◇閩北職業(yè)技術(shù)學(xué)院 吳碧霞

云主機具有擴展性好、安全可靠、性價比高等優(yōu)點，被越來越多的中小企業(yè)利用云主機來快速搭建系統(tǒng)業(yè)務(wù)環(huán)境，網(wǎng)絡(luò)管理員經(jīng)常通過遠程桌面功能操作云主機計算機，在上面安裝軟件，運行程序，在實際應(yīng)用中有時會發(fā)現(xiàn)無法正常遠程桌面登錄，該現(xiàn)象涉及云側(cè)和客戶操作系統(tǒng)內(nèi)多種原因。本文針對云主機無法通過遠程桌面連接各種問題和原因進行多維度定位分析，形成相關(guān)解決辦法思路，可以在故障處理中快速應(yīng)用，提升故障處置效率。

云主機是阿里云、天翼云、百度云等新一代的云業(yè)務(wù)運營商提供的主機租用服務(wù)，云業(yè)務(wù)運營商將高性能服務(wù)器的計算、存儲與優(yōu)質(zhì)網(wǎng)絡(luò)帶寬資源的IT基礎(chǔ)設(shè)施能力進行整合，有效解決了傳統(tǒng)主機建設(shè)運營成本偏高導(dǎo)致租用價格偏高、專業(yè)化標準不一、服務(wù)品質(zhì)參差不齊等缺點，具有擴展性好、安全可靠、性價比高等優(yōu)點，可全面滿足中小企業(yè)、個人站長等用戶對主機租用服務(wù)低租用成本，高可靠性能，業(yè)務(wù)方便管理的需求，能提供基于云計算模式的按實際需求使用量和按業(yè)務(wù)需求量付費能力的服務(wù)器租用服務(wù)，被越來越多的中小企業(yè)用來快速搭建系統(tǒng)業(yè)務(wù)環(huán)境。云主機客戶的網(wǎng)絡(luò)管理員經(jīng)常使用遠程桌面來操作本地計算機或服務(wù)器，在上面安裝軟件、運行程序、管理維護數(shù)據(jù)庫等。遠程桌面功能是微軟公司推出的從windows 2000 server版本開始引入一項服務(wù)，網(wǎng)絡(luò)管理員使用遠程桌面功能連接程序可以很方便地連接到網(wǎng)絡(luò)上任意一臺開啟了遠程桌面控制功能的計算機上，和自己現(xiàn)場操作該計算機沒有區(qū)別。云主機客戶的網(wǎng)絡(luò)管理員對云主機也需要同樣的功能，在實際應(yīng)用中有時會發(fā)現(xiàn)無法正常遠程桌面登錄，該現(xiàn)象涉及云側(cè)和客戶操作系統(tǒng)內(nèi)多種原因，本文對此進行多維度定位分析，并提出相應(yīng)的解決辦法。

1 分析過程主要步驟

（1）首先通過VNC登錄查看服務(wù)器狀態(tài)是否正常，如不正?？陕?lián)系云公司進一步排查，如正常進行下一步。

（2）檢查安全組是否添加遠程服務(wù)端口，windows默認遠程端口為3389，如未添加，可添加后重試，如已添加，進行下一步。

（3）在本地測試是否可以遠程，如可以遠程連接，則需客戶排查客戶端問題，如無法遠程連接，進行下一步。

（4）vnc登錄查看服務(wù)器內(nèi)部遠程服務(wù)是否開啟，端口是否修改，防火墻是否開啟，是否存在安全軟件、安全狗、360等。

2 故障問題原因和相應(yīng)解決措施

2.1 沒有開啟遠程桌面服務(wù)

通過以下步驟操作查看Windows服務(wù)器的系統(tǒng)是否開啟了遠程桌面服務(wù)：①使用控制臺遠程連接功能登錄到Windows實例；②右鍵單擊我的電腦，選擇屬性>高級系統(tǒng)設(shè)置。在系統(tǒng)屬性窗口，選擇點擊遠程選項卡，查看允許運行任意版本遠程桌面的計算機連接是否勾選，如沒有勾選點擊勾選即可。

2.2 Windows Server 2012初次登錄開啟防火墻會斷開

新購的Windows 2012實例，首次連接服務(wù)器正常。連接服務(wù)器并激活系統(tǒng)后，會提示是否要在此網(wǎng)絡(luò)上查找電腦等設(shè)備并自動連接，用戶此時如果單擊否，服務(wù)器就會自動開啟公網(wǎng)的防火墻，導(dǎo)致連接直接斷開?？蓢L試通過以下步驟解決：

（1）使用控制臺遠程連接功能登錄到Windows實例。

（2）在菜單欄選擇開始→控制面板→Windows 防火墻。

（3）在Windows 防火墻窗口，單擊高級設(shè)置→入站規(guī)則，在右側(cè)拉至最下方，右鍵單擊遠程桌面-用戶模式(TCP-In)，選擇啟動規(guī)則。

（4）返回上一個頁面，單擊Windows 防火墻屬性，選擇啟用（推薦），單擊應(yīng)用。注意將域配置文件、專用配置文件、公用配置文件選項卡下的全部防火墻都啟用。

2.3 系統(tǒng)服務(wù)被禁用

為了提高系統(tǒng)安全性，用戶錯誤的將遠程桌面服務(wù)所依賴的某些關(guān)鍵服務(wù)禁用，從而導(dǎo)致遠程桌面服務(wù)異常。解決方法步驟如下：

（1）使用控制臺遠程連接功能登錄到Windows實例。

（2）選擇開始→運行。輸入msconfig，單擊確定運行系統(tǒng)配置。

（3）在系統(tǒng)配置的窗口中，選擇常規(guī)選項卡，選擇正常啟動，然后重啟服務(wù)器，即可解決。

2.4 本地網(wǎng)絡(luò)受限

要判斷是本地網(wǎng)絡(luò)問題還是服務(wù)器端的網(wǎng)絡(luò)問題，可以通過ping和telnet命令，檢查服務(wù)器公網(wǎng)IP及3389端口的連通性來判定，同時可以用不同網(wǎng)段或不同運營商等其他網(wǎng)絡(luò)環(huán)境中的電腦連接來對比測試，以判斷是否為本地網(wǎng)絡(luò)受限。

2.5 遠程端口被修改

ECS的安全組規(guī)則中默認放行3389端口，如果修改了遠程桌面的端口，則需要在安全組規(guī)則中放行修改后的相應(yīng)端口號，登錄方式改變或者ECS安全組規(guī)則中未放行修改后的端口號，會導(dǎo)致無法連接Windows實例遠程桌面。

2.6 終端服務(wù)器角色未配置授權(quán)

終端服務(wù)器角色未配置授權(quán)導(dǎo)致無法正常遠程連接的原因可能有以下兩種：

（1）Windows服務(wù)器正常情況下默認提供兩個用戶的免費遠程桌面管理授權(quán)，由于終端服務(wù)配置了RDP-TCP限制每個用戶只能進行一個會話，該賬號有其他人在登錄，所以其他會話無法建立。如果有更多的連接需求，則需要配置遠程桌面會話主機服務(wù)器角色，同時購買和配置相應(yīng)的授權(quán)后，才可以使用更多的遠程桌面管理并發(fā)。

（2）在系統(tǒng)內(nèi)安裝了遠程桌面會話主機角色，此功能免費試用120天，之后需要進行付費，如果沒有付費會造成無法通過管理終端連接。在配置遠程桌面會話主機角色后，會同時取消默認兩個用戶的免費連接授權(quán)，在沒有正確配置相關(guān)授權(quán)的時候，會導(dǎo)致遠程桌面無法連接，并出現(xiàn)錯誤提示。

根據(jù)上述兩種實際情況，可參考以下兩種解決方法。

一是取消RDP-TCP限制每個用戶只能進行一個會話，具體操作步驟如下：①通過管理終端連接Windows實例。②選擇開始→運行，在打開框中輸入gpedit.msc，單擊確定，運行組策略編輯器。③進入本地組策略編輯器頁面，選擇計算機配置→管理模板→Windows 組件，雙擊遠程桌面服務(wù)。④雙擊遠程桌面會話主機→連接。⑤單擊限制連接的數(shù)量，在彈出的窗口中，選擇已啟用，在允許RD 最大連接數(shù)框中，輸入需要的最大連接數(shù)，單擊確定。⑥選擇開始→運行，在打開框中輸入cmd，打開命令行，執(zhí)行命令gpupdate。

二是安裝遠程桌面會話主機導(dǎo)致無法遠程Windows服務(wù)器，請參考如下兩種解決方法：

方法一：配置遠程桌面會話主機服務(wù)器后，在微軟官網(wǎng)購買和配置相應(yīng)的證書授權(quán)，參閱微軟官方文檔相關(guān)方法操作。

方法二：刪除遠程桌面會話主機角色，參考以下步驟對不同版本的Windows服務(wù)器進行配置，使用默認兩個用戶的免費連接授權(quán)。

Windows 2012操作系統(tǒng)：①通過管理終端連接Windows實例。②選擇開始→運行，在打開框中輸入servermanager.msc，單擊確定。③進入服務(wù)器管理器頁面，選擇管理→刪除角色和功能。④進入刪除功能和角色頁面→下一步→下一步。⑤在角色框中，取消勾選遠程桌面服務(wù)，其它配置默認，單擊下一步。⑥在實例內(nèi)重啟。

Windows 2008操作系統(tǒng)：①通過管理終端連接Windows實例。②選擇開始→運行，在打開框中輸入servermanager.msc，單擊確定。③進入服務(wù)器管理頁面→角色，右鍵單擊遠程桌面服務(wù)，選擇刪除角色服務(wù)。④在彈出窗口中，取消勾選遠程桌面會話主機→下一步，等待配置完成。⑤在實例內(nèi)重啟該實例。

2.7 遠程端口設(shè)置超出范圍

無論是Windows實例還是Linux實例，錯誤配置監(jiān)聽端口會導(dǎo)致遠程桌面服務(wù)監(jiān)聽失敗，將端口重新修改為0～65535之間未被占用的端口即可解決，修改端口的具體操作方法如下：

（1）遠程連接并登錄到Windows 實例。

（2）運行regedit.exe打開注冊表編輯器。

（3）找到如下注冊表子項：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber。

（4）在彈出的對話框中選擇十進制，在數(shù)值數(shù)據(jù)中輸入新的遠程端口號，如3799，單擊確定。

（5）如果開啟了防火墻，還需要將新的端口號添加到防火墻，并設(shè)置允許連接。

（6）登錄管理控制臺，重啟該實例。

（7）在安全組列表頁面，找到相應(yīng)的安全組，單擊配置規(guī)則。

（8）根據(jù)實際的使用場景來定義安全規(guī)則，在安全組規(guī)則頁面，單擊添加安全組規(guī)則，允許新配置的遠程端口進行連接。

（9）以上步驟完成后，在遠程地址后面添加新遠程端口號，例如192.168.1.2:3799，即可連接實例，遠程訪問服務(wù)器。

2.8 遠程終端服務(wù)配置異常

由于以下兩種遠程終端服務(wù)的配置異常可能導(dǎo)致無法連接Windows實例遠程桌面：

異常1：服務(wù)器側(cè)自簽名證書損壞?？蛻舳巳绻荳indows 7以上版本的系統(tǒng)，會嘗試與服務(wù)器建立TLS連接。若服務(wù)器側(cè)用于TLS連接的自簽名證書損壞，則會導(dǎo)致遠程連接失敗。

解決該異常步驟：

（1）使用控制臺遠程連接功能登錄到Windows實例。

（2）選擇開始→管理工具→遠程桌面服務(wù)，然后雙擊打開遠程桌面會話主機配置

（3）選擇RDP-Tcp。在RDP-Tcp屬性窗口將安全層修改成RDP安全層。

（4）在操作欄先禁用連接，再啟用連接即可。

異常2：遠程桌面會話主機配置連接被禁用。使用netstat命令查詢，發(fā)現(xiàn)端口未正常監(jiān)聽。使用控制臺遠程連接功能登錄到Windows實例后，發(fā)現(xiàn)遠程桌面RDP連接屬性配置文件被禁用。解決方法參考服務(wù)器側(cè)自簽名證書損壞找到RDP連接屬性配置文件，如果RDP-Tcp被禁用，單擊啟用連接即可。

2.9 系統(tǒng)的安全策略設(shè)置

可以查看Windows服務(wù)器上是否有阻止遠程桌面連接的相關(guān)安全策略。具體操作步驟如下：

（1）使用控制臺遠程連接功能登錄到Windows實例。

（2）選擇開始→控制面板→管理工具，雙擊本地安全策略。

（3）在彈出的窗口中，單擊IP 安全策略，查看是否有相關(guān)的安全策略。

（4）如果有，右鍵單擊相關(guān)策略，選擇刪除，或雙擊該IP的安全策略來重新配置以允許遠程桌面連接，然后使用再遠程桌面連接。

2.10 殺毒軟件導(dǎo)致

無法連接遠程桌面可能是由于第三方殺毒軟件設(shè)置導(dǎo)致。此處列舉兩個安全狗配置導(dǎo)致遠程訪問失敗的案例。

案例1：安全狗程序異常。

使用控制臺遠程連接功能登錄到Windows實例后，安全狗軟件出現(xiàn)異常，在系統(tǒng)桌面右下角彈出錯誤提示。通過Windows系統(tǒng)卸載安全狗軟件后，重啟服務(wù)器，網(wǎng)絡(luò)即可恢復(fù)。

案例2：安全狗黑名單攔截。

異常情況：客戶端本地無法遠程桌面連接Windows實例，但其他區(qū)域可以遠程連接。無法PING通服務(wù)器IP地址，且通過tracert命令跟蹤路由，發(fā)現(xiàn)無法到達服務(wù)器。云盾未攔截本地公網(wǎng)IP地址。

如果安裝了安全狗后，出現(xiàn)如上情況，需檢查防護軟件中是否做了對應(yīng)的攔截或安全設(shè)置?？梢源蜷_服務(wù)器安全狗，選擇網(wǎng)絡(luò)防火墻。單擊超級黑名單的規(guī)則設(shè)置，如果黑名單中存在實例公網(wǎng)IP，則將此黑名單規(guī)則刪除，然后將公網(wǎng)IP添加到超級白名單。

2.11 服務(wù)器內(nèi)存不足

遠程連接輸入用戶密碼登錄后，不能正常顯示桌面直接退出，也沒有錯誤信息。這種情況可能是服務(wù)器內(nèi)存不足導(dǎo)致的，需要查看一下服務(wù)器的內(nèi)存使用情況。具體操作如下。

（1）使用控制臺遠程連接功能登錄到Windows實例。

（2）選擇開始→控制面板→管理工具，打開事件查看器。查看一下是否有內(nèi)存資源不足的警告日志信息。

出現(xiàn)操作系統(tǒng)虛擬內(nèi)存不足，有兩種方法檢查方法：

方法1：檢查系統(tǒng)日志。打開事件查看器（運行→eventvwr），在系統(tǒng)日志中發(fā)現(xiàn)” Resource-Exhaustion-Detector”報出的2004錯誤。

方法2：檢查任務(wù)管理器。

任務(wù)管理器中發(fā)現(xiàn)檢查已提交內(nèi)存與虛擬內(nèi)存的比例。%Commited Bytes In Use 等于已提交虛擬內(nèi)存/虛擬內(nèi)存上限,如果超過80%,而根據(jù)微軟官方說明，請嘗試如下方案：

方案1：由于默認ECS沒有配置Paging File，可以手工配置paging file，按照如下步驟進行。

參考以下步驟，在Windows系統(tǒng)中配置虛擬內(nèi)存：

（1）遠程連接登錄到Windows實例，如果使用軟件無法登錄Windows實例，可以使用ECS控制臺的管理終端登錄實例。

（2）右擊計算機（或這臺電腦），單擊屬性→高級系統(tǒng)設(shè)置。

（3）在彈出的窗口中，單擊高級，在性能區(qū)域，單擊設(shè)置。

（4）在彈出的窗口中，單擊高級，選擇后臺服務(wù)，然后單擊更改。

（5）在彈出的窗口中，取消選擇自動管理所有驅(qū)動器的分頁文件大小。

（6）選擇虛擬內(nèi)存文件存放的驅(qū)動器，在自定義大小中，輸入初始大小與最大值。建議不要選擇系統(tǒng)盤來存放虛擬內(nèi)存，具體根據(jù)服務(wù)器的硬盤情況來選擇。

（7）單擊設(shè)置，然后單擊確定完成配置。如果云服務(wù)器ECS內(nèi)存資源不足，增加虛擬內(nèi)存會導(dǎo)致磁盤I/O性能下降，建議通過升級實例規(guī)格解決，如升級CPU和內(nèi)存。

方案2：如果配置Paging File后，仍然出現(xiàn)內(nèi)存不足情況，有可能是應(yīng)用程序?qū)?nèi)存要求高，需增大實例規(guī)格，調(diào)高ECS的物理內(nèi)存，同時相應(yīng)的增加paging file。

3 結(jié)束語

總之，Windows云主機無法遠程桌面的原因較多，其中大部分為操作系統(tǒng)設(shè)置或者服務(wù)異常導(dǎo)致，如系統(tǒng)服務(wù)未打開、端口設(shè)置錯誤、網(wǎng)絡(luò)受限等等，有些故障原因和本地主機相似，有些則和云計算、網(wǎng)絡(luò)相關(guān)，需根據(jù)具體故障現(xiàn)象找到原因并解決。本文所列的十一種原因基本涵蓋常見的云主機無法遠程桌面的故障現(xiàn)象，在日常處理中，可以根據(jù)故障現(xiàn)象分類分段，定位故障是在遠程服務(wù)器系統(tǒng)網(wǎng)絡(luò)，還是在本地網(wǎng)絡(luò)、客戶機本身，針對不同故障快速處理，可以提升故障處置效率。