Ошибка при подключению к серверу терминалов

Обновлено 08.12.2022

Добрый день! Уважаемые читатели и гости, IT блога Pyatilistnik.org. В прошлый раз мы с вами поговорили, про отложенный запуск служб в Windows, сегодня я хочу вам показать еще один не приятный момент в работе терминальных служб удаленного рабочего стола, а именно ошибка подключения «Произошла внутренняя ошибка«, после чего подключение разрывается. Такое я встречал уже в Windows Server 2012 R2 и 2016. Давайте разбираться в чем дело.

Описание проблемы

Есть сервер с операционной системой Windows Server 2012 R2, сотрудник пытается к нему подключиться, через классическую утилиту «Подключение к удаленному рабочему столу», в момент авторизации, выскакивает окно с ошибкой «Произошла внутренняя ошибка».

В английском варианте ошибка звучит вот так:

После этого у вас разрывается соединение. Когда мы видели моргающий экран по RDP, там хотя бы вы попадали на сервер и могли открыть диспетчер устройств, тут сразу все обрубается на корню. Давайте смотреть, что можно сделать.

🆘 Что есть в логах?

Если посмотреть журналы событий на удаленном сервере, куда вы пытаетесь подключиться, то там порядок событий будет такой:

• 1️⃣ Первым будет идти событие ID 131 «The server accepted a new TCP connection from client IP-адрес:60050.». Тут вы увидите IP-адрес с которого идет попытка входа.

• 2️⃣ Далее событие ID 65 «Connection RDP-Tcp#11 created «.

• 3️⃣ Затем событие 141 «PerfCounter session started with instance ID 11». Тут сессии будет назначен ID.

• 4️⃣ За ним будет идти ID 142 «TCP socket READ operation failed, error 1236».

• 5️⃣ Потом вы увидите ID 72 «Interface method called: OnDisconnected»

• 6️⃣ И же после этого вам покажут, что сервер разорвал подключение: «ID 102 The server has terminated main RDP connection with the client.»

• 7️⃣ В событии ID 145 так же появляются подробности «During this connection, server has not sent data or graphics update for 0 seconds (Idle1: 0, Idle2: 0).».

• 8️⃣ Могут быть события с ID 148 «Channel rdpinpt has been closed between the server and the client on transport tunnel: 0.» или «Channel rdpcmd has been closed between the server and the client on transport tunnel: 0.» или «Channel rdplic has been closed between the server and the client on transport tunnel: 0.»
• 9️⃣ Ну и вишенка на торте, ошибка  ID 227 «‘Failed to get property Disconnect Reason’ in CUMRDPConnection::Close at 2212 err=[0x80070057]»

Исправляем ошибку «Произошла внутренняя ошибка»

Так как по RDP подключиться не получается, то первым делом нужно проверить отвечает ли порт, по умолчанию это 3389. О том, как проверить порт на удаленном сервере я вам описывал, там все сводилось к выполнению команды Telnet, ознакомьтесь. Если порт отвечает, то делаем следующее.

Нужно удаленно перезапустить службу на этом сервере, чтобы сам сервер не перезагружать, так как в этот момент, он может выполнять важные задачи, можно использовать утилиту «Управление компьютером». Открыть ее можно через команду вызова оснастки, вызываем окно «Выполнить», через одновременное нажатие клавиш WIN и R, в котором пишем:

В открывшейся оснастке, щелкните в самом верху по пункту «Управление компьютером» правым кликом мыши, и выберите пункт «Подключиться к удаленному компьютеру».

Выберите пункт «Другим компьютером» и укажите его DNS имя, или найдите его через кнопку обзор.

Когда вы подключитесь к нужному серверу, перейдите в пункт «Службы и приложения — Службы», в списке сервисов найдите службу удаленных рабочих столов (Remote Desktop Services), и перезапускаем ее. После этого ошибка подключения по RDP «Произошла внутренняя ошибка», у вас должна пропасть.

Так же вы можете использовать оболочку PowerShell запущенную от имени пользователя, у которого есть права на удаленный сервер, где будет перезапускаться служба RDP. Выполните:

Дополнительные методы решения

Если вам не помог первый метод, перезапускающий службу удаленных рабочих столов, то можно попробовать выполнить правку реестра. Открываете редактор реестра Windows, если у вас физического доступа к серверу нет или он далеко и вам лень до него идти, то можно попробовать подключиться к реестру удаленного сервера.

Для этого в окне «Редактор реестра» пункт меню «Файл — Подключить сетевой реестр».

В открывшемся окне «Выбор компьютера» указываем его DNS-имя или ip-адрес и нажимаем ок. У вас будет установлено подключение к удаленному реестру сервера, что испытывает проблемы.

Находим ключ CheckMode по пути

Выставляем ему значение о, чтобы отключить у программы КриптоПРО CSP проверку контрольных сумм. Еще один важный момент, если у вас старая версия КриптоПРО, то это так же может быть источником, проблем, недавний пример, это ошибка «Windows installer service could not be accessed». Для этого удаляем правильно КриптоПРО CSP и ставим последнюю доступную версию.

Еще можно попробовать изменить значение вот такого ключа реестра:

Найдите ключ SessionImageSize и задайте ему значение 0x00000020.

Дополнительные настройки RDP клиента

Например ошибка «An internal error has occurred» у меня встретилась на Windows Server 2022 и там мне помогло в настройках клиента RDP отключение некой опции. Перейдите в дополнительные настройки клиента для удаленного подключения, где н вкладке «Experiens (Взаимодействие)» вам нужно убрать галку с опции «Восстановить подключение при разрыве (Reconnect if the connection is droped)«

На каких-то сайтах предлагалось именно активировать данный пункт.

Удаление кэша подключений

Еще одним методом решения внутренней ошибки подключения по RDP может выступать поврежденный кэш, который хранится на локальном компьютере пользователя. Для его отображения вам необходимо включить отображение скрытых папок и удалить содержимое папки:

Обновление 07.12.2022

В декабре я вновь столкнулся с внутренней ошибкой, она еще стала проявлять себя вот так:

В логах сервера очень много ошибок:

Она возникает, при каждой попытке войти на рабочий стол, это и есть проблема в моем конкретном случае. Устраните ее, и ошибка с подключекнием уйдет. Перезагрузка не нужна.

На клиентской машине откуда я пытался произвести подключение было три события:

Код 2808 — Ваш сеанс служб удаленных рабочих столов завершен. Соединение с удаленным компьютером было потеряно, возможно, из-за проблем с сетевым подключением. Попробуйте снова подключиться к удаленному компьютеру. Если проблема не исчезнет, ​​обратитесь к сетевому администратору или в службу технической поддержки.

Так как у меня это была виртуальная машина, то я смог легко подключиться через консоль. В случае с ошибкой «Отключение RDP ClientActiveX (Причина= 2308)«, я отключил на сервере и клиенте autotuninglevel:

Не забываем перезагрузиться.

Это не помогло, далее я выполнил еще несколько рекомендаций. Я установил на сервер валидный SSL сертификат для RDP сессии. В ошибке 0x907, RDP соединение разрывалось, так как клиентская система не доверяла самоподписному сертификату удаленного сервера. Это нужно поправить, ссылку я указал, обязательно проверьте, кто сейчас выступает в роли активного:

Еще я создал параметр реестра MaxOutstandingConnections. В Windows по умолчанию есть ограничения на количество сетевых подключений, так например в серверной версии, это параметр равен 3000, в десктопной 100. Из-за нестабильной сети, они могут быстро забиваться. Одно из решений проблемы с внутренней ошибкой подключения, является увеличение этого значения. В командной строке в режиме администратора выполните:

После этого нужно перезагрузиться.

Временное решение

Пока вы не уберете ошибку «Код ошибки, возвращенный модулем шифрования: ошибка 0x8009030D», описанную выше, вы можете понизить уровень безопасности вот такими манипуляциями, это устранит «An internal error has occurred».

На обычном сервере все это помогло, а вот на ноде RDSH ошибка оставалась. Тут я решил проверить догадку с уровнем безопасности «Configure security settings». На моей ферме был уровень «Согласования (Negotiate)«

Я пошел на сервер, где были проблемы подключения и решил проверить один параметр локальной политики gpedit.msc.

