Windows 2003 leht Remptedektopverbindung ab

Mitglied: schmidtj

schmidtj (Level 1) - Jetzt verbinden

12.07.2017 um 16:26 Uhr, 1658 Aufrufe, 19 Kommentare

Hallo Kollegen!

Ich habe ein Problem bei dem ich nicht mehr weiter komme!

Es ist die Remotedesktop Verbindung nicht mehr möglich.

Was überprüft wurde:
  • Firewall: Portfreigabe 3389
  • Firewall: Deaktiviert
  • Antivirus: Deinstalliert
  • Arp -A: Kein Port 3389, auch nicht abgehört
  • Registry: Port 3389 vorhanden
  • div. Neustarts

Vom W2003 Server zu anderen RDP-Clients keine Problem!

Wie bekomme ich wieder Zugriff auf diesen Server mittels RDP ohne Neuinstallation?

Wenn jemand hier für Ideen hat, ich bin Ratlos!

Danke Euer
Schmidty
Mitglied: emeriks
12.07.2017, aktualisiert um 16:29 Uhr
Hi,
Remotedesktop-Dienst läuft?

E.

Edit.: Äääähmmm ...
Arp -A: Kein Port 3389, auch nicht abgehört
Du meinst sicher "netstat -a"?
Bitte warten ..
Mitglied: schmidtj
12.07.2017 um 16:38 Uhr
Ja, MAC.... netstat -a!!! Thx
Bitte warten ..
Mitglied: Pjordorf
12.07.2017, aktualisiert um 16:53 Uhr
Hallo,

Zitat von schmidtj:
  • Firewall: Portfreigabe 3389
D.H. da lauscht der RDP Dienst deines Servers?

* Firewall: Deaktiviert
OK

* Antivirus: Deinstalliert
Greift dein uns unbekanntes AV denn in RDP ein?

* Arp -A: Kein Port 3389, auch nicht abgehört
Ich hätte eher ein netstat -no genommen oder gar ein netstat -no|find ":3389". Mal ein Arp -? gemacht?

* Registry: Port 3389 vorhanden
Sollte doch sein, oder?

* div. Neustarts
Auch geschaut ob der TermServices läuft? Ein Tasklist /svc /FI "Services eq "TermService" sagt es dir ob der läuft. Ein Tasklist /svc /FI " PID eq PIDvondeinnetstat" tuts auch.

Wie bekomme ich wieder Zugriff auf diesen Server mittels RDP ohne Neuinstallation?
Jetzt fragt sich wohl jeder was und welche Fehlermeldung denn dein Client bekommt won dem du versuchst das RDP zu machen? Ebdenso ob denn der RDP Server etwas in seinen Ereignissprotokollen stehen hat wenn du versuchst ein RDP dorthin aufzubauen.

ich bin Ratlos!
Und wir hier erst

Gruß,
Peter
Bitte warten ..
Mitglied: Vision2015
12.07.2017 um 18:26 Uhr
Moin...
Windows 2003... lehnt RDP verbindungen ab... jo, kann ich gut verstehen- das teil gehört in Rente!
wenn ich ein 2003er wär, hätte ich auch kein bock mehr

schon mal geschaut ob der TermServices & die Lizensierung rennt?
updates eingespielt etc?

Frank
Bitte warten ..
Mitglied: emeriks
12.07.2017 um 18:39 Uhr
Lizensierung
Diese ist für einen einfachen Admin-RDP nicht notwendig.
Bitte warten ..
Mitglied: Vision2015
12.07.2017 um 20:56 Uhr
Zitat von emeriks:

Lizensierung
Diese ist für einen einfachen Admin-RDP nicht notwendig.

ist schon klar, ich dachte eher so an lebende User... ich meine einen Live TS

Frank
Bitte warten ..
Mitglied: schmidtj
13.07.2017, aktualisiert um 10:08 Uhr
Vielen Dank für die Unterstützung.

Lizenzierung:
Neben einem Lizenzserver sind eh 2 Lizenzen für eine RDP immer vorhanden. Lizenzen sind nicht ausgereizt!
Habe auch hier schon einen Test gemachte von USER auf DEVICE und auch wieder zurück...

Fehlermeldung beim RDP ist klassische diese
2017-07-13 08_16_25-remotedesktopverbindung - Klicke auf das Bild, um es zu vergrößern

Aber Lauschen auf den Port 3389 ist nicht
2017-07-13 08_17_35-utmuc01 - tightvnc viewer - Klicke auf das Bild, um es zu vergrößern

Auch mit netstat -aon | find ":3389" keine Informationen
2017-07-13 08_24_15-utmuc01aon - Klicke auf das Bild, um es zu vergrößern

Kein AV installiert (zuvor TrendMicro)

@Frank - Ja in die Rente will ich diesen schon gerne schicken, da dort kritische Anwednungen laufen, x86, können daher nicht umgezogen werden! Habe schon mit 2012 R2 versucht, geht nicht!

@Peter - Über die Terminaldienstverwaltung, dem Lizenzgeber, kann ich keine Informationen abrufen. Aller Server werden normal angezeigt, mein besagter Server jedoch mit einem großen gelben ? angezeigt ohne Informationen.
In der Terminalserverlizenzverwaltung werden deutlich weniger Lizenzen verwendet als benötigt - daher auch so kein Lizenzproblem.
Bitte warten ..
Mitglied: Pjordorf
13.07.2017 um 10:43 Uhr
Hallo,

Zitat von schmidtj:
Aber Lauschen auf den Port 3389 ist nicht
Daher auch deine obige Fehlermeldung. Wenn dort keiner lauscht, kann auch nichts verbinden. So Sollte es sein wenn keiner Vebunden ist
und wenn eine Verbindung aufgebaut ist sollte es so aussehen
Auch mit netstat -aon | find ":3389" keine Informationen
Sorry, mit -no nur wenn eine Verbindung besteht, sonst -ano

Über die Terminaldienstverwaltung, dem Lizenzgeber, kann ich keine Informationen abrufen. Aller Server werden normal angezeigt, mein besagter Server jedoch mit einem großen gelben ? angezeigt ohne Informationen.
Dann gehe dem nach warum dein Server sich anderes verhält. Wurde versucht den lauschenden Port umzubiegen? Wurde versucht an RDP etwas zu verändern? Was wurde gemacht bevor es nicht mehr ging? Laut deines tasklist läuft der Dienst ja (PID 2612), aber lauschen tut er nicht oder auf einen anderen unbekannten Port. Nimm mal TCPView von Sysinternals https://technet.microsoft.com/de-de/sysinternals/tcpview.aspx . Du solltest rausbekommen was dort gemacht wurde, von alleine passiert das nicht.

Gruß,
Peter
Bitte warten ..
Mitglied: schmidtj
13.07.2017 um 11:49 Uhr
Hallo Peter,

der Reihe nach

C:\>tasklist /svc /FI "Services eq TermService"

Abbildname PID Dienste
svchost.exe 2612 TermService

TCPView zeigt mir diese PID 2612 nicht an und den Port 3389 (Remoteport) ebenfalls nicht

2017-07-13 11_47_21-utmuc01 -pid - Klicke auf das Bild, um es zu vergrößern

Das finde ich Interessant!

Grüße
Jörg
Bitte warten ..
Mitglied: Pjordorf
13.07.2017, aktualisiert um 16:09 Uhr
Hallo Jörg,

Zitat von schmidtj:
der Reihe nach
Gern

C:\>tasklist /svc /FI "Services eq TermService"
Sagt und zeigt dir ja den SvcHost der als Wrapper dein TermService bereitstellt. Das ist OK und soll so sein. https://en.wikipedia.org/wiki/Svchost.exe

