Сервер терминалов на windows server 2008 r2 не пускает пользователя

Обновлено: 07.07.2024

В этой статье вы сможете понять наиболее распространенные параметры, влияющие на создание сеанса служб терминалов в корпоративной среде.

Применяется к: Windows Server 2003
Исходный номер КБ: 2477023

Terminal Server

Терминал Server — это сервер, на котором Windows программ или полный рабочий Windows для клиентов терминалов. Пользователи могут подключаться к терминалу Server для запуска программ, сохранения файлов и использования сетевых ресурсов на этом сервере. Пользователи могут получить доступ к серверу терминала из корпоративной сети или из Интернета.

Удаленные подключения для административных целей

Службы терминалов поддерживают два одновременно удаленных подключения к компьютеру. Для этих подключений не требуются лицензии клиентского доступа к службам терминалов (TS CALs).

Чтобы разрешить более двух административных подключений или нескольких подключений пользователей, необходимо установить роль Служб терминала и иметь соответствующие TS CALs.

Устранение неполадок при создании сеанса служб терминала

В следующих разделах описываются проблемы, с которыми вы можете столкнуться, и предоставляют решения.

Количество пользователей, которые могут подключаться одновременно к сеансу служб терминала, может быть ограничено.

Ограниченное число подключений RDP может быть связано с неправильной групповой политикой или свойствами RDP-Tcp в конфигурации служб терминала. По умолчанию подключение настроено, чтобы разрешить неограниченное количество сеансов для подключения к серверу. При попытке сделать удаленное подключение к рабочему столу (RDC) вы получите следующую ошибку:

Отключен удаленный рабочий стол.
Этот компьютер не может подключаться к удаленному компьютеру.
Попробуйте подключиться снова. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или сетевому администратору.

Проверка включения удаленного рабочего стола

  1. Запустите средство System. Чтобы запустить средство System, нажмите кнопку Значок системы панели управления и > > нажмите кнопку ОК.
  2. Щелкните вкладку Remote. В удаленном рабочем столе нажмите кнопку Включить удаленный рабочий стол на этом компьютере.

Проверка политики ограничения числа подключений служб терминалов

  1. Запустите оснастку групповой политики, откройте местную политику безопасности или соответствующую групповую политику
  2. Перейдите к расположению: локальные административные шаблоны конфигурации компьютеров компьютерной политики Windows компоненты Службы терминала ограничивают > > > > количество подключений.
  3. Щелкните Разрешено.
  4. В разрешенной поле TS Maximum Connections введите максимальное количество подключений, которые вы хотите разрешить, а затем нажмите кнопку ОК.

Проверка свойств служб терминалов RDP-Tcp и настройка с помощью конфигурации служб терминалов

Проверка прав терминала ServicesLogon и настройка группы пользователей удаленных настольных компьютеров

Группа пользователей удаленных настольных компьютеров на сервере терминала используется для того, чтобы предоставить пользователям и группам разрешение на удаленное подключение к серверу терминала.

Можно добавить пользователей и группы в группу удаленных пользователей настольных компьютеров следующим образом:

  • Привязка локальных пользователей и групп
  • На вкладке Remote в диалоговом окне System Properties на хост-сервере сеанса RD
  • Активные пользователи каталогов и компьютеры, если хост-сервер сеанса RD установлен на контроллере домена

Вы можете использовать следующую процедуру для добавления пользователей и групп в группу удаленных пользователей настольных компьютеров с помощью вкладки Remote в диалоговом окне System Properties на сервере терминала.

Членство в локальной группе администраторов или эквивалентное число на сервере терминала, который планируется настроить, является минимальным, необходимым для выполнения этой процедуры.

Добавление пользователей и групп в группу удаленных пользователей настольных компьютеров с помощью вкладки Remote

  1. Запустите средство System. Чтобы запустить средство System, нажмите кнопку Значок системы панели управления и > > нажмите кнопку ОК.
  2. В диалоговом окне System Properties на вкладке Remote щелкните Выберите удаленных пользователей. Добавьте пользователей или группы, которые должны подключиться к серверу терминала. Пользователи и группы, которые вы добавляете, добавляются в группу удаленных пользователей настольных компьютеров.

Если вы не выберите Разрешить пользователям удаленно подключаться к этому компьютеру на вкладке Remote, никакие пользователи не смогут подключаться удаленно к этому компьютеру, даже если они являются членами группы пользователей удаленных настольных компьютеров.

Добавление пользователей и групп в группу удаленных пользователей настольных компьютеров с помощью привязки локальных пользователей и групп

  • Вы не можете подключиться к компьютеру, который спит или спит, поэтому убедитесь, что параметры сна и спячки на удаленном компьютере настроены на Never. (Hibernation доступен не на всех компьютерах.) Сведения о внесении этих изменений см. в публикации Change, create or delete a power plan (scheme).
  • Члены локальной группы администраторов могут подключаться, даже если они не указаны.

Может возникнуть конфликт с назначением порта

Эта проблема может указывать на то, что другое приложение на сервере терминала использует тот же порт TCP, что и протокол удаленного рабочего стола (RDP). Порт по умолчанию, присвоенный RDP, — 3389.

Чтобы устранить эту проблему, определите, какое приложение использует тот же порт, что и RDP. Если назначение порта для этого приложения невозможно изменить, измените порт, присвоенный RDP, изменив реестр. После редактирования реестра необходимо перезапустить службу служб терминалов. После перезапуска службы терминалов необходимо подтвердить правильность изменения порта RDP.

Доступность прослушиватель терминала Server

Компонент слушателя работает на сервере терминала и отвечает за прослушивание и принятие новых клиентских подключений к удаленному настольному протоколу (RDP), что позволяет пользователям создавать новые удаленные сеансы на сервере терминала. Существует прослушиватель для каждого подключения служб терминала, которое существует на сервере терминала. Подключения можно создавать и настраивать с помощью средства конфигурации служб терминала.

Для выполнения этих задач обратитесь к следующим разделам.

Определите, какое приложение использует тот же порт, что и RDP

Вы можете запустить средство netstat, чтобы определить, используется ли порт 3389 (или назначенный порт RDP) другим приложением на сервере терминала.

  1. На сервере терминала нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd, а затем нажмите кнопку ОК.
  2. В командной подсказке введите и netstat -a -o нажмите кнопку ENTER.
  3. Иском запись для порта TCP 3389 (или назначенного порта RDP) со статусом Listening. Это указывает на то, что другое приложение использует этот порт. Код PID (Идентификатор процесса) процесса или службы, использующий этот порт, отображается в столбце PID.

Чтобы определить, какое приложение использует порт 3389 (или назначен порт RDP), воспользуйтесь средством командной строки списка задач вместе с данными PID из средства netstat.

  1. На сервере терминала нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd, а затем нажмите кнопку ОК.
  2. Введите tasklist /svc и нажмите кнопку ENTER.
  3. Найди запись для номера PID, связанного с портом (из вывода netstat). Службы или процессы, связанные с этим PID, будут отображаться справа.

Изменение порта, назначенного RDP

Необходимо определить, может ли это приложение использовать другой порт. Если вы не можете изменить порт приложения, вам придется изменить порт, присвоенный RDP.

Корпорация Майкрософт не рекомендует изменять порт, присвоенный RDP.

Если необходимо изменить порт, назначенный RDP, необходимо изменить реестр.

Для выполнения этой процедуры необходимо иметь членство в локальной группе администраторов или делегировать соответствующие полномочия.

Чтобы изменить порт, присвоенный RDP, выполните следующие действия:

Неправильные действия при изменении реестра могут серьезно повредить систему. Перед внесением изменений в реестр необходимо создать личные данные.

На сервере терминала откройте редактор реестра. Чтобы открыть редактор реестра, нажмите кнопку Пуск, выберите Выполнить. , введите regedit и нажмите кнопку ОК.

Найдите и откройте следующий подраздел реестра:

RDP-TCP — это имя подключения по умолчанию. Чтобы изменить порт для определенного подключения на сервере терминала, выберите подключение под ключом WinStations.

Подтверждение изменения порта RDP

Чтобы подтвердить, что назначение порта RDP изменено, используйте средство netstat.

  1. На сервере терминала нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd, а затем нажмите кнопку ОК.
  2. В командной подсказке введите netstat -a кнопку ENTER.
  3. Найми запись для номера порта, назначенного RDP. Порт должен отображаться в списке и иметь статус Listening.

