云主機(jī)無法遠(yuǎn)程桌面故障原因分析及解決辦法

◇閩北職業(yè)技術(shù)學(xué)院 吳碧霞

云主機(jī)具有擴(kuò)展性好、安全可靠、性價(jià)比高等優(yōu)點(diǎn)，被越來越多的中小企業(yè)利用云主機(jī)來快速搭建系統(tǒng)業(yè)務(wù)環(huán)境，網(wǎng)絡(luò)管理員經(jīng)常通過遠(yuǎn)程桌面功能操作云主機(jī)計(jì)算機(jī)，在上面安裝軟件，運(yùn)行程序，在實(shí)際應(yīng)用中有時(shí)會(huì)發(fā)現(xiàn)無法正常遠(yuǎn)程桌面登錄，該現(xiàn)象涉及云側(cè)和客戶操作系統(tǒng)內(nèi)多種原因。本文針對云主機(jī)無法通過遠(yuǎn)程桌面連接各種問題和原因進(jìn)行多維度定位分析，形成相關(guān)解決辦法思路，可以在故障處理中快速應(yīng)用，提升故障處置效率。

云主機(jī)是阿里云、天翼云、百度云等新一代的云業(yè)務(wù)運(yùn)營商提供的主機(jī)租用服務(wù)，云業(yè)務(wù)運(yùn)營商將高性能服務(wù)器的計(jì)算、存儲(chǔ)與優(yōu)質(zhì)網(wǎng)絡(luò)帶寬資源的IT基礎(chǔ)設(shè)施能力進(jìn)行整合，有效解決了傳統(tǒng)主機(jī)建設(shè)運(yùn)營成本偏高導(dǎo)致租用價(jià)格偏高、專業(yè)化標(biāo)準(zhǔn)不一、服務(wù)品質(zhì)參差不齊等缺點(diǎn)，具有擴(kuò)展性好、安全可靠、性價(jià)比高等優(yōu)點(diǎn)，可全面滿足中小企業(yè)、個(gè)人站長等用戶對主機(jī)租用服務(wù)低租用成本，高可靠性能，業(yè)務(wù)方便管理的需求，能提供基于云計(jì)算模式的按實(shí)際需求使用量和按業(yè)務(wù)需求量付費(fèi)能力的服務(wù)器租用服務(wù)，被越來越多的中小企業(yè)用來快速搭建系統(tǒng)業(yè)務(wù)環(huán)境。云主機(jī)客戶的網(wǎng)絡(luò)管理員經(jīng)常使用遠(yuǎn)程桌面來操作本地計(jì)算機(jī)或服務(wù)器，在上面安裝軟件、運(yùn)行程序、管理維護(hù)數(shù)據(jù)庫等。遠(yuǎn)程桌面功能是微軟公司推出的從windows 2000 server版本開始引入一項(xiàng)服務(wù)，網(wǎng)絡(luò)管理員使用遠(yuǎn)程桌面功能連接程序可以很方便地連接到網(wǎng)絡(luò)上任意一臺(tái)開啟了遠(yuǎn)程桌面控制功能的計(jì)算機(jī)上，和自己現(xiàn)場操作該計(jì)算機(jī)沒有區(qū)別。云主機(jī)客戶的網(wǎng)絡(luò)管理員對云主機(jī)也需要同樣的功能，在實(shí)際應(yīng)用中有時(shí)會(huì)發(fā)現(xiàn)無法正常遠(yuǎn)程桌面登錄，該現(xiàn)象涉及云側(cè)和客戶操作系統(tǒng)內(nèi)多種原因，本文對此進(jìn)行多維度定位分析，并提出相應(yīng)的解決辦法。

1 分析過程主要步驟

（1）首先通過VNC登錄查看服務(wù)器狀態(tài)是否正常，如不正常可聯(lián)系云公司進(jìn)一步排查，如正常進(jìn)行下一步。

（2）檢查安全組是否添加遠(yuǎn)程服務(wù)端口，windows默認(rèn)遠(yuǎn)程端口為3389，如未添加，可添加后重試，如已添加，進(jìn)行下一步。

