locked
Problemas com TS (Logon/Logoff) RRS feed

  • Pergunta

  • Pessoal,

    To com um problema que não acho mais explicação lógica (embora acredite que ela exista) para um problema muito estranho.

    Rodo uma VM em ambiente Hyper-V com Windows Server 2008 R2 e que se encontra no domínio aqui da empresa. Logo uma conta nessa vm e nela apenas rodo uma aplicação via Internet Explorer que mostra estatísticas de um contact center.

    Inexplicavelmente, a conexão com o TS cai, mas não faz logoff... como a configuração para reconectar automaticamente está setada, cai e volta na mesma sessão com a aplicação aberta.

    Tenho monitorado o event viewer para decifrar qual é o processo que derruba a conexão e o mais estranho de tudo é que toda vez que cai, aparecem 3 eventos:

    - Logon - ID4648
    - Logon - ID4624
    - Logoff - ID4634

    Já entendi que o logon/logoff ele faz porque devido a já existir uma conta logada com o mesmo ID que ele tenta conectar (no evento id4634 - This event is generated when a logon session is destroyed. It may be positively correlated with a logon event using the Logon ID value. Logon IDs are only unique between reboots on the same computer) mas não consigo encontrar o processo que faz acontecer um novo logon

    Segue o log do evento 4648

    A logon was attempted using explicit credentials.
    Subject: Security ID: SYSTEM

    Account Name:  NOMEDAVM$

    Account Domain:  DOMINIO

    Logon ID: 0x3e7

    Logon GUID: {00000000-0000-0000-0000-000000000000}

    Account Whose Credentials Were Used:

    Account Name:  nomedacontanaAD

    Account Domain:  DOMINIO

    Logon GUID: {1df8b3b3-46f8-a41c-ce66-07108b27aa69}

    Target Server:

    Target Server Name: localhost

    Additional Information: localhost

    Process Information:

    Process ID: 0xf6c

    Process Name: C:\Windows\System32\winlogon.exe

    Network Information:

    Network Address: ENDERECOIP

    Port:   PORTA

    This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials.  This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

    E o log do evento 4628

    An account was successfully logged on.

    Subject:

    Security ID: SYSTEM

    Account Name:  NOMEDAVM

    Account Domain:  DOMINIO

    Logon ID: 0x3e7

    Logon Type: 10

    New Logon:

    Security ID:  DOMINIO\NOMEDACONTANAAD

    Account Domain:  DOMINIO

    Logon ID: 0x11fdd44f

    Logon GUID: {1df8b3b3-46f8-a41c-ce66-07108b27aa69}

    Process Information:

    Process ID: 0xf6c

    Process Name: C:\Windows\System32\winlogon.exe

    Network Information:

    Workstation Name: NOMEDAVM

    Source Network Address: ENDERECOIP

    Source Port:  PORTA

    Detailed Authentication Information:

    Logon Process: User32

    Authentication Package: Negotiate

    Transited Services: -

    Package Name (NTLM only): -

    Key Length: 0

    This event is generated when a logon session is created. It is generated on the computer that was accessed.
    The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

    The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

    The New Logon fields indicate the account for whom t

    he new logon was created, i.e. the account that was logged on.

    The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

    The authentication information fields provide detailed information about this specific logon request.

    - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.

    - Transited services indicate which intermediate services have participated in this logon request.

    - Package name indicates which sub-protocol was used among the NTLM protocols.

    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

    Já verifiquei se não existia alguma tarefa agendada que pudesse ocasionar isso mas não localizei nada, monitorei a conta e vi que ela ficava Idle mas nenhum processo derrubava e não existe uma constante no tempo de queda. Li alguns artigos que falam sobre o motivo de alguém acessar a máquina localmente mas tudo isso já está isolado, é só a conta logada e mais nada nem ninguém. Alguém tem alguma luz para o problema? Obrigado!!
    segunda-feira, 26 de março de 2012 16:19

Respostas

  • Boa Tarde;

    No momento só me vem duas opções na mente:

    1 - Alguem esta logando com o mesmo usuário em outro equipamento de "roubando" a sessão.

    2 - Esta setado no usuário ou no protocolo-RDP um tempo para desconectar por inatividade.

    Espero ter ajudado, qualquer coisa poste novamente;

    Abraços;

    René Pinheiro.

    • Sugerido como Resposta Klebinhu Ramos terça-feira, 27 de março de 2012 01:43
    • Marcado como Resposta Gustavo R Valle quinta-feira, 24 de janeiro de 2013 11:55
    segunda-feira, 26 de março de 2012 17:22

Todas as Respostas

  • Boa Tarde;

    No momento só me vem duas opções na mente:

    1 - Alguem esta logando com o mesmo usuário em outro equipamento de "roubando" a sessão.

    2 - Esta setado no usuário ou no protocolo-RDP um tempo para desconectar por inatividade.

    Espero ter ajudado, qualquer coisa poste novamente;

    Abraços;

    René Pinheiro.

    • Sugerido como Resposta Klebinhu Ramos terça-feira, 27 de março de 2012 01:43
    • Marcado como Resposta Gustavo R Valle quinta-feira, 24 de janeiro de 2013 11:55
    segunda-feira, 26 de março de 2012 17:22
  • Obrigado pela ajuda René.

    Também fiquei com essa idéia mas não consegui achar nada que estivesse setado diretamente ao usuário ou desconexão por inatividade.
    Continua tudo na mesma... obrigado mesmo assim!

    Abs
    Andre

    terça-feira, 27 de março de 2012 16:51
  • Obrigado pela ajuda René.

    Também fiquei com essa idéia mas não consegui achar nada que estivesse setado diretamente ao usuário ou desconexão por inatividade.
    Continua tudo na mesma... obrigado mesmo assim!

    Abs
    Andre

    Chegou a verificar se não tem outra pessoa logando com o mesmo usuário?

    Abraços;

    René Pinheiro.

    terça-feira, 27 de março de 2012 17:50
  • Tive uma outra idéia do que pode estar acontecendo. você carrega alguma aplicação automaticamente na sessão do usuário do TS??

    No aguardo

    René Pinheiro.

    terça-feira, 27 de março de 2012 17:56
  • A hipótese de ser outro usuário já eliminei, senha alterada e o problema persistiu.
    Loguei na máquina com um usuário local para evitar qualquer hipotese de ser algo setado via GPO mas continua o problema.

    Tá difícil... :)

    terça-feira, 27 de março de 2012 20:53
  • Tive uma outra idéia do que pode estar acontecendo. você carrega alguma aplicação automaticamente na sessão do usuário do TS??

    No aguardo

    René Pinheiro.

    Esta carregando alguma??

    Abraços;

    René Pinheiro.

    quarta-feira, 28 de março de 2012 12:39
  • Tive uma outra idéia do que pode estar acontecendo. você carrega alguma aplicação automaticamente na sessão do usuário do TS??

    No aguardo

    René Pinheiro.

    Esta carregando alguma??

    Abraços;

    René Pinheiro.

    O único carregamento que existia era de anti-virus mas já tinha desabilitado antes de presseguir com os testes e continua tudo igual.
    Abs

    quarta-feira, 28 de março de 2012 15:44
  • Durante a madrugada observei os seguintes eventos:

    CREDENTIAL VALIDATION

    The computer attempted to validate the credentials for an account.
    Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Logon Account: NOMEDACONTA
    Source Workstation: NOMEDAVM
    Error Code: 0x0

    LOGON

    A logon was attempted using explicit credentials.

    Subject:
     Security ID:  SYSTEM
     Account Name:  NOMEDAVM$
     Account Domain:  DOMINIO
     Logon ID:  0x3e7
     Logon GUID:  {00000000-0000-0000-0000-000000000000}

    Account Whose Credentials Were Used:
     Account Name:  NOMEDACONTA
     Account Domain:  NOMEDAVM
     Logon GUID:  {00000000-0000-0000-0000-000000000000}

    Target Server:
     Target Server Name: localhost
     Additional Information: localhost

    Process Information:
     Process ID:  0x11c0
     Process Name:  C:\Windows\System32\winlogon.exe

    Network Information:
     Network Address: ENDERECOIP
     Port:   PORTA

    This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials.  This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

    LOGON

    An account was successfully logged on.

    Subject:
     Security ID:  SYSTEM
     Account Name:  NOMEDAVM$
     Account Domain:  DOMINIO
     Logon ID:  0x3e7

    Logon Type:   10

    New Logon:
     Security ID:  NOMEDAVM\nomedaconta
     Account Name:  nomedaconta
     Account Domain:  nomedavm
     Logon ID:  0x16a89b13
     Logon GUID:  {00000000-0000-0000-0000-000000000000}

    Process Information:
     Process ID:  0x11c0
     Process Name:  C:\Windows\System32\winlogon.exe

    Network Information:
     Workstation Name: nomedavm
     Source Network Address: enderecoip
     Source Port:  porta

    Detailed Authentication Information:
     Logon Process:  User32
     Authentication Package: Negotiate
     Transited Services: -
     Package Name (NTLM only): -
     Key Length:  0

    This event is generated when a logon session is created. It is generated on the computer that was accessed.

    The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

    The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

    The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

    The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

    The authentication information fields provide detailed information about this specific logon request.
     - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
     - Transited services indicate which intermediate services have participated in this logon request.
     - Package name indicates which sub-protocol was used among the NTLM protocols.
     - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

    LOGOFF

    An account was logged off.

    Subject:
     Security ID:  NOMEDAVM\nomedaconta
     Account Name:  nomedaconta
     Account Domain:  NOMEDAVM
     Logon ID:  0x16a89b13

    Logon Type:   10

    This event is generated when a logon session is destroyed. It may be positively correlated with a logon event using the Logon ID value. Logon IDs are only unique between reboots on the same computer.

    São exatamente estes eventos que ocorrem quando existe a queda na conexão com a TS.

    sexta-feira, 30 de março de 2012 11:56
  • Existe alguma VPN na sua rede?
    sexta-feira, 30 de março de 2012 21:45
  • Existe alguma VPN na sua rede?
    Sim
    segunda-feira, 2 de abril de 2012 20:21