Gedetailleerde stappen voor probleemoplossing voor verbindingsproblemen met Extern bureaublad met Windows-VM's in Azure

Artikel
04/01/2024

Dit artikel bevat gedetailleerde stappen voor probleemoplossing voor het diagnosticeren en oplossen van complexe extern bureaublad-fouten voor virtuele Windows-machines van Azure.

Belangrijk

Als u de meest voorkomende extern bureaublad-fouten wilt elimineren, moet u het basisartikel voor probleemoplossing voor Extern bureaublad lezen voordat u verdergaat.

Er kan een foutbericht over extern bureaublad worden weergegeven dat niet lijkt op een van de specifieke foutberichten die worden beschreven in de basishandleiding voor het oplossen van problemen met Extern bureaublad. Volg deze stappen om te bepalen waarom de RDP-client (Extern bureaublad) geen verbinding kan maken met de RDP-service op de Azure-VM.

Onderdelen van een verbinding met extern bureaublad

De volgende onderdelen zijn betrokken bij een RDP-verbinding:

Diagram toont de onderdelen die betrokken zijn bij een RDP-verbinding (Extern bureaublad).

Voordat u doorgaat, kan het helpen om mentaal te bekijken wat er is gewijzigd sinds de laatste geslaagde verbinding met Extern bureaublad met de VM. Bijvoorbeeld:

Het openbare IP-adres van de VM of de cloudservice die de VM bevat (ook wel het VIRTUELE IP-adres VIP genoemd) is gewijzigd. De RDP-fout kan zijn omdat uw DNS-clientcache nog steeds het oude IP-adres heeft dat is geregistreerd voor de DNS-naam. Maak de CACHE van de DNS-client leeg en probeer opnieuw verbinding te maken met de VM. Of probeer rechtstreeks verbinding te maken met het nieuwe VIP.
U gebruikt een toepassing van derden om uw extern bureaublad-verbindingen te beheren in plaats van de verbinding te gebruiken die wordt gegenereerd door de Azure Portal. Controleer of de toepassingsconfiguratie de juiste TCP-poort voor het extern bureaublad-verkeer bevat. U kunt deze poort controleren op een klassieke virtuele machine in de Azure Portal door op de eindpunten voor instellingen > van de VM te klikken.

Voorlopige stappen

Voordat u verdergaat met de gedetailleerde probleemoplossing,

Controleer de status van de virtuele machine in de Azure Portal op voor de hand liggende problemen.
Volg de stappen voor snelle oplossingen voor veelvoorkomende RDP-fouten in de basishandleiding voor probleemoplossing.
Voor aangepaste installatiekopieën moet u ervoor zorgen dat uw VHD goed is voorbereid voordat u deze uploadt. Zie Een Windows VHD of VHDX voorbereiden om te uploaden naar Azure voor meer informatie.

Probeer na deze stappen opnieuw verbinding te maken met de VM via Extern bureaublad.

Gedetailleerde stappen voor probleemoplossing

De Extern bureaublad-client kan de extern bureaublad-service op de Azure-VM mogelijk niet bereiken vanwege problemen bij de volgende bronnen:

Extern bureaublad-clientcomputer
Edge-apparaat voor organisatieintranet
Cloudserviceeindpunt en toegangsbeheerlijst (ACL)
Netwerkbeveiligingsgroepen
Op Windows gebaseerde Azure-VM

Bron 1: Extern bureaublad-clientcomputer

Controleer of uw computer extern bureaublad-verbindingen kan maken met een andere on-premises, Windows-computer.

Diagram van de onderdelen in een RDP-verbinding met de RDP-client gemarkeerd en een pijl die wijst naar een andere on-premises computer die een verbinding aangeeft.

Als u dit niet kunt, controleert u op de volgende instellingen op uw computer:

Een lokale firewallinstelling die extern bureaublad-verkeer blokkeert.
Lokaal geïnstalleerde clientproxysoftware die extern bureaublad-verbindingen verhindert.
Lokaal geïnstalleerde netwerkbewakingssoftware die extern bureaublad-verbindingen verhindert.
Andere typen beveiligingssoftware die verkeer bewaken of specifieke typen verkeer toestaan/weigeren die extern bureaublad-verbindingen verhinderen.

In al deze gevallen schakelt u de software tijdelijk uit en probeert u via Extern bureaublad verbinding te maken met een on-premises computer. Als u de werkelijke oorzaak op deze manier kunt vinden, kunt u contact opnemen met uw netwerkbeheerder om de software-instellingen te corrigeren om Extern bureaublad-verbindingen toe te staan.

Bron 2: Edge-apparaat voor organisatieintranet

Controleer of een computer die rechtstreeks is verbonden met internet extern bureaublad-verbindingen kan maken met uw virtuele Azure-machine.

Diagram van de onderdelen in een RDP-verbinding met een RDP-client die is verbonden met internet gemarkeerd en een pijl die wijst naar een Azure V M die een verbinding aangeeft.

Als u geen computer hebt die rechtstreeks is verbonden met internet, maakt en test u een nieuwe virtuele Azure-machine in een resourcegroep of cloudservice. Zie Een virtuele machine met Windows maken in Azure voor meer informatie. U kunt de virtuele machine en de resourcegroep of de cloudservice verwijderen na de test.

Als u een extern bureaublad-verbinding kunt maken met een computer die rechtstreeks is gekoppeld aan internet, controleert u het intranet edge-apparaat van uw organisatie op:

Een interne firewall blokkeert HTTPS-verbindingen met internet.
Een proxyserver die extern bureaublad-verbindingen verhindert.
Inbraakdetectie of netwerkbewakingssoftware die wordt uitgevoerd op apparaten in uw edge-netwerk die extern bureaublad-verbindingen verhindert.

Neem contact op met uw netwerkbeheerder om de instellingen van het intranetrandapparaat van uw organisatie te corrigeren, zodat extern bureaublad op HTTPS-gebaseerde verbindingen met internet kunnen worden toegestaan.

Bron 3: Cloudservice-eindpunt en ACL

Belangrijk

Klassieke VM's worden op 1 september 2023 buiten gebruik gesteld

Als u IaaS-resources van ASM gebruikt, moet u de migratie voor 1 september 2023 voltooien. We raden u aan om sneller over te schakelen om te profiteren van de vele functieverbeteringen in Azure Resource Manager.

Zie Uw IaaS-resources migreren naar Azure Resource Manager op 1 september 2023 voor meer informatie.

Voor VM's die zijn gemaakt met het klassieke implementatiemodel, controleert u of een andere Azure-VM die zich in dezelfde cloudservice of hetzelfde virtuele netwerk bevindt, extern bureaublad-verbindingen kan maken met uw Azure-VM.

Diagram van de onderdelen in een RDP-verbinding met één Azure V M gemarkeerd en een pijl die wijst naar een andere Azure V M binnen dezelfde cloudservice die een verbinding aangeeft.

Opmerking

Voor virtuele machines die in Resource Manager zijn gemaakt, gaat u naar Bron 4: Netwerkbeveiligingsgroepen.

Als u geen andere virtuele machine in dezelfde cloudservice of hetzelfde virtuele netwerk hebt, maakt u er een. Volg de stappen in Een virtuele machine met Windows maken in Azure. Verwijder de virtuele testmachine nadat de test is voltooid.

Als u via Extern bureaublad verbinding kunt maken met een virtuele machine in dezelfde cloudservice of hetzelfde virtuele netwerk, controleert u op deze instellingen:

De eindpuntconfiguratie voor Extern bureaublad-verkeer op de doel-VM: de privé-TCP-poort van het eindpunt moet overeenkomen met de TCP-poort waarop de extern bureaublad-service van de VM luistert (standaard is 3389).
De ACL voor het eindpunt voor extern bureaublad-verkeer op de doel-VM: met ACL's kunt u toegestaan of geweigerd binnenkomend verkeer van internet opgeven op basis van het bron-IP-adres. Onjuist geconfigureerde ACL's kunnen binnenkomend extern bureaublad-verkeer naar het eindpunt voorkomen. Controleer uw ACL's om ervoor te zorgen dat binnenkomend verkeer van uw openbare IP-adressen van uw proxy of andere edge-server is toegestaan. Zie Wat is een ACL (Network Access Control List)? voor meer informatie.

Als u wilt controleren of het eindpunt de bron van het probleem is, verwijdert u het huidige eindpunt en maakt u een nieuw eindpunt en kiest u een willekeurige poort in het bereik 49152-65535 voor het nummer van de externe poort. Zie Eindpunten instellen voor een virtuele machine voor meer informatie.

Bron 4: Netwerkbeveiligingsgroepen

Netwerkbeveiligingsgroepen maken een gedetailleerdere controle mogelijk van binnenkomend en uitgaand verkeer. U kunt regels maken voor subnetten en cloudservices in een virtueel Azure-netwerk.

Gebruik IP-stroom controleren om te bevestigen of een regel in een netwerkbeveiligingsgroep verkeer van of naar een virtuele machine blokkeert. U kunt ook effectieve regels voor beveiligingsgroepen controleren om te controleren of de NSG-regel 'Toestaan' bestaat en prioriteit heeft voor de RDP-poort (standaard 3389). Zie Using Effective Security Rules to troubleshoot VM traffic flow (Effectieve beveiligingsregels gebruiken om problemen met de verkeersstroom van vm's op te lossen) voor meer informatie.

Bron 5: Op Windows gebaseerde Azure-VM

Diagram van de onderdelen in een RDP-verbinding met een Azure V M gemarkeerd in een cloudservice en een bericht dat dit een mogelijke bron van problemen kan zijn.

Volg de instructies in dit artikel. In dit artikel wordt de extern bureaublad-service op de virtuele machine opnieuw ingesteld:

Schakel de standaardregel 'Extern bureaublad' van Windows Firewall in (TCP-poort 3389).
Schakel Extern bureaublad-verbindingen in door de registerwaarde HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections in te stellen op 0.

Probeer opnieuw verbinding te maken vanaf uw computer. Als u nog steeds geen verbinding kunt maken via Extern bureaublad, controleert u op de volgende mogelijke problemen:

De extern bureaublad-service wordt niet uitgevoerd op de doel-VM.
De extern bureaublad-service luistert niet op TCP-poort 3389.
Windows Firewall of een andere lokale firewall heeft een uitgaande regel die extern bureaublad-verkeer verhindert.
Inbraakdetectie of netwerkbewakingssoftware die wordt uitgevoerd op de virtuele Azure-machine verhindert verbindingen met extern bureaublad.

Voor VM's die zijn gemaakt met het klassieke implementatiemodel, kunt u een externe Azure PowerShell-sessie naar de virtuele Azure-machine gebruiken. Eerst moet u een certificaat installeren voor de hostingcloudservice van de virtuele machine. Ga naar Secure Remote PowerShell Access to Azure Virtual Machines configureren en download het InstallWinRMCertAzureVM.ps1 scriptbestand naar uw lokale computer.

Installeer vervolgens Azure PowerShell als u dat nog niet hebt gedaan. Zie Azure PowerShell installeren en configureren.

Open vervolgens een Azure PowerShell opdrachtprompt en wijzig de huidige map in de locatie van het InstallWinRMCertAzureVM.ps1 scriptbestand. Als u een Azure PowerShell-script wilt uitvoeren, moet u het juiste uitvoeringsbeleid instellen. Voer de opdracht Get-ExecutionPolicy uit om uw huidige beleidsniveau te bepalen. Zie Set-ExecutionPolicy voor meer informatie over het instellen van het juiste niveau.

Vul vervolgens de naam van uw Azure-abonnement, de naam van de cloudservice en de naam van uw virtuele machine in (waarbij de < tekens en > worden verwijderd) en voer deze opdrachten uit.

$subscr="<Name of your Azure subscription>"
$serviceName="<Name of the cloud service that contains the target virtual machine>"
$vmName="<Name of the target virtual machine>"
.\InstallWinRMCertAzureVM.ps1 -SubscriptionName $subscr -ServiceName $serviceName -Name $vmName

U kunt de juiste abonnementsnaam ophalen uit de eigenschap SubscriptionName van de weergave van de opdracht Get-AzureSubscription . U kunt de naam van de cloudservice voor de virtuele machine ophalen in de kolom ServiceName in de weergave van de opdracht Get-AzureVM .

Controleer of u het nieuwe certificaat hebt. Open een module Certificaten voor de huidige gebruiker en zoek in de map Vertrouwde basiscertificeringsinstanties\Certificaten . U ziet een certificaat met de DNS-naam van uw cloudservice in de kolom Uitgegeven aan (bijvoorbeeld: cloudservice4testing.cloudapp.net).

Start vervolgens een externe Azure PowerShell-sessie met behulp van deze opdrachten.

$uri = Get-AzureWinRMUri -ServiceName $serviceName -Name $vmName
$creds = Get-Credential
Enter-PSSession -ConnectionUri $uri -Credential $creds

Nadat u geldige beheerdersreferenties hebt ingevoerd, ziet u iets dat lijkt op de volgende Azure PowerShell prompt:

[cloudservice4testing.cloudapp.net]: PS C:\Users\User1\Documents>

Het eerste deel van deze prompt is de naam van uw cloudservice die de doel-VM bevat. Deze kan afwijken van 'cloudservice4testing.cloudapp.net'. U kunt nu Azure PowerShell opdrachten voor deze cloudservice uitvoeren om de genoemde problemen te onderzoeken en de configuratie te corrigeren.

De TCP-poort voor extern bureaublad-services handmatig corrigeren

Voer deze opdracht uit bij de externe Azure PowerShell sessieprompt.

Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"

De eigenschap PortNumber geeft het huidige poortnummer weer. Wijzig indien nodig het poortnummer van extern bureaublad weer in de standaardwaarde (3389) met behulp van deze opdracht.

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 3389

Controleer met deze opdracht of de poort is gewijzigd in 3389.

Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"

Sluit de externe Azure PowerShell-sessie af met behulp van deze opdracht.

Exit-PSSession

Controleer of het extern bureaublad-eindpunt voor de Azure-VM ook TCP-poort 3398 als interne poort gebruikt. Start de Virtuele Azure-machine opnieuw op en probeer de verbinding met extern bureaublad opnieuw uit te voeren.