（3）在本地測試是否可以遠(yuǎn)程，如可以遠(yuǎn)程連接，則需客戶排查客戶端問題，如無法遠(yuǎn)程連接，進(jìn)行下一步。

（4）vnc登錄查看服務(wù)器內(nèi)部遠(yuǎn)程服務(wù)是否開啟，端口是否修改，防火墻是否開啟，是否存在安全軟件、安全狗、360等。

2 故障問題原因和相應(yīng)解決措施

2.1 沒有開啟遠(yuǎn)程桌面服務(wù)

通過以下步驟操作查看Windows服務(wù)器的系統(tǒng)是否開啟了遠(yuǎn)程桌面服務(wù)：①使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例；②右鍵單擊我的電腦，選擇屬性>高級系統(tǒng)設(shè)置。在系統(tǒng)屬性窗口，選擇點(diǎn)擊遠(yuǎn)程選項(xiàng)卡，查看允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接是否勾選，如沒有勾選點(diǎn)擊勾選即可。

2.2 Windows Server 2012初次登錄開啟防火墻會(huì)斷開

新購的Windows 2012實(shí)例，首次連接服務(wù)器正常。連接服務(wù)器并激活系統(tǒng)后，會(huì)提示是否要在此網(wǎng)絡(luò)上查找電腦等設(shè)備并自動(dòng)連接，用戶此時(shí)如果單擊否，服務(wù)器就會(huì)自動(dòng)開啟公網(wǎng)的防火墻，導(dǎo)致連接直接斷開?？蓢L試通過以下步驟解決：

（1）使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。

（2）在菜單欄選擇開始→控制面板→Windows 防火墻。

（3）在Windows 防火墻窗口，單擊高級設(shè)置→入站規(guī)則，在右側(cè)拉至最下方，右鍵單擊遠(yuǎn)程桌面-用戶模式(TCP-In)，選擇啟動(dòng)規(guī)則。

（4）返回上一個(gè)頁面，單擊Windows 防火墻屬性，選擇啟用（推薦），單擊應(yīng)用。注意將域配置文件、專用配置文件、公用配置文件選項(xiàng)卡下的全部防火墻都啟用。

2.3 系統(tǒng)服務(wù)被禁用

為了提高系統(tǒng)安全性，用戶錯(cuò)誤的將遠(yuǎn)程桌面服務(wù)所依賴的某些關(guān)鍵服務(wù)禁用，從而導(dǎo)致遠(yuǎn)程桌面服務(wù)異常。解決方法步驟如下：

（1）使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。

（2）選擇開始→運(yùn)行。輸入msconfig，單擊確定運(yùn)行系統(tǒng)配置。

（3）在系統(tǒng)配置的窗口中，選擇常規(guī)選項(xiàng)卡，選擇正常啟動(dòng)，然后重啟服務(wù)器，即可解決。

2.4 本地網(wǎng)絡(luò)受限

要判斷是本地網(wǎng)絡(luò)問題還是服務(wù)器端的網(wǎng)絡(luò)問題，可以通過ping和telnet命令，檢查服務(wù)器公網(wǎng)IP及3389端口的連通性來判定，同時(shí)可以用不同網(wǎng)段或不同運(yùn)營商等其他網(wǎng)絡(luò)環(huán)境中的電腦連接來對比測試，以判斷是否為本地網(wǎng)絡(luò)受限。

2.5 遠(yuǎn)程端口被修改

ECS的安全組規(guī)則中默認(rèn)放行3389端口，如果修改了遠(yuǎn)程桌面的端口，則需要在安全組規(guī)則中放行修改后的相應(yīng)端口號，登錄方式改變或者ECS安全組規(guī)則中未放行修改后的端口號，會(huì)導(dǎo)致無法連接Windows實(shí)例遠(yuǎn)程桌面。

2.6 終端服務(wù)器角色未配置授權(quán)

終端服務(wù)器角色未配置授權(quán)導(dǎo)致無法正常遠(yuǎn)程連接的原因可能有以下兩種：

（1）Windows服務(wù)器正常情況下默認(rèn)提供兩個(gè)用戶的免費(fèi)遠(yuǎn)程桌面管理授權(quán)，由于終端服務(wù)配置了RDP-TCP限制每個(gè)用戶只能進(jìn)行一個(gè)會(huì)話，該賬號有其他人在登錄，所以其他會(huì)話無法建立。如果有更多的連接需求，則需要配置遠(yuǎn)程桌面會(huì)話主機(jī)服務(wù)器角色，同時(shí)購買和配置相應(yīng)的授權(quán)后，才可以使用更多的遠(yuǎn)程桌面管理并發(fā)。

（2）在系統(tǒng)內(nèi)安裝了遠(yuǎn)程桌面會(huì)話主機(jī)角色，此功能免費(fèi)試用120天，之后需要進(jìn)行付費(fèi)，如果沒有付費(fèi)會(huì)造成無法通過管理終端連接。在配置遠(yuǎn)程桌面會(huì)話主機(jī)角色后，會(huì)同時(shí)取消默認(rèn)兩個(gè)用戶的免費(fèi)連接授權(quán)，在沒有正確配置相關(guān)授權(quán)的時(shí)候，會(huì)導(dǎo)致遠(yuǎn)程桌面無法連接，并出現(xiàn)錯(cuò)誤提示。

根據(jù)上述兩種實(shí)際情況，可參考以下兩種解決方法。

一是取消RDP-TCP限制每個(gè)用戶只能進(jìn)行一個(gè)會(huì)話，具體操作步驟如下：①通過管理終端連接Windows實(shí)例。②選擇開始→運(yùn)行，在打開框中輸入gpedit.msc，單擊確定，運(yùn)行組策略編輯器。③進(jìn)入本地組策略編輯器頁面，選擇計(jì)算機(jī)配置→管理模板→Windows 組件，雙擊遠(yuǎn)程桌面服務(wù)。④雙擊遠(yuǎn)程桌面會(huì)話主機(jī)→連接。⑤單擊限制連接的數(shù)量，在彈出的窗口中，選擇已啟用，在允許RD 最大連接數(shù)框中，輸入需要的最大連接數(shù)，單擊確定。⑥選擇開始→運(yùn)行，在打開框中輸入cmd，打開命令行，執(zhí)行命令gpupdate。

二是安裝遠(yuǎn)程桌面會(huì)話主機(jī)導(dǎo)致無法遠(yuǎn)程Windows服務(wù)器，請參考如下兩種解決方法：

方法一：配置遠(yuǎn)程桌面會(huì)話主機(jī)服務(wù)器后，在微軟官網(wǎng)購買和配置相應(yīng)的證書授權(quán)，參閱微軟官方文檔相關(guān)方法操作。

方法二：刪除遠(yuǎn)程桌面會(huì)話主機(jī)角色，參考以下步驟對不同版本的Windows服務(wù)器進(jìn)行配置，使用默認(rèn)兩個(gè)用戶的免費(fèi)連接授權(quán)。

Windows 2012操作系統(tǒng)：①通過管理終端連接Windows實(shí)例。②選擇開始→運(yùn)行，在打開框中輸入servermanager.msc，單擊確定。③進(jìn)入服務(wù)器管理器頁面，選擇管理→刪除角色和功能。④進(jìn)入刪除功能和角色頁面→下一步→下一步。⑤在角色框中，取消勾選遠(yuǎn)程桌面服務(wù)，其它配置默認(rèn)，單擊下一步。⑥在實(shí)例內(nèi)重啟。

Windows 2008操作系統(tǒng)：①通過管理終端連接Windows實(shí)例。②選擇開始→運(yùn)行，在打開框中輸入servermanager.msc，單擊確定。③進(jìn)入服務(wù)器管理頁面→角色，右鍵單擊遠(yuǎn)程桌面服務(wù)，選擇刪除角色服務(wù)。④在彈出窗口中，取消勾選遠(yuǎn)程桌面會(huì)話主機(jī)→下一步，等待配置完成。⑤在實(shí)例內(nèi)重啟該實(shí)例。

2.7 遠(yuǎn)程端口設(shè)置超出范圍

無論是Windows實(shí)例還是Linux實(shí)例，錯(cuò)誤配置監(jiān)聽端口會(huì)導(dǎo)致遠(yuǎn)程桌面服務(wù)監(jiān)聽失敗，將端口重新修改為0～65535之間未被占用的端口即可解決，修改端口的具體操作方法如下：

（1）遠(yuǎn)程連接并登錄到Windows 實(shí)例。

（2）運(yùn)行regedit.exe打開注冊表編輯器。

（3）找到如下注冊表子項(xiàng)：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber。

（4）在彈出的對話框中選擇十進(jìn)制，在數(shù)值數(shù)據(jù)中輸入新的遠(yuǎn)程端口號，如3799，單擊確定。

（5）如果開啟了防火墻，還需要將新的端口號添加到防火墻，并設(shè)置允許連接。

（6）登錄管理控制臺(tái)，重啟該實(shí)例。

（7）在安全組列表頁面，找到相應(yīng)的安全組，單擊配置規(guī)則。

（8）根據(jù)實(shí)際的使用場景來定義安全規(guī)則，在安全組規(guī)則頁面，單擊添加安全組規(guī)則，允許新配置的遠(yuǎn)程端口進(jìn)行連接。

（9）以上步驟完成后，在遠(yuǎn)程地址后面添加新遠(yuǎn)程端口號，例如192.168.1.2:3799，即可連接實(shí)例，遠(yuǎn)程訪問服務(wù)器。

2.8 遠(yuǎn)程終端服務(wù)配置異常

由于以下兩種遠(yuǎn)程終端服務(wù)的配置異?？赡軐?dǎo)致無法連接Windows實(shí)例遠(yuǎn)程桌面：

異常1：服務(wù)器側(cè)自簽名證書損壞?？蛻舳巳绻荳indows 7以上版本的系統(tǒng)，會(huì)嘗試與服務(wù)器建立TLS連接。若服務(wù)器側(cè)用于TLS連接的自簽名證書損壞，則會(huì)導(dǎo)致遠(yuǎn)程連接失敗。

解決該異常步驟：

（1）使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。

（2）選擇開始→管理工具→遠(yuǎn)程桌面服務(wù)，然后雙擊打開遠(yuǎn)程桌面會(huì)話主機(jī)配置

（3）選擇RDP-Tcp。在RDP-Tcp屬性窗口將安全層修改成RDP安全層。

（4）在操作欄先禁用連接，再啟用連接即可。

異常2：遠(yuǎn)程桌面會(huì)話主機(jī)配置連接被禁用。使用netstat命令查詢，發(fā)現(xiàn)端口未正常監(jiān)聽。使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例后，發(fā)現(xiàn)遠(yuǎn)程桌面RDP連接屬性配置文件被禁用。解決方法參考服務(wù)器側(cè)自簽名證書損壞找到RDP連接屬性配置文件，如果RDP-Tcp被禁用，單擊啟用連接即可。

2.9 系統(tǒng)的安全策略設(shè)置

可以查看Windows服務(wù)器上是否有阻止遠(yuǎn)程桌面連接的相關(guān)安全策略。具體操作步驟如下：

（1）使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。

（2）選擇開始→控制面板→管理工具，雙擊本地安全策略。

（3）在彈出的窗口中，單擊IP 安全策略，查看是否有相關(guān)的安全策略。

（4）如果有，右鍵單擊相關(guān)策略，選擇刪除，或雙擊該IP的安全策略來重新配置以允許遠(yuǎn)程桌面連接，然后使用再遠(yuǎn)程桌面連接。

2.10 殺毒軟件導(dǎo)致

無法連接遠(yuǎn)程桌面可能是由于第三方殺毒軟件設(shè)置導(dǎo)致。此處列舉兩個(gè)安全狗配置導(dǎo)致遠(yuǎn)程訪問失敗的案例。

案例1：安全狗程序異常。

使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例后，安全狗軟件出現(xiàn)異常，在系統(tǒng)桌面右下角彈出錯(cuò)誤提示。通過Windows系統(tǒng)卸載安全狗軟件后，重啟服務(wù)器，網(wǎng)絡(luò)即可恢復(fù)。

案例2：安全狗黑名單攔截。

異常情況：客戶端本地?zé)o法遠(yuǎn)程桌面連接Windows實(shí)例，但其他區(qū)域可以遠(yuǎn)程連接。無法PING通服務(wù)器IP地址，且通過tracert命令跟蹤路由，發(fā)現(xiàn)無法到達(dá)服務(wù)器。云盾未攔截本地公網(wǎng)IP地址。

如果安裝了安全狗后，出現(xiàn)如上情況，需檢查防護(hù)軟件中是否做了對應(yīng)的攔截或安全設(shè)置?？梢源蜷_服務(wù)器安全狗，選擇網(wǎng)絡(luò)防火墻。單擊超級黑名單的規(guī)則設(shè)置，如果黑名單中存在實(shí)例公網(wǎng)IP，則將此黑名單規(guī)則刪除，然后將公網(wǎng)IP添加到超級白名單。

2.11 服務(wù)器內(nèi)存不足

遠(yuǎn)程連接輸入用戶密碼登錄后，不能正常顯示桌面直接退出，也沒有錯(cuò)誤信息。這種情況可能是服務(wù)器內(nèi)存不足導(dǎo)致的，需要查看一下服務(wù)器的內(nèi)存使用情況。具體操作如下。

（1）使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。

（2）選擇開始→控制面板→管理工具，打開事件查看器。查看一下是否有內(nèi)存資源不足的警告日志信息。

出現(xiàn)操作系統(tǒng)虛擬內(nèi)存不足，有兩種方法檢查方法：

方法1：檢查系統(tǒng)日志。打開事件查看器（運(yùn)行→eventvwr），在系統(tǒng)日志中發(fā)現(xiàn)” Resource-Exhaustion-Detector”報(bào)出的2004錯(cuò)誤。

方法2：檢查任務(wù)管理器。

任務(wù)管理器中發(fā)現(xiàn)檢查已提交內(nèi)存與虛擬內(nèi)存的比例。%Commited Bytes In Use 等于已提交虛擬內(nèi)存/虛擬內(nèi)存上限,如果超過80%,而根據(jù)微軟官方說明，請嘗試如下方案：

方案1：由于默認(rèn)ECS沒有配置Paging File，可以手工配置paging file，按照如下步驟進(jìn)行。

參考以下步驟，在Windows系統(tǒng)中配置虛擬內(nèi)存：

（1）遠(yuǎn)程連接登錄到Windows實(shí)例，如果使用軟件無法登錄Windows實(shí)例，可以使用ECS控制臺(tái)的管理終端登錄實(shí)例。

（2）右擊計(jì)算機(jī)（或這臺(tái)電腦），單擊屬性→高級系統(tǒng)設(shè)置。

（3）在彈出的窗口中，單擊高級，在性能區(qū)域，單擊設(shè)置。

（4）在彈出的窗口中，單擊高級，選擇后臺(tái)服務(wù)，然后單擊更改。

（5）在彈出的窗口中，取消選擇自動(dòng)管理所有驅(qū)動(dòng)器的分頁文件大小。

（6）選擇虛擬內(nèi)存文件存放的驅(qū)動(dòng)器，在自定義大小中，輸入初始大小與最大值。建議不要選擇系統(tǒng)盤來存放虛擬內(nèi)存，具體根據(jù)服務(wù)器的硬盤情況來選擇。

（7）單擊設(shè)置，然后單擊確定完成配置。如果云服務(wù)器ECS內(nèi)存資源不足，增加虛擬內(nèi)存會(huì)導(dǎo)致磁盤I/O性能下降，建議通過升級實(shí)例規(guī)格解決，如升級CPU和內(nèi)存。

方案2：如果配置Paging File后，仍然出現(xiàn)內(nèi)存不足情況，有可能是應(yīng)用程序?qū)?nèi)存要求高，需增大實(shí)例規(guī)格，調(diào)高ECS的物理內(nèi)存，同時(shí)相應(yīng)的增加paging file。

3 結(jié)束語

總之，Windows云主機(jī)無法遠(yuǎn)程桌面的原因較多，其中大部分為操作系統(tǒng)設(shè)置或者服務(wù)異常導(dǎo)致，如系統(tǒng)服務(wù)未打開、端口設(shè)置錯(cuò)誤、網(wǎng)絡(luò)受限等等，有些故障原因和本地主機(jī)相似，有些則和云計(jì)算、網(wǎng)絡(luò)相關(guān)，需根據(jù)具體故障現(xiàn)象找到原因并解決。本文所列的十一種原因基本涵蓋常見的云主機(jī)無法遠(yuǎn)程桌面的故障現(xiàn)象，在日常處理中，可以根據(jù)故障現(xiàn)象分類分段，定位故障是在遠(yuǎn)程服務(wù)器系統(tǒng)網(wǎng)絡(luò)，還是在本地網(wǎng)絡(luò)、客戶機(jī)本身，針對不同故障快速處理，可以提升故障處置效率。