- Preden se dotaknete požarnega zidu, preverite pravilnike (GPO), storitve in poslušalnik RDP, da izolirate vir blokiranja.
- Preverite vrata 3389, aktivna pravila in potrdila; konflikt ali pokvarjeno potrdilo preprečuje poslušalcu poslušanje.
- Napake pri preverjanju pristnosti (CredSSP, NLA, dovoljenja) so tako pogoste kot omrežne napake; uskladite jih s posodobitvami in skupinami.
- Če ne morete odpreti vrat, uporabite prehod RDP z MFA ali varnega posrednika, ki se izogne razkritju vrat 3389.
Če vaša povezava z oddaljenim namizjem nenadoma preneha delovati, morda mislite, da je vzrok požarni zid ali da je računalnik izklopljen. Toda pri RDP je pravi krivec pogosto ... omrežne pravilnike, GPO-je ali storitve, ki blokirajo vrata 3389 Brez opozorila. Dobra novica: z urejenim zaporedjem preverjanj lahko napako izolirate v nekaj minutah.
V tem priročniku boste našli praktične in preizkušene postopke za diagnosticiranje in odpravljanje težav. pravilniki, pravila in konfiguracije, ki preprečujejo RDP v Windows, tako na lokalni kot oddaljeni opremi, v poslovnem omrežju, VPN in celo v oblakih, kot so google Oblak. Videli boste tudi, kako ravnati z napakami pri preverjanju pristnosti (CredSSP), potrdili, konflikti vrat, DNS in zmogljivostjo, ter alternative, ko potrebujete nekaj, kar deluje brez odpiranja vrat.
Kako ugotoviti, ali pravilnik ali omrežje blokira RDP
Preden se dotaknete registra ali požarnega zidu, je dobro preveriti, ali je težava v doseg omrežja, filtriranje ali nasičenostKoristna bližnjica iz drugega računalnika je preizkus dostopa do vrat z uporabo pripomočkov, kot je psping: psping -accepteula <IP-equipo>:3389Če vidite Povezovanje z … s poskusi, ki se ne uresničijo, ali Oddaljeni računalnik je zavrnil omrežno povezavo, označuje vmesno blokado ali izpad storitve.
Preizkusite iz več virov (drugo podomrežje, drug VPN, domače omrežje ali 4G), da vidite, ali je blokada selektivno po segmentu ali po porekluČe odpove z vseh strani, ga verjetno blokira požarni zid oboda ali sam Windows. Če odpove samo z ene strani, preverite sezname dovoljenih. ACL-ji in pravila požarnega zidu vmesni.
Hitro preverite stanje RDP in njegovih storitev
Začnite s preverjanjem, ali oddaljeni sistem dovoljuje povezave z oddaljenim namizjem in ali storitve delujejo; to izključuje osnove z dva ali tri ukazi.
Na lokalnem računalniku je omogočanje RDP tako preprosto kot odpiranje nastavitev in njegova aktivacija. Oddaljeno namizje (glej uporaba oddaljenega namizja sistema Windows 11Za natančnejši nadzor (ali če se uporabniški vmesnik ne odziva) preverite dnevnik na: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server y HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Vrednost fDenyTSConnections mora biti 0 (vrednost 1 pomeni, da je RDP onemogočen).
Na daljavo se povežite z omrežnim registrom iz urejevalnika registra (Datoteka > Poveži se z omrežnim registrom), pojdite na iste poti in potrdite, da ni pravilnika, ki bi vsiljeval blokiranje; če se prikaže fDenyTSConnections=1, spremenite ga na 0 in si oglejte, ali Po nekaj minutah se vrne na 1. (znak razširjene GPO).
Preverite tudi, ali potrebne storitve delujejo na obeh koncih: Storitve oddaljenega namizja (TermService) y Preusmerjevalnik vrat uporabniškega načina za storitve oddaljenega namizja (UmRdpService)To lahko storite v services.msc ali z PowerShellČe potrebujete vodnike za uredniške storitve, se posvetujte Spreminjanje storitev v sistemu Windows 11Če je kdo pridržan, Zaženi in poskusi znova.
