Detaljerade felsökningssteg för anslutningsproblem med fjärrskrivbord till virtuella Windows-datorer i Azure
Den här artikeln innehåller detaljerade felsökningssteg för att diagnostisera och åtgärda komplexa fjärrskrivbordsfel för Windows-baserade virtuella Azure-datorer.
Viktigt
Om du vill eliminera vanliga fel i Fjärrskrivbord läser du den grundläggande felsökningsartikeln för Fjärrskrivbord innan du fortsätter.
Du kan stöta på ett felmeddelande från fjärrskrivbord som inte liknar något av de specifika felmeddelanden som beskrivs i den grundläggande felsökningsguiden för fjärrskrivbord. Följ de här stegen för att avgöra varför RDP-klienten (Remote Desktop) inte kan ansluta till RDP-tjänsten på den virtuella Azure-datorn.
Komponenter i en fjärrskrivbordsanslutning
Följande komponenter ingår i en RDP-anslutning:
Innan du fortsätter kan det hjälpa att mentalt granska vad som har ändrats sedan den senaste lyckade fjärrskrivbordsanslutningen till den virtuella datorn. Till exempel:
- Den offentliga IP-adressen för den virtuella datorn eller molntjänsten som innehåller den virtuella datorn (kallas även virtuell IP-adress-VIP) har ändrats. RDP-felet kan bero på att DNS-klientcachen fortfarande har den gamla IP-adressen registrerad för DNS-namnet. Töm DNS-klientcachen och försök ansluta den virtuella datorn igen. Eller prova att ansluta direkt med den nya VIP:en.
- Du använder ett program från tredje part för att hantera dina fjärrskrivbordsanslutningar i stället för att använda anslutningen som genereras av Azure Portal. Kontrollera att programkonfigurationen innehåller rätt TCP-port för fjärrskrivbordstrafiken. Du kan kontrollera den här porten för en klassisk virtuell dator i Azure Portal genom att klicka på den virtuella datorns slutpunkter för inställningar>.
Preliminära steg
Innan du fortsätter till den detaljerade felsökningen
- Kontrollera statusen för den virtuella datorn i Azure Portal om det finns några uppenbara problem.
- Följ snabbkorrigeringsstegen för vanliga RDP-fel i den grundläggande felsökningsguiden.
- För anpassade avbildningar kontrollerar du att den virtuella hårddisken är korrekt förberedd innan du laddar upp den. Mer information finns i Förbereda en windows-VHD eller VHDX för uppladdning till Azure.
Prova att återansluta till den virtuella datorn via Fjärrskrivbord efter de här stegen.
Detaljerade felsökningssteg
Fjärrskrivbordsklienten kanske inte kan nå fjärrskrivbordstjänsten på den virtuella Azure-datorn på grund av problem i följande källor:
- Fjärrskrivbordsklientdator
- Organisationens intranätsgränsenhet
- Molntjänstslutpunkt och åtkomstkontrollista (ACL)
- Nätverkssäkerhetsgrupper
- Windows-baserad virtuell Azure-dator
Källa 1: Fjärrskrivbordsklientdator
Kontrollera att datorn kan upprätta fjärrskrivbordsanslutningar till en annan lokal, Windows-baserad dator.
Om du inte kan kontrollerar du följande inställningar på datorn:
- En lokal brandväggsinställning som blockerar fjärrskrivbordstrafik.
- Lokalt installerad klientproxyprogramvara som förhindrar fjärrskrivbordsanslutningar.
- Lokalt installerad programvara för nätverksövervakning som förhindrar fjärrskrivbordsanslutningar.
- Andra typer av säkerhetsprogram som antingen övervakar trafik eller tillåter/nekar specifika typer av trafik som förhindrar fjärrskrivbordsanslutningar.
I alla dessa fall inaktiverar du tillfälligt programvaran och försöker ansluta till en lokal dator via Fjärrskrivbord. Om du kan ta reda på den faktiska orsaken på det här sättet kan du kontakta nätverksadministratören för att korrigera programvaruinställningarna så att fjärrskrivbordsanslutningar tillåts.
Källa 2: Organisationens intranätsgränsenhet
Kontrollera att en dator som är direkt ansluten till Internet kan upprätta fjärrskrivbordsanslutningar till din virtuella Azure-dator.
Om du inte har en dator som är direkt ansluten till Internet skapar och testar du med en ny virtuell Azure-dator i en resursgrupp eller molntjänst. Mer information finns i Skapa en virtuell dator som kör Windows i Azure. Du kan ta bort den virtuella datorn och resursgruppen eller molntjänsten efter testet.
Om du kan skapa en fjärrskrivbordsanslutning med en dator som är direkt ansluten till Internet kontrollerar du organisationens intranätsgränsenhet efter:
- En intern brandvägg som blockerar HTTPS-anslutningar till Internet.
- En proxyserver som förhindrar fjärrskrivbordsanslutningar.
- Intrångsidentifiering eller nätverksövervakningsprogram som körs på enheter i ditt gränsnätverk som förhindrar fjärrskrivbordsanslutningar.
Kontakta nätverksadministratören för att korrigera inställningarna för din organisations intranätsgränsenhet för att tillåta HTTPS-baserade fjärrskrivbordsanslutningar till Internet.
Källa 3: Molntjänstslutpunkt och ACL
Viktigt
Klassiska virtuella datorer dras tillbaka den 1 september 2023
Om du använder IaaS-resurser från ASM slutför du migreringen senast den 1 september 2023. Vi rekommenderar att du gör bytet tidigare för att dra nytta av de många funktionsförbättringarna i Azure Resource Manager.
Mer information finns i Migrera dina IaaS-resurser till Azure Resource Manager senast den 1 september 2023.
För virtuella datorer som skapats med den klassiska distributionsmodellen kontrollerar du att en annan virtuell Azure-dator som finns i samma molntjänst eller virtuella nätverk kan göra fjärrskrivbordsanslutningar till din virtuella Azure-dator.
Obs!
För virtuella datorer som skapats i Resource Manager går du vidare till Källa 4: Nätverkssäkerhetsgrupper.
Om du inte har en annan virtuell dator i samma molntjänst eller virtuella nätverk skapar du en. Följ stegen i Skapa en virtuell dator som kör Windows i Azure. Ta bort den virtuella testdatorn när testet har slutförts.
Om du kan ansluta via Fjärrskrivbord till en virtuell dator i samma molntjänst eller virtuella nätverk kontrollerar du följande inställningar:
- Slutpunktskonfigurationen för fjärrskrivbordstrafik på den virtuella måldatorn: Slutpunktens privata TCP-port måste matcha TCP-porten där den virtuella datorns fjärrskrivbordstjänst lyssnar (standard är 3389).
- ACL för fjärrskrivbordstrafikslutpunkten på den virtuella måldatorn: Med ACL:er kan du ange tillåten eller nekad inkommande trafik från Internet baserat på källans IP-adress. Felkonfigurerade ACL:er kan förhindra inkommande fjärrskrivbordstrafik till slutpunkten. Kontrollera dina ACL:er för att säkerställa att inkommande trafik från dina offentliga IP-adresser för proxyservern eller någon annan gränsserver tillåts. Mer information finns i Vad är en lista över Access Control (ACL)?
Om du vill kontrollera om slutpunkten är orsaken till problemet tar du bort den aktuella slutpunkten och skapar en ny, väljer en slumpmässig port i intervallet 49152–65535 för det externa portnumret. Mer information finns i Så här konfigurerar du slutpunkter till en virtuell dator.
Källa 4: Nätverkssäkerhetsgrupper
Nätverkssäkerhetsgrupper ger mer detaljerad kontroll över tillåten inkommande och utgående trafik. Du kan skapa regler som omfattar undernät och molntjänster i ett virtuellt Azure-nätverk.
Använd kontrollera IP-flöde för att bekräfta om en regel i en nätverkssäkerhetsgrupp blockerar trafik till eller från en virtuell dator. Du kan också granska reglerna för effektiva säkerhetsgrupper för att säkerställa att den inkommande NSG-regeln "Tillåt" finns och är prioriterad för RDP-port (standard: 3389). Mer information finns i Använda effektiva säkerhetsregler för att felsöka trafikflödet för virtuella datorer.
Källa 5: Windows-baserad virtuell Azure-dator
Följ anvisningarna i den här artikeln. Den här artikeln återställer fjärrskrivbordstjänsten på den virtuella datorn:
- Aktivera standardregeln "Fjärrskrivbord" för Windows-brandväggen (TCP-port 3389).
- Aktivera fjärrskrivbordsanslutningar genom att ange registervärdet HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections till 0.
Försök ansluta från datorn igen. Om du fortfarande inte kan ansluta via fjärrskrivbord kontrollerar du om det finns följande möjliga problem:
- Fjärrskrivbordstjänsten körs inte på den virtuella måldatorn.
- Fjärrskrivbordstjänsten lyssnar inte på TCP-port 3389.
- Windows-brandväggen eller en annan lokal brandvägg har en regel för utgående trafik som förhindrar fjärrskrivbordstrafik.
- Intrångsidentifiering eller nätverksövervakningsprogram som körs på den virtuella Azure-datorn förhindrar fjärrskrivbordsanslutningar.
För virtuella datorer som skapats med den klassiska distributionsmodellen kan du använda en fjärrsession Azure PowerShell till den virtuella Azure-datorn. Först måste du installera ett certifikat för den virtuella datorns värdmolntjänst. Gå till Konfigurera säker PowerShell-fjärråtkomst till Azure Virtual Machines och ladda ned InstallWinRMCertAzureVM.ps1-skriptfilen till den lokala datorn.
Installera sedan Azure PowerShell om du inte redan har gjort det. Se Installera och konfigurera Azure PowerShell.
Öppna sedan en Azure PowerShell kommandotolk och ändra den aktuella mappen till platsen för denInstallWinRMCertAzureVM.ps1 skriptfilen. Om du vill köra ett Azure PowerShell skript måste du ange rätt körningsprincip. Kör kommandot Get-ExecutionPolicy för att fastställa din aktuella principnivå. Information om hur du ställer in lämplig nivå finns i Set-ExecutionPolicy.
Fyll sedan i ditt Azure-prenumerationsnamn, molntjänstnamnet och namnet på den virtuella datorn (ta bort < tecknen och > ) och kör sedan dessa kommandon.
$subscr="<Name of your Azure subscription>"
$serviceName="<Name of the cloud service that contains the target virtual machine>"
$vmName="<Name of the target virtual machine>"
.\InstallWinRMCertAzureVM.ps1 -SubscriptionName $subscr -ServiceName $serviceName -Name $vmName
Du kan hämta rätt prenumerationsnamn från egenskapen SubscriptionName för visningen av kommandot Get-AzureSubscription . Du kan hämta molntjänstnamnet för den virtuella datorn från kolumnen ServiceName i visningen av kommandot Get-AzureVM .
Kontrollera om du har det nya certifikatet. Öppna snapin-modulen Certifikat för den aktuella användaren och leta i mappen Betrodda rotcertifikatutfärdare\Certifikat . Du bör se ett certifikat med DNS-namnet på molntjänsten i kolumnen Utfärdat till (exempel: cloudservice4testing.cloudapp.net).
Starta sedan en fjärrsession Azure PowerShell med hjälp av dessa kommandon.
$uri = Get-AzureWinRMUri -ServiceName $serviceName -Name $vmName
$creds = Get-Credential
Enter-PSSession -ConnectionUri $uri -Credential $creds
När du har angett giltiga administratörsautentiseringsuppgifter bör du se något som liknar följande Azure PowerShell fråga:
[cloudservice4testing.cloudapp.net]: PS C:\Users\User1\Documents>
Den första delen av den här prompten är ditt molntjänstnamn som innehåller den virtuella måldatorn, som kan skilja sig från "cloudservice4testing.cloudapp.net". Du kan nu utfärda Azure PowerShell kommandon för den här molntjänsten för att undersöka de problem som nämns och korrigera konfigurationen.
Så här korrigerar du TCP-porten för fjärrskrivbordstjänster manuellt
Kör det här kommandot i den fjärranslutna Azure PowerShell sessionsprompten.
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"
Egenskapen PortNumber visar det aktuella portnumret. Om det behövs ändrar du tillbaka portnumret för fjärrskrivbord till standardvärdet (3389) med hjälp av det här kommandot.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 3389
Kontrollera att porten har ändrats till 3389 med hjälp av det här kommandot.
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"
Avsluta fjärrsessionen Azure PowerShell med hjälp av det här kommandot.
Exit-PSSession
Kontrollera att fjärrskrivbordsslutpunkten för den virtuella Azure-datorn också använder TCP-port 3398 som intern port. Starta om den virtuella Azure-datorn och försök ansluta till fjärrskrivbord igen.
Ytterligare resurser
Återställa ett lösenord eller fjärrskrivbordstjänsten för virtuella Windows-datorer
Så här installerar och konfigurerar du Azure PowerShell
Felsöka SSH-anslutningar (Secure Shell) till en Linux-baserad virtuell Azure-dator
Felsöka åtkomst till ett program som körs på en virtuell Azure-dator
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för