[win] terminal rdp session hang troubleshooting in AWS

서비스 운영 중인 장비에서, 서버 접속이 되지 않는 다는 연락을 받게 되었습니다.

어떤 부분에서 연결이 안되는지 파악해보니,  기존 vpn 연결이 끊어지고, 접속중이던 mssql 서버로 터미널 접속이 되지 않아 문의가 온 상황입니다.

 

다행이 서비스 영향성을 파악해보니 디비와의 연결이나 서비스에는 이상이 없었습니다.

(이때는 약간 안정)

 

터미널 세션이 active state로 리미트에 걸려있을 것으로 예상하고 상태를 확인하려 하니,

콘솔 접속은 불가능하고 저역시 리모트 접속은 불가능한 상황입니다. (AWS windows)

 

부랴부랴 139,445 포트를 열고, sysinternals 를 받아서 psexec 를 실행해봅니다.

PsExec.exe \\1.2.3.4 /accepteula /h /u 관리자계정 /p 암호 cmd /c “query session”

 

역시 실행결과 session이 active state로 2개 꽉차있는 상황이었고, reset session [session ID] 으로 단순하게 해결될 거라 생각했습니다만, 리셋이나 테스크 중지가 먹히지 않는 상황이었습니다.

2년만에 윈도우 서버로 접속을..(?)  하다보니, 이때부턴 긴장이 되기 시작하더군요.ㅎㅎ

 

sc stop termservice 명령을 하면 dependent 로 인해 서비스 중지가 되지 않습니다.

 

net stop termservice /yes 명령을 통해서 관련 서비스를 포함해서 중지하려하니 또 문제가 생깁니다.  stop_pending 상태로 터미널 서비스가 멈춰있네요.

 

sc queryex termservice  명령을 통해 해당 pid를 찾아서

taskkill /f /pid [termservice PID] 로 중지하고 나서 다시 재시작 한 후에야

세션이 정상적으로 성립되었습니다.

 

rdp hang 의 상세한 원인을 찾으려면 이제부터 고생 시작일 것 같네요.

 

우선은 저와 비슷한 상황을 겪으신 분들이 계시다면 해당 포스트가 도움이 되길 바라며,  포스팅 합니다.

 

오랜만이라 매우 긴장되었습니다.   😥

 

[기타] 신뢰할수 있는 루트 인증서 등록 하는 법

Mac OS X

Add

Use command:

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/new-root-certificate.crt

Remove

Use command:

sudo security delete-certificate -c “<name of existing certificate>”

Windows

Add

Use command:

certutil -addstore -f “ROOT” new-root-certificate.crt

Remove

Use command:

certutil -delstore “ROOT” serial-number-hex

Linux (Ubuntu, Debian)

Add

  1. Copy your CA to dir /usr/local/share/ca-certificates/
  2. Use command:

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

  1. Update the CA store:

sudo update-ca-certificates

Remove

  1. Remove your CA.
  2. Update the CA store:

sudo update-ca-certificates –fresh

Restart Kerio Connect to reload the certificates in the 32-bit versions or Debian 7.

Linux (CentOs 6)

Add

  1. Install the ca-certificates package:

yum install ca-certificates

  1. Enable the dynamic CA configuration feature:

update-ca-trust force-enable

  1. Add it as a new file to /etc/pki/ca-trust/source/anchors/:

cp foo.crt /etc/pki/ca-trust/source/anchors/

  1. Use command:

update-ca-trust extract

Restart Kerio Connect to reload the certificates in the 32-bit version.

Linux (CentOs 5)

Add

Append your trusted certificate to file /etc/pki/tls/certs/ca-bundle.crt

cat foo.crt >> /etc/pki/tls/certs/ca-bundle.crt

Restart Kerio Connect to reload the certificates in the 32-bit version.