概述

本文主要介紹無(wú)法遠(yuǎn)程連接Windows實(shí)例的處理方法。

無(wú)法遠(yuǎn)程連接Windows實(shí)例的原因較多，請(qǐng)您根據(jù)實(shí)際情況，通過(guò)相應(yīng)的排查方法，排查并解決無(wú)法遠(yuǎn)程連接Windows實(shí)例的問題。

需要快速登錄Windows實(shí)例

如果您遇到的情況比較緊急，需要盡快登錄Windows實(shí)例，請(qǐng)參見以下操作步驟，先檢查ECS實(shí)例的狀態(tài)，然后通過(guò)云助手向Windows實(shí)例發(fā)送命令或通過(guò)VNC登錄，具體步驟如下：

步驟一：檢查ECS實(shí)例的狀態(tài)

無(wú)論何種原因?qū)е聼o(wú)法遠(yuǎn)程登錄ECS實(shí)例，請(qǐng)先檢查實(shí)例的狀態(tài)。只有當(dāng)ECS實(shí)例為運(yùn)行中狀態(tài)時(shí)，才能對(duì)外提供業(yè)務(wù)訪問。檢查步驟如下：

1. 登錄云服務(wù)器管理控制臺(tái)。
2. 單擊左側(cè)導(dǎo)航欄中的實(shí)例，查看目標(biāo)實(shí)例的狀態(tài)。
   • 目標(biāo)實(shí)例不是運(yùn)行中的狀態(tài)，請(qǐng)參見ECS實(shí)例生命周期，根據(jù)實(shí)例的狀態(tài)，選擇對(duì)應(yīng)的解決方案。
   • 目標(biāo)實(shí)例是運(yùn)行中的狀態(tài)，請(qǐng)參見下一步繼續(xù)操作。

步驟二：通過(guò)阿里云云助手向Windows實(shí)例發(fā)送命令

請(qǐng)嘗試通過(guò)阿里云云助手向Windows實(shí)例發(fā)送命令。云助手的使用步驟如下：

1. 登錄云服務(wù)器管理控制臺(tái)。
2. 單擊左側(cè)導(dǎo)航欄中的實(shí)例，在實(shí)例列表找到您需要遠(yuǎn)程登錄的目標(biāo)實(shí)例，單擊遠(yuǎn)程連接，在彈出的頁(yè)面中選擇發(fā)送遠(yuǎn)程命令（云助手）的方式。
   
3. 輸入您需要執(zhí)行的命令后單擊執(zhí)行按鈕，即可在未登錄Linux實(shí)例的情況下執(zhí)行命令。

步驟三：通過(guò)阿里云VNC工具進(jìn)行遠(yuǎn)程登錄

如果云助手無(wú)法使用或者無(wú)法滿足您的使用需求，您還可以通過(guò)阿里云VNC工具進(jìn)行遠(yuǎn)程登錄，使用方法如下：

1. 登錄云服務(wù)器管理控制臺(tái)。
2. 單擊左側(cè)導(dǎo)航欄中的實(shí)例，在實(shí)例列表找到您需要遠(yuǎn)程登錄的目標(biāo)實(shí)例，單擊遠(yuǎn)程連接，在彈出的頁(yè)面中選擇VNC遠(yuǎn)程連接的方式。
3. 輸入VNC遠(yuǎn)程連接密碼即可登錄。

   注意：
   

   • 在首次連接或忘記VNC密碼時(shí)，請(qǐng)單擊修改遠(yuǎn)程連接密碼，修改VNC的密碼后重試。
   • 通過(guò)VNC登錄Windows實(shí)例后，需要輸入Windows實(shí)例的用戶名和密碼。如果您忘記了Windows實(shí)例的密碼，請(qǐng)重置Windows實(shí)例的密碼，詳情請(qǐng)參見重置實(shí)例登錄密碼，重置實(shí)例登錄密碼后需要重啟ECS實(shí)例。

   

遠(yuǎn)程連接失敗時(shí)沒有明確的報(bào)錯(cuò)信息

在遠(yuǎn)程連接失敗時(shí)，如果您沒有收到系統(tǒng)返回的報(bào)錯(cuò)信息，請(qǐng)參見檢查ECS實(shí)例的狀態(tài)，確認(rèn)ECS實(shí)例是運(yùn)行中的狀態(tài)，然后再根據(jù)以下步驟進(jìn)行排查：

步驟一：使用阿里云Workbench工具測(cè)試遠(yuǎn)程登錄

通過(guò)阿里云提供的Workbench工具進(jìn)行遠(yuǎn)程登錄，Workbench工具在遠(yuǎn)程登錄出現(xiàn)異常時(shí)會(huì)返回具體的錯(cuò)誤信息及解決方案。測(cè)試步驟如下：

1. 登錄云服務(wù)器管理控制臺(tái)。
2. 單擊左側(cè)導(dǎo)航欄中的實(shí)例，在實(shí)例列表中找到您需要遠(yuǎn)程登錄的目標(biāo)實(shí)例，單擊遠(yuǎn)程連接，在彈出的頁(yè)面中選擇Workbench遠(yuǎn)程連接的方式。
   
3. Workbench工具將自動(dòng)填充登錄目標(biāo)實(shí)例所需的基本信息，請(qǐng)確認(rèn)基本信息的正確性并輸入登錄的用戶名和認(rèn)證信息。并根據(jù)以下結(jié)果進(jìn)行處理：
   • 如仍然無(wú)法登錄，Workbench工具會(huì)返回錯(cuò)誤提示和解決方案，請(qǐng)根據(jù)系統(tǒng)提示進(jìn)行處理。處理完畢后重新使用Workbench工具進(jìn)行遠(yuǎn)程登錄測(cè)試。為了便于您解決問題，以下列舉Workbench工具使用時(shí)常見的異常問題：
     
     • Workbench工具遠(yuǎn)程連接Windows實(shí)例時(shí)提示連接超時(shí)
     • Workbench遠(yuǎn)程連接Windows實(shí)例時(shí)提示“請(qǐng)檢查地址、端口、用戶名、密碼等信息是否填寫正確”
   • 如可以通過(guò)Workbench工具正常登錄，但無(wú)法通過(guò)本地服務(wù)器遠(yuǎn)程登錄，說(shuō)明遠(yuǎn)程連接的端口及服務(wù)正常，您可以自行排查，詳情請(qǐng)參見遠(yuǎn)程連接的常見問題和ECS實(shí)例操作系統(tǒng)內(nèi)部（GuestOS）常見問題與修復(fù)方案。

步驟二：檢查是否有收到黑洞通知

請(qǐng)檢查是否有收到黑洞通知，黑洞期間無(wú)法支持公網(wǎng)訪問服務(wù)器，詳情請(qǐng)參阿里云黑洞策略。

步驟三：端口及安全組檢查

進(jìn)一步檢查安全組規(guī)則是否有限制，具體操作如下：

1. 登錄云服務(wù)器管理控制臺(tái)。
2. 找到該實(shí)例，單擊管理進(jìn)入實(shí)例詳情頁(yè)面，在左側(cè)導(dǎo)航欄，單擊本實(shí)例安全組。找到安全組，單擊操作列下的配置規(guī)則。
   
3. 選擇安全組規(guī)則的規(guī)則方向。
4. 在安全組規(guī)則頁(yè)面上，您可以選擇以下任意一種方式添加安全組規(guī)則，詳情請(qǐng)參見添加安全組規(guī)則。
   • 方式一：快速添加安全組規(guī)則
     • 授權(quán)策略：允許
     • 端口范圍：RDP（3389）
     • 授權(quán)對(duì)象：0.0.0.0/0（代表所有IP訪問）
   • 方式二：手動(dòng)添加安全組規(guī)則
     • 授權(quán)策略：允許
     • 優(yōu)先級(jí)：1（代表安全規(guī)則中優(yōu)先級(jí)最高，數(shù)字越小優(yōu)先級(jí)越高）
     • 協(xié)議類型：自定義（TCP）
     • 端口范圍：如果自定義遠(yuǎn)程端口為33899，則設(shè)置為33899
     • 授權(quán)對(duì)象：0.0.0.0/0（代表所有IP訪問）
5. 通過(guò)“IP:端口”的方式進(jìn)行遠(yuǎn)程桌面連接。連接方式類似如下。
   
6. 通過(guò)上一步獲取的端口，參見以下命令，進(jìn)行端口測(cè)試，判斷端口是否正常。如果端口測(cè)試失敗，請(qǐng)參見使用ping命令正常但端口不通時(shí)的端口可用性探測(cè)說(shuō)明進(jìn)行排查。
   telnet [$IP] [$Port]

   說(shuō)明：
   

   • [$IP]指Windows實(shí)例的IP地址。
   • [$Port]指Windows實(shí)例的RDP端口號(hào)。

   系統(tǒng)顯示類似如下，比如執(zhí)行telnet 192.168.0.1 4389命令，正常情況下返回結(jié)果類似如下。
   Trying 192.168.0.1 ...
   Connected to 192.168.0.1  4389.
   Escape character is '^]'

步驟四：本地公網(wǎng)IP被云安全中心攔截

如果在一個(gè)客戶端網(wǎng)絡(luò)連接ECS服務(wù)器多次輸入錯(cuò)誤的登錄信息，就會(huì)導(dǎo)致此IP遠(yuǎn)程登錄ECS的請(qǐng)求被攔截，此類情況可以在云安全中心的設(shè)置中，添加本地IP至白名單，這樣就不會(huì)對(duì)本地IP遠(yuǎn)程登錄此服務(wù)器進(jìn)行攔截，具體操作如下：

1. 登錄阿里云云安全中心控制臺(tái)。
2. 在左側(cè)導(dǎo)航欄單擊設(shè)置。
3. 在設(shè)置頁(yè)簽的安全管控模塊，單擊配置，跳轉(zhuǎn)至安全管控控制臺(tái)。
4. 在白名單管理的IP白名單頁(yè)面，配置IP白名單

步驟五：遠(yuǎn)程桌面服務(wù)檢查

您可以查看Windows服務(wù)器的系統(tǒng)是否開啟了遠(yuǎn)程桌面服務(wù)。具體操作如下：

1. 使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。
2. 右鍵單擊我的電腦，選擇屬性>高級(jí)系統(tǒng)設(shè)置。
3. 在系統(tǒng)屬性窗口，選擇遠(yuǎn)程選項(xiàng)卡，在遠(yuǎn)程桌面區(qū)域，確認(rèn)已勾選允許遠(yuǎn)程連接到此計(jì)算機(jī)，單擊確定。
   
4. 在開始菜單中單擊管理工具>組件服務(wù)>服務(wù)（本地），在右側(cè)的菜單窗口中找到Remote Desktop Services服務(wù)，檢查是否啟動(dòng)，如果沒有啟動(dòng)，則需啟動(dòng)。
   
5. 用戶為了提高系統(tǒng)安全性，有時(shí)錯(cuò)誤的將遠(yuǎn)程桌面服務(wù)所依賴的某些關(guān)鍵服務(wù)禁用，導(dǎo)致遠(yuǎn)程桌面服務(wù)異常?？赏ㄟ^(guò)以下操作進(jìn)行檢查。
   1. 通過(guò)VNC遠(yuǎn)程連接功能登錄到Windows實(shí)例。
   2. 選擇開始>運(yùn)行。 輸入msconfig，單擊確定。
      
   3. 在彈出的窗口中，選擇常規(guī)選項(xiàng)卡，選擇正常啟動(dòng)，單擊確定，然后重啟服務(wù)器即可。
      

步驟六：網(wǎng)絡(luò)檢查

無(wú)法正常遠(yuǎn)程連接Windows實(shí)例時(shí)，需要先檢查網(wǎng)絡(luò)是否正常。

1. 用其他網(wǎng)絡(luò)環(huán)境中（不同網(wǎng)段或不同運(yùn)營(yíng)商）的電腦連接對(duì)比測(cè)試，判斷是本地網(wǎng)絡(luò)問題還是服務(wù)器端的問題。如果是本地網(wǎng)絡(luò)問題或運(yùn)營(yíng)商問題，請(qǐng)聯(lián)系本地IT人員或運(yùn)營(yíng)商解決。如果是網(wǎng)卡驅(qū)動(dòng)存在異常，則重新安裝。排除本地網(wǎng)絡(luò)故障后進(jìn)行下一步檢查。
2. 在客戶端使用ping命令測(cè)試與實(shí)例的網(wǎng)絡(luò)連通性。
   • 網(wǎng)絡(luò)異常時(shí)，請(qǐng)參見網(wǎng)絡(luò)異常時(shí)如何抓取數(shù)據(jù)包進(jìn)行排查。
   • 當(dāng)出現(xiàn)ping丟包或ping不通時(shí)，請(qǐng)參見使用ping命令丟包或不通時(shí)的鏈路測(cè)試方法進(jìn)行排查。
   • 如果出現(xiàn)間歇性丟包，ECS實(shí)例的網(wǎng)絡(luò)一直處于不穩(wěn)定狀態(tài)時(shí)，請(qǐng)參見使用ping命令測(cè)試ECS實(shí)例的IP地址間歇性丟包進(jìn)行解決。
3. 在實(shí)例中使用ping命令測(cè)試與客戶端的連通性，提示“一般故障”的錯(cuò)誤，請(qǐng)參見Windows實(shí)例ping外網(wǎng)地址提示“一般故障”進(jìn)行解決。

步驟七：檢查CPU負(fù)載、帶寬及內(nèi)存使用情況

• 確認(rèn)是否存在CPU負(fù)載過(guò)高的情況，如果存在，則參考本步驟解決問題，如果不存在，則執(zhí)行下一步步驟。
  • 檢查CPU負(fù)載過(guò)高時(shí)，通過(guò)實(shí)例詳情頁(yè)面的終端登錄實(shí)例，檢查后臺(tái)是否正在執(zhí)行Windows Update操作。
  • 運(yùn)行Windows Update來(lái)安裝最新的微軟安全補(bǔ)丁。
  • 若應(yīng)用程序有大量的磁盤訪問、網(wǎng)絡(luò)訪問行為、高計(jì)算需求，CPU負(fù)載過(guò)高是正常結(jié)果。您可以嘗試升配實(shí)例規(guī)格來(lái)解決資源瓶頸問題。
  • CPU負(fù)載過(guò)高的解決方法，請(qǐng)參見Windows系統(tǒng)ECS實(shí)例的CPU使用率較高的解決方法。

• 無(wú)法遠(yuǎn)程連接可能是公網(wǎng)帶寬不足導(dǎo)致的，具體排查方法如下。可通過(guò)續(xù)費(fèi)ECS實(shí)例，然后重啟實(shí)例解決。詳情請(qǐng)參見手動(dòng)續(xù)費(fèi)，或者請(qǐng)參見自動(dòng)續(xù)費(fèi)。

  1. 登錄ECS管理控制臺(tái)。
  1. 找到該實(shí)例， 單擊管理進(jìn)入實(shí)例詳情頁(yè)面，查看監(jiān)控信息數(shù)據(jù)。
  1. 檢查服務(wù)器帶寬是否為“1k”或“0k”。如果購(gòu)買實(shí)例時(shí)沒有購(gòu)買公網(wǎng)帶寬，后來(lái)升級(jí)了公網(wǎng)帶寬，續(xù)費(fèi)的時(shí)候沒有選擇續(xù)費(fèi)帶寬，帶寬就會(huì)變成“1k”。
• 遠(yuǎn)程連接輸入用戶密碼登錄后，不能正常顯示桌面直接退出，也沒有錯(cuò)誤信息。這種情況可能是服務(wù)器內(nèi)存不足導(dǎo)致的，需要查看一下服務(wù)器的內(nèi)存使用情況。具體操作如下。

1. 1. 使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。

1. 1. 選擇開始>控制面板>管理工具，雙擊事件查看器。查看一下是否有內(nèi)存資源不足的警告日志信息。如有日志信息提示內(nèi)存不足，具體解決方法參考Windows 虛擬內(nèi)存不足問題的處理。

步驟八：防火墻配置檢查

您只有在已授權(quán)可關(guān)閉防火墻的情況下，才能進(jìn)行該項(xiàng)排查。確認(rèn)防火墻是否已關(guān)閉，如果沒有關(guān)閉，則通過(guò)調(diào)整防火墻配置策略修復(fù)，具體操作請(qǐng)參見如何配置Windows實(shí)例遠(yuǎn)程連接的防火墻。完成操作后，請(qǐng)?jiān)龠M(jìn)行遠(yuǎn)程連接，確認(rèn)連接成功。本文以Windows Server 2012初次登錄開啟防火墻為例。新購(gòu)的Windows 2012實(shí)例，首次連接服務(wù)器是可以的。連接服務(wù)器并激活系統(tǒng)后，會(huì)提示如下圖片中的信息，用戶需要單擊是，如果單擊否，服務(wù)器會(huì)自動(dòng)開啟公網(wǎng)的防火墻，連接會(huì)直接斷開。此問題可參考以下步驟進(jìn)行解決。

1. 使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。
2. 在菜單欄選擇開始>控制面板 。
3. 查看方式選擇小圖標(biāo)，單擊Windows 防火墻。
   
4. 在Windows防火墻窗口，單擊高級(jí)設(shè)置。
5. 在彈出的窗口中，單擊入站規(guī)則，在右側(cè)拉至最下方，右鍵單擊遠(yuǎn)程桌面-用戶模式(TCP-In)，選擇啟動(dòng)規(guī)則。
   
6. 返回上一個(gè)頁(yè)面， 單擊Windows防火墻屬性。
   
7. 選擇啟用（推薦），單擊應(yīng)用。

   說(shuō)明：建議將域配置文件、專用配置文件、公用配置文件選項(xiàng)卡下的防火墻全部啟用。

   

步驟九：系統(tǒng)的安全策略設(shè)置

您可以查看Windows服務(wù)器上是否有阻止遠(yuǎn)程桌面連接的相關(guān)安全策略。具體操作如下。

1. 使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。
2. 選擇開始>控制面板>管理工具，雙擊本地安全策略。
   
3. 在彈出的窗口中，單擊IP安全策略，查看是否有相關(guān)的安全策略。
4. 如果有，右鍵單擊相關(guān)策略，選擇刪除，或雙擊該IP的安全策略來(lái)重新配置以允許遠(yuǎn)程桌面連接。然后再使用遠(yuǎn)程桌面連接。
   

步驟十：遠(yuǎn)程終端服務(wù)的配置檢查

無(wú)法連接Windows實(shí)例遠(yuǎn)程桌面可能是由于以下遠(yuǎn)程終端服務(wù)的配置異常而導(dǎo)致。

異常一：服務(wù)器側(cè)自簽名證書損壞

客戶端如果是Windows 7以上版本的系統(tǒng)，會(huì)嘗試與服務(wù)器建立TLS連接。若服務(wù)器側(cè)用于TLS連接的自簽名證書損壞，則會(huì)導(dǎo)致遠(yuǎn)程連接失敗。

1. 使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例。
2. 選擇開始>管理工具>遠(yuǎn)程桌面服務(wù)，然后雙擊遠(yuǎn)程桌面會(huì)話主機(jī)配置。
   
3. 選擇RDP-Tcp，在RDP-Tcp屬性窗口，將安全層修改成RDP安全層。
   
4. 在操作欄單擊禁用連接，再單擊啟用連接即可。

異常二：遠(yuǎn)程桌面會(huì)話主機(jī)配置連接被禁用

使用netstat命令查詢，發(fā)現(xiàn)端口未正常監(jiān)聽。使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例后，發(fā)現(xiàn)遠(yuǎn)程桌面RDP連接屬性配置文件被禁用。參見服務(wù)器側(cè)自簽名證書損壞，找到RDP連接屬性配置文件，如果RDP-Tcp被禁用，單擊啟用連接即可。

異常三：終端服務(wù)器角色配置

用戶在使用遠(yuǎn)程桌面訪問Windows實(shí)例時(shí)，有時(shí)會(huì)出現(xiàn)如下提示。

這種情況一般是由于在服務(wù)器上安裝配置了終端服務(wù)器，但是沒有配置有效的訪問授權(quán)導(dǎo)致的。可參見以下三種解決方案處理：

• Windows服務(wù)器遠(yuǎn)程桌面提示“沒有遠(yuǎn)程桌面授權(quán)服務(wù)器可以提供許可證”錯(cuò)誤
• 遠(yuǎn)程登錄Windows實(shí)例報(bào)“遠(yuǎn)程桌面用戶組沒有該權(quán)限”錯(cuò)誤
• 如果是安裝了終端服務(wù)器角色導(dǎo)致的，需要登錄服務(wù)器鼠標(biāo)右鍵單擊計(jì)算機(jī)，選擇管理>角色>刪除角色。

步驟十一：殺毒軟件檢查

無(wú)法連接遠(yuǎn)程桌面可能是由于第三方殺毒軟件設(shè)置導(dǎo)致，可通過(guò)以下方法進(jìn)行解決。此處列舉兩個(gè)安全狗配置導(dǎo)致遠(yuǎn)程訪問失敗的解決案例。

• 如果殺毒軟件在后臺(tái)執(zhí)行，可通過(guò)實(shí)例詳情頁(yè)面的終端登錄，將殺毒軟件升級(jí)至最新版本或者直接刪除。
• 請(qǐng)使用商業(yè)版殺毒軟件，或者使用Microsoft Safety Scanner微軟免費(fèi)安全工具，在安全模式下掃描殺毒，相關(guān)信息請(qǐng)參見安全掃描程序。

案例一：安全狗黑名單攔截

如果安裝了安全狗后，出現(xiàn)以下情況，請(qǐng)確認(rèn)防護(hù)軟件中是否做了安全設(shè)置或?qū)?yīng)的攔截。

• 客戶端本地?zé)o法遠(yuǎn)程桌面連接Windows實(shí)例，但其他區(qū)域可以遠(yuǎn)程連接。
• 無(wú)法ping通服務(wù)器IP地址，且通過(guò)tracert命令跟蹤路由，發(fā)現(xiàn)無(wú)法到達(dá)服務(wù)器。
• 云盾未攔截本地公網(wǎng)IP地址。

可打開服務(wù)器安全狗進(jìn)行檢查，選擇網(wǎng)絡(luò)防火墻。單擊超級(jí)黑名單的規(guī)則設(shè)置，如果黑名單中存在實(shí)例公網(wǎng)IP，則將此黑名單規(guī)則刪除，然后將公網(wǎng)IP添加到超級(jí)白名單。

說(shuō)明：如果云盾的閾值設(shè)置過(guò)低，則可能攔截實(shí)例公網(wǎng)IP。建議把清洗閾值調(diào)高，避免出現(xiàn)攔截實(shí)例公網(wǎng)IP的情況發(fā)生，具體請(qǐng)參見DDoS基礎(chǔ)防護(hù)。

案例二：安全狗程序異常

使用控制臺(tái)遠(yuǎn)程連接功能登錄到Windows實(shí)例后，在系統(tǒng)桌面右下角，安全狗彈出錯(cuò)誤提示，系統(tǒng)顯示類似如下。該問題可能是由于安全狗軟件出現(xiàn)異常導(dǎo)致的?？赏ㄟ^(guò)Windows系統(tǒng)卸載安全狗軟件后，重啟服務(wù)器，網(wǎng)絡(luò)即可恢復(fù)。

如果您有其他問題，可以聯(lián)系漢中創(chuàng)云互聯(lián)阿里云代理商，為您提供一對(duì)一專業(yè)全面的技術(shù)服務(wù)，同時(shí)新老阿里云會(huì)員，均可享受我公司代理商價(jià)格，歡迎咨詢！