Termdd ошибка 56 windows 2008 r2
Обновлено: 03.07.2024
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Всем стабильности и капельку термопасты в этот неоднозначный, мать его, вторник!
Извините, но я снова про Шиндоус спросить..
Поднял на W2008R2 SP1 сервер удаленных рабочих столов. В целом полет нормальный. Подключаются клиенты под доменными учетками с недоменных ОС WinXP и Win7. Но один клиент на Win7 сервер периодически выкидывает (не часто), ругаясь в системном журнале ошибками:
- TermDD 56 "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 172.16.122.10."
- TermDD 50 "Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента"
После чего клиента не пускает даже после ввода правильного пароля учетки в RDP-клиенте. Помогает создание учетки в диспетчере учетных данных заново. Безопасность на RDP-сервере выставлена по минимуму. Эти же ошибки есть и по другим подключающимся клиентам, большинство из которых WinXP, но в XP эта проблема встречается реже (хотя и клиентов на XP 95%) и решается проще - ввел пароль в RDP-клиенте заново и всё.
Копать в сторону антивируса (точнее его отсутствия) на локальных ПК
антивирус стирает сохраненную учетку? это что-то новенькое..
>>Но один клиент на Win7 сервер периодически выкидывает (не часто), ругаясь в системном журнале ошибками:
-
>>Помогает создание учетки в диспетчере учетных данных заново
-
сдается мне, стирает УЗ не антивирус.
а что тогда? там TS RemoteApp запиливает свой RDP-файл, который на WinXP хранит пароль как-то иначе чем на Win7. Я пока только это понял.
у меня такие сессии как-то пытался перехватить троян. что вызывало отлуп подключения. обновил базы, убил трояна - все прошло.
некоторые антивирусы имеют функционал срубать коннекшны от не нравящихся им клиентов с разными забавными эффектами.
так что первый вопрос - наличие на сервере антивируса с функцией файрвола
на сервере стоит серверный ESET File Security, но там вроде как только защита доступа в интернет, и та выключена
Пользователь не может зайти в терминальную сессию.
Ошибка такая: Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент.IP-адрес клиента: 192.168.ХХ.ХХ.
Источник: TermDD
Код события: 56
Когда открываешь на сервере свойства пользователя, оказывается стоит блокировка, снимаешь - юзер заходит.
Пробовал дать на серваке пользователю права админа - помогло первый раз.
Поменял уровень безопасности в свойствах RDP на сервере с Согласование на SSL - ничего.
Уровень шифрования стоит - совместимый с клиентом.
Диагностика лицензирования ошибок не даёт.
Режим лицензирования - на устройство.
Всё было нормально до того как Windows пользователя не обновилась с 7 до 10, после отката обратно до 7ки появилась такая беда.
В инете пишут про версию RDP-клиента, типа если старая то надо обновлять, но у нас на других машинах с 7кой всё норм.
| Конфигурация компьютера | |
| Процессор: Intel Core i7-3770K | |
| Материнская плата: ASUS P8Z77-V LE PLUS | |
| Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб) | |
| HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб | |
| Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS | |
| Звук: Realtek ALC889 HD Audio | |
| Блок питания: be quiet! Straight Power 11 650W | |
| CD/DVD: ASUS DRW-24B5ST | |
| Монитор: ASUS VG248QE 24" | |
| ОС: Windows 8.1 Pro x64 | |
| Индекс производительности Windows: 8,1 | |
| Прочее: корпус: Fractal Design Define R4 |
Elevy, чтобы сузить круг поиска, для начала можно выяснить код ошибки по статье
The Curious Case of Event ID: 56 with Source TermDD
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
| Конфигурация компьютера | |
| Процессор: i5 2320 | |
| Материнская плата: Asrock H77 Pro4/MVP | |
| Память: 2x4GB DDR3 | |
| Видеокарта: GTX 960 | |
| Блок питания: Chieftec APS-650C | |
| Монитор: Dell U2312HM | |
| ОС: Windows 10 pro |
| В инете пишут про версию RDP-клиента, типа если старая то надо обновлять, но у нас на других машинах с 7кой всё норм. » |
Указанная в теме ошибка с id 56 у меня тоже периодически проскакивает, правда я так и не понял почему, ни одной жалобы от пользователей по поводу доступа к терминалке нет, так что возможно и в этом случае она с проблемой доступа никак не связана. Charg, на проблемной машине версия RDP 6.3, на моей 6.1, на сервере 6.1.
