Termdd event id 56 windows 7

Termdd event id 56 windows 7

Общие обсуждения

Доброго времени суток.

Хочу разобраться в проблеме —

Сервер Windows 2008 SP2 (Без роли терминала) со всеми обновлениями в один прекрасный день (может быть из за обновлений или еще почему) перестал пускать любого пользователя по RDP выдавая сообщение:

«Не удается подключиться к удаленному компьютеру. Повторите попытку подключения. Если проблема повторится, обратитесь к владельцу удаленного компьютера или администратору сети».

В журнале сервера регистрируется ошибка —

Если зайти в оснастку Пуск- Администрирование — Службы терминалов — Конфигурация служб терминалов, выбрать свойства подключения RDP и в разделе «Уровень безопасности» поставить вместо «Согласование», «Уровень безопасности RDP» то людей начинает пускать на сервер.

Интересно почему не работает с режимом «Согласование» .

Все ответы

попробуйте обновить прошивки и драйверы сетевого адаптера Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий

Драйвер сетевой карты обновил первым делом.

Знаю точно что в этом сервере глючит PCI RAID контроллер, но данная проблема думаю не из за него, так как связи не вижу.

если есть перемещаймые профили то глянь. Может твоя беда http://support.microsoft.com/kb/971338/en-us

Please click the Mark as Answer button if a post solves your problem!

Please click the Mark as Answer button if a post solves your problem!

Please click the Mark as Answer button if a post solves your problem!

Этот сервер не терминальный и перемещаемых профилей нет 🙁

Хм.. очень странно, сейчас решил позаниматься проблемой с RDP на этом проблемном сервере.. и о чудо.. все работает с уровнем безопасности «Согласование» причем с сервером ничего не делалось, даже обновления не ставились.

Проблема со входом была не только у меня, но и у других пользователей, сейчас всех пускает.

Так и не понял что это было.

провел небольшое расследование по ошибке

код ошибки получается 80090330

описание такое SEC_E_DECRYPT_FAILURE

попробуйте сохранить подключение в файл и внести такое изменение и отпишитесь о результатах

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий

Всем привет.
Подниму старую тему.
Похожая ошибка, но проблема с одним клиентом windows XP (А лог с 2008 R2 сервера).
Соседеняя машинка XP без CredSSP отлично работает в режиме Negotiate (Согласование)
Проблемная никуда не может, пока не выставишь принудительно на сервере RDP Security Layer (Уровень безопасности RDP)
Без CredSSP будто сервера нет в сети
После включения CredSSP стала просить позвать Администратора Терминала

Код ошибки 0x80090326

TLS or SSL alert Schannel error code

SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE
10 0x80090326

Name: System
Source: TermDD
Date: 24.05.2013 10:20:38
Event ID: 56
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: vserver8.impet.local
Description:
The Terminal Server security layer detected an error in the protocol stream and has disconnected the

client. Client IP: xxxxxxxx.
Event Xml:
;

56
2
0
0x80000000000000

2967
System
xxxxxxxx

\Device\Termdd
xxxxxxxx

Источник

Termdd event id 56 windows 7

Войти

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Windows Server 2008. Ошибки TermDD

Начальные данные такие:
— Есть Windows Server 2008
— Выделенный IP
— Смотрит в интернет своим RDP
— Все обновления установлены.
Журнал системных событий сразу нескольких серверов стал регулярно фиксировать ошибки такого вида:

Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17.
(здесь IP реальный, но один из)

Событие 50, TermDD
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.

На всех серверах глядит в интернет RDP.

Время появления — случайное, периодичность появления случайная.

Интернет советовал поставить заплатки от MS, поменять версию RDP-клиента, подправить реестр и еще всякие штуки.

Что же это такое?
Очевидно, что это кто-то цепляется на Ваш RDP, что-то пытается сделать и соскакивает.
Сервер его отрубает и генерит событие. Что и должен делать.

Что делать?
Можно ничего. Но уменьшить вероятность подбора пароля, увеличив его длину и уменьшив читабельность соответствующим образом. Сервак попал кому-то на заметку или в какие-то базы для сканирования.
Если RDP из интернета убрать нельзя, то лучший вариант — блокировать засветившиеся IP.
Если можно — убрать RDP внутрь. Подключаться сначала в это «внутрь», а оттуда — к RDP.
Можно изменить порт RDP по-умолчанию — на какое-то время это поможет.

Источник

Termdd event id 56 windows 7

The following forum(s) have migrated to Microsoft Q&A: All English Windows Server forums!
Visit Microsoft Q&A to post new questions.

Answered by:

Question

The Terminal Server security layer detected an error in the protocol stream and has disconnected the client.

Has anyone come across this and know what this means? from what I can gather from users at remote sites (hardware VPN) they freeze and then it attempts to reconnect — after a minute it reconnects back to the session. Could this be a license cal issue?

Answers

All replies

The Terminal Server security layer detected an error in the protocol stream and has disconnected the client.

Has anyone come across this and know what this means? from what I can gather from users at remote sites (hardware VPN) they freeze and then it attempts to reconnect — after a minute it reconnects back to the session. Could this be a license cal issue?

I found solution for me, when I could not log on to the server 2008 or windows 7 with Network Level Authentication checked.
On the target computer there were these event logs:

Name: System
Source: TermDD
Date: *theSame*
Event ID: 56
Level: Error
User: N/A
Computer: *
Description:
The Terminal Server security layer detected an error in the protocol stream and has disconnected the client. Client IP: *

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: *theSame*
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: *
Description:
An account failed to log on.

Subject:
Security ID: NULL SID
Account Name: —
Account Domain: —
Logon ID: 0x0

Account For Which Logon Failed:
Security ID: NULL SID
Account Name: *user*
Account Domain: *

Failure Information:
Failure Reason: User not allowed to logon at this computer.
Status: 0xc000006e
Sub Status: 0xc0000070

Process Information:
Caller Process ID: 0x0
Caller Process Name: —

Network Information:
Workstation Name: *client*
Source Network Address: —
Source Port: —

Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: —
Package Name (NTLM only): —
Key Length: 0

My solution: allow this account [*user*] to log on locally on the client computer [*client*]. I used account which haven’t rights to log on to my [*client*] station (change AD property = userWorkstations).

I am getting the same error:

«The Terminal Server security layer detected an error in the protocol stream and has disconnected the client.»

Has anyone gotten a fix for this?

When this happens it kicks off the users and they get a black screen.

Any help would be much appreciated.

You might check this out:

In our case, it’s C00000B5 — STATUS_IO_TIMEOUT — the connection has timed out.

And unlike the previous poster, we don’t have any corresponding failures in the Security log, just an indication of a logoff. In most cases, the IP mentioned is that of the router, not a remote site. Also, many of the times are after midnight, which may suggest sessions timing out and being logged off per RDS timing settings. For now, particularly without being able to tie this to any unusual client behavior, I’m assuming this is normal.

This does NOT apply to SERVER — I have an HP g71 340us LAPTOP — Win 7 Pro Ult 64-bit — same problem, I found a NIC driver from Sept 09 that worked instead of the Jan 2010 driver — if you have the Intel(R) WiFi Link 1000 BGN then this link will get you what you need:

Good Luck and as far as SERVER goes — well try the same — ROLL THE DRIVER BACK!!

This can be resolved by either:

1) Installing the latest remote desktop client, or

2) Changing the remote desktop setting on the target machine to allow connections from computer running any version of Remote Desktop (less secure)

I’m having the same issue. In my case users get a message «Access Denied» when they attemp to login to terminal server. All apps which run from this server loose connectivity. I have to reboot the server to rectify this but happens every day.

Other error showing on the server are CAPI2 Event 512, Group Policy 1054 and 1080.

In my case this terminal server is part of SBS 2011 domain.

Any further comments/ resolution are appreciated.

There is no licensing problem . Check your settings on network cards , any conflict in the settings of the NIC ‘s preventing successful connection .

I got this issue when connecting from a Vista laptop to a 2008 server via SSTP VPN. This is a RDC error and KB 969084 will generally fix this for you (it worked for me although the RDC connection took a while to get itself together).

Getting EventID 56 in the System Event log from TermDD and looking up the last word of the binary data (the error code) via err.exe is key to solving this.

I had the «LSA could not be contacted» error message, and it turned out to be because I’d set a restriction on which computers an account could log on to. Nothing to do with networking or drivers at all.

This can be resolved by either:

1) Installing the latest remote desktop client, or

2) Changing the remote desktop setting on the target machine to allow connections from computer running any version of Remote Desktop (less secure)

I used the post above ( http://blogs .technet.com/b/askperf/archive/2010/03/25/the-curious-case-of-event-id-56-with-source-termdd.aspx) to find that my error was 80090330 — SEC_E_DECRYPT_FAILURE – the data on the wire got corrupted.

I was able to fix the problem by deleting a duplicate Certificate, the following site talks about the problem. http://blog.lmello.com.br/?p=22

When the number varies, figuring this out is a tad more difficult. We also have some Event ID 50’s, which I think are related, but these are our Greatest Hits for Event ID 56:

# for hex 0xc00a0006 / decimal -1073086458 :
STATUS_CTX_CLOSE_PENDING
# A close operation is pending on the Terminal Connection.

# for hex 0xc000020d / decimal -1073741299 :
STATUS_CONNECTION_RESET
# The transport connection has been reset.

# for hex 0xc00000b5 / decimal -1073741643 :
STATUS_IO_TIMEOUT
#
# The specified I/O operation on %hs was not completed before
# the time-out period expired.

# for hex 0xc00a0032 / decimal -1073086414 :
STATUS_RDP_PROTOCOL_ERROR
# The RDP protocol component %2 detected an error in the
# protocol stream and has disconnected the client.

When trying to login on a server with my admin user I received this error. After some troubleshooting I found out that an expired password on my admin user was the reason for this error.

I was having similar problem which was coupled with TermDD event id 56.

Just now, after lot of hardship I could able to resolve mine by editing RDP-Tcp connection under TS Configuration. After changing «Security Layer» to «RDP Security Layer» problem resolved.

Hope this will be of some use to oyu and others

I was having similar problem which was coupled with TermDD event id 56.

Just now, after lot of hardship I could able to resolve mine by editing RDP-Tcp connection under TS Configuration. After changing «Security Layer» to «RDP Security Layer» problem resolved.

Hope this will be of some use to oyu and others

I wonder why «RDP Security Layer» should be necessary, as it eliminates the desirable NLA? I believe this also means that the certificate you have installed isn’t even used any longer, which is too bad. This is not a very good solution at all, I think.

Negotiate: This is the default setting. The most secure layer that is supported by the client will be used. If supported, SSL (TLS 1.0) will be used. If the client does not support SSL (TLS 1.0), the RDP Security Layer will be used.

RDP Security Layer: Communication between the server and the client will use native RDP encryption. If you select RDP Security Layer, you cannot use Network Level Authentication.

@Tom, where did you see reference to the FIPS option being involved? The default is disabled for it already in policy. Are you saying that yours was enabled somehow? Maybe you once used the «FIPS Compliant» encryption level? Also, «Client Compatible» is the default in RDP-Tcp.

@Tom, where did you see reference to the FIPS option being involved? The default is disabled for it already in policy. Are you saying that yours was enabled somehow? Maybe you once used the «FIPS Compliant» encryption level? Also, «Client Compatible» is the default in RDP-Tcp.

Источник