一：Netmon trace安装和使用

您可以从以下站点下载 Network Monitor 3.4 (NetMon)，然后以管理员身份运行以安装 netmon 工具：
http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

CAPI2 log:
您需要在客户端和故障服务器捕获数据之前都启用 CAPI2 日志，因为默认情况下 CAPI2 事件日志是禁用的。
Open Event Viewer, expand Application and Services Logs – Microsoft – Windows – CAPI2. Right click Operational and select Properties. Then enable logging

Steps:

开启netmon capture（需要参考network monitor caputer）和右击以管理员身份运行RDS tracing工具在客户端和服务器端（需要添加截图）
客户端：

服务器端：

运行 Schannel etl trace 分别在客户端和服务器端:
以管理员身份打开CMD，运行以下命令启动schannel etl trace：

logman create trace “ds_security” -ow -o c:/ds_security.etl -p {37D2C3CD-C5D4-4587-8531-4696C44244C8} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 40960 -ets
logman update trace “ds_security” -p {1F678132-5938-4686-9FDC-C8FF68F15C85} 0xffffffffffffffff 0xff -ets
logman update trace “ds_security” -p {44492B72-A8E2-4F20-B0AE-F1D437657C92} 0xffffffffffffffff 0xff -ets
logman update trace “ds_security” -p “Schannel” 0xffffffffffffffff 0xff -ets

从客户端远程故障2019 VM复现远程失败问题。
运行以下命令在客户端和服务器上停止 schannel etl trace：
logman stop “ds_security” -ets

Schannel etl trace will be saved as c:/ds_security.etl

停止的RDS tracing 和network monitor在客户端和服务器端。

然后请将以下日志上传到工作区：
日志摘要：
客户端:
• netmon trace;
• CAPI2 Event log;
• Schannel etl
• RDS tracing logs
这个目录下所有日志
C:/Windows/System32/winevt/Logs

故障w2019 VM端:
• netmon trace;
• CAPI2 Event log;
• Schannel etl
• RDS tracing logs
这个目录下所有日志
• C:/Windows/System32/winevt/Logs

二.network monitor capture安装和使用

About how to capture network monitor traffic:
1.Choose the version for your system to download, install it as typical: https://www.microsoft.com/en-US/download/details.aspx?id=4865
2.Run Network Monitor as administrator.