如何解决在 AWS 服务器上的 Kerberos 身份验证中使用 IIS 应用程序锁定在“CLOSE_WAIT”状态的 TCP 连接Windows 服务器 2016 标准
我们目前在 AWS 服务器上打开和关闭与 IIS 应用程序的会话时遇到问题。
设置:
- 使用 com+ 组件的 IIS 应用程序
- AWS 服务器 m5.2xlarge(AMI = ami-0ba02848e01cae475)
- Kerberos Windows 身份验证
- Windows Server 2016 标准版
- HTTPS 连接
- 网站使用的端口:1029 和 1036
- 两台服务器 EC2 AWS 之间的网络负载均衡器 (NLB)。
- 迈克菲防病毒软件
- 同时用户的最大数量:400
问题:使用应用程序数小时后(3 / 4 小时)。一些用户在尝试通过应用程序的 https url 访问第一个登录页面时观察到网页的无限加载。面临问题的用户数量随着时间的推移而增加。
观察
- 从客户端(50000 以上的随机端口)到客户端的一些 TCP 连接 服务器(端口 1029 或 1036)被锁定在“COSE_WAIT”状态,而 试图关闭会话。
- 应用程序池回收允许关闭打开的 TCP 连接并为用户纠正问题。
- 锁定的“CLOSE_WAIT”TCP 连接数随着 面临问题的用户数量。
- 这个被锁定的 TCP 连接数可以增加到 300 个 服务器。此时,所有用户都面临这个问题。
- 问题期间服务器上的 RAM 和 cpu 使用率保持稳定。
请注意,部署相同应用程序的任何其他架构(包括 AWS)从未观察到这种行为。
探索和丢弃的假设:
- 负载均衡器的影响:我们在不使用负载的情况下进行了测试 一天的平衡器(用户直接访问应用程序)。我们是 仍然面临这个问题。
- 参数“Regular Time Interval (Minutes)”:设置为“0”。注意 服务器每晚重新启动。
- ([HKEY_LOCAL_MACHINE\SYstem\CurrentControlSet\Services\Tcpip\Parameters) : regedit 中不存在。
- 1029 端口:一天中只有 1036 端口的控制测试。
- 允许的同时 TCP 连接数:默认值 (49152)
- McAfee Antivirus:通过禁用一天中的控制测试 防病毒软件。
谢谢,
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。