Windows 10 veya 11'de Uzak Masaüstü size "bağlantı reddedildi" mesajı verdiğinde, zaman su gibi akar ve üretkenlik düşer. Çoğu durumda sorun, biraz pratikle hızla çözülebilecek yapılandırma veya ağ ayrıntılarında yatmaktadır. Bu kılavuz pratik tekniklere, doğrulamalara ve komutlara odaklanmaktadır Sonsuz teşhislerde kaybolmadan RDP'yi yeniden canlandırdığı kanıtlanmıştır.
İşe koyulmadan önce: Uzaktaki bilgisayarın açık olduğundan, çalışan bir ağa sahip olduğundan ve herhangi bir bakım çalışması yapılmadığından emin olun. Basit bir çift yönlü ping ve 3389 portunun kontrol edilmesi Size bir öğleden sonranızı test ederek geçirtebilirler. Buradan mantıksal bir akış izleyin: RDP durumu, GPO, hizmetler, port dinleme, güvenlik duvarı, sertifikalar ve gerekirse güvenli alternatifler.
RDP "bağlantı reddedildi" gösterdiğinde hızlı tanılama
Kafanız karışmasın diye temel bilgilerle başlayın. Bağlantıyı ve ana bilgisayarın yanıt verdiğini doğrulayın. ve herhangi bir kural olup olmadığını kontrol edin Uzak masaüstü bağlantılarını engelliyorlar kayıtlara veya yönergelere dokunmadan önce.
- İstemci bilgisayardan uzak IP adresine veya ana bilgisayar adına ping atın ve tersini yapın.
- Başka bir bilgisayardan psping kullanarak 3389 portunu deneyin:
psping -accepteula <IP-remota>:3389.
Psping çıktısı size yol gösterecektir: eğer görürseniz Connecting to <IP> y (0% loss)Erişim var; eğer görünürse The remote computer refused the network connection o (100% loss), Trafik RDP hizmetine ulaşmıyor veya port bloke/meşgul.
RDP'nin etkin olup olmadığını kontrol edin (yerel ve uzak)
Hedef makineye yerel olarak giriş yapabiliyorsanız Ayarlar > Sistem > Uzak Masaüstü'nü kontrol edin ve seçeneği etkinleştirin. Test amaçlı olarak NLA'yı geçici olarak devre dışı bırakabilirsiniz. Sorunu daraltmak için (Ağ Düzeyinde Kimlik Doğrulama) seçeneğini kullanın ve her şey yolunda gittiğinde yeniden etkinleştirin. Adım adım talimatlar için bkz. Windows 10'da Uzak Masaüstünü Etkinleştirme.
Etkileşimli erişiminiz yoksa, günlüğü yerel olarak veya uzaktan kontrol edin. Anahtar değeri fDenyTSConnections'dır:
- Çalıştır'ı açın ve yazın
regedt32. - Uzak bir bilgisayara bağlanmak için: Dosya > Ağ Kayıt Defterine Bağlan… ve adını yazın.
- Git
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ServeryaHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
Si fDenyTSConnections Eğer 1 ise RDP devre dışıdır; eğer 0 ise etkindir. Bağlantılara izin vermek için bunu 0 olarak değiştirinEtkinleştirdikten sonra 1'e geri dönerse, muhtemelen ayarı geçersiz kılan bir GPO vardır. Seçeneği manuel olarak geri almanız veya yönetmeniz gerekiyorsa, nasıl yapılacağını öğrenin. Uzak Masaüstünü Devre Dışı Bırak.
Bir grup politikası RDP'yi engelliyor mu?
Sorumlu kişinin kim olduğunu görmek için Politika Sonuç Kümesi (RSoP) raporu oluşturun. Yönetici olarak bir CMD'den:
gpresult /H C:\gpresult.html
HTML'yi açın ve Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Uzak Masaüstü Hizmetleri > Uzak Masaüstü Oturum Ana Bilgisayarı > Bağlantılar'a gidin. “Kullanıcıların uzaktan bağlanmasına izin ver…” yönergesi Etkin veya Yapılandırılmamış olmalıdır; Devre Dışı ise “geçerli GPO”yu tanımlayın.
Uzaktan çalışan bir ekip için şunu kullanın: gpresult /S <nombre-equipo> /H C:\gpresult-<nombre-equipo>.htmlBiçim aynıdır ve hedefte hangi GPO'nun sorumlu olduğunu görmenizi sağlar.
Uygulanabilir OU veya kapsamdaki Grup İlkesi Nesne Düzenleyicisi'nde (veya GPMC'de) ilkeyi değiştirin. Daha sonra, güncellemeyi zorla gpupdate /force etkilenen ekipman üzerinde.
RDP dinleyicisinin gerekli hizmetleri ve durumu
Hizmetler olmadan RDP olmaz. Hem istemcide hem de sunucuda çalıştıklarını doğrular.:
- Uzak Masaüstü Hizmetleri (TermService)
- Uzak Masaüstü Hizmetleri kullanıcı modu bağlantı noktası yönlendiricisi (UmRdpService)
Bunları services.msc'de açın veya yerel/uzak PowerShell ile yönetin. Eğer durdurulduysa, onları başlatın ve tekrar deneyin.
rdp-tcp “dinleyicisinin” çalışır durumda olup olmadığını kontrol edin
Yönetici modunda PowerShell kullanımı (yerel veya Enter-PSSession -ComputerName <equipo>), mızrak qwinsta. "rdp-tcp" Dinle durumuyla görünmelidirAksi takdirde, sağlıklı bir bilgisayarın yapılandırmasını dışa aktarın:
- Sağlıklı konakta, ihracat yapar
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpbir .reg'e - Bu .reg dosyasını etkilenen bilgisayara kopyalayın.
- Etkilenen sistemde anahtarı yedekleyin ve değiştirin, ardından TermService'i yeniden başlatın:
cmd /c "reg export \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp\" C:\Rdp-tcp-backup.reg"
Remove-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force
cmd /c "regedit /s C:\<archivo>.reg"
Restart-Service TermService -Force
Daha sonra tekrar deneyin. Hala bir şey duyamıyorsanız RDP sertifikalarınızı kontrol edin..
Kendi kendine imzalanmış RDP sertifikası ve MachineKeys izinleri
MMC'yi açın ve etkilenen bilgisayarın Ekip Hesabı için Sertifikalar ek bileşenini ekleyin. Uzak Masaüstü > Sertifikalar'da kendi kendine imzalanmış sertifikayı silinTermService'i yeniden başlatın ve eklentinin yeniden oluşturulup oluşturulmadığını görmek için güncelleyin.
Eğer oluşturulmamışsa izinleri kontrol edin. C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys. Şunlara sahip olması gerekir: Builtin\Administrators = Tam Kontrol; Everyone = Okuma ve YazmaDüzeltin, servisi yeniden başlatın ve test edin.
3389 numaralı port, çatışmalar ve port değişikliği
Dinleyici varsayılan olarak 3389 olarak ayarlanmalıdır. Onaylayın veya ayarlayın HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener>\PortNumberEğer 3389 değilse 3389 girin ve TermService'i yeniden başlatın.
Çakışmaları tespit etmek için PowerShell yöneticisinde şunu çalıştırın: cmd /c "netstat -ano | find \"3389\""Bir PID dinliyorsa, işlemi bulun: cmd /c "tasklist /svc | find \"<PID>\"". TermService (ilişkili svchost) değilse, çakışmayı çözün.: diğer servis portunu değiştirin, kaldırın veya son çare olarak RDP'yi başka bir porta taşıyın ve şu şekilde bağlanın: IP:puerto (önerilmez).
Güvenlik duvarları ve erişim testi
Windows Defender Güvenlik Duvarı'nda RDP'yi etkinleştirin: Denetim Masası > Güvenlik Duvarı > Bir uygulamaya izin ver > Özel (ve yalnızca geçerliyse Genel) seçeneğinde “Uzak Masaüstü”nü seçinGelen Kuralları'nda 3389 için “Uzak Masaüstü (TCP-Giriş)” seçeneğinin etkin olduğunu onaylayın.
Diğer makinelerden kullanın psping -accepteula <IP>:3389 onaylamak Eğer bu işe yaramazsa, ara güvenlik duvarlarını da kontrol edin (kurumsal, çevre) ve IP'ye göre filtreleme yapıp yapmadığını görmek için çeşitli kaynaklardan test edin.
