全部產品
Search

搜尋本產品

    Elastic Compute Service:無法遠端連線Windows執行個體的排查方法

    文件中心

    Elastic Compute Service:無法遠端連線Windows執行個體的排查方法

    更新時間:Jul 12, 2024

    無法遠端連線Windows執行個體的原因較多,請您根據實際情況,通過相應的排查方法,排查並解決無法遠端連線Windows執行個體的問題。本文主要介紹無法遠端連線Windows執行個體的處理方法。

    快速登入Windows執行個體

    如果您遇到緊急情況,需要儘快登入Windows執行個體,請參見以下操作步驟,先檢查ECS執行個體的狀態,然後通過雲助手向Windows執行個體發送命令或通過VNC登入執行個體,具體步驟如下:

    步驟一:檢查ECS執行個體狀態

    無論何種原因導致無法遠程登入ECS執行個體,請先檢查執行個體的狀態。只有當ECS執行個體為運行中狀態時,才能對外提供業務訪問。檢查步驟如下:

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

    3. 在頂部功能表列左上方處,選擇地區。

    4. 執行個體頁面,單擊目標執行個體ID,查看目標執行個體的執行個體狀態健康狀態,並選擇合適的登入方式。

      • ECS執行個體生命週期狀態和執行個體健康情況為下表所示,您可以繼續步驟二:通過VNC登入ECS執行個體操作。

        執行個體生命週期狀態

        執行個體健康狀態

        登入方式

        啟動中(Starting)

        初始化中(Initializing)

        VNC

        運行中(Running)

        初始化中(Initializing)

        VNC

        無異常(OK)/作業系統運行存在異常(Impaired)

        VNC和WorkBench

        關機中(Stopping)

        資料不足(InsufficientData)

        VNC

        已關機(Stopped)

        InsufficientData

        無法登入

      • ECS執行個體生命週期狀態為除上表所示的其他狀態時,您可以根據執行個體的狀態,選擇對應的解決方案。

        更多ECS執行個體生命週期狀態,請參見執行個體的生命週期

    步驟二:通過VNC登入ECS執行個體

    如果雲助手無法使用或者無法滿足您的使用需求,您還可以通過阿里雲VNC工具進行遠程登入,使用方法如下:

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

    3. 在頂部功能表列左上方處,選擇地區。

    4. 執行個體頁面,找到需要串連的執行個體,單擊該執行個體對應操作列下的遠端連線

    5. 在彈出的遠程連接對話方塊中,單擊展開其他登入方式,然後單擊通過VNC遠端連線對應的立即登錄

    6. 登入執行個體作業系統。

      1. 在頁面左上方,單擊發送遠程命令 > CTRL+ALT+DELETE

        window按鍵

      2. 選擇使用者賬戶,輸入執行個體登入密碼,然後按Enter鍵。

        說明

        Windows執行個體預設賬戶為Administrator。

    步驟三:通過雲助手向Windows執行個體發送命令

    您可以嘗試通過阿里雲雲助手向Windows執行個體發送命令,雲助手的使用步驟如下:

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

    3. 在頂部功能表列左上方處,選擇地區。

    4. 執行個體頁面,找到待操作的執行個體,在操作中,選擇image > 遠端連線 > 發送命令

    5. 輸入您需要執行的命令,單擊執行,即可在未登入Windows執行個體的情況下執行命令。

      更多有關雲助手的資訊,請參見雲助手概述

      重啟ECS執行個體

    沒有明確的報錯資訊

    在遠端連線失敗時,如果您沒有收到系統返回的報錯資訊,並且ECS執行個體是運行中的狀態,然後再根據以下步驟進行排查:

    1. 步驟一:使用阿里雲Workbench工具測試遠程登入

    2. 步驟二:檢查是否有收到黑洞通知

    3. 步驟三:檢查連接埠及安全性群組

    4. 步驟四:本地公網IP被Security Center攔截

    5. 步驟五:檢查防火牆配置

    6. 步驟六:檢查遠端桌面服務

    7. 步驟七:檢查遠程終端服務配置

    8. 步驟八:檢查網路

    9. 步驟九:檢查CPU負載、頻寬及記憶體使用量情況

    10. 步驟十:檢查系統的安全性原則設定

    11. 步驟十一:檢查殺毒軟體

    12. 步驟十二:Windows註冊表配置異常

    13. 步驟十三:Windows RDP自簽認證到期

    步驟一:使用阿里雲Workbench工具測試遠程登入

    通過阿里雲提供的Workbench工具進行遠程登入,Workbench工具在遠程登入出現異常時會返回具體的錯誤資訊及解決方案。測試步驟如下:

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

    3. 在頂部功能表列左上方處,選擇地區。

    4. 執行個體頁面,找到需要串連的執行個體,單擊該執行個體對應操作列下的遠端連線

    5. 在彈出的遠程與命令對話方塊中,單擊Workbench遠端連線對應的立即登入

    6. Workbench工具將自動填滿登入目標執行個體所需的基本資料,請確認基本資料的正確性並輸入登入的使用者名稱和認證資訊。並根據以下結果進行處理:

      • 如仍然無法登入,Workbench工具會返回錯誤提示和解決方案,請根據系統提示進行處理。處理完畢後重新使用Workbench工具進行遠程登入測試。為了便於您解決問題,以下列舉Workbench工具使用時常見的異常問題: Workbench遠端連線問題(Windows)

      • 如可以通過Workbench工具正常登入,但無法通過本機伺服器遠程登入,說明遠端連線的連接埠及服務正常,您可以自行排查。

    步驟二:檢查是否有收到黑洞通知

    請檢查是否有收到黑洞通知,黑洞期間無法支援公網訪問伺服器。更多資訊,請參見阿里雲黑洞策略

    步驟三:檢查連接埠及安全性群組

    檢查安全性群組規則是否有限制,具體操作如下:

    1. 登入ECS管理主控台

    2. 在頂部功能表列左上方處,選擇地區。

    3. 執行個體頁面,單擊對應的執行個體ID。

    4. 執行個體詳情頁面,單擊安全性群組頁簽,在安全性群組列表地區,單擊操作列的配置規則

    5. 選擇安全性群組規則方向。

    6. 安全性群組規則頁面,您可以選擇以下任意一種方式添加安全性群組規則,具體操作,請參見添加安全性群組規則

      • 方式一:快速添加安全性群組規則

        • 授權策略允許

        • 連接埠範圍RDP(3389)

        • 授權對象0.0.0.0/0(代表所有IP訪問)

      • 方式二:手動添加安全性群組規則

        • 授權策略允許

        • 優先順序1(代表安全規則中優先順序最高,數字越小優先順序越高)

        • 協議類型自訂(TCP)

        • 連接埠範圍如果自訂遠程連接埠為33899,則設定為33899

        • 授權對象0.0.0.0/0(代表所有IP訪問)

    7. 通過IP:連接埠的方式進行遠端桌面連線。串連方式類似如下。

      遠端桌面

    8. 使用以下命令,進行連接埠測試,判斷連接埠是否正常。

      telnet <IP> <Port>
      說明

      • <IP>指Windows執行個體的IP地址。

      • <Port>指Windows執行個體的RDP連接埠號碼。

      系統顯示類似如下,比如執行telnet 192.168.0.1 4389命令,正常情況下返回結果類似如下。 

      Trying 192.168.0.1 ...
Connected to 192.168.0.1  4389.
Escape character is '^]'

      如果連接埠測試失敗,請參見使用ping命令正常但連接埠不通時的連接埠可用性探測說明進行排查。

    步驟四:本地公網IP被Security Center攔截

    如果在一個本地用戶端網路連接ECS伺服器時多次輸入錯誤的登入資訊,會導致此IP遠程登入ECS的請求被攔截。您可以在Security Center的設定中,添加本地IP至白名單,這樣就不會對本地IP遠程登入此伺服器進行攔截,具體操作如下:

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇系統配置 > 功能設定

    3. 設定頁簽的其它配置子頁簽,單擊安全管控地區的配置,跳轉至安全管控控制台。

    4. 在左側導覽列,選擇白名單管理 > IP白名單

    5. IP白名單頁面,單擊添加

      具體操作,請參見安全管控

    步驟五:檢查防火牆配置

    說明

    只有在已授權可關閉防火牆的情況下,才能進行該項排查。請確認防火牆是否已關閉,如果沒有關閉,則通過調整防火牆配置策略修複,具體操作,請參見如何配置Windows執行個體遠端連線的防火牆

    1. 使用VNC方式登入Windows執行個體。

      具體操作,請參見通過密碼認證登入Windows執行個體

    2. 在功能表列選擇開始>控制台

    3. 查看方式選擇小表徵圖,單擊Windows 防火牆

    4. Windows防火牆介面,單擊進階設定

    5. 啟用防火牆配置。

      1. 進階安全 Windows 防火牆單擊Windows防火牆屬性

      2. 選擇啟用(推薦),單擊用(A)

        建議將網域設定檔案專用設定檔公用設定檔選項卡下的防火牆全部啟用。

    6. 進階安全 Windows 防火牆,單擊入站規則,在右側拉至最下方,按右鍵遠端桌面-使用者模式(TCP-In),選擇啟動規則(E)

    更多關於防火牆的設定資訊,請參見設定Windows執行個體遠端連線防火牆

    步驟六:檢查遠端桌面服務

    您可以查看Windows伺服器的系統是否開啟了遠端桌面服務。具體操作如下:

    1. 使用VNC方式登入Windows執行個體。

      具體操作,請參見通過密碼認證登入Windows執行個體

    2. 按右鍵開始菜單,單擊系統

    3. 系統介面,單擊遠程設定

      遠程設定

    4. 遠端桌面地區,選中允許遠端連線到此計算機(L),單擊確定

      設定遠程

    5. 啟動Remote Desktop Services服務。

      開始菜單中,選擇管理工具>元件服務>服務(本地),在右側的菜單視窗中找到Remote Desktop Services服務,檢查是否啟動,如果沒有啟動,則需啟動。

      啟動

    6. 載入遠端桌面服務所依賴的驅動和服務。

      為了提高系統安全性,有時錯誤地將遠端桌面服務所依賴的某些關鍵服務禁用,導致遠端桌面服務異常。可通過以下操作進行檢查。

      1. 按右鍵開始菜單,單擊運行,輸入msconfig,單擊確定

        image

      2. 系統配置對話方塊中,單擊常規頁簽,選中正常動(N),單擊確定

        image

      3. 重啟ECS執行個體。

        具體操作,請參見重啟執行個體

    步驟七:檢查遠程終端服務配置

    無法串連Windows執行個體的遠端桌面可能是由於以下遠程終端服務的配置異常。

    說明

    本樣本以Windows Server 2008為例,其他Windows Server版本操作類似。

    異常一:伺服器側自我簽署憑證損壞

    本地用戶端如果是Windows 7以上版本的系統,會嘗試與Elastic Compute Service建立TLS串連。若Elastic Compute Service側用於TLS串連的自我簽署憑證損壞,則會導致遠端連線失敗。

    1. 使用VNC方式登入Windows執行個體。

      具體操作,請參見通過密碼認證登入Windows執行個體

    2. 選擇開始>管理工具>遠端桌面服務>遠端桌面工作階段主機設定

      遠端桌面工作階段主機設定

    3. 在串連地區,按右鍵RDP-Tcp,然後單擊屬性

    4. RDP-Tcp屬性視窗,將安全層修改成RDP安全層,單擊確定

      RDP 安全層

    5. 在操作地區,單擊禁用串連,再單擊啟用串連

      禁用串連

      啟用串連

    異常二:遠端桌面工作階段主機設定串連被禁用

    使用netstat命令查詢,發現連接埠未正常監聽。

    使用VNC方式登入Windows執行個體後,發現遠端桌面RDP串連屬性設定檔被禁用,重新啟用RDP-Tcp串連即可具體操作,請參見異常一:伺服器側自我簽署憑證損壞

