排查远程桌面连接失败故障

故障现象

单位的一台Windows Server 2008 R2的服务器上启用了远程桌面服务，这样便于管理员远程对其进行管理。最近在运行“msctc.exe”程序对其进行连接时，出现“远程桌面由于以下原因之一无法连接到远程计算机，未启用对服务器的远程访问，远程计算机关闭，在网络上计算机不可用，确保打开远程计算机，连接到网络并且启用远程服务”的提示。造成无法远程该机的情况。

故障排查

处理这样的故障时，需要熟悉远程桌面的连接过程，才可以有针对性加以解决。

当客户端运行连接程序试图访问服务器时，服务器会先进行网络级别认证，然后执行服务器验证。如果服务器上开启了Windows防火墙的话，就必须通过防火墙的安全验证，才允许客户端进行连接。当服务器开启了远程桌面后，就会开启TCP 3389端口，如果修改了该连接端口，必须使用新的端口进行连接。

当满足以上条件后，服务器还需要对连接进行必要的安全等级及加密等级设定，对客户端进行检测。如果客户端没有足够的访问权限，也无法进行连接。当用户连接到目标服务器后，服务器会根据本地策略机制，对用户的登录行为进行管控，如果用户违反了设定的安全策略，就会被拒之门外。

满足了这些条件后，还需要确认客户端是否拥有否登录终端服务的权限。当用户成功连接到远程桌面后，还需要接受系统对其账户权限的审核，只有通过了以上所有步骤，才可以顺利连接到远程桌面。如果其中某些环节出现了问题，就会造成无法登录的情况。

在服务器中打开控制面板，在系统属性窗口中的“远程”面板中选择“允许运行任意版本远程桌面的计算机连接（较不安全）”项，就取消了网络级验证的管理，点击“选择用户”按钮，在远程桌面用户窗口看到登录账户已经添加进来了，这样其就处于Remote Desktop Users组中。之后在客户端进行连接操作，依然出现以上问题。我们知道，利用IPSec安全策略，可以对远程桌面进行控制，例如只允许特定的IP访问等，如果客户访问违反了预设的安全策略，自然会被系统拒绝。

在管理工具中点击“本地安全策略”项。在弹出窗口左侧选择“IP安全策略”项，在右侧虽然存在一些策略，但是其并没有和远程桌面有关，所以可以排除因为IPSec控制策略引发的问题。在该机中开启了防火墙功能，可以提高系统的安全性。考虑到如果直接关闭防火墙会对系统造成一些不利影响，所以在控制面板中双击“Windows防火墙”项，在防火墙设置窗口左侧点击“允许程序通过Windows防火墙”链接，在弹出窗口中的“例外”面板中勾选“远程桌面”项，表示允许使用RDP通讯协议。勾选“安全万维网服务（HTTPS）”项，表示允许客户端可以使用基于HTTPS的RDP协议访问服务器。

之后再次进行了解，发现问题依旧。于是干脆直接关闭了防火墙，在客户端对该机进行ping探测没有任何问题，但是仍然无法连接远程桌面，这就说明上述问题和防火墙配置没有关系。当启用了远程桌面后，系统必然会开启相关的服务。如果这些服务运行异常，就会造成无法连接的故障。 运 行“services.msc”程序，在服务管理器中可以找 到Terminal Services、T e r m i n a l S e r v i c e s Configuration、Terminal Services UserMode Port Redirector等服务，这些服务的作用包括允许客户端以互动方式连接到服务器，处理与终端服务及远程桌面相关的设置，对连接会话进行管理维护，提供设备重定向功能等。经过检测，这些服务均处于启用状态。

为了排除问题，手工停止并重启这些服务，之后再进行连接，问题依然没有解决。当客户机和远程桌面连接时，必须通过相应的端口才行，系统默认使用TCP 3389端口，在CMD窗口中运行“netstat -ano”命令，查看网络连接状态。在其中并没有发现TCP389端口的踪影。经过了解，该机管理员没有对连接端口进行过修改。于是关闭了以上服务，执行“netstat -ano >old.txt”命令，将连接信息保存带“old.txt”文件中。启用上述服务，执行“netstat-ano >new.txt”命令，将连接信息保存带“new.new”文件中。

之后对这两个文本文件进行比较，没有发现和远程桌面有关的端口变动信息，也就是说，虽然和远程桌面相关的服务处于运行状态，但是连接端口却没有开启。

故障解决

看到这种情况，笔者已经大体知道了问题发生的原因了。因为和远程桌面相关的所有信息都保存在注册表中，如果因为某些原因导致这些信息受损的话，就会出现无法连接的奇怪故障。运行“regedit.exe”程序，在注册表编辑器中打开“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWinStations”分支，在其中保存了和远程桌面相关的重要信息。对其进行查看后发现，其中只存在名为“Console”的分支，其余内容不翼而飞了，这明显存在问题。于是找了另外一台Windos Server 208 R2的主机，将上述注册表分支的内容导出为独立的文件（例如“rdp.reg”）。

将其复制到本机上，双击后导入注册表，之后重新查看注册表内容，发现在上述分支中缺失的信息已补充完整。之后在客户端运行“mstsc.exe”重新连接，就可顺利连接到远程桌面。这是因为“HKEY_LOCAL_MACHINES Y S T E MCurrent ControlSetControlT e r m i n a l S e r v e rWinStationsRDP-Tcp”分支中保存了和连接端口相关的重要信息，当这些信息受损后，就会出现无法连接的奇怪故障了。

为安全起见，可以对连接端口进行修改，例如将其中的“PortNumber”的值设为特定端口。当客户端使用远程桌面连接时，连接“终端服务器IP或者名称：端口号”即可。