인터넷차단 PC에서 RDP 연결 지연 시

“DNS 허용된 폐쇄망(인터넷 차단 80, 443등)에서 원격 윈도우서버 RDP 연결 시 최초 연결 실패 또는 연결 지연되는 장애와 관련하여 트러블슈팅 과정입니다. ”


1. 환경
1) 클라이언트(작업자) 환경
– Windows 7 Professional x64
– DNS 와 원격서버 RDP (TCP 3389) 외 인터넷이 차단된 환경

2) 서버
– 윈도우 2003, 윈도우 2008R2 외
– 윈도우 2008 원격 설정 : 모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용.

2. 증상
1) 클라이언트 PC 에서 mstsc 실행하여 원격서버 연결 시도 하면 한참 동안 응답 없음 보이다가 연결 실패 하거나 연결 지연됨.
2) 최초 RDP 세션이 연결되면 그 후 다른 서버는 체감상 연결 지연이 거의 없는 상태에서 연결됨
3) 윈도우 2003 서버는 위 증상과 같은 연결지연 없이 RDP 바로 연결됨.
4) 작업자 PC 윈도우 XP 일 때 나타나지 않던 증상

3. 대응
1) RDP 연결 시도 시 WireShark 로 패킷덤프시 다음 도메인 쿼리
ctldl.windowsupdate.com
(해당 도메인 검색 시 : Latest bug fixes for Microsoft Windows, including fixes for some possible DoS attacks.)
2) WireShark 에서 Retransmission 에러 발생하는 패킷의 Destination IP
23.76.153.48 : 80, 23.76.153.40 : 80, 121.254.188.137 : 80 등
3) nslookup 으로 위 1) 도메인 쿼리 시 응답 IP

4) 위 2) 와 3) IP 가 일치함을 확인하고 클라이언트 PC 의 DNS 주소를 Interactive DNS (recursion no로 설정되어 자신이 소유한 도메인 존의 정보만 그 응답으로 제공하는 DNS)로 변경
5) DNS 변경 후 클라이언트 PC 다시 RDP 연결 시 연결 지연 없음

6) 원인과 해결 방법은 찾았지만 윈도우 2003 서버는 지연이 없다는 점, PC 가 XP 일 때는 지연이 없었다는 점을 감안하여 teredo 셋팅을 disabled 로 변경, PC DNS 를 recursive dns 로 변경

7) 테스트 결과 teredo 설정과는 관련 없음.

8) MS 테크넷 에서 비슷한 증상에 대한 문의 글 발견
https://social.technet.microsoft.com/Forums/en-US/c2f0be2f-cb91-45a4-b874-4c2c45c8c5d1/rdp-client-hanging-at-securing-remote-session?forum=winserverTS
9) 제시된 해결방법은 ‘Microsoft 루트 인증서 프로그램에서 인증서 자동 업데이트’ 를 해제 하라는 설명.
https://support.microsoft.com/ko-kr/kb/2677070 여전히 연결 지연

4. 원인 및 해결 방법
1) 원인 : 윈도우 mstsc 통한 RDP 연결 시 ctldl.windowsupdate.com 통해 인증서 등의 정보를 받아오는 것으로 보입니다. 이 때 연결 실패가 되어 발생한 장애 입니다.
2) 해결방법 : 클라이언트 PC 에서 ctldl.windowupdate.com 의 IP 값을 응답 받을 수 없도록 DNS 수정합니다.

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다