我有点困惑 - 我们不再能够通过远程桌面访问我们的某个域控制器,而过去我们一直都可以这样做。这台机器是一台虚拟机,我可以通过 VMware 访问其控制台。这台机器运行的是 Windows Server 2012。周末唯一改变的是应用了 Windows 更新。
我查看了 Windows 防火墙,发现“域配置文件”的 Windows 防火墙已关闭。对于“私有配置文件”,Windows 防火墙已打开,不匹配规则的入站连接将被阻止,不匹配规则的出站连接将被允许。它表明公共配置文件处于活动状态 - Windows 防火墙已打开,不匹配规则的入站连接将被阻止,不匹配规则的出站连接将被允许。
查看入站规则,我看到以下四 (4) 条规则:
- 远程桌面 - 用户模式 (TCP-In);配置文件:公共;启用:否;操作:允许;覆盖:否
- 远程桌面 - 用户模式 (TCP-In);配置文件:域,私人;启用:是;操作:允许;覆盖:否
- 远程桌面 - 用户模式 (UDP-In);配置文件:域,私人;启用:是;操作:允许;覆盖:否
- 远程桌面 - 用户模式 (UDP-In);配置文件:公共;启用:否;操作:允许;覆盖:否
如果我只是启用第一条规则(即防火墙的公共配置文件),那么我就可以成功地从我的域工作站远程桌面进入服务器。但为什么呢?第二条规则应该可以让我们从域工作站进入。
我感谢您提供的任何见解。
答案1
这里有很多可能出错的地方,但解决问题所需的步骤并不复杂,以至于这个答案对于超级用户来说太宽泛了。
我们要做的第一件事是下载x86 版本的 paping。在您将 paping 解压到的文件夹中打开命令提示符,或者将 paping 放在 C:\Windows\System32(推荐)文件夹中,以便您可以在打开新命令提示符时随时启动 paping。
Paping 允许您根据 IP 地址和端口测试任何端口,以查看端口是否打开且服务是否在其后面运行。这对于快速测试更改和显著加快故障排除阶段至关重要。
安装 paping 后,请排列您的屏幕,以便您在左侧看到虚拟机,在右侧看到命令提示符。在命令提示符中,启动到您的服务器的 paping。假设您的服务器位于 192.168.1.10,并且您使用标准 RDP 端口 3389,您的 paping 命令将如下所示:
paping 192.168.1.10 -p 3389
在 paping 运行时,要么出现一条红线,表示超时,要么出现一条绿线,表示 ping 成功。只要 paping 返回红色,则端口/IP 地址错误,或者服务器阻止了连接,但无论哪种情况,问题都出在服务器端。如果它变成绿色,但您无法连接,则问题出在其他地方。
鉴于它始终有效,我假设您收到了红色超时消息。
保持开放并尝试,同时测试以下事项:
- 完全禁用 Windows 防火墙。如果防火墙变成绿色,则问题与防火墙有关。
- 重新启动远程桌面服务。如果这是问题所在,它将从红色变为绿色并保持绿色。
- 是否安装了不同类型的防火墙,或者在多次登录失败后自动禁止 IP 地址的服务?(rdp guard、rdp defender 等)这些通常与 Windows 防火墙一起使用,并且应该在禁用 Windows 防火墙时绕过。
- 仔细检查有关远程桌面的所有设置。它是否仍处于启用状态?它是否仍设置为曾经配置的端口,还是以某种方式重置为默认端口 3389?或者也许有人将其更改为其他端口并忘记提及?
如果以上方法都无法解决问题,请尝试直接从虚拟机主机向其客户机发送消息,并尝试重新启动服务器本身。
关于 Windows 防火墙的一些注意事项。- 如果网卡驱动程序已更新,连接可能会从私有变为公共。您可以尝试重新连接网络以使其再次处于私有状态。- 启用对私有和公共网络的 RDP 访问永远不是一个坏习惯,这样即使连接以某种方式从私有变为公共,它仍然可以工作。
假设您可以从工作站进行 Ping,结果为绿色,但仍然无法通过 RDP 连接到它。您使用的 IP 地址和端口是否正确?您是否尝试通过 DNS 或主机名进行连接,并且这是否转换为正确的 IP 地址?如果您使用客户端通常使用的域名,并且您现在处于内部,您是否启用了发夹式网络地址转换,以便您的路由器真正理解连接是向内的,而不是向外的?
最后一段很可能不适用,但我把它写下来是为了让内容详尽。
答案2
对我来说,问题是组策略中的 Windows 防火墙被强化脚本打开了。右键单击它并单击“清除策略”即可解决问题
尽管组策略防火墙内的每个项目都显示“未配置”,但还是发生了这种情况。无论如何,上面的操作清除了这个问题,然后我就可以正常使用 RDP 了。