Посреднику соединений не удалось проверить настройки файла rdp

Обновлено: 21.11.2024

Недавно я столкнулся с проблемой с существующей службой удаленных рабочих столов 2012 R2 на клиентском сайте. Ошибка возникала с перерывами, и после нескольких попыток клиент мог нормально установить соединение, что делало проблему не всегда воспроизводимой. В этом блоге кратко описан процесс выявления симптомов, возможных причин и шагов по их устранению.

Небольшая предыстория

Ферма RDS состояла из двух серверов брокера подключений и двух хостов сеансов. Посредник подключений к удаленному рабочему столу настроен в режиме высокой доступности с использованием двух записей DNS, указывающих на два узла посредника для циклического перебора. Узлы сеансов — это машины на базе 2012 R2. На узлах-брокерах также размещаются веб-доступ к удаленным рабочим столам и шлюз удаленных рабочих столов, при этом один из узлов выполняет роль лицензирования удаленных рабочих столов.

Устранение неполадок

Конечный пользователь обнаружил следующую ошибку при попытке подключения:
Ваш компьютер не может подключиться к удаленному компьютеру, поскольку посреднику подключений не удалось проверить параметры, указанные в вашем RDP-файле. Обратитесь за помощью к сетевому администратору.

После дальнейших раскопок я обнаружил следующую ошибку (идентификатор события 802) на втором узле брокера:
Посреднику подключений к удаленному рабочему столу не удалось обработать запрос на подключение для пользователя .
Имя фермы, указанное в RDP-файле пользователя (подсказки), не найдено.
Ошибка: ферма, указанная для подключения, не существует.

Клиенту посредника подключений к удаленному рабочему столу не удалось перенаправить пользователя
Ошибка: NULL

Одна из обнаруженных мной особенностей заключалась в том, что такая же ошибка не возникала на другом сервере брокера. Это побудило меня исследовать конфигурацию RDS: RDCB был настроен в режиме высокой доступности с серверной частью SQL, однако у него настроен только один узел. Мы куда-то попали. Чтобы изолировать проблему, мы решили использовать RDS в конфигурации с одним узлом, чтобы подтвердить подозрение, что всякий раз, когда пользователь перенаправляется на не настроенный брокер, это может привести к сбою перенаправления (RDCB использует циклический DNS для высокой доступности).

В консоли диспетчера серверов были выполнены следующие задачи:

  • Удалена запись DNS RR второго узла брокера.
  • Удален второй шлюз
  • Удален веб-доступ к удаленным рабочим столам второго узла.

Подключение к ферме удаленных рабочих столов из внутренней сети работало нормально после того, как мы внесли это изменение — проверяли это несколько раз и с разных компьютеров, чтобы убедиться, что оно стабильно. Однако при подключении из внешней сети мы получили другую ошибку, но на этот раз ошибка конечного пользователя была другой:

Удаленный рабочий стол не может подключиться к удаленному компьютеру по одной из следующих причин:
1) удаленный доступ к серверу не включен
2) Удаленный компьютер выключен
3) Удаленный компьютер недоступен в сети
Убедитесь, что удаленный компьютер включен и подключен к сети, а удаленный доступ включен.

Следующим портом захода была проверка шлюза удаленных рабочих столов, и мы обнаружили, что второй шлюз по-прежнему является частью фермы шлюзов удаленных рабочих столов. Начиная с Windows Server 2012, администрирование RDS осуществляется с помощью консоли диспетчера серверов, которая включает настройку коллекций сеансов, веб-доступа к удаленным рабочим столам, развертывания брокера и лицензирования удаленных рабочих столов. Одним из аспектов, который не полностью управляется через консоль, является шлюз удаленных рабочих столов. Один из основных выводов: после добавления или удаления шлюза удаленных рабочих столов из консоли диспетчера серверов проверьте, был ли сервер шлюза удаленных рабочих столов удален из диспетчера шлюза удаленных рабочих столов.

*Дальнейшее исследование показало, что в конфигурации был установлен флажок «Обходить сервер шлюза удаленных рабочих столов для локальных адресов», что приводило к другому результату при подключении из локальных сетей, поскольку он обходил шлюз удаленных рабочих столов. Если снять этот флажок, все подключения будут выполняться через шлюз удаленных рабочих столов.

Попробуем разобраться, как исправить ошибку RDP-подключения Этот компьютер не может подключиться к удаленному компьютеру. Это происходит, когда вы пытаетесь подключиться к удаленному компьютеру Windows или узлу Windows Server с ролью служб удаленных рабочих столов (RDS) с помощью встроенного клиента Windows RDP (mstsc.exe).

Проблема выглядит следующим образом: при попытке подключения к удаленному серверу/рабочему столу Windows по RDP клиент mstsc.exe зависает на минуту, и появляется окно со следующей ошибкой RDP:

Подключение к удаленному рабочему столу

Этот компьютер не может подключиться к удаленному компьютеру.

Попробуйте подключиться еще раз. Если проблема не исчезнет, ​​обратитесь к владельцу удаленного компьютера или администратору сети.

Проверьте подключение к сети RDP

Прежде всего проверьте, доступен ли удаленный компьютер с вашего устройства по сети, и порт удаленного рабочего стола по умолчанию (TCP 3389) отвечает (и не блокируется брандмауэрами).

Убедитесь, что DNS-адрес удаленного узла RDP правильно разрешен с вашего компьютера. Используйте следующие команды:

Если DNS-имя разрешено неправильно, проверьте настройки DNS или попробуйте подключиться к удаленному хосту, используя его IP-адрес.

Подсказка. Обязательно проверьте содержимое локального файла hosts. Он не должен содержать статических записей для имени или IP-адреса вашего удаленного сервера. Удалите лишние записи из файла hosts. Вы можете просмотреть содержимое файла hosts с помощью PowerShell:

Вы можете проверить доступность порта RDP на удаленном сервере с клиентской рабочей станции, используя:

Клиент Telnet:

PowerShell 4.0 и выше:

Примечание. Если эта команда вернула True, значит порт RDP отвечает на сервере и не блокируется.

Все версии PowerShell:

Если порт 3389 недоступен, проверьте, включено ли удаленное подключение на удаленном сервере (щелкните правой кнопкой мыши кнопку «Пуск» > «Настройки» > «Система» > «Удаленный рабочий стол» > «Включить удаленный рабочий стол»).

Вы можете удаленно включить удаленный рабочий стол на компьютере с Windows, изменив реестр fDenyTSConnections.

Проверьте настройки службы RDP на удаленном компьютере

Если удаленный рабочий стол включен, следует проверить параметр, определяющий максимальное количество одновременных подключений пользователей к удаленному рабочему столу. Откройте оснастку tsadmin.msc mmc (Средства администрирования > Службы удаленных рабочих столов > Конфигурация узла сеансов удаленных рабочих столов). Нажмите на свойства RDP-TCP и проверьте значение свойства Максимальное количество подключений на вкладке Сетевой адаптер.

Файл tsadmin.msc отсутствует в современных версиях Windows (например, Windows 10 или Windows Server 2016), поэтому вам следует задать параметры службы RDP с помощью групповых политик.

  1. Откройте локальный редактор GPO на удаленном узле: Win + R > gpedit.msc;
  2. Перейдите к следующему разделу объекта групповой политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Подключения;
  3. Включите параметр политики Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов (если эта политика отключена, удаленный пользователь не сможет подключаться к этому компьютеру с помощью служб удаленных рабочих столов);
  4. Кроме того, проверьте, не ограничивают ли службы удаленных рабочих столов количество одновременных подключений к серверу. Максимальное количество RDP-подключений можно указать в разделе Подключения с помощью политики Ограничить количество подключений. Установите неограниченное количество подключений, указав 999999 в параметре RD Максимальное разрешенное количество подключений;
  5. Используйте команду netstat, чтобы проверить, находится ли TCP-порт 3389 в состоянии прослушивания. Откройте командную строку от имени администратора и выполните команду:

    Как видите, в нашем примере прослушивается порт 3389.

    Попробуйте перезапустить службу удаленных рабочих столов. Это действие можно выполнить с помощью консоли services.msc или с помощью следующей команды в командной строке PowerShell с повышенными привилегиями:

    Проверьте порт RDP и настройки брандмауэра Windows

    В некоторых случаях администратор может изменить номер порта RDP с 3389 по умолчанию на какой-либо другой (хотя Microsoft не рекомендует это делать). Чтобы проверить текущий порт, который служба удаленного рабочего стола прослушивает на компьютере, откройте редактор реестра (regedit.exe) и перейдите к разделу реестра:

    Обратите внимание на значение параметра PortNumber REG_DWORD.Он указывает текущий TCP-порт, назначенный службе RDP. В нашем примере это 3389 (шестнадцатеричное значение d3d). Если у вас другой порт, вы можете изменить его на 3389 (в десятичном формате) и перезагрузить компьютер.

    Вы можете проверить текущий номер порта прослушивания удаленного рабочего стола с помощью PowerShell:

    Чтобы проверить порт RDP на удаленном компьютере, используйте команду Invoke-Command:

    Если для удаленного рабочего стола на удаленном компьютере настроен нестандартный порт, необходимо указать номер порта, разделенный двоеточием, при подключении к компьютеру через клиент подключения к удаленному рабочему столу. Например, rdp_server_name1:3320.

    Кроме того, убедитесь, что правило, разрешающее входящие подключения RDP, включено в настройках брандмауэра Защитника Windows.

    1. Для этого откройте Панель управления > Система и безопасность > Брандмауэр Защитника Windows.
    2. Нажмите "Разрешить приложение или функцию через брандмауэр Защитника Windows" > "Изменить настройки";
    3. Найдите правило удаленного рабочего стола и убедитесь, что оно включено для частных и общедоступных сетей.
    4. Подсказка. Вы можете включить встроенное правило брандмауэра для службы удаленных рабочих столов, работающей на порту TCP/3389, с помощью PowerShell:

      Если это встроенное правило брандмауэра отсутствует, вы можете создать новое:

      Проверьте свой профиль сетевого подключения. Вы можете столкнуться с различными ошибками подключения RDP, если общедоступный профиль настроен для вашего сетевого расположения. Попробуйте изменить его на частный.

      Вы можете изменить сетевое расположение с помощью панели управления (Сеть и Интернет > Состояние > Свойства подключения) или с помощью PowerShell.

      Получить текущий сетевой профиль:

      Изменить профиль сетевого подключения на частный:

      Если вы используете брандмауэр или антивирус стороннего производителя, убедитесь, что он не блокирует входящие подключения RDP. Вы можете временно отключить антивирусное программное обеспечение.

      Затем проверьте свойства сетевого подключения. Убедитесь, что статус сетевого подключения установлен как Общедоступный. При необходимости измените его с частного на общедоступный («Настройки» > «Сеть и Интернет» > «Статус» > «Статус сети» > «Изменить свойства подключения»).

      В некоторых случаях вам нужно попробовать сбросить настройки winsock и стека IP для сетевого адаптера на удаленном компьютере. Откройте командную строку с правами администратора и выполните команды:

      В Windows 10 есть специальный параметр для сброса настроек сети в меню «Настройки» > «Сеть и Интернет» > «Статус» > «Сброс сети».

      После сброса настроек сети необходимо перезагрузить Windows.

      RDP Этот компьютер не может подключиться к удаленному компьютеру: возможная причина

      Еще одной возможной причиной ошибки RDP может быть высокий уровень безопасности, который не поддерживается более ранними версиями клиента RDP.

      В этом случае откройте вкладку «Общие» в окне свойств RDP-Tcp и измените уровень безопасности с Negotiate по умолчанию на менее безопасный уровень безопасности RDP.

      Совет. Диалоговые окна оснастки tsadmin.msc и RDP-Tcp Properties отсутствуют в Windows Server 2019/2016 и 2012 R2. Но вы можете настроить параметр удаленного рабочего стола с помощью локального редактора групповой политики (gpedit.msc). Необходимые политики находятся в следующем разделе GPO: Политика локального компьютера > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность.

      Уровень безопасности RDP можно указать с помощью политики Требовать пользователя определенного уровня безопасности для удаленных (RDP) подключений. Включите эту политику и в раскрывающемся меню выберите уровень безопасности RDP. Это изменит уровень безопасности удаленного рабочего стола с Negotiate по умолчанию на менее безопасный RDP.

      Сохраните изменения, обновите локальные настройки объекта групповой политики с помощью команды «gpupdate /force» и перезапустите службу удаленного рабочего стола:

      RemoteApp отключен: не удается подключиться к удаленному компьютеру

      В некоторых случаях при подключении с помощью Windows 10 к удаленному рабочему столу через шлюз удаленных рабочих столов в Windows 2012 R2 возникает ошибка:

      RemoteApp отключен

      Ваш компьютер не может подключиться к удаленному компьютеру, поскольку на удаленном компьютере, к которому вы хотите подключиться, произошла ошибка. Обратитесь за помощью к сетевому администратору.

      Чтобы устранить эту проблему, необходимо выполнить следующие действия в RDP-клиенте:

      1. Откройте редактор реестра (regedit.exe);
      2. Перейдите в раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client;
      3. Создайте параметр DWORD с именем RDGClientTransport и значением 1;
      4. Перезагрузите компьютер.

      Если приведенное выше решение не устранило ошибку подключения RDP, попробуйте изменить параметры сбора на стороне сервера RDSH. Откройте свойства проблемной коллекции приложений, перейдите на вкладку «Безопасность» и снимите флажок «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети».

      Если ошибка RemoteApp Disconnected возникает только на одном компьютере, не присоединенном к домену, возможно, на хосте RDSH и настольном компьютере используются разные параметры политики LAN Manager/NTLM. Часто это может вызвать проблемы с аутентификацией.

      Проверьте текущую политику безопасности сети: параметры политики уровня проверки подлинности LAN Manager на RSDH с помощью команды gpresult /rc:\tmp\gpreport.html (проверьте файл html) или с помощью rsop.msc (эта политика находится в разделе Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности). Если на вашем сервере RDSH отключены протоколы LM и NTLMv1 (значение политики "Отправлять только ответы NTLMv2"), необходимо изменить соответствующие параметры политики на стороне клиента.

      1. Для этого откройте локальный редактор GPO (gpedit.msc);
      2. Перейдите к разделу GPO выше;
      3. Включите политику «Сетевая безопасность: уровень проверки подлинности LAN Manager» и установите для нее значение «Только ответ SendNTLMv2»; ;
      4. Проверьте подключение RemoteApp.
      5. Исправлено: не удается подключиться к серверу шлюза удаленных рабочих столов

        Есть еще одна ошибка, связанная со шлюзом удаленных рабочих столов, который используется для доставки удаленных приложений пользователям:

        RemoteApp отключен.

        Ваш компьютер не может подключиться к удаленному компьютеру, поскольку адрес сервера шлюза удаленных рабочих столов недоступен или неверен. Введите допустимый адрес сервера шлюза удаленных рабочих столов.

        Эта ошибка выглядит так:

        Ваш компьютер не может подключиться к удаленному компьютеру, поскольку сервер шлюза удаленных рабочих столов временно недоступен. Попробуйте подключиться позже или обратитесь за помощью к сетевому администратору.

        Если вы столкнулись с одной из вышеперечисленных ошибок, то, скорее всего, проблема заключается в том, что ваш компьютер не может разрешить общедоступное полное доменное имя вашего сервера шлюза удаленных рабочих столов. В некоторых случаях общедоступное имя RDGW не может совпадать с именем хоста.

        Чтобы решить эту проблему:

        1. Откройте диспетчер служб IIS (Internet Information Services) на сервере шлюза удаленных рабочих столов.
        2. Перейдите в раздел IIS «Сайты» > «Веб-сайт по умолчанию» > «RDWeb» > «Страницы» > «Настройки приложения».
        3. В качестве значения DefaultTSGateway введите общедоступное полное доменное имя сервера шлюза удаленных рабочих столов, а затем перезапустите веб-службы с помощью команды:

        Кроме того, проверьте свой сертификат RDGW. Ваш сертификат не должен быть просрочен.

        Информацию о сертификате SSL можно найти, выбрав Диспетчер серверов > Службы удаленных рабочих столов > Коллекции > Ваша_коллекция > Задачи > Изменить свойства развертывания > Сертификаты > Шлюз удаленных рабочих столов > Просмотреть сведения.Проверьте срок действия сертификата.

        Вернитесь к компьютеру вашего клиента и попробуйте начать новый сеанс RDP. Соединение должно быть успешно установлено.

        Подключение к удаленному рабочему столу: код ошибки 0x904, расширенный код ошибки: 0x7

        В современных версиях Windows 10/11 и Windows Server 2016/2019/2022 вы можете столкнуться с другой распространенной ошибкой подключения RDP:

        Подключение к удаленному рабочему столу

        Этот компьютер не может подключиться к удаленному компьютеру.

        Попробуйте подключиться еще раз.

        Код ошибки: 0x904< /p>

        Расширенный код ошибки: 0x7

        Чаще всего при подключении к RDP ошибка 0x904 появляется при нестабильном сетевом соединении (недостаточно пропускной способности, потеря пакетов, несоответствие шифровальных шифров и т. д.) или при слишком медленном VPN-подключении к корпоративной сети. Попробуйте повторно подключиться к рабочей области VPN или смените поставщика услуг Интернета.

        Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

        У нас есть ферма RDS, на которой публикуются различные приложения (Word Excel, Chrome и т. д.) с четырех хостов сеансов 2016 года. (Основной) сервер лицензирования — 2016. Сервер, предоставляющий роли шлюза и брокера (а также исходную роль лицензирования), — 2012.

        Одним из опубликованных приложений является mstsc.exe, например:

        Аргументы, назначенные значку, выглядят следующим образом (где "rd.domain" – это имя нашего шлюза/фермы):

        В этом нет ничего необычного, верно?

        Дело в том, что чаще всего, но не ВСЕ время, когда сотрудники запускают подключение к удаленному рабочему столу, а затем пытаются войти в систему, им отказывают в доступе:

        Я не могу понять, что происходит. Пользователи находятся в правильной группе для программы RemoteApp и коллекции. Я не вижу в журналах событий на сервере-брокере ничего, что сообщало бы мне, какой хост-сервер сеансов может отклонять соединение, и поэтому не могу найти ничего полезного в журналах событий.

        Единственная возможная подсказка, которая у меня есть, заключается в том, что когда я проверяю вкладку «Удаленные» в свойствах системы на хост-сервере сеансов номер 4, параметры раздела «Удаленный рабочий стол» отображаются серым цветом:

        В остальном серверы кажутся идентичными. Параметры в разделе «Выбрать пользователей» показывают ту же группу, что и три других сервера, а запуск GPRESULT показывает, что параметр объекта групповой политики «Разрешить пользователям удаленно подключаться с помощью служб удаленных рабочих столов» включен.

        Кто-нибудь может помочь, пожалуйста?

        Джефф2262

        Читайте также: