我遇到了一个奇怪的问题,希望有人能帮助我找到原因。
环境:
- 2 家公司(假设为公司 A 和公司 B)拥有独立的 IT 基础设施。
- 每个都有自己的网络、自己的活动目录等。
- A 公司正在托管具有特定业务应用程序的 RDS 终端服务器环境。
- B 公司需要在终端服务器上访问该应用程序。
- 公司 A 与公司 B 之间存在站点到站点的 VPN。
- 我们在它们之间创建了活动目录域信任。
- VPN 流量通过防火墙过滤...
- ... 我们只允许公司 A 和公司 B 的域控制器使用以下端口进行双向通信:tcp-udp/389、tcp-udp/464、tcp-udp/88、tcp-udp/53、tcp/135、tcp/3268、tcp/3269、tcp/445、tcp/49152-65535、tcp/636、tcp/139、udp/123。
- ... 允许公司 B 的客户端网络使用 tcp/3389 访问公司 A 的终端服务器。
- ... 两家公司的防火墙都阻止了任何其他通信。
问题:
B 公司的客户可以使用 B 公司自己的域用户帐户登录 A 公司的终端服务器。他们也可以打开和使用业务应用程序。到目前为止一切顺利。
问题是,该应用程序真的很慢并且一直冻结。
当我使用来自 A 公司的域用户帐户从 B 公司客户端登录到终端服务器时,似乎没有任何问题。应用程序没有冻结。我试图找出导致此问题的原因,但我不明白。似乎此问题仅发生在来自 B 公司活动目录域的用户身上。也许是信任出了问题?
我试图弄清楚应用程序在冻结或响应缓慢时究竟在做什么。我查看了 Sysinternals 中的 TcpView,发现当应用程序冻结时,“lsass.exe”进程会一个接一个地添加到列表中。也许这可能是一个提示?但我不知道如何进一步排除此问题。
有任何想法吗?