Charg, как понизить версию RDP-клиента на проблемной машине до 6.1? (не нашёл в инете)
Думаю когда будут одинаковые версии такого не будет, а сейчас старая версия не может распознать новую и отключает.
За 2020 год из пары десятков тысяч посетителей, набралось всего пару десятков перечислений от 50 до 300 рублей.
Пустяк в денежном выражении, но большая ценность для автора. Посмотрим что год грядущий нам готовит ))
Сумма абсолютно не важна - главное участие.
На терминальных серверах постоянно стали появляться необъяснимые события. Ошибка 50, источник TermDD, компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента (The RDP protocol component X.224 detected an error in the protocol stream and has disconnected the client.).
Никаких данных, позволяющих идентифицировать клиента в событии нет. И, что интересно, никто из пользователей не жалуется на проблемы с подключением или прерывания сеансов.
Форумы:
Поиск решений в Интернет
Дополнительно задумался, отсортировал по времени - оказывается события возникают круглосуточно. Опросил пользователей - работают максимум до 22:00. Кроме того события возникают также на HyperV сервере куда кроме меня никто подключаться не должен и тоже случайным образом в течении суток.
Выслеживаем с MS Network Monitor
Решил попробовать выследить IP с которых производятся попытки подключений. Установил Network Monitor от Microsoft - замечательная вещь уже не раз выручавшая меня в тупиковых ситуациях. Поставил фильтр на захватываемые пакеты TCP.DstPort == 3389 и оставил на ночь.
Поутру просмотрел улов. C 11 IP адресов создавались TCP сессии на 3389 и сразу сбрасывались без передачи каких-либо данных.
А с двумя IP (109.228.6.126 и 46.163.106.199) было интереснее. Создается TCP сессия и посылается пакет X244 Connection request с именем пользователя из одной буквы a или g. Время посылки этих пакетов совпадает с временем генерации событий на сервере.
Пакет выглядит вот так:
Здесь видно, что клиент сразу переходит к аутентификации с именем пользователя g. Не пытается использовать Network Level Authentication и не договаривается с сервером об используемом протоколе безопасности.
Собственно проблема ясна, кто-то зачем-то пытается подсоединиться к серверу, без учета что он настроен на использование NLA и TLS 1.0 Сервер его естественно отрубает и генерит событие.
Что делать
Нужно ли что-то делать в данной ситуации? Вроде бы нет, сервер сам отрубает неправильные попытки подключений. На всякий случай на firewall заблокировал входящий трафик с вычисленных IP. Пока помогло - события по ошибке не появляются.
Что это было? Тоже не совсем понятно. Похоже на попытку вычисления RDP серверов с низким уровнем безопасности.
Небольшая деталь: после получения отказа от сервера известные мне RDP клиенты завершают TCP сессию посылая серверу пакет с флагом FIN. В отловленном примере, клиент после сброса соединения сервером никаких пакетов больше не шлет:
Этот момент говорит, что скорее всего используется самописанное ПО.
NCRACK
Наловил еще кучу IP с которых производится сканирование:
87.251.172.232
176.53.17.228
112.123.170.3
188.130.251.14
188.212.152.102
79.175.153.90
96.241.201.15
85.10.52.102
218.62.10.215
173.9.114.153
80.93.220.79
210.74.159.213
122.226.56.145
187.66.189.50
212.105.73.250
187.141.53.102
94.56.143.169
Использовались имена пользователей: admin, Administrator, micros, NCRACK_USER
Последнее подсказывает, что сканирование производится с помощью сканера сетевой безопасности NCRACK
Если они будут создавать
Если они будут создавать некторую ощутимую нагрузку? Как их отсечь правильно?
на сетевом оборудовании
То что из внешней сети приходят нежелательные пакеты - сетевая проблема и правильно решать ее на уровне сетевого оборудования
Как правильно? Зависит от возможностей оборудования.
УдаленнымРабочимСтолом,
УдаленнымРабочимСтолом, хотелось бы пользоваться. Мне видилось решение что, как -то этакие запросы, отлавливать и добавлять в правило фаервола. Типо банить по айпи на 15 минут. Потом убирать. Или это не выход?
сложно и неэффективно
Я еще раз отмечу, что данную проблему надо решать на уровне сетевого оборудования.
Например, сервер наружу не публиковать, а реализовать доступ во внутреннюю сеть с помощью VPN.
Можно конечно сделать и "пятиминутное решение" - задать нестандартный порт для RDP и периодически его менять. Стандартные сканеры не сканируют весь диапазон портов на предмет наличия на них RDP.
Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17.
(здесь IP реальный, но один из)
Событие 50, TermDD
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента
Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
На всех серверах глядит в интернет RDP.
Что же это такое?
Очевидно, что это кто-то цепляется на Ваш RDP, что-то пытается сделать и соскакивает.
Сервер его отрубает и генерит событие. Что и должен делать.
Общие обсуждения
Доброго времени суток.
Все ответы
Драйвер сетевой карты обновил первым делом.
Знаю точно что в этом сервере глючит PCI RAID контроллер, но данная проблема думаю не из за него, так как связи не вижу.
Please click the Mark as Answer button if a post solves your problem!
Please click the Mark as Answer button if a post solves your problem!
Please click the Mark as Answer button if a post solves your problem!
Этот сервер не терминальный и перемещаемых профилей нет 🙁
Проблема со входом была не только у меня, но и у других пользователей, сейчас всех пускает.
Так и не понял что это было.
провел небольшое расследование по ошибке
код ошибки получается 80090330
описание такое SEC_E_DECRYPT_FAILURE
попробуйте сохранить подключение в файл и внести такое изменение и отпишитесь о результатах
Всем привет.
Подниму старую тему.
Похожая ошибка, но проблема с одним клиентом windows XP (А лог с 2008 R2 сервера).
Соседеняя машинка XP без CredSSP отлично работает в режиме Negotiate (Согласование)
Проблемная никуда не может, пока не выставишь принудительно на сервере RDP Security Layer (Уровень безопасности RDP)
Без CredSSP будто сервера нет в сети
После включения CredSSP стала просить позвать Администратора Терминала
Код ошибки 0x80090326
TLS or SSL alert Schannel error code
SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE
10 0x80090326
Name: System
Source: TermDD
Date: 24.05.2013 10:20:38
Event ID: 56
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: vserver8.impet. local
Description:
The Terminal Server security layer detected an error in the protocol stream and has disconnected the
client. Client IP: xxxxxxxx.
Event Xml:
;
56
2
0
0x80000000000000
2967
System
xxxxxxxx
Общие обсуждения
Конфигурация сервера : Win 2008 x64 EE TS (Rus)
В журналах событий есть такие ошибки:
Имя журнала: System
Источник: TermDD
Дата: 16.08.2011 10:32:34
Код события: 50
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TS5
Описание:
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента
Имя журнала: System
Источник: TermDD
Дата: 16.08.2011 10:32:34
Код события: 56
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TS5
Имя журнала: System
Источник: Microsoft-Windows-DistributedCOM
Дата: 16.08.2011 11:14:05
Код события: 10010
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TS5
по eventid. net не нашел решения, т. к. кому-то помогло это, но на сервер не нашел :
I was receiving this event when I would attempt to remote desktop into another Vista machine on a local network. The initial remote desktop attempt would fail, and this event ID would be logged. The second remote desktop attempt always worked. In my case, I was also getting EventID 4356 from source EventSystem.
