Si të rregulloni refuzimin e lidhjes RDP në Windows 10 dhe 11

  • Diagnostika e shtresuar: statusi i RDP/GPO, shërbimet dhe dëgjuesi, portet dhe firewall-i, vërtetimi dhe certifikatat.
  • Përdorni mjetet kryesore: gpresult, qwinsta, netstat, tasklist dhe psping për të gjetur pikën e dështimit.
  • Forconi sigurinë me NLA, TLS, VPN ose RD Gateway dhe kufizoni aksesin me IP.
  • Shmangni përdorimin e RDP Wrapper në prodhim dhe merrni në konsideratë alternativa të sigurta si RealVNC/AnyDesk/AnyViewer.
Pablo

Minuta 11

RDP në Windows: Kërkesat e Sigurisë dhe Konfigurimi i Sigurt

Kur Remote Desktop ju jep mesazhin "lidhja u refuzua" në Windows 10 ose 11, koha fluturon dhe produktiviteti bie ndjeshëm. Në shumë raste, problemi qëndron në detajet e konfigurimit ose të rrjetit që mund të zgjidhen shpejt me pak praktikë. Ky udhëzues përqendrohet në teknikat praktike, verifikimet dhe komandat I provuar për ta rikthyer në jetë RDP-në pa u humbur në diagnoza të pafundme.

Para se të fillojmë punën: konfirmoni që kompjuteri në distancë është i ndezur, ka një rrjet që funksionon dhe që nuk ka asnjë punë mirëmbajtjeje në proces. Një ping i thjeshtë dypalësh dhe porta kontrolluese 3389 Ato mund t'ju kursejnë një pasdite testimesh. Nga këtu, ndiqni një rrjedhë logjike: statusi i RDP-së, GPO-ja, shërbimet, dëgjimi i portave, firewall-i, certifikatat dhe, nëse është e nevojshme, alternativa të sigurta.

Diagnozë e shpejtë kur RDP tregon "lidhja u refuzua"

Filloni me bazat në mënyrë që të mos ngatërroheni. Verifikoni lidhshmërinë dhe që hosti po përgjigjet. dhe kontrolloni nëse ka ndonjë rregull që Ato bllokojnë lidhjet e desktopit në distancë para se të prekni regjistrimin ose direktivat.

  • Nga kompjuteri klient, duke pinguar adresën IP ose emrin e hostit të largët dhe anasjelltas.
  • Provo portin 3389 nga një kompjuter tjetër duke përdorur psping: psping -accepteula <IP-remota>:3389.

Dalja e psping do t'ju udhëzojë: nëse shihni Connecting to <IP> y (0% loss)Ka qasje; nëse shfaqet The remote computer refused the network connection o (100% loss), Trafiku nuk po arrin shërbimin RDP ose porta është e bllokuar/e zënë.

Kontrolloni nëse RDP është aktivizuar (lokal dhe i largët)

Nëse mund të identifikoheni lokalisht në makinën e synuar, kontrolloni Cilësimet > Sistemi > Desktopi në distancë dhe aktivizoni opsionin. Për qëllime testimi, mund ta çaktivizoni përkohësisht NLA-në. (Autentifikimi i Nivelit të Rrjetit) për të ngushtuar problemin dhe për ta riaktivizuar atë kur gjithçka funksionon. Për udhëzime hap pas hapi, shihni Aktivizoni Desktopin e Largët në Windows 10.

Nëse nuk keni akses interaktiv, kontrolloni regjistrin lokalisht ose nga distanca. Vlera kyçe është fDenyTSConnections:

  1. Hapni Run dhe shkruani regedt32.
  2. Për t'u lidhur me një kompjuter në distancë: Skedari > Lidhu me Regjistrin e Rrjetit… dhe shkruani emrin e tij.
  3. Shko tek HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server tashmë HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.

Si fDenyTSConnections Nëse është 1, RDP është i çaktivizuar; nëse është 0, është i aktivizuar. Ndryshojeni në 0 për të lejuar lidhjetNëse kthehet në 1 pasi ta aktivizoni, ndoshta ka një GPO që e anashkalon cilësimin. Nëse duhet ta riktheni ose ta menaxhoni opsionin manualisht, shihni se si. Çaktivizo Desktopin e Largët.

A po bllokon RDP-në një politikë grupi?

Gjeneroni një raport të Setit Rezultant të Politikave (RSoP) për të parë se kush është përgjegjës. Nga një CMD si administrator:

gpresult /H C:\gpresult.html

Hapni HTML-në dhe shkoni te Konfigurimi i Kompjuterit > Shabllonet Administrative > Komponentët e Windows > Shërbimet e Desktopit në Distancë > Pritësi i Sesionit të Desktopit në Distancë > Lidhjet. Direktiva "Lejo përdoruesit të lidhen nga distanca..." Duhet të jetë i Aktivizuar ose Jo i konfiguruar; nëse është i Çaktivizuar, identifikoni "GPO-në mbizotëruese".

Për një ekip në distancë, përdorni: gpresult /S <nombre-equipo> /H C:\gpresult-<nombre-equipo>.htmlFormati është i njëjtë dhe do t'ju lejojë të shihni se cili GPO është përgjegjës në destinacion.

Modifikoni politikën në Redaktorin e Objekteve të Politikës së Grupit (ose në GPMC) në njësinë njësie ose fushëveprimin që zbatohet. Pastaj, detyro përditësimin me gpupdate /force në pajisjet e prekura.

Shërbimet e kërkuara dhe statusi i dëgjuesit RDP

Pa shërbime, nuk ka RDP. Kjo konfirmon që ato po funksionojnë si në klient ashtu edhe në server.:

  • Shërbimet e Desktopit në Distancë (TermService)
  • Ridrejtuesi i portave të modalitetit të përdoruesit të Shërbimeve të Desktopit në Distancë (UmRdpService)

Hapini ato në services.msc ose menaxhojini ato me PowerShell lokal/të largët. Nëse janë ndaluar, ndizeni dhe provoni përsëri.

Kontrolloni nëse "dëgjuesi" rdp-tcp është funksional

Përdorimi i PowerShell në modalitetin e administratorit (lokal ose me Enter-PSSession -ComputerName <equipo>), shtizë qwinsta. "rdp-tcp" duhet të shfaqet me statusin DëgjoPërndryshe, eksportoni konfigurimin e një kompjuteri të shëndetshëm:

  1. Në strehuesin e shëndetshëm, ai eksporton HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp në një .reg.
  2. Kopjoni atë skedar .reg në kompjuterin e prekur.
  3. Në sistemin e prekur, krijoni një kopje rezervë dhe zëvendësoni çelësin, pastaj rinisni TermService:

cmd /c "reg export \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp\" C:\Rdp-tcp-backup.reg"

Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force

cmd /c "regedit /s C:\<archivo>.reg"
Restart-Service TermService -Force

Pas kësaj, provoni përsëri. Nëse ende nuk mund të dëgjoni asgjë, kontrolloni certifikatat tuaja RDP..

Certifikatë RDP e vetë-nënshkruar dhe lejet e MachineKeys

Hapni MMC-në dhe shtoni snap-in Certificates për Llogarinë e Ekipit të kompjuterit të prekur. Në Desktopin e largët > Certifikatat, fshini certifikatën e vetë-nënshkruarRinisni TermService dhe përditësoni plugin-in për të parë nëse rigjenerohet.

Nëse nuk është krijuar, kontrolloni lejet. C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Duhet të ketë: Builtin\Administratorët = Kontroll i plotë; Të gjithë = Lexim dhe shkrimRregullojeni, rinisni shërbimin dhe testojeni.

Porta 3389, konfliktet dhe ndryshimi i portit

Dëgjuesi duhet të vendoset në 3389 si parazgjedhje. Konfirmo ose rregullo HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener>\PortNumberNëse nuk është 3389, fut 3389 dhe rinisni TermService.

Për të zbuluar konfliktet, në PowerShell, ekzekutoni administratorin: cmd /c "netstat -ano | find \"3389\""Nëse një PID po dëgjon, gjeni procesin: cmd /c "tasklist /svc | find \"<PID>\"". Nëse nuk është TermService (svchost i shoqëruar), zgjidh konfliktin.: ndryshoni portin tjetër të shërbimit, çinstaloni atë, ose si zgjidhje e fundit, zhvendosni RDP në një port tjetër dhe lidheni si IP:puerto (nuk rekomandohet).

Firewall-et dhe testimi i aksesit

Aktivizoni RDP në Firewall-in e Windows Defender: Paneli i Kontrollit > Firewall > Lejo një aplikacion > Zgjidhni "Desktop i largët" në Private (dhe vetëm Publike nëse është e aplikueshme)Në Rregullat Hyrëse, konfirmoni që "Remote Desktop (TCP-In)" për 3389 është aktivizuar.

Nga makinat e tjera, përdorni psping -accepteula <IP>:3389 për të vërtetuar Nëse kjo dështon, kontrolloni edhe firewall-et e ndërmjetme (korporatë, perimetër) dhe testojeni nga burime të ndryshme për të parë nëse filtrohet sipas IP-së.

Keni qasje nga interneti? Konfiguroni një adresë IP statike lokale dhe, në router, hapni portin për hostin e duhur. Edhe më mirë: përdorni një VPN për të shmangur ekspozimin e 3389 në internet dhe mos hapni porta përveç nëse është absolutisht e nevojshme.

Nëse rrjeti lokal është në Profil Publik, ndryshojeni atë në Privat për të lehtësuar zbulimin dhe rregullat e besimit. Në Vetitë e Lidhjes së Rrjetit, vendosni Profilin e Rrjetit në Privat dhe provo përsëri.

Autentifikimi: kredencialet, NLA, CredSSP dhe lejet

Gabimet "Kredencialet tuaja nuk funksionuan" ose "Llogaria nuk është e autorizuar për hyrje në distancë" zakonisht lidhen me vërtetimin. Kontrolloni emrin e përdoruesit (DOMAIN\emri i përdoruesit ose COMPUTER\emri i përdoruesit) dhe fjalëkaliminPastroni kredencialet në Menaxherin e Kredencialeve dhe parandaloni hyrjet e vjetruara pas ndryshimeve të fjalëkalimit. Për zgjidhje specifike për dështimet e hyrjes, shihni [lidhjen për seksionin përkatës]. Gabim i vërtetimit të Desktopit në distancë.

Nëse dyshoni për CredSSP, mbajeni Windows të përditësuar si në klient ashtu edhe në server. Në GPO: Ekipi > Shabllonet Administrative > Sistemi > Delegimi i KredencialeveAktivizoni "Lejo delegimin e kredencialeve të ruajtura me autentifikim serveri vetëm NTLM" aty ku është e aplikueshme. Si alternativë, në regjistër: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System krijo/modifiko AllowEncryptionOracle (DWORD) në një vlerë prej 2.

Verifikoni anëtarësimin e përdoruesit në grupin lokal Përdoruesit e Desktopit të Largët (ose politikat në AD nëse jeni në një domen). Për ta ngushtuar, çaktivizoni përkohësisht NLA-në dhe testojeni; nëse funksionon, riaktivizoni atë dhe rregulloni lejet/kredencialet.

DNS dhe emrat e hosteve

Nëse lidheni me emër dhe DHCP ka ndryshuar adresën IP, mund të jeni duke shkuar në faqen e gabuar. Pastroni memorjen e përkohshme DNS në klient me ipconfig /flushdns Dhe provojeni. Nëse është ende e njëjtë, lidheni me anë të adresës IP ose kontrolloni se cilin server DNS po përdor përshtatësi juaj i rrjetit dhe korrigjojeni nëse është e nevojshme.

Windows 11 24H2: U raportuan bllokime të sesionit RDP

Disa mjedise kanë vërejtur se kur lidheni me hostë që ekzekutojnë Windows 11 24H2 në hipervizorë, Sesioni RDP ngrin kur hyni në sistem. dhe rikuperohet vetëm pas një rinisjeje. Probleme janë raportuar edhe pas niveleve të patch-eve 2314, 2605 dhe 2894. Monitoroni shënimet e patch-eve, kontrolloni Shikuesin e Ngjarjeve në të dyja anët dhe merrni në konsideratë çaktivizimin e përkohshëm të optimizimeve grafike/virtualizimit të sesionit nëse është e aplikueshme. derisa një patch përfundimtar ta rregullojë atë.

RDP ngeci në "Ju lutem prisni": zgjidhje praktike

Kur seanca ngec, sulmo me shtresa. Së pari, rinisni shërbimin RDP dhe seancën e klientit.:

  • Mbyll mstsc: taskkill /F /IM mstsc.exe.
  • Rinisni TermService-in: net stop termservice && net start termservice.

Provo të përdorësh një llogari tjetër për të përjashtuar një profil të korruptuar. Nëse llogaria tjetër identifikohet me sukses, riparoni ose rikrijoni profilin problematik. (memorje të përkohshme, dosje përdoruesi, etj.).

Kryeni një nisje të pastër (vetëm shërbime dhe drajverë minimalë) për të përjashtuar softuerët që ndodhen në konflikt. Nëse pastrimi i startup-it funksionon, vazhdoni ta riaktivizoni derisa ta gjeni fajtorin..

Rishikoni politikat që kufizojnë seancat dhe aktivizojnë seanca të shumëfishta nëse skenari juaj e kërkon këtë. Nëse asnjë nga këto nuk funksionon, rinisni hostin dhe hapni një biletë mbështetjeje Mund t'ju kursejë kohë.

Shkaqe të tjera të zakonshme dhe mënyra për t'i zgjidhur ato

Certifikatat SSL/TLS: Nëse klienti nuk i beson autoritetit CA të serverit ose certifikata ka skaduar, do të shihni paralajmërime ose gabime. Instaloni certifikatën rrënjë në klient (certmgr.msc) dhe validoni certifikatën në “Remote Desktop Services > Certificates” në host. dhe rinovojeni nëse është e aplikueshme.

Kapaciteti/licencat: Në versionet për desktop ka vetëm një seancë aktive; në Windows Server, pa një RDS CAL jeni të kufizuar në dy seanca administratori. Sigurohuni që keni CAL të mjaftueshëm ose prisni derisa të jetë i disponueshëm nëse është një kufizim i njëkohshmërisë.

Gjerësia e brezit/latenca: rezolucion i ulët, thellësi ngjyrash dhe efekte (nga skeda RDP Customer Experience). Mbyll aplikacionet që e mbingarkojnë rrjetin dhe jep përparësi lidhjeve me tela mbi Wi-Fi. nëse seanca është e paqëndrueshme.

Drajverët e rrjetit: një drajver i vjetëruar i kartës së rrjetit (NIC) shkakton dështime të rralla. Përditësoni nga Device Manager ose nga faqja e internetit e prodhuesit. për të shmangur shkëputjet fantazmë.

VPN dhe certifikata personale: shumë kompani kërkojnë një VPN paraprake dhe certifikata personale të vlefshme (FNMT, karta korporative). Nëse certifikata ka skaduar/revokuar/humbur, merrni një të re dhe verifikoni që VPN lejon RDP. sipas politikës.

Regjistrimi për transportin RDP: Në klient, krijoni HKCU\Software\Microsoft\Terminal Server Client > DWORD RDGClientTransport = 1. Kjo detyron një mënyrë alternative të transportit që mund të shpëtojnë skenarë specifikë.

Siguria: ngurtësoni RDP-në pa e thyer atë.

NLA: Mbajeni të aktivizuar kur gjithçka funksionon për të detyruar vërtetimin përpara krijimit të seancës. Zvogëlon sipërfaqen kundër forcës brutale dhe DoS.

TLS/SSL dhe enkriptim i fortë: Përdorni certifikata të vlefshme dhe politika të forta. Direktiva FIPS kërkon kriptografi të fortë (duke përfshirë TLS 1.3 në mjedise të pajtueshme)Por kini kujdes me përputhshmërinë; testojeni atë në fazën para-prodhim.

VPN/segmentimi: parandalon ekspozimin e 3389 në internet. Kufizon aksesin në rrjetet private ose tunelet IPSec/SSH dhe filtron sipas IP-së në firewall.

Ndryshoni portën e parazgjedhur: kaloni nga 3389 nëse keni nevojë të zvogëloni zhurmën e skanimit, duke ditur se nuk është siguri e vërtetë. Kombinojeni atë me ACL, MFA dhe monitorim.

RDP Gateway dhe MFA: centralizon dhe shton autentifikimin shumëfaktorësh. Ngritni nivelin e sigurisë pa ia komplikuar gjërat përdoruesit.

Higjiena: patch-e të azhurnuara, fjalëkalime të forta, parimi i privilegjit më të vogël dhe auditimi. Gjërat bazë parandalojnë shumicën e frikësimevePër masa shtesë, ju lutemi shqyrtoni siguri kundër malware dhe hakerimit.

Windows Home dhe RDP Wrapper: shkurtore joshëse, rrezik real

Mbështjellësi RDP "aktivizon" hostin RDP në botimet Home duke krijuar një mbështjellës (rdpwrap.dll) rreth pirgut RDP. Nuk mbështetet nga Microsoft, mund të prishet me përditësimet dhe bie ndesh me licencën..

Rreziqet: paqëndrueshmëri pas përditësimeve, rezultate të rreme pozitive nga softueri antivirus dhe dobësi të mundshme nëse nuk mbahen të përditësuara. Në kompanitë dhe mjediset e rregulluara, përdorimi i tij nuk rekomandohet. për sigurinë dhe pajtueshmërinë.

Për më tepër, nuk është plug-and-play: gabime si "Gjendja e dëgjuesit: nuk mbështetet" kërkojnë rregullime të wiki-ve dhe patch-eve të komunitetit. Për prodhim, është më mirë të zgjidhni alternativa të mbështetura ose të licenconi Pro/Enterprise.Kontrolloni çfarë Versionet e Windows nuk përfshijnë Remote Desktop..

Automatizoni dhe diagnostikoni si një profesionist

Shikuesi i ngjarjeve: Kontrolloni regjistrat në të dy anët në kohën e dështimit; kodi 0x204, për shembull, do t'ju japë të dhëna. Këtu qëndron shpesh e vërteta e gabimit..

RSoP dhe GPO: përdorim gpresult Për të parë se cila direktivë është në fuqi, korrigjoni në GPMC/GPE dhe ekzekutoni gpupdate /force. Shmangni debatet e pafundme me rregullime të kthyeshme.

Skripte të dobishme (ekzekutojini si administrator, paralajmërim: ato do të ndërpresin seancat në vazhdim): rivendosja e rrjetit netsh int ip reset && netsh winsock reset; Fshij klientin dhe rinisë RDS-in taskkill /F /IM mstsc.exe && net stop termservice && net start termservice.

Në serverat më të vjetër RDS, Mjeti Diagnostikues i Shërbimeve të Desktopit në Distancë (2012/2012 R2) ndihmon në gjetjen e pengesave në role dhe licencime.

Router, NAT dhe profil rrjeti

Në një rrjet lokal (LAN), RDP funksionon pa internet duke përdorur adresën IP lokale të hostit nëse firewall e lejon këtë. Jashtë rrjetit, përdorni një VPN ose hapni/përcillni portet me kujdes.Sigurohuni që pajisja të ketë një adresë IP lokale fikse (DHCP statike ose manuale) në mënyrë që NAT të mos luhatet.

Nëse profili është Publik, ekipi mund të "fshihet" vetë. Vendoseni në Private për të lejuar zbulimin dhe rregulla më pak kufizuese në mjedise të besueshme.

Alternativa kur RDP nuk është i zbatueshëm

Nëse pas të gjitha këtyre hapave, RDP-ja ende nuk funksionon siç duhet ose nuk keni nevojë për "shqetësime" me portet dhe certifikatat, merrni në konsideratë një program për qasje në distancë. RealVNC Connect, TeamViewer, AnyDesk ose AnyViewer Ato ofrojnë akses në shumë platforma me ndërmjetës cloud, SSO/MFA dhe më pak varësi nga rrjeti themelor.

Për mbështetje të pambikëqyrur dhe konfigurim të lehtë, opsione si AnyViewer dhe Mbështetja në distancë AirDroid Ato lehtësojnë bisedën, ndarjen e ekranit dhe kontrollin në distancë pa konfigurime komplekse. I dobishëm kur thjesht doni të lidheni dhe të punoniNëse preferoni zgjidhje të integruara, shikoni Desktop i largët i Chrome.

Rregullimi i një gabimi "RDP u refuzua" rrallë është magjik: zakonisht është një cilësim i humbur, një port i zënë, një GPO kokëfortë ose një certifikatë e skaduar. Duke ndjekur rendin logjik të kontrolleve—Statusi i RDP dhe GPO, shërbimet dhe dëgjuesi, portet dhe firewall-i, vërtetimi dhe certifikatat, testet me psping dhe netstat— Do ta rifitoni aksesin shpejt. Dhe nëse situata vazhdon ose siguria është parësore, mos harroni se VPN, NLA, RD Gateway dhe alternativat e aksesit në distancë me MFA janë aleatët tuaj më të mirë për të punuar në distancë pa probleme.

RDP në Windows: Kërkesat e Sigurisë dhe Konfigurimi i Sigurt
Artikulli i lidhur:
RDP në Windows: Kërkesat e Sigurisë dhe Konfigurimi i Sigurt