Тут попробуйте выставить уровень RDP. В результате у меня после этих настроек все заработало. Теперь нужно понять, что изменилось. В настройках RDS фермы указано, что мы используем уровень согласование:

Если и это вам не помогло, то нужно смотреть вариант в сторону обновления или переустановки драйверов на сетевую карту, тут вы определяете модель вашей карты или материнской платы, если в нее все интегрировано и обновляете. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Дополнительные ссылки

• https://serverfault.com/questions/934026/windows-10-pro-rdp-server-an-internal-error-has-occurred
• https://social.technet.microsoft.com/Forums/en-US/e1d60cc0-0096-4859-a0e7-eb7f11905737/remote-desktop-v10-error-0x4-from-mac?forum=winRDc
• https://learn.microsoft.com/en-us/answers/questions/108219/can-not-rdp-to-2012-r2-standard-server-after-septe.html
• https://serverfault.com/questions/541364/how-to-fix-rdp-on-windows-server-2012

• Главная

• Инструкции

• Windows

• Ошибка при подключении по RDP

RDP – это протокол, предназначенный для удаленного подключения к серверу с ОС Windows. Процесс подключения по RDP довольно прост и был уже детально описан в одной из наших инструкций.

Иногда у пользователя могут возникнуть трудности при очередной попытке входа на удаленный сервер с помощью RDP. Система в момент подключения выдает ошибку и ее краткое описание. Однако для обычного пользователя информации в системном окне ошибки недостаточно, чтобы решить проблему.

В статье мы рассмотрим наиболее частые пользовательские ошибки, которые возникают при попытке входа на удаленный сервер, и опишем, как их устранить.

Ошибка №1. «Произошла внутренняя ошибка»

Во время подключения по RDP с помощью штатной утилиты Windows пользователь может получить окно с ошибкой в момент входа на сервер. 

Вот ее пример:

Как видно на картинке, описание ошибки нам ничего не объясняет. Причин у нее может быть множество. Например, она может возникнуть из-за неправильной настройки подключения или настройки безопасности протокола. 

Ниже рассмотрим список причин и возможных решений, которые помогли другим пользователям избавиться от ошибки.

Решение №1. Проверка работы порта

Первое, что нужно сделать – это проверить, что прослушиватель протокола RDP настроен на работу по порту 3389 как на сервере, так и на локальной машине. Для этого будем использовать системное приложение «Редактор реестра».

Перед тем, как приступать к исправлению ошибки, следует создать резервную копию реестра. 

1. Нажимаем сочетание кнопок WIN+R и запускаем regedt32, используя поле ввода.
2. Создаем резервную копию. Для этого в окне реестра нажимаем вкладку «Файл», а затем «Экспорт». После выбираем место, где будут храниться файлы реестра. Если после внесенных изменений возникнут какие-либо ошибки, реестр можно будет восстановить («Файл» → «Импорт»).
3. Далее открываем папку «RDP-Tcp». Для этого воспользуемся поиском, как показано на рисунке ниже.

1. Для продолжения поиска используем кнопку F3. Нажимать ее нужно до тех пор, пока адрес папки не совпадет с адресом на картинке ниже.

1. В найденной папке ищем параметр, который называется «PortNumber». В ситуации, когда его значение не равно 3389, его следует поменять.

1. Теперь нужно повторить предыдущий шаг, только для удаленного сервера.
2. После проверки портов следует выполнить перезапуск служб. Подробнее — в описании решения №2. 
3. Выполняем повторный вход на сервер.

Решение №2. Перезапуск служб удаленных рабочих столов

Если порт прошел проверку в предыдущем решении или был настроен правильно, то переходим к перезапуску служб удаленных рабочих столов. Чтобы не перезагружать устройства, которые могут находиться в работе, воспользуемся утилитой «Управление компьютером».

1. Воспользуемся сочетанием кнопок WIN+R и запускаем compmgmt.msc, используя поле ввода.
2. Далее переходим во вкладку «Службы и приложения», а затем открываем «Службы».
3. Находим «Службы удаленных рабочих столов» и кликаем «Перезапустить службу», как показано на картинке ниже.