Удаленное подключение к настольному компьютеру и веб-клиент терминала Server по умолчанию используют порт 3389 для подключения к серверу терминала. При изменении порта RDP на сервере терминала потребуется изменить порт, используемый удаленным подключением к рабочему столу и веб-клиентом терминала Server.

Убедитесь, что прослушиватель на сервере терминала работает правильно

RDP-TCP — это имя подключения по умолчанию, а 3389 — порт RDP по умолчанию. Используйте имя подключения и номер порта, определенные конфигурации терминала Server.

Метод 1. Использование клиента RDP, например удаленного подключения к рабочему столу, для создания удаленного подключения к серверу терминала.

Метод 2. Используйте средство qwinsta для просмотра состояния прослушиватель на сервере терминала.

  1. На сервере терминала нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd, а затем нажмите кнопку ОК.
  2. В командной подсказке введите qwinsta и нажмите кнопку ENTER.
  3. Состояние сеанса RDP-TCP должно быть Listen.

Метод 3. Используйте средство netstat для просмотра состояния прослушиватель на сервере терминала.

  1. На сервере терминала нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd, а затем нажмите кнопку ОК.
  2. В командной подсказке введите netstat -a кнопку ENTER.
  3. Запись для порта TCP 3389 должна быть "Прослушивание".

Метод 4. Используйте средство telnet для подключения к порту RDP на терминале сервера.

  1. С другого компьютера нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd, а затем нажмите кнопку ОК.
  2. В командной подсказке введите имя терминала Server и нажмите telnet <servername> 3389 <servername> кнопку ENTER.

Если telnet успешно, вы получите экран telnet и курсор.

Если telnet не успешно, вы получите эту ошибку:

Подключение к имени сервера. Не удалось открыть подключение к хосту в порту 3389: Подключение не удалось

Средства qwinsta, netstat и telnet также включены в Windows XP. Вы также можете скачать и использовать другие средства устранения неполадок, такие как Portqry.

Возможно, у вас неправильно настроены параметры проверки подлинности и шифрования

Настройка проверки подлинности и шифрования с помощью конфигурации служб терминала

В административных средствах откройте конфигурацию служб терминала.

В дереве консоли нажмите кнопку Подключения.

В области Подробные сведения щелкните правой кнопкой мыши подключение, необходимое для изменения, а затем нажмите свойства.

На вкладке General в уровне Безопасности выберите метод безопасности. Выбранный метод безопасности определяет проверку подлинности терминала для клиента и уровень шифрования, который можно использовать. Можно выбрать из этих методов безопасности:

Метод Negotiate использует TLS 1.0 для проверки подлинности сервера, если TLS поддерживается. Если TLS не поддерживается, сервер не является проверкой подлинности.

Метод уровня безопасности RDP использует шифрование удаленного протокола рабочего стола для обеспечения связи между клиентом и сервером. Если вы выберете этот параметр, сервер не будет проверкой подлинности.

Метод SSL требует использования TLS 1.0 для проверки подлинности сервера. Если TLS не поддерживается, подключение сбой. Этот метод доступен только при выборе допустимого сертификата, как описано в шаге 6.

Если вы выбираете Согласование или SSL, чтобы TLS функционировал правильно, необходимо также установить уровень шифрования до высокого или включить шифрование fiPS, совместимое с использованием групповой политики или конфигурации серверов терминалов. Необходимо также удовлетворены дополнительные требования к конфигурации сервера и клиента. Дополнительные сведения о требованиях и задачах для настройки терминала Server для поддержки проверки подлинности TLS см. в дополнительных сведениях о настройке проверки подлинности и шифрования.

На уровне шифрования щелкните нужный уровень. Вы можете выбрать Low, Client Compatible, High или FIPS Compliant. Дополнительные сведения об этих уровнях см. в разделе Заметки в конце этой темы.

Чтобы использовать TLS 1.0 для проверки подлинности сервера, в сертификате нажмите кнопку Просмотр, нажмите кнопку Выберите сертификат, а затем нажмите сертификат, который вы хотите использовать. Сертификат должен быть сертификатом X.509 с соответствующим закрытым ключом. Инструкции по проверке того, есть ли у сертификата соответствующий закрытый ключ, см. в заметках в конце этой темы.

Чтобы указать, что клиенты войдите на сервер терминала, введя учетные данные в диалоговом окне Windows по умолчанию, выберите стандартный Windows интерфейса.

