【项目背景】 该客户采购深信服GAP用于隔离mes业务,透明部署于超融合前端,远程桌面卡慢,网闸端口全放正常,限制单独3389会存在连接缓慢 【客户问题】 问题:外部运维用户去访问超融合内虚拟机,网闸单独放通3389,远程桌面需要等待3-5分钟左右才能连上,该策略端口全放通就正常登录,400已经介入排查一天,由于网闸没有直通日志,问题未定位 【问题排查思路】 1.梳理现场环境 3389远程异常的虚拟机在超融合内部,管理主机在网闸的外侧,中间除网闸设备外无其他安全设备。 2.现象复现 通过办公电脑和自带PC通过mstsc去远程登录对应虚拟机需要2-5分钟左右才能进去,当网闸上对应策略的端口控制调整为1-65535后1-3秒左右就能进去远程桌面,客户电脑和自带笔记本以及mac笔记本现象一样 3.问题排查思路 通过对照法能明确是网闸的配置原因导致 通过对照法能明确和PC类型以及配置无关 通过百度查看对应远程桌面卡慢的修复建议尝试后无效 wireshark抓包发现端口全放和只放通3389端口数据包没有异常 4.问题排查过程 ① 经过前面对照测试,能明确的是有端口未放通导致的远程登录卡慢,和客户沟通目标服务器是否有特殊配置,查看后发现是用的普通模版,该服务器加域,同时共享文件也无法打开,客户口头排除了是加域的问题,服务器未加域前也是该现象,首次排查未测试是否和加域有关,在百度查找对应资料后得知,加了域的服务器会有额外端口需要放通 ②.取得客户同意后对该服务器进行去除域,测试只放通3389正常 ③.问题范围缩小,现在范围是在加域之后产生的,放通百度上得知的端口后问题依旧,还是存在部分端口未放通。 ④.通过查询百度以及微软官方文档得知,加域之后的服务器进行远程连接会调用RPC,PC去发起远程桌面连接由于用域账号认证会和域控服务器去做认证,通过域控服务器去反馈给PC和服务器对接的动态端口是多少,如没有放通就会遍历最后通过,现象就是卡慢 (动态RPC端口是如何运作的呢?举一个例子,一台应用程序服务器( App Server ) 与域控制器( DC ) 之间的通信,App Server先连接DC 的RPC Endpoint Mapper (RPC Locator Services, 使用TCP端口135),接着 RPC Endpoint Mapper再通知App Server应该要连接的端口(它是动态的,使用的端口可能是1024-5000,可能是49152-65535,也可能是其他预先预定的范围),App Server得知端口后, 再连接DC上的这个动态端口。)
⑤.服务器系统为server 2012,要放49152-65535一共16000多个端口,放通后测试一切正常 5.问题根因 目标服务器由于加域之后需要放通域控认证的端口,以及域控所需组建的端口才能正常连接,单独放通3389会有问题。后续有和windows有关的建议上微软官网查对应文档 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-1-18 13:57
技术研究员2级 
