远程桌面无法连接到Windows实例的问题排查方法

dxqshjs

远程桌面无法连接可能是由于以下几种原因。

• 原因一：Windows Server 2012初次登录开启防火墙
• 原因二：远程端口设置超出范围
• 原因三：杀毒软件导致
• 原因四：远程终端服务配置异常
• 原因五：系统服务禁用
• 原因六：终端服务器角色配置
• 原因七：本地网络限制
• 原因八：服务器的公网带宽问题
• 原因九：远程端口被修改
• 原因十：服务器内存不足
• 原因十一：系统的安全策略设置
• 原因十二：远程桌面服务未开启
  

解决方案
不同的问题原因，解决方法不同，本文将根据问题原因分别介绍如何解决。详见如下内容。


原因一：Windows Server 2012初次登录开启防火墙
新购的Windows 2012实例，首次连接服务器是可以的。连接服务器并激活系统后，会提示如下图片中的信息，用户需要单击 是，如果单击 否，服务器会自动开启公网的防火墙，连接会直接断开。


解决方法

• 使用控制台远程连接功能登录到Windows实例。
• 在菜单栏选择 开始 > 控制面板 。
• 查看方式 选择 小图标，单击 Windows 防火墙。
  

• 在 Windows 防火墙 窗口，单击 高级设置。
• 在弹出的窗口中，单击 入站规则，在右侧拉至最下方，右键单击 远程桌面-用户模式(TCP-In)，选择 启动规则。
  

• 返回上一个页面， 单击 Windows 防火墙属性。
  

• 选择 启用（推荐），单击 应用。
  

注意：建议将 域配置文件、专用配置文件、公用配置文件 选项卡下的防火墙全部启用。



原因二：远程端口设置超出范围
无论是Windows实例还是Linux实例，服务监听能使用的端口范围为0~65535，错误配置监听端口会导致远程桌面服务监听失败。这种情况将端口重新修改为0~65535之间未被占用的端口即可，修改端口的具体操作方法参见修改服务器默认远程端口


原因三：杀毒软件导致
无法连接远程桌面可能是由于第三方杀毒软件设置导致。此处列举两个安全狗配置导致远程访问失败的案例。

案例一：安全狗黑名单拦截
如果安装了安全狗后，出现如下情况，请确认防护软件中是否做了安全设置或对应的拦截。

• 客户端本地无法远程桌面连接Windows实例，但其他区域可以远程连接。
• 无法PING通服务器IP地址，且通过tracert命令跟踪路由，发现无法到达服务器。
• 云盾未拦截本地公网IP地址。
  

解决方法

• 打开 服务器安全狗，选择 网络防火墙。单击 超级黑名单 的 规则设置，如果黑名单中存在实例公网IP，则将此黑名单规则删除，然后将公网IP添加到 超级白名单。
  

说明：如果云盾的阈值设置过低，则可能拦截实例公网IP。建议把清洗阈值调高，避免出现拦截实例公网IP的情况发生。

案例二：安全狗程序异常
使用控制台远程连接功能登录到Windows实例后，在系统桌面右下角，安全狗弹出错误提示，系统显示类似如下。该问题可能是由于安全狗软件出现异常导致的。


解决方法

• 通过Windows系统卸载安全狗软件后，重启服务器，网络即可恢复。
  

原因四：远程终端服务配置异常
无法连接Windows实例远程桌面可能是由于以下两种远程终端服务的配置异常而导致。
异常一：服务器侧自签名证书损坏
客户端如果是Windows 7以上版本的系统，会尝试与服务器建立TLS连接。若服务器侧用于TLS连接的自签名证书损坏，则会导致远程连接失败。

解决方法

• 使用控制台远程连接功能登录到Windows实例。
• 选择 开始 > 管理工具 > 远程桌面服务，然后双击 远程桌面会话主机配置。
  

• 选择 RDP-Tcp。在RDP-Tcp属性窗口，将 安全层 修改成 RDP安全层。
  

• 在操作栏单击 禁用连接，再单击 启用连接 即可。
  

异常二：远程桌面会话主机配置连接被禁用
使用netstat命令查询，发现端口未正常监听。使用控制台远程连接功能登录到Windows实例后，发现远程桌面RDP连接属性配置文件被禁用。


解决方法

• 参考服务器侧自签名证书损坏找到RDP连接属性配置文件，如果 RDP-Tcp 被禁用，单击 启用连接 即可。
  

原因五：系统服务禁用
用户为了提高系统安全性，错误的将远程桌面服务所依赖的某些关键服务禁用，导致远程桌面服务异常。


解决方法

• 使用控制台远程连接功能登录到Windows实例。
• 选择 开始 > 运行。 输入msconfig，单击 确定。
  

• 在弹出的窗口中，选择 常规 选项卡，选择 正常启动，然后重启服务器即可。
  

原因六：终端服务器角色配置
用户在使用远程桌面访问Windows实例时，有时会出现如下提示。这种情况一般是由于在服务器上安装配置了 终端服务器，但是没有配置有效的访问授权导致的。


解决方法

• 参见Windows 实例远程桌面报错“由于没有远程桌面授权服务器可以提供许可证”中针对 主机角色 提供的两种解决方案。
  

原因七：本地网络限制
通过ping和telnet命令，检查服务器公网IP及3389端口的连通性，同时用其他网络环境中(不同网段或不同运营商)的电脑连接对比测试，判断是本地网络问题还是服务器端的问题。如果是本地网络问题或运营商问题，请联系本地IT人员或运营商解决。


原因八：服务器的公网带宽问题
无法远程连接可能是公网带宽不足导致的，具体排查方法如下：

• 登录ECS 管理控制台。
• 找到该实例， 单击 管理 进入 实例详情 页面，查看网络监控数据。
• 检查服务器带宽是否为“1k”或“0k”。如果购买实例时没有购买公网带宽，后来升级了公网带宽，续费的时候没有选择续费带宽，带宽就会变成“1k”。
  

解决方法

• 续费ECS实例，然后重启实例。详情参见手动续费或者自动续费。
  

原因九：远程端口被修改
无法连接Windows实例远程桌面可能是远程桌面的端口修改后，登录方式改变或者ECS安全组规则中未放行修改后的端口号。
注：ECS的安全组规则中默认放行3389端口。修改了远程桌面的端口后，需要在安全组规则中放行修改后的端口号。


解决方法

• 登录ECS 管理控制台。
• 找到该实例， 单击 管理 进入 实例详情 页面，
• 切换到 本实例安全组 标签页，单击 配置规则。
  

• 在安全组规则页面，单击 添加安全组规则。
• 在弹出的页面中，端口范围 输入修改后的远程桌面端口号。授权对象 输入客户端的公网IP地址。比如修改后的远程桌面端口号为4389，则 端口范围 应输入“4389/4389”。填写完成后，单击 确定。
  

• 通过“IP:端口”的方式进行远程桌面连接。连接方式类似如下。
  

原因十：服务器内存不足
远程连接输入用户密码登录后，不能正常显示桌面直接退出，也没有错误信息。这种情况可能是服务器内存不足导致的，需要查看一下服务器的内存使用情况。具体操作如下。

• 使用控制台远程连接功能登录到Windows实例。
• 选择 开始 > 控制面板 > 管理工具，双击 事件查看器。查看一下是否有内存资源不足的警告日志信息。
  

解决方法

• 如有日志信息提示内存不足，具体解决方法参考Windows 虚拟内存不足问题的处理。
  

原因十一：系统的安全策略设置
您可以查看Windows服务器上是否有阻止远程桌面连接的相关安全策略。具体操作如下。

• 使用控制台远程连接功能登录到Windows实例。
• 选择 开始 > 控制面板 > 管理工具，双击 本地安全策略。
  

• 在弹出的窗口中，单击 IP 安全策略，查看是否有相关的安全策略。
• 如果有，右键单击相关策略，选择 删除，或双击该IP的安全策略来重新配置以允许远程桌面连接。然后使用再远程桌面连接。
  

原因十二：远程桌面服务未开启
您可以查看Windows服务器的系统是否开启了远程桌面服务。具体操作如下。

• 使用控制台远程连接功能登录到Windows实例。
• 右键单击 我的电脑，选择 属性 > 高级系统设置。
• 在 系统属性 窗口，选择 远程 选项卡，然后勾选 允许运行任意版本远程桌面的计算机连接 即可。