本周我们开始在运行 2012 R2 的一两个远程桌面会话主机服务器上遇到问题,当用户尝试登录时,他们会卡在其中一个登录消息上,例如“处理组策略设置”, “应用组策略打印机策略”等。这发生在 3 个不同的用户身上,每周三个不同的日子一次。它只在早上发生过,而且每天只有一次。
然后我们在该服务器上看到一个没有用户名的会话,该会话已断开连接并停留在“退出”状态(通过任务管理器连接到会话确认)。
我们还可以在我们的文件服务器上看到他们的用户配置文件磁盘上有两个锁,被同一台服务器锁定。用户根本无法登录。如果我们为他们的 UPD 关闭打开的文件,并且他们尝试再次登录,他们将收到一条消息,说他们无法登录,因为远程桌面服务服务正忙(可能是退出此虚拟会话)。
我们唯一的解决方法是手动将它们登录到我们池中的不同特定服务器,然后让它们远程连接到该会话。
查看事件,对于该用户首次登录尝试,我可以按以下顺序查看它们:
(看到这一点并不罕见,因为我们几乎每个用户都获得了其中一个,几乎每次登录,无论成功与否)。
然后,我可以看到该用户进行了多次登录尝试,每次都经历了一组事件,以断开连接结束,原因代码 12 如下:
有人对为什么此登录尝试会创建此恶意会话以及我们如何纠正它有任何想法吗?
干杯
编辑
似乎与通过组策略打印机首选项部署打印机有关,因此我们正在转向组策略中的其他“已部署打印机”模型来解决此问题。