schmidtj
12.07.2017
view3978
view19
0
Goto Top

Windows 2003 leht Remptedektopverbindung ab

FrageMicrosoftWindows Server
Hallo Kollegen!

Ich habe ein Problem bei dem ich nicht mehr weiter komme!

Es ist die Remotedesktop Verbindung nicht mehr möglich.

Was überprüft wurde:
  • Firewall: Portfreigabe 3389
  • Firewall: Deaktiviert
  • Antivirus: Deinstalliert
  • Arp -A: Kein Port 3389, auch nicht abgehört
  • Registry: Port 3389 vorhanden
  • div. Neustarts

Vom W2003 Server zu anderen RDP-Clients keine Problem!

Wie bekomme ich wieder Zugriff auf diesen Server mittels RDP ohne Neuinstallation?

Wenn jemand hier für Ideen hat, ich bin Ratlos!

Danke Euer
Schmidty
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 343209

Url: https://administrator.de/contentid/343209

Ausgedruckt am: 26.11.2024 um 06:11 Uhr

19 Kommentare
Neuester Kommentar
Goto Top
emeriks
emeriks 12.07.2017 aktualisiert um 16:29:28 Uhr
Goto Top
Hi,
Remotedesktop-Dienst läuft?

E.

Edit.: Äääähmmm ...
Arp -A: Kein Port 3389, auch nicht abgehört
Du meinst sicher "netstat -a"?
schmidtj
schmidtj 12.07.2017 um 16:38:01 Uhr
Goto Top
Ja, MAC.... netstat -a!!! face-smile Thx
Pjordorf
Pjordorf 12.07.2017 aktualisiert um 16:53:01 Uhr
Goto Top
Hallo,

Zitat von @schmidtj:
  • Firewall: Portfreigabe 3389
D.H. da lauscht der RDP Dienst deines Servers?

* Firewall: Deaktiviert
OK

* Antivirus: Deinstalliert
Greift dein uns unbekanntes AV denn in RDP ein?

* Arp -A: Kein Port 3389, auch nicht abgehört
Ich hätte eher ein netstat -no genommen oder gar ein netstat -no|find ":3389". Mal ein Arp -? gemacht?

* Registry: Port 3389 vorhanden
Sollte doch sein, oder? face-smile

* div. Neustarts
Auch geschaut ob der TermServices läuft? Ein Tasklist /svc /FI "Services eq "TermService" sagt es dir ob der läuft. Ein Tasklist /svc /FI " PID eq PIDvondeinnetstat" tuts auch.

Wie bekomme ich wieder Zugriff auf diesen Server mittels RDP ohne Neuinstallation?
Jetzt fragt sich wohl jeder was und welche Fehlermeldung denn dein Client bekommt won dem du versuchst das RDP zu machen? Ebdenso ob denn der RDP Server etwas in seinen Ereignissprotokollen stehen hat wenn du versuchst ein RDP dorthin aufzubauen.

ich bin Ratlos!
Und wir hier erst face-smile

Gruß,
Peter
Vision2015
Vision2015 12.07.2017 um 18:26:54 Uhr
Goto Top
Moin...
Windows 2003... lehnt RDP verbindungen ab... jo, kann ich gut verstehen- das teil gehört in Rente!
wenn ich ein 2003er wär, hätte ich auch kein bock mehr face-smile

schon mal geschaut ob der TermServices & die Lizensierung rennt?
updates eingespielt etc?

Frank
emeriks
emeriks 12.07.2017 um 18:39:20 Uhr
Goto Top
Lizensierung
Diese ist für einen einfachen Admin-RDP nicht notwendig.
Vision2015
Vision2015 12.07.2017 um 20:56:35 Uhr
Goto Top
Zitat von @emeriks:

Lizensierung
Diese ist für einen einfachen Admin-RDP nicht notwendig.

ist schon klar, ich dachte eher so an lebende User... ich meine einen Live TS face-smile

Frank
schmidtj
schmidtj 13.07.2017 aktualisiert um 10:08:42 Uhr
Goto Top
Vielen Dank für die Unterstützung.

Lizenzierung:
Neben einem Lizenzserver sind eh 2 Lizenzen für eine RDP immer vorhanden. Lizenzen sind nicht ausgereizt!
Habe auch hier schon einen Test gemachte von USER auf DEVICE und auch wieder zurück...

Fehlermeldung beim RDP ist klassische diese
2017-07-13 08_16_25-remotedesktopverbindung

Aber Lauschen auf den Port 3389 ist nicht
2017-07-13 08_17_35-utmuc01 - tightvnc viewer

Auch mit netstat -aon | find ":3389" keine Informationen
2017-07-13 08_24_15-utmuc01aon

Kein AV installiert (zuvor TrendMicro)

@Frank - Ja in die Rente will ich diesen schon gerne schicken, da dort kritische Anwednungen laufen, x86, können daher nicht umgezogen werden! Habe schon mit 2012 R2 versucht, geht nicht!

@peter - Über die Terminaldienstverwaltung, dem Lizenzgeber, kann ich keine Informationen abrufen. Aller Server werden normal angezeigt, mein besagter Server jedoch mit einem großen gelben ? angezeigt ohne Informationen.
In der Terminalserverlizenzverwaltung werden deutlich weniger Lizenzen verwendet als benötigt - daher auch so kein Lizenzproblem.
Pjordorf
Pjordorf 13.07.2017 um 10:43:55 Uhr
Goto Top
Hallo,

Zitat von @schmidtj:
Aber Lauschen auf den Port 3389 ist nicht
Daher auch deine obige Fehlermeldung. Wenn dort keiner lauscht, kann auch nichts verbinden. So Sollte es sein wenn keiner Vebunden ist <code type=plainYC:\Dokumente und Einstellungen\xxxxxxx>netstat -aon |find ":3389"
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 3624 und wenn eine Verbindung aufgebaut ist sollte es so aussehen 
C:\Dokumente und Einstellungen\xxxxxxx>netstat -aon |find ":3389"
  TCP    0.0.0.0:3389           0.0.0.0:0              ABHÖREN         3624
  TCP    192.168.5.200:3389     192.168.5.46:54269     HERGESTELLT     3624

C:\Dokumente und Einstellungen\xxxxxxx>tasklist /svc /FI "Services eq TermService"

Abbildname                     PID Dienste
========================= ======== ===========================================
svchost.exe                   3624 TermService
Auch mit netstat -aon | find ":3389" keine Informationen
Sorry, mit -no nur wenn eine Verbindung besteht, sonst -ano

Über die Terminaldienstverwaltung, dem Lizenzgeber, kann ich keine Informationen abrufen. Aller Server werden normal angezeigt, mein besagter Server jedoch mit einem großen gelben ? angezeigt ohne Informationen.
Dann gehe dem nach warum dein Server sich anderes verhält. Wurde versucht den lauschenden Port umzubiegen? Wurde versucht an RDP etwas zu verändern? Was wurde gemacht bevor es nicht mehr ging? Laut deines tasklist läuft der Dienst ja (PID 2612), aber lauschen tut er nicht oder auf einen anderen unbekannten Port. Nimm mal TCPView von Sysinternals https://technet.microsoft.com/de-de/sysinternals/tcpview.aspx . Du solltest rausbekommen was dort gemacht wurde, von alleine passiert das nicht.

Gruß,
Peter
schmidtj
schmidtj 13.07.2017 um 11:49:33 Uhr
Goto Top
Hallo Peter,

der Reihe nach

C:\>tasklist /svc /FI "Services eq TermService"

Abbildname PID Dienste
======== ============
svchost.exe 2612 TermService

TCPView zeigt mir diese PID 2612 nicht an und den Port 3389 (Remoteport) ebenfalls nicht

2017-07-13 11_47_21-utmuc01 -pid

Das finde ich Interessant!

Grüße
Jörg
Pjordorf
Pjordorf 13.07.2017 aktualisiert um 16:09:34 Uhr
Goto Top
Hallo Jörg,

Zitat von @schmidtj:
der Reihe nach
Gern face-smile

C:\>tasklist /svc /FI "Services eq TermService"
Sagt und zeigt dir ja den SvcHost der als Wrapper dein TermService bereitstellt. Das ist OK und soll so sein. https://en.wikipedia.org/wiki/Svchost.exe

TCPView zeigt mir diese PID 2612 nicht an und den Port 3389 (Remoteport) ebenfalls nicht
Wenn es diese PID im laufenden System gibt, sollte ein TCPView (Sysinternals) dir den Prozess auch anzeigen, Ebenso sollte ein TCPView dir auch abhörende Ports zeigen und auch dessen PID, selbst wenn diese PID 0 ist. Wird weder Der Prozess (PID) noch Port (TCP oder UDP) angezeigt lässt das stark vermuten das dein System etwas anders macht oder gar korrumpiert ist oder sonst noch was. Nicht das jemand warum auch immer da etwas verdrehen/verbiegen/vertuschen will/wollte oder gerne Virus Spielt oder dir dein leben schwer machen will. Normal ist es jedenfalls nicht. Fast bin ich geneigt zu sagen das dein Prozess 2612 nur ein wenig abgestürzt ist face-smile Macht keinen Sinn, aber deine Interesannte beobachtung solltest du weiterverfolgen - denn normal ist was anderes. Und einen kontrollierten neustart hat das System ja auch schon hingelegt und vermutlich wirst du die Ereignisprotkolle schon auswendig kennen. Mal eine VM mit einen Server 2003 und dann den TS gestartet, braucht ja dazu kein internet - reicht ne NIC die ins Nirwana zeigt, und braucht auch keinen Lizenzserver um die Funktionalität zu prüfen/vergleichen.
.
Das finde ich Interessant!
Und wenn die Ausgabe von Taskmager /Tasklist) und TCPView vom gleichen System und gleicher Systemzustand/Zeit zeigt, ist es wirklich interessant. Hat vielleicht einer versucht die Ports zu ändern und es ist in die Hose gegangen?

Evtl. mal überlegt Process Monitor oder Process Explorer oder ein Prozess Dump laufen zu lassen denn irgendwo muss ja dein nicht auffindbarer Process oder dessen abhörende Ports ja sein face-smile

Gruß,
Peter
schmidtj
schmidtj 14.07.2017 um 07:41:13 Uhr
Goto Top
Morgen Peter,

ich habe die PID abgeschossen und den TermService neu gestartet.
svchost.exe 2692 TermService TCP 0 LISTENING

Und beim Versuch eine RDP aufzubauen kommt zusätzlich nun
svchost.exe 2692 TermService TCP 63917 ESTABLISHED

Beide empfange und senden Pakete
Jedoch keine Verbindung zum Port 3389. RDP schlägt dann fehlt ins Nirvana!

Zumindet einen Schritt weiter!

Grüße
Jörg
schmidtj
schmidtj 14.07.2017 aktualisiert um 07:58:40 Uhr
Goto Top
Nachtrag:
C:\>netstat -aon | find ":3389"
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 2692

2017_07_14_07_53_29_windows_2003_leht_remptedektopverbindung_ab_schmidtj_administrator.de

Leht jedoch die Verbinung ohne Dialog ab!
Pjordorf
Pjordorf 14.07.2017 um 12:00:00 Uhr
Goto Top
Hallo,

Zitat von @schmidtj:
Und beim Versuch eine RDP aufzubauen kommt zusätzlich nun
svchost.exe 2692 TermService TCP 63917 ESTABLISHED
Bitte erkläre uns wie diese Meldung zusammengesetzt ist und wo die herkommt. Was hat die 63917 zu bedeuten? Ich hab noch keinen kaffee gehabt face-smile

Beide empfange und senden Pakete
Hat das jetzt was mit dein 63917 zu tun?

C:\>netstat -aon | find ":3389"
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 2692
Sieht eigentlich schon mal richtig aus.

Leht jedoch die Verbinung ohne Dialog ab!
Nimm ein Wireshark und lass mitschreiben.

Gruß,
Peter
schmidtj
schmidtj 19.07.2017 um 11:39:58 Uhr
Goto Top
WireShake macht Probleme auf dem W2003.
Suche nach einer Kompatiblen alten Version.
Melde mich dann wieder!
Grüße
Jörg
Pjordorf
Pjordorf 19.07.2017 um 19:19:13 Uhr
Goto Top
Hallo,

Zitat von @schmidtj:
WireShake macht Probleme auf dem W2003.
1.12.13 läuft. Nutze selbst nur die Poartablen version(en). ca. 30 MB. Such mal nach WiresharkPortable-1.12.13.paf.exe bei Wireshark https://www.wireshark.org/download/win32/all-versions/ Das einzige was Installiert werden braucht ist die WinPcap.exe dann läuft auch die Portable jederzeit.

Gruß,
Peter
schmidtj
schmidtj 20.07.2017 um 08:30:46 Uhr
Goto Top
Hallo Peter, besten Dank!
es sind einige Einträge für den Port 3389. Einer war "rot" gekennzeichnet.
2017-07-20 08_23_53-utmuc01 - dst3389
2017-07-20 08_23_53-utmuc01 - dst3389
Was will mir das Protokoll sagen?
Danke!
Grüße
Jörg
2017-07-20 08_29_49-utmuc01 - dst3389-all
Pjordorf
Pjordorf 20.07.2017 um 12:34:30 Uhr
Goto Top
Hallo,

Zitat von @schmidtj:
Was will mir das Protokoll sagen?
Bild 1 und 2 sind identisch. Als Zielport wird hier ein 3389 angegeben. Lässt Vermuten das es eine Anfrage an einen TS/RDP Server ist, allerdings da es sich um ein ACK handelt ist es wohl der 3 Way Handshake der ein Verbindung einleiten soll.
Das RST-ACK (Rot) sendet dann der Anfragende Rechner an den Zielrechner und den TS/RDP Zielport um zu resetten. Zeigt das dort keiner auf 3389 horcht. Zeigt auch dein syn - ack - rst, ack - syn - ack ......

Da weitere Informationen zu den Bildern fehlen, alles nur geraten. Du wirst dir schon auch das Umfeld bzw. die MACs und IPs anschauen müssen. Stimmen den die IPs der beiden beteiligten?

https://www.google.de/search?q=3+way+handshake
https://ask.wireshark.org/questions/1652/what-would-cause-rstack
https://www.google.de/search?q=tcp+rst+ack

Gruß,
Peter
schmidtj
schmidtj 20.07.2017 aktualisiert um 15:22:50 Uhr
Goto Top
Besten Dank für die Beschreibung.
Source: IP vom PC/MAC - ok
Destination: IP Server W2003/MAC - ok

Gegenseitige Abfrage vorhanden

2017-07-20 13_38_14-utmuc01 -rdp-ws

Ereignisanzeige (Security) wird kein Loginversuch angezeigt, also es kommt also nicht zum Loginversuch

2017-07-20 13_52_48-utmuc01 - ack1
2017-07-20 13_38_14-utmuc01 -rdp-ws
Aus den Links habe ich nur folgendes entnehmen können: Sendet keinen FIN, RST verloren

Die meisten schreiben dies der FW zu oder dem Router zu, beides kann ich jedoch ausschließen.

Zwar bin ich meinen Problem sehr nahe, aber ein Lösungsansatz habe ich nicht gefunden.
Habe keine Erklärung zur Lösung gefunden, nur den technischen Ablauf! Oder nach was soll ich suchen?

Grüße
Jörg
2017-07-20 13_53_25-utmuc01 - ach2
Pjordorf
Pjordorf 21.07.2017 um 00:41:02 Uhr
Goto Top
Hallo,

Zitat von @schmidtj:
Source: IP vom PC/MAC - ok
Destination: IP Server W2003/MAC - ok
Da du ja jetzt hinreichend Dokumentiert hast das am TS/RDP Server nichts auf Port 3389 lauschen tut, du weiterhin der der unbestrittener Meinung bist das der TS Dienst zwingend auf Port 3389 Eingestellt bzw. wenn dann dort Lauschen soll, solltest du dran gehen und schauen warum er das dann nicht tut. Und ja, kann auch die Kokale Firewall deines Server 2003 sein oder sonst ein Stück Software was da querliegt oder gar nicht dort hingehört. Wenn nichts auf Port 3389 lauscht - wird auch kein Handshake zustande kommen bzw. du bekommst keine Antwort - wie bei dir. Es ist natürlich von hier aus zu sagen was denn bei dir evtl. noch zu beachten gilt oder was evtl. dort querläuft oder oder oder. Da sollte mal jemand mit dir drücber schauen was denn dort auf dein TS/RDP so los ist. Da kannst du uns hier im Forum fragen z.B. bei mich oder auch andere hier. Deine Entscheidung. Eine PM muss von dir ausgehen.

Ereignisanzeige (Security) wird kein Loginversuch angezeigt, also es kommt also nicht zum Loginversuch
Nein, weil es eben nicht zu einen Verbindungsaufbau (TCP/IP) kommt, kann auch somit kein Loginversuch stattfinden und somit auch nichts Protokolliert werden.

Aus den Links habe ich nur folgendes entnehmen können: Sendet keinen FIN, RST verloren
Du bekommst ja auch keine Antwort (egal welche Art) von der Ziel IP zurück. Dein Client versucht immer wieder und gibt dann auf...

Die meisten schreiben dies der FW zu oder dem Router zu, beides kann ich jedoch ausschließen.
Nun, zumindest kommt die Anfrage ja an dein Ziel Rechner (TS/RDP Server) ja an. Der Antwortet halt nur nicht. Da kannst du tatsächlich die Client Firewall und Router ausschließen. Die Server Firewall auch denn du hast ja die Wireshark Mitschnitte direkt auf den Server gemacht, also müssen die Pakete an der NIC ankommen und somit die Server 2003 Firewall stellt sich nicht quer.

Zwar bin ich meinen Problem sehr nahe, aber ein Lösungsansatz habe ich nicht gefunden.
Nahe dran, glaube ich weniger

Habe keine Erklärung zur Lösung gefunden, nur den technischen Ablauf! Oder nach was soll ich suchen?
Nun warum auch immer Antwortet bzw. Lauscht am diesem Gerät nichts auf Port 3389. Warum - das gilt es jetzt heraus zu finden. Angefangen von einer kaputten .EXE oder defekte DLL oder falsche Reg Einträge darfst du dir das passende aussuchen face-smile

Wie viele NICS hat denn dein Server 2003 dort?
ISA 200X am laufen?
Datensicherung des TS/RDS verhanden? Vielleicht der schnellere Weg jetzt.

Gruß,
Peter
FrageMicrosoftWindows Server
Mehr von schmidtjschmidtjExchange 2010: Gruppe mit "Vollzugriff" herausnnehmen - jedoch Vollzugriff bleibtschmidtj - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare