1、在VDC控制台的虚拟机管理页面查看虚拟机Agent状态是否正常,如下的绿色图标说明是正常的,若异常需要先解决Agent异常的问题。
2、在VDC控制台使用telnet检查VDC到虚拟机的7172端口连通性是否正常,如下Connected说明连通性是正常的,若连通性有问题,则需要先解决端口不通的问题。
3、在VDC后台执行命令:journalctl -u sangfor-vdictrl -f |grep ResponeClientSpice,然后使用手机接入测试,检查VDC是否有正确获取到虚拟机对应的IP和端口并回复给客户端。如下打印了SrapVmpIp(虚拟机IP),SrapVmpPort(虚拟机端口)这些信息,则说明正常。如果没有打印对应的日志则可以检测VDC本身是否正常,若看不出异常可以找VDC研发协助。
如果打印机的信息【SrapVmpIp(虚拟机IP),SrapVmpPort(虚拟机端口)】不正确则需要检查Agent日志是否有异常,若看不出异常可以找Windows研发协助。
4、使用远程桌面mstsc连接此虚拟机是否可以正常连接,如下说明使用7171端口可以正常接入虚拟机。如果无法接入,可以在百度上搜索相关的报错,进行解决,空密码会导致远程桌面无法接入。
PS:连接的端口可以使用默认的3389和7171进行对比测试,测试的用户需要使用此虚拟机当前使用的用户。如果用户是使用域用户登录则使用域用户登录测试。
6、查看%vdi%\SRAP\Log目录下对应时间点的日志(如果看不出异常,可以开启调试日志),开启方法如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sangfor\SSL\SRAPServer\SRAPSrv LogLevel 注册表的值从3修改为0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sangfor\SSL\SRAPServer\SRAPWorker LogLevel注册表的值从3修改为0
然后在任务管理器,服务一栏,找到SRAPSrv服务进行重启。
PS:排查后,一定要记得将修改的注册表还原并重启SRAPSrv服务。
如下基本日志基本说明是网络问题,如果有"Recv failed,TCP_ERRNO is 10054"也说明是网络问题。
7、在虚拟机内部和VDC上抓取正常和异常的数据包进行对比分析,抓包条件可以分别过滤VDC的IP和虚拟机的IP。如下对比正常和异常的数据包,发现服务端(虚拟机)发给客户端(VDC)的第一个数据包是隔了10秒才发送,然后发生了RST。
于是检测虚拟机内部防火墙配置,发现客户处此虚拟机的防火墙配置是通过域控管控的,直接在虚拟机内部无法关闭。
于是在虚拟机内部执行gpresult /h d:\gp.html 命令获取组策略报告,d:\gp.html为对应的路径,可自行修改。然后使用浏览器打开,就可以直观的看到当前的组策略报告,主要检查与远程桌面和与防火墙相关的策略。
此案例检查发现域控下发的策略没有与远程桌面相关的策略,只有与防火墙相关的策略,如下:
于是与客户沟通将域控上的此策略取消,问题得到解决。PS:与客户沟通时,要了解清楚客户这边修改域控策略的方便层度,
要说明清楚当前只是怀疑是此策略的影响,不能直接肯定的说取消此策略就一定可以解决。
建议使用Chrome浏览器访问!
