- Controleer het beleid (GPO), de services en de RDP-listener voordat u de firewall aanpast om de bron van de blokkering te isoleren.
- Controleer poort 3389, actieve regels en certificaten. Een conflict of een kapot certificaat verhindert dat de listener luistert.
- Authenticatiefouten (CredSSP, NLA, machtigingen) komen net zo vaak voor als netwerkfouten. Stem ze af op updates en groepen.
- Als u geen poorten kunt openen, gebruik dan een RDP-gateway met MFA of een veilige broker die voorkomt dat poort 3389 wordt blootgesteld.
Als uw Remote Desktop-verbinding plotseling niet meer werkt, denkt u misschien dat het aan de firewall ligt of dat de machine is uitgeschakeld. Maar met RDP is de echte boosdoener vaak... netwerkbeleid, GPO's of services die poort 3389 blokkeren Zonder waarschuwing. Het goede nieuws: met een geordende reeks controles kunt u de fout binnen enkele minuten isoleren.
In deze gids vindt u praktische en bewezen procedures voor het diagnosticeren en corrigeren van beleid, regels en configuraties die RDP verhinderen in Windows, zowel op lokale als op externe apparatuur, op een bedrijfsnetwerk, VPN en zelfs in wolken zoals Google Cloud. Je leert ook hoe je omgaat met authenticatiefouten (CredSSP), certificaten, poortconflicten, DNS en prestaties, plus alternatieven wanneer je iets nodig hebt dat werkt zonder poorten te openen.
Hoe kunt u detecteren of een beleid of netwerk RDP blokkeert?
Voordat u het register of de firewall aanraakt, is het een goed idee om te bevestigen of het probleem bij netwerkbereik, filtering of verzadigingEen handige manier om vanaf een andere computer de poorttoegang te testen met behulp van hulpprogramma's zoals psping: psping -accepteula <IP-equipo>:3389. Als je ziet Verbinding maken met … met pogingen die niet tot bloei komen, of een De externe computer weigerde de netwerkverbinding, geeft een tussentijdse blokkade of service-uitval aan.
Test vanuit meerdere bronnen (een ander subnet, een ander VPN, thuisnetwerk of 4G) om te zien of de blokkering is verholpen. selectief op segment of op oorsprongAls het van alle kanten faalt, wordt het waarschijnlijk geblokkeerd door een perimeterfirewall of Windows zelf. Als het maar van één kant faalt, controleer dan de toegestane lijsten. ACL's en firewallregels tussenliggend.
Controleer snel de status van RDP en de bijbehorende services
Begin met het verifiëren dat het externe systeem verbindingen met een extern bureaublad toestaat en dat de services actief zijn; hiermee worden de basisfuncties uitgesloten. twee of drie commando's.
Op een lokale machine is het inschakelen van RDP net zo eenvoudig als het openen van Instellingen en het activeren ervan. Extern bureaublad (zien Windows 11 Extern bureaublad gebruikenVoor nauwkeurigere controle (of als de gebruikersinterface niet reageert), raadpleeg het logboek op: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server y HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal ServicesDe waarde fDenyTSConnections het serum 0 (waarde 1 betekent RDP uitgeschakeld).
Maak op afstand verbinding met het netwerkregister vanuit de Register-editor (Bestand > Verbinding maken met netwerkregister), navigeer naar dezelfde paden en bevestig dat er geen beleid is dat de blokkering afdwingt. Als dit het geval is, fDenyTSConnections=1, verander het naar 0 en let op of Na een paar minuten staat de waarde weer op 1. (teken van veelvoorkomend GPO).
Controleer ook of de benodigde services aan beide kanten actief zijn: Extern bureaublad-services (TermService) y Gebruikersmoduspoortredirector voor extern bureaublad-services (UmRdpService)Je kunt dit doen in services.msc of met PowerShellAls u handleidingen voor bewerkingsservices nodig hebt, raadpleeg dan Services wijzigen in Windows 11Als iemand wordt aangehouden, Start het en probeer het opnieuw.
Groepsbeleidsobject (GPO): blokkeren en deblokkeren
Wanneer RDP niet via de interface kan worden geactiveerd, of wanneer de registerwaarde wordt teruggezet, wordt dit vrijwel zeker afgedwongen door een beleid. Om dit beleid op de betreffende machine te identificeren, voert u de volgende opdracht uit op een CMD verheven gpresult /H c:\gpresult.html en opent het rapport; onder Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Extern bureaublad-services > Host voor externe bureaubladsessie > Verbindingen de richtlijn is op zoek naar Gebruikers toestaan om op afstand verbinding te maken met behulp van Remote Desktop Services.
Als je het ziet als GehandicaptRaadpleeg het rapport om te ontdekken wat de GPO dat prevaleert en in welke reikwijdte het van toepassing is (site, domein of OU). Bekijk ook hoe Lid worden van een domein in Windows Als u vermoedt dat er problemen met het domein zijn, wijzigt u dat beleid op het juiste niveau in de Group Policy Object Editor (GPE) Ingeschakeld of niet geconfigureerden in de betrokken teams dwingt het de applicatie met gpupdate /force.
Als u beheert via GPMC, kunt u de koppeling van dat GPO ook verwijderen in de organisatie-eenheid waar het van toepassing is op de betreffende apparatuur. Houd er rekening mee dat als de blokkade afkomstig is van SOFTWARE\BeleidHet GPO herschrijft het register totdat u het beleid verwijdert of bewerkt.
Genereer voor een externe machine het rapport op dezelfde manier als voor een lokale machine, door de parameter computer toe te voegen: gpresult /S <nombre-equipo> /H c:\gpresult-<nombre-equipo>.htmlwat u dezelfde datastructuur geeft om het veroorzakende GPO te onderzoeken.
Luisteraar, poort en conflicten op 3389
Zelfs met de juiste richtlijn zal er geen sessie plaatsvinden als de RDP-listener niet luistert. In een verhoogde PowerShell (lokaal of extern met Enter-PSSession -ComputerName <equipo>), voert uit qwinsta en controleer of de invoer bestaat rdp-tcp met staat ListenAls dit niet het geval is, is de luisteraar mogelijk beschadigd.
Een betrouwbare methode is het exporteren van de listenersleutel van een gezonde computer met dezelfde versie van Windows: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpSla op de getroffen computer een kopie op van de huidige status met reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg, verwijdert de sleutel (Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force), het goede .reg-bestand is belangrijk en herstart TermService.
Controleer daarna de poort. RDP zou moeten luisteren op 3389. Uitchecken HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener> en waarde PortNumberAls het niet 3389 is en u geen veiligheidsredenen hebt om het te wijzigen, ga dan terug naar 3389 en start de service opnieuw.
Om conflicten te detecteren, voer je uit cmd /c 'netstat -ano | find "3389"' en noteer de PID die in staat is LUISTERENToen, met cmd /c 'tasklist /svc | find "<PID>"' Identificeer het proces. Als het niet TermServiceHerconfigureer die service naar een andere poort, verwijder deze als deze niet meer nodig is, of als laatste redmiddel, de RDP-poort wijzigen en maak verbinding door IP:poort op te geven (niet ideaal voor standaardbeheer).
RDP-certificaten en MachineKeys-machtigingen
Een andere veel voorkomende oorzaak van onvolledige verbindingen is een kapot of niet-aangemaakt RDP-certificaatOpen de certificaat-MMC voor het teamaccount, ga naar Extern bureaublad > Certificaten en verwijder het zelfondertekende RDP-certificaat. Start de Remote Desktop-service opnieuw en vernieuw deze: er zou automatisch een nieuwe moeten worden aangemaakt.
Als het niet verschijnt, controleer dan de machtigingen van C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Zeker weten dat INGEBOUWDE\Beheerders hebben volledige controle en Iedereen rekenen op Lezen en schrijvenZonder deze ACL's kan Windows de sleutel en het certificaat die nodig zijn voor RDP niet genereren.
Windows Firewall en bereiktesten
Op client- en serversystemen, Windows Defender De firewall heeft open inkomende regels nodig voor RDP. Controleer de ingebouwde regel "Extern bureaublad – Gebruikersmodus (TCP-In)"met netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)"; moet ingeschakeld zijn en toegepast worden op de juiste profielen, het TCP-protocol en de lokale poort 3389.
Als u via de interface beheert, ga dan naar Windows Defender Firewall > Een app of functie toestaan en selecteer 'Extern bureaublad' in privaat (en alleen in openbare netwerken als u een duidelijke reden hebt). Controleer in 'Geavanceerde instellingen' of de inkomende regel voor TCP 3389 actief is. Als probleemoplossingsstap (niet op openbare netwerken) kunt u de firewall tijdelijk uitschakelen om te controleren of de verbinding tot stand komt en deze vervolgens direct weer inschakelen.
Van buitenaf is psping de duidelijkste manier om uw aankomst in de haven te verifiëren: psping -accepteula <IP>:3389Als je krijgt 0% verliesDe netwerkstack en firewall staan de verbinding toe. Als alles in orde is, 100% verlies o geweigerdHet is tijd om over te stappen op een tussenliggend netwerk/firewall of NAT, VPN en filters tussen segmenten.
Authenticatie: referenties, CredSSP en machtigingen
TypefoutenUw inloggegevens werken niet"Of"Het account is niet geautoriseerd voor inloggen op afstand"Ze zijn meestal eenvoudig op te lossen: controleer of de gebruikersnaam/het wachtwoord correct is opgemaakt (bijvoorbeeld DOMINIO\usuario), verwijdert alle verouderde inloggegevens in de Inloggegevensbeheerder en bevestig dat het account niet geblokkeerd is.
Met CredSSP treedt er een moeilijk te interpreteren authenticatiefout op als de apparatuur niet up-to-date is. Zorg ervoor dat u: Windows bijgewerkt op zowel de client als de host. Als snelkoppeling in oudere omgevingen kunt u in GPO de optie "Delegatie van opgeslagen referenties met NTLM-only serverauthenticatie toestaan" inschakelen of via het register instellen. AllowEncryptionOracle a 2 en HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.
Vergeet het groepslidmaatschap niet: voeg bij teams die geen domein zijn het account toe aan Gebruikers van externe bureaubladen Ga naar Computerbeheer > Lokale gebruikers en groepen. Controleer in het domein of het lidmaatschap voldoet aan de Active Directory-beleid in werking voordat u iets aanraakt.
DNS, VPN en andere netwerkvariabelen
Als u verbinding maakt via naam en het IP-adres van de host is gewijzigd, kan het zijn dat de client nog steeds naar een oud adres verwijst vanwege caching. Opruimen met ipconfig /flushdns en als het aanhoudt, gebruik dan de Direct IP Om een resolutieprobleem uit te sluiten, controleert u of de adapter de juiste DNS-server in Configuratiescherm > Netwerkcentrum > Adapterinstellingen wijzigen.
Bij VPN's blokkeren of leiden sommige providers poort 3389 om, of encapsuleren deze op een manier die conflicteert met RDP-encryptie. Verbreek de verbinding met de VPN en test of pas het beleid aan om RDP toe te staan. Gesplitste tunneling of "apps toestaan". Als u onderbrekingen of zwarte schermen detecteert, verlaag dan de MTU met één punt: netsh interface ipv4 show subinterfaces om het te zien en netsh interface ipv4 set subinterface "Ethernet" mtu=1458 store=persistent om het aan te passen.
Als de cliënt niet lijkt te reageren, maar de sessie nog steeds bestaat, kan er een probleem zijn met resolutie of venstergrootteKlik in de Remote Desktop Connection-client (mstsc) op 'Opties weergeven' en verplaats op het tabblad Weergave de schuifbalk voor de resolutie of schakel volledig scherm in. Veel 'verbindingen die niet werken' zijn dan opgelost. het raam aanpassen.
Bekende problemen en cloudservices: Windows 11 24H2 en Google Cloud
Er zijn gevallen gemeld waarbij verbinding via RDP werd gemaakt met Windows 11 24H2 De sessie loopt vast bij het opstarten, vooral in virtuele machines Wat de hypervisor betreft: sommige tijdelijke patches hebben het probleem niet opgelost; houd je systeem volledig up-to-date en test de video-/vGPU-drivers van de hypervisor, want soms ligt het probleem bij de hypervisor. RDP-diagram of -stapelDoor de host opnieuw op te starten, wordt de connectiviteit tijdelijk hersteld, maar de oplossing bestaat uit cumulatieve updates en drivers/firmware.
In Google Compute Engine, naast het lokale Windows-wachtwoord (het opnieuw instellen vanaf gwolk of de console), controleer de regel default-allow-rdpLijst met regels met gcloud compute firewall-rules list en als deze ontbreekt, maak er dan een aan met gcloud compute firewall-rules create allow-rdp --allow tcp:3389Controleer of u de Correct extern IP-adres met gcloud compute instances listAls het besturingssysteem verkeerd is geconfigureerd, kunt u er toegang toe krijgen via interactieve seriële console en voer uit:
• service: net start | find "Remote Desktop Services" (als het er niet is, net start "Remote Desktop Services")
• RDP inschakelen: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections (0 is OK; indien 1: reg add ... /d 0)
• Firewall: netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)" (Maar, netsh firewall set service remotedesktop enable)
• Beveiligingslaag: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 1 /f
• Standaard NLA: reg add ... /v UserAuthentication /t REG_DWORD /d 0 /f
Geavanceerde diagnostiek: gebeurtenissen, netwerk en hulpmiddelen
Als bovenstaande het probleem niet oplost, is het tijd om te kijken gebeurtenissen en sporenOpen Logboeken en controleer in Windows Logboeken > Toepassing en Systeem, en in de bronnen TerminalServices-RemoteConnectionManager y Microsoft-Windows-RemoteDesktopServices-RdpCoreTS voor duidelijke fouten bij elke poging.
Op een netwerk vastleggen met Wireshark en filteren op tcp.port==3389 Controleer op SYN/SYN-ACK-signalen, resets of onderbrekingen tijdens de verbinding. Als er geen verkeer is, is het blok onderweg; als er wel verkeer is en het valt weg tijdens de beveiligingsonderhandeling, is er een vermoeden... encryptie mismatch/NLAAls snelle test van de openheid van de haven, telnet <IP> 3389 (Als er verbinding wordt gemaakt, is de poort toegankelijk.) U kunt ook andere hulpprogramma's gebruiken, zoals ntttcp gebruiken in Windows voor prestatie- en verzadigingstests.
Microsoft biedt een RDP Protocol Monitor/Analyzer aan, en in Windows Server 2012/2012 R2 is de Diagnostisch hulpprogramma voor externe bureaubladservices Om knelpunten te identificeren. Als u geen tijd kunt vrijmaken voor elk terugkerend probleem, bereid dan scripts voor: netsh int ip reset && netsh winsock reset voor netwerk, en taskkill /F /IM mstsc.exe && net stop termservice && net start termservice om RDP-sessies te wissen en services opnieuw te starten (waarschuwing: verkort actieve sessies).
De beruchte “RDP – Er is een interne fout opgetreden”
Deze generieke boodschap verbergt vaak een veiligheidsafwijking tussen client en server. Controleer of het encryptieniveau en de beveiligingslaag overeenkomen (in GPO: Sessiehostbeveiliging > "Het gebruik van een specifieke beveiligingslaag vereisen" en selecteer RDP (als TLS faalt). Als de server NLA vereist en de client niet, schakel dan NLA tijdelijk uit in Systeem > Extern om te controleren of dit de oorzaak is.
Andere factoren: verouderde RDP-clients versus nieuwere servers, problemen met domeinvertrouwen (Het opnieuw toetreden tot het domein lost dit soms op) of beveiligingsprofielen die encryptie afdwingen die de andere kant niet ondersteunt. Schakel in Customer Experience automatische herverbinding en een permanente bitmapcache voor veerkrachtigere sessies.
Als de fout na een Windows-update is opgetreden en geen van de bovenstaande oplossingen zinvol lijkt, kunt u overwegen om die specifieke patch terug te draaien (Paneel > Windows update > Geschiedenis > Updates verwijderen), na het raadplegen van technische forums (bijvoorbeeld threads van Patch Tuesday) als het een bekend probleem is.
Prestaties, capaciteit en multimedia
Als de klacht niet is dat er geen verbinding kan worden gemaakt, maar dat de verbinding hapert, begin dan met het verminderen van de belasting van de RDP-client: down resolutie en kleurdiepteSchakel achtergrond, visuele stijlen en lettertype-afvlakking uit op het tabblad Ervaring. Deze maatregelen verminderen het bandbreedteverbruik en verbeteren de latentie.
Controleer op de server de CPU/RAM/schijf in de TaakmanagerAls het de limiet bereikt, mislukt elke RDP-sessie. Houd er rekening mee dat Windows Desktop alleen een gelijktijdige sessieWindows Server heeft twee standaardbeheerderslicenties en vereist aanvullende RDS CAL-licenties.
Voor audio configureert u de RDP-client > Lokale bronnen > Externe audio op 'Afspelen op deze computer' en controleert u of de services Windows-audio en "Windows Audio Endpoint Generator" draaien. Voor zware video is RDP niet altijd ideaal; sommige oudere omgevingen noemen RemoteFX, maar tegenwoordig is het beter om te kiezen voor Adaptieve codec en moderne versnelling of evalueer hulpmiddelen die zijn ontworpen om streaming chart.
Snelle cases en snelle oplossingen
Als Windows Defender de verbinding in Windows 10/11 blokkeert, ga dan naar Windows Defender Firewall > Een applicatie toestaan en activeer “Extern bureaublad” door de vakjes Privé aan te vinken (en alleen Openbaar indien van toepassing), druk op Accepteren en testen. In veel praktijkgevallen zijn deze drie klikken Zij waren het verschil tussen frustratie en succes.
Als u de poort moet wijzigen omdat een andere service 3389 gebruikt, bewerkt u HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp > PoortnummerVoer bijvoorbeeld 3390 in, start de service opnieuw en maak verbinding als IP:3390Vergeet niet om aan te passen firewall en NAT naar die nieuwe haven.
Alternatieven en gateways wanneer u geen poorten kunt openen
In netwerken waar het openen van 3389 onpraktisch is (of u wilt het niet blootstellen), overweeg dan oplossingen met cloud-bemiddelaar die handmatige regels en DNS-gedoe vermijden: RealVNC Connect biedt SSO en gecentraliseerd beheer; Chrome Remote Desktop Het is gratis en eenvoudig als u al Chrome gebruikt; TeamViewer en AnyDesk Ze geven prioriteit aan gebruiksgemak en cross-platform snelheid. Er zijn ook suites zoals TS plus, gericht op het versterken van de beveiliging en het vereenvoudigen van grootschalige toegang op afstand.
Als u in RDP wilt blijven, is de veiligste optie om een Extern bureaublad-gateway (RD-gateway)Vereist NLA en MFA en beperkt de toegang via VPN of IPSec. Dit is de standaardmanier om toegang te bieden zonder poort 3389 voor de wereld open te stellen.
Goede beveiligings- en nalevingspraktijken
Versterk RDP door activering NLAGebruik moderne encryptieprotocollen en, indien uw framework dit vereist (AVG/HIPAA), het inschakelen van sterk cryptografiebeleid (bijv. FIPS) en geldige certificaten uitgegeven door een vertrouwde CA. Blokkeer publieke blootstelling, beperk deze tot privénetwerken/VPN's en handhaaf MFA op de gateway of de broker.
Houd ten slotte de logsInstalleer regelmatig patches en voer periodieke audits uit. De meeste RDP-problemen kunnen worden voorkomen met een combinatie van deze maatregelen. goed beleidduidelijke firewallregels en monitoring.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.