1. Далее снова выполняем предыдущие 2 шага, но в этот раз для сервера. Чтобы это сделать, нужно для начала нажать правой кнопкой мыши по вкладке «Управление компьютером», а затем нажать «Подключиться к другому компьютеру».
2. После успешного подключения повторяем шаги 2 и 3.
3. Пробуем заново подключиться к серверу.

Решение №3. Проверка статуса протокола на сервере

Чтобы проверить статус работы протокола RDP на сервере, воспользуемся системным приложением «Редактор реестра» из Решения №1. 

1. Нажимаем сочетание кнопок WIN+R и запускаем regedt32, используя поле ввода.
2. Теперь выполняем подключение к сетевому реестру, как показано на картинке ниже.

1. Далее переходим в 2 папки, которые называются Terminal Server и Terminal Services. Для этого воспользуемся поиском (сочетание клавиш CTRL+F). 

Переключаться между найденными папками можно с помощью клавиши F3. Нажимаем ее до тех пор, пока адрес папки не совпадет с адресом на картинке ниже.

То же самое выполняем для папки Terminal Services. Ее адрес при поиске должен совпасть со следующим.

В двух найденных выше папках ищем fDenyTSConnections. Искомый параметр может принимать два значения: либо 0, либо 1. Первое указывает на успешную работу протокола RDP. Второе предполагает, что он отключен.

1. Изменяем значения параметров на 0.
2. Пробуем заново выполнить вход на сервер.

Решение №4. Изменение настроек подключения

Отдельным пользователям удалось проблему благодаря корректировкам настроек подключения к удаленному серверу. Опишем ниже пошаговое решение:

1. В программе «Подключение к удаленному рабочему столу» открываем дополнительные параметры подключения.
2. Среди всех вкладок выбираем «Взаимодействие» и кликаем на нее.
3. Далее в поле, указанном на картинке ниже, следует установить или убрать галочку, в зависимости от того, в каком состоянии оно находится сейчас.

1. Теперь пробуем заново выполнить подключение.

Решение №5. Очистка кэша подключений

Кроме перечисленных выше решений, можно попробовать очистить кэш подключений. Для этого выполним следующие шаги:

1. Для начала следует включить отображение скрытых папок. Для этого устанавливаем галочку в соответствующем поле, как показано на картинке ниже.

1. Далее переходим в папку Cache, которая расположена по адресу C:Users%Имя_пользователя%AppDataLocalMicrosoftTerminal Server Client, и удаляем все, что в ней находится.
2. Теперь заходим в системное приложение «Редактор реестра», о котором говорилось ранее, и переходим к вкладке Servers (HKEY_CURRENT_USER → Software → Microsoft → Terminal Server Client). Здесь также удаляем все записи.
3. Перезагружаем компьютер и выполняем повторное подключение к удаленному серверу.

Решение №6. Увеличение лимита на количество подключений

Внутренняя ошибка подключения по RDP может быть также решена за счет увеличения параметра реестра, отвечающего за ограничение количества сетевых подключений. Данный параметр по умолчанию в сетевых версиях равен 3000, а в десктопных всего 100. Он может очень быстро забиться, вследствие чего у пользователя и возникают трудности с входом.

Для исправления проблемы следует увеличить размер параметра MaxOutstandingConnections. Чтобы это сделать, достаточно запустить терминал (обязательно в режиме администратора) и выполнить специальную команду:

REG ADD "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v MaxOutstandingConnections /t REG_DWORD /d 65536

Результат выполнения команды продемонстрирован на картинке ниже.

Теперь перезагружаем службы удаленных рабочих столов и пробуем заново выполнить вход на сервер.

Ошибка №2 «CredSSP: ошибка при проверке подлинности»

Ошибка проверки подлинности при подключении по RDP возникает на этапе авторизации.

Как видно по картинке выше, система указывает пользователю на возможную причину ошибки, связанную с CredSSP.

CredSSP – это протокол Windows, который служит для безопасной передачи учетных данных от локальной машину к серверу. Он защищает пользователя от DDoS-атак или несанкционированного доступа к серверу.

