Win 2012 R2 / IIS 8.5 intermitente Conexão recusada

Navegue suas respostas
1

Sofremos com um problema de conexão recusada quando os usuários do nosso site tentam abri-lo. Esse problema acontece de maneira aleatória, cerca de uma ou duas vezes por mês, e o problema continua por algumas horas. Além disso, ao acontecer, quase todas as conexões são rejeitadas por erro de conexão recusada. mas há conexões bem sucedidas enquanto isso.

  • SO: Win 2012 R2 Standard hospedado no ESXI 6
  • IIS 8.5
  • O servidor da Web hospeda um aplicativo ASP.NET.
  • O Firewall do Windows está ativado.
  • Média da conexão atual no servidor: ~ 3500 (com base no contador do monitor de desempenho da conexão do serviço da Web \ Current)
  • RAM total: 40 GB
  • CPU: 30 núcleos, 2,30 GHz

Há muita RAM (mais de ~ 60%) e CPU (mais de ~ 70%) disponíveis enquanto esse problema acontece. Também checamos o firewall da rede e aparentemente o tráfego está passando pelo firewall da rede sem problema e o problema acontece no nível do servidor. E nem podemos abrir o site fazendo a área de trabalho remota e tentando abrir localmente.

Verificamos o problema do porto exaurido e parece que esse não é o problema. O número de pacotes SYN é alto, mas é semelhante aos outros dias em que tudo está bem.

Este é um dia de verão do log HTTPERR: 

s-reason    COUNT(ALL *)
Timer_ConnectionIdle    462040
Timer_MinBytesPerSecond 27555
Request_Cancelled   1757
Timer_EntityBody    428
Forbidden   247
URL 130
Hostname    117
BadRequest  102
Connection_Dropped  96
Client_Reset    88
Connection_Dropped_List_Full    40
Verb    10
Header  7
Connection_Abandoned_By_ReqQueue    1

Qualquer ajuda é muito apreciada para descobrir o motivo pelo qual a conexão é recusada ao tentar abrir um site hospedado neste servidor.

    
por Mohammad Reza Sadreddini 03.09.2017 / 06:49

1 resposta

0

Você está rodando em um ambiente virtual, ou em uma máquina física? (Edite, apenas releia, e veja o ESXI 6. Então o Virtual é então.)

Você tem uma VM VMware, está usando a NIC de instalação padrão ou está usando a NIC específica de provedores de VM? (isto é: Intel vs. VMWare)

Temos um problema semelhante, mas é muito menos persistente quando ocorre. (O nosso é exposto quando um script automatizado é executado para verificar o status de 30 sites para cima / baixo, mas afeta somente meia dúzia de LWP.)

(Desculpe, não posso usar comentários ainda, não tenho o representante para isso)

Editar 2

De acordo com este link do TechNet encontrado por Mohammad, o SYN Attack Protect está ativado por padrão em > = Vista. O que eu encontrei ontem, mas ao contrário do que eu li ontem, as RegEdits em Editar 1 aparentemente não o tornam mais agressivo ou ativo.

Adotei uma abordagem temporária de bloqueio de IPs no firewall para ver o que acontece. Excesso SYN_RECEIVED conexões soltar e, eventualmente, aumentar novamente em outro IP (como você esperaria).

Editar 1 - [Possivelmente desmascarado?]

Se você não leu todos os comentários abaixo, parece que isso está indo na direção de um ataque SYN (para nós dois).

Atualmente, estou testando as seguintes alterações em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ em um servidor de desenvolvimento para testes:

SynAttackProtect : link TcpMaxConnectResponseRetransmissions : link TcpTimedWaitDelay : link TcpMaxHalfOpenRetried : link TcpMaxPortsExhausted : link TcpTimedWaitDelay : link

Um pouco parecido com o que está detalhado aqui: link

Nota útil - alguns usos da Porta TCP / UDP. Especialmente se você está considerando aumentar as portas na faixa efêmera. (ou seja: netsh int ipv4 set dynamicportrange tcp start=45536 num=20000 ) link

    
por 04.09.2017 / 02:01

Tags

Migração de caixas de correio do Exchange Server 2010 para o Office 365 Quando o AD LDS é realmente necessário