#原创分享#GAP-网闸透明部署导致远程桌面异常
  

賀智文 80638人觉得有帮助

{{ttag.title}}
【项目背景】
该客户采购深信服GAP用于隔离mes业务,透明部署于超融合前端,远程桌面卡慢,网闸端口全放正常,限制单独3389会存在连接缓慢
【客户问题】

问题:外部运维用户去访问超融合内虚拟机,网闸单独放通3389,远程桌面需要等待3-5分钟左右才能连上,该策略端口全放通就正常登录,400已经介入排查一天,由于网闸没有直通日志,问题未定位
【问题排查思路】
1.梳理现场环境
   3389远程异常的虚拟机在超融合内部,管理主机在网闸的外侧,中间除网闸设备外无其他安全设备。
2.现象复现
  通过办公电脑和自带PC通过mstsc去远程登录对应虚拟机需要2-5分钟左右才能进去,当网闸上对应策略的端口控制调整为1-65535后1-3秒左右就能进去远程桌面,客户电脑和自带笔记本以及mac笔记本现象一样
3.问题排查思路
   通过对照法能明确是网闸的配置原因导致
   通过对照法能明确和PC类型以及配置无关
   通过百度查看对应远程桌面卡慢的修复建议尝试后无效
   wireshark抓包发现端口全放和只放通3389端口数据包没有异常
4.问题排查过程
  ① 经过前面对照测试,能明确的是有端口未放通导致的远程登录卡慢,和客户沟通目标服务器是否有特殊配置,查看后发现是用的普通模版,该服务器加域,同时共享文件也无法打开,客户口头排除了是加域的问题,服务器未加域前也是该现象,首次排查未测试是否和加域有关,在百度查找对应资料后得知,加了域的服务器会有额外端口需要放通

②.取得客户同意后对该服务器进行去除域,测试只放通3389正常
③.问题范围缩小,现在范围是在加域之后产生的,放通百度上得知的端口后问题依旧,还是存在部分端口未放通。
④.通过查询百度以及微软官方文档得知,加域之后的服务器进行远程连接会调用RPC,PC去发起远程桌面连接由于用域账号认证会和域控服务器去做认证,通过域控服务器去反馈给PC和服务器对接的动态端口是多少,如没有放通就会遍历最后通过,现象就是卡慢
(动态RPC端口是如何运作的呢?举一个例子,一台应用程序服务器( App Server ) 与域控制器( DC ) 之间的通信,App Server先连接DC 的RPC Endpoint Mapper (RPC Locator Services, 使用TCP端口135),接着 RPC Endpoint Mapper再通知App Server应该要连接的端口(它是动态的,使用的端口可能是1024-5000,可能是49152-65535,也可能是其他预先预定的范围),App Server得知端口后, 再连接DC上的这个动态端口。)

⑤.服务器系统为server 2012,要放49152-65535一共16000多个端口,放通后测试一切正常
5.问题根因
   目标服务器由于加域之后需要放通域控认证的端口,以及域控所需组建的端口才能正常连接,单独放通3389会有问题。后续有和windows有关的建议上微软官网查对应文档

打赏鼓励作者,期待更多好文!

打赏
48人已打赏

新手319560 发表于 2022-1-19 11:54
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
头像被屏蔽
新手899116 发表于 2022-1-19 12:30
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
JM 发表于 2022-1-19 12:36
  
提示: 作者被禁止或删除 内容自动屏蔽
暗夜星空 发表于 2022-1-19 16:40
  
坚持每日学习打卡
新手687249 发表于 2022-1-19 17:46
  
坚持每日学习打卡……
zjwshenxian 发表于 2022-1-19 18:12
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
慈行普渡 发表于 2022-1-19 19:13
  
坚持每日学习打卡……
HeJing 发表于 2022-1-19 19:16
  
坚持每日学习打卡……
HeYanYong 发表于 2022-1-19 19:19
  
坚持每日学习打卡……
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
技术笔记
【 社区to talk】
新版本体验
功能体验
技术咨询
标准化排查
2023技术争霸赛专题
GIF动图学习
信服课堂视频
产品连连看
自助服务平台操作指引
每周精选
秒懂零信任
技术晨报
高手请过招
技术圆桌
答题自测
安装部署配置
每日一记
玩转零信任
通用技术
场景专题
升级&主动服务
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人