Здравствуйте, жители форума.

Ситуация следующая: при подключении по rdp к серверу всё хорошо, но только один раз. Отключаюсь посредством Пуск - Отключиться. Никаких крестиков или иных резких движений. Второй раз подключится после окончания сеанса невозможно. Даже пинг не проходит - все пакеты теряются. Такое ощущение, что сервер обижается, что я ушёл, и закукливается на продолжительное время, игнорируя попытки внешнего воздействия. Причём перезагрузка сервера ситуацию не исправляет - внешнее подключение и после неё всё равно остаётся недоступным какое-то время. Я сумел найти на вашем форуме подобную же проблему, правда она касалась Win7 (http://forum.oszone.net/thread-229046-2.html). Вопросов в этой связи возникает два:
1. Стоит ли приведённое в указанной беседе решение (поочерёдное отключение всех служб и драйверов в поиске) использовать для сервера 2012r2?
2. С чем такое поведение может быть связано помимо конфликта служб/драйверов?

Буду очень признателен, если кто-то, кто уже сталкивался с таким поведением системы, сможет мне объяснить, как с таким явлением следует бороться.

Пожалуйста, просьба. Мой ник - это почти правда. Я - бухгалтер. Просто когда администратор компании ушёл в закат, я остался один среди шести дам. Думаю, дальше сюжет этой драмы очевиден. Довод, что знание операционных систем не передаются с хромосомным набором, таковым не оказался. Я читаю литературу, форумы, чтобы пополнить копилку знаний, и всё же сильно далёк от того, чтобы с ходу понимать ещё очень многое. Поэтому если вы захотите поделиться знаниями - пожалуйста, учтите, что многое для меня ещё неизвестно и я буду крайне благодарен, если объяснения будут несколько более подробными, нежели для нормального пользователя.

Нужно больше информации:
Даже пинг не проходит - все пакеты теряются. »
1) В обе стороны? С сервера тоже узлы недоступны?
2) Ошибки в журналах системы?
3) Специфичный софт?

Здравствуйте, User001.

1) В обе стороны? С сервера тоже узлы недоступны? »
Нет, только с внешней стороны к узлу. С внутренней сети маршрутизация работает как часы, у всех пользовательских компьютеров доступ в Сеть присутствует, сам сервер тоже свободен бороздить просторы Сети сколь угодно долгое время.

2) Ошибки в журналах системы? »
Безусловно присутствуют, но система пишет слишком много всего в каждом своём разделе - DNS, AD, DHCP. Там есть предупреждения и ошибки. Понять, что из этого является необходимым и связанным с данной проблемой мне не хватает пока квалификации, а постить "рулоны" было моветоном ещё во времена 56к, и пожалуй в этом аспекте я останусь старомодным.

3) Специфичный софт? »
Там нет даже необходимого, насколько я могу судить из тех материалов, что я прочитал на данном форуме, на хабре, 4pda, ру-борде и некоторых других ресурсах.

Я никак не могу понять, как это возможно, что при наличии исходящей связи адрес как-будто не существует для входящей...Если только каким-то хитрым образом не настроен файрволл...Наверное, следует проверить установленные правила, хотя мне и не попадались на глаза хоть какие-то материалы касательно того, что его можно настроить на временную блокировку.

Отключаюсь посредством Пуск - Отключиться
А если Пуск -> Завершить сеанс?

внешнее подключение и после неё всё равно остаётся недоступным какое-то время
Что означает "внешнее подключение"? Рисуйте схему сети. В обязательном порядке!

система пишет слишком много всего в каждом своём разделе - DNS, AD, DHCP. Там есть предупреждения и ошибки
Интересует именно события ошибок Журналы Windows -> Система.

постить "рулоны" было моветоном ещё во времена 56к, и пожалуй в этом аспекте я останусь старомодным
Наш человек! :up

Если только каким-то хитрым образом не настроен файрволл
Не пробовали его отключить? Только не службой.

Здравствуйте, Angry Demon.

А если Пуск -> Завершить сеанс? »
Не имеет значения. Эффект одинаковый.

Что означает "внешнее подключение"? Рисуйте схему сети. В обязательном порядке! »
Под внешним подключением я понимаю подключение из другой сети. Наверное не самое точное применение термина. Скажите, что должно быть отражено на схеме в классическом её, так сказать, представлении? Потому что уж больно много в Сети мнений я нашёл по этому поводу.

Интересует именно события ошибок Журналы Windows -> Система. »
Постараюсь сегодня этот список составить.

Не пробовали его отключить? Только не службой. »
Не очень понимаю, как ещё его можно отключить. Я пробовал отключать его посредством управления самим файрволлом (Панель управления\Система и безопасность\Брандмауэр Windows), а так же посредством панели Администрирование - Управление компьютером - Службы - Брендмауэр Windows. Результат неизменен. :(

Полагаю, что дело всё же в ошибках, коих много судя по логам. После того, как я их соберу, надеюсь станет понятнее.

Методом перебора проблема выявлена: по какой-то причине правила брендмауэра (Брендмауэр Windows -> Дополнительные параметры -> Фильтровать по группе -> Маршрутизация и удалённый доступ -> GRE входящий + РРТР входящий) хотя и отображаются как корректно настроенные (Профиль - Домен; Включено - Да; Действие - Разрешать), на самом деле блокируют весь входящий трафик. Нет трафика -> нет ВПН -> нет и доступа по rdp. А включался он иногда по причине смешной, из разряда "Не было бы счастья, да несчастье помогло": арендатор экономит электричество и по ночам обесточивает здание. Вместе с нашим сервером. :) Он перегружается и какое-то время правила работают как должно, после чего включают режим "Ой, всё!", причём навечно.

Лечение, на текущий момент дающее положительный эффект: удалить указанные правила и создать новые, с необходимыми настройками. Пока они работают корректно (прошло несколько часов, три или четыре).

Спасибо вам, User001 и Angry Demon, за участие в разрешении проблемы!

Дебет, не за что. забегайте ещё! :yes:

Angry Demon, здравствуйте.

Рано я обрадовался. Выяснилась ещё одна интересная деталь, которая к правилам брандмауера вообще никак не относится. Подключение существует только до тех пор, пока активен профиль администратора. Стоит только выйти из профиля, как все соединения отпадают. Я проверки ради установил TeamViewer. Если пользователь не в системе, то даже при полностью отключённом брендмауере соединения нет, пинг не проходит, но TeamViewer подключается. Если же зайти посредством Team'a и войти как пользователь, то соединение тут же появляется, пинги и трейсы начинают проходить, впн оживает.

Не подскажите, в какую сторону копать?

Upd 10:22: и это тоже отвалилось. В мониторинге VPN пишет: "Монитор VPN Connectivity изменил состояние с HEALTHY на UNHEALTHY <...>. Эвристические ИД сбоя, вызвавшего изменение состояния VPN Connectivity: 40020002.". В Сети нашёл только одно упоминание об этом на TechNet'e, но там не дан ответ.

Рано я обрадовался. Выяснилась ещё одна интересная деталь, которая к правилам брандмауера вообще никак не относится. Подключение существует только до тех пор, пока активен профиль администратора. Стоит только выйти из профиля, как все соединения отпадают. Я проверки ради установил TeamViewer. Если пользователь не в системе, то даже при полностью отключённом брендмауере соединения нет, пинг не проходит, но TeamViewer подключается. Если же зайти посредством Team'a и войти как пользователь, то соединение тут же появляется, пинги и трейсы начинают проходить, впн оживает.
Не подскажите, в какую сторону копать? »Копайте в сторону логов также (какие события происходят после выхода пользователя и после входа). Попробуйте поиграться с планами энергосбережения (хотя, как TeamViewer работает - не представляю).

Дебет, у вас не корявая какая-нибудь говносборка Windows Server?

Здравствуйте, уважаемые обитатели форума.

User001, спасибо за рекомендацию. Читаю и ищу по ним рекомендации. Пока удалось справится с восстановлением доверенных отношений у двух машин, побороть ошибки эвристического ядра и провести обряд экзорцизма над бешеным сетевым принтером.

Angry Demon, увы, у нас стоит вполне себе официальный Windows 2012r2 Datacenter со всеми причитающимися документами. Проверил платёжные документы, позвонил в службу поддержки - всё чин чином.

Один ваш коллега по цеху, который согласился выслушать мои проблемы, высказал мнение, что проблема может быть в провайдере. Мол, сеанс по ТимВьюеру активизирует соединение и последний узел перед нашим сервером начинает пропускать трафик. Но стоит погасить сеанс и через какое-то время соединение погибает. По его совету протестировал соединение при полностью отключённом брандмауэре и с отключёнными правилами политик безопасности в части соединения с сетью. Итог один - пинга нет при полностью работоспособной сети внутри компании с подключением к Интернету у всех без исключения машин. Я уже понимаю, что это говорит о том, что с исходящим трафиком никаких проблем не возникает.

К сожалению, товарищ занимается компьютерами с конца 70х и мне его чрезвычайно сложно понимать, уж слишком специфический язык, а знаний мне не хватает. Это примерно как "Полупроводник крыжил, крыжил, а всё равно всё рвётся, налорги нас клизмировать будут." - в переводе с бухгалтерского на классический русский это означает, что "один бухгалтер не очень высокой квалификации, несмотря на все свои усилия при ручной выверке регистров, всё равно не смог устранить все недочёты и теперь налоговые органы будут иметь полное право всячески подводить под нас штрафные санкции". Многого я просто не понял. :(

User001, спасибо за рекомендацию. Читаю и ищу по ним рекомендации. Пока удалось справится с восстановлением доверенных отношений у двух машин, побороть ошибки эвристического ядра и провести обряд экзорцизма над бешеным сетевым принтером. »И при логине никакие "особые" события не происходят? Запуск / загрузка служб / драйверов?
Один ваш коллега по цеху, который согласился выслушать мои проблемы, высказал мнение, что проблема может быть в провайдере. Мол, сеанс по ТимВьюеру активизирует соединение и последний узел перед нашим сервером начинает пропускать трафик. Но стоит погасить сеанс и через какое-то время соединение погибает. По его совету протестировал соединение при полностью отключённом брандмауэре и с отключёнными правилами политик безопасности в части соединения с сетью. Итог один - пинга нет при полностью работоспособной сети внутри компании с подключением к Интернету у всех без исключения машин. Я уже понимаю, что это говорит о том, что с исходящим трафиком никаких проблем не возникает. »
Еще раз. Если активного сеанса нет на сервере, то он в локальной сети недоступен? Поставить план электропитания "высокая производительность" пробовали?

Приветствую. А каким образом у вас строится VPN? Удаленный пользователь коннектится на шлюз или сразу на сервер? Судя по вышеописанной проблеме, такое ощущение что VPN поднят на самом сервере с помощью какой-то программы, которая запускается под учеткой админа. Админ не залогинился - программа не запустилась, VPN не строится...

Если есть возможность - попробуйте зайти на сервер по RDP из внутренней сети(подключаться к внутреннему IP или по хостнейму), при этом админ не должен быть залогинен. Если проблема в VPN - тогда таким образом Вы должны попасть на сервер.

Здравствуйте.

Простите за долгое отсутствие - конец года чрезвычайно напряжённое время.

И при логине никакие "особые" события не происходят? Запуск / загрузка служб / драйверов? »
Всё работает без нареканий, насколько я могу судить. Никаких ошибок не выдаётся. Иногда выпадают предупреждения, связанные с настройкой синхронизации времени.

Поставить план электропитания "высокая производительность" пробовали? »
Я выставил всё в режиме "много бесплатного электричества" - ни одно устройство ни на минуту не смыкает глаз. То есть портов. Ну должно по крайней мере не смыкать. Но смыкает.

В общем проблема кристаллизовалась в своей форме и даже есть гарантированное к ней полурешение: после перезагрузки (а она происходит периодически из-за отключения электричества) подключение по VPN невозможно, поскольку сетевой интерфейс не отвечает. Совсем. Эмпирически найдено, что если постучаться на сервер посредством TeamViewer, не обязательно даже логинится, просто запросить соединение, то сетевой интерфейс начинает отвечать и всё сводится. Дальше можно работать спокойно до следующего непонятного события. Посмотрел службы - все они стоят на Запуск (автоматически), т.е. по моему скромному пониманию должны запускаться сразу по загрузке сервера.

Приветствую. А каким образом у вас строится VPN? »
Здравствуйте! VPN поднят средствами самой серверной оси, никаких сторонних решений не используется. Да и с самим VPN проблем нет, если есть соединение. Проблема именно в постоянно отваливающемся и не поднимающимся обратно соединении. Причём исключительно с внешнего мира к серверу. Пользователи внутри сети этого даже не замечают. У них всё хорошо и с локальной сетью и во всемирной.