Problemas escritorio remoto

Santiago Muñoz Garcia 0 Puntos de reputación
2024-06-07T10:14:36.61+00:00

Buenas,

Tengo actualmente un Server con Windows Server 2022, y mi sorpresa es que me aparece el sigueinte error de escritorio remoto..

User's image

He podido entrar sin problemas siempre, utilizo el usuario administrador con todos los privilegios, y no consigo entrar, no tengo ninguna politica

Tras una revision de red, son los equipos remotos que intentan acceder a esta maquina quien manda un RST de la conexion y salta este aviso

¿Alguien puede resolver este problema? Tengo acceso a el por team viewer

Windows Server
Windows Server
Familia de sistemas operativos de servidor de Microsoft que admiten administración de nivel empresarial, almacenamiento de datos, aplicaciones y comunicaciones.
136 preguntas
0 comentarios No hay comentarios
{count} votos

6 respuestas

Ordenar por: Muy útil
  1. Jonathan Pereira Castillo 1145 Puntos de reputación Proveedor de Microsoft
    2024-06-17T14:34:48.3033333+00:00

    Hola Santiago,

    Gracias por proporcionar más detalles y la imagen del error. Según la descripción, parece que la sesión de Escritorio Remoto terminó debido a una de las siguientes razones: el administrador terminó la sesión, hubo un error al establecer la conexión, o hubo un problema de red. Además, mencionas que los equipos remotos están enviando un RST (Reset) en la conexión, lo que provoca este aviso.

    Aquí tienes algunos pasos adicionales que puedes seguir para solucionar este problema:

    Revisar los Registros de Eventos: Ve a Administrador de Eventos en el servidor y busca registros relacionados con Escritorio Remoto para obtener más detalles sobre el error.

    Verificar la Configuración de Red: Asegúrate de que no haya problemas en la red que puedan estar causando la terminación de la sesión de Escritorio Remoto.

    Comprobar la Configuración de RDP: Revisa la configuración de RDP en el servidor para asegurarte de que esté configurado correctamente y que no haya restricciones para el usuario administrador.

    1. Analizar el Tráfico de Red: Utiliza herramientas de análisis de red para monitorear el tráfico y determinar por qué se está enviando un RST a la conexión.

    ¡Espero que estos consejos ayuden a resolver el problema! Si necesitas más ayuda, estoy a tu disposición.

    Saludos

    Jonathan.

     


    Si la respuesta es la solución correcta, haga clic en "Aceptar respuesta" y vote cortésmente por ella. Si tiene preguntas adicionales sobre esta respuesta, haga clic en "Comentar". Nota: Siga los pasos de nuestra documentación para habilitar las notificaciones por correo electrónico si desea recibir notificaciones por correo electrónico relacionadas con este tema.


  2. Santiago Muñoz Garcia 0 Puntos de reputación
    2024-06-18T07:16:31.74+00:00

    Buenos dias,

    Gracias por la respuesta, con respecto a todas las opciones:

    En el visor de eventos tengo los siguientes registros cuando realizo un inicio de seion por escritorio remoto, esto es un inicio de sesion registrado controlando el tiempo

    1. El equipo intentó validar las credenciales de una cuenta. Paquete de autenticación: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Cuenta de inicio de sesión: Administrador Estación de trabajo de origen: LAPTOP-ODBU7VI**<<< Este es mi PC** Código de error: 0x0
    2. Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: WIN-AC337JM5NG1\Administrador Nombre de cuenta: Administrador Dominio de cuenta: WIN-AC337JM5NG1 Id. de inicio de sesión: 0x9C0604F Privilegios: SeSecurityPrivilege
      		SeBackupPrivilege
      
