Come identificare e correggere i criteri di rete che bloccano RDP in Windows

Se la connessione Desktop remoto smette improvvisamente di funzionare, potresti pensare che sia il firewall o che il computer sia spento. Ma con RDP, il vero colpevole è spesso... criteri di rete, GPO o servizi che bloccano la porta 3389 Senza preavviso. La buona notizia: con una sequenza ordinata di controlli, è possibile isolare il guasto in pochi minuti.

In questa guida troverai procedure pratiche e comprovate per la diagnosi e la correzione policy, regole e configurazioni che impediscono l'RDP in Windows, sia su apparecchiature locali che remote, su una rete aziendale, VPN e anche in nuvole come Google Cloud. Imparerai anche come gestire errori di autenticazione (CredSSP), certificati, conflitti di porta, DNS e prestazioni, oltre a trovare alternative quando hai bisogno di qualcosa che funzioni senza aprire le porte.

Come rilevare se una policy o una rete sta bloccando RDP

Prima di toccare il registro o il firewall, è una buona idea confermare se il problema è con portata, filtraggio o saturazione della reteUna scorciatoia utile da un altro computer è quella di testare l'accesso alla porta utilizzando utilità come psping: psping -accepteula <IP-equipo>:3389. Se tu vedi Connessione a… con tentativi che non vanno a buon fine, o un Il computer remoto ha rifiutato la connessione di rete, indica un blocco intermedio o un'interruzione del servizio.

Esegui il test da più fonti (un'altra subnet, un'altra VPN, una rete domestica o 4G) per verificare se il blocco è attivo selettivo per segmento o per origineSe il problema persiste da tutti i lati, probabilmente è bloccato da un firewall perimetrale o da Windows stesso. Se il problema persiste solo da un lato, controlla le liste consentite. ACL e regole del firewall intermedio.

Controlla rapidamente lo stato di RDP e dei suoi servizi

Inizia verificando che il sistema remoto consenta connessioni Desktop remoto e che i servizi siano in esecuzione; questo esclude le basi con due o tre comandi.

Su una macchina locale, abilitare RDP è semplice come aprire Impostazioni e attivarlo. Desktop remoto (vedere utilizzando Desktop remoto di Windows 11Per un controllo più preciso (o se l'interfaccia utente non risponde), controllare il registro all'indirizzo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server y HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Il valore fDenyTSConnections deve essere 0 (il valore 1 indica che RDP è disabilitato).

In remoto, connettersi al registro di rete dall'editor del registro (File > Connetti al registro di rete), passare agli stessi percorsi e confermare che non vi sia alcuna policy che imponga il blocco; se appare fDenyTSConnections=1, cambialo in 0 e prendi nota se Dopo pochi minuti ritorna a 1. (segno di GPO prevalente).

Verificare inoltre che i servizi necessari siano in esecuzione su entrambe le estremità: Servizi Desktop remoto (TermService) y Reindirizzamento porta UserMode di Servizi Desktop remoto (UmRdpService)Puoi farlo in services.msc o con PowerShellSe hai bisogno di guide per i servizi di editing, consulta Modificare i servizi in Windows 11Se qualcuno viene arrestato, Avvialo e riprova.

Oggetto Criteri di gruppo (GPO): come bloccarlo e come sbloccarlo

Quando l'RDP non può essere attivato tramite l'interfaccia o il valore del registro viene ripristinato, è quasi certamente applicato da una policy. Per identificare questa policy sul computer interessato, eseguire il seguente comando su un CMD alto gpresult /H c:\gpresult.html e apre il rapporto; sotto Configurazione computer > Modelli amministrativi > Componenti di Windows > Servizi Desktop remoto > Host sessione Desktop remoto > Connessioni la direttiva sta cercando Consentire agli utenti di connettersi in remoto tramite Servizi Desktop remoto.

Se lo vedi come DisabilitatoConsulta il rapporto per scoprire cosa GPO che prevale e in quale ambito si applica (sito, dominio o OU). Esaminare anche come Unirsi a un dominio in Windows Se si sospettano problemi di dominio, dall'Editor oggetti Criteri di gruppo (GPE) al livello appropriato, modificare tale criterio in Abilitato o non configuratoe nei team coinvolti, forza l'applicazione con gpupdate /force.

Se gestisci tramite GPMC, puoi anche rimuovere il collegamento da quel GPO in unità organizzativa dove si applica all'apparecchiatura interessata. Ricorda che se il blocco proviene da SOFTWARE\PoliticheIl GPO riscriverà il registro finché non eliminerai o modificherai il criterio.

