» Проблемы с сервером терминалов

Ruza

Цитата:

Это что у тебя все пользователи доменные админы????

чесно говоря терминал я не настраивал -а товарищ который настроил сказал что 1С без админских прав нормально не работает
у них учетные записи ограничены входом только на сервер тирминалов а на сервере теминалов кроме 1С у них ничего не открывается
если это неправильно - буду очень благодарен за наставление на путь истинный)))

Здравствуйте, коллеги =)
Возникла такая проблема:
Есть сервер под вин2003 серв. На нем стоит база 1с и сервер терминалов.
Он же - файл сервер и контроллер домена.
(сетка поднималась и настраивалась не мной. Разнести на разные сервера - не представляется возможным)
Проблема собственно с сервером терминалов - невозможно подключиться к нему из интернета.
Из локальной сети (все компы под винХР) - прекрасно работает.
Из интернета пробовал с компов под винХР и вин2003 Сервер - не подключается.
Ошибка - "Возможно удаленные родключения запрещены или удаленный компьютер перегружен и не может принять подключение"

На самом сервере - порт 3389 прослушивается
на роутере - проброс порта настроен.
пров утверждает, что порты не перекрыты.
ипшник - белый.
Лицензии - на устройство. Свободных еще с запасом.
Примерно полмесяца назад - все работало прекрасно, все подключалось и работало. С тех пор настройки НЕ менялись

помогите разобраться пожалуйста.

Zwergie
цитрикса нету?если нет тогда должно работать, ищи проблемы с пробросом портов, возможно прослушивание идёт по другому порту с последующим пробросом на 3389

Цитата:

цитрикса нету?если нет тогда должно работать, ищи проблемы с пробросом портов, возможно прослушивание идёт по другому порту с последующим пробросом на 3389

Цитриксу нема.
Правило переброса - удалил и создал заново. С теми же свойствами.
пошарил по портам - вроде слушает 3389.. все норм..
Ищу дальше )

уточню для "потомков" Подключаться пересчтало полмесяца назад, а сообщили - только в пятницу.


Добавлено:
апдейт. Починил - все работает.
Метод ремонта - на роутере убил ВСЕ правила касающиеся данного порта и компьютера и пересоздал их заново
роутер Длинковский Dl 808HV

Здравствуйте, такая проблема. есть сервер с Win2003 standart sp2 r2. неполучаеться задать разрешения входа на сервер для удаленных пользователей. свойства RDP-Tcp во вкладке резрешения выскакивает окошко с текстом. установленые по умолчанию "только для чтения" могут быть изменены только с помощью групповой политики. все поменял ничего не выходит... с других машин даже под администратором не получаеться зайти на терминал. консолька на машинках пишет что не удалось подключение к удаленному рабочему столу.. вероятные причины. удаленные подключения не разрешены, превышено максимальное количество подключений , при установке подключения произошла сетевая ошибка... может кто сталкивался с подобной напастью и как это лечиться ???

Данную темы прочитал с самого начала, получилась просто инструкция как не надо делать. Администрирование в данном случае сравнимо только с методом камикадзе, сначала в бой, а потом возможно и основы изучим (получается методом проб и ошибок к сожалению только свои)


Цитата:

неполучаеться задать разрешения входа на сервер для удаленных пользователей

С этим сталкиваются когда сервер терминалов развернут на КД, нужно просто в GPO дать разрешения группе терминальных пользователей.
serganet74 в твоем случае доменные админу так же не могут попасть в терминал?
Что журнал событий по этому поводу пишет? Сервер лицензирования терминалов работает? службы запущены? ни какие фаирволы и прочие internet security не установлены?


Цитата:

выскакивает окошко с текстом. установленые по умолчанию "только для чтения" могут быть изменены только с помощью групповой политики

я думаю ты c GPO перестарался, у нее и есть как раз самый большой приоретет перед остальными настройками. Проверь политику еще раз.


Цитата:

был настроен сервер терминалов - решил в ввиду отсутствия другого сервера поднять на нем дополнительный домен контроллер создал учетные записи для бывших клиентов

не понял ситуацию ... Ты поднял резервный КД на терминальном сервере, зачем создавал учетные записи для бывших клиентов??? смысл этой фразы не понимаю. Старые учетные записи чем не устраивали? Профили можно было сделать перемещаемыми (или вручную переместить хотя бы) и не мучиться. Все твои вопросы из-за того что новые учетки


Цитата:

3. на некоторых компьютерах при закрытии терминальной сессии долго не закрывается окно а иногда и вообще не закрывается. что сделал не так?

стандартная проблема при установленном SP1 или SP2 (время завершения сесии может тянуться до 2-3 мин у некоторых и гораздо дольше). Решение следующее забираем фикс у MS, или возможно отключить автоматическую подачу заявки на сертификаты.


Цитата:

товарищ который настроил сказал что 1С без админских прав нормально не работает

Глупость. Все прекрасно работает (проверено!)


Цитата:

у них учетные записи ограничены входом только на сервер тирминалов а на сервере теминалов кроме 1С у них ничего не открывается

На счет того что на сервере терминалов у них ни чего не открывается это глубокое заблуждение ) С такими правами там многое открывается )


Цитата:

Из интернета пробовал с компов под винХР и вин2003 Сервер - не подключается.

