Trouble Shooting 故障诊断与处理责任编辑:赵志远 投稿信箱:netadmin@365master.com排查远程桌面连接失败故障■ 河南 刘京义故障现象单位的一台编者按:近期单位的Windows Server 2008 R2的服务器出现了远程桌面无法连接的故障,要处理这一故障,需节出现了问题,就会造成无法登录的情况。在服务器中打开控制面Windows Server 要对远程桌面的连接过程进行一一排查,这样才可以有2008 R2的服务器上启用了远程桌面服务,这样便于管理员远程对其进行管理。最近在运行“msctc.exe”程序对其进行连接时,出现“远程桌面由于以下原因之一无法连接到远程计算机,未启用对服务器的远程访问,远程计算机关闭,在网络上计算机不可用,确保打开远程计算机,连接到网络并且启用远程服务”的提示。造成无法远程该机的情况。进行连接。当服务器开启了远程桌面后,就会开启TCP 3389端口,如果修改了该连接端口,必须使用新的端口进行连接。当满足以上条件后,服务器还需要对连接进行必要的安全等级及加密等级设定,对客户端进行检测。如果客户端没有足够的访问权限,也无法进行连接。当用户连接到目标服务器后,服务器会根据本地策略机制,对用针对性加以解决。板,在系统属性窗口中的“远程”面板中选择“允许运行任意版本远程桌面的计算机连接(较不安全)”项,就取消了网络级验证的管理,点击“选择用户”按钮,在远程桌面用户窗口看到登录账户已经添加进来了,这样其就处于Remote Desktop Users组中。之后在客户端进行连接操作,依然出现以上问题。我们知道,利用IPSec安全策略,可以对远程桌面进行控制,例如只允许特定的IP访问等,如果客户访问违反了预设的安全策略,自然会被系统拒绝。在管理工具中点击“本地安全策略”项。在弹出窗口左侧选择“IP安全策略”项,在右侧虽然存在一些策略,但是其并没有和远程桌面有关,所以可以排除因为IPSec控制策略引发的故障排查处理这样的故障时,需要熟悉远程桌面的连接过程,才可以有针对性加以解决。当客户端运行连接程序试图访问服务器时,服务器会先进行网络级别认证,然后执行服务器验证。如果服务器上开启了Windows防火墙的话,就必须通过防火墙的安全验证,才允许客户端户的登录行为进行管控,如果用户违反了设定的安全策略,就会被拒之门外。满足了这些条件后,还需要确认客户端是否拥有否登录终端服务的权限。当用户成功连接到远程桌面后,还需要接受系统对其账户权限的审核,只有通过了以上所有步骤,才可以顺利连接到远程桌面。如果其中某些环1382019.02 www.365master.com 责任编辑:赵志远 投稿信箱:netadmin@365master.com 故障诊断与处理Trouble Shooting问题。在该机中开启了防火墙功能,可以提高系统的安全性。考虑到如果直接关闭防火墙会对系统造成一些不利影响,所以在控制面板中双击“Windows防火墙”项,在防火墙设置窗口左侧点击“允许程序通过Windows防火墙”链接,在弹出窗口中的“例外”面板中勾选“远程桌面”项,表示允许使用RDP通讯协议。勾选“安全万维网服务(HTTPS)”项,表示允许客户端可以使用基于HTTPS的RDP协议访问服务器。之后再次进行了解,发现问题依旧。于是干脆直接关闭了防火墙,在客户端对该机进行ping探测没有任何问题,但是仍然无法连接远程桌面,这就说明上述问题和防火墙配置没有关系。当启用了远程桌面后,系统必然会开启相关的服务。如果这些服务运行异常,就会造成无法连接的故障。运行“services.msc”程序,在服务管理器中可以找到Terminal Services、Terminal Services Configuration、Terminal Services UserMode Port Redirector等服务,这些服务的作用包括允许客户端以互动方式连接到服务器,处理与终端服务及远程桌面相关的设置,对连接会话进行管理维护,提供设备重定向功能等。经过检测,这些服务均处于启用状态。为了排除问题,手工停止并重启这些服务,之后再进行连接,问题依然没有解决。当客户机和远程桌面连接时,必须通过相应的端口才行,系统默认使用TCP 3389端口,在CMD窗口中运行“netstat -ano”命令,查看网络连接状态。在其中并没有发现TCP389端口的踪影。经过了解,该机管理员没有对连接端口进行过修改。于是关闭了以上服务,执行“netstat -ano >old.txt”命令,将连接信息保存带“old.txt”文件中。启用上述服务,执行“netstat -ano >new.txt”命令,将连接信息保存带“new.new”文件中。之后对这两个文本文件进行比较,没有发现和远程桌面有关的端口变动信息,也就是说,虽然和远程桌面相关的服务处于运行状态,但是连接端口却没有开启。故障解决看到这种情况,笔者已经大体知道了问题发生的原因了。因为和远程桌面相关的所有信息都保存在注册表中,如果因为某些原因导致这些信息受损的话,就会出现无法连接的奇怪故障。运行“regedit.exe”程序,在注册表编辑器中打开“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations”分支,在其中保存了和远程桌面相关的重要信息。对其进行查看后发现,其中只存在名为“Console”的分支,其余内容不翼而飞了,这明显存在问题。于是找了另外一台Windos Server 208 R2的主机,将上述注册表分支的内容导出为独立的文件(例如“rdp.reg”)。将其复制到本机上,双击后导入注册表,之后重新查看注册表内容,发现在上述分支中缺失的信息已补充完整。之后在客户端运行“mstsc.exe”重新连接,就可顺利连接到远程桌面。这是因为“HKEY_LOCAL_MACHINE\\SYSTEM\\【下转第140页】www.365master.com 2019.02139Trouble Shooting 故障诊断与处理责任编辑:赵志远 投稿信箱:netadmin@365master.comPowershellminer变体木马故障排除■ 江苏 沈浩最近在运维工作发现一例比较有特点的由木马引起的服务器故障,在处理过程中发现与普通的PowerShell的木马有所不同,网上的通用方案并不能一次性解决。图1 将WMI启动项删除编者按:笔者在工作中发现由PowerShell木马引起的服务器故障,该木马与之前所遇到的有所不同,且隐藏较深。本文介绍了故障的处理过程,同时也提醒用户及时更新补丁。PowerShell木马引起的故障。处理阶段一:为尽快处理故障,按网上教程,主要由“永恒之蓝”漏洞补丁引起,在微软官网下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/器远程登录异常,在Vcenter查看,该楼层3台业务虚拟服务器都报CPU警示,提示虚拟CPU资源不足。控制台进行该虚拟服务器发现CPU使用率为100%,查看进程发现PowerShell进程占用了98%的CPU资源,上网查了一下估计有可能是security/ms17-010.aspx)。并下载在微软官网使用Autoruns工具,选择WMI(如图1)将该WMI启动项删除(该项底部详细栏有“SELECT * FROM __InstanceModi ficationEvent WITHIN 5600”)。做完相应处理后虚拟服起因是某日下午,单位一个楼层的业务部门反映生产业务操作十分卡顿,工程师去现场处理发现本地电脑操作上网正常,但登录业务系统十分缓慢,业务软件操作卡顿严重,该楼层多台电脑都是如此,但其他楼层业务登录正常。在后台看到该楼层业务后台虚拟服务【上接第139页】Current 重要信息,当这些信息受损后,就会出现无法连接的奇怪故障了。为安全起见,可以对连接端口进行修改,例如将其中的“PortNumber”的值设为特定端口。当客户端使用远程桌面连接时,连接“终端服务器IP或者名称:端口号”即可。NControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp”分支中保存了和连接端口相关的1402019.02 www.365master.com