Ошибка проверки подлинности зачастую возникает у пользователей из-за отсутствия обновлений безопасности на пользовательском компьютере, либо на самом удаленном сервере.

Ниже подробно опишем решение ошибки CredSSP во время подключения по RDP для Windows версий Home и Professional.

Скачать обновление безопасности после удачного входа пользователя на сервер возможно с официального сайта Microsoft либо в разделе «Центр обновления Windows» в параметрах вашей системы.

Решение №1. Windows Home

Описанное ниже решение ориентировано на пользователей с ОС Windows Home.

1. Для начала открываем на пользовательском компьютере терминал, запущенный от имени администратора.
2. Далее вводим команду в строку терминала:

REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Используемая команда вносит корректировки в реестр Windows, добавляя ключ, отвечающий за изменение политики безопасности CredSSP. Значение 2 устанавливает самый низкий уровень защиты.

1. Перезагружаем устройство.
2. Пробуем заново подключиться к серверу.
3. Далее на сервере следует обязательно установить необходимые обновления безопасности.
4. По завершении обновлений нужно вернуть начальные настройки безопасности, используя команду из шага №2. Только вместо 2 на конце, нужно ввести 0.

Решение №2. Windows Professional

Предложенное ниже решение подойдет тем пользователям, кто пользуется профессиональной версией Windows.

1. Для начала открываем системное приложение «Редактор локальной групповой политики». Используем сочетание кнопок WIN+R и открываем gpedit.msc, используя поле ввода.
2. В открывшейся системе переходим в папку «Передача учетных данных» (Конфигурация компьютера → Административные шаблоны → Система → Передача учетных данных).
3. Среди всех параметров выбранной папки ищем «Защита от атак с использованием криптографического оракула». Щелкаем по нему дважды.

1. В открывшемся окне включаем использование выбранного параметра, а также устанавливаем такой же уровень защиты, как на картинке ниже.

1. Перезагружаем устройство.
2. Пробуем заново подключиться к серверу.
3. Далее следует сразу перейти к установке всех обновлений безопасности.
4. По завершении обновлений рекомендуется сразу возвратить параметр «Защита от атак с использованием криптографического оракула» в первоначальное состояние.

Заключение

Мы рассмотрели 2 популярные ошибки подключения по RDP. Это внутренняя ошибка подключения и ошибка при проверки подлинности. К каждой из ошибок мы подобрали решения, которые в большинстве случаев помогут пользователям исправить их. 

Как настроена работа терминального сервера

Терминальный сервер служит для организации работы по следующему сценарию —  приложение запущено на удаленном компьютере (сервере), на нем же производятся все основные, требующие ресурсов операции и вычисления, а на клиентском устройстве выполняется только ввод и вывод данных.

Неоспоримые преимущества сервера терминалов:

• Производительность — можно использовать такие приложения, для работы которых у клиентского устройства не хватает ресурсов. Например, часто так используют сервер терминалов 1С.
• Упрощение администрирования — не нужно устанавливать приложение каждому сотруднику, достаточно поставить его на сервере.
• Легко добавлять новые рабочие места в существующую конфигурацию.
• Установка терминального сервера обеспечит стабильную работу даже при низкой пропускной способности сети, ведь по ней будет передаваться минимум данных
• Экономия на стоимости ПО и оборудования — терминальные лицензии на ПО обычно стоят дешевле стандартных, а приобретение одного сервера скорее всего потребует меньше средств, чем обновление всего парка компьютеров и ноутбуков в компании.

Однако в использовании терминальных серверов есть и свои сложности:

• Во-первых, для настройки сервера терминалов и поддержки работы терминальной сети требуется системный администратор со специфическими знаниями именно в области управления терминальными серверами.
• Во-вторых, для поддержки нескольких интерактивных сеансов пользователей терминальный сервер на Windows обычно предъявляет более высокие требования к “железу”,  чем аналогичный сервер Windows, обеспечивающий работу того же количества пользователей по традиционному сценарию “клиент/сервер”.
• И в-третьих, ошибка такого сервера остановит работу сразу всех подключенных к нему пользователей, так что критически важна его отказоустойчивость. Этот аспект мы и рассмотрим в данной статье — какие бывают ошибки терминального сервера и как с ними бороться.

