Я получаю следующую ошибку в журнале событий машины, на которой работает Server 2008 R2:
«Компонент протокола RDP X.224 обнаружил ошибку в потоке протокола и отключил клиента».
Источник: TermDD Идентификатор события: 50
Я получаю около 5 из них за 24 часа.
Машина представляет собой веб-сервер. Он открыт для внешнего мира, но для него открыт только порт 80.
У меня есть некоторые опасения, что это результат попыток взлома машины через удаленный рабочий стол, но я не могу понять, как это возможно, если открыт только порт 80.
И еще одна причина, по которой меня беспокоят злонамеренные намерения, заключается в том, что у меня был сайт, размещенный на другом компьютере 2008 R2, он показывал эти события журнала. Затем я изменил правила переадресации IP в своем маршрутизаторе, отправил внешний трафик на новый компьютер, и он начал отображать события журнала.
Нет проблем с удаленным рабочим столом, он работает нормально, и на самом деле я взаимодействую с этими машинами, никаких отключений не происходит.
Есть предложения относительно того, что может происходить?
Поскольку в сеть открыт только порт 80, маловероятно, что это фактические попытки подключения к серверу RDP. Я бы попытался найти некоторую корреляцию между вашими авторизованными попытками подключения RDP. Предположительно, вы подключаетесь к внутренней локальной сети или VPN, из которой разрешен RDP, поэтому вы также должны быть уверены, что там нет неавторизованных сторон, пытающихся предпринять попытки подключения RDP к серверным компьютерам.
Если вы не добьетесь успеха с этими предложениями, понюхайте трафик на коробке в течение дня с фильтром захвата, настроенным только на запись трафика RDP, и посмотрите, что вы можете найти и сопоставить с записями журнала событий.