Невозможно полностью отключить подключение к терминалу Server

После того, как клиент терминала Server потеряет подключение к терминалу, сеанс на сервере терминала может не перейти в отключенное состояние, а может оставаться активным, даже если клиент физически отключен от терминала Сервера. Если клиент возвращается на тот же сервер терминала, может быть установлен новый сеанс, а исходный сеанс может оставаться активным.

Чтобы решить эту проблему, выполните следующие действия:

Службы RDP в настоящее время заняты

При включении функции SNP Windows Server 2003 могут возникнуть следующие проблемы:

Симптомы

Ошибка 800. Невозможно установить подключение.

  • Невозможно создать подключение протокола удаленного рабочего стола (RDP) к серверу.
  • Невозможно подключиться к акциям на сервере с компьютера в локальной сети.
  • Нельзя присоединять клиентский компьютер к домену.
  • Невозможно подключиться к серверу Exchange с компьютера, на который работает Microsoft Outlook.
  • Неактивные Outlook подключения к серверу Exchange не могут быть очищены.
  • Вы испытываете медленную производительность сети.
  • При общении с компьютером на Windows Vista может возникнуть низкая производительность сети.
  • Вы не можете создать исходяние подключения FTP с сервера.
  • Сбой службы сервера динамического протокола конфигурации хостов (DHCP).
  • При входе в домен вы испытываете низкую производительность.
  • Клиенты сетевого перевода адресов (NAT), расположенные за Windows сервера малого бизнеса 2003 или службы интернет-безопасности и ускорения (ISA) Server, испытывают перебои с подключением.
  • Вы испытываете периодические сбои в связи с RPC.
  • Сервер перестает отвечать.
  • Сервер работает с низкой памятью неоплаченного пула

Может возникнуть коррупция сертификата

Из-за ошибки безопасности клиент не смог подключиться к серверу терминала. После входа в сеть попробуйте снова подключиться к серверу.

Удаленный рабочий стол отключен. Из-за ошибки безопасности клиент не мог подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Чтобы устранить эту проблему, повторите работу и удалите ключи реестра сертификатов X509, перезапустите компьютер, а затем активируете сервер лицензирования терминальных служб. Для этого выполните указанные ниже действия.

Выполните следующую процедуру на каждом из серверов терминала.

Убедитесь, что реестр терминала Server был успешно отлажнен.

Откройте редактор реестра.

Найдите и откройте следующий подраздел реестра:

В меню реестра щелкните Файл реестра экспорта.

Введите экспортные параметры в поле имя файла, а затем нажмите кнопку Сохранить.

Если в будущем необходимо восстановить этот файл реестра, дважды щелкните файл Exported-parameters.reg, сохраненный на этом шаге.

В подки "Параметры реестра" щелкните правой кнопкой мыши каждое из следующих значений, щелкните Удалить, а затем нажмите кнопку Да, чтобы подтвердить удаление:

  • Сертификат
  • Сертификат X509
  • Удостоверение сертификата X509

Выйти из редактора реестра и перезапустить сервер.

Активировать сервер лицензирования терминальных служб с помощью метода телефонного подключения в мастере лицензирования.

Ссылки

1. Системное время верное, как на домене.
2. Не пускает как пользователем так и админом с доменной учеткой. Авторизоваться локальным пользователем получается.
3. Пробовал выписать из домена и вписать.

Как разрешить подобный случай. Ошибка проходила после перезапуска компа, но возникала после нескольких часов работы повторно. И так уже 3 раза на дню перезапускаю :-(

(1) mhtechno, сервер терминалов сертификаты раздает? клиентская машина какая ОС?

Войдите в систему с помощью учетной записи локального администратора. В окне средства «Сеть» панели управления нажмите кнопку «Изменить» и введите имя рабочей группы, покинув домен. Перезагрузите компьютер с помощью учетной записи локального администратора.

Заново присоединить компьютер к домену можно двумя методами:
Присоединитесь к домену с клиента, если можете предоставить имя пользователя и пароль администратора для домена.

-или-
Удалите существующую учетную запись компьютера в диспетчере серверов, заново создайте учетную запись, синхронизируйте домен, а затем присоединитесь к домену с клиента.

Разные Windows 7, XP sp3

(3) userrxx,
Попробовал проделать, пока полет нормальный.

