Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» зависает RDP и отваливается весь сервер

Автор: abgluck
Дата сообщения: 16.10.2014 14:02
Именно после конфигурация компьютера - административные шаблоны - компоненты винды - службы удаленных рабочих столов - узел сеансов удаленных рабочих столов - подключения - выбор транспортных протоколов - выбрать только tcp с последующим gpupdate и перезагрузкой?
Автор: zubastiy
Дата сообщения: 16.10.2014 14:05
присоединюсь.

win2012r2 в режиме терминала, рабочая группа
лицензирование на устройство
+1с
+крипто про идет в составе SBIS (какая то система отчетности)
RDP-UDP отключено


периодически (раз в три-четыре дня) перестают подключатся новые клиенты, отваливаются с сообщением про таймаут с лицензированием.
ребут помогает )

в логах сервера сообщения

"Лицензирование удаленных рабочих столов затратило слишком много времени на обработку клиентской лицензии"
"Службы удаленных рабочих столов затратили слишком много времени на выполнение подключения клиента"


При этом в сервере лицензирования ни при каких обстоятельствах не выдаются лицензии на подключенные устройства.
Как было 10 лицензий, так и осталось, есть 10, выданных 0.

Как у вас дела с выдаваемыми лицензиями?
Автор: abgluck
Дата сообщения: 16.10.2014 14:08
zubastiy
Не, это другая проблема, связанная именно с неправильной конфигурацией лицензирования.
У меня лицензии нормально выдаются.
Автор: MikeSh2
Дата сообщения: 16.10.2014 19:04
abgluck
Спасибо, до этого параметра я не добрался
Сейчас сделал и ребутнул.
Завтра как раз командировка, заодно и проверю, будут ли названивать.
zubastiy
У меня лицензирование "на пользователя". Количество выданных лицензий - 0, причём где то у майкрософта эта ситуация описана как нормальная для рабочей группы.
Типа такой способ лицензирования нормально работает только в домене.
Автор: zubastiy
Дата сообщения: 16.10.2014 19:29
MikeSh2
спасибо, но у меня на "устройство".
ну да ладно, пусть его.
Автор: MikeSh2
Дата сообщения: 16.10.2014 19:34
zubastiy
Если на устройство, то всё должно работать.
Автор: abgluck
Дата сообщения: 16.10.2014 20:49
У лицензий на пользователя привязка лицензии к пользователю хранится в доменных атрибутах пользователя, соответственно без домена просто не откуда прочитать информацию кому именно назначены лицензии. В 2003, помнится, при установке лицензирования в режим "на пользователя" даже наличие лицензии на сервере не проверялось, достаточно было иметь просто активированный сервер. Насколько оно корректно отрабатывает в рабочей группе в современных виндах не проверял, т.к. домен штука удобная.=)
С лицензиями на устройство все ограничивается базой самого сервера лицензий и реестром клиентских устройств и должно выдаваться/учитываться как положено что в домене что в рабочей группе со времен 2000.
Автор: Saan23
Дата сообщения: 21.10.2014 08:54
Ну что можно сказать. Это однозначно крипто про, который мало совместим с протоколом UDP.
После удаления крипто - почти 4 недели полет нормальный.
Автор: Geniyyy
Дата сообщения: 21.10.2014 10:05
Всем добрый день. Появилась похожая проблема на ТС Windows Server 2008 R2. Сервер локальный - все подключения только по локальной сети. С месяц назад произошло глобальное отключение питания (ИБП держались до конца, но их не хватило), сервер отключился. С утра запустился в штатном режиме и тут началось.... Коротко - если нет активности хотя бы одного RDP минут через несколько (от 5 в худшем случае, до 200 в лучшем), сервер виснет наглухо: на подключенном мониторе горит индикатор входного сигнала и черный экран, на мышь, клаву, кнопку Power не реагирует, моргают индикаторы LAN и питания. Помогает только RESET. В течении 3 недель экпериментов выяснили: если в сеансе RDP запустить например какой нибудь Кликер и оставить окно RDP АКТИВНЫМ - сервер не виснет. Стоит только хотя бы свернуть окно в трей - через минут 5 сервер зависает. Если оставить развернутое окно с RDP, но без активных программ - тоже зависнет. То есть днем, пока работает порядка 25-30 пользователей: активны окна RDP, работают программы, жруться ресурсы сервака - все нормально. Только прекращается активность - вис. Пару дней назад работало на нем только 3 человека - сервак завис днем в обед... В логах каких-то конкретных ошибок нет. Сразу скажу КриптоПро НИКОГДА НЕ БЫЛО И НЕТ. Были обновы установленные до отключения - удалил 8 штук связанных с Виндой и безопасностью Винды - после 2 часов простоя завис. Остались еще полтора десятка обновлений FrameWorka и одно для SQL сервера - пока не пробовал удалять... Обновил дрова на сетевухи (собраны в мост). А да, один раз при загрузке, на заставке "Применение параметров компьютера..." опять выпал в такое же состояние... В работе нагрузка на камень максимум 20-25%, на память 30%. RAID пишет - Optimal... Может кто подскажет где еще можно копнуть? Почему он дохнет без активного RDP и нагрузки?
Автор: abgluck
Дата сообщения: 21.10.2014 11:35
Geniyyy
Это совсем непохожая проблема.=)
Копнуть в сторону задач, запускаемых "при простое", может быть какая-нибудь из них вешает сервер.
План электропитания "максимальная производительность" поставить если не стоит, может какая железка пытается отключиться для экономии энергии и опять же виснет.
Автор: RangerZ
Дата сообщения: 21.10.2014 19:51
Присоединяюсь к теме. W2012R2, вчера поставил КриптоПро 3.9.8171 и HP Universal Driver и сегодня отхватил проблему с зависанием RDP (причем часто виснет, раз в полчаса-час).
До сегодняшнего дня на сервере без проблем работал OpenVPN-клиент (но вход по RDP не через него сделан, он просто для соединения сетей юзается), сегодня выключил. Он коннектился к VPN-серверу через TCP.
Сегодня же попробовал поставить "родные" дрова на сетевуху - не помогло. После ребута сервак снова подвисал.
В общем если завтра все продолжится после отключения OpenVPN, попробую выключить RDP-UDP, если снова не поможет - придется снести КриптоПро на время.
Автор: Saan23
Дата сообщения: 23.10.2014 10:40
Написал на форуме Крипто-Про, возможно там специалисты найдут решение. Сделал там ссылку на эту тему, пусть посмотрят.
Автор: RangerZ
Дата сообщения: 23.10.2014 11:14
Вчера сервер снова повисал. Т.е. выключение OpenVPN не помогло. После этого выключил RDP-UDP (это примерно в 13:00 22 октября было) и перезагрузил сервер. До текущего момента ничего не зависало, но это еще не показатель.
Если не поможет, хочу попробовать выключить Winlogon в настройках CSP и если и это не поможет, придется сносить КриптоПро.
Автор: abgluck
Дата сообщения: 24.10.2014 02:47
Ну хоть сами криптопрошники признались, что накосячили. Хотя зачем им вмешиваться в реализацию DTLS микрософта, если они его не поддерживают - не очень понятно...
Автор: RangerZ
Дата сообщения: 24.10.2014 06:47
Похоже, КриптоПро "все правильно сделал" только в RDP-TCP, а с UDP какой-то косяк, поэтому отключение RDP-UDP помогает. Вот тема на форуме КриптоПро: http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8146
Автор: killlaw
Дата сообщения: 24.10.2014 08:24

Цитата:
Если не поможет, хочу попробовать выключить Winlogon в настройках CSP


Выключали, не помогло.
Автор: kollegin
Дата сообщения: 24.10.2014 14:03
Winlogon точно ни при чем.
Как проще всего мы можем воспроизвести проблему?
Автор: abgluck
Дата сообщения: 24.10.2014 14:21
kollegin
Включить rdp-udp, поднять впн между клиентом и сервером (не знаю, насколько критично понижение mss при этом), обеспечить потери пакетов снаружи впн-а и пробовать подключаться пока не повиснет в момент подключения.
Автор: chupin53
Дата сообщения: 24.10.2014 15:09
[more] Коллеги, хочу поделиться своими наблюдениями.

Имею WS2012R2, на нем поднят RDSH. Из программ, которые упоминались ранее: Крипто ПРО 3.9, 1с, PGP Desktop (сейчас удалена).

Симптомы указанные выше (новые клиенты не могли подключиться к терминальному серверу, а старых через некоторое время выкидывало) стали себя проявлять с периодичностью примерно раз в 2 недели. Это было в начале лета. Был выдвинуто предположение, что во всем виноват PGP Desktop, т.к. глюки начались именно с того момента, как пользователи этой чудесной программы переехали на данный терминальный сервер.
После этого PGP Desktop был удален, и (о чудо!) глюки стали проявлять себя гораздо реже - 1 раз в месяц-полтора.

Но с недавних пор глюки опять появились.

Сейчас попробую запретить политиками использовать UDP транспорт.

Да, еще - у меня есть практически "зеркальная" копия терминального сервера, про которого я написал выше. На этом сервере работают 1-2 человека, ни КриптоПРО, ни 1с не пользуют. Так вот на этом серваке ни разу не было подобных зависаний. [/more]
Автор: kollegin
Дата сообщения: 24.10.2014 15:43
abgluck
А не подскажешь инструменты, чтобы подобного добиться?
В наличии Windows 8.1 x64, внутри virtualbox с 2012 R2.
http://www.tmurgent.com/appv/index.php/resources/tools/177-tmnetsim-quick-and-easy-network-simulation-tool
не помогает.
Автор: zubastiy
Дата сообщения: 24.10.2014 15:45
win2012R2 терминалка, периодически повисало.
из установленных программ 1C и libreoffice
КриптоПРо используется как компонента к sbis (налоговая отчетность)

Отключил RDP-UDP через политики.
Не ребутался сразу после отключения.
Сервер через пару дней повис, перезагрузили по питанию.

Неделю как не виснет.

win2012 терминалка.
КриптоПро используется как компонента банк клиента чтоли, толи еще какой то бухгалтерский софт.
Стороннего софта - на пару десятков наименований.
Никогда не висла.
Автор: abgluck
Дата сообщения: 24.10.2014 18:14
kollegin
Ну если к этому добавить openvpn, настроенный на подключение через tcp и прогнать его трафик через TMNetSim с включенными Loss and out-of-order delivery то вроде как должно получиться. Ну и криптопро на сервер поставить, естественно, и подключаться через впн а не напрямую.
Живьем, правда, у меня не openvpn не по tcp, а по udp работает, но вроде как в теме отписывались и люди с tcp. Так же может быть нужна какая-то активность криптопро, т.к. на живом сервере он не просто стоит, но и ключики для шифрования документов предоставляет.
Если будет время на выходных попробую поэкспериментировать.
Автор: kollegin
Дата сообщения: 24.10.2014 20:12
Если у кого есть возможность поэкспериментировать и не нужен ГОСТ TLS на сервере, можно попробовать отключить ГОСТ SSL и попробовать без него - было бы интересно: воспроизведется ли зависание.
DTLS мы пока не реализовали, и, соответственно, не вмешивались в системный.
CSP 3.9/4.0:

Код: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProPatches\SCHANNEL]
"Image Dll"="_schannel.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpksp]
"Start"=dword:00000003
Автор: abgluck
Дата сообщения: 24.10.2014 20:37
kollegin
Прописал, вернул rdp-udp на место, заодно поставлю сейчас все обновления на винду, которые не ставил, чтобы не нарушать чистоту эксперимента. Но у меня не так уж часто проблема вылезала, т.ч. ждать воспроизведения можно долго.
Автор: killlaw
Дата сообщения: 27.10.2014 04:33
kollegin, abgluck, наличие openvpn совершенно не обязательно - у меня на сервере его нет и не было, а зависания происходят совершенно также.
Автор: abgluck
Дата сообщения: 27.10.2014 12:31
killlaw
В данном случае openvpn только чтобы завернуть UDP пакеты в TCP тоннель, который можно прогнать через TMNetSim. А так то да, пофик через что , лишь бы канал был "неочень".
Автор: ProdumAnsky
Дата сообщения: 27.10.2014 18:40

Цитата:
"Лицензирование удаленных рабочих столов затратило слишком много времени на обработку клиентской лицензии"
"Службы удаленных рабочих столов затратили слишком много времени на выполнение подключения клиента"
......
Как у вас дела с выдаваемыми лицензиями?

zubastiy
Эта ошибка так же встречалась в логах, но это, кмк, уже последствия зависания службы терминалов.
Автор: MikeSh2
Дата сообщения: 29.10.2014 10:23
2 недели "ни одного разрыва" (с)
Откоючение UDP помогло.
Автор: abgluck
Дата сообщения: 13.11.2014 17:30
kollegin

Цитата:
Если у кого есть возможность поэкспериментировать и не нужен ГОСТ TLS на сервере, можно попробовать отключить ГОСТ SSL и попробовать без него - было бы интересно: воспроизведется ли зависание. DTLS мы пока не реализовали, и, соответственно, не вмешивались в системный. CSP 3.9/4.0:  
Код: Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProPatches\SCHANNEL]
"Image Dll"="_schannel.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpksp]
"Start"=dword:00000003
  И перезагрузиться.
Автор: ProdumAnsky
Дата сообщения: 17.11.2014 15:08
При установке крипто-про с выбором компонентов возможна доустановка компонента "криптопровайдер ядра", в пояснении: "позволяет использовать TLS, терминальный сервис, другое".
Может быть в этом кроются дополнительные грабли?

з.ы. прошло много месяцев с изменения сетевого протокола РДП, падений не было (тьфу тьфу тьфу)

Страницы: 12345

Предыдущая тема: Как в DNS указать какой сервер FTP/HTTP


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.