Сбои на терминальном сервере: расследование перегрузки

Задачи

Клиент обратился с трудностями в работе терминального сервера, перечень симптомов:

Замедление работы системы, для пользователя выражалось следующими сложностями взаимодействия:

  • Долгая реакция на действия (нажатия, ввод, переключение окон).
  • "Подвисание" интерфейса.
  • Задержки при запуске приложений.
  • Пользователи теряют соединение с сервером.
  • Повторное подключение требует времени или невозможно.
  • Зависания отдельных приложений:
    Например, 1С, браузеры, Outlook начинают "виснуть" или не открываются вовсе.

Решения

Данный перечень проблем не позволял эффективно работать, для нас как технической поддержки, это приводило к формированию излишнего потока тикетов с просьбами завершить или перезагрузить сеанс на сервере.

Симптомами являлась повышенная нагрузка на сервер по использованию CPU и оперативной памяти, что проявляется преимущественно в виде пиковых значений. Данные симптомы были связаны с необходимостью постоянной отрисовки большого объёма графического контента — анимации, видеопотоков и интерактивных элементов интерфейса.

Данный сервер подключен к нашей системе мониторинга, что позволило провести анализ по возросшей нагрузкой по сравнению с средним процентом показателя за n - период времени.

Было принято решение провести анализ трафика.

Полноценный анализ трафика включает в себя использование специализированного ПО по типу DLP систем или аппаратных шлюзов с возможностями фильтрации трафика. Как альтернативный вариант установить виртуальную машина с пакетом Wireshark и для проведения мониторинга.

Так как проблемы возникли на одном из терминалов мы пошли по базовому сценарию с установкой Wireshark на сам терминал и анализа дампа в самой системе без дополнительных инструментов. После установки ПО для взаимодействия с виртуальным Ethernet адаптером необходимо установить библиотеку Npcap, после чего можно начинать мониторинг.

Для мониторинга общего дампа, записанного в течении рабочего дня, был использован фильтр:
dns.qry.name contains "ключевое слово или домен", в нашем случае фильтрация производилась по словам games/game/casino/slots и прочими не связанными с работой запросами.

Для оптимизации процесса используется конструкция "| |" для объединения запроса и поиска ключевых слов разом. Таким образом было выяснено что в трафике действительно присутствуют обращение к подобным доменам.

В конечном счёте для фиксации того, что сотрудник действительно занимается не совсем своими рабочими обязанностями, мы использовали теневое подключение к RDP посредством двух команд /quser чтобы вывести список пользователей терминала и mstsc /shadow:3 /noConsentPrompt для подключения в сессию сотрудника с аномальной нагрузкой на сервер.

Гипотеза была подтверждена.

Зафиксировав результат и рекомендации были переданы клиенту.

Предложенные технические решения:

 • Завершить сессию и отключить пользователя от сервера.
 • Заблокировать доступ к сайтам онлайн-казино (Ограничить запуск игр, браузеров, сторонних приложений), установить прокси-сервер с фильтрацией трафика.
 • Внедрить IT-политику: запрёт на использование ресурсов компании для развлечений, особенно азартных игр.

Почему это важно:

 • Онлайн-казино часто содержат вредоносный код, что повышает риск заражения системы.
 • Игры и видео сильно перегружают сервер, ухудшая работу критически важных программ для других сотрудников.
 • Это противоречит трудовой дисциплине и может указывать на недостаточный контроль со стороны ИТ и руководства.