    啟用串連

    異常三:終端伺服器角色配置

    在使用遠端桌面訪問Windows執行個體時,可能會出現如下提示。

    這種情況一般是由於在伺服器上安裝配置了終端伺服器,但是沒有配置有效訪問授權導致的,可參考以下三種解決方案處理:

    步驟八:檢查網路

    無法正常遠端連線Windows執行個體時,需要先檢查網路是否正常。

    1. 使用其他網路環境中(不同網段或不同電訊廠商)的電腦串連對比測試,判斷是本網問題還是伺服器端的問題。

      • 如果是本網問題或電訊廠商問題,請聯絡本地IT人員或電訊廠商解決。

      • 如果是網卡驅動存在異常,則重新安裝。排除本網故障後進行下一步檢查。

    2. 在本地用戶端使用ping命令測試與執行個體的網路連通性。

    3. 在執行個體中使用ping命令測試與用戶端的連通性,提示一般故障錯誤時,請參見Windows執行個體ping外網地址提示“一般故障”進行解決。

    步驟九:檢查CPU負載、頻寬及記憶體使用量情況

    無法正常遠端連線Windows執行個體時,可能是因為CPU負載、頻寬不足或記憶體不足導致。

    1. 根據是否存在CPU負載過高情況,選擇相應操作。

      • 不存在CPU負載過高情況,請繼續執行步驟2繼續排查。

      • 如果CPU負載過高情況,請參考本步驟解決問題。

        • 檢查CPU負載過高時,通過執行個體詳情頁面的終端登入執行個體,檢查後台是否正在執行Windows Update操作。若存在Windows Update操作,則CPU負載過高是正常結果,請繼續等待執行完成。

        • 若應用程式有大量的磁碟訪問、網路訪問行為、高計算需求,CPU負載過高是正常結果。建議您升配執行個體規格來解決資源瓶頸問題,具體操作,請參見升降配方式概述

          說明

          CPU負載過高的解決方案,請參見Windows系統ECS執行個體的CPU使用率較高的解決方案

    2. 排查是否存在公網頻寬不足問題。

      無法遠端連線可能是公網頻寬不足導致的,具體排查方法如下。

      1. 登入ECS管理主控台

      2. 在頂部功能表列左上方處,選擇地區。

      3. 執行個體頁面,單擊對應的執行個體ID,在基本資料地區,查看當前使用頻寬

        如果伺服器頻寬為0 Mbps,說明購買執行個體時沒有購買公網頻寬,您可以通過升級頻寬解決,具體操作,請參見修改公網頻寬峰值

    3. 排查是否存在記憶體不足問題。

      遠端連線Windows執行個體後,不能正常顯示案頭並直接退出,也沒有錯誤資訊提示。這種情況可能是伺服器記憶體不足導致,需要檢查伺服器的記憶體使用量情況。具體操作如下。

      1. 使用VNC方式登入Windows執行個體。

        具體操作,請參見通過密碼認證登入Windows執行個體

      2. 選擇開始>管理工具>事件檢視器,查看是否存在記憶體資源不足的警告日誌資訊。具體操作,請參見Windows 虛擬記憶體不足問題的處理

    步驟十:檢查系統的安全性原則設定

    您可以查看Windows伺服器上是否有阻止遠端桌面連線的相關安全性原則。具體操作如下。

    1. 使用VNC方式登入Windows執行個體。

      具體操作,請參見通過密碼認證登入Windows執行個體

    2. 選擇開始>控制台>管理工具,雙擊本地安全性原則

    3. 本地安全性原則介面中,單擊IP安全性原則,在本機電腦,根據是否存在相關的安全性原則,選擇相應操作。

      1. 存在相關安全性原則,刪除或重新編輯該安全性原則

        • 刪除安全性原則:按右鍵相關策略,選擇除(D),在彈出的對話方塊,單擊

          刪除安全性原則

        • 雙擊開啟該IP的安全性原則,重新設定以允許遠端桌面連線,然後再使用遠端桌面連線。

      2. 不存在相關安全性原則,執行步驟十:檢查系統的安全性原則設定繼續排查。

    步驟十一:檢查殺毒軟體

    使用遠端桌面無法串連ECS執行個體可能是由於第三方殺毒軟體佈建導致,可通過以下方法進行解決。此處列舉兩個安全狗配置導致遠端存取失敗的解決案例。

    • 如果殺毒軟體在後台執行,可通過VNC方式登入執行個體,將殺毒軟體升級至最新版本或者直接刪除。關於如何使用VNC登入執行個體,請參見串連方式概述

    • 請使用商業版殺毒軟體,或者使用Microsoft Safety Scanner微軟免費安全工具,在安全模式下掃描殺毒。關於更多安全掃描程式資訊,請參見安全掃描程式

    案例一:安全狗黑名單攔截

    如果安裝了安全狗後,出現以下情況,請確認防護軟體中是否做了安全設定或對應的攔截。

    • 用戶端本地無法遠端桌面連線Windows執行個體,但其他地區可以遠端連線。

    • 無法ping通伺服器IP地址,並且通過tracert命令跟蹤路由,發現無法到達伺服器。

    • Security Center未攔截本地公網IP地址。

    開啟伺服器安全狗,選擇網路防火牆,單擊超級黑白名右側設定表徵圖表徵圖,如果超級黑名單中存在ECS執行個體公網IP,需將此黑名單規則刪除,然後將公網IP添加到超級白名單

    伺服器安全狗

    說明

    如果Security Center的閾值設定過低,則可能攔截執行個體公網IP。建議把清洗閾值調高,避免出現攔截執行個體公網IP的情況發生,更多資訊,請參見DDoS基礎防護

    案例二:安全狗程式異常

    使用VNC登入到Windows執行個體後,在系統案頭右下角,安全狗彈出錯誤提示,系統顯示類似如下。

    該問題可能是由於安全狗軟體出現異常導致,您可以通過Windows系統卸載安全狗軟體後,重啟ECS執行個體,即可恢複網路。

    步驟十二:Windows註冊表配置異常

    Windows註冊表相關配置異常,可能導致RDP串連被阻斷,您可以參考以下步驟來修複。

    1. 使用VNC串連ECS執行個體。

      具體操作,請參見使用VNC登入執行個體

    2. 運行框中輸入regedit,單擊確定,開啟登錄編輯程式。

      輸入regedit

    3. 在登錄編輯程式中,分別修改以下參數配置。

      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中的fEnableWinStation 參數值修改為1。

        fEnableWinStation

      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server中的fDenyTSConnections參數值修改為0。

        fDenyTSConnections

    步驟十三:Windows RDP自簽認證到期

    RDP自簽認證到期,可能會導致無法遠程登入,您可以參考以下步驟來修複。

    1. 使用VNC方式登入Windows執行個體。

      具體操作,請參見使用VNC登入執行個體

    2. 以管理員身份運行Windows PowerShell。

    3. 在Windows PowerShell對話方塊,執行如下命令,查看當前認證是否已到期。

      Get-Item 'Cert:\LocalMachine\Remote Desktop\*' | Select-Object NotAfter

    4. 如果認證到期,執行如下命令,刪除自簽認證並重啟TermService服務。

      Remove-Item -Path 'Cert:\LocalMachine\Remote Desktop\*' -Force -ErrorAction SilentlyContinue
Restart-Service TermService -Force

      重啟TermService服務後,系統會自動產生新的自簽認證。

    5. 執行如下命令,確認新的自簽認證時間已更新。

      Get-Item 'Cert:\LocalMachine\Remote Desktop\*' | Select-Object NotAfter
      說明

      預設的RDP自我簽署憑證有效期間是半年。

    存在明確的報錯資訊

    相關文檔