CloudOne Workload Securityでファイアウォール機能を利用時にRDP接続が不安定になるのはなぜか?対策方法について
こんにちは、コンサル部@大阪オフィスのTodaです。
CloudOne Workload Security(C1WS)でファイアウォール機能を利用時にRDP(Remote Desktop Protocol)接続が不安定になるケースがございます。
設定内容や通信状況により発生する場合がございますので同事象で悩まれているお客様向けにご案内させていただきます。
症状について
RDP接続を利用時に下記2パターンの症状が発生します。 また、ファイアウォールや侵入防御のログに記録が残らないのが症状の注意点になります。
- 画面が急に固まり、数秒経過すると描写が再開するを繰り返す。
- 操作をしてる状態で急にクライアントが切断される。
原因について
ファイアウォール機能でUDPステートフルインスペクション機能が有効な場合に発生する事がございます。
UDPステートフルインスペクション機能はUDPの要求・応答をC1WSにて管理する機能となっておりUDPのタイムアウト時間が短い場合に発生します。
RDPでは標準設定でTCPとUDPプロトコルを併用して通信をおこなっています。
UDP > TCP > UDPと切り替わる中で上記UDPのタイムアウトが発生するとコネクションが維持出来ずに描写の停止や切断が発生いたします。
対応策について
対応策は下記2パターンございます。
- C1WSのUDPステートフルインスペクション機能のUDPタイムアウト時間を延長する。
- RDP接続をTCPのみに制限する
今回はUDPのタイムアウト時間を延長する方法を試してみます。
RDP接続をTCPのみに制限する方法については当ブログで紹介致しませんが「rdp tcpだけ利用する」でGoogle検索いただく事で参考サイトが表示されますのでご参考頂けたらと思います。
タイムアウト時間を延長してみる
タイムアウト時間はポリシーまたはインスタンスに対して設定が可能です、RDP接続が失敗するインスタンスの台数に合わせてどちらで対応するかを検討ください。
C1WSのポリシー設定に移動
C1WSの管理コンソールにログインをおこないます。
画面上部の[ポリシー]をクリックして一覧を表示して、対象インスタンスが関連付けされている[ポリシー]をダブルクリックして詳細を表示します。
ファイアウォールの設定確認
左メニューから[ファイアウォール]を選択して現在設定されている「ファイアウォールステートフル設定」を確認します。
選択肢横の[編集]をクリックして詳細を表示します。
上部タブメニューから[UDP]を選択して表示される設定に「ステートフルUDPインスペクションを有効にする」がチェックされているかをご確認ください。
チェックが入っている場合はUDPステートフルインスペクション機能がRDP接続を不安定にしている可能性がございます。
下記設定をおこない対策をおこないます。
UDP接続のタイムアウトの調整
編集画面を閉じてポリシーの詳細画面に戻ります。
左メニューから[設定]を選択し、画面上部の[詳細]タブをクリックします。
画面をスクロールしてネットワークエンジンの詳細オプションを表示して[初期設定]のチェックを外します。
UDPタイムアウトの値を (初期設定)20秒 から 60秒 など延長をおこないます。
※ 延長時間は環境にあわせて調整ください。
設定後は[保存]をおこないインスタンスに設置されているエージェントにポリシー配布がおわるのを待ちます。
設定操作は以上になります。
RDP接続の不安定が解決しているかを確認します。
さいごに
今回はC1WSのファイアウォール機能を利用時にRDP接続が不安定になるケースについてご紹介をさせていただきました。
少しでもお客様の参考になればと考えております。