none
SCCM agent ломает соединение по RDP. RRS feed

  • Вопрос

  • Добрый день.
    Версия сайта: 5.00.8355.1000
    Версия SCCM: 1602
    Проблема заключается в том, что на некоторых Windows 10 после установки агента sccm люди не могут подключиться к компьютеру по RDP. Вернее могут, но один раз. Потом их не пускает, если перезайти.
    Перезагрузка помогает, после нее на компьютер можно зайти один раз.
    В политиках ничего не запрещено. Доступ пропадает только на некоторых компах.
    Если удалить агент - доступ появляется.

    В логах появляется следующее:

    Имя журнала:   Application
    Источник:      Application Error
    Дата:          25.05.2016 21:26:32
    Код события:   1000
    Категория задачи:(100)
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     pc02.domain
    Описание:
    Имя сбойного приложения: sihost.exe, версия: 10.0.10586.0, метка времени: 0x5632d7f9
    Имя сбойного модуля: modernexecserver.dll, версия: 10.0.10586.306, метка времени: 0x571af777
    Код исключения: 0xc0000409
    Смещение ошибки: 0x0000000000059532
    Идентификатор сбойного процесса: 0x1228
    Время запуска сбойного приложения: 0x01d1b6a232a6eb51
    Путь сбойного приложения: C:\WINDOWS\system32\sihost.exe
    Путь сбойного модуля: C:\Windows\System32\modernexecserver.dll
    Идентификатор отчета: a76d59f1-ba77-45d1-87c0-54b30b41403d
    Полное имя сбойного пакета: 
    Код приложения, связанного со сбойным пакетом: 

    Кто-нибудь может направить, в какую сторону копать? 

    • Изменено kilg 30 мая 2016 г. 6:38

Ответы

Все ответы

  • смотрите результирующую политику на проблемных клиентах, могу предположить, что у вас некорректно настроена политика remote tools, которая выключает rdp на клиенте, либо включает так называемый "network level authentication". На время проблемы, читаем логи на клиенте. Это надо проверить, но маловероятно, судя по описанию.

    дальше, что у вас за билд 10ки (1511, да?)? Вангую, что надо катануть обновления.

    и, запускаем тулзы с проц эксплорером и смотрим, что происходит в момент удаленного управления. может антивирус, блокирует процесс и вызывает в памяти что-то из ряда вон выходящее. ;) Либо пишем в мс саппорт.

    И еще, что в логах после того, как перестает подключаться? CmRcService.log, CMRcViewer.log

    Сравнивайте, что за софт и версии стоят на разных машинах

    Модератор
  • Была аналогичная ситуация, после того как клиент умудрился приехать на терминальник на 2008R2. Было мистично вдвойне что *nix клиенты совсем резались а виндовые вели себя как у Вас. Не нашел решений, просто снес с TS клиент. =/
    • Изменено NTLose 30 мая 2016 г. 8:32
  • результирующая политика у всех одна. это первое что я посмотрел.
    проблема только на 10ках. разные билды, одни обновленные по полной, другие с отложенными обновлениями.

    никакого блокирующего софта нет.

    логи непосредственно агента не смотрел.

  • Проверьте включен ли Firewall, правила для RDP разрешены, после потери соединения правила также включены?
  • Вобщем, пошерстил в настройках доступа к Terminal Service.
    нашел раздел реестра, где прописываются права доступа:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
    "Security"=hex:14,00,bf,03,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,14,\
      00,89,00,0f,00,01,01,00,00,00,00,00,05,13,00,00,00,00,00,14,00,81,00,00,00,\
      01,01,00,00,00,00,00,05,14 итд
    Выяснилось, что у проблемных компов эта запись одинаковая.
    Собственно, у работающих тоже одинаковая, но не такая как у проблемных.
    Отдельная история, как я расшифровывал эти бинарные данные.
    В результате, на проблемных компах имеет полный доступ какой-то непонятный недоменный SID, и больше никто, тогда как на безпроблемных там еще присутствуют другие учетные записи: типа "Интерактивные", "Пользователи удаленного рабочего стола" и т д.
    Экспортировал этот ключ с рабочего компа на нерабочий и на последнем сразу исчезли проблемы с доступом по RDP.
    Таким образом, получается, что установка агента SCCM меняет этот ключ реестра. При этом, когда агент удаляется, ключ снова принимает свое изначальное значение.
    Пока это не могу ничего объяснить.
    На всякий случай, выложу картинку политики удаленного доступа:

    Кто-нибудь выдвинет какие-либо гипотезы?

  • Предположу, что копать надо в сторону настроек удаленного доступа в параметрах агента , возможно изменены дефолтные параметры, если нет других. 
    7 июня 2016 г. 11:39
  • когда вы добавляете группу/пользователя в политики client settings в SCCM, то клиент SCCM производит изменения в локальной группе на ПК ConfigMgr Remote Control Users, которая в свою очередь прописана как разрешенная в локальной политике.

    описание процесса: http://woshub.com/configuring-remote-control-in-sccm-2012/  возможно это поможет в вашем расследование.