Objekt skupinske politike (GPO): Kako blokirati in kako odblokirati
Če protokola RDP ni mogoče aktivirati prek vmesnika ali če je vrednost registra razveljavljena, ga skoraj zagotovo uveljavlja pravilnik. Če želite ta pravilnik prepoznati v prizadetem računalniku, zaženite naslednji ukaz CMD visoko gpresult /H c:\gpresult.html in odpre poročilo; pod Konfiguracija računalnika > Skrbniške predloge > Komponente sistema Windows > Storitve oddaljenega namizja > Gostitelj seje oddaljenega namizja > Povezave direktiva išče Dovoli uporabnikom oddaljeno povezavo z uporabo storitev oddaljenega namizja.
Če to vidite kot OnemogočenoZa informacije o tem, kaj se dogaja, si oglejte poročilo GPO, ki prevlada in v kakšnem obsegu velja (spletno mesto, domena ali organizacijska enota). Preglejte tudi, kako Pridružitev domeni v sistemu Windows Če sumite na težave z domeno, v urejevalniku objektov skupinskih pravilnikov (GPE) na ustrezni ravni spremenite ta pravilnik v Omogočeno ali ni konfiguriranoin v vpletenih ekipah sili aplikacijo z gpupdate /force.
Če upravljate prek GPMC, lahko povezavo iz tega GPO odstranite tudi v organizacijska enota kjer se to nanaša na prizadeto opremo. Ne pozabite, da če je blokada prišla iz PROGRAMSKA OPREMA\PravilnikiGPO bo prepisal register, dokler ne izbrišete ali uredite pravilnika.
Za oddaljeni računalnik ustvarite poročilo enako kot na lokalnem računalniku, pri čemer dodajte parameter računalnika: gpresult /S <nombre-equipo> /H c:\gpresult-<nombre-equipo>.htmlkar vam bo dalo isto podatkovno strukturo za raziskovanje vzročnega GPO.
Poslušalec, vrata in konflikti na 3389
Tudi če je direktiva pravilna, če poslušalec RDP ne posluša, seje ne bo. V PowerShellu s povišanimi omogočenji (lokalno ali oddaljeno z Enter-PSSession -ComputerName <equipo>), izvede qwinsta in preverite, ali vnos obstaja rdp-tcp z državo BarČe se ne prikaže, je poslušalec lahko poškodovan.
Zanesljiva metoda vključuje izvoz ključa poslušalca iz zdravega računalnika z isto različico sistema Windows: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpV prizadetem računalniku shranite kopijo trenutnega stanja z reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg, odstrani ključ (Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force), dobra datoteka .reg je pomembna in znova zažene TermService.
Po tem preverite vrata. RDP bi moral poslušati na 3389. Preveri HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener> in vrednost PortNumberČe ni 3389 in nimate varnostnega razloga za njegovo spremembo, se vrnite na 3389 in znova zaženite storitev.
Za zaznavanje konfliktov zaženite cmd /c 'netstat -ano | find "3389"' in si zabeležite PID, ki je v stanju LISTENIRANJENato z cmd /c 'tasklist /svc | find "<PID>"' Določite postopek. Če ni TermServicePrekonfigurirajte to storitev na druga vrata, jo odstranite, če ni potrebna, ali kot zadnjo možnost, spremenite vrata RDP in se povežite z navedbo IP:port (ni idealno za standardno administracijo).
Potrdila RDP in dovoljenja MachineKeys
Drug pogost vzrok za nepopolne povezave je pokvarjeno ali neustvarjeno potrdilo RDPOdprite MMC s certifikatom za račun ekipe in pojdite na Oddaljeno namizje > Potrdila in odstranite samopodpisano potrdilo RDP. Znova zaženite storitev oddaljenega namizja in osvežite: samodejno bi se morala ustvariti nova.
Če se ne prikaže, preverite dovoljenja C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Poskrbi da VGRAJENI\Administratorji imeti popoln nadzor in Vsi računaj na Branje in pisanjeBrez teh ACL-jev Windows ne more ustvariti ključa in potrdila, ki sta potrebna za RDP.
Testiranje požarnega zidu sistema Windows in obsega
Na odjemalskih in strežniških sistemih, Windows Defender Požarni zid potrebuje odprta vhodna pravila za RDP. Preverite vgrajeno pravilo »Oddaljeno namizje – uporabniški način (TCP-In)"s netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)"; mora biti omogočeno, uporabljeno za ustrezne profile, protokol TCP in lokalna vrata 3389.
Če upravljate prek vmesnika, pojdite na požarni zid programa Windows Defender > Dovoli aplikacijo ali funkcijo in izberite »Oddaljeno namizje« v zasebno (in v javnem omrežju samo, če imate jasno utemeljitev). V razdelku »Napredne nastavitve« preverite, ali je pravilo za dohodno povezavo TCP 3389 aktivno. Kot korak za odpravljanje težav (ne v javnih omrežjih) lahko začasno onemogočite požarni zid, da preverite, ali je povezava vzpostavljena, in ga nato takoj znova omogočite.
Od zunaj je najjasnejši način za preverjanje prihoda v pristanišče ukaz psping: psping -accepteula <IP>:3389Če dobiš 0-odstotna izgubaOmrežni sklad in požarni zid omogočata povezavo. Če je vse v redu 100-odstotna izguba o zavrnilČas je za prehod na vmesno omrežje/požarni zid ali pregled NAT-a, VPN-ja in filtri med segmenti.
Preverjanje pristnosti: poverilnice, CredSSP in dovoljenja
Napake pri tipkanju “Vaše poverilnice niso delovale"Ali"Račun ni pooblaščen za oddaljeno prijavo"Običajno jih je enostavno popraviti: preverite, ali je uporabniško ime/geslo pravilno oblikovano (na primer DOMINIO\usuario), izbriše vse zastarele poverilnice v Upravitelj poverilnic in potrdite, da račun ni blokiran.
Pri CredSSP, če oprema ni posodobljena, bo prišlo do težko razumljive napake pri preverjanju pristnosti. Prepričajte se, da imate Posodobljen sistem Windows na odjemalcu in gostitelju. Kot bližnjico v starejših okoljih lahko v pravilniku skupine omogočite možnost »Dovoli delegiranje shranjenih poverilnic s preverjanjem pristnosti strežnika samo z NTLM« ali prek registra nastavite AllowEncryptionOracle a 2 en HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.
Ne pozabite na članstvo v skupini: v ekipah, ki niso v domeni, dodajte račun v Uporabniki oddaljenega namizja V razdelku Upravljanje računalnika > Lokalni uporabniki in skupine. V domeni preverite, ali članstvo ustreza Pravilnik imenika Active Directory v veljavi, preden se česar koli dotaknete.
DNS, VPN in druge omrežne spremenljivke
Če se povežete po imenu in se je IP-naslov gostitelja spremenil, lahko odjemalec zaradi predpomnjenja še vedno kaže na star naslov. Počistite z ipconfig /flushdns in če se stanje nadaljuje, uporabite Neposredni IP Če želite izključiti težavo z ločljivostjo, preverite, ali adapter uporablja pravilen DNS strežnik v Nadzorni plošči > Omrežno središče > Spremeni nastavitve adapterja.
Pri VPN-jih nekateri ponudniki blokirajo ali preusmerijo vrata 3389 ali pa jih enkapsulirajo na način, ki je v nasprotju s šifriranjem RDP. Prekinite VPN in preizkusite ali prilagodite pravilnik, da omogočite RDP. delitev tunelov ali »dovoli aplikacije«. Če zaznate prekinitve ali črne zaslone, znižajte MTU za eno točko: netsh interface ipv4 show subinterfaces da ga vidim in netsh interface ipv4 set subinterface "Ethernet" mtu=1458 store=persistent da ga prilagodite.
Če se zdi, da se odjemalec ne odziva, vendar je seja še vedno prisotna, je lahko težava v ločljivost ali velikost oknaV odjemalcu za povezavo z oddaljenim namizjem (mstsc) kliknite »Prikaži možnosti« in na zavihku Zaslon premaknite drsnik za ločljivost ali omogočite celozaslonski način; številne »povezave, ki ne delujejo« so odpravljene. prilagajanje okna.
Znane težave in storitve v oblaku: Windows 11 24H2 in Google Cloud
Poročali so o primerih povezovanja prek RDP z Windows 11 24H2 Seja se ob zagonu zamrzne, zlasti v navidezni stroji Glede hipervizorja. Nekateri vmesni popravki tega niso odpravili; redno posodabljajte sistem in preizkusite gonilnike grafične kartice/vGPU hipervizorja, saj je včasih težava v hipervizorju. Grafikon ali sklad RDPPonovni zagon gostitelja začasno obnovi povezljivost, vendar rešitev vključuje kumulativne posodobitve in gonilnike/vdelano programsko opremo.
V storitvi Google Compute Engine poleg lokalnega gesla za Windows (ponastavite ga iz gcloud ali konzolo), preverite pravilo default-allow-rdpSeznam pravil z gcloud compute firewall-rules list in če manjka, ga ustvarite z gcloud compute firewall-rules create allow-rdp --allow tcp:3389Preverite, ali uporabljate Pravilen zunanji IP-naslov z gcloud compute instances listČe je operacijski sistem napačno konfiguriran, do njega dostopajte prek interaktivna serijska konzola in izvedite:
• Storitev: net start | find "Remote Desktop Services" (če ga ni tam, net start "Remote Desktop Services")
• Omogoči RDP: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections (0 je v redu; če je 1: reg add ... /d 0)
• firewall: netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)" (vendar, netsh firewall set service remotedesktop enable)
• Varnostna plast: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 1 /f
• Privzeta NLA: reg add ... /v UserAuthentication /t REG_DWORD /d 0 /f
Napredna diagnostika: dogodki, omrežje in orodja
Ko zgoraj navedeno ne odpravi težave, je čas, da preverite dogodki in slediOdprite pregledovalnik dogodkov in preverite v dnevnikih sistema Windows > Aplikacije in sistem ter v virih TerminalServices-RemoteConnectionManager y Storitve oddaljenega namizja Microsoft Windows – RdpCoreTS za očitne napake v vsakem poskusu.
V omrežju zajemite z Wiresharkom in filtrirajte po tcp.port==3389 Preverite signale SYN/SYN-ACK, ponastavitve ali prekinitve povezave sredi poti. Če ni prometa, je blok na poti; če je promet in se prekine med varnostnim pogajanjem, sumite ... neujemanje šifriranja/NLAKot hiter preizkus odprtosti pristanišč, telnet <IP> 3389 (Če se poveže, so vrata dostopna.) Uporabite lahko tudi druge pripomočke, kot je Uporaba ntttcp v sistemu Windows za testiranje zmogljivosti in nasičenosti.
Microsoft ponuja nadzornik/analizator protokola RDP, v sistemu Windows Server 2012/2012 R2 pa tudi Orodje za diagnostiko storitev oddaljenega namizja Za prepoznavanje ozkih grl. Če ne morete posvetiti časa vsaki ponavljajoči se težavi, pripravite scenarije: netsh int ip reset && netsh winsock reset za omrežje in taskkill /F /IM mstsc.exe && net stop termservice && net start termservice za brisanje sej RDP in ponovni zagon storitev (opozorilo: skrajšajte aktivne seje).
Zloglasni "RDP – Prišlo je do notranje napake"
To generično sporočilo pogosto skriva varnostna neusklajenost med odjemalcem in strežnikom. Preverite, ali se raven šifriranja in varnostna plast ujemata (v GPO: Varnost gostitelja seje > »Zahteva uporabo določene varnostne plasti« in izberite PRP (če TLS ne uspe). Če strežnik zahteva NLA, odjemalec pa ne, začasno odznačite možnost NLA v Lastnosti sistema > Oddaljeno, da preverite, ali je to vzrok.
Drugi dejavniki: zastareli odjemalci RDP v primerjavi z novejšimi strežniki, težave z zaupanjem domene (Včasih to odpravi ponovna pridružitev domeni) ali varnostni profili, ki vsiljujejo šifriranje, ki ga druga stran ne podpira. V razdelku »Straniška izkušnja« omogočite samodejna ponovna povezava in trajni predpomnilnik bitnih slik za bolj odporne seje.
Če se je napaka pojavila po posodobitvi sistema Windows in nič od zgoraj navedenega ni smiselno, razmislite o povrnitvi tega specifičnega popravka (Plošča > Windows Update > Zgodovina > Odstranitev posodobitev), po posvetovanju s tehničnimi forumi (na primer teme o obliž torek) če gre za znano težavo.
Zmogljivost, zmogljivost in večpredstavnost
Če pritožba ni "se ne poveže", ampak "je prekinjeno", začnite z zmanjšanjem obremenitve odjemalca RDP: nižje ločljivost in barvna globinaNa zavihku Izkušnja onemogočite ozadje, vizualne sloge in glajenje pisave. Ti ukrepi zmanjšajo porabo pasovne širine in izboljšajo zakasnitev.
Na strežniku preverite CPU/RAM/disk v Upravitelj opravilČe je na meji, bo vsaka seja RDP neuspešna. Ne pozabite, da namizje sistema Windows dovoljuje samo sočasna sejaWindows Server ima dve privzeti administratorski licenci in zahteva dodatne licence RDS CAL.
Za zvok konfigurirajte odjemalec RDP > Lokalni viri > Oddaljeni zvok na »Predvajaj v tem računalniku« in preverite, ali so storitve Windows Audio in »Windows Audio Endpoint Generator« delujeta. Za veliko videoposnetkov RDP ni vedno idealen; nekatera starejša okolja omenjajo RemoteFX, danes pa je bolje izbrati Prilagodljivi kodek in sodobno pospeševanje ali oceniti orodja, zasnovana za pretakanje grafični
Hitri primeri in ekspresne rešitve
Če Windows Defender blokira povezavo v sistemu Windows 10/11, pojdite na Požarni zid Windows Defender > Dovoli aplikacijo in aktivirajte »Oddaljeno namizje« tako, da označite polja Zasebno (in Javno, če je primerno), pritisnite sprejemajo in preizkus. V mnogih resničnih incidentih so ti trije kliki Oni so bili razlika med frustracijo in uspehom.
Če morate spremeniti vrata, ker druga storitev uporablja vrata 3389, uredite HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp > PortNumberNa primer, vnesite 3390, znova zaženite storitev in se povežite kot IP:3390Ne pozabite prilagoditi požarni zid in NAT do tistega novega pristanišča.
Alternative in prehodi, ko ne morete odpreti vrat
V omrežjih, kjer odpiranje 3389 ni praktično (ali ga ne želite razkriti), razmislite o rešitvah z posrednik v oblaku ki se izognejo ročnim pravilom in težavam z DNS: RealVNC Connect ponuja enotno prijavo (SSO) in centralizirano upravljanje; Oddaljeno namizje za Chrome Če že uporabljate Chrome, je brezplačno in enostavno; TeamViewer in AnyDesk Dajejo prednost enostavnosti uporabe in hitrosti delovanja med platformami. Obstajajo tudi paketi, kot so TSplus, katerega cilj je okrepiti varnost in poenostaviti oddaljeni dostop v velikem obsegu.
Če boste ostali pri RDP, je varna možnost, da nastavite Prehod za oddaljeno namizje (prehod RD)Zahtevajte NLA in MFA ter omejite dostop prek VPN ali IPSec. To je standardni način zagotavljanja dostopa brez odpiranja vrat 3389 za ves svet.
Dobre varnostne in skladnostne prakse
Okrepiti PDP z aktiviranjem NLAUporaba sodobnih protokolov za šifriranje in, če vaš okvir to zahteva (GDPR/HIPAA), omogočanje močnih kriptografskih politik (npr. FIPS) in veljavnih potrdil, ki jih izda zaupanja vreden overitelj potrdil. Blokiranje javne izpostavljenosti, omejitev na zasebna omrežja/VPN in uveljavljanje MZZ na prehodu ali posredniku.
Nenazadnje bodite pozorni na dnevnikiRedno nameščajte popravke in izvajajte občasne preglede. Večini težav z RDP se je mogoče izogniti s kombinacijo teh ukrepov. dobre politikejasna pravila požarnega zidu in nadzor.
Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.