2008R2: RDP с гостевых машин на хостовую.
 

WIN 2008 R2 server standard RU: AD, DNS, DHCP, Hyper-V, RDP в режиме администрирования. При RDP подключении с гостевой получаю: "Не удается подключиться к удаленному компьютеру". Не подключается ни по имени, ни по IP. С физических машин подключается к нему нормально.
В логах только
36888 Schannel Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 10.
50 TermDD Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

Шаманство с уровнями шифрования и безопасности в настройках узла сеансов удаленных рабочих столов и изменение задания алгоритма сжатия для данных RDP в политиках не помогло.
По 50 TermDD ссылки только про удаление ветки HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TermService\Parameters которой в 2008R2 нет.
Нашел это [url]http://forum.sysadmins.su/index.php?showtopic=10031[/url] , но Event 4356 у меня нет.
По 36888 Schannel ничего вразумительного не нашел, только про отключение ошибки.

Если перетащить акронисом систему на другую материнку, то проблема исчезает.

В каком направлении еще копать для устранения проблемы?

Гости - вроде бы и не могли никогда коннектиться....
Обязательно учётка должна быть в группе "Пользователи удалённого рабочего стола"

Загляни сюдыть: [url]http://forums.kuban.ru/f1029/В_сеансе_терминального_юзера-2671222.html[/url]

Может, что подскажешь мне?

Может, что подскажешь мне?

(1) Гости здесь не причем. Имелось в виду с виртуальной гостевой машины на физическую. До юзера дело даже не доходит.

они у тебя ваапще в одной сети? в том числе виртуальной? пинги проходят

(5) Пинги ходят, шары видятся.

видимо в направлении виртуального коммутатора Hyper-V
ничего более внятного на ум не приходит

То что глючит коммутатор Hyper-V я понял. Вопрос в том как его привести в чувства без переустановки роли. VLANов нет. Настройки в коммутаторе стоят правильные.

где спросить подсказать?

мож поможет:
[url]http://www.andrewconnell.com/blog/articles/allowing-a-host-machine-to-talk-to-guest-vms-in.aspx[/url]

За выходные переставил Hyper-V: удалил все виртуальные сети, удалил роль Hyper-V, удалил физические сетевые интерфейсы и поставил все заново. Проблема не прошла. Выяснилось что при установке в безопасности RDP уровня согласование и совместимый с клиентским при подключении RDP стал появляться запрос логина/пароля, но при их вводе получаю "Не удается подключиться к удаленному компьютеру". В логах 50 TermDD. Если подключаться из под XP, то пишет "Произошла ошибка проверки подлинности. Указанные данные не могут быть расшифрованы." Дополнительно выявились проблемы с вводом виртуальных машин в домен: "При присоединении к домену произошла следующая ошибка: указанное имя более недоступно". И в сетевом окружении видит только себя, при обращении к шарам по IP тишина. При этом ping, nslookup без проблем. При сканировании открытых портов Xcpiderом с виртуальной машины и с физической на которой этих проблем нет различий в портах не обнаружено. Проблема похоже кроется где-то в безопасности винды, а не в глюках сети. Не понятно почему встряска системы переносом на другую мать убирает проблему. Вероятно пора задуматься о перестановке системы.

[em]При этом ping, nslookup без проблем[/em], - так пакеты маленькие
попробуйте ping большими пакетами

(12) ping IP -l 10000 не идет ни из виртуалки, ни из физических машин на проблемный сервер, но идет с моей машины (Win7 64) на другой (терминальный) сервер. О чем это говорит?

[em]-l 10000[/em] зачем же так много-то?
начинайте с 1473 и уменьшайте
это может говорить о том, что mtu на вашем сервере меньше стандарта

а вообще, где-то тут на форуме прячется и молчит большой знаток и поклонник Hyper-V

(14) И на виртуалке и на физ машинах ping -l 1472 проходит, а 1473 нет. Различия не видно.

[em]Различия не видно.[/em]
какого различия?
тов. компаратор, вы или изъясняйтесь внятно, или я вас отправлю к Gochy, он вам доходчиво объяснит как полезно выставлять DF и блокировать icmp
гоша объяснишь?)

