Đã sử dụng Theo dõi sự kiện cho Windows để khám phá csrss.exe chịu trách nhiệm buộc tiến trình thoát ra.
Tạo/Bắt đầu theo dõi
logman tạo dấu vết "NT Kernel Logger" -ow -o c:\temp\logger.etl -p "Windows Kernel Trace" (quy trình) -nb 16 16 -bs 1024 -mode Thông tư -ct perf -max 4096 -ets
Dừng theo dõi
logman dừng "NT Kernel Logger" -ets
TraceView được sử dụng để mở logger.etl, sao chép nội dung vào notepad++ để xem xét/phân tích.
Phân tích hiển thị csrss.exe bắt đầu/kết thúc wd.exe.
csrss.exe 0x1AF0 bắt đầu
[1]2D08.4F10::04/08/22-12:13:03.4029831 [MSNT_SystemTrace] [Process - Start] UniqueProcessKey=0xFFFF81069BE15800,ProcessId=0x1AF0,ParentId=0x2D08,SessionId=136,ExitStatus=259,DirectoryTableBase=0x00DAA00 ,Flags=4,UserSID=\NT AUTHORITY\SYSTEM,ImageFileName=csrss.exe,CommandLine=%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll= baserv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16,PackageFullName=,ApplicationId=
WD.exe 0x36AC bắt đầu
[4]3420.18C0::04/08/22-12:13:25.4538232 [MSNT_SystemTrace] [Process - Start] UniqueProcessKey=0xFFFF81069C5C5800,ProcessId=0x36AC,ParentId=0x3420,SessionId=136,ExitStatus=259,DirectoryTableBase=0x151, Flags=2,UserSID=S-1-5-21-2800969729-2416879259-3544499912-1943,ImageFileName=WD.exe,CommandLine="C:\Program Files\WD.exe" 13344 6524,PackageFullName=,ApplicationId=
csrss.exe chấm dứt WD.exe
[2]1AF0.2CEC::04/08/22-12:13:34.9258068 [MSNT_SystemTrace] [Quy trình - Chấm dứt] ProcessId=0x36AC
[4]36AC.1A58::04/08/22-12:13:34.9281592 [MSNT_SystemTrace] [Process - End] UniqueProcessKey=0xFFFF81069C5C5800,ProcessId=0x36AC,ParentId=0x3420,SessionId=136,ExitStatus=1073807364,Directory10TableBase=00x3420 ,Flags=2,UserSID=S-1-5-21-2800969729-2416879259-3544499912-1943,ImageFileName=WD.exe,CommandLine="C:\Program Files\WD.exe" 13344 6524,PackageFullName=,ApplicationId=
Việc điều tra thêm đã dẫn đến cài đặt Chính sách địa phương (gpedit.msc).
Dịch vụ đầu cuối RemoteApp™ Logic kết thúc phiên
https://techcommunity.microsoft.com/t5/security-compliance-and-identity/terminal-services-remoteapp-8482-session-termination-logic/ba-p/246566
Mẫu quản trị | Thành phần Windows | Dịch vụ máy tính từ xa | Máy chủ phiên máy tính từ xa | Giới hạn thời gian của phiên | Đặt giới hạn thời gian cho các phiên bị ngắt kết nối = Đã bật | 1 phút
Cài đặt chính sách này cho phép bạn định cấu hình giới hạn thời gian cho
các phiên Dịch vụ Máy tính Từ xa bị ngắt kết nối.
Bạn có thể sử dụng cài đặt chính sách này để chỉ định lượng thời gian tối đa
rằng phiên bị ngắt kết nối vẫn hoạt động trên máy chủ. Theo mặc định,
Remote Desktop Services cho phép người dùng ngắt kết nối với Remote
Phiên Dịch vụ Máy tính để bàn mà không cần đăng xuất và kết thúc phiên.
Khi một phiên ở trạng thái ngắt kết nối, các chương trình đang chạy sẽ được giữ lại
hoạt động ngay cả khi người dùng không còn được kết nối tích cực. Qua
mặc định, các phiên bị ngắt kết nối này được duy trì không giới hạn
thời gian trên máy chủ.
Nếu bạn bật cài đặt chính sách này, các phiên bị ngắt kết nối sẽ bị xóa
từ máy chủ sau khoảng thời gian được chỉ định. Để thực thi các
hành vi mặc định mà các phiên bị ngắt kết nối được duy trì trong một
không giới hạn thời gian, chọn Không bao giờ. Nếu bạn có một phiên giao diện điều khiển,
giới hạn thời gian phiên bị ngắt kết nối không áp dụng.
Nếu bạn tắt hoặc không định cấu hình cài đặt chính sách này, chính sách này
cài đặt không được chỉ định ở cấp Chính sách Nhóm. Được y mặc định,
Các phiên ngắt kết nối Dịch vụ Máy tính Từ xa được duy trì trong một
không giới hạn số lượng thời gian.
Lưu ý: Cài đặt chính sách này xuất hiện trong cả Cấu hình máy tính và
Cấu hình người dùng. Nếu cả hai cài đặt chính sách được cấu hình,
Cài đặt chính sách Cấu hình máy tính được ưu tiên.
Khi được xác định, cài đặt chính sách cũng có thể được tìm thấy trong sổ đăng ký:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxDisconnectionTime DWORD = 60000
Về mặt kỹ thuật, ứng dụng bắt đầu và chạy trên hộp RDS, yếu tố chính giữa tốt (hoạt động) và xấu (chấm dứt) là mất bao lâu để hiển thị giao diện người dùng trên màn hình. Thay đổi cài đặt thành 5 phút đã khắc phục sự cố.
Microsoft đã từ chối ghi lại tình trạng trạng thái thoát này, tôi hy vọng điều này sẽ tăng tốc nỗ lực khắc phục sự cố của bạn.
