Windows server 2012 远程连接关闭后用户被注销，导致OA系统异常

出问题前的操作

1. 6月2日做了安全加固，安装了OpenSSH服务
2. 6月3日安装了wRsync 服务定时同步数据到其他服务器
3. 6月6日晚上21点25分重启了服务器
4. 6月6日晚上21点50分服务已经启动正常，而且验证可以正常使用

反馈和处理过程描述

1. 6月7日上午7点20分 销售部反馈OA系统无法登录
2. 6月7日上午9点25分 远程登录服务器，发现OA服务已经退出，6日晚上打开的文件、浏览器等都被关闭，如同服务器刚刚启动一样
3. 6月7日上午9点40分重新启动了OA服务，先恢复了OA系统的正常访问，然后查看操作系统的事件查看器，未发现有服务器重启的日志
4. 6月7日上午11点03分再次出现OA系统无法访问问题，远程登录服务器，发现同上午9点25分登录查看到的现象
5. 6月7日上午11点10分 启动了OA系统之后，联系了OA的支持人员，其远程登录协助查看，只是重新启动了OA服务，重新演示了下如何启动，但，关键问题非启动操作问题，未提供有用的分析结论
6. 6月7日下午13点03分 销售部 反馈，OA系统再次无法登录，远程登录查看，出现相同现象

问题分析

2022年6月7日

1. 应该不是 OA 应用的问题，开始查看 windows 系统日志，打开“事件查看器” 查看“系统”、“应用程序”日志信息

2. 在“应用程序”日志中发现多个 “错误”日志，由Security SPP服务报出，而且，报错的时间点和OA系统不可用的时间点非常吻合，猜测应该就是该服务导致的

3. 查看报错信息，显示：许可证激活（slui.exe）失败，返回错误代码：hr=0x8007007B
   

4. 查询该错误代码，网上介绍为“操作系统激活码”失效导致

5. 查看windows系统的激活状态，显示已激活，不知为啥还会报错

6. 从网上再搜索了几个激活码，采用 slmgr 命令激活卸载证书、加载新的证书，“系统”信息中查看已激活，但，在执行 slmgr /ato 命令的时候失败

7. 重新回到“事件查看器”中的 SSP 服务，该服务为windows的软件平台保护系统，既然是该服务导致的，那么，直接到“服务”管理器里面关闭该服务。

8. 进入到“服务”管理器，找到该服务，发现无法关闭
   

9. 考虑到该服务周期性的执行，那么必然是有定时任务的，打开“任务计划程序”页面，找到 SSP 服务，将所有的定时任务都给禁用掉
   

全部禁用后的效果图：

10. 以为问题已经得到解决，结果在15点20分左右，问题再次出现，查看“任务计划程序”，发现“SvcRestartTask”这个任务处在“准备就绪”状态，另外 2个程序处在 “禁用”状态。看来是又被调度起来了。

11. 应该是 SSP 服务会检查“计划任务”是否符合预期，在不符合的情况下会重新设置

12. 如何彻底解决呢？认为应该有如下3种：
    a. 购买一个正版的激活码，或上网找一个合适的激活码
    b. 彻底禁用SSP服务：从网上查看资料表示，停用该服务后，系统会默认弹出操作系统未非正版服务，影响业务使用
    c. 禁止主机发送认证报文：若报文发送失败认为认证失败的话，该方法不可取

13. 经过分析，认为只有方法1更合适，在淘宝上买购买了正版的永久激活码，再看下下面的具体情况了。
    

14. 以为问题已经得到解决，但是，之后又再次发生，百思不得其解。

15. 继续分析，每次出现的现象都和账号被注销一样，那么是否是某些操作触发了账号注销？

16. 基于账号注销作为切入点，上网搜索“windows server 2012 系统 账号被注销”相关内容，搜索到如下信息https://blog.csdn/q865165648/article/details/105216107
    

17. 远程桌面连接中断后账号会被自动注销，之后按照该文档完成了配置，应该问题得到解决了

18. 但，很快问题再次出现。纳闷为啥？难道是修改配置后没有重启服务器？那就重启一下，再看看效果。时间到晚上10点20分了，下班回家，明天来看。

2022年6月8日

1. 早上登录手机OA，各种忐忑，果然还是不能登录

2. 心情沉重的来到公司，看看到底是啥原因导致的。

3. 明明各种信息和现象都表明，就是账号被注销了。好好看下系统日志，看是否有啥线索。

4. 基于多次出现问题的时间和问题基本都出在远程桌面断开后这些信息分析日志，发现：远程桌面断开时间和注销时间相差15分钟，而且注销事件确实是远程桌面触发的。
   
   
   
   
   
   

5. 感觉这次问题应该是非常明了了，下面就是到底应该如何设置。已做的设置：在 控制面板=》系统和安全=》管理工具=》本地安全策略=》本地策略=》安全选项
   a. Microsoft网络服务器："登录时间过期后断开与客户端的连接"配置成禁用
   b. Microsoft网络服务器："暂停会话前所需的空间时间数量

6. 在问题定位过程中，也遇到多次没有端口远程桌面连接，但是，在过一段时间后也会中断，提示信息：中断计数器用完。是否和这个有关呢？

7. 再昨天处理时查找资料中提到“本地组策略编辑器”里面也有关于远程桌面的配置，只是相关博文中介绍部分内容不需要配置，是否应该配置一下？

8. 我再次通过 win+R 输入gpedit.msc 打开“本地组策略编辑器”，找到“本地计算机配置”—>“管理模板”—>“Windows 组件”—>“远程桌面服务”—>“远程桌面会话主机” 对下面所有配置进行分析
   

9. 分析后认为：“会话时间限制”、“连接”这两部分的配置是有影响的，先给配置上。
   
   设置已中断会话的时间限制：已启用 选项： 结束已端口连接的会话：从不
   设置活动但空闲的远程桌面服务会话的时间限制：已启用 选项：空闲会话限制：从不
   设置活动的远程桌面服务会话的时间限制：已启用 选项：活动会话限制 ：从不
   达到时间限制时终止会话：已启用
   
   配置活动连接的时间间隔：已启用 选项：活动时间间隔： 99999

10. 完成以上配置后，我继续分析了“用户配置”—>“管理模板”—>“Windows 组件” 下面的所有内容，在“Windows 登录选项”中也发现和“登录过期”有关的配置
    
    设置要在登录时间过期时执行的操作：已启用 选项：设置要在登录时间过期时执行的操作：锁定
    有：锁定、断开、注销 3个选项，我选择了：锁定

11. 在“用户配置”下也有关于“远程桌面服务”的内容，看了下和“计算机配置”内容有重叠，且说明中写了同时配置以“计算机配置”的策略为准，因而此处不再配置。

12. 配置完了，信心满满，看效果。断开远程桌面连接，等待40分钟左右，再次远程连接，一切正常。再次断开连接，等待1小时左右，通过页面访问OA系统，一切正常，然后远程桌面连接，一切正常。

13. 至此，问题算是解决掉了。

解决方案

1. 修改安全选项：“工具”—>“本地安全策略”
   

然后“安全设置”—>“本地策略”—>“安全选项”，
Microsoft 网络服务器：登录时间过期后断开与客户端的连接：已禁用
Microsoft 网络服务器：暂停会话前所需的空闲时间数量：99999 分钟

同时设置：
网络安全：在超过登录时间后强制注销 ：已禁用 该配置为默认配置
2. 通过 win+R 输入gpedit.msc 打开“本地组策略编辑器”，找到“本地计算机配置”—>“管理模板”—>“Windows 组件”—>“远程桌面服务”—>“远程桌面会话主机” ，修改：“会话时间限制”、“连接”这两部分的配置

设置已中断会话的时间限制：已启用 选项： 结束已端口连接的会话：从不
设置活动但空闲的远程桌面服务会话的时间限制：已启用 选项：空闲会话限制：从不
设置活动的远程桌面服务会话的时间限制：已启用 选项：活动会话限制 ：从不
达到时间限制时终止会话：已启用

配置活动连接的时间间隔：已启用 选项：活动时间间隔： 99999
“用户配置”—>“管理模板”—>“Windows 组件” —>“Windows 登录选项”配置

设置要在登录时间过期时执行的操作：已启用 选项：设置要在登录时间过期时执行的操作：锁定

完成以上配置后问题不再出现问题。

写在最后

小问题搞了两天时间，有点小气愤了，之后还是要加强学习。