To solve it, I found the corresponding CLSID mentioned in the event, opened the mmc, added Component Services, browsed for the event and then set the “Configuration Permissions” to “Default” instead on “Customize”. This solved the remote desktop connection issue and these events were no longer logged. Instructions and more details can be found by following the link “Windows Vista remote desktop disconnects first attempt, allows second”
Последнее обновление: 04/12/2021 [Время на прочтение:
Разработка Microsoft® Windows® Operating System компанией Microsoft послужила толчком для создания последней версии файла termdd. sys. Он также известен как файл Remote Desktop Server Driver (расширение SYS), который классифицируется как файл Win64 DLL (Драйвер).
Первый выпуск файла termdd. sys на платформе Windows Vista состоялся 11/08/2006 для Windows Vista. Самая последняя версия [версия 6.1.7601.17514 (win7sp1_rtm.101119-1850)] была представлена 07/22/2009 для Windows 7. Файл termdd. sys входит в состав Windows 7, Windows Vista и Windows XP.
В этой короткой статье приводятся подробные сведения о файле, шаги по устранению проблем SYS с termdd. sys и список бесплатных загрузок для каждой версии, содержащейся в нашем полном каталоге файлов.
Совместимость с Windows 10, 8, 7, Vista, XP и 2000
Средняя оценка пользователей
Обзор файла
| Сведения о разработчике и ПО | |
|---|---|
| Разработчик ПО: | Microsoft Corporation |
| Программа: | Microsoft® Windows® Operating System |
| Авторское право: | © Microsoft Corporation. All rights reserved. |
| Сведения о файле | |
|---|---|
| Набор символов: | Unicode |
| Код языка: | English (U. S.) |
| Флаги файлов: | (none) |
| Маска флагов файлов: | 0x003f |
| Точка входа: | 0x105e0 |
| Размер кода: | 45568 |
| Информация о файле | Описание |
|---|---|
| Размер файла: | 62 kB |
| Дата и время изменения файла: | 2010:11:21 03:24:15+00:00 |
| Дата и время изменения индексного дескриптора файлов: | 2017:11:05 07:07:16+00:00 |
| Тип файла: | Win64 DLL |
| Тип MIME: | application/octet-stream |
| Тип компьютера: | AMD AMD64 |
| Метка времени: | 2010:11:20 11:03:40+00:00 |
| Тип PE: | PE32+ |
| Версия компоновщика: | 9.0 |
| Размер кода: | 45568 |
| Размер инициализированных данных: | 10752 |
| Размер неинициализированных данных: | 0 |
| Точка входа: | 0x105e0 |
| Версия ОС: | 6.1 |
| Версия образа: | 6.1 |
| Версия подсистемы: | 6.1 |
| Подсистема: | Native |
| Номер версии файла: | 6.1.7601.17514 |
| Номер версии продукта: | 6.1.7601.17514 |
| Маска флагов файлов: | 0x003f |
| Флаги файлов: | (none) |
| Файловая ОС: | Windows NT 32-bit |
| Тип объектного файла: | Driver |
| Подтип файла: | 7 |
| Код языка: | English (U. S.) |
| Набор символов: | Unicode |
| Наименование компании: | Microsoft Corporation |
| Описание файла: | Remote Desktop Server Driver |
| Версия файла: | 6.1.7601.17514 (win7sp1_rtm.101119-1850) |
| Внутреннее имя: | termdd. sys |
| Авторское право: | © Microsoft Corporation. All rights reserved. |
| Оригинальное имя файла: | termdd. sys |
| Название продукта: | Microsoft® Windows® Operating System |
| Версия продукта: | 6.1.7601.17514 |
✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.
Termdd. sys — ошибки «синего экрана» (BSOD)
Существует ряд причин, по которым вы можете столкнуться с проблемами с termdd. sys. Большинство проблем с файлами SYS связаны с ошибками «синего экрана» (BSOD). Эти типы ошибок termdd. sys могут быть вызваны аппаратными проблемами, устаревшей прошивкой, поврежденными драйверами или другими проблемами, связанными с программным обеспечением (например, обновление Windows). В число этих ошибок входят:
- Не удается найти termdd. sys.
- Не удалось загрузить termdd. sys.
- Файл termdd. sys отсутствует или поврежден.
- Windows не удалось запустить — termdd. sys.
Обнаружена проблема, в результате которой ОС Windows завершила работу, чтобы предотвратить повреждение компьютера. По всей видимости, причиной проблемы стал следующий файл: termdd. sys.
На вашем ПК возникла проблема, которую не удалось устранить, и его необходимо перезагрузить. Сведения об ошибке можно найти в Интернете: [BSOD] (termdd. sys).
STOP 0x0000001E: KMODE EXCEPTION NOT HANDLED (termdd. sys)
STOP 0x0000000A: IRQL NOT LESS EQUAL (termdd. sys)
STOP 0×0000007A: KERNEL DATA INPAGE (termdd. sys)
STOP 0x0000007E: SYSTEM THREAD EXCEPTION NOT HANDLED (termdd. sys)
STOP 0x00000050: PAGE FAULT IN A NONPAGED AREA (termdd. sys)
STOP 0x0000003B: SYSTEM SERVICE EXCEPTION (termdd. sys)
Крайне важно устранять ошибки «синего экрана»
В большинстве случаев ошибки BSOD termdd. sys возникают после установки нового оборудования, программного обеспечения (Windows) или выполнения неудачного обновления Windows. В остальных случаях к ошибке «синего экрана» termdd. sys может привести повреждение программного обеспечения, вызванное заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
СОВЕТ ОТ СПЕЦИАЛИСТА: Как показывает опыт, целесообразно всегда создавать резервную копию системы Windows и (или) точку восстановления системы, прежде чем вносить какие-либо изменения в аппаратное или программное обеспечение на компьютере. Таким образом, в случае неблагоприятного поворота событий и возникновения связанной с файлом termdd. sys ошибки «синего экрана» после недавних изменений можно восстановить систему в предыдущее состояние.
Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.
Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):
Если на этапе 1 не удается устранить ошибку termdd. sys, перейдите к шагу 2 ниже.
Шаг 2. Запустите средство проверки системных файлов (System File Checker), чтобы восстановить поврежденный или отсутствующий файл termdd. sys.
Средство проверки системных файлов (System File Checker) — это утилита, входящая в состав каждой версии Windows, которая позволяет искать и восстанавливать поврежденные системные файлы. Воспользуйтесь средством SFC для исправления отсутствующих или поврежденных файлов termdd. sys (Windows XP, Vista, 7, 8 и 10):
Следует понимать, что это сканирование может занять некоторое время, поэтому необходимо терпеливо отнестись к процессу его выполнения.
Если на этапе 2 также не удается устранить ошибку termdd. sys, перейдите к шагу 3 ниже.
Шаг 3. Выполните обновление Windows.
Если эти шаги не принесут результата: скачайте и замените файл termdd. sys (внимание: для опытных пользователей)
Если ни один из предыдущих трех шагов по устранению неполадок не разрешил проблему, можно попробовать более агрессивный подход (примечание: не рекомендуется пользователям ПК начального уровня), загрузив и заменив соответствующую версию файла termdd. sys. Мы храним полную базу данных файлов termdd. sys со 100%-ной гарантией отсутствия вредоносного программного обеспечения для любой применимой версии Windows . Чтобы загрузить и правильно заменить файл, выполните следующие действия:
Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 7.
Читайте также: