故障現(xiàn)象

單位的一臺(tái)Windows Server 2008 R2的服務(wù)器上啟用了遠(yuǎn)程桌面服務(wù)，這樣便于管理員遠(yuǎn)程對(duì)其進(jìn)行管理。最近在運(yùn)行“msctc.exe”程序?qū)ζ溥M(jìn)行連接時(shí)，出現(xiàn)“遠(yuǎn)程桌面由于以下原因之一無(wú)法連接到遠(yuǎn)程計(jì)算機(jī)，未啟用對(duì)服務(wù)器的遠(yuǎn)程訪問(wèn)，遠(yuǎn)程計(jì)算機(jī)關(guān)閉，在網(wǎng)絡(luò)上計(jì)算機(jī)不可用，確保打開(kāi)遠(yuǎn)程計(jì)算機(jī)，連接到網(wǎng)絡(luò)并且啟用遠(yuǎn)程服務(wù)”的提示。造成無(wú)法遠(yuǎn)程該機(jī)的情況。

故障排查

處理這樣的故障時(shí)，需要熟悉遠(yuǎn)程桌面的連接過(guò)程，才可以有針對(duì)性加以解決。

當(dāng)客戶端運(yùn)行連接程序試圖訪問(wèn)服務(wù)器時(shí)，服務(wù)器會(huì)先進(jìn)行網(wǎng)絡(luò)級(jí)別認(rèn)證，然后執(zhí)行服務(wù)器驗(yàn)證。如果服務(wù)器上開(kāi)啟了Windows防火墻的話，就必須通過(guò)防火墻的安全驗(yàn)證，才允許客戶端進(jìn)行連接。當(dāng)服務(wù)器開(kāi)啟了遠(yuǎn)程桌面后，就會(huì)開(kāi)啟TCP 3389端口，如果修改了該連接端口，必須使用新的端口進(jìn)行連接。

當(dāng)滿足以上條件后，服務(wù)器還需要對(duì)連接進(jìn)行必要的安全等級(jí)及加密等級(jí)設(shè)定，對(duì)客戶端進(jìn)行檢測(cè)。如果客戶端沒(méi)有足夠的訪問(wèn)權(quán)限，也無(wú)法進(jìn)行連接。當(dāng)用戶連接到目標(biāo)服務(wù)器后，服務(wù)器會(huì)根據(jù)本地策略機(jī)制，對(duì)用戶的登錄行為進(jìn)行管控，如果用戶違反了設(shè)定的安全策略，就會(huì)被拒之門外。

滿足了這些條件后，還需要確認(rèn)客戶端是否擁有否登錄終端服務(wù)的權(quán)限。當(dāng)用戶成功連接到遠(yuǎn)程桌面后，還需要接受系統(tǒng)對(duì)其賬戶權(quán)限的審核，只有通過(guò)了以上所有步驟，才可以順利連接到遠(yuǎn)程桌面。如果其中某些環(huán)節(jié)出現(xiàn)了問(wèn)題，就會(huì)造成無(wú)法登錄的情況。

在服務(wù)器中打開(kāi)控制面板，在系統(tǒng)屬性窗口中的“遠(yuǎn)程”面板中選擇“允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接（較不安全）”項(xiàng)，就取消了網(wǎng)絡(luò)級(jí)驗(yàn)證的管理，點(diǎn)擊“選擇用戶”按鈕，在遠(yuǎn)程桌面用戶窗口看到登錄賬戶已經(jīng)添加進(jìn)來(lái)了，這樣其就處于Remote Desktop Users組中。之后在客戶端進(jìn)行連接操作，依然出現(xiàn)以上問(wèn)題。我們知道，利用IPSec安全策略，可以對(duì)遠(yuǎn)程桌面進(jìn)行控制，例如只允許特定的IP訪問(wèn)等，如果客戶訪問(wèn)違反了預(yù)設(shè)的安全策略，自然會(huì)被系統(tǒng)拒絕。

在管理工具中點(diǎn)擊“本地安全策略”項(xiàng)。在彈出窗口左側(cè)選擇“IP安全策略”項(xiàng)，在右側(cè)雖然存在一些策略，但是其并沒(méi)有和遠(yuǎn)程桌面有關(guān)，所以可以排除因?yàn)镮PSec控制策略引發(fā)的問(wèn)題。在該機(jī)中開(kāi)啟了防火墻功能，可以提高系統(tǒng)的安全性。考慮到如果直接關(guān)閉防火墻會(huì)對(duì)系統(tǒng)造成一些不利影響，所以在控制面板中雙擊“Windows防火墻”項(xiàng)，在防火墻設(shè)置窗口左側(cè)點(diǎn)擊“允許程序通過(guò)Windows防火墻”鏈接，在彈出窗口中的“例外”面板中勾選“遠(yuǎn)程桌面”項(xiàng)，表示允許使用RDP通訊協(xié)議。勾選“安全萬(wàn)維網(wǎng)服務(wù)（HTTPS）”項(xiàng)，表示允許客戶端可以使用基于HTTPS的RDP協(xié)議訪問(wèn)服務(wù)器。

之后再次進(jìn)行了解，發(fā)現(xiàn)問(wèn)題依舊。于是干脆直接關(guān)閉了防火墻，在客戶端對(duì)該機(jī)進(jìn)行ping探測(cè)沒(méi)有任何問(wèn)題，但是仍然無(wú)法連接遠(yuǎn)程桌面，這就說(shuō)明上述問(wèn)題和防火墻配置沒(méi)有關(guān)系。當(dāng)啟用了遠(yuǎn)程桌面后，系統(tǒng)必然會(huì)開(kāi)啟相關(guān)的服務(wù)。如果這些服務(wù)運(yùn)行異常，就會(huì)造成無(wú)法連接的故障。 運(yùn) 行“services.msc”程序，在服務(wù)管理器中可以找 到Terminal Services、T e r m i n a l S e r v i c e s Configuration、Terminal Services UserMode Port Redirector等服務(wù)，這些服務(wù)的作用包括允許客戶端以互動(dòng)方式連接到服務(wù)器，處理與終端服務(wù)及遠(yuǎn)程桌面相關(guān)的設(shè)置，對(duì)連接會(huì)話進(jìn)行管理維護(hù)，提供設(shè)備重定向功能等。經(jīng)過(guò)檢測(cè)，這些服務(wù)均處于啟用狀態(tài)。

為了排除問(wèn)題，手工停止并重啟這些服務(wù)，之后再進(jìn)行連接，問(wèn)題依然沒(méi)有解決。當(dāng)客戶機(jī)和遠(yuǎn)程桌面連接時(shí)，必須通過(guò)相應(yīng)的端口才行，系統(tǒng)默認(rèn)使用TCP 3389端口，在CMD窗口中運(yùn)行“netstat -ano”命令，查看網(wǎng)絡(luò)連接狀態(tài)。在其中并沒(méi)有發(fā)現(xiàn)TCP389端口的蹤影。經(jīng)過(guò)了解，該機(jī)管理員沒(méi)有對(duì)連接端口進(jìn)行過(guò)修改。于是關(guān)閉了以上服務(wù)，執(zhí)行“netstat -ano >old.txt”命令，將連接信息保存帶“old.txt”文件中。啟用上述服務(wù)，執(zhí)行“netstat-ano >new.txt”命令，將連接信息保存帶“new.new”文件中。

之后對(duì)這兩個(gè)文本文件進(jìn)行比較，沒(méi)有發(fā)現(xiàn)和遠(yuǎn)程桌面有關(guān)的端口變動(dòng)信息，也就是說(shuō)，雖然和遠(yuǎn)程桌面相關(guān)的服務(wù)處于運(yùn)行狀態(tài)，但是連接端口卻沒(méi)有開(kāi)啟。

故障解決

看到這種情況，筆者已經(jīng)大體知道了問(wèn)題發(fā)生的原因了。因?yàn)楹瓦h(yuǎn)程桌面相關(guān)的所有信息都保存在注冊(cè)表中，如果因?yàn)槟承┰驅(qū)е逻@些信息受損的話，就會(huì)出現(xiàn)無(wú)法連接的奇怪故障。運(yùn)行“regedit.exe”程序，在注冊(cè)表編輯器中打開(kāi)“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWinStations”分支，在其中保存了和遠(yuǎn)程桌面相關(guān)的重要信息。對(duì)其進(jìn)行查看后發(fā)現(xiàn)，其中只存在名為“Console”的分支，其余內(nèi)容不翼而飛了，這明顯存在問(wèn)題。于是找了另外一臺(tái)Windos Server 208 R2的主機(jī)，將上述注冊(cè)表分支的內(nèi)容導(dǎo)出為獨(dú)立的文件（例如“rdp.reg”）。

將其復(fù)制到本機(jī)上，雙擊后導(dǎo)入注冊(cè)表，之后重新查看注冊(cè)表內(nèi)容，發(fā)現(xiàn)在上述分支中缺失的信息已補(bǔ)充完整。之后在客戶端運(yùn)行“mstsc.exe”重新連接，就可順利連接到遠(yuǎn)程桌面。這是因?yàn)椤癏KEY_LOCAL_MACHINES Y S T E MCurrent ControlSetControlT e r m i n a l S e r v e rWinStationsRDP-Tcp”分支中保存了和連接端口相關(guān)的重要信息，當(dāng)這些信息受損后，就會(huì)出現(xiàn)無(wú)法連接的奇怪故障了。

為安全起見(jiàn)，可以對(duì)連接端口進(jìn)行修改，例如將其中的“PortNumber”的值設(shè)為特定端口。當(dāng)客戶端使用遠(yuǎn)程桌面連接時(shí)，連接“終端服務(wù)器IP或者名稱：端口號(hào)”即可。