Таких тем по форуму очень много. В кратце используем перенаправление портов и NAT. И все работает.

Если есть конкретные вопросы постараюсь на них ответить.

Ka1n1


Цитата:

Глупость. Все прекрасно работает (проверено!)

если не трудно то просвети пжалста как и что настроить(какие права дать пользователям?)

Основные моменты для работы 1С в терминале:

- соответсвенно разрешения группе пользователей работающих с 1С на доступ к директории, где лежат базы, разрешения на изменение (ну или вообще полный доступ, чтоб проще было и по объстоятельствам)
- права на доступ к директории где находится платформа (лучше и проще сразу на всю папка 1C)
- вручную добавляем все необходимые для данной конфигурации dll-ки, так же не забыть про dll в папке где установлена сама 1С
- на зарегистрированные в реестре dll выдаем разрешения нужным пользователям
- первоначальную настройку учетной записи пользователя проводим под правами администратора, только после запуска приложений под ним и проверки работы отбераем права
- права можно оставить как пользователь домена, но для большей безопасности создаем новую группу и в нее включаем пользователей для работы с 1С, незабываем про права для работы с сервером терминалов. В итоге пользователи могут принадлежать только одной специально созданной группе.

Для специальных конфигураций смотрим что нужно им для работы. Вооружаемся Filemon, Regmon и т.п. пробуем ими отследить или снимок системы до и после сделать (неплохо все это заранее провести на тестовой машине)

Я думаю что ничего нового для большинства и не написал, но просто стоит забыть, например, про одну dll и потом окажется что какой то отчет не запускается или оборудование не подключается.
Если у кого то есть интересные предложния по этому вопросу то поделитесь ими и если я в чем то ошибаюсь то поправьте меня.

ali1977

Цитата:

если не трудно то просвети пжалста как и что настроить(какие права дать пользователям?)

Ну пользователям дать права на вход в сам сервер терминалов, ну и соответственно в качесте программы запуска указываешь у пользователей "ванси" и даешь пользователям право на запись в каталоги с базами одинэса

Добавлено:
Ka1n1
Опередил и гораздо более подробно

Вот такая головоломка:
Есть домен, в нем сервер БД и 3 терминальных сервера. Используется NLB-кластер для выравнивания загрузки серверов. Локальные пользователи успешно делятся кластером по машинам. Все нормально. Но есть еще группа пользователей, которые цепляются к кластеру не через LAN, а с удаленных машин, присоединенных через VLAN на портах провайдера. По конкретным IP терминальных серверов они коннектятся успешно, по IP кластера - тоже, НО всегда прицепляются к первому терминалу (тому у которого приоритет выше) и выравнивание нагрузки не происходит. Меняю \терминаламп приоритеты - снова успешно ВСЕ цепляются к тому, у которого он выше. Локальные пользователи при этом успешно разбразываются по машинам.

Где загвоздка?

ShinePhantom
При подключении к ТС пользователей из интернета NAT используется?
Так же интересно как профили организованы у пользователей, которые из инета лезут?

они не через интернет цепляются, они просто удаленно расположены, но стучатся по тому же самому IP-адресу.
Терминальные профили хранятся на домене контроллера.

Предположительно проблема возникает из-за типа удаленного соединения.


Цитата:

которые цепляются к кластеру не через LAN, а с удаленных машин, присоединенных через VLAN на портах провайдера

Не совсем понял все таки как они подсоединяются? VDSL? VPN? Можно об этом подробнее?

Цитата:

Где загвоздка?

Вероятно, удаленные пользователи подключаются к NLB-кластеру через NAT, тогда у них одинаковый source IP. NLB-кластер считает, что это запросы от одного и того же клиента и направляет их на один узел.
За это отвечает параметр сходство (affinity) в режиме фильтрации несколько узлов для порта или диапазона.

Спасибо. Отключил сведение подключений - стали разбиваться по все серверам

Здравствуйте. Подскажите пожалуйста. Есть сервер терминалов на нем запрешно выполнение всего. При логине пользователя выдает следующую ошибку
"Доступ к C:\DOCUME~1\petrovvb\LOCALS~1\Temp\1\getpaths.cmd был ограничен Администратором политикой ограниченного использования программ". не подскажите что можно с этим поделать и опасно ли это?

Ребята, а кто-нибудь может подсказать решения с Win Server 2003:

Некоторое время назад начало появляться сообщение:

Ваша временная лицензия служб терминалов истекает через N - дней.

Подскажите кто-нибудь, а то остался 1 день
А там 1С бухгалтерия...

yazzi проверь групповую политику, в частности политику ограниченного использования программ и Конф. пользователя\Адм шаблоны\Система\Запрет использования командной строки. И посмотри что делает этот .cmd Если он не нужен то удалить его и вообще весь Temp в профиле почистить.

Memfivosfey не совсем понятно, сервер лицензирования служб терминалов до этого был нормально активирован? Если все же слетела активация, то попробовать заново активировать, не исключено, что вообще придется удалять его, а потом заново разворачивать и активировать сервер лицензирования терминалов. Если время совсем уже закончилось, то как вариант можно поробовать развернуть сервер лицензирования на виртуальной машине с доступом к сети, выбрать его предпочтительным и до решения вопроса с основным сервером работать с ним. Тема по активации службы терминалов есть на форуме в другой ветке.

есть клиент 1С у него стоит и 1с зарплата и 1с бухгалтерия
ОС была ХР СП2
было 2 значка подключения - один на запрлату другой на бухгалтерию
после установки ХР СП3 не могу настроить как было раньше
если я нажимаю сохранить данные (имя и пароль) при входе или в зарплату или в бухгалтерию - остаются настройки той части -в которую заходили последней
т.е например при входе в зарплату под именем user_z нажимаю сохранить данные, после этого при подключении выходит окно где предлагается ввести имя пользователя и пароль (ставим галочку сохранить пароль) и входим в зарплату
после этого запускаем значок 1Сбухгалтерии с именем пользователя user_b и запускается почему то 1С зарплата
раньше в ХР СП2 при вызове "подключения к удаленному рабочему столу"
на вкладке "общие" было окна
компьютер пользователь пароль и домен
а сейчас их нет только компьютер и пользователь

иногда на сервере терминалов остаются в памяти сессии подключения клиентов
хотя они в 1С не работают и приходится идти к серверу и принудительно через диспетчер задач викидывать клиентскую сессию- можно ли это вылечить?

ali1977
иногда на сервере терминалов остаются в памяти сессии подключения клиентов
необходимо знать, эти сессии прям так в явном виде и висят например в диспетчере задач или диспетчере служб терминалов или там их не видно?

Если сессии повисают и отображаются в диспетчере службы терминалов, то надо знать, как пользователи работают с терминалом: работают с рабочим столом или только с нужным им приложением? соответственно и интересен процесс закрытия терминальной сессии пользователями, ну и посмотреть конечно какие процессы запущены в термнальной сессии, чтобы определить виновника. Это самые общие моменты которые хочется уточнить.

Полезно так же использовать приложение User Profile Hive Cleanup. Забираем его с сайта MS.

ali1977
может просто ограничить в "настройке служб терминалов"
"ограничение бездействующего сеанса"
"завершенеи отключенного сеана"

Всем привет. Подскажите пожалуйста как отключить заставку на сервере терминалов у всех пользователях сразу? А то им через каждые минут 10 приходится вбивать пароль.
Работают они только в 1С в полноэкранном режиме. 1С прописан у них в качестве среды.

МОжет можно установить интервал появления заставки скажем часов через 8.

Спасибо...

Извините за возможно ламерский вопрос.
При смене имени сервера или его Sid сервер лицензирования терминалов слетает или нет?

Добавлено:
И опыт, сын ошибок трудных…

Не слетает.

Memfivosfey
Можно переключить терминальные службы в режим лицензирования "на пользователя".

dddimmm
В групповой политике. Конфигурация пользователя. Адм. шаблоны. Панель управления. Экран. Использовать экранные заставки.

Dimitrijj
большое спасибо, все помогло

Прошу помощи. Есть сервер терминалов w2k3 r2 член домена 1 с 3 сетевыми картами - два разных домена и один комп 3 напрямую. Задача - чтобы компы домена 2 и комп 3 не видели компы домена 1. Снял галочки с клиента для сетей микрософт и доступ к файлам и принтерам на треминальном сервере на интерфейсе 2 домена и 3 компа. Но возникают проблемы с печатью из под терминала на принтеры компов домена 2 и компа 3.
Что делать поставить на терминальном сервере дрова всех локальных принтеров домена 2 и компа 3 и прописать порты?
Да комп 3 подсоединен кросовером не через свич, поэтому не знаю как быть с его принтером?

Еще вопрос по терминальному серверу w2k3 r2 домен. В сессии запускается 1с 8 ка.
На некоторых компах (w2k) периодически перестает работать языковая раскладка - оказалось, падает ctfmon этого пользователя на сервере.
Здесь прочитал
что нужно удалить ctfmon с сервера , но тогда юзер не сможет переключить раскладку в сеансе ?
Значит ставить сторонние переключалки типа punto switcher? Больше никак не решить проблему?

Уважаемые, прошу подсказки. Жена в декрет ушла, и ей на работе дали доступ через RDP, системный администратор сказал что просто введете свой логин и пароль на этот айпи адрес, я и ввел этот айпи, зашел на сервер 2003, где ввел логин и пароль жены, а мне в ответ вышло это! Сис. админ щас в отпуске а проблем не решена, телефон он тоже отключил или на природе где отдыхает, короче не в досегаемости, подскажите пожалуйста что за проблема у меня. Выдало следующее сообщение при входе после того как ввел пароль и логин.
To log on to this remote computer, you must be granted the Allow log on through Terminal Serwices rihgt. By defoult, members of the Remote Desktop Users group have This rihgt. Il yuo are not amember of another group that has this rihgt, or if RDU group does not have this rihgt.

LineykaSBK
админ забыл её добавить в группу пользователей удалённого рабочего стола