在 Windows Server 2008 R2 上,我尝试使用远程桌面连接工具。像往常一样,我输入远程主机的 IP 地址并单击连接。
然而,这一次,该工具停留在“启动连接”状态,然后失败并出现以下错误:
Remote Desktop can't connect to the remote computer for one of these reasons:
1) Remote access to the server is not enabled
2) The remote computer is turned off
3) The remote computer is not available on the network
Make sure the remote computer is turned on and connected to the network, and that remote access is enabled.
乍一看,这似乎是网络问题。但以下是一些事实:
- Windows 防火墙已完全禁用。
- 我可以成功 ping 远程主机。
- 我甚至可以访问远程主机管理员共享
\\<REMOTE_HOST>\C$ - 即使在本地网络上也会失败。
最奇怪的是,如果我在主机上启动 Wireshark 捕获,则会出现没有 RDP 数据包传出。因此应用程序甚至没有尝试网络连接。
任何想法?
答案1
确保您在端口 3389 上同时监视 TCP 和 UDP 数据包,并验证它们是否从您的客户端(远程终端)发送到服务器(您要远程管理的系统)。此外,不要禁用 Windows 防火墙,而是将这些端口设置为双向传输流量 - 请记住,禁用的防火墙通常是关闭的防火墙,而不是打开的防火墙。
此外,您还应在目标上安装并启动终端管理工具集;这将运行构建 RDP 的终端服务。这将允许 3 个并发连接(2 个用户和 1 个管理员或“控制台”连接)。如果您需要更多,则需要安装和配置终端服务作为实际的服务器角色,并相应地对其进行许可。
在 PowerShell 中,您可以按如下方式检查终端服务的存在和状态:
[SERVERNAME] C:\Users\gerhard> get-service TermService
Status Name DisplayName
------ ---- -----------
Running TermService Terminal Services
一旦验证其正在运行,请尝试从客户端连接到您的主机。
C:\Users\gerhard\Desktop> mstsc /v:SERVERNAME
如果您正在运行 Wireshark,此时您应该会看到 UDP 和 TCP 数据包在端口 3389 上来回传递 - 我建议过滤这些端口以清除所有其他流量,或者以对话模式跟踪它。(如果您有带外或控制台访问权限,您还可以在目标上运行 Wireshark,并验证它们在那一端来回传递。)如果任一系统未显示它们,则说明防火墙挡住了路。
请告诉我们您发现了什么!祝您好运。
答案2
交换机上有针对此特定端口(TCP 3389)的访问列表,而且 Wireshark 在端口 3389 上有一个全局过滤器。