İnternet üzerinden erişim? Statik bir yerel IP adresi yapılandırın ve yönlendiricide doğru ana bilgisayara ait portu açın. Daha da iyisi: 3389'u ifşa etmekten kaçınmak için bir VPN kullanın İnternete bağlanın ve kesinlikle gerekmedikçe port açmayın.
Yerel ağ Genel Profildeyse, keşif ve güven kurallarını kolaylaştırmak için bunu Özel olarak değiştirin. Ağ Bağlantısı Özellikleri'nde Ağ Profili'ni Özel olarak ayarlayın ve tekrar deneyin.
Kimlik doğrulama: kimlik bilgileri, NLA, CredSSP ve izinler
“Kimlik bilgileriniz işe yaramadı” veya “Hesap uzaktan oturum açma için yetkilendirilmedi” hataları genellikle kimlik doğrulamayla ilgilidir. Kullanıcı adını (ETKİ ALANI\kullanıcı adı veya BİLGİSAYAR\kullanıcı adı) ve parolayı kontrol edinKimlik Bilgisi Yöneticisi'ndeki kimlik bilgilerini temizleyin ve parola değişikliklerinden sonra güncel olmayan girişleri önleyin. Oturum açma hatalarına özel çözümler için [ilgili bölümün bağlantısına] bakın. Uzak Masaüstü kimlik doğrulama hatası.
CredSSP'den şüpheleniyorsanız, Windows'u hem istemcide hem de sunucuda güncel tutun. GPO'da: Ekip > Yönetim Şablonları > Sistem > Kimlik Bilgisi YetkilendirmesiUygun olan durumlarda "Kaydedilen kimlik bilgilerinin yalnızca NTLM sunucu kimlik doğrulamasıyla devredilmesine izin ver" seçeneğini etkinleştirin. Alternatif olarak, kayıt defterinde: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System oluştur/değiştir AllowEncryptionOracle (DWORD) değerini 2'ye ayarlayın.
Yerel gruptaki kullanıcı üyeliğini doğrulayın Uzak Masaüstü Kullanıcıları (veya bir etki alanındaysanız AD'deki politikalar). Seçenekleri daraltmak için NLA'yı geçici olarak devre dışı bırakın ve test edin; işe yararsa yeniden etkinleştirin ve izinleri/kimlik bilgilerini ayarlayın.
DNS ve ana bilgisayar adları
Eğer isimle bağlanıyorsanız ve DHCP IP adresini değiştirmişse yanlış siteye gidiyor olabilirsiniz. İstemcideki DNS önbelleğini temizleyin ipconfig /flushdns Deneyin. Hala aynıysa, IP adresiyle bağlanın veya ağ bağdaştırıcınızın hangi DNS sunucusunu kullandığını kontrol edin ve gerekirse düzeltin.
Windows 11 24H2: RDP oturum kilitlenmeleri bildirildi
Bazı ortamlarda, hipervizörlerde Windows 11 24H2 çalıştıran ana bilgisayarlara bağlanırken, Oturum açıldığında RDP oturumu donuyor ve yalnızca yeniden başlatmanın ardından kurtarılır. 2314, 2605 ve 2894 yama seviyelerinden sonra bile sorunlar bildirilmiştir. Yama notlarını izleyin, her iki uçtaki Olay Görüntüleyicisi'ni kontrol edin ve varsa grafik optimizasyonlarını/oturum sanallaştırmayı geçici olarak devre dışı bırakmayı düşünün. kesin bir yama bunu düzeltene kadar.
RDP "Lütfen bekleyin"de takılı kaldı: pratik çözümler
Oturum tıkandığında katmanlar halinde saldırın. İlk olarak RDP hizmetini ve istemci oturumunu yeniden başlatın:
- mstsc'yi kapat:
taskkill /F /IM mstsc.exe. - TermService'i yeniden başlatın:
net stop termservice && net start termservice.
Bozuk bir profil olup olmadığını anlamak için başka bir hesap kullanmayı deneyin. Diğer hesap başarılı bir şekilde giriş yaparsa sorunlu profili onarın veya yeniden oluşturun. (önbellekler, kullanıcı klasörü, vb.)
Çakışan yazılımları elemek için temiz önyükleme gerçekleştirin (sadece minimum hizmetler ve sürücüler). Eğer başlatmayı temizlemek işe yararsa, suçluyu bulana kadar yeniden etkinleştirmeye devam edin..
Oturumları sınırlayan politikaları inceleyin ve senaryonuz gerektiriyorsa birden fazla oturumu etkinleştirin. Bunların hiçbiri işe yaramazsa, ana bilgisayarı yeniden başlatın ve bir destek bileti açın Size zaman kazandırabilir.
Diğer yaygın nedenler ve bunların nasıl çözüleceği
SSL/TLS sertifikaları: İstemci sunucunun CA'sına güvenmiyorsa veya sertifikanın süresi dolmuşsa uyarılar veya hatalar görürsünüz. İstemciye kök sertifikayı yükleyin (certmgr.msc) ve ana bilgisayardaki "Uzak Masaüstü Hizmetleri > Sertifikalar" bölümünde sertifikayı doğrulayın ve uygunsa yenileyin.
Kapasite/lisanslar: Masaüstü sürümlerinde yalnızca bir etkin oturum bulunur; Windows Server'da, RDS CAL olmadan, iki yönetici oturumuyla sınırlısınız. Yeterli CAL'ınız olduğundan emin olun veya kullanılabilir hale gelene kadar bekleyin eğer eşzamanlılık sınırlaması varsa.
Bant genişliği/gecikme: düşük çözünürlük, renk derinliği ve efektler (RDP Müşteri Deneyimi sekmesinden). Ağı işgal eden uygulamaları kapatın ve Wi-Fi yerine kablolu bağlantılara öncelik verin. eğer oturum dalgalıysa.
Ağ sürücüleri: Güncel olmayan bir NIC sürücüsü nadir hatalara neden olur. Aygıt Yöneticisi'nden veya üreticinin web sitesinden güncelleyin. Hayali bağlantı kesintilerini önlemek için.
VPN ve kişisel sertifikalar: Birçok şirket önceden VPN ve geçerli kişisel sertifikalar (FNMT, kurumsal kartlar) ister. Sertifikanın süresi dolmuşsa/iptal edilmişse/kaybolmuşsa yeni bir tane edinin ve VPN'in RDP'ye izin verdiğini doğrulayın. politikaya göre.
RDP taşıması için kayıt: İstemcide, şunu oluşturun: HKCU\Software\Microsoft\Terminal Server Client > DWORD RDGClientTransport = 1. Bu, alternatif bir ulaşım modunu zorunlu kılıyor Belirli senaryoları kaydedebilen.
Güvenlik: RDP'yi kırmadan sertleştirin
NLA: Her şey çalışıyorken oturumu oluşturmadan önce kimlik doğrulamayı zorlamak için bu özelliği etkin tutun. Kaba kuvvete ve DoS'a karşı yüzey alanını azaltır.
TLS/SSL ve güçlü şifreleme: Geçerli sertifikalar ve sağlam politikalar kullanın. FIPS yönergesi güçlü kriptografiyi (uyumlu ortamlarda TLS 1.3 dahil) zorunlu kılarAncak uyumluluk konusunda dikkatli olun; ön prodüksiyonda test edin.
VPN/segmentasyon: 3389'un internete açılmasını engeller. Özel ağlara veya IPSec/SSH tünellerine erişimi kısıtlar ve güvenlik duvarında IP'ye göre filtreleme yapar.
Varsayılan portu değiştirin: Tarama gürültüsünü azaltmanız gerekiyorsa, bunun gerçek bir güvenlik olmadığını bilerek 3389'dan geçin. Bunu ACL'ler, MFA ve izlemeyle birleştirin.
RDP Ağ Geçidi ve MFA: Çok faktörlü kimlik doğrulamayı merkezileştirir ve ekler. Kullanıcı için işleri zorlaştırmadan güvenlik çıtasını yükseltin.
Hijyen: Güncel yamalar, güçlü parolalar, en az ayrıcalık ilkesi ve denetim. Temel bilgiler çoğu korkuyu önlerEk önlemler için lütfen inceleyin kötü amaçlı yazılımlara ve bilgisayar korsanlığına karşı güvenlik.
Windows Home ve RDP Wrapper: cazip kısayol, gerçek risk
RDP Wrapper, RDP yığınının etrafında bir wrapper (rdpwrap.dll) oluşturarak RDP ana bilgisayarını Home sürümlerinde "etkinleştirir". Microsoft tarafından desteklenmiyor, güncellemelerle bozulabiliyor ve lisansla çakışıyor..
Riskler: Güncellemelerden sonra istikrarsızlık, antivirüs yazılımlarından kaynaklanan yanlış pozitif sonuçlar ve güncel tutulmadığı takdirde ortaya çıkabilecek potansiyel güvenlik açıkları. Şirketlerde ve düzenlenmiş ortamlarda kullanımı önerilmez. güvenlik ve uyumluluk için.
Ayrıca, tak-çalıştır özelliği yoktur: "Dinleyici durumu: desteklenmiyor" gibi hatalar, vikilerin ve topluluk yamalarının düzenlenmesini gerektirir. Üretim için desteklenen alternatifleri tercih etmek veya Pro/Enterprise lisansını almak en iyisidir.Ne kontrol et Windows sürümleri Uzak Masaüstünü içermez.
Bir profesyonel gibi otomatikleştirin ve teşhis edin
Olay görüntüleyicisi: Arıza anında her iki uçtaki günlükleri kontrol edin; örneğin 0x204 kodu size ipucu verecektir. Hatanın gerçeği çoğu zaman burada yatar..
RSoP ve GPO: kullanımı gpresult Hangi yönergenin yürürlükte olduğunu görmek için GPMC/GPE'de düzeltin ve yürütün gpupdate /force. Geriye dönük ayarlamalarla sonsuz tartışmalardan kaçının.
Yararlı scriptler (bunları yönetici olarak çalıştırın, uyarı: devam eden oturumları kesintiye uğratabilirler): ağ sıfırlama netsh int ip reset && netsh winsock reset; istemciyi temizleyin ve RDS'yi yeniden başlatın taskkill /F /IM mstsc.exe && net stop termservice && net start termservice.
Daha eski RDS sunucularında, Uzak Masaüstü Hizmetleri Tanılama Aracı (2012/2012 R2) rol ve lisanslama darboğazlarının belirlenmesine yardımcı olur.
Yönlendirici, NAT ve ağ profili
LAN üzerinde RDP, güvenlik duvarı izin veriyorsa, ana bilgisayarın yerel IP adresini kullanarak İnternet olmadan çalışır. Ağın dışında VPN kullanın veya portları dikkatli bir şekilde açın/yönlendirin.NAT'ın dalgalanmaması için cihazın sabit bir yerel IP adresine (statik veya manuel DHCP) sahip olduğundan emin olun.
Profil Herkese Açık ise, takım kendini "gizleyebilir". Keşfe ve daha az kısıtlayıcı kurallara izin vermek için bunu Özel olarak ayarlayın güvenilir ortamlarda.
RDP uygulanabilir olmadığında alternatifler
Yukarıdaki tüm işlemlerden sonra RDP hala arızalıysa veya portlar ve sertifikalarla "sıfır sorun" yaşamak istiyorsanız, uzaktan erişim yazılımını düşünün. RealVNC Connect, TeamViewer, AnyDesk veya AnyViewer Bulut aracısı, SSO/MFA ile çoklu platform erişimi ve altta yatan ağa daha az bağımlılık sunarlar.
Gözetimsiz destek ve kolay kurulum için AnyViewer ve AirDroid Uzaktan Destek Karmaşık kurulumlara gerek kalmadan sohbet, ekran paylaşımı ve uzaktan kontrol olanağı sağlarlar. Sadece bağlanmak ve çalışmak istediğinizde kullanışlıdırEntegre çözümleri tercih ediyorsanız, şuraya göz atın: Chrome Remote Desktop.
"RDP reddedildi" hatasını düzeltmek nadiren sihirli bir işlemdir: genellikle gözden kaçan bir ayar, meşgul bir port, inatçı bir GPO veya süresi dolmuş bir sertifikadır. Kontrollerin mantıksal sırasını izleyerek:RDP ve GPO durumu, servisler ve dinleyici, portlar ve güvenlik duvarı, kimlik doğrulama ve sertifikalar, psping ve netstat ile testler— Erişiminizi hızla geri kazanacaksınız. Durum devam ederse veya güvenlik çok önemliyse, VPN, NLA, RD Ağ Geçidi ve MFA ile uzaktan erişim alternatiflerinin, uzaktan sorunsuz çalışmanız için en iyi müttefikleriniz olduğunu unutmayın.
