Gedetailleerde stappen voor probleemoplossing voor verbindingsproblemen met Extern bureaublad met Windows-VM's in Azure
Dit artikel bevat gedetailleerde stappen voor probleemoplossing voor het diagnosticeren en oplossen van complexe extern bureaublad-fouten voor virtuele Windows-machines van Azure.
Belangrijk
Als u de meest voorkomende extern bureaublad-fouten wilt elimineren, moet u het basisartikel voor probleemoplossing voor Extern bureaublad lezen voordat u verdergaat.
Er kan een foutbericht over extern bureaublad worden weergegeven dat niet lijkt op een van de specifieke foutberichten die worden beschreven in de basishandleiding voor het oplossen van problemen met Extern bureaublad. Volg deze stappen om te bepalen waarom de RDP-client (Extern bureaublad) geen verbinding kan maken met de RDP-service op de Azure-VM.
Onderdelen van een verbinding met extern bureaublad
De volgende onderdelen zijn betrokken bij een RDP-verbinding:
Voordat u doorgaat, kan het helpen om mentaal te bekijken wat er is gewijzigd sinds de laatste geslaagde verbinding met Extern bureaublad met de VM. Bijvoorbeeld:
- Het openbare IP-adres van de VM of de cloudservice die de VM bevat (ook wel het VIRTUELE IP-adres VIP genoemd) is gewijzigd. De RDP-fout kan zijn omdat uw DNS-clientcache nog steeds het oude IP-adres heeft dat is geregistreerd voor de DNS-naam. Maak de CACHE van de DNS-client leeg en probeer opnieuw verbinding te maken met de VM. Of probeer rechtstreeks verbinding te maken met het nieuwe VIP.
- U gebruikt een toepassing van derden om uw extern bureaublad-verbindingen te beheren in plaats van de verbinding te gebruiken die wordt gegenereerd door de Azure Portal. Controleer of de toepassingsconfiguratie de juiste TCP-poort voor het extern bureaublad-verkeer bevat. U kunt deze poort controleren op een klassieke virtuele machine in de Azure Portal door op de eindpunten voor instellingen > van de VM te klikken.
Voorlopige stappen
Voordat u verdergaat met de gedetailleerde probleemoplossing,
- Controleer de status van de virtuele machine in de Azure Portal op voor de hand liggende problemen.
- Volg de stappen voor snelle oplossingen voor veelvoorkomende RDP-fouten in de basishandleiding voor probleemoplossing.
- Voor aangepaste installatiekopieën moet u ervoor zorgen dat uw VHD goed is voorbereid voordat u deze uploadt. Zie Een Windows VHD of VHDX voorbereiden om te uploaden naar Azure voor meer informatie.
Probeer na deze stappen opnieuw verbinding te maken met de VM via Extern bureaublad.
Gedetailleerde stappen voor probleemoplossing
De Extern bureaublad-client kan de extern bureaublad-service op de Azure-VM mogelijk niet bereiken vanwege problemen bij de volgende bronnen:
- Extern bureaublad-clientcomputer
- Edge-apparaat voor organisatieintranet
- Cloudserviceeindpunt en toegangsbeheerlijst (ACL)
- Netwerkbeveiligingsgroepen
- Op Windows gebaseerde Azure-VM
Bron 1: Extern bureaublad-clientcomputer
Controleer of uw computer extern bureaublad-verbindingen kan maken met een andere on-premises, Windows-computer.
Als u dit niet kunt, controleert u op de volgende instellingen op uw computer:
- Een lokale firewallinstelling die extern bureaublad-verkeer blokkeert.
- Lokaal geïnstalleerde clientproxysoftware die extern bureaublad-verbindingen verhindert.
- Lokaal geïnstalleerde netwerkbewakingssoftware die extern bureaublad-verbindingen verhindert.
- Andere typen beveiligingssoftware die verkeer bewaken of specifieke typen verkeer toestaan/weigeren die extern bureaublad-verbindingen verhinderen.
In al deze gevallen schakelt u de software tijdelijk uit en probeert u via Extern bureaublad verbinding te maken met een on-premises computer. Als u de werkelijke oorzaak op deze manier kunt vinden, kunt u contact opnemen met uw netwerkbeheerder om de software-instellingen te corrigeren om Extern bureaublad-verbindingen toe te staan.
Bron 2: Edge-apparaat voor organisatieintranet
Controleer of een computer die rechtstreeks is verbonden met internet extern bureaublad-verbindingen kan maken met uw virtuele Azure-machine.
Als u geen computer hebt die rechtstreeks is verbonden met internet, maakt en test u een nieuwe virtuele Azure-machine in een resourcegroep of cloudservice. Zie Een virtuele machine met Windows maken in Azure voor meer informatie. U kunt de virtuele machine en de resourcegroep of de cloudservice verwijderen na de test.
Als u een extern bureaublad-verbinding kunt maken met een computer die rechtstreeks is gekoppeld aan internet, controleert u het intranet edge-apparaat van uw organisatie op:
- Een interne firewall blokkeert HTTPS-verbindingen met internet.
- Een proxyserver die extern bureaublad-verbindingen verhindert.
- Inbraakdetectie of netwerkbewakingssoftware die wordt uitgevoerd op apparaten in uw edge-netwerk die extern bureaublad-verbindingen verhindert.
Neem contact op met uw netwerkbeheerder om de instellingen van het intranetrandapparaat van uw organisatie te corrigeren, zodat extern bureaublad op HTTPS-gebaseerde verbindingen met internet kunnen worden toegestaan.
Bron 3: Cloudservice-eindpunt en ACL
Belangrijk
Klassieke VM's worden op 1 september 2023 buiten gebruik gesteld
Als u IaaS-resources van ASM gebruikt, moet u de migratie voor 1 september 2023 voltooien. We raden u aan om sneller over te schakelen om te profiteren van de vele functieverbeteringen in Azure Resource Manager.
Zie Uw IaaS-resources migreren naar Azure Resource Manager op 1 september 2023 voor meer informatie.
Voor VM's die zijn gemaakt met het klassieke implementatiemodel, controleert u of een andere Azure-VM die zich in dezelfde cloudservice of hetzelfde virtuele netwerk bevindt, extern bureaublad-verbindingen kan maken met uw Azure-VM.
Opmerking
Voor virtuele machines die in Resource Manager zijn gemaakt, gaat u naar Bron 4: Netwerkbeveiligingsgroepen.
Als u geen andere virtuele machine in dezelfde cloudservice of hetzelfde virtuele netwerk hebt, maakt u er een. Volg de stappen in Een virtuele machine met Windows maken in Azure. Verwijder de virtuele testmachine nadat de test is voltooid.
Als u via Extern bureaublad verbinding kunt maken met een virtuele machine in dezelfde cloudservice of hetzelfde virtuele netwerk, controleert u op deze instellingen:
- De eindpuntconfiguratie voor Extern bureaublad-verkeer op de doel-VM: de privé-TCP-poort van het eindpunt moet overeenkomen met de TCP-poort waarop de extern bureaublad-service van de VM luistert (standaard is 3389).
- De ACL voor het eindpunt voor extern bureaublad-verkeer op de doel-VM: met ACL's kunt u toegestaan of geweigerd binnenkomend verkeer van internet opgeven op basis van het bron-IP-adres. Onjuist geconfigureerde ACL's kunnen binnenkomend extern bureaublad-verkeer naar het eindpunt voorkomen. Controleer uw ACL's om ervoor te zorgen dat binnenkomend verkeer van uw openbare IP-adressen van uw proxy of andere edge-server is toegestaan. Zie Wat is een ACL (Network Access Control List)? voor meer informatie.
Als u wilt controleren of het eindpunt de bron van het probleem is, verwijdert u het huidige eindpunt en maakt u een nieuw eindpunt en kiest u een willekeurige poort in het bereik 49152-65535 voor het nummer van de externe poort. Zie Eindpunten instellen voor een virtuele machine voor meer informatie.
Bron 4: Netwerkbeveiligingsgroepen
Netwerkbeveiligingsgroepen maken een gedetailleerdere controle mogelijk van binnenkomend en uitgaand verkeer. U kunt regels maken voor subnetten en cloudservices in een virtueel Azure-netwerk.
Gebruik IP-stroom controleren om te bevestigen of een regel in een netwerkbeveiligingsgroep verkeer van of naar een virtuele machine blokkeert. U kunt ook effectieve regels voor beveiligingsgroepen controleren om te controleren of de NSG-regel 'Toestaan' bestaat en prioriteit heeft voor de RDP-poort (standaard 3389). Zie Using Effective Security Rules to troubleshoot VM traffic flow (Effectieve beveiligingsregels gebruiken om problemen met de verkeersstroom van vm's op te lossen) voor meer informatie.
Bron 5: Op Windows gebaseerde Azure-VM
Volg de instructies in dit artikel. In dit artikel wordt de extern bureaublad-service op de virtuele machine opnieuw ingesteld:
- Schakel de standaardregel 'Extern bureaublad' van Windows Firewall in (TCP-poort 3389).
- Schakel Extern bureaublad-verbindingen in door de registerwaarde HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections in te stellen op 0.
Probeer opnieuw verbinding te maken vanaf uw computer. Als u nog steeds geen verbinding kunt maken via Extern bureaublad, controleert u op de volgende mogelijke problemen:
- De extern bureaublad-service wordt niet uitgevoerd op de doel-VM.
- De extern bureaublad-service luistert niet op TCP-poort 3389.
- Windows Firewall of een andere lokale firewall heeft een uitgaande regel die extern bureaublad-verkeer verhindert.
- Inbraakdetectie of netwerkbewakingssoftware die wordt uitgevoerd op de virtuele Azure-machine verhindert verbindingen met extern bureaublad.
Voor VM's die zijn gemaakt met het klassieke implementatiemodel, kunt u een externe Azure PowerShell-sessie naar de virtuele Azure-machine gebruiken. Eerst moet u een certificaat installeren voor de hostingcloudservice van de virtuele machine. Ga naar Secure Remote PowerShell Access to Azure Virtual Machines configureren en download het InstallWinRMCertAzureVM.ps1 scriptbestand naar uw lokale computer.
Installeer vervolgens Azure PowerShell als u dat nog niet hebt gedaan. Zie Azure PowerShell installeren en configureren.
Open vervolgens een Azure PowerShell opdrachtprompt en wijzig de huidige map in de locatie van het InstallWinRMCertAzureVM.ps1 scriptbestand. Als u een Azure PowerShell-script wilt uitvoeren, moet u het juiste uitvoeringsbeleid instellen. Voer de opdracht Get-ExecutionPolicy uit om uw huidige beleidsniveau te bepalen. Zie Set-ExecutionPolicy voor meer informatie over het instellen van het juiste niveau.
Vul vervolgens de naam van uw Azure-abonnement, de naam van de cloudservice en de naam van uw virtuele machine in (waarbij de < tekens en > worden verwijderd) en voer deze opdrachten uit.
$subscr="<Name of your Azure subscription>"
$serviceName="<Name of the cloud service that contains the target virtual machine>"
$vmName="<Name of the target virtual machine>"
.\InstallWinRMCertAzureVM.ps1 -SubscriptionName $subscr -ServiceName $serviceName -Name $vmName
U kunt de juiste abonnementsnaam ophalen uit de eigenschap SubscriptionName van de weergave van de opdracht Get-AzureSubscription . U kunt de naam van de cloudservice voor de virtuele machine ophalen in de kolom ServiceName in de weergave van de opdracht Get-AzureVM .
Controleer of u het nieuwe certificaat hebt. Open een module Certificaten voor de huidige gebruiker en zoek in de map Vertrouwde basiscertificeringsinstanties\Certificaten . U ziet een certificaat met de DNS-naam van uw cloudservice in de kolom Uitgegeven aan (bijvoorbeeld: cloudservice4testing.cloudapp.net).
Start vervolgens een externe Azure PowerShell-sessie met behulp van deze opdrachten.
$uri = Get-AzureWinRMUri -ServiceName $serviceName -Name $vmName
$creds = Get-Credential
Enter-PSSession -ConnectionUri $uri -Credential $creds
Nadat u geldige beheerdersreferenties hebt ingevoerd, ziet u iets dat lijkt op de volgende Azure PowerShell prompt:
[cloudservice4testing.cloudapp.net]: PS C:\Users\User1\Documents>
Het eerste deel van deze prompt is de naam van uw cloudservice die de doel-VM bevat. Deze kan afwijken van 'cloudservice4testing.cloudapp.net'. U kunt nu Azure PowerShell opdrachten voor deze cloudservice uitvoeren om de genoemde problemen te onderzoeken en de configuratie te corrigeren.
De TCP-poort voor extern bureaublad-services handmatig corrigeren
Voer deze opdracht uit bij de externe Azure PowerShell sessieprompt.
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"
De eigenschap PortNumber geeft het huidige poortnummer weer. Wijzig indien nodig het poortnummer van extern bureaublad weer in de standaardwaarde (3389) met behulp van deze opdracht.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 3389
Controleer met deze opdracht of de poort is gewijzigd in 3389.
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"
Sluit de externe Azure PowerShell-sessie af met behulp van deze opdracht.
Exit-PSSession
Controleer of het extern bureaublad-eindpunt voor de Azure-VM ook TCP-poort 3398 als interne poort gebruikt. Start de Virtuele Azure-machine opnieuw op en probeer de verbinding met extern bureaublad opnieuw uit te voeren.
Aanvullende bronnen
Een wachtwoord of de extern bureaublad-service voor virtuele Windows-machines opnieuw instellen
Azure PowerShell installeren en configureren
Problemen oplossen met toegang tot een toepassing die wordt uitgevoerd op een virtuele Azure-machine
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor