Не могу подключиться к удаленному рабочему столу: Устранение неполадок с подключениями к Удаленному рабочему столу — Эксперт — интернет-магазин электроники и бытовой техники

Содержание

Клиенты не могут подключиться и получают сообщение об ошибке «Нет доступных лицензий»

07/24/2019
Чтение занимает 2 мин

В этой статье

Такая ситуация наблюдается в развертываниях, в которых задействован сервер RDSH и сервер лицензирования удаленных рабочих столов.This situation applies to deployments that include an RDSH server and a Remote Desktop Licensing server.

Сначала определите, какое поведение видят пользователи:First, identify which behavior the users are seeing:

Сеанс был отключен из-за отсутствия лицензий или сервера лицензирования.The session was disconnected because no licenses are available or no license server is available.
Доступ запрещен из-за ошибки безопасности.Access was denied because of a security error.

Войдите на узел сеансов удаленных рабочих столов как администратор домена и откройте средство диагностики лицензирования удаленных рабочих столов.Sign in to the RD Session Host as a domain administrator and open the RD License Diagnoser. Найдите следующие сообщения:Look for messages like the following:

Льготный период для сервера узла сеансов Удаленных рабочих столов истек, но на этом сервере не были настроены серверы лицензирования.The grace period for the Remote Desktop Session Host server has expired, but the RD Session Host server hasn’t been configured with any license servers. Подключение к этому серверу будет невозможно, пока для него не будет настроен сервер лицензирования.Connections to the RD Session Host server will be denied unless a license server is configured for the RD Session Host server.

Сервер лицензирования <имя_компьютера> недоступен.License server <computer name> is not available. Это может быть вызвано проблемами в сети, остановкой службы лицензирования удаленных рабочих столов на сервере лицензирования или недоступностью этих служб.This could be caused by network connectivity problems, the Remote Desktop Licensing service is stopped on the license server, or RD Licensing isn’t available.

Как правило, эти проблемы связаны со следующими сообщениями для пользователя:These problems tend to be associated with the following user messages:

Удаленный сеанс отключен, так как для этого компьютера отсутствуют клиентские лицензии удаленного рабочего стола.The remote session was disconnected because there are no Remote Desktop client access licenses available for this computer.
Удаленный сеанс отключен, так как отсутствуют доступные серверы лицензирования удаленных рабочих столов, которые могли бы обеспечить лицензирование.The remote session was disconnected because there are no Remote Desktop License Servers available to provide a license.

В таком случае настройте службу лицензирования удаленных рабочих столов.In this case, configure the RD Licensing service.

Если в средстве диагностики лицензий удаленных рабочих столов перечислены другие проблемы, например «Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этот клиент», вероятно, возникла проблема, которая влияет на сертификаты лицензий.If the RD License Diagnoser lists other problems, such as «The RDP protocol component X.224 detected an error in the protocol stream and has disconnected the client,» there may be a problem that affects the license certificates. Как правило, такие проблемы связаны со следующими сообщениями для пользователя:Such problems tend to be associated with user messages, such as the following:

Из-за ошибки безопасности клиент не смог подключиться к серверу терминалов.Because of a security error, the client could not connect to the Terminal server. Убедитесь, что вы вошли в сеть, и повторите попытку подключения к серверу.After making sure that you are signed in to the network, try connecting to the server again.

В этом случае обновите разделы реестра для сертификата X509.In this case, refresh the X509 Certificate registry keys.

Настройка службы лицензирования удаленных рабочих столовConfigure the RD Licensing service

В следующей процедуре используется диспетчер серверов для изменения конфигурации.The following procedure uses Server Manager to make the configuration changes. См. подробнее о том, как настроить и использовать диспетчер серверов.For information about how to configure and use Server Manager, see Server Manager

Откройте диспетчер серверов и перейдите в раздел Службы удаленных рабочих столов.Open Server Manager and navigate to Remote Desktop Services.
На вкладке Обзор развертывания выберите Задачи, а затем выберите Изменить свойства развертывания.On Deployment Overview, select Tasks, and then select Edit Deployment Properties.
Выберите Лицензирование удаленных рабочих столов и подходящий режим лицензирования для развертывания (На устройство или На пользователя).Select RD Licensing, then select the appropriate licensing mode for your deployment (Per Device or Per User).
Укажите полное доменное имя (FQDN) сервера лицензирования удаленных рабочих столов, а затем выберите Добавить.Enter the fully qualified domain name (FQDN) of your RD License server, and then select Add.
Если у вас несколько серверов лицензирования удаленных рабочих столов, повторите шаг 4 для каждого сервера.If you have more than one RD License server, repeat step 4 for each server.

Обновление разделов реестра для сертификата X509Refresh the X509 Certificate registry keys

Важно!

В точности следуйте инструкциям из этого раздела.Follow this section’s instructions carefully. Неправильное изменение реестра может вызвать серьезные проблемы.Serious problems can occur if the registry is modified incorrectly. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.Before you starty modifying the registry, back up the registry so you can restore it in case something goes wrong.

Чтобы устранить эту проблему, создайте резервные копии для разделов реестра сертификата X509 и удалите эти разделы, а затем перезагрузите компьютер и повторно активируйте сервер лицензирования удаленных рабочих столов.To resolve this problem, back up and then remove the X509 Certificate registry keys, restart the computer, and then reactivate the RD Licensing server. Выполните следующие действия.Follow these steps.

Примечание

Выполните следующую процедуру на каждом сервере RDSH.Perform the following procedure on each of the RDSH servers.

Чтобы повторно активировать сервер лицензирования удаленных рабочих столов:Here’s how to reactivate the RD Licensing server:

Откройте редактор реестра и перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM.Open the Registry Editory and navigate to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM.
В меню «Реестр» выберите команду Экспорт файла реестра.On the Registry menu, select Export Registry File.
Введите exported- Certificate в поле Имя файла и нажмите Сохранить.Enter exported- Certificate into the File name box, then select
Save.
Правой кнопкой мыши щелкните каждое из следующих значений, выберите Удалить, а затем нажмите кнопку Да для подтверждения удаления.Right-click each of the following values, select Delete, and then select Yes to verify the deletion:
- СертификатCertificate
- Сертификат X509X509 Certificate
- Идентификатор сертификата X509X509 Certificate ID
- X509 Certificate2X509 Certificate2
Закройте редактор реестра и перезапустите сервер RDSH.Exit the Registry Editor and restart the RDSH server.

Пользователь не может выполнить аутентификацию или должен выполнить ее дважды

07/24/2019
Чтение занимает 9 мин

В этой статье

В этой статье описаны некоторые причины проблем с аутентификацией пользователей.This article addresses several issues that can cause problems that affect user authentication.

Отказано в доступе (ограничение по типу входа в систему)Access denied, restricted type of logon

В этом случае пользователь Windows 10, который пытается подключиться к компьютерам с Windows 10 или Windows Server 2016, получит отказ в доступе со следующим сообщением:In this situation, a Windows 10 user attempting to connect to Windows 10 or Windows Server 2016 computers is denied access with the following message:

Подключение к удаленному рабочему столуRemote Desktop Connection:
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать.The system administrator has restricted the type of logon (network or interactive) that you may use. Обратитесь за помощью к системному администратору или в службу технической поддержки.For assistance, contact your system administrator or technical support.

Эта проблема возникает, если для подключения к удаленному рабочему столу требуется пройти проверку подлинности на уровне сети (NLA), но пользователь не является членом группы Пользователи удаленного рабочего стола.This issue occurs when Network Level Authentication (NLA) is required for RDP connections, and the user is not a member of the Remote Desktop Users group. Она также может возникать, если группе Пользователи удаленного рабочего стола не назначено право пользователя

Доступ к компьютеру из сети.It can also occur if the Remote Desktop Users group has not been assigned to the Access this computer from the network user right.

Чтобы решить эту проблему, выполните одно из указанных ниже действий.To solve this issue, do one of the following things:

Изменение членства пользователя в группах или назначенных ему правModify the user’s group membership or user rights assignment

Если эта проблема затрагивает одного пользователя, наиболее простым решением будет добавить этого пользователя в группу Пользователи удаленного рабочего стола.If this issue affects a single user, the most straightforward solution to this issue is to add the user to the Remote Desktop Users group.

Если пользователь уже является членом этой группы (или если проблема возникает у нескольких членов группы), проверьте конфигурацию прав пользователей на удаленном компьютере Windows 10 или Windows Server 2016.If the user is already a member of this group (or if multiple group members have the same problem), check the user rights configuration on the remote Windows 10 or Windows Server 2016 computer.

Откройте редактор объектов групповой политики (GPE) и подключитесь к локальной политике удаленного компьютера.Open Group Policy Object Editor (GPE) and connect to the local policy of the remote computer.
Выберите Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя, щелкните правой кнопкой мыши элемент Доступ к компьютеру из сети и выберите Свойства.Navigate to Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment, right-click Access this computer from the network, and then select Properties.
Просмотрите список пользователей и групп для группы Пользователи удаленного рабочего стола (или родительской группы).Check the list of users and groups for Remote Desktop Users (or a parent group).
Если список не включает группу Пользователи удаленного рабочего стола или родительскую группу, например Все, добавьте их.If the list doesn’t include either Remote Desktop Users or a parent group like Everyone, you must add it to the list. Если развертывание включает больше одного компьютера, используйте объект групповой политики.If you have more than one computer in your deployment, use a group policy object.
Например, членством по умолчанию для политики Доступ к компьютеру из сети будет Все.For example, the default membership for Access this computer from the network includes Everyone. Если в развертывании используется объект групповой политики для удаления Все, может потребоваться восстановить доступ, обновив объект групповой политики, чтобы добавить группу Пользователи удаленного рабочего стола.If your deployment uses a group policy object to remove Everyone, you may need to restore access by updating the group policy object to add Remote Desktop Users.

Отказано в доступе (удаленный вызов к базе данных SAM отклонен)Access denied, A remote call to the SAM database has been denied

Такое поведение обычно возникает, если контроллеры домена работают под управлением Windows Server 2016 или более поздней версии, а пользователи пытаются подключиться с помощью настраиваемого приложения для подключения.This behavior is most likely to occur if your domain controllers are running Windows Server 2016 or later, and users attempt to connect by using a customized connection app. В частности, отказ в доступе получат приложения, которым требуется доступ к сведениям профиля пользователя в Active Directory.In particular, applications that access the user’s profile information in Active Directory will be denied access.

Такое поведение обусловлено изменением в Windows.This behavior results from a change to Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь выполняет вход на удаленный рабочий стол, диспетчер удаленных подключений (RCM) обращается к контроллеру домена (DC), чтобы запросить конфигурацию, относящуюся к удаленному рабочему столу, в объекте пользователя в доменных службах Active Directory (AD DS).In Windows Server 2012 R2 and earlier versions, when a user signs in to a remote desktop, the Remote Connection Manager (RCM) contacts the domain controller (DC) to query the configurations that are specific to Remote Desktop on the user object in Active Directory Domain Services (AD DS). Эта информация отображается на вкладке «Профиль служб удаленных рабочих столов» в окне свойств объекта пользователя в оснастке MMC «Пользователи и компьютеры Active Directory».This information is displayed in the Remote Desktop Services Profile tab of a user’s object properties in the Active Directory Users and Computers MMC snap-in.

Начиная с Windows Server 2016 RCM больше не запрашивает объект пользователя в AD DS.Starting in Windows Server 2016, RCM no longer queries the user’s object in AD DS. Если требуется, чтобы RCM обращался к AD DS из-за того, что вы используете атрибуты служб удаленных рабочих столов, вам нужно вручную разрешить отправку запросов.If you need RCM to query AD DS because you’re using Remote Desktop Services attributes, you must manually enable the query.

Чтобы разрешить прежнее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра и перезапустите службу Службы удаленных рабочих столов:To enable the legacy RCM behavior on a RD Session Host server, configure the following registry entries, and then restart the Remote Desktop Services service:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
- Имя: fQueryUserConfigFromDC.Name: fQueryUserConfigFromDC
- Введите команду: Reg_DWORD.Type: Reg_DWORD
- Значение: 1 (десятичное число).Value: 1 (Decimal)

Чтобы разрешить устаревшее поведение RCM на сервере, отличающемся от сервера RDSH, настройте эти записи реестра и следующую дополнительную запись (затем перезапустите службу).To enable the legacy RCM behavior on a server other than a RD Session Host server, configure these registry entries and the following additional registry entry (and then restart the service):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ServerHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Дополнительные сведения об этом поведении см. в статье базы знаний № 3200967 Changes to Remote Connection Manager in Windows Server (Внесение изменений в диспетчер удаленных подключений в Windows Server).For more information about this behavior, see KB 3200967 Changes to Remote Connection Manager in Windows Server.

Пользователю не удается выполнить вход с помощью смарт-картыUser can’t sign in using a smart card

В этом разделе рассматриваются три типичных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью смарт-карты.This section addresses three common scenarios where a user can’t sign in to a remote desktop using a smart card.

Не удается войти в систему с помощью смарт-карты в филиале с контроллером домена только для чтения (RODC)Can’t sign in with a smart card in a branch office with a read-only domain controller (RODC)

Эта проблема возникает в развертываниях, в которых задействован сервер RDSH на сайте филиала, где используется RODC.This issue occurs in deployments that include an RDSH server at a branch site that uses a RODC. Сервер RDSH размещен в корневом домене.The RDSH server is hosted in the root domain. Пользователи на сайте филиала относятся к дочернему домену и используют смарт-карты для проверки подлинности.Users at the branch site belong to a child domain, and use smart cards for authentication. Контроллер домена RODC настроен на кэширование паролей и принадлежит к группе с разрешением реплицировать пароли RODC.The RODC is configured to cache user passwords (the RODC belongs to the Allowed RODC Password Replication Group). Когда пользователи пытаются выполнить вход в сеанс на сервере RDSH, они получают сообщение, например: «Неудачная попытка входа в систему.When users try to sign in to sessions on the RDSH server, they receive messages such as «The attempted logon is invalid. Указано неверное имя пользователя или другие неверные личные данные.»This is either due to a bad username or authentication information.»

Эта проблема связана с тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователей.This issue is caused by how the root DC and the RDOC manage user credential encryption. Корневой контроллер домена использует ключ шифрования, чтобы зашифровать учетные данные, а RODC предоставляет ключ расшифровки клиенту.The root DC uses an encryption key to encrypt the credentials and the RODC gives the client the decryption key. Если пользователь получает ошибку «Недопустимо», значит два ключа не совпадают.When a user receives the «invalid» error, that means the two keys don’t match.

Чтобы решить эту проблему, выполните одно из указанных ниже действий:To work around this issue, try one of the following things:

измените топологию контроллера домена, отключив кэширование паролей на RODC, или разверните на сайте филиала контроллер домена с доступом на запись;Change your DC topology by turning off password caching on the RODC or deploy a writeable DC to teh branch site.
переместите сервер RDSH в тот же дочерний домен, где находятся пользователи;Move the RDSH server to the same child domain as the users.
разрешите пользователям выполнять вход без смарт-карты.Allow users to sign in without smart cards.

Учтите, что эти решения предполагают наличие компромисса между производительностью и уровнем безопасности.Be advised that all of these solutions require compromises in either performance or security level.

Пользователь не может войти на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2) с помощью смарт-картыUser can’t sign in to a Windows Server 2008 SP2 computer using a smart card

Эта проблема возникает, когда пользователи выполняют вход в систему компьютера Windows Server 2008 с пакетом обновления 2 (SP2), на котором установлено обновление KB4093227 (2018.4B).This issue occurs when users sign in to a Windows Server 2008 SP2 computer that has been updated with KB4093227 (2018.4B). Когда пользователи пытаются выполнить вход с помощью смарт-карты, они получают отказ в доступе с сообщениями, например: «Действительные сертификаты не найдены.When users attempt to sign in using a smart card, they are denied access with messages such as «No valid certificates found. Убедитесь, что эта карта вставлена правильно и плотно сидит в разъеме».Check that the card is inserted correctly and fits tightly.» В то же время на компьютере Windows Server регистрируется событие приложения с сообщением «При получении цифрового сертификата с вставленной смарт-карты произошла ошибка:At the same time, the Windows Server computer records the Application event «An error occurred while retrieving a digital certificate from the inserted smart card. неправильная подпись.»Invalid Signature.»

Чтобы устранить эту проблему, обновите на компьютере ОС Windows Server до повторного выпуска 2018.06 B (обновление KB4093227). См. статью Description of the security update for the Windows Remote Desktop Protocol (RDP) denial of service vulnerability in Windows Server 2008: April 10, 2018 (Описание обновления системы безопасности для защиты протокола RDP в Windows от уязвимости службы в Windows Server 2008 (10 апреля 2018 г.).To resolve this issue, update the Windows Server computer with the 2018.06 B re-release of KB 4093227, Description of the security update for the Windows Remote Desktop Protocol (RDP) denial of service vulnerability in Windows Server 2008: April 10, 2018.

Не удается оставаться в системе, вход в которую выполнен с помощью смарт-карты, и служба удаленных рабочих столов зависаетCan’t stay signed in with a smart card and Remote Desktop Services service hangs

Эта проблема возникает, когда пользователи входят в систему компьютера Windows или Windows Server с обновлением KB4056446.This issue occurs when users sign in to a Windows or Windows Server computer that has been updated with KB 4056446. Возможно, сначала пользователю удается войти в систему с помощью смарт-карты, но потом он получает сообщение об ошибке SCARD_E_NO_SERVICE.At first, the user may be able to sign in to the system by using a smart card, but then receives a «SCARD_E_NO_SERVICE» error message. Удаленный компьютер может перестать отвечать.The remote computer may become unresponsive.

Чтобы устранить эту проблему, перезапустите удаленный компьютер.To work around this issue, restart the remote computer.

Чтобы устранить эту проблему, обновите систему на удаленном компьютере, установив соответствующее исправление:To resolve this issue, update the remote computer with the appropriate fix:

Если удаленный компьютер заблокирован, пользователю нужно дважды ввести парольIf the remote PC is locked, the user needs to enter a password twice

Эта проблема может возникать, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, где для подключений по протоколу RDP не требуется использовать NLA.This issue may occur when a user attempts to connect to a remote desktop running Windows 10 version 1709 in a deployment in which RDP connections don’t require NLA. Если в таком случае удаленный рабочий стол оказался заблокированным, пользователю нужно ввести свои учетные данные дважды при подключении.Under these conditions, if the remote desktop has been locked, the user needs to enter their credentials twice when connecting.

Чтобы устранить эту проблему, обновите Windows 10 версии 1709 на соответствующем компьютере с использованием обновления за 30 августа 2018 г. — KB4343893 (ОС сборки 16299.637).To resolve this issue, update the Windows 10 version 1709 computer with KB 4343893, August 30, 2018—KB4343893 (OS Build 16299.637).

Когда пользователи пытаются войти с использованием любой версии Windows (начиная с Windows Vista с пакетом обновления 2 (SP2) или Windows Server 2008 с пакетом обновления 2 (SP2)), они получают отказ в доступе и такие сообщения:When users try to sign in using any version of Windows from Windows Vista SP2 and later versions or Windows Server 2008 SP2 and later versions, they’re denied access and recieve messages like these:

An authentication error has occurred. The function requested is not supported.
...
This could be due to CredSSP encryption oracle remediation
...

Ошибка «Исправление шифрования CredSSP» ссылается на набор обновлений системы безопасности, выпущенный в марте, апреле и мае 2018 г.»CredSSP encryption oracle remediation» refers to a set of security updates released in March, April, and May of 2018. CredSSP — это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений.CredSSP is an authentication provider that processes authentication requests for other applications. Обновление за 13 марта 2018 г., 3B и все последующие обновления подверглись эксплойту, когда злоумышленник мог передать учетные данные пользователя для выполнения кода в целевой системе.The March 13, 2018, «3B» and subsequent updates addressed an exploit in which an attacker could relay user credentials to execute code on the target system.

В исходные обновления была добавлена поддержка нового объекта групповой политики «Защита от атак с использованием криптографического оракула», который может иметь следующие настройки:The initial updates added support for a new Group Policy Object, Encryption Oracle Remediation, that has the following possible settings:

Уязвимо. Клиентские приложения, использующие CredSSP, могли переключиться на небезопасные версии, но из-за этого удаленные рабочие столы могли подвергаться атакам.Vulnerable: Client applications that use CredSSP can fall back to insecure versions, but this behavior exposes the remote desktops to attacks. Службы, использующие CredSSP, принимали клиенты, которые не были обновлены.Services that use CredSSP accept clients that have not been updated.
Устранено. Клиентские приложения, использующие CredSSP, не могут переключиться на небезопасные версии, но службы, использующие CredSSP, принимают клиенты, которые не были обновлены.Mitigated: Client applications that use CredSSP can’t fall back to insecure versions, but services that use CredSSP accept clients that have not been updated.
Принудительно обновленные клиенты. Клиентские приложения, использующие CredSSP, не могут переключиться на небезопасные версии, и службы, использующие CredSSP, не принимают клиенты без установленных обновлений.Force Updated Clients: Client applications that use CredSSP can’t fall back to insecure versions, and services that use CredSSP will not accept unpatched clients.
Примечание
Этот параметр не следует развертывать, пока все узлы поддержки в удаленном расположении не будут поддерживать последнюю версию.This setting should not be deployed until all remote hosts support the newest version.

В обновлении за 8 мая 2018 г. значение для параметра по умолчанию «Защита от атак с использованием криптографического оракула» изменилось с «Уязвимо» на «Устранено».The May 8, 2018 update changed the default Encryption Oracle Remediation setting from Vulnerable to Mitigated. После реализации этого изменения клиенты Удаленного рабочего стола, на которых были установлены обновления, не могут подключаться к серверам без этого обновления (или к обновленным серверам, которые еще не были перезапущены).With this change in place, Remote Desktop clients that have the updates can’t connect to servers that don’t have them (or updated servers that have not been restarted). Подробные сведения об обновлениях CredSSP см. в статье базы знаний KB4093492.For more information about the CredSSP updates, see KB 4093492.

Чтобы устранить эту проблему, обновите и перезапустите все системы.To resolve this issue, update and restart all systems. Полный список обновлений и дополнительные сведения об уязвимостях см. в разделе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (CVE-2018-0886 | Уязвимость CredSSP, допускающая удаленное выполнение кода).For a full list of updates and more information about the vulnerabilities, see CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability.

Чтобы устранить эту проблему до завершения обновления, просмотрите список допустимых типов подключений в обновлении KB4093492.To work around this issue until the updates are complete, check KB 4093492 for allowed types of connections. Если нет других осуществимых альтернатив, можете попробовать один из следующих методов:If there are no feasible alternatives you may consider one of the following methods:

На затронутых клиентских компьютерах верните для политики «Защита от атак с использованием криптографического оракула» значение Уязвимо.For the affected client computers, set the Encryption Oracle Remediation policy back to Vulnerable.
Измените следующие политики в папке групповой политики, выбрав Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность:Modify the following policies in the Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security group policy folder:
- для политики Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP задайте значение Включено и выберите RDP.Require use of specific security layer for remote (RDP) connections: set to Enabled and select RDP.
- для политики Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети задайте значение Отключено.Require user authentication for remote connections by using Network Level authentication: set to Disabled.
  Важно!
  Изменение этих групповых политик делает развертывание менее защищенным.Changing these group policies reduces your deployment’s security. Мы рекомендуем использовать их только временно (или вообще не использовать).We recommend you only use them temporarily, if at all.

Дополнительные сведения о работе с групповой политикой см. в разделе Изменение блокирующего объекта групповой политики.For more information about working with group policy, see Modifying a blocking GPO.

После обновления клиентских компьютеров некоторым пользователям приходится выполнять вход дваждыAfter you update client computers, some users need to sign in twice

Если пользователи входят на Удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, им сразу же отображается запрос на повторный вход.When users sign in to Remote Desktop using a computer running Windows 7 or Windows 10, version 1709, they immediately see a second sign-in prompt. Эта проблема возникает, если на клиентском компьютере установлены следующие обновления:This issue happens if the client computer has the following updates:

Чтобы устранить эту проблему, убедитесь, что на компьютерах, к которым подключаются пользователи, (а также серверы RDSH или RDVI) установлены все обновления в том числе за июнь 2018 г.To resolve this issue, ensure that the computers that the users want to connect to (as well as RDSH or RDVI servers) are fully updated through June, 2018. К ним относятся следующие обновления:This includes the following updates:

Windows Server 2016: 12 июня 2018 г. — KB4284880 (сборка ОС 14393.2312);Windows Server 2016: KB 4284880, June 12, 2018—KB4284880 (OS Build 14393.2312)
Windows Server 2012 R2: 12 июня 2018 г. — KB4284815 (ежемесячный накопительный пакет);Windows Server 2012 R2: KB 4284815, June 12, 2018—KB4284815 (Monthly Rollup)
Windows Server 2012: 12 июня 2018 г. — KB4284855 (ежемесячный накопительный пакет);Windows Server 2012: KB 4284855, June 12, 2018—KB4284855 (Monthly Rollup)
Приложение. 12 июня 2018 г. — KB4284826 (ежемесячный накопительный пакет);Windows Server 2008 R2: KB 4284826, June 12, 2018—KB4284826 (Monthly Rollup)
Windows Server 2008 с пакетом обновления 2 (SP2): обновление KB4056564, Description of the security update for the CredSSP remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009: March 13, 2018 (Описание обновления системы безопасности для устранения уязвимости CredSSP, допускающей удаленное выполнение кода, в Windows Server 2008, Windows Embedded POSReady 2009 и Windows Embedded Standard 2009: 13 марта 2018 г.).Windows Server 2008 SP2: KB4056564, Description of the security update for the CredSSP remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009: March 13, 2018

Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столуUsers are denied access on a deployment that uses Remote Credential Guard with multiple RD Connection Brokers

Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows.This issue occurs in high-availability deployments that use two or more Remote Desktop Connection Brokers, if Windows Defender Remote Credential Guard is in use. Пользователям не удается войти на удаленные рабочие столы.Users can’t sign in to remote desktops.

Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM.This issue occurs because Remote Credential Guard uses Kerberos for authentication, and restricts NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.However, in a high-availability configuration with load balancing, the RD Connection Brokers can’t support Kerberos operations.

Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard.If you need to use a high-availability configuration with load-balanced RD Connection Brokers, you can work around this issue by disabling Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье Protect Remote Desktop credentials with Windows Defender Remote Credential Guard (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).For more information about how to manage Windows Defender Remote Credential Guard, see Protect Remote Desktop credentials with Windows Defender Remote Credential Guard.

При подключении пользователь получает сообщение «Служба удаленных рабочих столов сейчас занята»

07/24/2019
Чтение занимает 2 мин

В этой статье

Чтобы определить соответствующее решение этой проблемы, выполните следующие действия:To determine an appropriate response to this issue, see the following:

Прекращает ли служба удаленных рабочих столов отвечать на запросы (например, клиент удаленного рабочего стола зависает на экране приветствия)?Does the Remote Desktop Services service becomes unresponsive (for example, the remote desktop client appears to «hang» at the Welcome screen).
- Если служба перестает отвечать, см. раздел Проблемы с памятью на сервере RDSH.If the service becomes unresponsive, see RDSH server memory issue.
- Если клиент взаимодействует со службой без проблем, перейдите к следующему шагу.If the client appears to be interacting with the service normally, continue to the next step.
Могут ли пользователи отключиться от сеансов удаленного рабочего стола и снова подключиться к ним?If one or more users disconnect their remote desktop sessions, can users connect again?

Проблемы с памятью на сервере RDSHRDSH server memory issue

На некоторых серверах RDSH с Windows Server 2012 R2 обнаружена утечка памяти.A memory leak has been found on some Windows Server 2012 R2 RDSH servers. Со временем эти серверы начинают отклонять подключения к удаленному рабочему столу и входы в локальную консоль с отображением таких сообщений:Over time, these servers begin to refuse both remote desktop connections and local console sign-ins with messages like the following:

Не удается завершить требуемую операцию, так как службы удаленных рабочих столов сейчас заняты.The task you are trying to do can’t be completed because Remote Desktop Service is currently busy. Повторите попытку через несколько минут.Please try again in a few minutes. Другие пользователи должны по-прежнему иметь возможность входа.Other users should still be able to sign in.

При попытке подключения клиенты удаленного рабочего стола также перестают отвечать на запросы.Remote Desktop clients attempting to connect also become unresponsive.

Чтобы устранить эту проблему, перезапустите сервер RDSH.To work around this issue, restart the RDSH server.

Чтобы устранить эту проблему, установите обновление KB 4093114 (10 апреля 2018 г. — KB4093114 (ежемесячный накопительный пакет)) на серверах RDSH.To resolve this issue, apply KB 4093114, April 10, 2018—KB4093114 (Monthly Rollup), to the RDSH servers.

Проблема с прослушивателем удаленных рабочих столовRD listener issue

Проблема обнаружена на тех же серверах RDSH, которые были обновлены с Windows Server 2008 R2 непосредственно до Windows Server 2012 R2 или Windows Server 2016.An issue has been noted on some RDSH servers that have been upgraded directly from Windows Server 2008 R2 to Windows Server 2012 R2 or Windows Server 2016. Когда клиент удаленного рабочего стола подключается к серверу RDSH, этот сервер создает прослушиватель удаленных рабочих столов для сеанса пользователя.When a Remote Desktop client connects to the RDSH server, the RDSH server creates an RD listener for the user session. На затронутых серверах ведется подсчет числа прослушивателей к удаленному рабочему столу, которое увеличивается по мере подключения пользователей, но никогда не уменьшается.The affected servers keep a count of the RD listeners that increases as users connect, but never decreases.

Вы можете решить эту проблему с помощью следующих методов:You can work around this issue with the following methods:

Перезапустите сервер RDSH, чтобы сбросить счетчик прослушивателей удаленного рабочего стола.Restart the RDSH server to reset the count of RD listeners
Измените политику ограничения числа подключений, задав очень большое значение.Modify the connection limit policy, setting it to a very large value. Дополнительные сведения об управлении политикой ограничения числа подключения см. в разделе Проверка политики ограничения числа подключений.For more information about managing the connection limit policy, see Check the connection limit policy.

Чтобы устранить эту проблему, установите следующие обновления на серверы RDSH:To resolve this issue, apply the following updates to the RDSH servers:

Проверка политики ограничения числа подключенийCheck the connection limit policy

Вы можете задать ограничение на число одновременных подключений к удаленному рабочему столу на уровне отдельного компьютера или путем настройки объекта групповой политики.You can set the limit on the number of simultaneous remote desktop connections at the individual computer level or by configuring a group policy object (GPO). По умолчанию ограничение не задано.By default, the limit is not set.

Чтобы проверить текущие параметры и определить существующие объекты групповой политики на сервере RDSH, откройте окно командной строки как администратор и введите следующую команду:To check the current settings and identify any existing GPOs on the RDSH server, open a command prompt window as an administrator and enter the following command:

gpresult /H c:\gpresult.html

Когда команда будет выполнена, откройте файл gpresult.html.After this command finishes, open gpresult.html. Выберите Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения и найдите политику Ограничить количество подключений.In Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections, find the Limit number of connections policy.

