windows 2012 RDP hiba

Microsoft Windows

Üdv ALL!

Sajnos minden hivatalos Microsoft forrásról lepattantam a következő hiba kapcsán. Látott már valaki ilyet? Sajnos nincs egyértelműen azonosítható oka a jelenségnek:

2012 hoston AD, amin HyperV 2012 VM. Ide kapcsolódnak RDP-vel felhasználók. (RDP licenszelve, és van még felhasználható licenszzám) A rendszer működik, majd minden előzetes nélkül eldobja az RDP szerver elérhetőségét ezzel az üzenettel:

"A távoli asztal szolgáltatások beépülő modul egyidejűleg használt rendszerhéjainak száma túllépte a megengedett mennyiséget. Indítsa újra a Kiszolgálókezelőt, majd próbálja újra."

Az egyedüli eddig bevált megoldás a VM újraindítása. De előfordul, hogy 1 óra múlva megint szétesik. A 90db licenszből jó ha 50 van aktívan. A felhasználók ha megpróbálnak kapcsolódni, valami megbízhatósági hibát ír nekik a rendszer. A kiszolgálókezelő pedig ezt mondja:

"A kiszolgálókészletben nincs távoli asztal szolgáltatási környezet..." blablabla .... "futtassa a Szerepkörök hozzáadása varázslót, és válassza a Távoli asztali szolgáltatások telepítését"

A TerminalService szolgáltatások a háttérben köszönik jól vannak és futnak. :)

Öttlet?

  • 2314 megtekintés

( mrceeka v | 2015. 04. 23., cs – 15:25 )

Milyen hivatalos Microsoft forrásokkal próbálkoztál? Akár privátban is várom válaszod.

Üdv,
Marci

Techsupport elsősorban. Mivel hivatalos vállalati Licenszben van. De nincs a Microsofttal supportszerződés. Így vagy fizetek egy angol rendszermérnöknek 40ehuf/óra, vagy olvasgathatom az angol technet-et. Kb ez volt a support válasza. Az én angolom meg ... no szóval nem az a kommunikációs szint. :)

--- flodur ---

Én már ott elakadtam, hogy megpróbáltam visszafordítani a forrásnyelvre ezt:

"A távoli asztal szolgáltatások beépülő modul egyidejűleg használt rendszerhéjainak száma túllépte a megengedett mennyiséget. Indítsa újra a Kiszolgálókezelőt, majd próbálja újra."

A többi fordító miért nem verte meg? :(

:( sajnos ez valóban csak hasonló. Itt PowerShell konkurens szálakat emel.

Plusz infó: Ez egy 2 szerveres környezet. DC1 - DC2 Mindkét DC standalone, és csak az egyik aktív. Mindkettőn azonos telepítés és AD replikáció. A DC2-n az RDP jelenleg nem licenszelt - de azt nem is használják csak az MSSQL Logshipping tolja oda az adatbázis replikációt biztonsági mentésnek.

Ami még időközben kiderült: a DC2-n futó VM RDP rendszerében lejárt az SSL tanúsítvány. Igaz csak SelfSigned, de megújítottam. Mindenesetre most megy a rendszer már vagy 4 órája. -- kopp kopp -- De nem tudom meddíg. :( A hiba egyébként kb 3 napja bukkant fel, előtte majd egy évig ment a rendszer hiba nélkül.

--- flodur ---

Bekattingattam a releváns problémákat:

Kapcsolatfelvétel a Microsofttal

A műszaki támogatást angol nyelven nyújtjuk
Kapcsolatfelvétel kérése technikai támogatási képviselőtől.

Írjak kérelmet szép magyarsággal, vagy angolul kérjek magyar nyelvű támogatást?

--- flodur ---

Múltkor én is ott kezdtem, szintén hasonló (RDS) problémával. Azt mondták, hogy ott nem tudnak segíteni. A segítség amit itt tudnak adni, az inkább telepítés előtti, tervezés, tanácsadás.

További válasz az volt, hogy a partneroldalon (http://aka.ms/mysupport vagy már nem emlékszem mi) nyissak incidenst. Végül angolul beszélő support lett a vége.

--
trey @ gépház

( garrotter | 2015. 04. 23., cs – 19:05 )

Igazából buta kérdés, de a hibaüzenet alapján nem azt mondja, hogy a Remote Desktop Service-t add hozzá? Hozzá van adva rendesen minden szükséges feature-el?

Reggelt ALL!

Az egész rendszer kicsit több mint 1 éve működött hibátlanul. Ezért kicsi a valószínűsége, hogy hiányzó komponensek miatt lenne a hiba.

Az éjszaka fejleményei.

Most balkézzel tömörfán háromszor lekopogva azt mondom, talán ráöttem mi lehet a ludas, bár nem értem az összefüggést. (de ezzel voltam már így hogy nem értettem valamit :) )

A logokat turkálva és kicsit elemezve a hibaüzenetet feltűnt egy Kerberos bejegyzés. Mivel a környezet egy duál DC, és ezen belül az RDP VM-ek is duálban mennek a hostokon, az AD be fel volt véve az összes tartományi szerver - vagyis ugye mind a 4 W2012 - tartományi megbízhatósági viszonyra, Kerberos azonosítással. (igen ennél tudom van erősebb is, de ez elég szeparált környezet ahhoz, hogy ne pánikoljak) Amikor ránéztem az AD Trusted Computer beállításaira, meglepődve láttam, hogy tök üres. Egy fia szerver sincs benne, holott telepítéskor fel lettek véve, hogy bármely szerverről lehessen bármely szervert elérni és kezelni. (nem egy helyen vannak) Miután újra hozzáadtam a szervereket, a szerver managerbe meg is jelentek 3 szerveren Online státusszal. A negyediket ami a Primary DC, még nem indítottam újra, mert egy rakat frissités vár az ellenőrzésre, hajnalba meg nem volt már rá agyam, hogy átnézzem őket. Mivel ma reggel még stabilnak mutatkozott a TS, elképzelhető, hogy ez volt a hiba oka.

De...

Nem értem mi köze a TS szolgáltatásoknak a tartományi megbízhatósághoz. Az RDP VM egyébként is tartományi gép a Doménben. Az AD-t nem ide szinkronizálja, hanem a DC2-re. Ez a VM semmit nem csinál azon kívül, hogy kiszolgál 90 RDP licenszet, és futtat egy központi Vállalatirányítási szoftvert + SQL. A TS kliensen történő belépéskor a VM tartományi megbízhatósága miért szól bele az user belépésébe. (A kliens konkrétan olyan hibaüzenetet kap, hogy "Nem jött létre megbízhatósági viszony a célszámítógép és a tartomány között") Az RDP kliensek nem VM alapúak, hanem Temporary profilokkal mennek. (Mert egyszerűen nincs joguk semmihez az RDP szerveren, kizárólag egy exe-t futtathatnak)

Szóval ezt még olvasgatnom kell, mert bár úgy tűnik a probléma megvan, már csak a miértet szeretném megérteni a teljesség kedvéért.

És a lényeg: hogy tűntek el ezek a beállítások, a rendszerből?!

--- flodur ---

Nagyon erős az AD integráció. Ha valamilyen auth (access, authorization) probléma van, pl csoportok, akkor simán előfordulhatnak mindenféle gyanús dolgok. Én mélyen nem vágom ezt, de nemrégiben többször sikerült olyan AD "együttállást" előadnom hyper-vvel, hogy sorban rebutálni kellett a DC-ket és utána kezdett magához térni úgy minden.

Ha jól tudom, akkor Win 2000 vagy 2003 óta már nincs primary DC és tsai, csak DC-k vannak (AD DS-el) és random választ közülök az aki a szeretne valamit. Kivéve persze, hogy ha az pl. egy konkrét szerverre belőtt LDAP kapcsolat.

( andrej_ v | 2015. 04. 23., cs – 19:18 )

Elvileg meg tudod nézni, az aktuálisan használt licenszek számát is. Előfordulhat, hogy device caljaid vannak és a juzer belép majd kilép és beragad.