Таже проблемма, уже не знаю что делать.
Клиентская машина winxp
удаленная win2008.
уже все испробывал, помагите. В свойствах подключения служб терминала попробуйте убрать подключение с версией рабочего стола. Там есть такой чекбокс. должно пройти попробуйте убрать подключение с версией рабочего стола

У меня стоит "Разрешать подключения от компьютеров с любой версией удаленного рабочего стола"

Только что выпала вообще другая ошибка:

"База данных диспетчера учетных записей на сервере не содержит записи для регистра компьютера через доверительные отношения с этой рабочей станции."

Уже третий день то одни то другие грабли.

Есть подозрение: я неделю назад поставил Акронис, до это (порядка 8 месяцев) все работало стабильно. Ошибки стали возникать последние три дня. Акронис снимал бэкап инкерементно каждые два часа. Сейчас переправил только на 3 раза в сутки.
Может быть в этом проблема?

Сам порт не прослушивается, результат команды "netstat -ano | findstr 3389" пустой.

Брандмауэр выключен, так же были добавлены правила на разрешение. Антивируса нет.
Пробовал заменять ветку реестра с другого сервера: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\
Параметр PortNumber равен 3389.

В чём может быть проблема? Что я ещё забыл проверить?

__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь


Ошибка: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту."
Сабж: не запускаются большинство приложений, нет возможности совершать действия, требующие.

Ошибка при загрузке Windows XP SP3 "Отказано в доступе к указаному устройству пути или файлу"
При загрузке Windows XP SP3 было выведено окно &quot;Отказано в доступе к указаному устройству пути или.

Машина в домене ? Если нет, у пользователей, группа - Пользователи удаленного рабочего стола - есть? Машина в домене ? Если нет, у пользователей, группа - Пользователи удаленного рабочего стола - есть? Это и есть домен контроллер на наём и поднят сервер терминалов. Непосредственно с этого домен контроллера не получается зайти на самого себя. Не говоря уже о пользовательских рабочих местах. Ну а в локальных группе удаленного рабочего стола добавлены пользователи домена ? Ну а в локальных группе удаленного рабочего стола добавлены пользователи домена ?

По нормальному так не делают как Вы. Отдельной виртуальной по хорошему, но как я понимаю, у Вас машина не поддерживает виртуализацию ?


Локальный админ тоже не может зайти? Какая WS?

Да, согласен так не делают. Но делал не я и теперь мне нужно восстановить работоспособность сервера. Виртуализацию возможно поддерживает, но система стоит на железном сервере. Быть может проблема с лицензированием или ключами? Не знаю как проверить.

Посмотрите в диспетчере серверов, что там пишет по лицензированию.

А если посмотреть в eventvwr.msc логи, что там пишет ?

Установка завершена успешно с ошибками.

И соответственно служба лицензирования не запускается:

2. Порт RDP 3389 так у меня и не прослушивается. Не могу понять в чём причина. Служба "Службы терминалов" (TermService) запущена, ошибок в логах не вижу. Даже локально telnet 127.0.0.1 3389 показывает что порт закрыт.

3. Почему когда запущена "Служба терминалов" (TermService) не возможен локальный вход в систему - Отказано в доступе. Под любой учётной запись. Т.е. перезагружаю сервер, локально нажимаю CTRL-ALT-DEL ввожу Любую учётную запись и получаю - "Отказано в доступе". Удаленно подключаюсь к консоли выполняю "net stop TermService" и появляется возможность локального входа.

Полагаю у всех этим проблем единый корень зла. Быть может что то в политиках домена, но конкретно пока не разберусь.

Терминальная ферма

Описание проблемы с временным профиле

Службе "Служба профилей пользователя" не удалось войти в систему. Невозможно загрузить профиль пользователя.

служба профилей пользователя невозможно загрузить профиль пользователя

Как происходит формирование профиля на терминальном сервере

Прежде, чем мы начнем решать ошибку с невозможностью загрузить профиль пользователя windows, я бы хотел напомнить схему, как работает подключение к терминальной ферме Windows Server 2012 R2-16.

