none
windows server 2003 라우팅 및 원격 액세스 장애 문의 (재재질문) RRS feed

  • 질문

  • windows server 2003을 사용하고 있습니다.

    이 서버는 Web 서버로 사용되고 있습니다.

    서버를 사용하는 중 원격 접속이 안되어 직접 확인하니 라우팅 및 원격 액세스 서비스가 종료 되었다는 메시지가 나왔습니다.

    확인 시 내부 원격 접속은 되는데 외부 원격 접속은 되지 않았습니다.

    재부팅 후 서비스가 다시 정상적으로 돌아왔습니다.

    저번에 문의 드려 답변에 대용량 메일 체크를 하라고 하셨는데 메일 서버가 아니여서 그런 상황은 없었습니다.

    관련 이벤트 메시지로는 2012, 2013 (smtpsvc) 가 있습니다.

    질문

    1. 라우팅 및 원격 액세스가 종료 되어 외부 원격은 안되는데 내부 원격 접속은 되는가요? (서버가 IDC센터 같은 곳에 있습니다.)

    2. 라우팅 및 원격 액세스 서비스가 종료되는 원인을 알려주세요? (대용량 메일로 인한 원인 제외)

    3. 이 장애를 처리하기 위해 재부팅 말고는 없는가요?

    4. 이 장애가 더이상 발생하지 않게 하려면 어떻게 행하나요?

    좋은 답변 기다리겠습니다.

    2012년 12월 10일 월요일 오전 2:34

답변

  • RRAS 서비스는 사용하지 않는 다는 거죠?
    그럼에도 RRAS 서비스 메시지가 뜬다는것은 해킹되었을 가능성이 높습니다.

    해킹에 의해 RRAS 서비스가 활성화 되면, 보통 라우팅 설정이 되며 그렇게 되면 원격지에서 접속이 안됩니다.

    계정관리에서 계정상태나, 서비스 목록중에 알지 없는 서비스나, 작업관리자에서 프로세스 목록에 알수 없는
    프로세스가 떠 있는 경우등 추가적인 점검을 해보셔야 할것 같습니다.

    2012년 12월 13일 목요일 오전 10:15
  • 먼저 라우팅 및 원격 액세스가 어떤 역활을 아셔야 이문제를 파악하지 않을까 합니다

    Technet에서 애기하는 라우팅 및 원격 액세스의 정의는 다음과 같습니다.

    RRAS(라우팅 및 원격 액세스 서비스)는 VPN(가상 사설망) 또는 전화 접속 연결을 사용하여 IPv4(인터넷 프로토콜 버전 4) 및 IPv6(인터넷 프로토콜 버전 6) 네트워크 라우팅과 원격 사용자 또는 사이트 간 연결을 지원합니다.

    원격 액세스

    원격 액세스 기능은 사용자가 직접 연결된 것처럼 인터넷을 통해 회사 네트워크에 안전하게 액세스할 수 있도록 VPN 서비스를 제공합니다. 또한 원격 액세스를 사용하면 전화 접속 통신 링크를 사용하는 원격 또는 모바일 작업자가 회사 네트워크에 액세스할 수 있습니다.

    라우팅

    RRAS는 라우팅 및 네트워킹을 위한 소프트웨어 라우터 및 개방형 플랫폼입니다. 라우팅 서비스는 보안 VPN 연결을 사용하여 LAN(Local Area Network) 및 WAN(Wide Area Network) 환경에서나 인터넷을 통해 조직에서 사용될 수 있습니다. 라우팅은 다중 프로토콜 LAN-to-LAN, LAN-to-WAN, VPN 및 NAT(Network Address Translation) 라우팅 서비스에 사용됩니다.

    물론 기본적으로 해당 서비스는 설치시 활성화 되지 않습니다. 만약 사용하지도 않는 서비스가 왜 활성화 되어 있는지 파악이 필요합니다.

    아래 어떤분이 말씀하신것 처럼 해당 서비스를 이용해서 해킹 터널링을 많이 합니다.

    먼저 원격지에서 해당 서비스를 활성화 하여 레지스트리를 통해 설정정보를 추가하는등의 시나리오 입니다.

    이런경우 해당 서비스가 활성화 되어 문제가 발생할수 있을겁니다.

    1. 라우팅 및 원격 액세스가 종료 되어 외부 원격은 안되는데 내부 원격 접속은 되는가요? (서버가 IDC센터 같은 곳에 있습니다.)

    A. 해당 서비스문제가 발생하면 외부 원격연결이 차단됩니다. 이는 해당 서비스 문제로 인해 외부 해킹을 방지하기 위함으로 알고 있습니다.

    만약 해당 기능이 사용하는 사이트에서 해당 기능에 문제가 발생할 경우 무조건적으로 외부망 접속을 가능하게 하면 문제가 발생할수 있기 때문입니다.

    2. 라우팅 및 원격 액세스 서비스가 종료되는 원인을 알려주세요? (대용량 메일로 인한 원인 제외)

    A. 서비스가 종료되는 원인은 워낙 다양합니다. 딱 이겁니다 말할수 없는게 다양한 변수가 많기 때문입니다.

    따라서 정확한 원인분석을 위해서는 서비스 종료시 서비스 덤프를 수집해서 분석해야 합니다. 일명 TTT 라는 툴을 사용해서 서비스 중단 시 덤프 수집이 가능합니다.

    다만 이걸 분석할수 있는 능력자는 많지 않기 때문에(MS 기술지원센터는 가능) 어렵지 않나 싶습니다.

    3. 이 장애를 처리하기 위해 재부팅 말고는 없는가요?

    A. 재부팅 말고 다른 방법은 4번 답변에서 확인하시기 바랍니다.

    4. 이 장애가 더이상 발생하지 않게 하려면 어떻게 행하나요?

    A. 해당 장애는 우선 님께서는 파악하셨겠지만 라우팅 및 원격 액세스 서비스에 의한 문제인것을 알고 있는것 같습니다.

    장애가 발생하지 않기 위해서는 해당 서비스의 사용유무부터 판단하시기 바랍니다.

    해당 서비스를 사용해야 한다면 반드시 서비스 측면에서 문제 해결 접근을 해야 합니다. 이건 솔직히 말씀드리면 님께서 해결하기 쉽지 않을거라 생각됩니다.

    따라서 MS측에 기술지원을 받던가 벤더를 통한 기술지원을 받아야 할겁니다.

    만약 해당 서비스를 사용하지 않는다면 레지스트리에서 아예 해당 서비스를 삭제하는 겁니다. 서비스 삭제 방법은 구글링을 하시면 많이 나옵니다.

    만약 잘 모르시겠다면 메세지를 남겨주세요 그럼 방법을 안내해 드리겠습니다.

    2012년 12월 14일 금요일 오전 5:07

모든 응답

  • RRAS 서비스를 직접 사용하시는 중인가요?
    아니면, 사용중도 아닌 단순하게 웹서버에 터미널을 통해서 접속하는데 그런 이벤트가 뜬다는 건지요??.

    2012년 12월 12일 수요일 오전 12:11
  • Web 서버에서 작업을 하기 위해서 원격 접속을 시도하였습니다.

    하지만 원격 접속이 되지 않아서 시스템이 있는 곳으로 갔습니다.

    시스템을 모니터로 직접 연결하여 보니

    라우팅 및 원격 액서스 서비스가 종료되었다는 메시지가 있었습니다.

    그리고 Event log에 Event id 2012, 2013, 4000 (smtpsvc) 메시지가 있었습니다.

    원격 접속이 되었을 때는 이러한 메시지가 뜨지 않았으며, 재부팅 후 시스템이 정상적으로 돌아온 뒤로는 이런 메시지가 뜨지 않습니다.

    그래서 원인을 찾기위해 문의 드린겁니다.

    - Event id 2012, 2013, 4000이 원인에 대한 log 같아서 문의 드린겁니다.

    2012년 12월 12일 수요일 오전 4:42
  • 안녕하십니까? C.C.T 님,
    Microsoft Forum 사이트를 방문해 주셔서 감사합니다.

    문의하신 "windows server 2003 라우팅 및 원격 액세스 장애 문의 (재재질문)"에 대해서 답변드리겠습니다.

    아래 관련 Event ID에 대한 정보입니다. 확인부탁드립니다.
    같은 이벤트 id더라도 발생 사유가 다를 수있습니다 로그 메시지 또한 정보를 제공해주시는것이 좋습니다.

    Event id 2012
    Event ID 2012 — Connection Security Rule Processing
    http://technet.microsoft.com/en-us/library/dd364432(v=ws.10).aspx

    오류 2013: 디스크 용량이 거의 다 찼습니다.
    http://support.microsoft.com/kb/112509

    이벤트 ID 4000 및 메시지 릴레이 호스트 이름으로 IIS 5.0 SMTP 서비스를 사용하면 예상대로 배달된 수 없음
    http://support.microsoft.com/kb/286673

    제시해 드린 답변이 도움이 되었기를 바랍니다.
     
    답변이 문제 해결에 도움이 되었다면 답변으로 채택을 부탁드립니다.
    하지만 문제 해결이 되지 않아서 정확한 답변을 원하는 경우에는 문제의 정보를 더 자세하게 답변으로 제공해주시기 바랍니다.

     

    2012년 12월 12일 수요일 오전 9:01
    중재자
  • RRAS 서비스는 사용하지 않는 다는 거죠?
    그럼에도 RRAS 서비스 메시지가 뜬다는것은 해킹되었을 가능성이 높습니다.

    해킹에 의해 RRAS 서비스가 활성화 되면, 보통 라우팅 설정이 되며 그렇게 되면 원격지에서 접속이 안됩니다.

    계정관리에서 계정상태나, 서비스 목록중에 알지 없는 서비스나, 작업관리자에서 프로세스 목록에 알수 없는
    프로세스가 떠 있는 경우등 추가적인 점검을 해보셔야 할것 같습니다.

    2012년 12월 13일 목요일 오전 10:15
  • 먼저 라우팅 및 원격 액세스가 어떤 역활을 아셔야 이문제를 파악하지 않을까 합니다

    Technet에서 애기하는 라우팅 및 원격 액세스의 정의는 다음과 같습니다.

    RRAS(라우팅 및 원격 액세스 서비스)는 VPN(가상 사설망) 또는 전화 접속 연결을 사용하여 IPv4(인터넷 프로토콜 버전 4) 및 IPv6(인터넷 프로토콜 버전 6) 네트워크 라우팅과 원격 사용자 또는 사이트 간 연결을 지원합니다.

    원격 액세스

    원격 액세스 기능은 사용자가 직접 연결된 것처럼 인터넷을 통해 회사 네트워크에 안전하게 액세스할 수 있도록 VPN 서비스를 제공합니다. 또한 원격 액세스를 사용하면 전화 접속 통신 링크를 사용하는 원격 또는 모바일 작업자가 회사 네트워크에 액세스할 수 있습니다.

    라우팅

    RRAS는 라우팅 및 네트워킹을 위한 소프트웨어 라우터 및 개방형 플랫폼입니다. 라우팅 서비스는 보안 VPN 연결을 사용하여 LAN(Local Area Network) 및 WAN(Wide Area Network) 환경에서나 인터넷을 통해 조직에서 사용될 수 있습니다. 라우팅은 다중 프로토콜 LAN-to-LAN, LAN-to-WAN, VPN 및 NAT(Network Address Translation) 라우팅 서비스에 사용됩니다.

    물론 기본적으로 해당 서비스는 설치시 활성화 되지 않습니다. 만약 사용하지도 않는 서비스가 왜 활성화 되어 있는지 파악이 필요합니다.

    아래 어떤분이 말씀하신것 처럼 해당 서비스를 이용해서 해킹 터널링을 많이 합니다.

    먼저 원격지에서 해당 서비스를 활성화 하여 레지스트리를 통해 설정정보를 추가하는등의 시나리오 입니다.

    이런경우 해당 서비스가 활성화 되어 문제가 발생할수 있을겁니다.

    1. 라우팅 및 원격 액세스가 종료 되어 외부 원격은 안되는데 내부 원격 접속은 되는가요? (서버가 IDC센터 같은 곳에 있습니다.)

    A. 해당 서비스문제가 발생하면 외부 원격연결이 차단됩니다. 이는 해당 서비스 문제로 인해 외부 해킹을 방지하기 위함으로 알고 있습니다.

    만약 해당 기능이 사용하는 사이트에서 해당 기능에 문제가 발생할 경우 무조건적으로 외부망 접속을 가능하게 하면 문제가 발생할수 있기 때문입니다.

    2. 라우팅 및 원격 액세스 서비스가 종료되는 원인을 알려주세요? (대용량 메일로 인한 원인 제외)

    A. 서비스가 종료되는 원인은 워낙 다양합니다. 딱 이겁니다 말할수 없는게 다양한 변수가 많기 때문입니다.

    따라서 정확한 원인분석을 위해서는 서비스 종료시 서비스 덤프를 수집해서 분석해야 합니다. 일명 TTT 라는 툴을 사용해서 서비스 중단 시 덤프 수집이 가능합니다.

    다만 이걸 분석할수 있는 능력자는 많지 않기 때문에(MS 기술지원센터는 가능) 어렵지 않나 싶습니다.

    3. 이 장애를 처리하기 위해 재부팅 말고는 없는가요?

    A. 재부팅 말고 다른 방법은 4번 답변에서 확인하시기 바랍니다.

    4. 이 장애가 더이상 발생하지 않게 하려면 어떻게 행하나요?

    A. 해당 장애는 우선 님께서는 파악하셨겠지만 라우팅 및 원격 액세스 서비스에 의한 문제인것을 알고 있는것 같습니다.

    장애가 발생하지 않기 위해서는 해당 서비스의 사용유무부터 판단하시기 바랍니다.

    해당 서비스를 사용해야 한다면 반드시 서비스 측면에서 문제 해결 접근을 해야 합니다. 이건 솔직히 말씀드리면 님께서 해결하기 쉽지 않을거라 생각됩니다.

    따라서 MS측에 기술지원을 받던가 벤더를 통한 기술지원을 받아야 할겁니다.

    만약 해당 서비스를 사용하지 않는다면 레지스트리에서 아예 해당 서비스를 삭제하는 겁니다. 서비스 삭제 방법은 구글링을 하시면 많이 나옵니다.

    만약 잘 모르시겠다면 메세지를 남겨주세요 그럼 방법을 안내해 드리겠습니다.

    2012년 12월 14일 금요일 오전 5:07