排查遠程桌面故障

Windows遠程桌面可以從一臺計算機連接到其他位置的遠程計算機對其進行操作，極大地方便了對遠程服務器或工作計算機的管理。但出于安全考慮，涉及到的配置、選項和參數很多，同時，引起故障的原因也不少。以下的現象分析和排除方法，對于不同的Windows版本會有所區別，讀者可根據自己的系統舉一反三。

故障現象：“遠程桌面由于以下原因之一無法連接到遠程計算機：未啟用對服務器的遠程訪問；遠程計算機已關閉；在網絡上遠程計算機不可用”（如圖1）。

故障原因一：“Remote Desktop Service”服務被停止，因為遠程桌面依賴此服務。

圖1 無法連接

排除方法：在“管理工具服務”中啟動該服務。

故障原因二：“允許用戶使用遠程桌面服務進行遠程連接”設置為了“已禁用”。

排除方法：運行gpedit.msc，在“本地組策略編輯器計算機配置管理模板windows組件遠程桌面服務遠程桌面會話主機連接”中，把“允許用戶使用遠程桌面服務進行遠程連接”更改為“已啟用”或者“未配置”。

故障原因三：“允許入站遠程桌面例外”被設置為了“已禁用”。

排除方法：把“本地組策略編輯器計算機配置管理模板網絡網絡連接Windows防火墻標準配置文件”中的“Windows防火墻：允許入站遠程桌面例外”設置為“已啟用”或“未配置”。

故障原因四：入站規則中沒有“遠程桌面（TCPIn）”，或有但未啟用或被設置為了“阻止連接”。

排除方法：若“管理工具高級安全Windows防火墻入站規則”中有“遠程桌面（TCP-In）”，則設置為“已啟用”且“允許連接“；如果沒有，則先在“新建規則預定義”中選擇“遠程桌面”然后同上設置。

故障原因五：服務器禁用了TCP 3389端口，因為該端口是遠程桌面的服務端口。

排除方法：在服務器的防火墻入站規則中不要禁用TCP3389端口。

故障原因六：“允許程序或功能通過Windows防火墻”中沒有勾選“遠程桌面”。

排除方法：在“防火墻允許程序通過Windows防火墻例外選項卡”中勾選“遠程桌面”。

故障現象：“要登錄到此遠程計算機，您必須被授予允許通過終端服務登錄的權限。默認情況下，‘遠程桌面用戶’組的成員擁有該權限”。

故障原因一：“允許通過遠程桌面服務登錄”中缺少用于遠程桌面的用戶。

排除方法：在“本地策略用戶權限分配允許通過遠程桌面服務登錄”中要包含用于遠程登錄的用戶、“Everyone” 用 戶、“Remote Desktop users”用戶組或隸屬用戶組之一即可。

故障原因二：“拒絕通過遠程桌面服務登錄”中包含有用于遠程桌面的用戶。

排除方法：從“用戶權限分配拒絕通過遠程桌面服務登錄”中刪除用于遠程桌面的用戶、“Everyone”用戶、“Remote Desktop users”用戶組和隸屬用戶組。

故障現象：“連接被拒絕，因為沒有授權此用戶賬帳戶進行遠程登錄”。

故障原因：沒有在管理員組中的遠程桌面用戶未添加，因為只有管理員組中的任何成員才有默認的連接權限。

排除方法：在“系統屬性遠程遠程桌面選擇用戶”中添加要遠程登錄的用戶。或者通過“管理工具計算機管理本地用戶和組用戶隸屬于選項卡”，把用戶添加到管理員組administrators中。

故障現象：“另一用戶已經連接到此遠程計算機，因此您的連接已丟失”。

故障原因：“限制每個用戶只能進行一個會話”被勾選。

排除方法：在“管理工具遠程桌面服務遠程桌面會話主機配置編輯設置常規”中不要勾選“限制每個用戶只能進行一個會話”。

故障現象：“選擇要中斷連接的用戶，以便您可以登錄，已登錄的用戶過多”。

故障原因：登錄用戶數超過“最大連接數”。如果沒有添加角色“遠程桌面服務”中的“遠程桌面會話主機”和“遠程桌面授權”，則在默認遠程桌面模式下最多只允許同時使用兩個遠程連接，這時“無限制的連接數”不能被選擇，“遠程桌面授權模式”中的“授權”選項卡為空。

排除方法：角色添加后，在“管理工具遠程桌面服務遠程桌面會話主機配置連接RDP-TCP網絡適配器”中修改“最大連接數”的值。如果在本地策略組中限制了“允許的RD最大連接數”是n，則此處的“最大連接數”也是n且不能更改。

故障現象：“此計算機無法連接到遠程計算機。請嘗試重新連接。如果問題仍然存在，請聯系遠程計算機的所有者或網絡管理員”。

故障原因：一個用戶從多臺計算機同時登錄或多個用戶同時登錄時，總的登錄數（每用戶的登錄數和）超出了“允許的RD最大連接數”。

排除方法：啟用“本地組策略編輯器計算機配置管理模板windows組件遠程桌面服務遠程桌面會話主機連接限制連接的數量”，并修改“允許的RD最大連接數”。

故障現象：有新用戶登錄時被拒絕，顯示“當前已禁用遠程登錄”。

故障原因：“允許重新連接，但拒絕新用戶登錄”或“允許重新連接，但服務器重新啟動后才允許新用戶登錄”被單選。

排除方法：在“管理工具遠程桌面遠程桌面會話主機配置常規用戶登錄模式”中單選“允許所有連接”。

故障現象：“您的憑據不工作，登錄沒有成功”。

故障原因：安全模型被設置為了“僅來賓-對本地用戶進行身份驗證，其身份為來賓”；或者沒有設置用戶密碼（略）。

排除方法：把“本地組策略編輯器計算機配置Windows設置安全設置本地策略安全選項網絡訪問：本地賬戶的共享和安全模型”中的模型更改為“經典-對本地用戶進行身份驗證，不改變其本來身份”。

故障現象：先顯示“……將在兩分鐘內中斷會話連接……”，然后顯示“由于達到了總登錄時間限制，遠程會話被結束”。

故障原因：“會話時間限制”中配置了相關的會話時間，導致兩分鐘后會話結束。

排除方法一：把“管理工具遠程桌面服務遠程桌面會話主機配置連接RDP-TCP屬性會話”中的相關時間限制修改為“從不”。

排除方法二：在“本地安全策略本地策略安全選項”中把“Microsoft網絡服務器：登錄時間過期后斷開與客戶端的連接”設置為“已禁用”。因為，如果啟用了此策略，一旦客戶端的登錄時間過期，該策略便會強制斷開與SMB服務建立的客戶端會話。如果禁用了此策略，即便在客戶端登錄時間過期后，仍允許維持已建立的客戶端會話。

排除方法三：把“本地組策略編輯器計算機配置管理模板Windows組件遠程桌面服務遠程桌面會話主機會話時間限制”中的相關時間設置為“從不”。

故障現象：“您的遠程桌面連接失敗，因為無法對遠程計算機進行身份驗證，……，無法繼續，因為需要身份驗證”。

故障原因：服務器身份驗證失敗時客戶端的安全策略選擇不當。

故障排除：在客戶端的“遠程桌面連接選項高級如果服務器身份驗證失敗”中，把“不連接”更改為“顯示警告”或“連接且不顯示警告”。

經驗總結

不同的故障原因，有可能產生相同的故障現象，如果這些原因是同一屬類；但不同的故障現象一定是不同原因所引起的。根據不同的出錯信息仔細分析其原因，就能找出恰當的排除方法。