Типичные ошибки и проблемы в терминал сервере

• Одна из самых типичных ошибок в терминал-сервере — не установлен сервер лицензирования или не настроено лицензирование сервера терминалов. В таком случае в первую очередь убедитесь, что сервер лицензирования существует, что он активирован и клиентские лицензии есть в наличии. Иногда достаточно будет очистить кэш клиентской лицензии: зайти на рабочую станцию, у которой возникли проблемы с лицензированием, с правами администратора и в реестре вручную удалить ключ лицензии.
• Вторая частая проблема терминального сервера тоже связана с лицензированием — когда Windows server терминалов и сервер лицензий физически развернуты на разных машинах, они могут не найти друг друга. Например, маршрутизатор или брандмауэр могут этому помешать. Убедитесь, что сервер лицензий в сети и к нему физически можно подключиться, что настроена роль терминального сервера, проверьте настройки области обнаружения сервера лицензирования, удостоверьтесь, что операционная система для терминального сервера совместима с сервером лицензирования. Если автоматически подключиться не получается, попробуйте задать путь к серверу лицензирования вручную.
• Ошибка “Для сервера терминалов достигнуто максимальное число подключений”. Скорее всего есть неактивные пользовательские сеансы, которые забыли закрыть. Отключите такие сеансы вручную, а в дальнейшем рекомендуем настроить сервер терминалов так, чтобы бездействующие сеансы сами отключались через определенное время.
• Пользователь не подключается к серверу терминалов? Проверьте, действительно ли служба терминалов запущена, открыты нужные порты сервера, у учетной записи пользователя есть все необходимые права доступа.
• Не работает установка программ на терминальном сервере. Проверьте в настройках конфигурации, что для администратора включено разрешение устанавливать ПО из терминальной сессии  и что групповые политики безопасности это позволяют.
• Терминальный сервер не сохраняет пароли. Необходимо включить разрешение сохранять пароли для данного компьютера в настройках локальной групповой политики.

Оставьте заявку на консультацию

Что делать, если не работает терминальный сервер

Когда не работает терминальный сервер, зависает терминальный сервер, можно сразу вызвать специалиста или попытаться провести первичную диагностику и устранить неполадки своими силами:

• отключить неиспользуемое ПО, особенно то, которое запускается автоматически
• обновить серверную ОС и драйвера устройств до последних версий
• проверить лог подключений на предмет слишком частых подключений из подозрительных локаций, возможно, идет попытка DDos-атаки, из-за которой и тормозит терминальный сервер

Как предотвратить проблемы с терминальным сервером

Наши рекомендации тут предельно просты — чтобы свести число ошибок к минимуму, необходимо профилактическое обслуживание. Оно должно включать мониторинг терминального сервера, регулярную очистку терминального сервера от временных файлов и другого “мусора”, контроль интернет-трафика терминального сервера,  дефрагментацию, соблюдение политик безопасности (например, регулярную смену пользовательских паролей), физическую чистку оборудования от пыли и замену термопасты, проверку антивирусным ПО с актуальными базами. Антивирус для терминального сервера рекомендуем выбрать из тех, которые специально разработаны для работы с серверами, обычно на это указывает наличие в названии Server Edition.

Есть несколько полезных приемов защиты терминального сервера, которые помогут обеспечить безопасность сервера терминалов:

• сменить стандартный порт RDP
• запретить подключения учетных записей с пустым паролем, настроить блокировку после нескольких попыток входа с неправильным паролем
• использовать протокол SSL/TLS, если подключение к терминальному серверу идет не по VPN

Специалисты ГК Интегрус готовы бесплатно проконсультировать вас по любым вопросам, связанным с использованием терминальных серверов.

Также мы квалифицированно выполняем все работы по внедрению, настройке и обслуживанию терминального сервера. В нашу компетенцию входят:

• проект терминального сервера, установка и настройка, создание серверной “под ключ”
• аудит, профилактическое обслуживание и обновление терминальных серверов
• срочный ремонт, восстановление данных после сбоя терминального сервера
• сброс и удаление сервера терминалов при модернизации ИТ-инфраструктуры.