在运行Server 2008 R2的计算机的事件日志中,出现以下错误:
“RDP协议组件X.224在协议stream中检测到错误,并断开了客户端连接。”
来源:TermDD事件ID:50
我每24小时收到约5个这样的信息。
该机器是一个Web服务器。 这是暴露在外面的世界,但只有80港口是开放的。
我有一些担心,这是通过远程桌面黑客机器的尝试的结果,但我不明白如何只有端口80打开可能。
而另外一个原因,我担心恶意的意图是,我把这个站点托pipe在不同的2008 R2机器上,它显示了这些日志事件。 然后,我更改了路由器中的IP转发规则,将外部stream量发送到新机器,并开始显示日志事件。
远程桌面没有问题,它工作正常,实际上是我如何与这些机器交互,没有断开连接。
关于可能发生什么的任何build议?
只有端口80暴露于“networking”,这些不太可能是对RDP服务器的实际连接尝试。 我试图find你的授权RDP连接尝试之间的一些相关性。 假设您连接到允许RDP的后端LAN或VPN,所以您还应该确保没有未经授权的用户尝试向服务器计算机发起RDP连接尝试。
如果您没有提出任何build议,可以嗅探包装箱上的stream量,将捕获filter设置为只loggingRDPstream量,并查看您可以find的事件日志条目。