何か論文っぽい表題になってしまいましたが、要はRemoteAPP環境、以前からの表現で言えばRDS環境を使用している場合、WindowsUpdateが思わぬトラブルを招く場合がある、というお話です(ちっとも要約されてないですね...)
大規模なシステム構成であればCitrixやVMware等々を利用して公開アプリケーションサーバー環境を構築すると思いますが、中小規模環境だと費用対効果の面からそうしたミドルウェアをカットしてWindowsRDSだけを利用、RemoteAPP環境を構築するケースが多いのでは?と思います。今回のお客様もそのようなシングルサーバー上にAD、RemoteAPPサーバー環境、ファイル共有サーバーを同居させている集合団地型環境をご利用いただいております。
ある朝、お客様から「システムが動かなくなった」との連絡が入りました。共有フォルダには接続できているそうですが、RemoteAPPサーバー上のシステムに「接続できません」というメッセージが表示されているとのこと。そのままの状態にしていただいてまずはご訪問。
現地で確認するとパソコンのデスクトップに配置したRemoteAPPのショートカットをクリックしても「応答がありません」というメッセージが表示されています。それだけのメッセージじゃ何も分からんな?と思いつつ、Windowsサーバーのサーバーマネージャーから状態を確認してみるとこんなログが吐き出されています。
リモートデスクトップ接続ブローカークライアントで何かが起きているそうなんですが、こんなメッセージ表示されても正直困ります(笑。昨日までは普通に動いていたはずですし。
うーん、何だろう....瞑想。と、数年前に別のお客様でRDS環境下で稼働していたシステムが、WindowsUpdateを実施したあとパソコンから接続できなくなって大騒ぎになった事件があったことを思い出しました。
今回もWindowsUpdateかな?と更新履歴を見てみると、確かに数日前に更新プログラムが適用になった形跡があります。またこちらのお客様環境では、数日おきにサーバー夜間再起動を実施するようにタスクスケジュールを構成していますので、恐らく
1.WindowsUpdateが実行され、サーバー再起動を待っている状態となった
2.夜間スケジュールで再起動が行われたタイミングでUpdateが適用になった
3.サーバー再起動後、RemoteAPP環境に影響が出た
ということだったのだろうと思われました。
では原因となったWindowsUpdateはどれなんでしょう。日程からKB5027222がもっとも怪しいと思われるのですが、こいつをググって見ても「この更新プログラムはWindows オペレーティング システムのセキュリティの問題に対処します」というあっさりコメントしかなく、RDSの動作環境に影響をもたらすような大がかりなパッチではないように見えます。
が、以前同じようなトラブルに見舞われた際もいかにもそれらしいWindowsUpdateは見当たらず「更新プログラムをアンインストールする」と言う方法で事態を切り抜けましたので、今回もKB5027222をアンインストールすれば良いのかも知れませんが、この先更新プログラムを適用できなくなる可能性が高く、それはそれでハイリスクでもありますね。
ふとファイアウォール設定?とひらめき、確認するとドメイン・プライベートネットワークのファイアウォールは無効と設定していますが、パブリックはファイアウォール有効としていましたので、これを下記のように全て無効化してみると...
ああ、これでした。ファイアウォールを全無効化することでRemoteAPPが正常に接続できるようになりましたよ、ふう。
KB5027222の「セキュリティの問題に対処しました」という項目の中にファイアウォール機能強化があったんだろうと推測されますが、RemoteAPP環境のセキュリティ強化は動作環境に致命的な影響をもたらす=動作しなくなりますので、WindowsUpdateは怖いな、と改めて思った次第であります。ま、ちゃんとプロトコル毎にファイアウォール設定しろ、と言うことかも知れませんが。