TCPView zeigt mir diese PID 2612 nicht an und den Port 3389 (Remoteport) ebenfalls nicht
Wenn es diese PID im laufenden System gibt, sollte ein TCPView (Sysinternals) dir den Prozess auch anzeigen, Ebenso sollte ein TCPView dir auch abhörende Ports zeigen und auch dessen PID, selbst wenn diese PID 0 ist. Wird weder Der Prozess (PID) noch Port (TCP oder UDP) angezeigt lässt das stark vermuten das dein System etwas anders macht oder gar korrumpiert ist oder sonst noch was. Nicht das jemand warum auch immer da etwas verdrehen/verbiegen/vertuschen will/wollte oder gerne Virus Spielt oder dir dein leben schwer machen will. Normal ist es jedenfalls nicht. Fast bin ich geneigt zu sagen das dein Prozess 2612 nur ein wenig abgestürzt ist Macht keinen Sinn, aber deine Interesannte beobachtung solltest du weiterverfolgen - denn normal ist was anderes. Und einen kontrollierten neustart hat das System ja auch schon hingelegt und vermutlich wirst du die Ereignisprotkolle schon auswendig kennen. Mal eine VM mit einen Server 2003 und dann den TS gestartet, braucht ja dazu kein internet - reicht ne NIC die ins Nirwana zeigt, und braucht auch keinen Lizenzserver um die Funktionalität zu prüfen/vergleichen.
.
Das finde ich Interessant!
Und wenn die Ausgabe von Taskmager /Tasklist) und TCPView vom gleichen System und gleicher Systemzustand/Zeit zeigt, ist es wirklich interessant. Hat vielleicht einer versucht die Ports zu ändern und es ist in die Hose gegangen?

Evtl. mal überlegt Process Monitor oder Process Explorer oder ein Prozess Dump laufen zu lassen denn irgendwo muss ja dein nicht auffindbarer Process oder dessen abhörende Ports ja sein

Gruß,
Peter
Bitte warten ..
Mitglied: schmidtj
14.07.2017 um 07:41 Uhr
Morgen Peter,

ich habe die PID abgeschossen und den TermService neu gestartet.
svchost.exe 2692 TermService TCP 0 LISTENING

Und beim Versuch eine RDP aufzubauen kommt zusätzlich nun
svchost.exe 2692 TermService TCP 63917 ESTABLISHED

Beide empfange und senden Pakete
Jedoch keine Verbindung zum Port 3389. RDP schlägt dann fehlt ins Nirvana!

Zumindet einen Schritt weiter!

Grüße
Jörg
Bitte warten ..
Mitglied: schmidtj
14.07.2017, aktualisiert um 07:58 Uhr
Nachtrag:
C:\>netstat -aon | find ":3389"
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 2692

2017_07_14_07_53_29_windows_2003_leht_remptedektopverbindung_ab_schmidtj_administrator.de - Klicke auf das Bild, um es zu vergrößern

Leht jedoch die Verbinung ohne Dialog ab!
Bitte warten ..
Mitglied: Pjordorf
14.07.2017 um 12:00 Uhr
Hallo,

Zitat von schmidtj:
Und beim Versuch eine RDP aufzubauen kommt zusätzlich nun
svchost.exe 2692 TermService TCP 63917 ESTABLISHED
Bitte erkläre uns wie diese Meldung zusammengesetzt ist und wo die herkommt. Was hat die 63917 zu bedeuten? Ich hab noch keinen kaffee gehabt

Beide empfange und senden Pakete
Hat das jetzt was mit dein 63917 zu tun?

C:\>netstat -aon | find ":3389"
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 2692
Sieht eigentlich schon mal richtig aus.

Leht jedoch die Verbinung ohne Dialog ab!
Nimm ein Wireshark und lass mitschreiben.

Gruß,
Peter
Bitte warten ..
Mitglied: schmidtj
19.07.2017 um 11:39 Uhr
WireShake macht Probleme auf dem W2003.
Suche nach einer Kompatiblen alten Version.
Melde mich dann wieder!
Grüße
Jörg
Bitte warten ..
Mitglied: Pjordorf
19.07.2017 um 19:19 Uhr
Hallo,

Zitat von schmidtj:
WireShake macht Probleme auf dem W2003.
1.12.13 läuft. Nutze selbst nur die Poartablen version(en). ca. 30 MB. Such mal nach WiresharkPortable-1.12.13.paf.exe bei Wireshark https://www.wireshark.org/download/win32/all-versions/ Das einzige was Installiert werden braucht ist die WinPcap.exe dann läuft auch die Portable jederzeit.

Gruß,
Peter
Bitte warten ..
Mitglied: schmidtj
20.07.2017 um 08:30 Uhr
Hallo Peter, besten Dank!
es sind einige Einträge für den Port 3389. Einer war "rot" gekennzeichnet.
2017-07-20 08_23_53-utmuc01 - dst3389 - Klicke auf das Bild, um es zu vergrößern
2017-07-20 08_23_53-utmuc01 - dst3389 - Klicke auf das Bild, um es zu vergrößern
Was will mir das Protokoll sagen?
Danke!
Grüße
Jörg
2017-07-20 08_29_49-utmuc01 - dst3389-all - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Pjordorf
20.07.2017 um 12:34 Uhr
Hallo,

Zitat von schmidtj:
Was will mir das Protokoll sagen?
Bild 1 und 2 sind identisch. Als Zielport wird hier ein 3389 angegeben. Lässt Vermuten das es eine Anfrage an einen TS/RDP Server ist, allerdings da es sich um ein ACK handelt ist es wohl der 3 Way Handshake der ein Verbindung einleiten soll.
Das RST-ACK (Rot) sendet dann der Anfragende Rechner an den Zielrechner und den TS/RDP Zielport um zu resetten. Zeigt das dort keiner auf 3389 horcht. Zeigt auch dein syn - ack - rst, ack - syn - ack ......

Da weitere Informationen zu den Bildern fehlen, alles nur geraten. Du wirst dir schon auch das Umfeld bzw. die MACs und IPs anschauen müssen. Stimmen den die IPs der beiden beteiligten?

https://www.google.de/search?q=3+way+handshake
https://ask.wireshark.org/questions/1652/what-would-cause-rstack
https://www.google.de/search?q=tcp+rst+ack

Gruß,
Peter
Bitte warten ..
Mitglied: schmidtj
20.07.2017, aktualisiert um 15:22 Uhr
Besten Dank für die Beschreibung.
Source: IP vom PC/MAC - ok
Destination: IP Server W2003/MAC - ok

Gegenseitige Abfrage vorhanden

2017-07-20 13_38_14-utmuc01 -rdp-ws - Klicke auf das Bild, um es zu vergrößern

Ereignisanzeige (Security) wird kein Loginversuch angezeigt, also es kommt also nicht zum Loginversuch

2017-07-20 13_52_48-utmuc01 - ack1 - Klicke auf das Bild, um es zu vergrößern
2017-07-20 13_38_14-utmuc01 -rdp-ws - Klicke auf das Bild, um es zu vergrößern
Aus den Links habe ich nur folgendes entnehmen können: Sendet keinen FIN, RST verloren

Die meisten schreiben dies der FW zu oder dem Router zu, beides kann ich jedoch ausschließen.

Zwar bin ich meinen Problem sehr nahe, aber ein Lösungsansatz habe ich nicht gefunden.
Habe keine Erklärung zur Lösung gefunden, nur den technischen Ablauf! Oder nach was soll ich suchen?

Grüße
Jörg
2017-07-20 13_53_25-utmuc01 - ach2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Pjordorf
21.07.2017 um 00:41 Uhr
Hallo,

Zitat von schmidtj:
Source: IP vom PC/MAC - ok
Destination: IP Server W2003/MAC - ok
Da du ja jetzt hinreichend Dokumentiert hast das am TS/RDP Server nichts auf Port 3389 lauschen tut, du weiterhin der der unbestrittener Meinung bist das der TS Dienst zwingend auf Port 3389 Eingestellt bzw. wenn dann dort Lauschen soll, solltest du dran gehen und schauen warum er das dann nicht tut. Und ja, kann auch die Kokale Firewall deines Server 2003 sein oder sonst ein Stück Software was da querliegt oder gar nicht dort hingehört. Wenn nichts auf Port 3389 lauscht - wird auch kein Handshake zustande kommen bzw. du bekommst keine Antwort - wie bei dir. Es ist natürlich von hier aus zu sagen was denn bei dir evtl. noch zu beachten gilt oder was evtl. dort querläuft oder oder oder. Da sollte mal jemand mit dir drücber schauen was denn dort auf dein TS/RDP so los ist. Da kannst du uns hier im Forum fragen z.B. bei mich oder auch andere hier. Deine Entscheidung. Eine PM muss von dir ausgehen.

Ereignisanzeige (Security) wird kein Loginversuch angezeigt, also es kommt also nicht zum Loginversuch
Nein, weil es eben nicht zu einen Verbindungsaufbau (TCP/IP) kommt, kann auch somit kein Loginversuch stattfinden und somit auch nichts Protokolliert werden.

Aus den Links habe ich nur folgendes entnehmen können: Sendet keinen FIN, RST verloren
Du bekommst ja auch keine Antwort (egal welche Art) von der Ziel IP zurück. Dein Client versucht immer wieder und gibt dann auf...

Die meisten schreiben dies der FW zu oder dem Router zu, beides kann ich jedoch ausschließen.
Nun, zumindest kommt die Anfrage ja an dein Ziel Rechner (TS/RDP Server) ja an. Der Antwortet halt nur nicht. Da kannst du tatsächlich die Client Firewall und Router ausschließen. Die Server Firewall auch denn du hast ja die Wireshark Mitschnitte direkt auf den Server gemacht, also müssen die Pakete an der NIC ankommen und somit die Server 2003 Firewall stellt sich nicht quer.

Zwar bin ich meinen Problem sehr nahe, aber ein Lösungsansatz habe ich nicht gefunden.
Nahe dran, glaube ich weniger

Habe keine Erklärung zur Lösung gefunden, nur den technischen Ablauf! Oder nach was soll ich suchen?
Nun warum auch immer Antwortet bzw. Lauscht am diesem Gerät nichts auf Port 3389. Warum - das gilt es jetzt heraus zu finden. Angefangen von einer kaputten .EXE oder defekte DLL oder falsche Reg Einträge darfst du dir das passende aussuchen

Wie viele NICS hat denn dein Server 2003 dort?
ISA 200X am laufen?
Datensicherung des TS/RDS verhanden? Vielleicht der schnellere Weg jetzt.

Gruß,
Peter
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server26 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

LAN, WAN, Wireless
Spanning Tree Probleme
gelöst predator66FrageLAN, WAN, Wireless12 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server10 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

E-Mail
Ticketsystem mit mailflow
CraftdorFrageE-Mail8 Kommentare

Hallo, Ich bin auf der Suche nach einem Ticketsystem das am besten Freeware ist und einfach nur eine Ankommende ...

Netzwerkgrundlagen
PfSense Virtuele IP mit NAT auf eine IP im VLAN90 zum VLAN30
OIOOIOOIOIIOOOIIOIIOIOOOFrageNetzwerkgrundlagen8 Kommentare

Guten Tag, ich stehe hier mit einer neuen Herausforderung. Hab ein Internetradio, welches jedoch nur mit eine App gesteuert ...

Ähnliche Inhalte
Windows Server
Firebird-Server Windows 2003
gelöst supertuxFrageWindows Server5 Kommentare

Hallo, jadie Zeiten von Server 2003 sind längst vorbei und man sollte ihn nicht mehr einsetzen, nur habe ich ...

Windows Server

Migration Windows SBS 2003 nach Windows Server 2016

gelöst MiMuellerFrageWindows Server7 Kommentare

Hallo in die Runde der Admins, ich betreue in einem mittelständigen Unternehmen seit vielen Jahren einen Windows Server SBS ...

Windows Server

Suche Windows Server 2003 Enterprise ISO

gelöst Herbrich19FrageWindows Server8 Kommentare

Hallo, Ich brauche dringend die ISO von Windows Server 2003 (am besten mit SP2 drinnen). Wollte gerade meinen Server ...

Windows Server

Windows 2003 SBS User Profile Verschieben

gelöst MultiStormFrageWindows Server2 Kommentare

Hallo, ich habe aktuell noch einen alten SBS Server am laufen, auf diesem liegen per Netzwerk Freigabe die UserProfile, ...

Server

Client bei Windows Server 2003 ändern

gelöst TherealcookieFrageServer5 Kommentare

Hallo! Ich komm gleich zur Problemstellung: Mein Vater hat in seinem kleinen Unternehmen einen Server installiert. Vor ungefähr einem ...

Windows Server

Windows 2003 Domäne durch 2016er ersetzen

CenionFrageWindows Server3 Kommentare

Hallo, bei uns ist aktuell ein Windows Server 2003 R2 (Primär) und ein 2008 als DC (Backup) im Einsatz. ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT