Как разобраться с прекратившим работать Win 2008 R2 RDP?

Question

[Georgy Goshin]

Добрый день
Столкнулся сегодня, 21.11.2022 числа с проблемой. Клиенты не могут подключаться у RDP на Windows 2008 R2. Стали жаловаться сегодня, может началось несколько раньше, точно сказать не могу. Причем происходит это так, что сервер может спросить логин с паролем, а после этого выдать ответ, что сервер недоступен.

Windows server 2008 R2 SP1

Клиенты главным образом на Windows 10.

По аналогии с Exchange на 2008 R2, от которого клиенты отвалились с месяц назад, я подумал, что дело связано с SSL и добавил в нужное место TLS 1.2\Client и TLS 1.2\Server (DisabledByDefault and Enabled), но ни фига не помогло. Сервер работает, лицензии есть, ошибок в логах не показывает. После перезагрузки сервера может даже получиться 1 или 2 пользователям зайти, и после этого ни эти же самые, ни другие не могут. Не понимая особо, просто методом тыка поставил mRemoteNT client, тот соединился, показал на секунду рабочий стол сервера, отвалился и больше не соединяется с сообщением, что сервер недоступен. Ошибок, опять же, в Event Log / System нет. Подскажите пожалуйста, как с этим разбираться?

Comments

[TheBigBear]

В журнале событий кроме System есть еще куча журналов приложений и служб
есть ли записи в таких журналах как
TerminalServices-RemoteConnectionManager
TerminalServices-LocalSessionManager
TerminalServices-ClientActiveXCore

Возможно ли подключиться к серверу консольно (в RDP /admin)?

[Роман Безруков]

Ноябрьские обновления ставились на сервер и на клиенты?

[Дмитрий Шумов]

А если вот эту "галочку" отключить? Соединения происходят?

[Georgy Goshin]

Роман Безруков, так это 2008 R2, там нет обновлений давно уже.

[Georgy Goshin]

Дело было в какой-то вялой DOS атаке. всего несколько сотен соединений в минуту давало такой эффект вот.

Answer 1

[Georgy Goshin]

Дело было в какой-то вялой DOS атаке. всего несколько сотен соединений в минуту давало такой эффект вот.

Comments

[Georgy Goshin]

Удалить тему, что бы она не сбивала с толку или оставить?

[Константин]

Georgy Goshin, имхо, пусть будет, она будет еще одним нелишним подтверждением того, что rdp надо не выставлять наружу, а прятать за впн, т.к. даже смена дефолтного порта 3389 на другой не спасает от брутфорса.

[Georgy Goshin]

Константин, согласен. Но это, как бывает, решение "сейчас так запустим, а через пару дней научим всех пользоваться VPN". Бывают админы, которые этого не допускают, я ими восхищаюсь.

[Константин]

Georgy Goshin, очень даже понимаю, сам такой :(

[TheBigBear]

Georgy Goshin, бывают ситуации когда нет возможности поднять всем сразу VPN (проходил во время пандемии)
Ну или учредитель-самодур, который хочет заходить со своего айфона и не хочет ставить на нем еще и VPN
Помогает банальный "белый список" айпишников (или сетей), с которых сотрудники заходят

[Alexey Dmitriev]

Причина то не в вялой атаке, а в админе, выпустившем EOL 2008R2 в интернет по RDP. Он в любой момент может просто у вас зашифроваться вирусом через потенциальную новую уязвимость какую-то и все.

[fpir]

TheBigBear, а вы где взяли айпишник учредителя-самодура? тут скорее политика на 3 неудачных логина как-то помогает, но тоже такая себе помощь.

[TheBigBear]

fpir, Вначале весь диапазон билайна загнал в белый список
а потом отсюда
Ну и банальный icmp port knocking для домашних пользователей