связи не вижу.

если есть перемещаймые профили то глянь. Может твоя беда http://support.microsoft.com/kb/971338/en-us

Please click the Mark as Answer button if a post solves your problem!

Please click the Mark as Answer button if a post solves your problem!

Please click the Mark as Answer button if a post solves your problem!

Этот сервер не терминальный и перемещаемых профилей нет 🙁

Хм.. очень странно, сейчас решил позаниматься проблемой с RDP на этом проблемном сервере.. и о чудо.. все работает с уровнем безопасности «Согласование» причем с сервером ничего не делалось, даже обновления не ставились.

Проблема со входом была не только у меня, но и у других пользователей, сейчас всех пускает.

Так и не понял что это было.

провел небольшое расследование по ошибке

код ошибки получается 80090330

описание такое SEC_E_DECRYPT_FAILURE

попробуйте сохранить подключение в файл и внести такое изменение и отпишитесь о результатах

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий

Всем привет.
Подниму старую тему.
Похожая ошибка, но проблема с одним клиентом windows XP (А лог с 2008 R2 сервера).
Соседеняя машинка XP без CredSSP отлично работает в режиме Negotiate (Согласование)
Проблемная никуда не может, пока не выставишь принудительно на сервере RDP Security Layer (Уровень безопасности RDP)
Без CredSSP будто сервера нет в сети
После включения CredSSP стала просить позвать Администратора Терминала

Код ошибки 0x80090326

TLS or SSL alert Schannel error code

SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE
10 0x80090326

Name: System
Source: TermDD
Date: 24.05.2013 10:20:38
Event ID: 56
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: vserver8.impet.local
Description:
The Terminal Server security layer detected an error in the protocol stream and has disconnected the

client. Client IP: xxxxxxxx.
Event Xml:
;

56
2
0
0x80000000000000

2967
System
xxxxxxxx

DeviceTermdd
xxxxxxxx

Источник

Termdd ошибка 56 windows 2008 r2

Общие обсуждения

Конфигурация сервера : Win 2008 x64 EE TS (Rus)

последние два дня жалобы на периодические зависания у всех терминальных пользователей, причем в эти моменты сервер не был нагружен. По счетчикам производительности: cpu, дисковая, память и сеть — в норме. Подключаются пользователи с других терминалов w2k3r2sp2 на этот терминал w2k8. Политикой включен запуск приложения при терминальном входе.

В журналах событий есть такие ошибки:

Имя журнала: System
Источник: TermDD
Дата: 16.08.2011 10:32:34
Код события: 50
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TS5

Описание:
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

Имя журнала: System
Источник: TermDD
Дата: 16.08.2011 10:32:34
Код события: 56
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TS5

Описание:
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 192.168.1.30. (данный ip — это w2k3 ts с которого терминально подключаются на этот win 2008 TS)

Имя журнала: System
Источник: Microsoft-Windows-DistributedCOM
Дата: 16.08.2011 11:14:05
Код события: 10010
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TS5

Описание:
Регистрация сервера <995C996E-D918-4A8C-A302-45719A6F4EA7>DCOM не прошла за отведенное время ожидания.

по eventid.net не нашел решения, т.к. кому-то помогло это, но на сервер не нашел :

I was receiving this event when I would attempt to remote desktop into another Vista machine on a local network. The initial remote desktop attempt would fail, and this event ID would be logged. The second remote desktop attempt always worked. In my case, I was also getting EventID 4356 from source EventSystem.
To solve it, I found the corresponding CLSID mentioned in the event, opened the mmc, added Component Services, browsed for the event and then set the “Configuration Permissions” to “Default” instead on “Customize”. This solved the remote desktop connection issue and these events were no longer logged. Instructions and more details can be found by following the link “Windows Vista remote desktop disconnects first attempt, allows second”

не обнаружил нужный CLSID и соответствие к нему в Службе компонентов.

Подскажите в чем проблема и в каком направлении разбираться дальше?

Источник

Category:

• Литература
• Cancel

Начальные данные такие:
— Есть Windows Server 2008
— Выделенный IP
— Смотрит в интернет своим RDP
— Все обновления установлены.
Журнал системных событий сразу нескольких серверов стал регулярно фиксировать ошибки такого вида:

Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17.
(здесь IP реальный, но один из)

Событие 50, TermDD
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.

На всех серверах глядит в интернет RDP.

Время появления — случайное, периодичность появления случайная.

Интернет советовал поставить заплатки от MS, поменять версию RDP-клиента, подправить реестр и еще всякие штуки.

Что же это такое?
Очевидно, что это кто-то цепляется на Ваш RDP, что-то пытается сделать и соскакивает.
Сервер его отрубает и генерит событие. Что и должен делать.

Что делать?
Можно ничего. Но уменьшить вероятность подбора пароля, увеличив его длину и уменьшив читабельность соответствующим образом. Сервак попал кому-то на заметку или в какие-то базы для сканирования.
Если RDP из интернета убрать нельзя, то лучший вариант — блокировать засветившиеся IP.
Если можно — убрать RDP внутрь. Подключаться сначала в это «внутрь», а оттуда — к RDP.
Можно изменить порт RDP по-умолчанию — на какое-то время это поможет.

• Remove From My Forums

• Вопрос

• Здравствуйте!

  Обрывается сессия с сервером терминалов (2008 r2) с ошибкой TermDD 56

  Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: **********.

  В какую сторону копать? Где эти уровни безопасности настраиваются? Подскажите, пожалуйста.

  • Изменено
    it-eng
    7 марта 2016 г. 15:58

Ответы

• • Помечено в качестве ответа
    Petko KrushevMicrosoft contingent staff
    28 марта 2016 г. 10:40

Все ответы

• Не нахожу в статье этой ошибки. Уровни безопасности и так стоят на минимуме

  —<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event«>

  —
  <System>

    <Provider Name=»TermDD« />

    <EventID Qualifiers=»49162«>56</EventID>

    <Keywords>0x80000000000000</Keywords>

    <TimeCreated
  SystemTime=»2016-03-08T21:30:13.974328100Z« />

    <EventRecordID>487283</EventRecordID>

    <Channel>System</Channel>

    <Computer>*************</Computer>

    </System>

  —
  <EventData>

    <Data>DeviceTermdd</Data>

    <Binary>0000040002002C000000000038000AC00000000038000AC00000000000000000000000000000000006000AD0</Binary>

    </EventData>

    </Event>

  • Изменено
    it-eng
    9 марта 2016 г. 16:07

• Наиболее вероятная причина все же в сетевой карте, точнее драйверах и их параметрах.

  Обновите драйвер. Попробуйте подобрать настройки параметров.

  ---

  Сазонов Илья

  https://isazonov.wordpress.com/

• Получается у нас два сервера терминалов одни и те же ошибки сыпят (только на разные ip и в разное время естественно). Они оба виртуальные и на разных хостах. Причем один на windows server 2012 r2, а второй на hyper-v server 2008 r2

  • Изменено
    it-eng
    9 марта 2016 г. 16:37
• • Помечено в качестве ответа
    Petko KrushevMicrosoft contingent staff
    28 марта 2016 г. 10:40

Yesterday a customer complain about he couldn´t connect using MSTSC client to a Win2008R2 hosted on Amazon AWS/EC2

The error was on event log, but only one time, but the user says that he tried more than 5 times, allways with the same error message and the TS logs shows all retries of the user, but only one Event ID 56 was in the event log. There are several Event IDs
1149 (Remote Desktop Services: User authentication succeeded) in the log showing his attemps (more thant 9), but only one event ID 56 in the event logs,  all Event IDs 1149 showing login OK and for several hours it was working and suddenly stops, after
the Event ID 56

We had this problem in the past (event ID 56), and was related to the traffic it was flowing through a (very very busy) fortigate appliance and after removing the fortigate the problem never happened again. IN this case, there was a fortigate also, but only
making traffic flow through a VPN, not the same thing and during the diagnostic, two new information: There was a change in fortigate changing cluster mode from A-A to A-P AND the user tried also to connect from a Amazon Workspace (VDI) inside the Amazon Network
and the problem ocurred again, even fortigate having (apparently) nothing to do with the matter.

I could connect with no problem through the fortigate VPN from a remote network using my domain user and the local useranme the user was trying to use it was a local user, in a disconnected state running several LOB APP services (don´t laugh) and i couldn´t
disconnect/logoff the user, nor reboot the server.

This error is new to me. In the past we had several TermDD Event ID 56 errors, but it´s the first time i see this specific error:

>temperrerr.exe C000020D —> FIRST TIME, after the fortigate change 
# for hex 0xc000020d / decimal -1073741299 :
  STATUS_CONNECTION_RESET                                       ntstatus.h
# The transport connection has been reset.
# 1 matches found for «C000020D»

>temperrerr.exe C0000184 —> 2 or 3 times in the last 4 months
# for hex 0xc0000184 / decimal -1073741436 :
  STATUS_INVALID_DEVICE_STATE                                   ntstatus.h
# The device is not in a valid state to perform this request.
# 1 matches found for «C0000184»

>temperrerr.exe C000005E —> 2 or 3 times in the last 4 months
# for hex 0xc000005e / decimal -1073741730 :
  STATUS_NO_LOGON_SERVERS                                       ntstatus.h
# There are currently no logon servers available to service
# the logon request.
# 1 matches found for «C000005E»

>temperrerr.exe C00A0032 —> 2 or 3 times in the last 4 months
# for hex 0xc00a0032 / decimal -1073086414 :
  STATUS_RDP_PROTOCOL_ERROR                                     ntstatus.h
# The RDP protocol component %2 detected an error in the
# protocol stream and has disconnected the client.
# 1 matches found for «C00A0032»

>temperrerr.exe C00000DC —> 2 or 3 times in the last 4 months
# for hex 0xc00000dc / decimal -1073741604 :
  STATUS_INVALID_SERVER_STATE                                   ntstatus.h
# Indicates the Sam Server was in the wrong state to perform
# the desired operation.
# 1 matches found for «C00000DC»

The source for the err application was taken from: https://blogs.technet.microsoft.com/askperf/2010/03/24/the-curious-case-of-event-id-56-with-source-termdd/

Why does the EventID 56 shows only once, but the user reported several attempts of the error?

Maybe the network really is a problem?

• Edited by

  Thursday, February 4, 2016 11:32 AM
  typo error

Yesterday a customer complain about he couldn´t connect using MSTSC client to a Win2008R2 hosted on Amazon AWS/EC2

The error was on event log, but only one time, but the user says that he tried more than 5 times, allways with the same error message and the TS logs shows all retries of the user, but only one Event ID 56 was in the event log. There are several Event IDs
1149 (Remote Desktop Services: User authentication succeeded) in the log showing his attemps (more thant 9), but only one event ID 56 in the event logs,  all Event IDs 1149 showing login OK and for several hours it was working and suddenly stops, after
the Event ID 56

We had this problem in the past (event ID 56), and was related to the traffic it was flowing through a (very very busy) fortigate appliance and after removing the fortigate the problem never happened again. IN this case, there was a fortigate also, but only
making traffic flow through a VPN, not the same thing and during the diagnostic, two new information: There was a change in fortigate changing cluster mode from A-A to A-P AND the user tried also to connect from a Amazon Workspace (VDI) inside the Amazon Network
and the problem ocurred again, even fortigate having (apparently) nothing to do with the matter.

I could connect with no problem through the fortigate VPN from a remote network using my domain user and the local useranme the user was trying to use it was a local user, in a disconnected state running several LOB APP services (don´t laugh) and i couldn´t
disconnect/logoff the user, nor reboot the server.

This error is new to me. In the past we had several TermDD Event ID 56 errors, but it´s the first time i see this specific error:

>temperrerr.exe C000020D —> FIRST TIME, after the fortigate change 
# for hex 0xc000020d / decimal -1073741299 :
  STATUS_CONNECTION_RESET                                       ntstatus.h
# The transport connection has been reset.
# 1 matches found for «C000020D»

>temperrerr.exe C0000184 —> 2 or 3 times in the last 4 months
# for hex 0xc0000184 / decimal -1073741436 :
  STATUS_INVALID_DEVICE_STATE                                   ntstatus.h
# The device is not in a valid state to perform this request.
# 1 matches found for «C0000184»

>temperrerr.exe C000005E —> 2 or 3 times in the last 4 months
# for hex 0xc000005e / decimal -1073741730 :
  STATUS_NO_LOGON_SERVERS                                       ntstatus.h
# There are currently no logon servers available to service
# the logon request.
# 1 matches found for «C000005E»

>temperrerr.exe C00A0032 —> 2 or 3 times in the last 4 months
# for hex 0xc00a0032 / decimal -1073086414 :
  STATUS_RDP_PROTOCOL_ERROR                                     ntstatus.h
# The RDP protocol component %2 detected an error in the
# protocol stream and has disconnected the client.
# 1 matches found for «C00A0032»

>temperrerr.exe C00000DC —> 2 or 3 times in the last 4 months
# for hex 0xc00000dc / decimal -1073741604 :
  STATUS_INVALID_SERVER_STATE                                   ntstatus.h
# Indicates the Sam Server was in the wrong state to perform
# the desired operation.
# 1 matches found for «C00000DC»

The source for the err application was taken from: https://blogs.technet.microsoft.com/askperf/2010/03/24/the-curious-case-of-event-id-56-with-source-termdd/

Why does the EventID 56 shows only once, but the user reported several attempts of the error?

Maybe the network really is a problem?

• Edited by

  Thursday, February 4, 2016 11:32 AM
  typo error

1. Home
2. Windows
3. Microsoft Remote Desktop Services
4. How-tos

JHolliday

Jul 09, 2014
1 Minute Read

• Spice
• Reply (4)
• Subscribe

• 
  Share
  Opens a new window
  

  • Facebook
    Opens a new window

  • Twitter
    Opens a new window

  • Reddit
    Opens a new window

  • LinkedIn
    Opens a new window

Joe Holliday

JHollidayTampa, FL23 years in ITA+

---

333

Contributions

14

Best Answers

14

Helpful Posts

---

Main Areas of Contribution:

• Contests |
• Active Directory & GPO |
• Windows Server |
• Windows 7 |
• General Windows

Register. Track Progress. Earn Credits.

Learning has never been so easy!

Sign Up

Load More