      		SeRestorePrivilege
      
      		SeTakeOwnershipPrivilege
      
      		SeDebugPrivilege
      
      		SeSystemEnvironmentPrivilege
      
      		SeLoadDriverPrivilege
      
      		SeImpersonatePrivilege
      
      		SeDelegateSessionUserImpersonatePrivilege
      
    3. Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: NULL SID Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 3 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: WIN-AC337JM5NG1\Administrador Nombre de cuenta: Administrador Dominio de cuenta: WIN-AC337JM5NG1 Id. de inicio de sesión: 0x9C0604F Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x0 Nombre de proceso: - Información de red: Nombre de estación de trabajo: LAPTOP-ODBU7VI Dirección de red de origen: 172.50.20.1 Puerto de origen: 0 Información de autenticación detallada: Proceso de inicio de sesión: NtLmSsp Paquete de autenticación: NTLM Servicios transitados: - Nombre de paquete (solo NTLM): NTLM V2 Longitud de clave: 128 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
      • GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
      • Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
      • Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
      • Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
    4. Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: WIN-AC337JM5NG1\Administrador Nombre de cuenta: Administrador Dominio de cuenta: WIN-AC337JM5NG1 Id. de inicio de sesión: 0x9C0604F Tipo de inicio de sesión: 3 Este evento se genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
    5. El equipo intentó validar las credenciales de una cuenta. Paquete de autenticación: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Cuenta de inicio de sesión: Administrador Estación de trabajo de origen: LAPTOP-ODBU7VI Código de error: 0x0
    6. Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: WIN-AC337JM5NG1\Administrador Nombre de cuenta: Administrador Dominio de cuenta: WIN-AC337JM5NG1 Id. de inicio de sesión: 0x9C06AE2 Privilegios: SeSecurityPrivilege
      		SeBackupPrivilege
      
      		SeRestorePrivilege
      
      		SeTakeOwnershipPrivilege
      
      		SeDebugPrivilege
      
      		SeSystemEnvironmentPrivilege
      
      		SeLoadDriverPrivilege
      
      		SeImpersonatePrivilege
      
      		SeDelegateSessionUserImpersonatePrivilege
      
    7. Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: NULL SID Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 3 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: WIN-AC337JM5NG1\Administrador Nombre de cuenta: Administrador Dominio de cuenta: WIN-AC337JM5NG1 Id. de inicio de sesión: 0x9C06AE2 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x0 Nombre de proceso: - Información de red: Nombre de estación de trabajo: LAPTOP-ODBU7VI Dirección de red de origen: 172.50.20.1 Puerto de origen: 0 Información de autenticación detallada: Proceso de inicio de sesión: NtLmSsp Paquete de autenticación: NTLM Servicios transitados: - Nombre de paquete (solo NTLM): NTLM V2 Longitud de clave: 128 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
      • GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
      • Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
      • Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
      • Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
    8. Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: WIN-AC337JM5NG1$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-2 Dominio de cuenta: Font Driver Host GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0xb68 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS.
    9. Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: SYSTEM Nombre de cuenta: WIN-AC337JM5NG1$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: Sí Token elevado: No Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: Font Driver Host\UMFD-2 Nombre de cuenta: UMFD-2 Dominio de cuenta: Font Driver Host Id. de inicio de sesión: 0x9C07F44 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0xb68 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
      • GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
      • Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
      • Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
      • Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
    10. Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: WIN-AC337JM5NG1$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manager GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost Información de proceso: Id. de proceso: 0xb68 Nombre de proceso: C:\Windows\System32\winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS.

    La configuracion RDP me indica que esta correcta, los servicios estan levantados, si realizo la prueba de telnet tengo este resultado:

     18/06/2024   09:14.58   /home/mobaxterm  telnet 172.20.20.19 3389

    Trying 172.20.20.19...

    Connected to 172.20.20.19.

    Escape character is '^]'.

    Connection closed by foreign host.

     18/06/2024   09:15.18   /home/mobaxterm 

    La red la hemos revisado y no hay ninguna modificacion con respecto a este servicio, actualmente el server esta con una salida sin restricciones

    0 comentarios No hay comentarios

  3. Santiago Muñoz Garcia 0 Puntos de reputación
    2024-06-18T15:30:36.83+00:00

    lo que vemos a nivel de red es lo siguiente, que mi propio equipo es quien hace un RST de la conexión

    0 comentarios No hay comentarios

  4. Santiago Muñoz Garcia 0 Puntos de reputación
    2024-06-18T15:31:51.7333333+00:00

    Esto es lo que vemos a nivel de RED, que es mi propio equipo quien hace un RST de la conexion...

    Captura de pantalla 2024-06-13 094527

    0 comentarios No hay comentarios

  5. Jonathan Pereira Castillo 1145 Puntos de reputación Proveedor de Microsoft
    2024-06-19T22:13:07.0066667+00:00

    Gracias Santiago,

    Toda la información proveída ha sido de extrema ayuda para ayudarle con su caso.

    Entendemos que característica RST es la que está produciendo el error.

    Hemos encontrado el siguiente proceso para resolución, el cual es una mitigación a su error:

    Deshabilitación RST en Windows

    ¡Espero que estos consejos ayuden a resolver el problema! Si necesitas más ayuda, estoy a tu disposición.

    Saludos

    Jonathan.

     --------------------

    Si la respuesta es la solución correcta, haga clic en "Aceptar respuesta" y vote cortésmente por ella. Si tiene preguntas adicionales sobre esta respuesta, haga clic en "Comentar". Nota: Siga los pasos de nuestra documentación para habilitar las notificaciones por correo electrónico si desea recibir notificaciones por correo electrónico relacionadas con este tema.