事件ID20499、事件ID10010、事件ID10016,远程不上
原创事件ID20499、事件ID10010、事件ID10016,远程不上
原创
现象:远程不上,报的msg类似这个:
事件ID:10010
10010是什么意思?
顾名(EVENT_RPCSS_SERVER_START_TIMEOUT)思义(RPCSS服务超时)
RPCSS即Remote Procedure Call (RPC)
RPCSS属于底层服务,而远程服务依赖它,由于RPCSS超时,进而影响了远程
系统日志有限,RPCSS超时的原因没法深入分析了,很可能是依赖RPCSS的其他服务高负载影响了RPCSS,进而影响了依赖RPCSS的远程服务
微软文档:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd337766(v=ws.10)?redirectedfrom=MSDN
解决方案:
运行dcomcnfg或comexp.msc打开组件服务,
组件服务→计算机→我的电脑→右击点“属性”→COM 安全→下方“启动和激活限制”那里有个“编辑”点一下→添加network service,4个允许全勾选→确定→应用
如法炮制,加这几个用户
Authenticated Users;NETWORK SERVICE;SYSTEM;LOCAL SERVICE (具体什么用户,结合日志,日志里会显示用户信息)
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{8D8F4F83-3594-4F07-8369-FC3C3CAE4919}
and APPID
{F72671A9-012C-4725-9D2F-2A4D32D65169}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{3185A766-B338-11E4-A71E-12E3F512A338}
and APPID
{7006698D-2974-4091-A424-85DD0B909E23}
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
Event ID 10016
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
reg query "HKEY_CLASSES_ROOT\CLSID\{8D8F4F83-3594-4F07-8369-FC3C3CAE4919}" /ve
查到是CDP Activity Store
reg query "HKEY_CLASSES_ROOT\CLSID\{D63B10C5-BB46-4990-A94F-E40B9D520160}" /ve
查到是RuntimeBroker
reg query "HKEY_CLASSES_ROOT\CLSID\{3185A766-B338-11E4-A71E-12E3F512A338}" /ve
查到是Flight Settings API Broker如果不起作用(微软文档给的方案,不是我造的),试试这个优化远程的脚本(解压后是rdp.ps1,打开powershell命令行,把rdp.ps1拖进去回车)
如果是事件ID10016,那么看清楚其中的CLSID和APPID在注册表里找到对应路径,右键属性改权限,参考https://blog.csdn.net/qq_27098985/article/details/78026832配置
Authenticated Users;NETWORK SERVICE;SYSTEM;LOCAL SERVICE
(具体什么用户,结合日志,日志里会显示用户信息)
例如
应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为
{3185a766-b338-11e4-a71e-12e3f512a338}
、APPID 为
{7006698d-2974-4091-a424-85dd0b909e23}
的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。
应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为
{D63B10C5-BB46-4990-A94F-E40B9D520160}
、APPID 为
\{9CA88EE3-ACB7-47c8-AFC4-AB702511C276}
的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。
HKEY_CLASSES_ROOT\CLSID\{3185a766-b338-11e4-a71e-12e3f512a338}
HKEY_CLASSES_ROOT\APPID\{7006698d-2974-4091-a424-85dd0b909e23}
HKEY_CLASSES_ROOT\CLSID\{D63B10C5-BB46-4990-A94F-E40B9D520160}
HKEY_CLASSES_ROOT\APPID\{9CA88EE3-ACB7-47c8-AFC4-AB702511C276}
例如
应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为
{D63B10C5-BB46-4990-A94F-E40B9D520160}
、APPID 为
\{9CA88EE3-ACB7-47c8-AFC4-AB702511C276}
的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。
应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为
{8D8F4F83-3594-4F07-8369-FC3C3CAE4919}
、APPID 为
{F72671A9-012C-4725-9D2F-2A4D32D65169}
的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。
HKEY_CLASSES_ROOT\CLSID\{8D8F4F83-3594-4F07-8369-FC3C3CAE4919}
HKEY_CLASSES_ROOT\APPID\{F72671A9-012C-4725-9D2F-2A4D32D65169}
总之,10016和10010参考微软文档即可
事件ID:20499
微软中英文文档:
https://support.microsoft.com/en-us/help/4021856/sbsl-issue-when-you-create-an-rdp-connection-to-windows-server
https://support.microsoft.com/zh-cn/help/4021856/sbsl-issue-when-you-create-an-rdp-connection-to-windows-server
解决方案:
执行这几句命令(上面那个rdp.ps1包含了下面的命令,以及更多的优化项,这些优化项是我从微软官网摘录的)
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services" /v "fQueryUserConfigFromLocalMachine" /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v "SecurityLayer" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\Rdp-tcp" /v "fQueryUserConfigFromLocalMachine" /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\Rdp-tcp" /v "SecurityLayer" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\Rdp-tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v "DisableTaskOffload" /t REG_DWORD /d 1 /fpowershell -c "& { restart-service termservice -force}" 这句命令可用手动重启远程服务的方式替代,如何手动重启,运行services.msc找到远程服务重启之即可
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。