Схема подключения к RDS ферме

Далее пользователь начинает проходить авторизацию на узле сеансов (RDSH), это сервер на котором установлены все приложения для пользователя. Если пользователь заходит первый раз на данный хост, то ему создается его профиль, если он перемещаемый, то начинается его загрузка по сети. В любом случае пользовательский профиль, первый раз создается из профиля по умолчанию (Дефолтового) к которому потом добавляются дополнительные настройки текущего пользователя. Данный профиль лежит в папке C:\Users\Default. Проблемы с его повреждением, давали в Windows 7, ошибку "Служба профилей пользователей препятствует входу в систему"

Профиль пользователя по умолчанию - это профиль шаблона для всех созданных пользователей. Всякий раз, когда вы создаете новый профиль пользователя, профиль создается на основе профиля пользователя по умолчанию. Думаю, вы освежили в памяти алгоритм работы RDS фермы. Из всего этого вытекает термин:

Временный профиль - это профиль, который назначается пользователю по ряду причин связанных с настройкой и работой операционной системой, сетью и многими другими факторами, наличие временного профиля говорит, о том, что пользователь не видит своего привычного окружение, настроек, данных и не может полноценно работать.

Профиль по умолчанию в Windows

Анализ логов при временном профиле

Симптомы ошибки:

  • Создается дополнительная папка профиля пользователя. К имени этой папки добавляется имя домена NetBIOS или трехзначный суффикс. Например, имя папки - Username.ROOT или Username.000.
  • Если у пользователя есть перемещаемый профиль, некоторые приложения, использующие пути «Папки оболочки» в реестре, перестают отвечать. Кроме того, когда пользователь выходит из компьютера, изменения в данных приложения, которые хранятся в профиле пользователя, не перемещаются в базу данных домена.

Когда вы откроете журналы событий, то вы можете обнаружить вот такие события в журнале "Приложение":

Предупреждение с кодом ID 1509

Предупреждение с кодом ID 1534: Слишком много ошибок при копировании профиля. Для получения более подробных сведений просмотрите предыдущие события. Windows не будет записывать в журнал никаких дополнительных ошибок копирования для этого процесса копирования.

Предупреждение с кодом ID 1534

Ошибка ID 1533, источник User Profile Service: Не удается удалить папку профилей C:\Users\Boy. Возможная причина - файлы этой папки используются другой программой. ПОДРОБНО - Папка не пуста.

Ошибка ID 1533

Ошибка с кодом ID 1511, источник User Profile Service: Windows не удалось найти локальный профиль пользователя, вход в систему выполнен с временным профилем. Любые изменения профиля будут потеряны при выходе.

Ошибка с кодом ID 1511

Более детально, что происходит на терминальном сервере в момент входа пользователя, можно проследить в журнале Microsoft-Windows-User Profile Service/Operational. При входе на терминальный стол формируется событие с кодом ID 1: Получено уведомление о входе пользователя для сеанса 151. Тут сразу можно увидеть нужный ID пользователя, чтобы потом найти его процессы и PID.

событие с кодом ID 1

Далее идет событие с кодом ID 64: Отношение к основному компьютеру не было проверено для этого компьютера и этого пользователя. Причина: running as a terminal server farm.

событие с кодом ID 64


Далее начинается попытка синхронизации перемещаемого профиля в событии ID 6.

событии ID 6

Событие с кодом ID 7

Видим, что ему создался временный TEMP профиль, а так же видно его SID:

Событие с кодом ID 5: Файл реестра C:\Users\TEMP.003\ntuser.dat загружен в HKU\S-1-5-21-551888299-3078463796-3314076131-11105.

Событие с кодом ID 5

ну и событие ID 67 нам говорит, что мы вошли с временным профилем: Тип входа: RDS Расположение локального профиля: C:\Users\TEMP.003 Тип профиля: Temporary

Почему невозможно загрузить профиль пользователя

  • Поврежден профиль пользователя, локальный или перемещаемый
  • Глюк антивируса, видел случаи, что когда пользователь пытался попасть на удаленный рабочий стол, в момент авторизации антивирус, производил сканирование, которое вызывало ошибку с загрузкой профиля юзера.
  • Поврежден реестр Windows
  • Проблемы с правами на профиль пользователя по умолчанию

Ниже я опишу подробно, что нужно делать в каждом из описанных выше пунктов.

Небольшое отступление, описанные тут методы, помогут решить проблему, когда пользователю приходится производить вход в систему с временным профилем

Решаем ошибку с загрузкой профиля пользователя

  • Перезагрузка - как бы это банально не звучало, но в большинстве случаев помогает перезагрузка, в случае с обычным компьютером это проблем не вызывает, а вот уже с терминальным сервером, это сложнее, так как на нем работают многие пользователи. Что могу посоветовать, если есть возможность, то закройте новые подключения к нему, а вечером его перезагрузите, а пользователь по возможности пусть поработает за другим хостом RDSH.
  • Если перезагрузка не помогла и юзер при входе видит, что невозможно загрузить профиль пользователя, то пробуем при наличии антивируса отключить его на время и проверить. Если это эффекта не дало, то вам необходимо удалить темповый профиль пользователя и произвести оптимизацию реестра.

Очень часто в виду ошибок реестра Windows, операционная система может создать временный профиль пользователю или создать его с ошибкой, в результате чего, он не сможет залогиниться. Та же проблема может быть и с перемещаемыми профилями. У меня в организации, рабочий стол и папка мои документа у пользователя перемещаются и хранятся на сервере, и я очень часто вижу такую проблему. Я из нее выхожу таким методом.

Захожу на сервер под собой, для этого я подключаюсь к нужной мне ноде RDS фермы. После чего я переименовываю папку с профилем пользователя, добавляю префикс _old. Все данные пользователя в ней сохраняются. После чего пользователь пытается залогиниться на терминальную ферму, и если у него все хорошо, и его профиль успешно создается и загружается, я ему копирую его данные.

почему невозможно загрузить профиль пользователя

Остается один процент, когда простое переименовывание не помогает и службе профилей пользователя все так же не удалось войти в систему и невозможно загрузить профиль пользователя. В таких случаях на самом сервере может сохраниться временный кэш или может быть повреждена учетная запись по умолчанию (C:\Users\Default).

  • Первым делом проверьте наличие в папке пользователей (Users) наличие папок с названием TEMP и, что-то там, по сути это временный профиль, из приведенных выше событий журнала Windows вы можете понять кто в нем работает или же методом из реестра Windows, который я опишу ниже. Посмотрите у него дату создания, в большинстве случаев она будет совпадать с той, когда у пользователя начались проблемы. Теперь просто удаляем эту папку (обязательно проверьте нет ли там нужных файлов, актуально для перемещаемых папок в профиле). Если возникнут проблемы, с удалением и она напишет, что удалить ее не получается, то воспользуйтесь инструкцией по удалению папок и файлов в заблокированном виде. Обратите там на утилиту Unlocker или посмотрите кто блокирует данные файлы, если пользователь с ними работает то просим его выйти из системы , сохранить при необходимости файлы и попытаться удалить папку временного профиля, но это еще не все нужно вычистить ветку реестра ссылающуюся на данный профиль.
Еще раз напоминаю зайти и проверить наличие важных данных в профиле, в моем случае был только ярлык с рабочего стола

Проблема с временным профилем

Чистка реестра при временном профиле

  • Если это не помогло, то вы можете еще попробовать заменить дефолтовый профиль, который располагается в папке C:\Users\Default. Для этого возьмите эту папку с рабочего сервера, той же редакции операционной системы и замените его на сбойный, это должно окончательно решить проблему с невозможностью загрузить профиль пользователя. Если вы знаете еще какие либо методы, то просьба поделиться ими в комментариях.
  • По мимо оптимизации реестра, вам еще необходимо удалить битую ветку, которая и направляет доменного пользователя Active Directory на временный профиль. Откройте редактор реестра и перейдите в раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Тут вы обнаружите список всех профилей имеющихся в системе, но они будут иметь в названии SID номер (Как узнать SID пользователя я уже рассказывал), но если их не много, то вы можете просто пробежаться по каждой из папок и посмотреть в ключе CentralProfile его значение, там вы увидите в случае с перемещаемыми профилями, кому он принадлежит.

Временный профиль в реестре

далее тут два варианта, первый это полное удаление папки пользователя в данном разделе реестра, так советуют и в Microsoft

Перед удалением можете сделать выгрузку его для резервной копии или же можете просто его переименовать как вариант .если боитесь удалять

Удаление ключа реестра при временном профиле

или вариант, что вы можете попробовать в ключе ProfileImagePath прописать правильный путь до профиля пользователя.