Если для параметра этой политики задано значение Отключено, групповая политика не ограничивает подключения по протоколу RDP.If the setting for this policy is Disabled, then group policy is not limiting RDP connections.
Если же для параметра этой политики задано значение Включено, проверьте результирующий объект групповой политики.If the setting for this policy is Enabled, then check Winning GPO. Если нужно удалить или изменить ограничение числа подключений, измените этот объект групповой политики.If you need to remove or change the connection limit, edit this GPO.

Чтобы применить изменения политики, откройте окно командной строки на соответствующем компьютере и введите следующую команду:To enforce policy changes, open a command prompt window on the affected computer, and enter the following command:

gpupdate /force

Включение удаленного рабочего стола в Windows 7 / Песочница / Хабр

Друзья!

Буквально на днях я столкнулся с проблемой включения «Удаленного рабочего стола» на системе Windows 7.
Многие тут же подумали:«Ай, да наверняка у него стоит какая-нибудь Win 7 Home Premium или вообще Starter». Однако это совсем не так. У меня полноценная Windows 7 x64 Professional, в которой казалось бы все должно заработать моментально и без оговорок.

Стандартный алгоритм включения

Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства
Слева в списке выбираем «Настройка удалённого доступа»
В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт — любые ОС, третий — Vista и выше
Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)
Настройка закончена

У меня это всё выглядело совсем иначе. И пункт номер 3 был для меня недоступен. Пункты есть, но они — disabled.

Примерно вот так у меня выглядели настройки включения RDP

Различного рода поиски не привели меня к однозначному и ясному ответу на вопрос: «Что же делать с такой ерундой»?
Только куски разрозненной информации, которые мне хотелось бы свести воедино. Справившись с этой небольшой проблемой, я решил, что таки стоит поделится ее решением с общественностью.

Итак, приступим.
Нам потребуется:

Компьютер
Глазка/руки/голова
Права администратора

Нестандартный алгоритм включения

1. Идем в службы (Пуск->Панель управления->Администрирование->Службы)

2. Находим там брендмауэр Windows. Ставим ему автоматический запуск, и запускаем службу.

Примерно вот так:

3. Идем в локальные политики безопасности (Пуск->Панель управления->Администрирование->Локальная политика безопасности ИЛИ Пуск->Выполнить->Вводим secpol.msc)

4. Выбираем там Брэндмауэр Windows в режиме повышенной безопасности — Объект локальной групповой политики -> Правила для выходящих подключений.

5. В правой части оснастки выбираем по правому клику мыши «Создать правило». Далее по шагам (каждый пункт — ссылка на картинку с шагом):

В конце концов, вы должны получить что-то вроде этого:

6. Заходим в редактор локальной групповой политики (Пуск -> Выполнить -> gpedit.msc).

7. Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удалённый рабочих столов -> Узел сеансов удаленный рабочих столов -> Подключения

8.Далее вы можете сами решить, что же вам нужно. Обязательным является включение опций:

Разрешать удаленное подключение с использование служб удаленных рабочих столов
Устанавливает правила удаленного управления для пользовательских сеансов служб удаленного рабочего стола (значение параметра выберите сами, я поставил лично для себя «Полный контроль без разрешения клиента»).

Итого у вас получится:

9. Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства

10. Слева в списке выбираем «Настройка удалённого доступа»

11. В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт — любые ОС, третий — Vista и выше.

12. Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)

В общем и целом после этого я смог подключаться к данному компьютеру удалённо без каких-либо вопросов.

Спасибо за внимание!

Устранение общих неполадок с подключением к удаленному рабочему столу

24.07.2019
8 минут на чтение

В этой статье

Используйте эти шаги, когда клиент удаленного рабочего стола не может подключиться к удаленному рабочему столу, но не предоставляет сообщения или другие симптомы, которые помогли бы определить причину.

Проверить статус протокола RDP

Проверить статус протокола RDP на локальном компьютере

Чтобы проверить и изменить статус протокола RDP на локальном компьютере, см. Как включить удаленный рабочий стол.

Проверить статус протокола RDP на удаленном компьютере

Важно

Тщательно следуйте инструкциям этого раздела. При неправильном изменении реестра могут возникнуть серьезные проблемы. Перед тем, как приступить к изменению реестра, сделайте резервную копию реестра, чтобы вы могли восстановить его в случае, если что-то пойдет не так.

Чтобы проверить и изменить статус протокола RDP на удаленном компьютере, используйте подключение к сетевому реестру:

Сначала перейдите в меню Start , затем выберите Run . В появившемся текстовом поле введите regedt32 .
В редакторе реестра выберите File , затем выберите Connect Network Registry .
В диалоговом окне Select Computer введите имя удаленного компьютера, выберите Check Names , а затем выберите OK .
Перейдите к HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server .
- Если значение ключа fDenyTSConnections равно 0 , то RDP включен.
- Если значение ключа fDenyTSConnections равно 1 , то RDP отключен.
Чтобы включить RDP, измените значение fDenyTSConnections с 1 на 0 .

Проверить, блокирует ли объект групповой политики (GPO) RDP на локальном компьютере

Если вы не можете включить RDP в пользовательском интерфейсе или значение fDenyTSConnections возвращается к 1 после того, как вы его изменили, возможно, объект групповой политики имеет приоритет над настройками на уровне компьютера.

Чтобы проверить конфигурацию групповой политики на локальном компьютере, откройте окно командной строки от имени администратора и введите следующую команду:

  gpresult / H c: \ gpresult.html

После завершения этой команды откройте gpresult.html. В разделе Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Подключения найдите Разрешить пользователям удаленное подключение с помощью политики служб удаленных рабочих столов.

Если для этой политики задано значение Включено , групповая политика не блокирует подключения RDP.
Если параметр для этой политики — Отключено , отметьте Winning GPO . Это объект групповой политики, который блокирует подключения RDP.

Проверить, блокирует ли объект групповой политики RDP на удаленном компьютере

Для проверки конфигурации групповой политики на удаленном компьютере команда почти такая же, как на локальном компьютере:

  gpresult / S <имя компьютера> / H c: \ gpresult- <имя компьютера>.HTML

Файл, созданный этой командой ( gpresult- <имя компьютера> .html ), использует тот же формат информации, что и версия локального компьютера ( gpresult.html ).

Изменение блокирующего GPO

Вы можете изменить эти параметры в редакторе объектов групповой политики (GPE) и консоли управления групповыми политиками (GPM). Дополнительные сведения об использовании групповой политики см. В разделе «Расширенное управление групповой политикой».

Чтобы изменить политику блокировки, воспользуйтесь одним из следующих способов:

В GPE перейдите к соответствующему уровню GPO (например, локальному или доменному) и перейдите к Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Подключения > Разрешить пользователям удаленное подключение с помощью служб удаленных рабочих столов .
1. Установите для политики значение Включено или Не настроено .
2. На зараженных компьютерах откройте окно командной строки от имени администратора и выполните команду gpupdate / force .
В GPM перейдите к организационному подразделению (OU), в котором политика блокировки применяется к затронутым компьютерам, и удалите политику из OU.

Проверить статус служб RDP

Как на локальном (клиентском), так и на удаленном (целевом) компьютере должны быть запущены следующие службы:

Службы удаленных рабочих столов (TermService)
Перенаправитель портов пользовательского режима служб удаленных рабочих столов (UmRdpService)

Вы можете использовать оснастку Services MMC для управления службами локально или удаленно.Вы также можете использовать PowerShell для управления службами локально или удаленно (если удаленный компьютер настроен на прием удаленных командлетов PowerShell).

На любом компьютере, если одна или обе службы не работают, запустите их.

Примечание

Если вы запускаете службу удаленных рабочих столов, нажмите Да , чтобы автоматически перезапустить службу перенаправителя портов пользовательского режима служб удаленных рабочих столов.

Убедитесь, что слушатель RDP работает

Важно

Тщательно следуйте инструкциям этого раздела.При неправильном изменении реестра могут возникнуть серьезные проблемы. Перед тем, как приступить к изменению реестра, сделайте резервную копию реестра, чтобы вы могли восстановить его в случае, если что-то пойдет не так.

Проверить статус слушателя RDP

Для этой процедуры используйте экземпляр PowerShell с правами администратора. Для локального компьютера вы также можете использовать командную строку с правами администратора. Однако в этой процедуре используется PowerShell, поскольку одни и те же командлеты работают как локально, так и удаленно.

Чтобы подключиться к удаленному компьютеру, запустите следующий командлет:
```
  Enter-PSSession -ComputerName <имя компьютера>
  
```
Введите qwinsta .
Если список включает rdp-tcp со статусом Listen , прослушиватель RDP работает. Перейдите к проверке порта прослушивателя RDP. В противном случае перейдите к шагу 4.
Экспорт конфигурации приемника RDP с рабочего компьютера.
1. Войдите в систему на компьютере с той же версией операционной системы, что и на уязвимом компьютере, и получите доступ к реестру этого компьютера (например, с помощью редактора реестра).
2. Перейдите к следующей записи реестра:
  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp
3. Экспортируйте запись в файл .reg. Например, в редакторе реестра щелкните запись правой кнопкой мыши, выберите Экспорт , а затем введите имя файла для экспортированных параметров.
4. Скопируйте экспортированный файл .reg на зараженный компьютер.
Чтобы импортировать конфигурацию прослушивателя RDP, откройте окно PowerShell с административными разрешениями на затронутом компьютере (или откройте окно PowerShell и подключитесь к пораженному компьютеру удаленно).
1. Чтобы создать резервную копию существующей записи реестра, введите следующий командлет:
```
  cmd / c 'reg export "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-tcp" C: \ Rdp-tcp-backup.р»
  
```
2. Чтобы удалить существующую запись реестра, введите следующие командлеты:
```
  Remove-Item -path 'HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-tcp' -Recurse -Force
  
```
3. Чтобы импортировать новую запись реестра и затем перезапустить службу, введите следующие командлеты:
```
  cmd / c 'regedit / s c: \ <имя файла> .reg'
Restart-Service TermService -Force
  
```
  Замените именем экспортированного файла.reg файл.
Проверьте конфигурацию, снова попробовав подключение к удаленному рабочему столу. Если вы по-прежнему не можете подключиться, перезагрузите зараженный компьютер.
Если по-прежнему не удается подключиться, проверьте состояние самозаверяющего сертификата RDP.

Проверить статус самоподписанного сертификата RDP

Если по-прежнему не удается подключиться, откройте оснастку «Сертификаты» MMC. Когда вам будет предложено выбрать хранилище сертификатов для управления, выберите Учетная запись компьютера , а затем выберите затронутый компьютер.
В папке Certificates под удаленным рабочим столом удалите самозаверяющий сертификат RDP.
На пораженном компьютере перезапустите службу удаленных рабочих столов.
Обновите оснастку «Сертификаты».
Если самозаверяющий сертификат RDP не был воссоздан, проверьте разрешения папки MachineKeys.

Проверьте права доступа к папке MachineKeys

На зараженном компьютере откройте проводник и перейдите к C: \ ProgramData \ Microsoft \ Crypto \ RSA \ .
Щелкните правой кнопкой мыши MachineKeys , выберите Properties , выберите Security , а затем выберите Advanced .
Убедитесь, что настроены следующие разрешения:
- Встроенный \ Администраторы: Полный доступ
- Все: чтение, запись

Проверьте порт прослушивателя RDP

Как на локальном (клиентском), так и на удаленном (целевом) компьютере прослушиватель RDP должен прослушивать порт 3389.Никакие другие приложения не должны использовать этот порт.

Важно

Чтобы проверить или изменить порт RDP, используйте редактор реестра:

Перейдите в меню «Пуск», выберите Выполнить , затем введите regedt32 в появившееся текстовое поле.
- Чтобы подключиться к удаленному компьютеру, выберите File , а затем выберите Connect Network Registry .
- В диалоговом окне Select Computer введите имя удаленного компьютера, выберите Check Names , а затем выберите OK .
Откройте реестр и перейдите к HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ .
Если PortNumber имеет значение, отличное от 3389 , измените его на 3389 .
Важно
Вы можете управлять службами удаленного рабочего стола, используя другой порт. Однако мы не рекомендуем вам этого делать. В этой статье не описывается, как устранить неполадки в конфигурации такого типа.
После изменения номера порта перезапустите службу удаленных рабочих столов.

Убедитесь, что другое приложение не пытается использовать тот же порт

Для этой процедуры используйте экземпляр PowerShell с правами администратора. Для локального компьютера вы также можете использовать командную строку с правами администратора.Однако в этой процедуре используется PowerShell, поскольку одни и те же командлеты работают локально и удаленно.

Откройте окно PowerShell. Чтобы подключиться к удаленному компьютеру, введите Enter-PSSession -ComputerName <имя компьютера> .

Введите следующую команду:

  cmd / c 'netstat -ano | найти "3389" '

Найдите запись для TCP-порта 3389 (или назначенного порта RDP) со статусом Прослушивание .
Примечание
Идентификатор процесса (PID) для процесса или службы, использующей этот порт, отображается в столбце PID.
Чтобы определить, какое приложение использует порт 3389 (или назначенный порт RDP), введите следующую команду:
```
  cmd / c 'tasklist / svc | найти "" '
  
```
Найдите запись для номера PID, связанного с портом (из выходных данных netstat ).Службы или процессы, связанные с этим PID, отображаются в правом столбце.
Если приложение или служба, отличная от служб удаленных рабочих столов (TermServ.exe), использует порт, можно разрешить конфликт одним из следующих способов:
- Настройте другое приложение или службу для использования другого порта (рекомендуется).
- Удалите другое приложение или службу.
- Настройте RDP для использования другого порта, а затем перезапустите службу Remote Desktop Services (не рекомендуется).

Проверить, не блокирует ли брандмауэр порт RDP

Используйте инструмент psping , чтобы проверить, можете ли вы подключиться к зараженному компьютеру через порт 3389.

Перейдите на другой компьютер, на который это не влияет, и загрузите psping с https://live.sysinternals.com/psping.exe.
Откройте окно командной строки от имени администратора, перейдите в каталог, в котором вы установили psping , а затем введите следующую команду:
```
  psping -accepteula : 3389
  
```
Проверьте выходные данные команды psping на наличие следующих результатов:
- Подключение к : удаленный компьютер доступен.
- (потеря 0%) : все попытки подключения успешны.
- Удаленный компьютер отказал в подключении к сети : удаленный компьютер недоступен.
- (100% потеря) : все попытки подключения не удались.
Запустите psping на нескольких компьютерах, чтобы проверить их способность подключаться к зараженному компьютеру.
Обратите внимание, блокирует ли затронутый компьютер соединения со всеми другими компьютерами, некоторыми другими компьютерами или только одним другим компьютером.
Рекомендуемые следующие шаги:
- Попросите сетевых администраторов проверить, разрешает ли сеть трафик RDP на пораженный компьютер.
- Изучите конфигурации любых брандмауэров между исходными компьютерами и затронутым компьютером (включая брандмауэр Windows на пораженном компьютере), чтобы определить, блокирует ли брандмауэр порт RDP.

Клиент удаленного рабочего стола отключается и не может повторно подключиться к тому же сеансу

24.07.2019
2 минуты на чтение

В этой статье

После того, как клиент удаленного рабочего стола теряет подключение к удаленному рабочему столу, клиент не может немедленно восстановить подключение.Пользователь получает одно из следующих сообщений об ошибке:

Клиент не может подключиться к серверу терминалов из-за ошибки безопасности. Убедитесь, что вы вошли в сеть, затем попробуйте подключиться снова.
Удаленный рабочий стол отключен. Из-за ошибки безопасности клиенту не удалось подключиться к удаленному компьютеру. Убедитесь, что вы вошли в сеть, а затем попробуйте подключиться снова.

Когда клиент удаленного рабочего стола повторно подключается, сервер RDSH повторно подключает клиента к новому сеансу вместо исходного.Однако при проверке сервера RDSH он сообщает, что исходный сеанс все еще активен и не перешел в отключенное состояние.

Чтобы обойти эту проблему, вы можете включить политику Настроить интервал проверки активности соединения в папке Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Подключения . Если вы включаете эту политику, вы должны ввести интервал проверки активности. Интервал проверки активности определяет, как часто (в минутах) сервер проверяет состояние сеанса.

Эту проблему также можно решить, перенастроив параметры проверки подлинности и конфигурации. Вы можете перенастроить эти параметры либо на уровне сервера, либо с помощью объектов групповой политики (GPO). Вот как изменить настройки: Computer Configuration \ Administrative Templates \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Host \ Security папка групповой политики.

На сервере узла сеансов удаленных рабочих столов откройте Конфигурация узла сеансов удаленных рабочих столов .
В разделе Подключения щелкните правой кнопкой мыши имя подключения, затем выберите Свойства .
В диалоговом окне Properties для подключения на вкладке General на уровне Security выберите метод безопасности.
Перейдите на Уровень шифрования и выберите нужный уровень. Вы можете выбрать Low , Client Compatible , High или FIPS Compliant .

Примечание

Если для связи между клиентами и серверами узла сеансов удаленных рабочих столов требуется наивысший уровень шифрования, используйте шифрование, совместимое с FIPS.
Любые параметры уровня шифрования, настраиваемые в групповой политике, переопределяют параметры, настроенные с помощью средства настройки служб удаленных рабочих столов. Кроме того, если вы включите Системную криптографию: использовать FIPS-совместимые алгоритмы для политики шифрования, хеширования и подписи, этот параметр переопределяет политику Установить уровень шифрования подключения клиента . Политика системной криптографии находится в папке Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options .
Когда вы изменяете уровень шифрования, новый уровень шифрования вступает в силу при следующем входе пользователя в систему. Если вам требуется несколько уровней шифрования на одном сервере, установите несколько сетевых адаптеров и настройте каждый адаптер отдельно.
Чтобы проверить, что у вашего сертификата есть соответствующий закрытый ключ, перейдите в раздел «Конфигурация служб удаленных рабочих столов», щелкните правой кнопкой мыши соединение, для которого вы хотите просмотреть сертификат, выберите Общие , затем выберите Изменить .После этого выберите Просмотреть сертификат . Когда вы перейдете на вкладку Общие , вы должны увидеть утверждение: «У вас есть закрытый ключ, соответствующий этому сертификату», если есть ключ. Вы также можете просмотреть эту информацию с помощью оснастки «Сертификаты».
FIPS-совместимое шифрование (шифрование системы : используйте FIPS-совместимые алгоритмы для шифрования, хеширования и подписания политики или FIPS-совместимого параметра в конфигурации сервера удаленного рабочего стола) шифрует и дешифрует данные, передаваемые между сервером и клиентом с федеральным Стандарт обработки информации (FIPS) 140-1 алгоритмы шифрования, использующие криптографические модули Microsoft.Для получения дополнительной информации см. Проверка FIPS 140.
Параметр High шифрует данные, передаваемые между сервером и клиентом, с использованием надежного 128-битного шифрования.
Параметр Client Compatible шифрует данные, передаваемые между клиентом и сервером, с максимальной надежностью ключа, поддерживаемой клиентом.
Параметр Low шифрует данные, отправляемые от клиента на сервер, с использованием 56-битного шифрования.

Не удается подключиться с помощью RDP к виртуальной машине Windows в Azure

23.03.2018
11 минут на чтение

В этой статье

Подключение по протоколу удаленного рабочего стола (RDP) к вашей виртуальной машине Azure под управлением Windows может завершиться ошибкой по разным причинам, в результате чего вы не сможете получить доступ к своей виртуальной машине.Проблема может быть связана со службой удаленного рабочего стола на виртуальной машине, сетевым подключением или клиентом удаленного рабочего стола на вашем главном компьютере. В этой статье описаны некоторые из наиболее распространенных методов решения проблем с подключением по протоколу RDP.

Если вам понадобится дополнительная помощь в любой момент из этой статьи, вы можете связаться со специалистами по Azure на форумах MSDN Azure и Stack Overflow. Кроме того, вы можете подать заявку в службу поддержки Azure. Перейдите на сайт поддержки Azure и выберите Получить поддержку .

Быстрые шаги по устранению неполадок

После каждого шага устранения неполадок попробуйте повторно подключиться к виртуальной машине:

Сброс конфигурации удаленного рабочего стола.
Проверьте правила группы сетевой безопасности / конечные точки облачных служб.
Просмотрите журналы консоли виртуальной машины.
Выполните сброс сетевого адаптера виртуальной машины.
Проверьте работоспособность ресурсов виртуальной машины.
Сбросьте пароль виртуальной машины.
Перезагрузите виртуальную машину.
Повторно разверните виртуальную машину.

Продолжайте чтение, если вам нужны более подробные шаги и объяснения.Убедитесь, что оборудование локальной сети, такое как маршрутизаторы и брандмауэры, не блокирует исходящий TCP-порт 3389, как указано в подробных сценариях устранения неполадок RDP.

Подсказка

Если кнопка Connect для вашей виртуальной машины на портале неактивна и вы не подключены к Azure через Express Route или Site-to-Site VPN-соединение, вам необходимо создать и назначить своей виртуальной машине общедоступный IP-адрес, прежде чем вы можно использовать RDP. Вы можете узнать больше об общедоступных IP-адресах в Azure.

Способы устранения проблем RDP

Вы можете устранить неполадки виртуальных машин, созданных с помощью модели развертывания Resource Manager, используя один из следующих методов:

Azure — отличный вариант, если вам нужно быстро сбросить конфигурацию RDP или учетные данные пользователя и у вас не установлены инструменты Azure.
Azure PowerShell — если вам удобна подсказка PowerShell, быстро сбросьте конфигурацию RDP или учетные данные пользователя с помощью командлетов Azure PowerShell.

Вы также можете найти шаги по устранению неполадок виртуальных машин, созданных с использованием классической модели развертывания.

Устранение неполадок с помощью портала Azure

После каждого шага по устранению неполадок попробуйте снова подключиться к виртуальной машине. Если вы по-прежнему не можете подключиться, попробуйте следующий шаг.

Сбросить RDP-соединение .Этот шаг по устранению неполадок сбрасывает конфигурацию RDP, например, когда удаленные подключения отключены или правила брандмауэра Windows блокируют RDP.
Выберите свою виртуальную машину на портале Azure. Прокрутите панель настроек до раздела «Поддержка + Устранение неполадок » в нижней части списка. Нажмите кнопку Сбросить пароль . Установите режим на Сбросить только конфигурацию , а затем нажмите кнопку Обновить :
Проверить правила группы безопасности сети .Используйте проверку IP-потока, чтобы убедиться, что правило в группе безопасности сети блокирует трафик к виртуальной машине или от нее. Вы также можете просмотреть действующие правила группы безопасности, чтобы убедиться, что входящее правило «Разрешить» NSG существует и имеет приоритет для порта RDP (по умолчанию 3389). Дополнительные сведения см. В разделе Использование эффективных правил безопасности для устранения проблем с потоком трафика виртуальных машин.
Просмотрите диагностику загрузки виртуальной машины . На этом этапе устранения неполадок просматриваются журналы консоли виртуальной машины, чтобы определить, сообщает ли виртуальная машина о проблеме.Не на всех виртуальных машинах включена диагностика загрузки, поэтому этот шаг по устранению неполадок может быть необязательным.
Конкретные шаги по устранению неполадок выходят за рамки этой статьи, но могут указывать на более широкую проблему, которая влияет на подключение RDP. Дополнительные сведения о просмотре журналов консоли и снимков экрана виртуальной машины см. В разделе Диагностика загрузки для виртуальных машин.
Перезагрузите сетевой адаптер для VM . Дополнительные сведения см. В разделе, как сбросить сетевой адаптер для виртуальной машины Windows Azure.
Проверьте работоспособность ресурсов виртуальной машины .Этот шаг по устранению неполадок проверяет отсутствие известных проблем с платформой Azure, которые могут повлиять на подключение к виртуальной машине.
Выберите свою виртуальную машину на портале Azure. Прокрутите панель настроек до раздела «Поддержка + Устранение неполадок » в нижней части списка. Нажмите кнопку Состояние ресурса . Работоспособная виртуальная машина сообщает о наличии Доступно :
Сбросить учетные данные пользователя . Этот шаг по устранению неполадок сбрасывает пароль для учетной записи локального администратора, если вы не уверены или забыли учетные данные.После входа в виртуальную машину необходимо сбросить пароль для этого пользователя.
Выберите свою виртуальную машину на портале Azure. Прокрутите панель настроек до раздела «Поддержка + Устранение неполадок » в нижней части списка. Нажмите кнопку Сбросить пароль . Убедитесь, что Mode установлен на Сброс пароля , а затем введите свое имя пользователя и новый пароль. Наконец, нажмите кнопку Обновить :
Перезагрузите виртуальную машину .Этот шаг по устранению неполадок может исправить любые основные проблемы, возникающие в самой виртуальной машине.
Выберите свою виртуальную машину на портале Azure и щелкните вкладку Обзор . Нажмите кнопку Перезагрузить :
Повторно разверните виртуальную машину . На этом этапе устранения неполадок ваша виртуальная машина повторно развертывается на другом узле в Azure, чтобы исправить любые проблемы с базовой платформой или сетью.
Выберите свою виртуальную машину на портале Azure. Прокрутите панель настроек до раздела «Поддержка + Устранение неполадок » в нижней части списка.Нажмите кнопку Повторно развернуть , а затем нажмите Повторно развернуть :
После завершения этой операции данные эфемерного диска теряются, а динамические IP-адреса, связанные с виртуальной машиной, обновляются.
Проверить маршрут . Используйте функцию Next hop Network Watcher, чтобы убедиться, что маршрут не препятствует перенаправлению трафика на виртуальную машину или от нее. Вы также можете просмотреть эффективные маршруты, чтобы увидеть все эффективные маршруты для сетевого интерфейса.Дополнительные сведения см. В разделе Использование эффективных маршрутов для устранения проблем с потоком трафика виртуальных машин.
Убедитесь, что любой локальный брандмауэр или брандмауэр на вашем компьютере разрешает исходящий трафик TCP 3389 в Azure.

Если вы все еще сталкиваетесь с проблемами RDP, вы можете открыть запрос в службу поддержки или прочитать более подробные концепции и шаги по устранению неполадок RDP.

Устранение неполадок с помощью Azure PowerShell

Если вы еще этого не сделали, установите и настройте последнюю версию Azure PowerShell.

В следующих примерах используются такие переменные, как myResourceGroup , myVM и myVMAccessExtension . Замените эти имена и местоположения переменных своими собственными значениями.

Примечание

Вы сбросите учетные данные пользователя и конфигурацию RDP с помощью командлета PowerShell Set-AzVMAccessExtension. В следующих примерах myVMAccessExtension — это имя, которое вы указываете как часть процесса. Если вы ранее работали с VMAccessAgent, вы можете получить имя существующего расширения, используя Get-AzVM -ResourceGroupName «myResourceGroup» -Name «myVM» для проверки свойств виртуальной машины.Чтобы просмотреть имя, загляните в раздел «Расширения» вывода.

Сбросить RDP-соединение . Этот шаг по устранению неполадок сбрасывает конфигурацию RDP, например, когда удаленные подключения отключены или правила брандмауэра Windows блокируют RDP.
В следующем примере сбрасывается соединение RDP на виртуальной машине с именем myVM в расположении WestUS и в группе ресурсов с именем myResourceGroup :
```
  Set-AzVMAccessExtension -ResourceGroupName "myResourceGroup" `
    -VMName "myVM" -Location Westus -Name "myVMAccessExtension"
  
```
Проверить правила группы безопасности сети .Этот шаг по устранению неполадок подтверждает, что у вас есть правило в вашей группе сетевой безопасности, разрешающее трафик RDP. Порт по умолчанию для RDP — TCP-порт 3389. Правило, разрешающее трафик RDP, может не создаваться автоматически при создании виртуальной машины.
Во-первых, назначьте все данные конфигурации для вашей группы безопасности сети переменной $ rules . В следующем примере получается информация о группе безопасности сети с именем myNetworkSecurityGroup в группе ресурсов с именем myResourceGroup :
```
  $ rules = Get-AzNetworkSecurityGroup -ResourceGroupName "myResourceGroup" `
    -Название "myNetworkSecurityGroup"
  
```
Теперь просмотрите правила, настроенные для этой группы сетевой безопасности.Убедитесь, что существует правило, разрешающее TCP-порт 3389 для входящих подключений, как показано ниже:
```
  $ rules.SecurityRules
  
```
В следующем примере показано действующее правило безопасности, разрешающее трафик RDP. Вы можете видеть, что протокол , DestinationPortRange , Access и Направление настроены правильно:
```
  Имя: default-allow-rdp
Идентификатор: / subscriptions / guid / resourceGroups / myResourceGroup / Provider / Microsoft.Сеть / networkSecurityGroups / myNetworkSecurityGroup / securityRules / по умолчанию, позволяют-RDP
Etag:
ProvisioningState: выполнено успешно
Описание              :
Протокол: TCP
SourcePortRange: *
DestinationPortRange: 3389
SourceAddressPrefix: *
DestinationAddressPrefix: *
Доступ: Разрешить
Приоритет: 1000
Направление: Входящий
  
```
Если у вас нет правила, разрешающего трафик RDP, создайте правило группы безопасности сети.Разрешить TCP-порт 3389.
Сбросить учетные данные пользователя . Этот шаг по устранению неполадок сбрасывает пароль для учетной записи локального администратора, которую вы указываете, если не уверены или забыли учетные данные.
Сначала укажите имя пользователя и новый пароль, присвоив учетные данные переменной $ cred следующим образом:
```
  $ cred = Get-Credential
  
```
Теперь обновите учетные данные на своей виртуальной машине. В следующем примере обновляются учетные данные на виртуальной машине с именем myVM в расположении WestUS и в группе ресурсов с именем myResourceGroup :
```
  Set-AzVMAccessExtension -ResourceGroupName "myResourceGroup" `
    -VMName "myVM" -Location WestUS -Name "myVMAccessExtension" `
    -UserName $ cred.GetNetworkCredential (). Имя пользователя `
    -Password $ cred.GetNetworkCredential (). Пароль
  
```
Перезагрузите виртуальную машину . Этот шаг по устранению неполадок может исправить любые основные проблемы, возникающие в самой виртуальной машине.
В следующем примере перезапускается виртуальная машина с именем myVM в группе ресурсов с именем myResourceGroup :
```
  Restart-AzVM -ResourceGroup «myResourceGroup» -Name «myVM»
  
```
Повторно разверните виртуальную машину .На этом этапе устранения неполадок ваша виртуальная машина повторно развертывается на другом узле в Azure, чтобы исправить любые проблемы с базовой платформой или сетью.
В следующем примере виртуальная машина с именем myVM повторно развертывается в расположении WestUS и в группе ресурсов с именем myResourceGroup :
```
  Set-AzVM -Redeploy -ResourceGroupName «myResourceGroup» -Name «myVM»
  
```
Проверить маршрут . Используйте функцию Next hop Network Watcher, чтобы убедиться, что маршрут не препятствует перенаправлению трафика на виртуальную машину или от нее.Вы также можете просмотреть эффективные маршруты, чтобы увидеть все эффективные маршруты для сетевого интерфейса. Дополнительные сведения см. В разделе Использование эффективных маршрутов для устранения проблем с потоком трафика виртуальных машин.
Убедитесь, что любой локальный брандмауэр или брандмауэр на вашем компьютере разрешает исходящий трафик TCP 3389 в Azure.

Устранение неполадок виртуальных машин, созданных с использованием классической модели развертывания

Важно

Виртуальные машины

Classic будут выведены из эксплуатации 1 марта 2023 г.

Если вы используете ресурсы IaaS из ASM, завершите миграцию до 1 марта 2023 года. Мы рекомендуем вам сделать переход раньше, чтобы воспользоваться преимуществами многих улучшений функций в Azure Resource Manager.

Дополнительные сведения см. В разделе «Перенос ресурсов IaaS в Azure Resource Manager до 1 марта 2023 г.».

После каждого шага по устранению неполадок попробуйте повторно подключиться к виртуальной машине.

Сбросить RDP-соединение . Этот шаг по устранению неполадок сбрасывает конфигурацию RDP, например, когда удаленные подключения отключены или правила брандмауэра Windows блокируют RDP.
Выберите свою виртуальную машину на портале Azure. Нажмите кнопку … Подробнее , затем нажмите Сбросить удаленный доступ :
Проверить конечные точки облачных служб . Этот шаг по устранению неполадок проверяет наличие конечных точек в облачных службах для разрешения трафика RDP. Порт по умолчанию для RDP — TCP-порт 3389. Правило, разрешающее трафик RDP, может не создаваться автоматически при создании виртуальной машины.
Выберите свою виртуальную машину на портале Azure.Нажмите кнопку Endpoints , чтобы просмотреть конечные точки, в настоящее время настроенные для вашей виртуальной машины. Убедитесь, что существуют конечные точки, разрешающие трафик RDP на TCP-порт 3389.
В следующем примере показаны допустимые конечные точки, разрешающие трафик RDP:
Если у вас нет конечной точки, которая разрешает трафик RDP, создайте конечную точку облачных служб. Разрешить TCP на частный порт 3389.
Просмотрите диагностику загрузки виртуальной машины . На этом этапе устранения неполадок просматриваются журналы консоли виртуальной машины, чтобы определить, сообщает ли виртуальная машина о проблеме.Не на всех виртуальных машинах включена диагностика загрузки, поэтому этот шаг по устранению неполадок может быть необязательным.
Конкретные шаги по устранению неполадок выходят за рамки этой статьи, но могут указывать на более широкую проблему, которая влияет на подключение RDP. Дополнительные сведения о просмотре журналов консоли и снимков экрана виртуальной машины см. В разделе Диагностика загрузки для виртуальных машин.
Проверьте работоспособность ресурсов виртуальной машины . Этот шаг по устранению неполадок проверяет отсутствие известных проблем с платформой Azure, которые могут повлиять на подключение к виртуальной машине.
Выберите свою виртуальную машину на портале Azure. Прокрутите панель настроек до раздела «Поддержка + Устранение неполадок » в нижней части списка. Нажмите кнопку Состояние ресурса . Работоспособная виртуальная машина сообщает о наличии Доступно :
Сбросить учетные данные пользователя . Этот шаг по устранению неполадок сбрасывает пароль для учетной записи локального администратора, которую вы указываете, если вы не уверены или забыли учетные данные. После входа в виртуальную машину необходимо сбросить пароль для этого пользователя.
Выберите свою виртуальную машину на портале Azure. Прокрутите панель настроек до раздела «Поддержка + Устранение неполадок » в нижней части списка. Нажмите кнопку Сбросить пароль . Введите ваше имя пользователя и новый пароль. Наконец, нажмите кнопку Сохранить :
Перезагрузите виртуальную машину . Этот шаг по устранению неполадок может исправить любые основные проблемы, возникающие в самой виртуальной машине.
Выберите свою виртуальную машину на портале Azure и щелкните вкладку Обзор .Нажмите кнопку Перезагрузить :
Убедитесь, что любой локальный брандмауэр или брандмауэр на вашем компьютере разрешает исходящий трафик TCP 3389 в Azure.

Устранение конкретных ошибок RDP

При попытке подключиться к виртуальной машине через RDP может появиться сообщение об ошибке.Ниже приведены наиболее распространенные сообщения об ошибках:

Дополнительные ресурсы

Если ни одна из этих ошибок не возникла, и вы по-прежнему не можете подключиться к виртуальной машине через удаленный рабочий стол, прочтите подробное руководство по устранению неполадок для удаленного рабочего стола.

клиентов удаленного рабочего стола: вопросы и ответы | Документы Microsoft

16.07.2018
Читать 12 минут

В этой статье

Применимо к: Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Теперь, когда вы настроили клиент удаленного рабочего стола на своем устройстве (Android, Mac, iOS или Windows), у вас могут возникнуть вопросы.Вот ответы на наиболее часто задаваемые вопросы о клиентах удаленного рабочего стола.

Большинство этих вопросов относятся ко всем клиентам, но есть несколько пунктов, специфичных для клиентов.

Если у вас есть дополнительные вопросы, на которые вы хотите, чтобы мы ответили, оставьте их в качестве отзыва к этой статье.

Настройка

К каким ПК я могу подключиться?

Прочтите статью о поддерживаемой конфигурации, чтобы узнать, к каким компьютерам можно подключиться.

Как настроить ПК для удаленного рабочего стола?

У меня настроено устройство, но я не думаю, что компьютер готов. Помогите?

Во-первых, видели ли вы мастер установки удаленного рабочего стола? Он поможет вам подготовить компьютер к удаленному доступу. Загрузите и запустите этот инструмент на своем ПК, чтобы все было настроено.

В противном случае, если вы предпочитаете делать что-то вручную, читайте дальше.

Для Windows 10 сделайте следующее:

На устройстве, к которому вы хотите подключиться, откройте Настройки .
Выберите Система , а затем Удаленный рабочий стол .
Используйте ползунок, чтобы включить удаленный рабочий стол.
В общем, лучше всего держать компьютер активным и доступным для обнаружения, чтобы облегчить подключение. Щелкните Показать настройки , чтобы перейти к настройкам питания вашего ПК, где вы можете изменить этот параметр.
Примечание
Невозможно подключиться к ПК, который находится в спящем или гибернационном режиме, поэтому убедитесь, что для параметров сна и гибернации на удаленном ПК установлено значение Никогда .(Гибернация доступна не на всех ПК.)

Запишите имя этого ПК под Как подключиться к этому ПК . Это понадобится вам для настройки клиентов.

Вы можете предоставить конкретным пользователям разрешение на доступ к этому ПК — для этого щелкните Выберите пользователей, которые могут получить удаленный доступ к этому ПК . Члены группы администраторов автоматически получают доступ.

Для Windows 8.1: следуйте инструкциям по разрешению удаленных подключений в разделе «Подключение к другому рабочему столу с помощью подключений к удаленному рабочему столу».

Соединение, шлюз и сети

Почему я не могу подключиться с помощью удаленного рабочего стола?

Вот несколько возможных решений распространенных проблем, с которыми вы можете столкнуться при попытке подключиться к удаленному ПК. Если эти решения не работают, дополнительную помощь можно найти на веб-сайте сообщества Microsoft.

Удаленный компьютер не найден. Убедитесь, что у вас правильное имя ПК, а затем проверьте, правильно ли вы ввели это имя. Если вы по-прежнему не можете подключиться, попробуйте использовать IP-адрес удаленного ПК вместо имени ПК.
Проблема с сетью. Убедитесь, что у вас есть подключение к Интернету.
Порт удаленного рабочего стола может быть заблокирован брандмауэром. Если вы используете брандмауэр Windows, выполните следующие действия:
1. Откройте брандмауэр Windows.
2. Щелкните Разрешить приложение или функцию через брандмауэр Windows .
3. Щелкните Изменить настройки . Вас могут попросить ввести пароль администратора или подтвердить свой выбор.
4. Ниже Разрешенные приложения и функции , выберите Удаленный рабочий стол , а затем коснитесь или щелкните ОК .
  Если вы используете другой брандмауэр, убедитесь, что порт для удаленного рабочего стола (обычно 3389) открыт.
На удаленном ПК не могут быть установлены удаленные подключения. Чтобы исправить это, прокрутите назад до раздела Как мне настроить ПК для удаленного рабочего стола? вопрос в этой теме.
Удаленный ПК может разрешать подключение только тем ПК, на которых настроена проверка подлинности на уровне сети.
Возможно, удаленный компьютер выключен. Невозможно подключиться к ПК, который выключен, спит или находится в режиме гибернации, поэтому убедитесь, что для параметров сна и гибернации на удаленном ПК установлено значение Никогда (гибернация доступна не на всех ПК).

Почему я не могу найти свой компьютер или подключиться к нему?

Проверьте следующее:

ПК включен и не спит?
Вы ввели правильное имя или IP-адрес?
Важно
Использование имени ПК требует, чтобы ваша сеть правильно разрешила имя через DNS.Во многих домашних сетях для подключения вы должны использовать IP-адрес вместо имени хоста.
Находится ли ПК в другой сети? Вы настроили ПК на пропуск внешних подключений? Проверьте Разрешить доступ к вашему ПК из-за пределов вашей сети для получения помощи.
Вы подключаетесь к поддерживаемой версии Windows?
Примечание
Windows XP Home, Windows Media Center Edition, Windows Vista Home и Windows 7 Home или Starter не поддерживаются без стороннего программного обеспечения.

Почему я не могу войти на удаленный компьютер?

Если вы видите экран входа на удаленном компьютере, но не можете войти в систему, возможно, вы не были добавлены в группу пользователей удаленного рабочего стола или в какую-либо группу с правами администратора на удаленном компьютере. Попросите системного администратора сделать это за вас.

Какие методы подключения поддерживаются для сетей компании?

Если вы хотите получить доступ к своему офисному рабочему столу из-за пределов корпоративной сети, ваша компания должна предоставить вам средства удаленного доступа.Клиент RD в настоящее время поддерживает следующее:

Шлюз сервера терминалов или шлюз удаленного рабочего стола
Веб-доступ к удаленному рабочему столу
VPN (через встроенные параметры VPN в iOS)

VPN не работает

Проблемы с VPN могут иметь несколько причин. Первый шаг — убедиться, что VPN работает в той же сети, что и ваш ПК или компьютер Mac. Если вы не можете протестировать на ПК или Mac, вы можете попытаться получить доступ к веб-странице интрасети компании с помощью браузера вашего устройства.

Что еще нужно проверить:

Сеть 3G блокирует или разрушает VPN. В мире есть несколько провайдеров 3G, которые блокируют или искажают трафик 3G. Убедитесь, что соединение VPN работает правильно в течение более минуты.
L2TP или PPTP VPN. Если вы используете L2TP или PPTP в своей VPN, установите для параметра «Отправить весь трафик» значение ON в конфигурации VPN.
VPN неправильно настроен. Неправильно настроенный сервер VPN может быть причиной того, что VPN-соединения никогда не работали или перестали работать через некоторое время.Если это произойдет, убедитесь, что тестирование выполняется с помощью веб-браузера устройства iOS или ПК или Mac в той же сети.

Как я могу проверить, правильно ли работает VPN?

Убедитесь, что на вашем устройстве включен VPN. Вы можете проверить свое VPN-соединение, перейдя на веб-страницу во внутренней сети или используя веб-службу, доступную только через VPN.

Как мне настроить L2TP или PPTP VPN-соединения?

Если вы используете L2TP или PPTP в своей VPN, обязательно установите Отправлять весь трафик с на ON в конфигурации VPN.

Веб-клиент

Какие браузеры я могу использовать?

Веб-клиент поддерживает Microsoft Edge, Internet Explorer 11, Mozilla Firefox (v55.0 и выше), Safari и Google Chrome.

Какие компьютеры я могу использовать для доступа к веб-клиенту?

Веб-клиент поддерживает Windows, macOS, Linux и ChromeOS. Мобильные устройства в настоящее время не поддерживаются.

Могу ли я использовать веб-клиент в развертывании удаленного рабочего стола без шлюза?

Нет. Для подключения клиенту требуется шлюз удаленного рабочего стола.Не знаю, что это значит? Спросите об этом у администратора.

Заменяет ли веб-клиент удаленного рабочего стола страницу веб-доступа к удаленному рабочему столу?

Нет. Веб-клиент удаленного рабочего стола размещен по другому URL-адресу, чем страница веб-доступа к удаленному рабочему столу. Вы можете использовать веб-клиент или страницу веб-доступа для просмотра удаленных ресурсов в браузере.

Могу ли я встроить веб-клиент на другую веб-страницу?

В настоящий момент эта функция не поддерживается.

Мониторы, аудио и мышь

Как использовать все мои мониторы?

Для использования двух или более экранов выполните следующие действия:

Щелкните правой кнопкой мыши удаленный рабочий стол, для которого нужно включить несколько экранов, а затем щелкните Изменить .
Включить Использовать все мониторы и Полный экран .

Поддерживается ли двунаправленный звук?

Двунаправленный звук можно настроить в клиенте Windows для каждого соединения. Доступ к соответствующим настройкам можно получить в разделе Remote audio вкладки Local Resources options.

Что делать, если звук не воспроизводится?

Выйдите из сеанса (не просто отключитесь, войдите полностью), а затем войдите снова.

Клиент для Mac — вопросы по оборудованию

Поддерживается ли разрешение Retina?

Да, клиент удаленного рабочего стола поддерживает разрешение Retina.

Как включить вторичный щелчок правой кнопкой мыши?

Чтобы использовать щелчок правой кнопкой мыши в открытом сеансе, у вас есть три варианта:

Стандартная компьютерная двухкнопочная USB-мышь
Apple Magic Mouse: чтобы включить щелчок правой кнопкой мыши, щелкните Системные настройки в доке, щелкните Мышь , а затем включите Дополнительный щелчок .
Apple Magic Trackpad или MacBook Trackpad: чтобы включить щелчок правой кнопкой мыши, щелкните Системные настройки в доке, щелкните Мышь , а затем включите Дополнительный щелчок .

Поддерживается ли AirPrint?

Нет, клиент удаленного рабочего стола не поддерживает AirPrint. (Это верно как для клиентов Mac, так и для iOS.)

Почему в сеансе появляются неправильные символы?

Если вы используете международную клавиатуру, вы можете столкнуться с проблемой, когда символы, появляющиеся в сеансе, действительно совпадают с символами, которые вы вводили на клавиатуре Mac.

Это может произойти в следующих случаях:

Вы используете клавиатуру, которую удаленный сеанс не распознает. Когда удаленный рабочий стол не распознает клавиатуру, по умолчанию используется язык, последний раз использовавшийся на удаленном ПК.
Вы подключаетесь к ранее отключенному сеансу на удаленном ПК, и этот удаленный компьютер использует язык клавиатуры, отличный от языка, который вы пытаетесь использовать в настоящее время.

Эту проблему можно решить, вручную установив язык клавиатуры для удаленного сеанса.См. Шаги в следующем разделе.

Как языковые настройки влияют на клавиатуру в удаленном сеансе?

Существует много типов раскладок клавиатуры Mac. Некоторые из них являются макетами для Mac или настраиваемыми макетами, точное совпадение которых может быть недоступно в версии Windows, в которой выполняется удаленное взаимодействие. Удаленный сеанс сопоставляет вашу клавиатуру с наиболее подходящим языком клавиатуры, доступным на удаленном ПК.

Если для раскладки клавиатуры Mac задана версия языковой клавиатуры для ПК (например, французский — ПК), все ваши клавиши должны быть правильно сопоставлены, и ваша клавиатура должна работать.

Если для раскладки клавиатуры Mac задана версия клавиатуры для Mac (например, французская), удаленный сеанс сопоставит вас с версией французского языка для ПК. Некоторые сочетания клавиш Mac, которые вы привыкли использовать в OSX, не будут работать в удаленном сеансе Windows.

Если ваша раскладка клавиатуры настроена на вариант языка (например, канадско-французский) и если удаленный сеанс не может сопоставить вас с этим точным вариантом, удаленный сеанс сопоставит вас с ближайшим языком (например, французским) ,Некоторые сочетания клавиш Mac, которые вы привыкли использовать в OSX, не будут работать в удаленном сеансе Windows.

Если ваша раскладка клавиатуры настроена на раскладку, с которой удаленный сеанс не может соответствовать вообще, ваш удаленный сеанс по умолчанию будет предоставлять вам язык, который вы в последний раз использовали на этом ПК. В этом случае или в тех случаях, когда вам нужно изменить язык удаленного сеанса, чтобы он соответствовал клавиатуре Mac, вы можете вручную установить язык клавиатуры в удаленном сеансе на язык, наиболее близкий к тому, который вы хотите использовать. следующим образом.

Используйте следующие инструкции для изменения раскладки клавиатуры в сеансе удаленного рабочего стола:

В Windows 10 или Windows 8:

Изнутри удаленного сеанса откройте «Регион и язык». Щелкните Пуск> Параметры> Время и язык . Откройте регион и язык .
Добавьте язык, который хотите использовать. Затем закройте окно «Регион и язык».
Теперь в удаленном сеансе вы увидите возможность переключения между языками.(В правой части удаленного сеанса, рядом с часами.) Щелкните язык, на который хотите переключиться (например, Eng ).

Возможно, вам придется закрыть и перезапустить приложение, которое вы используете в данный момент, чтобы изменения клавиатуры вступили в силу.

Специфические ошибки

Почему я получаю ошибку «Недостаточно прав»?

У вас нет доступа к сеансу, к которому вы хотите подключиться. Наиболее вероятная причина в том, что вы пытаетесь подключиться к сеансу администратора.Только администраторы могут подключаться к консоли. Убедитесь, что консольный переключатель выключен в дополнительных настройках удаленного рабочего стола. Если проблема не в этом, обратитесь за помощью к системному администратору.

Почему клиент говорит, что клиентской лицензии нет?

Когда клиент удаленного рабочего стола подключается к серверу удаленного рабочего стола, сервер выдает клиентскую лицензию на доступ к службам удаленных рабочих столов (RDS CAL), хранящуюся у клиента. Каждый раз, когда клиент подключается снова, он будет использовать свою RDS CAL, и сервер не будет выдавать другую лицензию.Сервер выдаст другую лицензию, если RDS CAL на устройстве отсутствует или повреждена. При достижении максимального количества лицензированных устройств сервер не будет выдавать новые клиентские лицензии RDS. Обратитесь к сетевому администратору за помощью.

Почему я получил ошибку «Доступ запрещен»?

Ошибка «Доступ запрещен» генерируется шлюзом удаленного рабочего стола и является результатом неверных учетных данных во время попытки подключения. Подтвердите свое имя пользователя и пароль. Если соединение работало раньше и ошибка возникла недавно, возможно, вы изменили пароль своей учетной записи Windows и еще не обновили его в настройках удаленного рабочего стола.

Что означает «Ошибка RPC 23014» или «Ошибка 0x59e6»?

В случае ошибки RPC 23014 или Ошибка 0x59E6 повторите попытку через несколько минут. , сервер шлюза удаленных рабочих столов достиг максимального количества активных подключений. В зависимости от версии Windows, запущенной на шлюзе удаленных рабочих столов, максимальное количество подключений различается: стандартная реализация Windows Server 2008 R2 ограничивает количество подключений до 250. Реализация Windows Server 2008 R2 Foundation ограничивает количество подключений до 50.Все другие реализации Windows допускают неограниченное количество подключений.

Что означает ошибка «Не удалось проанализировать вызов NTLM»?

Эта ошибка вызвана неправильной конфигурацией удаленного ПК. Убедитесь, что для уровня безопасности RDP на удаленном ПК установлено значение «Совместимость с клиентом». (Если вам потребуется помощь, обратитесь к системному администратору.)

Что означает «TS_RAP Вам не разрешено подключаться к данному хосту»?

Эта ошибка возникает, когда политика авторизации ресурсов на сервере шлюза не позволяет вашему имени пользователя подключаться к удаленному компьютеру.Это может произойти в следующих случаях:

Имя удаленного ПК совпадает с именем шлюза. Затем, когда вы пытаетесь подключиться к удаленному ПК, вместо этого соединение переходит к шлюзу, к которому у вас, вероятно, нет разрешения на доступ. Если вам нужно подключиться к шлюзу, не используйте имя внешнего шлюза в качестве имени ПК. Вместо этого используйте localhost, IP-адрес (127.0.0.1) или внутреннее имя сервера.
Ваша учетная запись пользователя не входит в группу пользователей удаленного доступа.