概要
Deep Security Agent (DSA)を導入後、Remote Desktop Protocol (RDP)の通信が不安定になったり、切断されるようになりました。ファイアウォールログや侵入防御ログを確認しましたが、何のイベントも発生していません。対処方法を教えてください。
詳細
原因
マイクロソフト社のリモートデスクトッププロトコル (RDP)では、Windows8、Windows Server 2012以降、パフォーマンス改善のため、 TCP・UDPプロトコルを併用するようになりました。 Deep Security Agent(DSA)にてUDPステートフルインスペクション機能を有効化している場合、UDPの要求/応答のやり取りを疑似コネクションとしてDSA内で管理することとなります。もし、DSA内で管理されていないUDP疑似コネクションに関するUDPパケットを受信した場合は、未承諾のパケットとしてDSAはパケットを破棄します。その際にファイアウォールイベントは生成されません。
また、DSAの初期設定ではアイドル状態(パケットの送受信が発生しない状態)で10秒が経過した場合、疑似コネクションを管理対象外とし、その疑似コネクションの全ての情報を破棄する仕様となっています。その後、破棄された疑似コネクションに関連するパケットを受信した場合、そのパケットを未承諾のパケットとして破棄します。
上記のような仕様から、RDPのUDP通信において一定時間パケットの送受信が停止した場合に、RDPのUDPパケットが破棄されることで画面表示が不安定になったり、RDPクライアントがサーバ側からの通信が途絶えたと判断し、通信を強制切断することにつながります。
対処方法
「UDPタイムアウト」の設定を初期設定の10秒から延長することで、疑似コネクションの保持期間を延長し、問題の回避ができます。
- 管理コンソールで対象の[コンピュータ]または[ポリシー]の設定画面を開きます。
- [設定]→[詳細]→[ネットワークエンジンの詳細設定]の項目を開きます。
- 「UDPタイムアウト」の値を初期設定(10秒)から60秒に変更します。