Смена пути из временного профиля в реестре ProfileImagePath

Лучше удалять, по свое практике. Правильно делаем выход пользователя с данного сервера. После чего еще раз проверяем, что папка с его временным профилем удалена, если вы ее до этого не удаляли в виду того, что она заблокирована, то сейчас можно сделать. Теперь когда сотрудник зайдет на удаленный рабочий стол, у него будет создан новый профиль и его данные будут перемещены с вашего сервера, если у вас перемещаемые профили. Когда у вас сервер будет в режиме обслуживания пробегитесь по данной ветке реестра и посмотрите все ключи реестра ссылающиеся на временные профили и удалите их, чтобы люди не получали временные профили.

В некоторых случаях, все же приходится перезагрузить терминальный стол после удаления веток реестра

Еще на одном из блогов я нашел совет автора, который рассматривал удаление из ветки реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGUID\SID пользователя, который мы находили выше

Еще бывают ситуации, что в реестре создается дублирующая ветка с именем SID пользователя, но на конце у нее добавляется слово bak, означающее бэкап. В таком случае, можно удалить ветку реестра без слова bak на конце, а вот ветку реестра с bak переименовать, удалим на конце bak, тем самым восстановив нормальную ветку реестра для нужного пользователя.

Временный профиль-4

Проверка файловой системы на повреждения

sfc / scannow после Dism /online /cleanup-image /restorehealth и затем ChkDsk /r

Как видите в моем случае, утилиты смогли найти повреждения и восстановить их.

Восстановление системных файлов Windows

Еще одной из причин была ситуация в Windows Server 2008 R2 или Windows 7: Эта проблема возникает из-за состязания между службой профилей пользователей (Profsvc.dll) и службой поиска Windows (SearchIndexer.exe). Служба профилей пользователей размещается в экземпляре Svchost.exe. Когда применяется параметр групповой политики, служба профилей пользователей выполняет поиск в папке профиля пользователя, чтобы рекурсивно удалить содержимое. Однако служба поиска Windows может попытаться проверить содержимое папки одновременно. Таким образом возникает ситуация взаимоблокировки, и вы сталкиваетесь с проблемами, описанными в разделе «Проблема». Компания Microsoft выпускала обновление, которое создает две записи реестра в следующем разделе реестра:

DeleteRetryWait 1000 Интервал (измеряется в миллисекундах) между попытками удаления папки профиля пользователя в случае неудачного удаления
DeleteRetryAttempts 15 Максимальное количество попыток удаления

На форуме Microsoft я наткнулся на одно обсуждение, где для ремонта профиля предлагалось использовать утилиту Reprofier.

Вот так выглядит интерфейс Reprofier, очень удобно для локальных профилей, которые подвергнулись повреждению.

Reprofier

Дополнительный анализ поврежденных. временных профилей

Еще я вам советую включить отладочный журнал, для поиска проблем с временными профилями на терминальной ферме. Для этого откройте просмотр событий и перейдите в журнал "Microsoft-Windows-User Profile Service/". Нажмите "Вид - Отобразить аналитический и отладочный журналы".

Отобразить аналитический и отладочный журналы


У вас отобразиться новый скрытый журнал "Diagnostiс" тут вы можете отследить дополнительные события, которые смогут вам помочь, например события с кодом ID 1001, 1002, 1003, 1004, 1005 и 1006.

Временный профиль-6

Создание и декодирование трассировки

В случае, если другие шаги вам не сильно помогут; это будет последний шаг, который вы можете сделать. Он включает в себя использование Windows PowerShell для создания и декодирования трассировки.Сначала войдите на компьютер, используя учетную запись администратора.

Затем вам нужно открыть окно PowerShell с повышенными правами перейти в расположение ранее созданной папки, пусть это будет C:\Temp. Введите следующие команды в окне командной строки:

logman create trace -n RUP -o \RUP.etl -ets
logman update RUP -p 0x7FFFFFFF 0x7 -ets

Теперь на компьютер должен зайти пользователь испытывающий проблемы. Убедитесь, что вы НЕ выходите из этой учетной записи. Воспроизведите ту же проблему. После этого снова войдите в систему как локальный администратор. Введите следующие команды в окне командной строки, чтобы сохранить захваченный журнал в файл формата ETL,

Теперь, наконец, чтобы сделать его читабельным, введите следующую команду:

Читайте также: