Article ID: 118366, created on Nov 1, 2013, last review on May 8, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo hypervisor

Síntomas

En la máquina virtual existent muchos procesos prl_tools.exe ( unos 1.000) que consumen gran cantidad de RAM. Puede verlos mediante la utilidad "RAMMAP", ya que estos no se muestran en el administrador de tareas.

En el visor de eventos puede ver gran cantidad de eventos como el que se muestra a continuación:

Log Name:      System
Source:        Microsoft-Windows-TerminalServices-RemoteConnectionManager
Date:          9/30/2013 5:21:21 AM
Event ID:      1012
Task Category: None
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      host
Description:
Remote session from client name a exceeded the maximum allowed failed logon attempts. The session was forcibly terminated.

Causa

En cada inicio de winlogon en la máquina virtual, se inicia una instancia del proceso prl_tools. Así, cada vez que se intenta iniciar sesión, se inica una nueva instancia de prl_tools. Generalmente estas se cierran cuando se cierran la sesión RDP. De todos modos, cuando la máquina virtual está sometida a un ataque DDoS, puede que el proceso prl_tools no pueda cerrarse correctamente y, como consecuencia, no puede liberar los controles y ocasiona un elevado uso de memoria en la máquina virtual.

El comportamiento de Parallels Tools en caso de DDoS debería mejorarse en el ámbito de una petición PSBM-23129.

Resolución

Este comportamiento de Parallels Tools se mejorará en una de las próximas actualizaciones. Mientrastanto, proteja su host de ataques DDoS. Estas son algunas de las formas de hacerlo:

  • Configure reglas de firewall para el puerto RDP (el número del puerto predeterminado es 3389) y sólo permita las conexiones desde hosts de confianza.
  • Cambie el puerto RDP del puerto predeterminado 3389 a otro puerto que sólo lo conozca el propietario de la máquina virtual. Para más información, consulte el siguiente artículo de Microsoft: Cómo cambiar el puerto de escucha para Escritorio remoto.
  • Habilite la autenticación a nivel de red tal y como se describe en el siguiente artículo de Microsoft: Configuración de Autenticación a nivel de red para conexiones de Servicios de Escritorio remoto. Esto debería permitirle afrontar la carga ocasionada por los ataques, puesto que cuando NLA está activado, Windows no procesará los procesos winlogon y prl_tools cada vez que se inicie sesión, sino que estos sólo se iniciarán tras haber pasado la autorización.

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF