- článek
- 09/24/2021
- 16 zápis ke čtení
-
- D
- v
- s
tento článek vám pomůže pochopit nejběžnější nastavení, která ovlivňují vytvoření relace terminálových služeb v podnikovém prostředí.
platí pro: Windows Server 2003
původní číslo KB: 2477023
terminálový Server
terminálový Server je server, který hostí programy se systémem Windows nebo celou plochu Windows pro klienty terminálových služeb. Uživatelé se mohou připojit k terminálovému serveru a spouštět programy, ukládat soubory a používat síťové prostředky na tomto serveru. Uživatelé mají přístup k terminálovému serveru z podnikové sítě nebo z Internetu.
vzdálená připojení pro administrativní účely
Terminálové služby podporují dvě souběžná vzdálená připojení k počítači. Pro tato připojení nepotřebujete klientské přístupové Licence Terminal Services (TS CALs).
Chcete-li povolit více než dvě administrativní připojení nebo více uživatelských připojení, musíte nainstalovat roli terminálových služeb a mít příslušné TS CALs.
Poradce při potížích s vytvořením relace terminálových služeb
následující části popisují problémy, se kterými se můžete setkat, a poskytují řešení.
počet uživatelů, kteří se mohou současně připojit k relaci terminálových služeb
omezený počet připojení RDP může být způsoben nesprávně nakonfigurovanými zásadami skupiny nebo vlastnostmi RDP-Tcp v konfiguraci terminálových služeb. Ve výchozím nastavení je připojení nakonfigurováno tak, aby umožňovalo připojení k serveru neomezeným počtem relací. Při pokusu o připojení ke vzdálené ploše (RDC) se zobrazí následující chyba:
Vzdálená plocha odpojena.
Tento počítač se nemůže připojit ke vzdálenému počítači.
zkuste znovu připojit. Pokud problém přetrvává, kontaktujte vlastníka vzdáleného počítače nebo správce sítě.
ověřte, zda je vzdálená plocha povolena
- spusťte systémový nástroj. Chcete-li spustit systémový nástroj, klikněte na ikonu Start > Ovládací panely > systém a poté na tlačítko OK.
- klikněte na kartu vzdálené. V části Vzdálená plocha zaškrtněte políčko Povolit Vzdálenou plochu v tomto počítači.
ověřte zásady omezení počtu připojení terminálových služeb
- spusťte modul snap – in Zásady skupiny, otevřete zásady místního zabezpečení nebo příslušné zásady skupiny
- přejděte do umístění: zásady místního počítače > Konfigurace počítače > šablony pro správu > součásti systému Windows > Terminálové služby Omezte počet připojení.
- Klikněte Na Povoleno.
- do pole TS Maximální povolená připojení zadejte maximální počet připojení, které chcete povolit, a klepněte na tlačítko OK.
ověřte vlastnosti RDP-Tcp terminálových služeb a nastavte pomocí konfigurace terminálových služeb
- klikněte na Start, klikněte na Ovládací panely, poklepejte na Nástroje pro správu a poté poklepejte na * * Konfigurace terminálových služeb.
- ve stromu konzoly klikněte na připojení.
- v podokně Podrobnosti klepněte pravým tlačítkem myši na připojení, pro které chcete zadat maximální počet relací, a potom klepněte na tlačítko Vlastnosti.
- na kartě Síťový adaptér klepněte na tlačítko Maximální připojení, zadejte maximální počet relací, které se mohou připojit k serveru, a potom klepněte na tlačítko Použít.
ověřte práva terminálových Služeblogon a nakonfigurujte skupinu uživatelů vzdálené plochy
skupina uživatelů vzdálené plochy na terminálovém serveru se používá k tomu, aby uživatelům a skupinám bylo umožněno vzdálené připojení k terminálovému serveru.
do skupiny uživatelů vzdálené plochy můžete přidat uživatele a skupiny následujícími způsoby:
- Místní uživatelé a skupiny modul snap-in
- na kartě vzdálené v dialogovém okně Vlastnosti systému na hostitelském serveru relací RD
- modul snap-in uživatelé a počítače služby Active Directory, pokud je hostitelský server relací RD nainstalován na řadiči domény
můžete použít následující postup pro přidání uživatelů a skupin do skupiny uživatelů vzdálené plochy pomocí karty vzdálené v dialogovém okně Vlastnosti systému na terminálovém serveru.
členství ve skupině místních správců nebo rovnocenné členství na terminálovém serveru, který chcete nakonfigurovat, je minimum potřebné k dokončení tohoto postupu.
přidejte uživatele a skupiny do skupiny uživatelů vzdálené plochy pomocí Vzdálené karty
- spusťte systémový nástroj. Chcete-li spustit systémový nástroj, klikněte na ikonu Start > Ovládací panely > systém a poté na tlačítko OK.
- v dialogovém okně Vlastnosti systému na kartě vzdálené klepněte na tlačítko Vybrat vzdálené uživatele. Přidejte uživatele nebo skupiny, které se potřebují připojit k terminálovému serveru. Uživatelé a skupiny, které přidáte, se přidají do skupiny uživatelů vzdálené plochy.
pokud nevyberete možnost Povolit uživatelům vzdálené připojení k tomuto počítači na kartě vzdálené, nebudou se uživatelé moci vzdáleně připojit k tomuto počítači, i když jsou členy skupiny uživatelů vzdálené plochy.
přidejte uživatele a skupiny do skupiny uživatelů vzdálené plochy pomocí modulu snap-in místních uživatelů a skupin
- klikněte na Start > nástroje pro správu, otevřete správu počítače.
- ve stromu konzoly klikněte na uzel Místní uživatelé a skupiny.
- v podokně Podrobnosti poklepejte na složku skupiny.
- Poklepejte na uživatele vzdálené plochy a klepněte na tlačítko Přidat.
- v dialogovém okně Vybrat uživatele klikněte na místa a určete umístění vyhledávání.
- kliknutím na typy objektů Určete typy objektů, které chcete hledat.
- zadejte název, který chcete přidat do pole zadejte názvy objektů pro výběr (příklady).
- Klikněte Na Zkontrolovat Jména.
- když je název umístěn, klepněte na tlačítko OK.
Poznámka
- nemůžete se připojit k počítači, který spí nebo hibernuje, takže se ujistěte, že nastavení spánku a hibernace na vzdáleném počítači je nastaveno na nikdy. (Hibernace není k dispozici na všech počítačích.) Informace o provedení těchto změn naleznete v části Změnit, vytvořit nebo odstranit plán napájení (schéma).
- Členové skupiny místních správců se mohou připojit, i když nejsou uvedeni.
může dojít ke konfliktu přiřazení portů
tento problém by mohl naznačovat, že jiná aplikace na terminálovém serveru používá stejný port TCP jako protokol vzdálené plochy (RDP). Výchozí port přiřazený RDP je 3389.
Chcete-li tento problém vyřešit, určete, která aplikace používá stejný port jako RDP. Pokud přiřazení portu pro tuto aplikaci nelze změnit, změňte port přiřazený RDP úpravou registru. Po úpravě registru musíte restartovat službu Terminal Services. Po restartování služby Terminal Services byste měli potvrdit, že port RDP byl správně změněn.
dostupnost posluchače terminálového serveru
komponenta listener běží na terminálovém serveru a je zodpovědná za naslouchání a přijímání nových klientských připojení RDP (Remote Desktop Protocol), což umožňuje uživatelům navázat nové vzdálené relace na terminálovém serveru. Pro každé připojení terminálových služeb, které existuje na terminálovém serveru, existuje posluchač. Připojení lze vytvářet a konfigurovat pomocí nástroje pro konfiguraci terminálových služeb.
Chcete-li provést tyto úkoly, přečtěte si následující části.
určete, která aplikace používá stejný port jako RDP
pomocí nástroje netstat můžete zjistit, zda port 3389 (nebo přiřazený port RDP) používá jiná aplikace na terminálovém serveru.
- na terminálovém serveru klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
- na příkazovém řádku zadejte
netstat -a -o
a stiskněte klávesu ENTER. - vyhledejte položku pro TCP port 3389 (nebo přiřazený port RDP) se stavem poslechu. To znamená, že tento port používá jiná aplikace. PID (identifikátor procesu) procesu nebo služby používající tento port se zobrazí pod sloupcem PID.
Chcete-li zjistit, která aplikace používá port 3389 (nebo přiřazený port RDP), použijte nástroj příkazového řádku tasklist spolu s informacemi PID z nástroje netstat.
- na terminálovém serveru klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
- zadejte
tasklist /svc
a stiskněte klávesu ENTER. - vyhledejte položku pro číslo PID, které je přidruženo k portu (z výstupu netstat). Služby nebo procesy spojené s tímto PID se zobrazí vpravo.
změňte port přiřazený RDP
měli byste určit, zda tato aplikace může používat jiný port. Pokud nemůžete změnit port aplikace, budete muset změnit port přiřazený RDP.
důležité
společnost Microsoft nedoporučuje měnit port přiřazený RDP.
pokud musíte změnit port přiřazený RDP, musíte upravit registr.
Chcete-li provést tento postup, musíte mít členství ve skupině místních správců nebo musíte být pověřeni příslušnou autoritou.
Chcete-li změnit port přiřazený RDP, postupujte takto:
upozornění
nesprávná Úprava registru může vážně poškodit váš systém. Před provedením změn v registru byste měli zálohovat všechna ceněná data.
-
na terminálovém serveru otevřete Editor registru. Chcete-li otevřít Editor registru, klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
-
Vyhledejte a poté klikněte na následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
RDP-TCP je výchozí název připojení. Chcete-li změnit port pro konkrétní připojení na terminálovém serveru, Vyberte připojení pod klávesou WinStations.
- v pravém podokně poklepejte na položku registru PortNumber.
- do pole data Value zadejte číslo portu, které chcete RDP přiřadit. PortNumber se zadává jako hexadecimální hodnota.
- klepnutím na tlačítko OK uložte změnu a zavřete Editor registru.
- restartujte terminálový Server.
potvrďte, že se port RDP změnil
Chcete-li potvrdit, že přiřazení portu RDP bylo změněno, použijte nástroj netstat.
- na terminálovém serveru klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
- na příkazovém řádku zadejte
netstat -a
a stiskněte klávesu ENTER. - vyhledejte položku pro číslo portu, které jste přiřadili RDP. Port by se měl objevit v seznamu a mít stav poslechu.
připojení ke vzdálené ploše a webový klient terminálového serveru používají ve výchozím nastavení port 3389 pro připojení k terminálovému serveru. Pokud změníte port RDP na terminálovém serveru, budete muset upravit port používaný připojením ke vzdálené ploše a webovým klientem terminálového serveru.
ověřte, zda posluchač na terminálovém serveru pracuje správně
Poznámka
RDP-TCP je výchozí název připojení a 3389 je výchozí port RDP. Použijte název připojení a číslo portu specifické pro konfiguraci terminálového serveru.
-
Metoda 1: k navázání vzdáleného připojení k terminálovému serveru použijte klienta RDP, například připojení ke vzdálené ploše.
-
Metoda 2: Pomocí nástroje qwinsta Zobrazte stav posluchače na terminálovém serveru.
- na terminálovém serveru klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
- na příkazovém řádku zadejte qwinsta a stiskněte klávesu ENTER.
- stav relace RDP-TCP by měl být naslouchán.
-
Metoda 3: Pomocí nástroje netstat Zobrazte stav posluchače na terminálovém serveru.
- na terminálovém serveru klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
- na příkazovém řádku zadejte
netstat -a
a stiskněte klávesu ENTER. - záznam pro TCP port 3389 by měl být naslouchán.
-
Metoda 4: pomocí nástroje telnet se připojte k portu RDP na terminálovém serveru.
- v jiném počítači klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a potom klepněte na tlačítko OK.
- na příkazovém řádku zadejte
telnet <servername> 3389
, kde <název serveru> je název terminálového serveru a stiskněte klávesu ENTER.
pokud je telnet úspěšný, obdržíte obrazovku telnet a kurzor.
pokud telnet není úspěšný, zobrazí se tato chyba:
připojení k názvu serveru…Nelze otevřít připojení k hostiteli, na portu 3389: připojení selhalo
nástroje qwinsta, netstat a telnet jsou také součástí systému Windows XP. Můžete si také stáhnout a použít jiné nástroje pro odstraňování problémů, například Portqry.
můžete mít nesprávně nakonfigurované nastavení ověřování a šifrování
konfigurace ověřování a šifrování pomocí konfigurace terminálových služeb
-
v nástroji pro správu otevřete konfiguraci terminálových služeb.
-
ve stromu konzoly klikněte na připojení.
-
v podokně Podrobnosti klepněte pravým tlačítkem myši na připojení, které chcete upravit, a potom klepněte na tlačítko Vlastnosti.
-
na kartě Obecné vyberte ve vrstvě zabezpečení metodu zabezpečení. Metoda zabezpečení, kterou vyberete, určuje, zda je terminálový Server ověřen klientovi, a úroveň šifrování, kterou můžete použít. Můžete si vybrat z těchto metod zabezpečení:
-
metoda Negotiate používá k ověření serveru TLS 1.0, pokud je podporováno TLS. Pokud TLS není podporován, server není ověřen.
-
metoda RDP Security Layer používá k zabezpečení komunikace mezi klientem a serverem nativní šifrování protokolu vzdálené plochy. Pokud vyberete toto nastavení, server není ověřen.
-
metoda SSL vyžaduje použití protokolu TLS 1.0 K ověření serveru. Pokud TLS není podporován, připojení selže. Tato metoda je k dispozici pouze v případě, že vyberete platný certifikát, jak je popsáno v kroku 6.
pokud vyberete možnost vyjednat nebo SSL, aby TLS správně fungoval, musíte také nastavit úroveň šifrování na vysokou nebo povolit šifrování kompatibilní s FIPS pomocí zásad skupiny nebo konfigurace terminálového serveru. Musí být také splněny další požadavky na konfiguraci serveru a klienta. Další informace o požadavcích a úkolech pro konfiguraci terminálového serveru pro podporu ověřování TLS naleznete v části Konfigurace ověřování a šifrování.
-
-
v úrovni šifrování klikněte na požadovanou úroveň. Můžete si vybrat nízké, klient kompatibilní, vysoký, nebo FIPS kompatibilní. Další informace o těchto úrovních naleznete v poznámkách na konci tohoto tématu.
-
Chcete – li použít TLS 1.0 K ověření serveru, klikněte v části certifikát na Procházet, klikněte na vybrat certifikát a poté na certifikát, který chcete použít. Certifikát musí být X.509 certifikát s odpovídajícím soukromým klíčem. Pokyny, jak ověřit, zda má certifikát odpovídající soukromý klíč, naleznete v poznámkách na konci tohoto tématu.
-
Chcete-li určit, že se klienti přihlašují na terminálový Server zadáním svých přihlašovacích údajů do výchozího dialogového okna přihlášení systému Windows, zaškrtněte políčko Použít standardní přihlašovací rozhraní systému Windows.
Poznámka
- Chcete-li provést tento postup, musíte být členem skupiny administrátorů v místním počítači nebo musíte být pověřeni příslušnou autoritou. Pokud je počítač připojen k doméně, členové skupiny Domain Admins mohou být schopni provést tento postup. Jako nejlepší bezpečnostní postup zvažte použití Spustit jako provedení tohoto postupu.
- Chcete-li otevřít konfiguraci terminálových služeb, klepněte na tlačítko Start, klepněte na tlačítko Ovládací panely, poklepejte na Nástroje pro správu a poté na tlačítko Konfigurace terminálových služeb.
- všechna nastavení úrovně šifrování, která nakonfigurujete v Zásadách skupiny, přepíše konfiguraci, kterou jste nastavili pomocí nástroje pro konfiguraci terminálových služeb. Také, pokud povolíte kryptografii systému: Použijte FIPS kompatibilní algoritmy pro šifrování, hašování a podepisování nastavení zásad skupiny, Toto nastavení přepíše nastavení zásad skupiny Set client connection encryption level.
- když změníte úroveň šifrování, nová úroveň šifrování se projeví při příštím přihlášení uživatele. Pokud na jednom serveru potřebujete více úrovní šifrování, nainstalujte více síťových adaptérů a nakonfigurujte každý adaptér zvlášť.
- Chcete-li ověřit, že certifikát má odpovídající soukromý klíč, v konfiguraci Terminal Services klepněte pravým tlačítkem myši na připojení, pro které chcete certifikát zobrazit, klikněte na kartu Obecné, klikněte na Upravit, klikněte na certifikát, který chcete zobrazit, a poté klikněte na Zobrazit certifikát. Ve spodní části karty Obecné by se měl zobrazit příkaz, máte soukromý klíč, který odpovídá tomuto certifikátu. Tyto informace můžete také zobrazit pomocí modulu snap-in certifikáty.
- nastavení vyhovující FIPS (systémová kryptografie: Použití FIPS kompatibilní algoritmy pro šifrování, hašování a podepisování nastavení v Zásadách skupiny nebo FIPS kompatibilní nastavení v konfiguraci terminálového serveru) šifruje a dešifruje data odeslaná z klienta na server a ze serveru ke klientovi, s federální standard zpracování informací (FIPS) 140-1 šifrovací algoritmy, pomocí kryptografických modulů Microsoft. Další informace naleznete v části Terminálové služby v technické příručce Windows Server 2003.
- vysoké nastavení šifruje data odeslaná z klienta na server a ze serveru na klienta pomocí silného 128bitového šifrování.
- nastavení kompatibilní s klientem šifruje data odeslaná mezi klientem a serverem v maximální síle klíče podporované klientem.
- nízké nastavení šifruje data odeslaná z klienta na server pomocí 56bitového šifrování.
nelze úplně odpojit připojení terminálového serveru
poté, co klient terminálového serveru ztratí připojení k terminálovému serveru, relace na terminálovém serveru nemusí přejít do odpojeného stavu, místo toho může zůstat aktivní, i když je klient fyzicky odpojen od terminálového serveru. Pokud se klient přihlásí zpět na stejný terminálový Server, může být vytvořena nová relace a původní relace může zůstat aktivní.
Chcete-li tento problém vyřešit, postupujte takto:
- klikněte na Start, klikněte na Spustit, zadejte gpedit.msc a potom klepněte na tlačítko OK.
- rozbalte konfiguraci počítače, rozbalte šablony pro správu, rozbalte součásti systému Windows a klepněte na tlačítko Terminálové služby.
- v pravém podokně poklepejte na připojení Keep-Alive.
- klikněte na Povoleno a poté na OK.
- zavřete Editor objektů zásad skupiny, klepněte na tlačítko OK a ukončete uživatele a počítače služby Active Directory.
služby RDP jsou aktuálně zaneprázdněny
při zapnutí funkce SNP v systému Windows Server 2003 se mohou vyskytnout následující problémy:
příznaky
při pokusu o připojení k serveru pomocí připojení VPN se zobrazí následující chybová zpráva:
chyba 800: nelze navázat připojení.
- k serveru nelze vytvořit připojení protokolu RDP (Remote Desktop Protocol).
- ke sdíleným položkám na serveru se nelze připojit z počítače v místní síti.
- nelze připojit klientský počítač k doméně.
- Nelze se připojit k serveru Exchange z počítače se systémem Microsoft Outlook.
- neaktivní připojení aplikace Outlook k serveru Exchange nemusí být vyčištěno.
- dochází k pomalému výkonu sítě.
- při komunikaci s počítačem se systémem Windows Vista může dojít k pomalému výkonu sítě.
- nelze vytvořit odchozí FTP připojení ze serveru.
- služba serveru Dynamic Host Configuration Protocol (DHCP) havaruje.
- při přihlášení k doméně dochází k pomalému výkonu.
- klienti Network Address Translation (Nat), kteří jsou umístěni za serverem Windows Small Business Server 2003 nebo serverem Internet Security and Acceleration (ISA), mají přerušované selhání připojení.
- dochází k přerušovaným selháním komunikace RPC.
- server přestane reagovat.
- server běží nízko na nestránkové paměti fondu
můžete mít poškození certifikátu
klientům terminálových služeb může být opakovaně odepřen přístup k terminálovému serveru. Pokud používáte klienta terminálových služeb k přihlášení na terminálový Server, může se zobrazit jedna z následujících chybových zpráv:
-
chybová zpráva 1
z důvodu bezpečnostní chyby se klient nemohl připojit k terminálovému serveru. Poté, co se ujistíte, že jste přihlášeni k síti, zkuste se znovu připojit k serveru.
-
chybová zpráva 2
Vzdálená plocha odpojena. Z důvodu bezpečnostní chyby se klient nemohl připojit ke vzdálenému počítači. Ověřte, zda jste přihlášeni k síti, a zkuste se znovu připojit.
důležité
tato část, metoda nebo úloha obsahuje kroky, které vám řeknou, jak upravit registr. Při nesprávné úpravě registru však mohou nastat vážné problémy. Proto se ujistěte, že tyto kroky pečlivě dodržujete. Pro větší ochranu zálohujte registr před jeho úpravou. Poté můžete obnovit registr, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v části Jak zálohovat a obnovit registr v systému Windows.
Chcete-li tento problém vyřešit, zálohujte a odeberte klíče registru certifikátů X509, restartujte počítač a znovu aktivujte licenční server Terminal Services. Postupujte takto.
Poznámka
proveďte následující postup na každém z terminálových serverů.
-
ujistěte se, že registr terminálového serveru byl úspěšně zálohován.
-
Spusťte Editor Registru.
-
Vyhledejte a poté klikněte na následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\
-
v nabídce registru klikněte na Exportovat soubor registru.
-
do pole Název souboru zadejte exportované parametry a klepněte na tlačítko Uložit.
Poznámka
pokud budete muset v budoucnu obnovit tento podklíč registru, poklepejte na exportované parametry.reg soubor, který jste uložili v tomto kroku.
-
v podklíči registru parametrů klepněte pravým tlačítkem myši na každou z následujících hodnot, klepněte na tlačítko Odstranit a poté klepnutím na tlačítko Ano potvrďte odstranění:
- certifikát
- certifikát X509
- ID certifikátu X509
-
ukončete Editor registru a restartujte server.
-
znovu aktivujte licenční server Terminal Services pomocí metody telefonního připojení v Průvodci licencováním.
-
jak omezit počet připojení na terminálovém serveru se systémem Windows Server 2003
-
odstraňování problémů Obecné chybové zprávy vzdálené plochy
-
z důvodu bezpečnostní chyby se klient nemohl připojit k terminálovému serveru
pokud vám tento článek nepomůže vyřešit problém nebo pokud se u Vás objeví příznaky, které se liší od příznaků popsaných v tomto článku, vyhledejte podporu společnosti Microsoft. Poté zadejte text chybové zprávy, kterou obdržíte, nebo zadejte popis problému do pole Podpora vyhledávání (KB).