Per una macchina remota, generare il report come su una macchina locale, aggiungendo il parametro computer: gpresult /S <nombre-equipo> /H c:\gpresult-<nombre-equipo>.htmlche ti fornirà la stessa struttura dati per indagare il GPO causale.

Listener, porta e conflitti su 3389

Anche con la direttiva corretta, se l'ascoltatore RDP non è in ascolto, non ci sarà una sessione. In PowerShell con privilegi elevati (locale o remoto con Enter-PSSession -ComputerName <equipo>), esegue qwinsta e verificare che la voce esista rdp-tcp con lo stato AscoltareSe non viene visualizzato, l'ascoltatore potrebbe essere danneggiato.

Un metodo affidabile prevede l'esportazione della chiave listener da un computer funzionante con la stessa versione di Windows: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpSul computer interessato, salvare una copia dello stato corrente con reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg, rimuove la chiave (Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force), il buon file .reg è importante e riavvia TermService.

Dopodiché, controlla la porta. RDP dovrebbe essere in ascolto su 3389. Check-out HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener> e il valore PortNumberSe non è 3389 e non hai un motivo di sicurezza per modificarlo, torna a 3389 e riavvia il servizio.

Per rilevare i conflitti, eseguire cmd /c 'netstat -ano | find "3389"' e nota il PID che è nello stato ASCOLTOPoi, con cmd /c 'tasklist /svc | find "<PID>"' Identificare il processo. Se non è Servizio TermicoRiconfigurare il servizio su un'altra porta, disinstallarlo se non è necessario o, come ultima risorsa, cambia la porta RDP e connettersi specificando IP:porta (non ideale per l'amministrazione standard).

Certificati RDP e autorizzazioni MachineKeys

Un'altra causa comune di connessioni incomplete è un certificato RDP danneggiato o non ricreatoAprire il certificato MMC per l'account del team, andare a Desktop remoto > Certificati e rimuovere il certificato RDP autofirmato. Riavviare il servizio Desktop remoto e aggiornarlo: dovrebbe crearne automaticamente uno nuovo.

Se non appare, controlla i permessi di C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Assicurati che BUILTIN\Amministratori avere il controllo totale e Tutti contare su Leggendo e scrivendoSenza questi ACL, Windows non può generare la chiave e il certificato richiesti per RDP.

Firewall di Windows e test di portata

Sui sistemi client e server, Windows Defender Il firewall necessita di regole in entrata aperte per RDP. Controlla la regola integrata "Desktop remoto – Modalità utente (TCP-In)" con netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)"; deve essere abilitato, applicato ai profili appropriati, al protocollo TCP e alla porta locale 3389.

Se gestisci tramite interfaccia, vai su Windows Defender Firewall > Consenti un'app o una funzionalità e seleziona "Desktop remoto" in privato (e in Pubblico solo se si ha una chiara giustificazione). In "Impostazioni avanzate", verificare che la regola in ingresso per TCP 3389 sia attiva. Come passaggio di risoluzione dei problemi (non sulle reti pubbliche), è possibile disattivare temporaneamente il firewall per verificare se la connessione funziona e quindi riattivarlo immediatamente.

Dall'esterno, il modo più chiaro per verificare l'arrivo al porto è fare un psping: psping -accepteula <IP>:3389Se ottieni Perdita del 0%Lo stack di rete e il firewall consentono la connessione. Se tutto è Perdita del 100% o rifiutatoÈ il momento di passare a una rete/firewall intermedia o di rivedere NAT, VPN e filtri tra i segmenti.

Autenticazione: credenziali, CredSSP e permessi

Errori di tipoLe tue credenziali non funzionavano"o"L'account non è autorizzato per l'accesso remoto"Di solito sono banali da risolvere: controlla che il nome utente/password sia formattato correttamente (ad esempio, DOMINIO\usuario), elimina tutte le credenziali obsolete nel gestore delle credenziali e confermare che l'account non sia bloccato.

Con CredSSP, se l'apparecchiatura non è aggiornata, si verificherà un errore di autenticazione difficile da interpretare. Assicurati di avere Windows aggiornato sia sul client che sull'host. Come scorciatoia negli ambienti più vecchi, è possibile abilitare in GPO "Consenti delega delle credenziali salvate con autenticazione server solo NTLM" oppure, tramite il registro, impostare AllowEncryptionOracle a 2 en HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Non dimenticare l'appartenenza al gruppo: nei team non di dominio, aggiungi l'account a Utenti desktop remoto Da Gestione computer > Utenti e gruppi locali. Nel dominio, convalidare che l'appartenenza sia conforme a Criteri di Active Directory in vigore prima di toccare qualsiasi cosa.

DNS, VPN e altre variabili di rete

Se ti connetti per nome e l'indirizzo IP dell'host è cambiato, il client potrebbe ancora puntare a un vecchio indirizzo a causa della memorizzazione nella cache. Pulisci con ipconfig /flushdns e, se persiste, utilizzare il IP diretto Per escludere un problema di risoluzione, verificare che l'adattatore utilizzi server DNS corretto in Pannello di controllo > Centro connessioni di rete > Modifica impostazioni scheda.

Con le VPN, alcuni provider bloccano o reindirizzano la porta 3389, oppure la incapsulano in un modo che crea conflitto con la crittografia RDP. Disconnettere la VPN e testare, oppure modificare la policy per consentire l'RDP. Suddiviso tunneling o "consenti app". Se rilevi interruzioni o schermate nere, riduci l'MTU di un punto: netsh interface ipv4 show subinterfaces per vederlo e netsh interface ipv4 set subinterface "Ethernet" mtu=1458 store=persistent per regolarlo.

Se il client sembra non rispondere ma la sessione è ancora attiva, potrebbe esserci un problema con risoluzione o dimensione della finestraNel client Connessione Desktop remoto (mstsc), fare clic su "Mostra opzioni" e nella scheda Schermo spostare il cursore della risoluzione o abilitare lo schermo intero; molte "connessioni che non funzionano" sono state risolte. regolazione della finestra.

Problemi noti e servizi cloud: Windows 11 24H2 e Google Cloud

Sono stati segnalati casi in cui la connessione tramite RDP a Windows 11 24H2 La sessione si blocca all'avvio, soprattutto in Macchine virtuali Per quanto riguarda l'hypervisor, alcune patch provvisorie non hanno risolto il problema; mantieni il sistema completamente aggiornato e testa i driver video/vGPU dell'hypervisor, poiché a volte il problema risiede nell'hypervisor stesso. Grafico o pila RDPIl riavvio dell'host ripristina temporaneamente la connettività, ma la soluzione prevede aggiornamenti cumulativi e driver/firmware.

In Google Compute Engine, oltre alla password locale di Windows (reimpostala da gcloud o la console), controlla la regola default-allow-rdpElenco delle regole con gcloud compute firewall-rules list e, se manca, creane uno con gcloud compute firewall-rules create allow-rdp --allow tcp:3389. Verifica di utilizzare il Indirizzo IP esterno corretto con gcloud compute instances listSe il sistema operativo non è configurato correttamente, accedervi tramite console seriale interattiva ed eseguire:

· XNUMX€ Servizio: net start | find "Remote Desktop Services" (se non c'è, net start "Remote Desktop Services")
· XNUMX€ Abilita RDP: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections (0 va bene; se 1: reg add ... /d 0)
· XNUMX€ Firewall: netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)" (Ma, netsh firewall set service remotedesktop enable)
· XNUMX€ Livello di sicurezza: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 1 /f
· XNUMX€ NLA predefinito: reg add ... /v UserAuthentication /t REG_DWORD /d 0 /f

Diagnostica avanzata: eventi, rete e strumenti

Quando quanto sopra non risolve il problema, è il momento di guardare eventi e tracceAprire Visualizzatore eventi e controllare in Registri di Windows > Applicazione e sistema e nelle origini TerminalServices-RemoteConnectionManager y Microsoft-Windows-RemoteDesktopServices-RdpCoreTS per errori evidenti in ogni tentativo.

Su una rete, cattura con Wireshark e filtra per tcp.port==3389 Verificare la presenza di segnali SYN/SYN-ACK, reset o interruzioni a metà connessione. Se non c'è traffico, il blocco è in corso; se c'è traffico e si interrompe durante la negoziazione di sicurezza, sospettare... mancata corrispondenza della crittografia/NLACome test rapido dell'apertura del porto, telnet <IP> 3389 (Se si connette, la porta è accessibile.) È anche possibile utilizzare altre utilità come utilizzo di ntttcp in Windows per test di prestazioni e saturazione.

Microsoft offre un monitor/analizzatore di protocollo RDP e in Windows Server 2012/2012 R2, il Strumento di diagnostica dei servizi Desktop remoto Per identificare i colli di bottiglia. Se non puoi dedicare tempo a ogni problema ricorrente, prepara degli script: netsh int ip reset && netsh winsock reset per la rete e taskkill /F /IM mstsc.exe && net stop termservice && net start termservice per cancellare le sessioni RDP e riavviare i servizi (attenzione: abbreviare le sessioni attive).

Il famigerato “RDP – Si è verificato un errore interno”

Questo messaggio generico spesso nasconde un disallineamento di sicurezza tra client e server. Verificare che il livello di crittografia e il livello di sicurezza corrispondano (in GPO: Sicurezza host sessione > "Richiedi l'uso di un livello di sicurezza specifico" e selezionare RDP (se TLS fallisce). Se il server richiede NLA e il client non può, deseleziona temporaneamente NLA in Proprietà di sistema > Remoto per verificare se questa è la causa.

Altri fattori: client RDP obsoleti rispetto a server più recenti, problemi di attendibilità del dominio (A volte il problema si risolve riunendosi al dominio) o profili di sicurezza che impongono una crittografia non supportata dall'altra estremità. In Customer Experience, abilita riconnessione automatica e cache bitmap persistente per sessioni più resilienti.

Se l'errore si verifica dopo un aggiornamento di Windows e nessuna delle soluzioni precedenti ha senso, valuta la possibilità di ripristinare quella patch specifica (Pannello > Windows Update > Cronologia > Disinstalla aggiornamenti), dopo aver consultato forum tecnici (ad esempio, thread di Patch Martedì) nel caso in cui si tratti di un problema noto.

Prestazioni, capacità e multimedialità

Se il problema non è "non si connette" ma "è discontinuo", inizia riducendo il carico dal client RDP: down risoluzione e profondità del coloreDisattiva lo sfondo, gli stili visivi e la fluidità dei caratteri nella scheda Esperienza. Queste misure riducono il consumo di larghezza di banda e migliorano la latenza.

Sul server, controlla CPU/RAM/Disco in Task managerSe è al limite, qualsiasi sessione RDP fallirà. Ricorda che Windows Desktop consente solo una sessione simultaneaWindows Server dispone di due licenze amministrative predefinite e richiede licenze RDS CAL aggiuntive.

Per l'audio, configurare il client RDP > Risorse locali > Audio remoto su "Riproduci su questo computer" e verificare che i servizi Audio di Windows e "Windows Audio Endpoint Generator" sono in esecuzione. Per i video pesanti, RDP non è sempre la soluzione ideale; alcuni ambienti meno recenti menzionano RemoteFX, ma oggi è meglio optare per Codec adattivo e accelerazione moderna o valutare strumenti progettati per Streaming chart.

Casi rapidi e soluzioni rapide

Se Windows Defender blocca la connessione in Windows 10/11, vai a Windows Defender Firewall > Consenti un'applicazione e attivare “Desktop remoto” selezionando le caselle Privato (e Pubblico solo se applicabile), premere Accettare e test. In molti incidenti del mondo reale, questi tre clic Hanno fatto la differenza tra frustrazione e successo.

Se è necessario modificare la porta perché un altro servizio utilizza 3389, modifica HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp > Numero di portaAd esempio, inserisci 3390, riavvia il servizio e connettiti come IP:3390Ricordati di regolare firewall e NAT verso quel nuovo porto.

Alternative e gateway quando non è possibile aprire le porte

Nelle reti in cui l'apertura di 3389 è impraticabile (o non si desidera esporla), prendere in considerazione soluzioni con mediatore cloud che evitano regole manuali e problemi DNS: RealVNC Connect offre SSO e gestione centralizzata; Chrome Remote Desktop È gratuito e facile se usi già Chrome; TeamViewer e AnyDesk Danno priorità alla facilità d'uso e alla velocità multipiattaforma. Esistono anche suite come TS plus, finalizzato a rafforzare la sicurezza e semplificare l'accesso remoto su larga scala.

Se hai intenzione di rimanere in RDP, l'opzione sicura è quella di impostare un Gateway Desktop remoto (RD Gateway)Richiede NLA e MFA e limita l'accesso tramite VPN o IPSec. Questo è il metodo standard per fornire l'accesso senza aprire la porta 3389 al mondo.

Buone pratiche di sicurezza e conformità

Rafforzare l'RDP attivando NLAUtilizzando protocolli di crittografia moderni e, se il tuo framework lo richiede (GDPR/HIPAA), abilitando policy di crittografia avanzate (ad esempio, FIPS) e certificati validi emessi da una CA attendibile. Blocca l'esposizione pubblica, limita l'accesso alle reti private/VPN e applica le misure. AMF sul gateway o sul broker.

Infine, tieni d'occhio il i registriApplicare patch regolarmente ed eseguire audit periodici. La maggior parte dei problemi RDP può essere evitata con una combinazione di queste misure. buone politicheregole firewall chiare e monitoraggio.