[Troubleshooting] ISA Server 出现 TermService 1036 无法远程桌面
ISA Server 出现 TermService 1036 导致无法远程桌面
一台 ISA Server 2006 with SP1 标准版,每次停电重新启动后会导致不论从内部还是外部均无法远程桌面到该服务器上故障。一直找不到原因,困扰已久!唯一的解决办法就是删除访问策略重新添加,便可以恢复正常,甚是诡异!
这次再次发生这个故障,不过总算是找到了线索,留意到一个事件日志,如下图所示:
来源:TermServcice,事件ID:1036,描述:终端服务器会话创建失败。相关的状态代码为 0x2740。阅读了KB555382,该KB地址是:http://support.microsoft.com/kb/555382
了解到应该是 RDP 协议未能正确绑定网卡而导致的。根据 KB 对注册表进行了检查,发现并为有异常。那么问题出在了哪里呢?!
首先重新审查 ISA Server 的配置及规则策略。该 ISA Server 外部绑定有 3 个公网 IP,内部共有3块网卡,有2块物理网卡连接两个子网,一块 Microsoft Loopback 网卡用于虚拟机网络。为了方便管理,在其中一个公网 IP 上发布了局域网中一台服务器的 RDP 服务,另外两个发布了本机的其中一个内网网卡IP上。
OK,根据前面KB中所描述的信息,分析本案例发现,ISA Server 上的 RDP 绑定了所有网卡,也就是说在 Remote Desktop 启动后会对这些网卡上的 IP 进行侦听,假设我们创建了访问规则允许内部或外部访问 ISA Server 的 3389 或者创建了一个完全访问 ISA Server 规则,那么这条访问规则是正确的,ISA Server 开启了对本机 3389 的访问。
但是,让我创建了一个发布规则,就意味着我需要在外部或某个接口上创建侦听,通俗讲就是在指定接口上创建了一个仿真服务用于接收用户请求,然后转向到指定要发布的服务器上。
现在,真相大白了!原来是在 ISA Server 上创建的 RDP 发布规则与本机 RDP 协议冲突,从而导致重新启动后,RDP 启动失败。
因为本案例中涉及发布 RDP ,那么正确的配置可以是这样的。配置 RDP 协议只侦听内部的一块网卡,然后创建侦听来自外部的 RDP 请求即可!
问题很简单,但是一直没有注意到,可能也是因为创建的发布规则并没有收到 ISA Server 的警告。不过,自己做深刻检讨!主要的原因还是在自己……
在工作组环境下的 ISA Server 2006 上发布 Windows SBS 2003 R2 ST 中的 Exchange Server OWA
在工作组环境下的 ISA Server 2006 上发布 Windows SBS 2003 R2 ST 中的 Exchange Server OWA
环境说明:
两个子网(子网 A 和子网 B)分别是两个独立的 AD,其中子网 B 基于 Windows SBS 2003 R2,共同使用同一台 ISA Server 2006 访问互联网,并同时使用同一个公网 IP 用于服务的发布。其中 子网 A 暂不提供邮件服务的发布。
实施目标:
使用 ISA Server 2006 发布子网 B 中 Windows SBS 2003 R2 上 Exchange Server 的 OWA
实施要点:
1、导出 Windows SBS 2003 R2 中涉及的证书;
2、修改 Exchange Server 中的 HTTP 协议,禁用“启用基于表单的身份验证”;
3、在 ISA Server 2006 上导入 Windows SBS 2003 R2 的证书;
4、在 ISA Server 2006 上访问 OWA 进行测试,确保访问过程无任何提示警告(如:证书警告);
5、在 ISA Server 2006 上配置 LDAP 服务器的访问;
6、在 ISA Server 2006 上创建用于发布服务的端口侦听;
7、在 ISA Server 2006 上创建用于发布 OWA 的防火墙策略;
实施步骤:
一、在 Windows SBS 2003 R2 中导出证书,该证书用于 ISA Server 2006 发布 OWA 时所需。
1、在 Windows SBS 2003 R2 上打开 IIS 管理器,进入 Exchange 站点属性。
推荐:Microsoft Internet Security and Acceleration (ISA) Server 2006 支持更新
早先在运营的一台 SBS 2003 上发现 ISA 日志监控中有非常详细的监控信息栏,感觉非常有用,可是发现自己手边的 ISA 及 Labs 里的 ISA 都没有这个功能,感觉非常遗憾,以为只有 SBS 2003 中的 ISA 包含这个特性,昨天在 QQ 群组中向大家询问了一下,发现有一个网友同样是 ISA 2006 但是有我说到的信息栏,郁闷!难道又遭遇 RPWT 了?!
进入 Microsoft Download Center 寻找有关 ISA 的下载终于让我找到了,原来微软提供了一个针对 ISA 的支持更新包,安装这个支持更新包后,ISA 便拥有了强大的日志查询和分析的功能。看看下面的截图
官方详细的说明:
Microsoft Internet Security and Acceleration (ISA) Server 2006 支持更新
概述
可以在运行 ISA Server 2006 的计算机上直接安装 ISA Server 2006 支持更新,其中包括下列内容:
• 自 ISA Server 2006 投入生产以来发布的所有软件更新。
• 改进的日志查看器功能,包括增强的详细信息窗格视图、文本着色和新增的日志筛选功能。
• 更新的 ISA Server Microsoft 管理控制台 (MMC) 管理单元功能,凭借它可以直接从 ISA Server 管理控制台访问可用疑难解答工具和选项。
• 与 Microsoft ISA Server Best Practices Analyzer 工具相集成。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=79754。
• 新增的诊断日志记录功能。
