Remove From My Forums

Problemas com TS (Logon/Logoff)

Pergunta
0

Entrar para Votar

Pessoal,

To com um problema que não acho mais explicação lógica (embora acredite que ela exista) para um problema muito estranho.

Rodo uma VM em ambiente Hyper-V com Windows Server 2008 R2 e que se encontra no domínio aqui da empresa. Logo uma conta nessa vm e nela apenas rodo uma aplicação via Internet Explorer que mostra estatísticas de um contact center.

Inexplicavelmente, a conexão com o TS cai, mas não faz logoff... como a configuração para reconectar automaticamente está setada, cai e volta na mesma sessão com a aplicação aberta.

Tenho monitorado o event viewer para decifrar qual é o processo que derruba a conexão e o mais estranho de tudo é que toda vez que cai, aparecem 3 eventos:

- Logon - ID4648
- Logon - ID4624
- Logoff - ID4634

Já entendi que o logon/logoff ele faz porque devido a já existir uma conta logada com o mesmo ID que ele tenta conectar (no evento id4634 - This event is generated when a logon session is destroyed. It may be positively correlated with a logon event using the Logon ID value. Logon IDs are only unique between reboots on the same computer) mas não consigo encontrar o processo que faz acontecer um novo logon

Segue o log do evento 4648

A logon was attempted using explicit credentials.
Subject: Security ID: SYSTEM

Account Name: NOMEDAVM$

Account Domain: DOMINIO

Logon ID: 0x3e7

Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:

Account Name: nomedacontanaAD

Account Domain: DOMINIO

Logon GUID: {1df8b3b3-46f8-a41c-ce66-07108b27aa69}

Target Server:

Target Server Name: localhost

Additional Information: localhost

Process Information:

Process ID: 0xf6c

Process Name: C:\Windows\System32\winlogon.exe

Network Information:

Network Address: ENDERECOIP

Port: PORTA

This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

E o log do evento 4628

An account was successfully logged on.

Subject:

Security ID: SYSTEM

Account Name: NOMEDAVM

Account Domain: DOMINIO

Logon ID: 0x3e7

Logon Type: 10

New Logon:

Security ID: DOMINIO\NOMEDACONTANAAD

Account Domain: DOMINIO

Logon ID: 0x11fdd44f

Logon GUID: {1df8b3b3-46f8-a41c-ce66-07108b27aa69}

Process Information:

Process ID: 0xf6c

Process Name: C:\Windows\System32\winlogon.exe

Network Information:

Workstation Name: NOMEDAVM

Source Network Address: ENDERECOIP

Source Port: PORTA

Detailed Authentication Information:

Logon Process: User32

Authentication Package: Negotiate

Transited Services: -

Package Name (NTLM only): -

Key Length: 0

This event is generated when a logon session is created. It is generated on the computer that was accessed.
The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom t

he new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.

- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.

- Transited services indicate which intermediate services have participated in this logon request.

- Package name indicates which sub-protocol was used among the NTLM protocols.

- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Já verifiquei se não existia alguma tarefa agendada que pudesse ocasionar isso mas não localizei nada, monitorei a conta e vi que ela ficava Idle mas nenhum processo derrubava e não existe uma constante no tempo de queda. Li alguns artigos que falam sobre o motivo de alguém acessar a máquina localmente mas tudo isso já está isolado, é só a conta logada e mais nada nem ninguém. Alguém tem alguma luz para o problema? Obrigado!!

segunda-feira, 26 de março de 2012 16:19

Respostas

0

Entrar para Votar
Boa Tarde;

No momento só me vem duas opções na mente:

1 - Alguem esta logando com o mesmo usuário em outro equipamento de "roubando" a sessão.

2 - Esta setado no usuário ou no protocolo-RDP um tempo para desconectar por inatividade.

Espero ter ajudado, qualquer coisa poste novamente;

Abraços;

René Pinheiro.
- Sugerido como Resposta Klebinhu Ramos terça-feira, 27 de março de 2012 01:43
- Marcado como Resposta Gustavo R Valle quinta-feira, 24 de janeiro de 2013 11:55
segunda-feira, 26 de março de 2012 17:22

Todas as Respostas

0

Entrar para Votar
Boa Tarde;

No momento só me vem duas opções na mente:

1 - Alguem esta logando com o mesmo usuário em outro equipamento de "roubando" a sessão.

2 - Esta setado no usuário ou no protocolo-RDP um tempo para desconectar por inatividade.

Espero ter ajudado, qualquer coisa poste novamente;

Abraços;

René Pinheiro.
- Sugerido como Resposta Klebinhu Ramos terça-feira, 27 de março de 2012 01:43
- Marcado como Resposta Gustavo R Valle quinta-feira, 24 de janeiro de 2013 11:55
segunda-feira, 26 de março de 2012 17:22
0

Entrar para Votar

Obrigado pela ajuda René.

Também fiquei com essa idéia mas não consegui achar nada que estivesse setado diretamente ao usuário ou desconexão por inatividade.
Continua tudo na mesma... obrigado mesmo assim!

Abs
Andre

terça-feira, 27 de março de 2012 16:51
0

Entrar para Votar

Obrigado pela ajuda René.

Também fiquei com essa idéia mas não consegui achar nada que estivesse setado diretamente ao usuário ou desconexão por inatividade.
Continua tudo na mesma... obrigado mesmo assim!

Abs
Andre

Chegou a verificar se não tem outra pessoa logando com o mesmo usuário?

Abraços;

René Pinheiro.

terça-feira, 27 de março de 2012 17:50
0

Entrar para Votar

Tive uma outra idéia do que pode estar acontecendo. você carrega alguma aplicação automaticamente na sessão do usuário do TS??

No aguardo

René Pinheiro.

terça-feira, 27 de março de 2012 17:56
0

Entrar para Votar

A hipótese de ser outro usuário já eliminei, senha alterada e o problema persistiu.
Loguei na máquina com um usuário local para evitar qualquer hipotese de ser algo setado via GPO mas continua o problema.

Tá difícil... :)

terça-feira, 27 de março de 2012 20:53
0

Entrar para Votar

Tive uma outra idéia do que pode estar acontecendo. você carrega alguma aplicação automaticamente na sessão do usuário do TS??

No aguardo

René Pinheiro.

Esta carregando alguma??

Abraços;

René Pinheiro.

quarta-feira, 28 de março de 2012 12:39
0

Entrar para Votar

Tive uma outra idéia do que pode estar acontecendo. você carrega alguma aplicação automaticamente na sessão do usuário do TS??

No aguardo

René Pinheiro.

Esta carregando alguma??

Abraços;

René Pinheiro.

O único carregamento que existia era de anti-virus mas já tinha desabilitado antes de presseguir com os testes e continua tudo igual.
Abs

quarta-feira, 28 de março de 2012 15:44
0

Entrar para Votar

Durante a madrugada observei os seguintes eventos:

CREDENTIAL VALIDATION

The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: NOMEDACONTA
Source Workstation: NOMEDAVM
Error Code: 0x0

LOGON

A logon was attempted using explicit credentials.

Subject:
Security ID:  SYSTEM
Account Name:  NOMEDAVM$
Account Domain:  DOMINIO
Logon ID:  0x3e7
Logon GUID:  {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name:  NOMEDACONTA
Account Domain:  NOMEDAVM
Logon GUID:  {00000000-0000-0000-0000-000000000000}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID:  0x11c0
Process Name:  C:\Windows\System32\winlogon.exe

Network Information:
Network Address: ENDERECOIP
Port:   PORTA

This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

LOGON

An account was successfully logged on.

Subject:
Security ID:  SYSTEM
Account Name:  NOMEDAVM$
Account Domain:  DOMINIO
Logon ID:  0x3e7

Logon Type:   10

New Logon:
Security ID:  NOMEDAVM\nomedaconta
Account Name:  nomedaconta
Account Domain:  nomedavm
Logon ID:  0x16a89b13
Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
Process ID:  0x11c0
Process Name:  C:\Windows\System32\winlogon.exe

Network Information:
Workstation Name: nomedavm
Source Network Address: enderecoip
Source Port:  porta

Detailed Authentication Information:
Logon Process:  User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length:  0

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

LOGOFF

An account was logged off.

Subject:
Security ID:  NOMEDAVM\nomedaconta
Account Name:  nomedaconta
Account Domain:  NOMEDAVM
Logon ID:  0x16a89b13

Logon Type:   10

This event is generated when a logon session is destroyed. It may be positively correlated with a logon event using the Logon ID value. Logon IDs are only unique between reboots on the same computer.

São exatamente estes eventos que ocorrem quando existe a queda na conexão com a TS.

sexta-feira, 30 de março de 2012 11:56
0

Entrar para Votar

Existe alguma VPN na sua rede?

sexta-feira, 30 de março de 2012 21:45
0

Entrar para Votar

Existe alguma VPN na sua rede?
Sim

segunda-feira, 2 de abril de 2012 20:21

Produtos

Resources

Solutions

Atualizações

Avaliações

Sites relacionados

Treinamento

Certificações

Outros recursos

Por produtos

Outros links

Não é um IT Pro?

Usuário com melhor resposta

Problemas com TS (Logon/Logoff)

Pergunta

Respostas

Todas as Respostas