Issue:
======
Unable to make RDP session from XP to Win 2008
data encryption error in RDP
Remote Desktop Disconnected
Because of an error in data encryption, this session will end. Please try connecting to the remote computer again. ![clip_image002[6]](http://blogs.technet.com/blogfiles/csstwplatform/WindowsLiveWriter/UnabletomakeRDPsessionfromXPtoWin2008_79D2/clip_image002%5B6%5D.jpg)
Cause:
=====
Broadcom Advanced Control Suite property of IPv4 large send offload
Resolution:
========
To resolve it open the Broadcom Advanced Control Suite and disable IPv4 Large Send Offload and your problem will be solved.
![clip_image003[4]](http://blogs.technet.com/blogfiles/csstwplatform/WindowsLiveWriter/UnabletomakeRDPsessionfromXPtoWin2008_79D2/clip_image003%5B4%5D.jpg)
![clip_image004[4]](http://blogs.technet.com/blogfiles/csstwplatform/WindowsLiveWriter/UnabletomakeRDPsessionfromXPtoWin2008_79D2/clip_image004%5B4%5D.jpg)
1. 請先清除 %systemroot%\Temp\OpsMgrTrace 下的檔案
請先執行下面的command 再刪除
StopTracing.cmd
2. 在 Agent 上開啟命令提示字元,並進入下列路徑
%program files%\System Center Operations Manager 2007\Tools 
3. 執行下面命令 :
StartTracing.cmd VER 
注意: VER 需要大寫
4. 重新啟動 OpsMgr Health Serivce (重現問題)
5. 等 1分鐘後,執行下面命令
StopTracing.cmd 
6.執行 FormatTracing.com 
7. 將 %systemroot%\Temp\OpsMgrTrace 目錄下的 TraceGuidsBID.log, TraceGuidsNative.log, and TraceGuidsUI.log 開啟並分析問題
一、若要針對已使用,或是未使用的USB儲存設備停用,您可以這樣做。
==========================================================================================================
二、如果您有大量的機器要做設定,您可以使用subinacl.exe工具配合Grou Policy裏的Machine start up script項來達到您的目的。
regedit /s 123.reg
subinacl /regkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /deny=everyone
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
==========================================================================================================
使用LMHOSTS 搭配HOSTS來手動安裝Client。
1. LMHOSTS:
192.168.1.1 "MP_S00 \0x1A" #PRE #SCCM 2007 MP
(請注意在 ” ”中,共有20個字元含空格)
192.168.1.1 "SMS_SLP \0x1A" #PRE #SCCM 2007 SLP
(1) 設定完成後,請調整網路卡設定,讓網卡使用LMHOST解析名稱。
(2) 執行 netstat –R (Purge and preload NBT Remote Cache Name Table)
(3) 執行 netstat –c (Lists local NetBIOS names)
2. HOSTS:
<Site server's IP address> Site server's machine name
For example:
192.168.1.1 Site_ServerName
192.168.1.1 MP_S00
192.168.1.1 SMS_SLP
Manual run CCMSETUP installation command (Properties)
Example:
ccmsetup smssitecode=S00 SMSMP=MP_Name SMSLP= SLP_Name /source:”c:\sccmclient“
DCDIAG.TXT
Testing server: Default-First-Site-Name\ADMAIL
Starting test: Replications
* Replications Check
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: DC=mst,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 12:20.50.
The last success occurred at 2007-12-02 01:48.16.
9009 failures have occurred since the last success.
[CAD] DsBind() failed with error -2146893022,
目標的主名稱不正確。.
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: CN=Schema,CN=Configuration,DC=mpi,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 11:50.25.
The last success occurred at 2007-12-02 01:48.16.
1263 failures have occurred since the last success.
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: CN=Configuration,DC=mpi,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 12:23.25.
The last success occurred at 2007-12-02 01:48.16.
7839 failures have occurred since the last success.
解決方法
- 確認時區時間一致
- 一般應該為security channel broken
如何使用 Netdom . exe 來重設機器帳戶密碼的 Windows 2000 網域控制站
http://support.microsoft.com/kb/260575
若是無法重設請先停用有問題DC的Kerberos Key Distribution Center服務然後重新開機,重新reset security channel
- 若是仍然不行請停用所有DC Kerberos Key Distribution Center服務重新開機在嘗試reset security channel ,然後使用repadmin /syncall 或是 ad site and services強制覆寫
完成後再將Kerberos Key Distribution Center設置為自動,重新啟動
************************************************************
repadmin.txt
==========
TP\DCS01
DSA Options : IS_GC
objectGuid : 7809b003-4650-4646-949e-f25e22339a30
invocationID: 7809b003-4650-4646-949e-f25e22339a30
DsBindWithCred to localhost failed with status 1727 (0x6bf):
遠端程序呼叫失敗且不執行。(The remote procedure call failed and did not execute)
NTDS event log
========
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: 知識一致性檢查程式
事件識別碼: 2051
日期: 2008/1/7
時間: 上午 08:13:06
使用者: NT AUTHORITY\ANONYMOUS LOGON
電腦: DCS01
描述:
知識一致性檢查程式已偵測出可能的連線振盪。下列連線 (或與它相似的連線) 已被 重複地建立並刪除。在指出的時段內連線會持續,必須等到該時段過了之後,連線才 會再被刪除。
連線物件:
CN=04d9f039-96f1-4692-9386-a49426e47cf2,CN=NTDS Settings,CN=DCS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
目的地 DSA GUID:
7809b003-4650-4646-949e-f25e22339a30
來源 DSA:
CN=NTDS Settings,CN=TPNPCENGS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
來源 DSA GUID:
a53f49cc-b012-4e9f-9fde-83f1720d485a
選項:
1
保留期間 (秒):
604800
重複的刪除容錯:
3
刪除點內部識別碼:
f07023b
使用者動作:
經常建立及刪除錯誤後移轉連線可能是 bridghead 不穩定的表示。請檢查 bridgehead 的連線能力或複寫問題。也可以使用登錄來調整錯誤後移轉原則。
請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: 知識一致性檢查程式
事件識別碼: 1925
日期: 2008/1/7
時間: 上午 05:53:08
使用者: NT AUTHORITY\ANONYMOUS LOGON
電腦: DCS01
描述:
嘗試為以下可寫入的目錄磁碟分割建立複寫連結時失敗。
目錄磁碟分割:
CN=Configuration,DC=fp,DC=com
來源網域控制站:
CN=NTDS Settings,CN=TPNPCENGS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
來源網域控制站位址:
a53f49cc-b012-4e9f-9fde-83f1720d485a._msdcs.fpg.com
站台間傳輸 (如果有的話):
必須先修正此問題,否則這個網域控制站將無法以來源網域控制站進行複寫。
使用者動作
檢查來源網域控制站是否可以存取或網路連線是否可供使用。
其他資料
錯誤值:
1722 無法取得 RPC 伺服器。
請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
事件類型: 錯誤
事件來源: NTDS Replication
事件類別目錄: 複寫
事件識別碼: 1863
日期: 2008/1/6
時間: 下午 06:20:00
使用者: NT AUTHORITY\ANONYMOUS LOGON
電腦: DCS01
描述:
這是本機網域控制站上,下列目錄磁碟分割的複寫狀態。
目錄磁碟分割:
DC=npceng,DC=tw,DC=fp,DC=com
本機網域控制站並未在設定的延遲間隔內,從一些網域控制站收到複寫資訊。
延遲間隔 (小時):
24
所有站台上的網域控制站數目:
5
這個站台上的網域控制站數目:
3
可以使用下列登錄機碼來修改延遲間隔。
登錄機碼:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Replicator latency error interval (小時)
如果要依照名稱來識別網域控制站,請安裝包含在安裝 CD 中的支援工具,然後執行 dcdiag.exe。
您也可以使用支援工具 repadmin.exe 來顯示樹系中網域控制站的複寫延遲。 命令為 "repadmin /showvector /latency <partition-dn>"。
RPC網路不透通
解決方法
- 檢察135 port 是否Listen
Netstat –ano
-嘗試telnet Server IP 135
-收集網路封包
RPC連接埠
RPC TCP 135
隨機高 TCP 連接埠配置 TCP 介於 1024 - 65534 隨機連接埠號碼 *
Inbound 135要通
Outbound 1024 - 65534
有些客戶會有檔Inbound與Outbound 須特別注意
與網路連接埠需求為 Windows Server 系統服務概觀
http://support.microsoft.com/?id=832017
若是客戶一定要限制動態RPC可以參考以下文件
如何設定 RPC 動態連接埠配置以使用防火牆
http://support.microsoft.com/kb/154596/
************************************************************
NTDS Event Log:
===============================
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: (1)
事件識別碼: 1265
日期: 2008/8/27
時間: 下午 05:11:13
使用者: N/A
電腦: AD2
描述:
DC=mst,DC=com,DC=cn, 8bc74036-872f-4cbf-9d2a-6f6e03606122._msdcs.audrey.com.tw, Access is denied.
, CN=NTDS Settings,CN=THAD,CN=Servers,CN=Taichung,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw, CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw.
資料:
0000: 05 00 00 00 ....
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: (1)
事件識別碼: 1265
日期: 2008/8/27
時間: 下午 05:11:08
使用者: N/A
電腦: AD2
描述:
CN=Schema,CN=Configuration,DC=mst,DC=com,DC=tw, 8bc74036-872f-4cbf-9d2a-6f6e03606122._msdcs.audrey.com.tw, Access is denied.
, CN=NTDS Settings,CN=THAD,CN=Servers,CN=Taichung,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw, CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw.
資料:
0000: 05 00 00 00 ....
DCDiag:
===================================
Testing server: Thailand\AD2
Starting test: Replications
* Replications Check
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=mst,DC=com,DC=cn
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 15:54.44.
The last success occurred at 2008-08-27 12:18.51.
11 failures have occurred since the last success.
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=sing,DC=com,DC=cn
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 15:54.44.
The last success occurred at 2008-08-27 12:18.52.
11 failures have occurred since the last success.
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=mst,DC=com,DC=tw
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 16:11.25.
The last success occurred at 2008-08-27 12:18.50.
61 failures have occurred since the last success.
......................... AD2 passed test Replications
Repadmin:
==== INBOUND NEIGHBORS ======================================
DC=mst,DC=com,DC=cn
Thailand\AD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 15:54.44 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.51.
11 consecutive failure(s).
DC=sing,DC=com,DC=cn
Thailand\AD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 15:54.44 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.52.
11 consecutive failure(s).
DC=mst,DC=com,DC=tw
Thailand\AD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 16:11.25 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.50.
61 consecutive failure(s).
解決方式
有關於此問題,經確認後為DC的時間差超過5分鐘所導致的
參考資料
Troubleshooting Active Directory Replication Problems
http://technet.microsoft.com/en-us/library/bb727057.aspx
在該文件中提到的Event ID 1265中的檢查項目之一就是系統時間
在KB http://support.microsoft.com/kb/837361 中說明了
預設如果超過5分鐘的時間差會造成KDC Failed 的issue
確認時間差異大約8分鐘.修正時間後,DC複寫恢復正常
************************************************************