Paano tukuyin at ayusin ang mga patakaran sa network na humaharang sa RDP sa Windows

Kung biglang huminto sa paggana ang iyong koneksyon sa Remote Desktop, maaari mong isipin na ito ang firewall o naka-off ang makina. Ngunit sa RDP, ang tunay na salarin ay madalas... mga patakaran sa network, mga GPO, o mga serbisyo na humaharang sa port 3389 Nang walang babala. Ang mabuting balita: sa isang nakaayos na pagkakasunud-sunod ng mga pagsusuri, maaari mong ihiwalay ang pagkakamali sa ilang minuto.

Sa gabay na ito makikita mo ang mga praktikal at napatunayang pamamaraan para sa pag-diagnose at pagwawasto mga patakaran, panuntunan, at pagsasaayos na pumipigil sa RDP sa Windows, kapwa sa lokal at malayong kagamitan, sa isang corporate network, VPN at kahit sa mga ulap tulad ng Google Ulap. Makikita mo rin kung paano haharapin ang mga error sa pagpapatotoo (CredSSP), mga certificate, mga salungatan sa port, DNS at pagganap, at mga alternatibo kapag kailangan mo ng isang bagay na gumagana nang hindi nagbubukas ng mga port.

Paano matukoy kung ang isang patakaran o network ay humaharang sa RDP

Bago hawakan ang registry o ang firewall, magandang ideya na kumpirmahin kung ang problema ay sa abot ng network, pag-filter, o saturationAng isang kapaki-pakinabang na shortcut mula sa isa pang computer ay ang pagsubok para sa pag-access sa port gamit ang mga utility tulad ng psping: psping -accepteula <IP-equipo>:3389. Kung nakikita mo Kumokonekta sa… may mga pagtatangka na hindi nagbubunga, o a Tinanggihan ng remote na computer ang koneksyon sa network, ay nagpapahiwatig ng intermediate block o pagkawala ng serbisyo.

Subukan mula sa maraming mapagkukunan (isa pang subnet, isa pang VPN, home network, o 4G) upang makita kung ang pagharang ay pumipili ayon sa segment o sa pinanggalinganKung nabigo ito mula sa lahat ng panig, malamang na naharang ito ng isang perimeter firewall o mismo ng Windows. Kung nabigo lamang ito mula sa isang panig, tingnan ang mga allowlist. Mga ACL at panuntunan ng firewall intermediate.

Mabilis na suriin ang katayuan ng RDP at mga serbisyo nito

Magsimula sa pamamagitan ng pag-verify na pinapayagan ng remote system ang mga koneksyon sa Remote Desktop at tumatakbo ang mga serbisyo; ito ay nagbubukod sa mga pangunahing kaalaman sa dalawa o tatlo comandos.

Sa isang lokal na makina, ang pagpapagana ng RDP ay kasing simple ng pagbubukas ng Mga Setting at pag-activate nito. Remote desktop (tingnan gamit ang Windows 11 Remote DesktopPara sa mas pinong kontrol (o kung hindi tumutugon ang UI), tingnan ang log sa: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server y HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Ang halaga fDenyTSConnections dapat ito 0 (ang ibig sabihin ng value 1 ay hindi pinagana ang RDP).

Malayo, kumonekta sa network registry mula sa Registry Editor (File > Connect to Network Registry), mag-navigate sa parehong mga landas, at kumpirmahin na walang patakarang pinipilit ang pagharang; kung ito ay lilitaw fDenyTSConnections=1, baguhin ito sa 0 at tandaan kung Bumalik ito sa 1 pagkatapos ng ilang minuto. (tanda ng laganap na GPO).

Suriin din kung ang mga kinakailangang serbisyo ay tumatakbo sa magkabilang dulo: Mga Serbisyo sa Remote na Desktop (TermService) y Remote Desktop Services UserMode Port Redirector (UmRdpService)Magagawa mo ito sa services.msc o sa PowerShellKung kailangan mo ng mga gabay para sa mga serbisyo sa pag-edit, kumonsulta Baguhin ang mga serbisyo sa Windows 11Kung may nakakulong, Simulan ito at subukang muli.

Group Policy Object (GPO): Paano i-block at kung paano i-unblock

Kapag hindi ma-activate ang RDP sa pamamagitan ng interface, o ibinalik ang halaga ng registry, halos tiyak na ipinapatupad ito ng isang patakaran. Upang matukoy ang patakarang ito sa apektadong makina, patakbuhin ang sumusunod na command sa a CMD mataas gpresult /H c:\gpresult.html at binubuksan ang ulat; sa ilalim Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Mga Koneksyon hinahanap ng direktiba Payagan ang mga user na kumonekta nang malayuan gamit ang Remote Desktop Services.

Kung nakikita mo ito bilang Hindi pinaganaSumangguni sa ulat upang malaman kung ano ang GPO na nananaig at sa anong saklaw ito nalalapat (site, domain, o OU). Suriin din kung paano Pagsali sa isang domain sa Windows Kung pinaghihinalaan mo ang mga problema sa domain, mula sa Group Policy Object Editor (GPE) sa naaangkop na antas, baguhin ang patakarang iyon sa Pinagana o Hindi Na-configureat sa mga pangkat na kasangkot, pinipilit nito ang aplikasyon gpupdate /force.

Kung namamahala ka sa pamamagitan ng GPMC, maaari mo ring alisin ang link mula sa GPO na iyon sa yunit ng organisasyon kung saan nalalapat ito sa mga apektadong kagamitan. Tandaan na kung nagmula ang bloke SOFTWARE\PoliciesIsusulat muli ng GPO ang registry hanggang sa tanggalin o i-edit mo ang patakaran.

Para sa isang malayuang makina, buuin ang ulat na katulad ng sa isang lokal na makina, idinaragdag ang parameter ng computer: gpresult /S <nombre-equipo> /H c:\gpresult-<nombre-equipo>.htmlna magbibigay sa iyo ng parehong istraktura ng data upang siyasatin ang sanhi ng GPO.

Listener, port at mga salungatan sa 3389

Kahit na tama ang direktiba, kung ang tagapakinig ng RDP ay hindi nakikinig, walang session. Sa nakataas na PowerShell (lokal o remote na may Enter-PSSession -ComputerName <equipo>), nagsasagawa qwinsta at i-verify na umiiral ang entry rdp-tcp may estado BarKung hindi ito lilitaw, maaaring masira ang nakikinig.

Kasama sa isang maaasahang paraan ang pag-export ng listener key mula sa isang malusog na makina na may parehong bersyon ng Windows: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpSa apektadong computer, mag-save ng kopya ng kasalukuyang estado gamit ang reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg, inaalis ang susi (Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force), ang magandang .reg file ay mahalaga at i-restart ang TermService.

Pagkatapos nito, suriin ang port. Dapat ay nakikinig ang RDP 3389. Tignan mo HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener> at ang halaga PortNumberKung hindi ito 3389 at wala kang panseguridad na dahilan upang baguhin ito, bumalik sa 3389 at i-restart ang serbisyo.

Upang makita ang mga salungatan, tumakbo cmd /c 'netstat -ano | find "3389"' at tandaan ang PID na nasa estado NakikinigPagkatapos, kasama cmd /c 'tasklist /svc | find "<PID>"' Kilalanin ang proseso. Kung hindi naman TermServiceI-reconfigure ang serbisyong iyon sa isa pang port, i-uninstall ito kung hindi ito kailangan, o bilang huling paraan, baguhin ang RDP port at kumonekta sa pamamagitan ng pagtukoy ng IP:port (hindi mainam para sa karaniwang pangangasiwa).

Mga RDP certificate at pahintulot ng MachineKeys

Ang isa pang karaniwang dahilan ng hindi kumpletong mga koneksyon ay a sirang o hindi nalikhang RDP certificateBuksan ang certificate MMC para sa team account, pumunta sa Remote Desktop > Mga Certificate at alisin ang self-signed RDP certificate. I-restart ang serbisyo ng Remote Desktop at i-refresh: dapat awtomatikong gumawa ng bago.

Kung hindi ito lumabas, tingnan ang mga pahintulot ng C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Siguraduhin mo yan BUILTIN\Mga Administrator may kabuuang kontrol at lahat umasa Pagbasa at PagsulatKung wala ang mga ACL na ito, hindi mabubuo ng Windows ang susi at sertipiko na kinakailangan para sa RDP.

Windows Firewall at pagsubok sa hanay

Sa mga sistema ng kliyente at server, Windows defender Ang firewall ay nangangailangan ng bukas na papasok na mga panuntunan para sa RDP. Suriin ang built-in na panuntunan "Remote Desktop – User Mode (TCP-In)"kasama netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)"; Dapat na Pinagana, inilapat sa naaangkop na Mga Profile, TCP Protocol at Local Port 3389.

Kung namamahala ka sa pamamagitan ng interface, pumunta sa Windows Defender Firewall > Payagan ang isang app o feature at piliin ang "Remote Desktop" sa pribado (at sa Pampubliko lamang kung mayroon kang malinaw na katwiran). Sa "Mga Advanced na Setting", i-verify na ang papasok na panuntunan para sa TCP 3389 ay aktibo. Bilang isang hakbang sa pag-troubleshoot (hindi sa mga pampublikong network), maaari mong pansamantalang i-disable ang firewall upang tingnan kung napupunta ang koneksyon at pagkatapos ay agad itong muling paganahin.

Mula sa labas, ang pinakamalinaw na paraan para ma-verify ang pagdating sa daungan ay psping: psping -accepteula <IP>:3389Kung makuha mo 0% pagkawalaPinapayagan ng network stack at firewall ang koneksyon. Kung ang lahat ay 100% pagkawala o tumanggiOras na para umakyat sa isang intermediate network/firewall o suriin ang NAT, VPN at mga filter sa pagitan ng mga segment.

Pagpapatotoo: mga kredensyal, CredSSP at mga pahintulot

Mga error sa pag-typeHindi gumana ang iyong mga kredensyal"O"Ang account ay hindi awtorisado para sa malayuang pag-login"Karaniwan silang walang kuwentang ayusin: tingnan kung tama ang format ng username/password (halimbawa, DOMINIO\usuario), tinatanggal ang anumang hindi napapanahong mga kredensyal sa Tagapamahala ng kredensyal at kumpirmahin na ang account ay hindi naka-block.

Sa CredSSP, kung hindi napapanahon ang kagamitan, magaganap ang isang mahirap na bigyang kahulugan na pagkabigo sa pagpapatotoo. Tiyaking mayroon ka Na-update ang Windows sa parehong kliyente at host. Bilang isang shortcut sa mas lumang mga kapaligiran, maaari mong paganahin sa GPO "Payagan ang delegasyon ng mga naka-save na kredensyal na may NTLM-only server authentication" o, sa pamamagitan ng registry, itakda AllowEncryptionOracle a 2 en HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Huwag kalimutan ang membership sa grupo: sa mga non-domain team, idagdag ang account sa Mga Gumagamit ng Remote Desktop Mula sa Computer Management > Local Users and Groups. Sa domain, patunayan na ang membership ay sumusunod sa Patakaran sa Active Directory sa bisa bago hawakan ang anumang bagay.

DNS, VPN, at iba pang mga variable ng network

Kung kumonekta ka sa pamamagitan ng pangalan at nagbago ang IP address ng host, maaaring tumuturo pa rin ang kliyente sa isang lumang address dahil sa pag-cache. Maglinis ng ipconfig /flushdns at, kung magpapatuloy ito, gamitin ang Direktang IP Upang maalis ang isang problema sa paglutas, tingnan kung ginagamit ng adaptor ang tamang DNS server sa Control Panel > Network Center > Baguhin ang mga setting ng adapter.

Sa mga VPN, hinaharangan o nire-redirect ng ilang provider ang port 3389, o nilalagay ito sa paraang sumasalungat sa RDP encryption. Idiskonekta ang VPN at subukan, o ayusin ang patakaran upang payagan ang RDP. split tunneling o “payagan ang mga app”. Kung makakita ka ng mga pagkaantala o itim na screen, babaan ang MTU ng isang punto: netsh interface ipv4 show subinterfaces upang makita ito at netsh interface ipv4 set subinterface "Ethernet" mtu=1458 store=persistent para ayusin ito.

Kung ang kliyente ay tila hindi tumutugon ngunit ang session ay naroroon pa rin, maaari itong maging isang isyu sa resolution o laki ng windowSa Remote Desktop Connection client (mstsc), i-click ang "Show Options" at sa Display tab ilipat ang resolution slider o paganahin ang full screen; maraming "koneksyon na hindi gumagana" ang naayos. pag-aayos ng bintana.

Mga kilalang isyu at serbisyo sa cloud: Windows 11 24H2 at Google Cloud

Naiulat ang mga kaso kung saan kumokonekta sa pamamagitan ng RDP Windows 11 24H2 Nag-freeze ang session sa startup, lalo na sa virtual machine Tungkol sa hypervisor. Ang ilang pansamantalang patch ay hindi nalutas ito; panatilihing ganap na na-update ang iyong system at subukan ang mga driver ng video/vGPU ng hypervisor, dahil minsan ang problema ay nasa hypervisor. RDP chart o stackAng pag-restart ng host ay pansamantalang nagpapanumbalik ng pagkakakonekta, ngunit ang solusyon ay nagsasangkot ng pinagsama-samang pag-update at mga driver/firmware.

Sa Google Compute Engine, bilang karagdagan sa lokal na password ng Windows (i-reset ito mula sa gcloud o ang console), suriin ang panuntunan default-allow-rdpListahan ng mga tuntunin na may gcloud compute firewall-rules list at, kung nawawala ito, gumawa ng isa gamit ang gcloud compute firewall-rules create allow-rdp --allow tcp:3389. I-verify na ginagamit mo ang Tamang panlabas na IP address sa gcloud compute instances listKung mali ang pagkaka-configure ng OS, i-access ito sa pamamagitan ng interactive na serial console at isagawa:

• Serbisyo: net start | find "Remote Desktop Services" (kung wala doon, net start "Remote Desktop Services")
• Paganahin ang RDP: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections (0 ay OK; kung 1: reg add ... /d 0)
• Firewall: netsh advfirewall firewall show rule name="Remote Desktop - User Mode (TCP-In)" (pero, netsh firewall set service remotedesktop enable)
• Layer ng seguridad: reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 1 /f
• Default na NLA: reg add ... /v UserAuthentication /t REG_DWORD /d 0 /f

Mga advanced na diagnostic: mga kaganapan, network at mga tool

Kapag hindi nilinaw ng nasa itaas ang problema, oras na para tingnan mga pangyayari at bakasBuksan ang Event Viewer at tingnan ang Windows Logs > Application and System, at sa mga source TerminalServices-RemoteConnectionManager y Microsoft-Windows-RemoteDesktopServices-RdpCoreTS para sa malinaw na mga error sa bawat pagtatangka.

Sa isang network, kunan gamit ang Wireshark at i-filter ayon sa tcp.port==3389 Tingnan kung may mga SYN/SYN-ACK signal, pag-reset, o pagbaba ng kalagitnaan ng koneksyon. Kung walang trapiko, ang bloke ay nasa ruta; kung may traffic at bumagsak sa panahon ng security negotiation, maghinala... hindi tugma sa pag-encrypt/NLABilang isang mabilis na pagsubok sa pagiging bukas ng port, telnet <IP> 3389 (Kung ito ay kumonekta, ang port ay naa-access.) Maaari mo ring gamitin ang iba pang mga kagamitan tulad ng gamit ang ntttcp sa Windows para sa pagsubok sa pagganap at saturation.

Nag-aalok ang Microsoft ng RDP Protocol Monitor/Analyzer, at sa Windows Server 2012/2012 R2, ang Remote Desktop Services Diagnostic Tool Upang matukoy ang mga bottleneck. Kung hindi ka makapaglaan ng oras sa bawat umuulit na isyu, maghanda ng mga script: netsh int ip reset && netsh winsock reset para sa network, at taskkill /F /IM mstsc.exe && net stop termservice && net start termservice upang i-clear ang mga session ng RDP at i-restart ang mga serbisyo (babala: paikliin ang mga aktibong session).

Ang kasumpa-sumpa na "RDP - Isang panloob na error ang naganap"

Ang generic na mensaheng ito ay kadalasang nagtatago ng a hindi pagkakahanay sa kaligtasan sa pagitan ng kliyente at server. Suriin kung tumutugma ang antas ng pag-encrypt at layer ng seguridad (sa GPO: Session Host Security > “Kailangan ang paggamit ng isang partikular na layer ng seguridad” at piliin RDP (kung nabigo ang TLS). Kung ang server ay nangangailangan ng NLA at ang kliyente ay hindi, pansamantalang alisan ng tsek ang NLA sa System Properties > Remote upang tingnan kung ito ang dahilan.

Iba pang mga kadahilanan: mga hindi napapanahong RDP client kumpara sa mga mas bagong server, mga isyu sa tiwala ng domain (Kung minsan, nalulutas ito ng muling pagsali sa domain), o mga profile ng seguridad na nagpapatupad ng pag-encrypt na hindi sinusuportahan ng kabilang dulo. Sa Customer Experience, paganahin awtomatikong muling pagkonekta at paulit-ulit na bitmap cache para sa mas nababanat na mga session.

Kapag lumitaw ang error pagkatapos ng pag-update ng Windows at wala sa itaas ang makatuwiran, isaalang-alang ang pagbabalik sa partikular na patch na iyon (Panel > Windows Update > History > I-uninstall ang mga update), pagkatapos kumonsulta sa mga teknikal na forum (halimbawa, mga thread ng Patch Martes) kung sakaling ito ay isang kilalang problema.

Pagganap, kapasidad at multimedia

Kung ang reklamo ay hindi "ito ay hindi kumonekta" ngunit "ito ay pabagu-bago," magsimula sa pamamagitan ng pagbabawas ng load mula sa RDP client: pababa resolution at lalim ng kulayI-disable ang background, mga visual na istilo, at pag-smoothing ng font sa tab na Karanasan. Binabawasan ng mga hakbang na ito ang pagkonsumo ng bandwidth at pinapahusay ang latency.

Sa server, suriin ang CPU/RAM/Disk sa Task ManagerKung ito ay nasa limitasyon nito, ang anumang RDP session ay mabibigo. Tandaan na pinapayagan lamang ng Windows Desktop sabay-sabay na sesyonAng Windows Server ay may dalawang default na administratibong lisensya at nangangailangan ng karagdagang mga lisensya ng RDS CAL.

Para sa audio, i-configure ang RDP client > Local Resources > Remote Audio para "I-play sa computer na ito", at i-verify na ang mga serbisyo Windows Audio at "Windows Audio Endpoint Generator" ay tumatakbo. Para sa mabibigat na video, ang RDP ay hindi palaging perpekto; binanggit ng ilang mas lumang mga kapaligiran ang RemoteFX, ngunit ngayon ay mas mahusay na mag-opt para sa Adaptive codec at modernong acceleration o suriin ang mga tool na idinisenyo upang anod graphic

Mabilis na mga kaso at malinaw na solusyon

Kung hinaharangan ng Windows Defender ang koneksyon sa Windows 10/11, pumunta sa Windows Defender Firewall > Payagan ang isang application at i-activate ang “Remote Desktop” sa pamamagitan ng paglalagay ng check sa mga Pribadong kahon (at Pampubliko lamang kung naaangkop), pindutin tanggapin at pagsubok. Sa maraming totoong pangyayari sa mundo, ang mga ito tatlong pag-click Sila ang naging pagkakaiba sa pagitan ng pagkabigo at tagumpay.

Kung kailangan mong baguhin ang port dahil ang isa pang serbisyo ay gumagamit ng 3389, i-edit HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp > PortNumberHalimbawa, ilagay ang 3390, i-restart ang serbisyo at kumonekta bilang IP:3390Tandaan na mag-adjust firewall at NAT sa bagong port na iyon.

Mga alternatibo at gateway kapag hindi mo mabuksan ang mga port

Sa mga network kung saan hindi praktikal ang pagbubukas ng 3389 (o ayaw mong ilantad ito), isaalang-alang ang mga solusyon sa tagapamagitan ng ulap na umiiwas sa mga manu-manong panuntunan at abala sa DNS: Nag-aalok ang RealVNC Connect ng SSO at sentralisadong pamamahala; Chrome Remote Desktop Ito ay libre at madali kung ginagamit mo na ang Chrome; TeamViewer at AnyDesk Inuna nila ang kadalian ng paggamit at bilis ng cross-platform. Mayroon ding mga suite tulad ng TSplus, na naglalayong palakasin ang seguridad at pasimplehin ang malayuang pag-access sa laki.

Kung mananatili ka sa RDP, ang ligtas na opsyon ay mag-set up ng a Remote Desktop Gateway (RD Gateway)Kinakailangan ang NLA at MFA, at paghigpitan ang pag-access sa pamamagitan ng VPN o IPSec. Ito ang karaniwang paraan upang magbigay ng access nang hindi binubuksan ang port 3389 sa mundo.

Magandang seguridad at mga kasanayan sa pagsunod

Palakasin ang RDP sa pamamagitan ng pag-activate NLAGumagamit ng mga modernong protocol ng pag-encrypt at, kung kailangan ito ng iyong framework (GDPR/HIPAA), pagpapagana ng mga matibay na patakaran sa cryptography (hal., FIPS) at mga valid na certificate na ibinigay ng isang pinagkakatiwalaang CA. I-block ang pampublikong exposure, limitahan sa mga pribadong network/VPN, at ipatupad MFA sa gateway o sa broker.

Panghuli, bantayan ang mga talaRegular na maglapat ng mga patch at magsagawa ng pana-panahong pag-audit. Karamihan sa mga problema sa RDP ay maiiwasan sa pamamagitan ng kumbinasyon ng mga hakbang na ito. magandang patakaranmalinaw na mga panuntunan sa firewall at pagsubaybay.

Kaugnay na artikulo:

Paano I-access ang Windows nang Malayo gamit ang RDP: Isang Kumpleto at Secure na Gabay

Isaac

Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.