17-gloomymen > Кстати да. Ну вот понадобились сегодня пинги челу. Через 2 шлюза. При том, что всё работало и так. 2 машинки рядом стоЯт, вроде с одного 7-очного образа леплены, только железо разное. Одна пингуется, другая нет. Знал бы, как полезно их блокировать - рассказал бы. А так пришлось службу базовой фильтрации отключать. На той, что не пинговалась. А на другой - и бранд, и фильтр включены. И пингуется.
"гоша объяснишь?)" (с)

18-ТОРМАЗ > здравстствуй дорогой, я тоже рад тебя видеть
ты сегодня немного не туду дудуешь) в данном контексте icmp <> (не равно) пинг

Привет. Возможно - я ж не админ, просто прилепил костыль, не знаючи куда и зачем, ИМХО зря. Теперь думаю. Тему создавать не буду - пусть при проблемах голова болит у тех, кому было срочно надо. А если расскажут, куда посылать - буду рад, бо не последняя машинка с такой траблой.
Но ведь если icmp блокировать - пингов не будет?
Или это была шутка юмора?
Тогда прости ТОРМАЗа.

[em]какого различия?[/em]
Различия в прохождении пакетов. То что фрагментировать не хочет вижу, пока не понимаю почему. В настройках TCP не ковырялся, интерфейсы сбрасывал в дефолтные. Единственно снята галка TCP/IP 6. Даже если проблема в этом, то почему физическая сеть работает, а виртуальная нет? И еще с чего все началось: не заработал RDP снаружи через OpenVPN (MTU 1400), серверная часть которого стоит на SmoothWall который живет на виртуальной машине в Hyper-V и через который раздается инет.

ТОРМАЗ, зачем тебе пинги?
[em]пусть при проблемах голова болит у тех, кому было срочно надо[/em] при каких проблемах?
в окошкиных БрэндмауЕрах icmp reply закрыт по дефолту, нужно его открыть
это тебе [url=http://ru.wikipedia.org/wiki/ICMP]про пинги[/url] почитай на досуге
21-Alco > а вам [url=http://ru.wikipedia.org/wiki/MTU#IP_.28.D0.98.D0.BD.D1.82.D0.B5.D1.80.D0.BD.D0.B5.D1.82_.D0.BF.D1.80.D0.BE.D1.82.D0.BE.D0.BA.D0.BE.D0.BB.29]сюда[/url]

20-ТОРМАЗ > а про "пользу закрытия icmp" это да, была шутка, но адресная, не всем, прости)

[quote=gloomymen;25373857] а вообще, где-то тут на форуме прячется и молчит большой знаток и поклонник Hyper-V [/quote]
поклонник это точно, но вот насчет знатока гложат меня сомнения :) Хотя кто его знает, может и профи стал, а?
[quote=gloomymen;25379909]
как полезно выставлять DF и блокировать icmp гоша объяснишь?) [/quote]
ох и настрадался я с фрагментацией, когда впн поднимали с юткашных сегментов... так что лучше не напоминай :)

22-gloomymen > Мне они и наФ не нужны. Кроме как узнать состояние перегружаемого по РДП компа.
Проблемы могут быть, если одна из служб, зависящих от службы базовой фильтрации, которую я поставил, через месяц окажется кому-нить нужной. Как вчера пинги.
Брэндмауер на непинговавшейся машине ронял первым делом после анти-хакера, а на пинговавшейся не настраивал. Чудеса...
Ну да не суть. Нашёл слова знакомые и как раз под стать мыслям.

> В каком направлении еще копать для устранения проблемы?

Если на другом железе проблем нет - то скорее всего проблема в сетевухах. Пробовал обновить драйвера, отключить Offloading?

вооот, наконец-то прибыл Учитель
теперь все будет просто

(26) Сетевки Intel, драйвера пробовал разные и свежие и старые. Offloading отключил - не помогло. Тоже была мысль про сетевухи, но проблема проявляется и на виртуальных сетках не привязанных к физическим интерфейсам. Для пробы ставил туда Realtek 8139 - та же история.

(22) Кстати на другом железе, где проблема пропала большие пакеты тоже не ходят. Так что мануал хороший, но не по моей теме.

26, Учитель, я не исключаю кривое железо
вот не возьму в толк, а как же ваш виртуальный коммутатор зависит от физического интерфейса?
29-Alco > что значит пропала? гостя унесли на физ. машинку или что?

(30) Сливаю Акронисом системный раздел, поднимаю образ на другом железе. Папку с гостевой машиной подсовываю по такому же пути. При этом тестируемая проблемная сеть не привязана к физическому интерфейсу. На новом железе с виртуалки RDP работает, сетевые шары доступны.

если я (наконец-то) правильно понял, акронисом переносится не гость, а полностью хост?

Точно.

знатный колдун

я из-за вас чуть было не заклевал Учителя)
хочется вас послать
дорогу найдете

Спасибо, добрый человек.

не за что.....
я ведь чистосердечно голову ломал, а у вас копия хоста на другом железе работает
это издевательство, или тонкий развод, или я умом постарел