Condividi tramite

Desktop remoto disconnesso o non può connettersi al computer remoto o al server Desktop remoto (Terminal Server) che esegue Windows Server 2003

Questo articolo illustra le impostazioni più comuni che influiscono sulla definizione di una sessione di Servizi terminal in un ambiente aziendale.

Si applica a: Windows Server 2003
Numero KB originale: 2477023

Terminal Server

Un Terminal Server è il server che ospita programmi basati su Windows o il desktop completo di Windows per i client Terminal Services. Gli utenti possono connettersi a Terminal Server per eseguire programmi, salvare i file e usare le risorse di rete in tale server. Gli utenti possono accedere a un Terminal Server da una rete aziendale o da Internet.

Connessioni remote per scopi amministrativi

Servizi terminal supporta due connessioni remote simultanee al computer. Per queste connessioni non sono necessarie licenze di accesso client (CAL TS) di Servizi terminal.

Per consentire più di due connessioni amministrative o più connessioni utente, è necessario installare il ruolo Servizi terminal e avere licenze CAL TS appropriate.

Risolvere i problemi relativi alla definizione di una sessione di Servizi terminal

Le sezioni seguenti descrivono i problemi che possono verificarsi e forniscono soluzioni.

È possibile limitare il numero di utenti che possono connettersi simultaneamente a una sessione di Servizi terminal

Un numero limitato di connessioni RDP può essere dovuto a criteri di gruppo non configurati correttamente o alle proprietà RDP-Tcp nella configurazione di Servizi terminal. Per impostazione predefinita, la connessione è configurata per consentire a un numero illimitato di sessioni di connettersi al server. Quando si tenta di effettuare una connessione Desktop remoto (RDC), viene visualizzato l'errore seguente:

Desktop remoto disconnesso.
Questo computer non riesce a connettersi al computer remoto.
Provare a eseguire di nuovo la connessione. Se il problema persiste, contattare il proprietario del computer remoto o l'amministratore di rete.

Verificare che Desktop remoto sia abilitato

  1. Avviare lo strumento Di sistema. Per avviare lo strumento Sistema, fare clic su Start> Pannello di controllo> Icona del sistema e quindi fare clic su OK.
  2. Fare clic sulla scheda Remote (Remoto ). In Desktop remoto fare clic sulla casella di controllo Abilita Desktop remoto in questo computer .

Verificare che il numero di criteri di connessione dei servizi terminal sia limitato

  1. Avviare lo snap-in Criteri di gruppo, aprire i criteri di sicurezza locali o i Criteri di gruppo appropriati
  2. Passare al percorso: Configurazione computer locale Configurazione>computer>Modelli>amministrativi Componenti di Windows Servizi>terminal Limita il numero di connessioni.
  3. Fare clic su Enabled (Abilitato).
  4. Nella casella TS Maximum Connections allowed (Connessioni massime TS consentite ) digitare il numero massimo di connessioni consentite e quindi fare clic su OK.

Verificare le proprietà RDP-Tcp di Servizi terminal e impostare tramite la configurazione di Servizi terminal

  1. Fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su **Configurazione servizi terminal.
  2. Nell'albero della console fare clic su Connessioni.
  3. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sulla connessione per cui si desidera specificare un numero massimo di sessioni, quindi scegliere Proprietà.
  4. Nella scheda Scheda di rete fare clic su Numero massimo di connessioni, digitare il numero massimo di sessioni che possono connettersi al server e quindi fare clic su Applica.

Verificare i diritti di accesso di Servizi terminal e configurare il gruppo Utenti Desktop remoto

Il gruppo Utenti Desktop remoto in un Terminal Server viene usato per concedere a utenti e gruppi l'autorizzazione per la connessione remota a un Terminal Server.

È possibile aggiungere utenti e gruppi al gruppo Utenti Desktop remoto nei modi seguenti:

  • Snap-in Utenti e gruppi locali
  • Nella scheda Remoto della finestra di dialogo Proprietà di sistema in un server Host sessione Desktop remoto
  • Utenti e computer di Active Directory snap-in, se il server Host sessione Desktop remoto è installato in un controller di dominio

È possibile utilizzare la procedura seguente per aggiungere utenti e gruppi al gruppo Utenti Desktop remoto usando la scheda Remote nella finestra di dialogo Proprietà di sistema in Terminal Server.

L'appartenenza al gruppo Administrators locale, o equivalente, nel Server Terminal che si prevede di configurare, è il requisito minimo necessario per completare questa procedura.

Aggiungere utenti e gruppi al gruppo Utenti Desktop remoto usando la scheda Remote

  1. Avviare lo strumento Di sistema. Per avviare lo strumento Sistema, fare clic su Start> Pannello di controllo> Icona del sistema e quindi fare clic su OK.
  2. Nella scheda Remote della finestra di dialogo Proprietà sistema fare clic su Seleziona utenti remoti. Aggiungere gli utenti o i gruppi che devono connettersi a Terminal Server. Gli utenti e i gruppi aggiunti vengono aggiunti al gruppo Utenti Desktop remoto.

Se non si seleziona Consenti agli utenti di connettersi in remoto a questo computer nella scheda Remoto , nessun utente sarà in grado di connettersi in remoto a questo computer, anche se sono membri del gruppo Utenti Desktop remoto.

Aggiungere utenti e gruppi al gruppo Utenti Desktop remoto usando lo snap-in Utenti e gruppi locali

  1. Fare clic su Avvia>strumenti di amministrazione, aprire Gestione computer.
  2. Nell'albero della console fare clic sul nodo Utenti e gruppi locali.
  3. Nel riquadro dei dettagli fare doppio clic sulla cartella Gruppi .
  4. Fare doppio clic su Utenti Desktop remoto e quindi su Aggiungi.
  5. Nella finestra di dialogo Seleziona utenti fare clic su Posizioni per specificare il percorso di ricerca.
  6. Fare clic su Tipi di oggetto per specificare i tipi di oggetti da cercare.
  7. Digitare il nome da aggiungere nella casella Immettere i nomi degli oggetti da selezionare (esempi).
  8. Fare clic su Controlla nomi.
  9. Quando si trova il nome, fare clic su OK.

Nota

  • Non è possibile connettersi a un computer in stato di sospensione o ibernazione, quindi assicurarsi che le impostazioni per la sospensione e l'ibernazione nel computer remoto siano impostate su Mai. L'ibernazione non è disponibile in tutti i computer. Per informazioni su come apportare tali modifiche, vedere Modificare, creare o eliminare un risparmio energia (schema).
  • I membri del gruppo Administrators locale possono connettersi anche se non sono elencati.

È possibile che si verifichi un conflitto di assegnazione porta

Questo problema potrebbe indicare che un'altra applicazione in Terminal Server usa la stessa porta TCP di Remote Desktop Protocol (RDP). La porta predefinita assegnata a RDP è 3389.

Per risolvere questo problema, determinare quale applicazione usa la stessa porta di RDP. Se non è possibile modificare l'assegnazione di porta per tale applicazione, modificare la porta assegnata a RDP modificando il Registro di sistema. Dopo aver modificato il Registro di sistema, è necessario riavviare il servizio Servizi terminal. Dopo aver riavviato il servizio Servizi terminal, verificare che la porta RDP sia stata modificata correttamente.

Disponibilità del listener terminal Server

Il componente listener viene eseguito su Terminal Server ed è responsabile dell'ascolto e dell'accettazione di nuove connessioni client RDP (Remote Desktop Protocol), consentendo così agli utenti di stabilire nuove sessioni remote nel Terminal Server. È disponibile un listener per ogni connessione di Servizi terminal presente nel Server Terminal. Le connessioni possono essere create e configurate tramite lo strumento di configurazione di Servizi terminal.

Per eseguire queste attività, fare riferimento alle sezioni seguenti.

Determinare quale applicazione usa la stessa porta di RDP

È possibile eseguire lo strumento netstat per determinare se la porta 3389 (o la porta RDP assegnata) viene usata da un'altra applicazione in Terminal Server.

  1. In Terminal Server fare clic su Start, fare clic su Esegui, digitare cmde quindi fare clic su OK.
  2. Al prompt dei comandi digitare netstat -a -o e quindi premere INVIO.
  3. Cercare una voce per la porta TCP 3389 (o la porta RDP assegnata) con lo stato In ascolto. Ciò indica che un'altra applicazione usa questa porta. Il PID del processo o del servizio che utilizza la porta è visualizzato nella colonna PID.

Per determinare quale applicazione usa la porta 3389 (o la porta RDP assegnata), usare lo strumento da riga di comando tasklist insieme alle informazioni PID dello strumento netstat.

  1. In Terminal Server fare clic su Start, fare clic su Esegui, digitare cmde quindi fare clic su OK.
  2. Digitare tasklist /svc e quindi premere INVIO.
  3. Cerca una voce per il numero PID associato alla porta (fornito dall'output di netstat). I servizi o i processi associati a tale PID verranno visualizzati a destra.

Modificare la porta assegnata a RDP

È necessario determinare se l'applicazione può usare una porta diversa. Se non è possibile modificare la porta dell'applicazione, sarà necessario modificare la porta assegnata a RDP.

Importante

Microsoft non consiglia di modificare la porta assegnata a RDP.

Se è necessario modificare la porta assegnata a RDP, è necessario modificare il Registro di sistema.

Per eseguire questa procedura, è necessario avere l'appartenenza al gruppo Administrators locale oppure è necessario aver delegato l'autorità appropriata.

Per modificare la porta assegnata a RDP, seguire questa procedura:

Attenzione

È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di tutti i dati con valori.

  1. In Terminal Server aprire Editor del Registro di sistema. Per aprire l'editor del Registro di sistema, fare clic su Start, fare clic su Esegui, digitare regedite quindi fare clic su OK.

  2. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

RDP-TCP è il nome di connessione predefinito. Per modificare la porta per una connessione specifica in Terminal Server, selezionare la connessione sotto la chiave WinStations.

  1. Nel riquadro destro fare doppio clic sulla voce del Registro di sistema PortNumber .
  2. Digitare il numero di porta da assegnare a RDP nella casella Dati valore. PortNumber viene immesso come valore esadecimale.
  3. Fare clic su OK per salvare la modifica e quindi chiudere l'editor del Registro di sistema.
  4. Riavviare Terminal Server.

Verificare che la porta RDP sia stata modificata

Per verificare che l'assegnazione di porta RDP sia stata modificata, usare lo strumento netstat.

  1. In Terminal Server fare clic su Start, fare clic su Esegui, digitare cmde quindi fare clic su OK.
  2. Al prompt dei comandi digitare netstat -a e quindi premere INVIO.
  3. Cercare una voce per il numero di porta assegnato a RDP. La porta dovrebbe essere visualizzata nell'elenco e avere lo stato In ascolto.

Connessione Desktop remoto e Client Web Terminal Server usano la porta 3389, per impostazione predefinita, per connettersi a un Terminal Server. Se si modifica la porta RDP in Terminal Server, sarà necessario modificare la porta usata da Connessione Desktop remoto e client Web Terminal Server.

Verificare che il listener nel Terminal Server funzioni correttamente

Nota

RDP-TCP è il nome di connessione predefinito e 3389 è la porta RDP predefinita. Usare il nome della connessione e il numero di porta specifici per la configurazione di Terminal Server.

  • Metodo 1: usare un client RDP, ad esempio Connessione Desktop remoto, per stabilire una connessione remota al server Terminal.

  • Metodo 2: usare lo strumento qwinsta per visualizzare lo stato del listener in Terminal Server.

    1. In Terminal Server fare clic su Start, fare clic su Esegui, digitare cmde quindi fare clic su OK.
    2. Al prompt dei comandi digitare qwinsta e quindi premere INVIO.
    3. Lo stato della sessione RDP-TCP deve essere Listen.

  • Metodo 3: usare lo strumento netstat per visualizzare lo stato del listener in Terminal Server.

    1. In Terminal Server fare clic su Start, fare clic su Esegui, digitare cmde quindi fare clic su OK.
    2. Al prompt dei comandi digitare netstat -a e quindi premere INVIO.
    3. La voce per la porta TCP 3389 deve essere In ascolto.

  • Metodo 4: usare lo strumento telnet per connettersi alla porta RDP nel Server Terminal.

    1. Da un altro computer fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
    2. Al prompt dei comandi digitare telnet <servername> 3389, dove <nomeserver è il nome del server> Terminal e quindi premere INVIO.

    Se telnet ha esito positivo, si riceverà la schermata telnet e un cursore.

    Se telnet non riesce, verrà visualizzato questo errore:

    Connessione a nomeserver... Impossibile aprire la connessione all'host sulla porta 3389: Connessione non riuscita

    Gli strumenti qwinsta, netstat e telnet sono inclusi anche in Windows XP. È anche possibile scaricare e usare altri strumenti di risoluzione dei problemi, ad esempio Portqry.

È possibile che si disponga di un'impostazione di autenticazione e crittografia configurata in modo non corretto

Configurazione dell'autenticazione e della crittografia tramite la configurazione di Servizi terminal

  1. In Strumenti di amministrazione aprire Configurazione di Servizi terminal.

  2. Nell'albero della console fare clic su Connessioni.

  3. Nel riquadro Dettagli fare clic con il pulsante destro del mouse sulla connessione da modificare e quindi scegliere Proprietà.

  4. Nella scheda Generale, nel livello Sicurezza, selezionare un metodo di sicurezza. Il metodo di sicurezza selezionato determina se il server Terminal è autenticato nel client e il livello di crittografia che è possibile usare. È possibile selezionare tra questi metodi di sicurezza:

    • Il metodo Negotiate usa TLS 1.0 per autenticare il server, se TLS è supportato. Se TLS non è supportato, il server non viene autenticato.

    • Il metodo RDP Security Layer usa la crittografia nativa di Remote Desktop Protocol per proteggere le comunicazioni tra il client e il server. Se si seleziona questa impostazione, il server non viene autenticato.

    • Il metodo SSL richiede l'uso di TLS 1.0 per autenticare il server. Se TLS non è supportato, la connessione non riesce. Questo metodo è disponibile solo se si seleziona un certificato valido, come descritto nel passaggio 6.

      Se si seleziona Negotiate o SSL per il corretto funzionamento di TLS, è necessario impostare anche il livello di crittografia su Alto oppure abilitare la crittografia conforme a FIPS usando Criteri di gruppo o Configurazione terminal server. Devono essere soddisfatti anche altri requisiti di configurazione del server e del client. Per altre informazioni sui requisiti e sulle attività per la configurazione di Terminal Server per supportare l'autenticazione TLS, vedere Configurazione dell'autenticazione e della crittografia.

  5. In Livello di crittografia fai clic sul livello desiderato. Puoi selezionare Basso, Compatibile con client, Alto o Conforme FIPS. Per altre informazioni su questi livelli, vedere le note alla fine di questo argomento.

  6. Per usare TLS 1.0 per autenticare il server, in Certificato fare clic su Sfoglia, fare clic su Seleziona certificato e quindi sul certificato da usare. Il certificato deve essere un certificato X.509 con una chiave privata corrispondente. Per istruzioni su come verificare se il certificato ha una chiave privata corrispondente, vedere le note alla fine di questo argomento.

  7. Per specificare che i client accedono a Terminal Server digitando le credenziali nella finestra di dialogo di accesso di Windows predefinita, selezionare la casella di controllo Usa interfaccia di accesso Windows standard.

Nota

  • Per eseguire questa procedura, è necessario essere un membro del gruppo Administrators nel computer locale oppure avere ricevuto in delega l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che i membri del gruppo Amministratori di dominio siano in grado di eseguire questa procedura. Come procedura consigliata per la sicurezza, provare a usare RunAs per eseguire questa procedura.
  • Per aprire Configurazione servizi terminal, fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Configurazione servizi terminal.
  • Tutte le impostazioni del livello di crittografia configurate in Criteri di gruppo sostituiscono la configurazione impostata tramite lo strumento di configurazione di Servizi terminal. Inoltre, se si abilita l'impostazione Crittografia di sistema: usare algoritmi fiPS conformi per l'impostazione di Criteri di gruppo di crittografia, hash e firma , questa impostazione sostituisce l'impostazione Imposta livello di crittografia connessione client.
  • Quando si modifica il livello di crittografia, il nuovo valore impostato viene applicato al successivo accesso di un utente. Se sono necessari più livelli di crittografia in un server, installa più schede di rete e configura ciascuna scheda separatamente.
  • Per verificare che il certificato disponga di una chiave privata corrispondente, in Configurazione servizi terminal fare clic con il pulsante destro del mouse sulla connessione per cui si desidera visualizzare il certificato, fare clic sulla scheda Generale, scegliere Modifica, fare clic sul certificato da visualizzare e quindi scegliere Visualizza certificato. Nella parte inferiore della scheda Generale verrà visualizzata l'istruzione Si dispone di una chiave privata corrispondente a questo certificato . Puoi visualizzare queste informazioni anche usando lo snap-in Certificati.
  • L'impostazione conforme a FIPS (crittografia di sistema: usare algoritmi conformi FIPS per la crittografia, l'hashing e l'impostazione di firma in Criteri di gruppo o l'impostazione conforme FIPS in Configurazione terminal Server) crittografa e decrittografa i dati inviati dal client al server e dal server al client, con gli algoritmi di crittografia FIPS (Federal Information Processing Standard) 140-1, utilizzando i moduli di crittografia Microsoft. Per altre informazioni, vedere Terminal Services in Windows Server 2003 Technical Reference (Informazioni di riferimento tecnico su Servizi terminal in Windows Server 2003).
  • L'impostazione Alto crittografa i dati inviati dal client al server e dal server al client usando la crittografia avanzata a 128 bit.
  • L'impostazione Compatibile con client crittografa i dati inviati tra il client e il server con il massimo livello di sicurezza della chiave supportato dal client.
  • L'impostazione Basso crittografa i dati inviati dal client al server usando la crittografia a 56 bit.

Non è possibile disconnettere completamente una connessione Terminal Server

Dopo che un client Terminal Server perde la connessione a un Terminal Server, la sessione sul Terminal Server potrebbe non passare a uno stato disconnesso, ma potrebbe rimanere attiva anche se il client è fisicamente disconnesso dal Terminal Server. Se il client accede nuovamente allo stesso Terminal Server, potrebbe essere stabilita una nuova sessione e la sessione originale potrebbe rimanere attiva.

Per risolvere il problema, seguire questa procedura:

  1. Fare clic su Start, fare clic su Esegui, digitare gpedit.msc e quindi fare clic su OK.
  2. Espandere Configurazione computer, modelli amministrativi, componenti di Windows e quindi fare clic su Servizi terminal.
  3. Nel riquadro destro fare doppio clic su Connessioni Keep-Alive.
  4. Fare clic su Abilitato e quindi su OK.
  5. Chiudere Editor oggetti Criteri di gruppo, fare clic su OK e quindi chiudere Utenti e computer di Active Directory.

Servizi RDP attualmente occupato

Quando la funzionalità SNP di Windows Server 2003 è attivata, possono verificarsi i problemi seguenti:

Sintomi

Quando si tenta di connettersi al server usando una connessione VPN, viene visualizzato il messaggio di errore seguente:

Errore 800: Impossibile stabilire la connessione.

  • Non è possibile creare una connessione RDP (Remote Desktop Protocol) al server.
  • Non è possibile connettersi alle condivisioni sul server da un computer nella rete locale.
  • Non è possibile aggiungere un computer client al dominio.
  • Non è possibile connettersi al server Exchange da un computer che esegue Microsoft Outlook.
  • Le connessioni di Outlook inattive al server Exchange potrebbero non essere pulite.
  • Si verificano prestazioni di rete lente.
  • È possibile che si verifichino prestazioni di rete lente quando si comunica con un computer basato su Windows Vista.
  • Non è possibile creare una connessione FTP in uscita dal server.
  • Il servizio server DHCP (Dynamic Host Configuration Protocol) si arresta in modo anomalo.
  • Si verificano prestazioni lente quando si accede al dominio.
  • I client NAT (Network Address Translation) che si trovano dietro Windows Small Business Server 2003 o Internet Security and Acceleration (ISA) Server riscontrano errori di connessione intermittenti.
  • Si verificano errori di comunicazione RPC intermittenti.
  • Il server smette di rispondere.
  • Il server è in esecuzione insufficiente nella memoria del pool non di paging

È possibile che si verifichi un danneggiamento del certificato

I client di Servizi terminal possono essere ripetutamente negati l'accesso a Terminal Server. Se si usa un client di Servizi terminal per accedere a Terminal Server, è possibile che venga visualizzato uno dei messaggi di errore seguenti:

  • Messaggio di errore 1

    Impossibile connettersi al server terminal. Errore di sicurezza. Dopo aver verificato di essere connessi alla rete, provare a riconnettersi al server.

  • Messaggio di errore 2

    Desktop remoto disconnesso. Impossibile connettersi al computer remoto. Errore di sicurezza. Verificare di essere connessi alla rete, quindi provare a di nuovo a connettersi.

Importante

In questa sezione, nei passaggi del metodo o dell'attività viene illustrata la modalità di modifica del Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Per risolvere questo problema, eseguire il backup e quindi rimuovere le chiavi del Registro di sistema del certificato X509, riavviare il computer e quindi riattivare il server licenze servizi terminal. A tale scopo, eseguire la procedura seguente.

Nota

Eseguire la procedura seguente in ognuno dei server terminal.

  1. Verificare che il backup del Registro di sistema terminal Server sia stato eseguito correttamente.

  2. Avviare l'editor del Registro di sistema.

  3. Individuare e fare clic sulla seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\

  4. Scegliere Esporta file del Registro di sistema dal menu Registro di sistema.

  5. Digitare i parametri esportati nella casella Nome file, quindi fare clic su Salva.

    Nota

    Se è necessario ripristinare questa sottochiave del Registro di sistema in futuro, fare doppio clic sul file Exported-parameters.reg salvato in questo passaggio.

  6. Nella sottochiave del Registro di sistema Parametri fare clic con il pulsante destro del mouse su ognuno dei valori seguenti, scegliere Elimina e quindi fare clic su per confermare l'eliminazione:

    • Certificato
    • Certificato X509
    • ID certificato X509

  7. Uscire dall'editor del Registro di sistema e quindi riavviare il server.

  8. Riattivare il server licenze servizi terminal usando il metodo di connessione telefonica nella Procedura guidata licenze.

Riferimenti

Se questo articolo non consente di risolvere il problema o se si verificano sintomi diversi da quelli descritti in questo articolo, cercare il supporto tecnico Microsoft. Digitare quindi il testo del messaggio di errore ricevuto oppure digitare una descrizione del problema nella casella Supporto di ricerca (KB).

Raccolta dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, si consiglia di raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni utilizzando il TSS per i problemi relativi all'esperienza utente.