[Çözüldü] Server 2012 rdp sorunu

Merhaba,

Rdp bağlantıyı local network üzerinde mi?  Yoksa vpn üzerinde mi? Yapıyorsunuz

Sunucu üzerinde logları kontrol edebilirsiniz size fikir verecektir.

Merhaba,

Sorun network kaynaklı olmalı ama siz diyorsunuz ki yeni kullanıcıda hiç olmadı. Bu bizi yanıltabilir çünkü siz o yeni kullanıcı ile normal bir kullanıcı gibi tüm gün çalışamazsınız. Yani testiniz güvenli değil gibi geldi bana.

Bu bağlantının gidip siyah ekran ve yeniden bağlantı konusu ise yüksek ihtimal network sorunu demektir. Her geçen gün büyüyen veri trafiği nedeni ile sunucu için daha hızlı bir ağ alt yapısı kullanmanız gerekebilir.

PAL ile bir kontrol edin bakalım

https://www.youtube.com/watch?v=kf88NH2c-KE

Sunucu bir datacenterda ve internet bağlantısı gbit bağlantı. Normal internet ip üzerinden rdp yapıyoruz. Herhangi bir network sorunu olmadığını datacenter ile teyit ettik.

Sorunun bizim internet bağlantımız kaynaklı olduğunu düşünerek, başka internet sağlayıcıları ile de denedim aynı sorunu gördüm.

Kullanıcılardan birine test kullanıcısı ile çalışmasını söyledim ve yarım gündür çalışıyor hiç kesilmediğini hatta bununla devam etmek istediğini söyledi. Ama diğer eski kullanıcıların tamamı bu arada sıkıntı yaşamaya devam ediyor. Bu arada tüm kullanıcılar aynı network içinde değil şirketin başka başka lokasyonlarında bulunuyorlar. Ben test kullancısı ile aynı lokasyondayım ve administrator bağlantım ile bende sürekli kopma ve 2-3 sn içinde yeniden bağlanma yaşıyorum.

Keşke sorunun detaylarını ilk seferinde böyle yazsaydınız. Çok güzel denemeler yapmışsınız. Elinize sağlık.

Şimdi iş daha garip bir hal aldı.

Yani network değil gibi, ancak makine performansı olsa bu durumda yeni açtığın kullanıcı da etkilenir.

Bu durumda sorunu tam açıklar mısın, yani kopma olduğu andaki sorun nedir?

İstemci RDP sunucuya ping atabiliyor mu? Telnet ile 3389 portu açık mı? O anda diğer kullanıcılar sorunsuz çalışıyor sanırım?

evet haklısınız detay vermedim, benim hatam kusura bakmayın.

Yaklaşık 10 kullanıcı aynı anda 3389 portu ile rdp bağlantı kuruyor ve muhasebe programı üzerinde sql database ile çalışıyorlar. Kullanıcıların tamamı ve bende admin olarak sorun yaşıyoruz ama açtığım yeni kullanıcı şimdilik hala sorunsuz bir şekilde kullanmaya devam edebiliyor. Bilgisayarın performans monitöründen biraz izleme yaptım herhangi bir zorlanma yada aşırı yüklenme de rastlayamadım. herkes bağlıyken ram kullanımı %60-65 arası, cpu değiyor ama 70 üstüne çıktığını görmedim. network zaten gbit bağlantı ve nerdeyse mbit bile bağlantı kurmuyor sadece hız testi yaptığım zaman %95 kapasiteye ulaşıp gbit seviyelere geliyor. hard disk olabilir mi diyeceğim ama onda da belirgin bir sorun göremedim. (defrag ve chkdsk yaptım)

Bu arada ben sunucuya sürekli ping atıyorum ve herhangi bir timeout almadığım gibi 3ms üzerine de nerdeyse çıkmadığını görüyorum.

Herhangi bir işlme yaparken bağlantı anlık kopuyor ve yeniden bağlanıp aynı ekran geliyor. bu bazen o kadar sık oluyor ki 1-2 mouse tıklaması bile yapamadan sürekli döngüye giriyor. Dolayısıyla kullanıcılar herhangi bir şekilde çalışamıyorlar yada çok zor işlem yapıyorlar. Sorun gerçekten çok ilginç bir çok yabancı kaynak inceledim ama benzer soruna rastlayamadım.

Evet bu katlanılabilir bir durum değil, ama kullanıcı bazlı bu sorun da çok anormal.

Peki loglarda bir şey var mı?

Loglarda security kısmında bir saldırı yakaldım sanırım.

An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: ADMIN3
Account Domain:

Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064

Process Information:
Caller Process ID: 0x0
Caller Process Name: -

Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

başka anormal bir durum yok. bu saldırıyı nasıl engellerim firewall yok. windows firewall da kapalı. Rdpli kullanıcıların sadece belli bir ipden gelmesine nasıl izin veririm.

Merhaba,

Dc üzerinden 4740 event id logunu takip edip ilgili user hangi sunucu veya client pcde lock olduğunu kontrol edip, burdan yürüyebilirsin.

Dışarıya açık bir RDP ise bu gayet normal bunun için önlem alman şart ancak.

Ben ise daha çok uygulama ve sistem günlüklerine bakmanı tavsiye ederim. Eğer orada da bir şey yok ise bir uygulama ile örnek bahsetmiştim performans analizi yapman lazım.

rdp portunu değiştirdim. uzaktan saldırırlar kesildi ama bağlantı kopma sorunu hala devam ediyor. herhangi bir çözüm bulamadım.

Port değiştirmek bir çözüm değildir. Kısa sürede tekrar tespit edeceklerdir.

https://www.cozumpark.com/rdp-ataklar-icin-kritik-onlemler/

Kesinti sorunu için 3. kez yazıyorum performans testi yapmanız gerekli.

Performans testine başladım evet kayıt alıyorum.

Ama sorunda çözüme yaklaşıyorum sanırım Turkcell superonline dan kaynaklanıyor gibi duruyor. Turkcell Superonline yada Turkcell 4.5g kullandığımda sürekli kesinti yaşadım. Ama Yerel wifi isp sağlayıcım ulunet ve vodafone 4.5g kullandığım zaman hiç bir sorun göremedim. Testim devam ediyor henüz emin değilim emin olunca kesin açıklayacağım.

Caner bu kesinti yaşamayan arkadaş Turkcell den bağlanmıyor muydu?

Zaten onun sayesinde farkettim bizde yedekli hat olarak load balance var. O arkadaş şans eseri yedek hat üzerinden çıkış yapmış. Nat tablolarını inceleyince bunu gördüm.

O zaman başa döndüm 🤣 

ilk tahminim network dü zaten çünkü bahsettiğin semptom network ü işaret ediyor.