• Articolo
  • 09/24/2021
  • 16 minuti a leggere
    • D
    • v
    • s
questa pagina è stata utile?

Grazie.

Questo articolo consente di comprendere le impostazioni più comuni che influiscono sulla creazione di una sessione di Servizi terminal in un ambiente aziendale.

Si applica a: Windows Server 2003
Numero KB originale: 2477023

Terminal Server

Un Terminal Server è il server che ospita programmi basati su Windows o il desktop completo di Windows per i client Terminal Services. Gli utenti possono connettersi a Terminal Server per eseguire programmi, salvare file e utilizzare le risorse di rete su quel server. Gli utenti possono accedere a un Terminal Server dall’interno di una rete aziendale o da Internet.

Connessioni remote per scopi amministrativi

Terminal Services supporta due connessioni remote simultanee al computer. Per queste connessioni non sono necessarie licenze TS CALs (Terminal Services Client Access Licenses).

Per consentire più di due connessioni amministrative o più connessioni utente è necessario installare il ruolo Servizi terminal e disporre di TS CAL appropriati.

Risoluzione dei problemi relativi alla creazione di una sessione di servizi Terminal

Le sezioni seguenti descrivono i problemi riscontrati e forniscono soluzioni.

Potrebbe essere limitato il numero di utenti che possono connettersi contemporaneamente a una sessione di Servizi Terminal

Un numero limitato di connessioni RDP può essere dovuto a Criteri di gruppo o proprietà RDP-Tcp non configurati correttamente nella configurazione di servizi Terminal. Per impostazione predefinita, la connessione è configurata per consentire a un numero illimitato di sessioni di connettersi al server. Quando si tenta di effettuare una connessione desktop remoto (RDC), viene visualizzato il seguente errore:

Desktop remoto disconnesso.
Questo computer non può connettersi al computer remoto.
Prova a connetterti di nuovo. Se il problema persiste, contattare il proprietario del computer remoto o l’amministratore di rete.

Verifica che Desktop remoto sia abilitato

  1. Avvia lo strumento di sistema. Per avviare lo strumento di sistema, fare clic su Start > Pannello di controllo > Icona di sistema e quindi fare clic su OK.
  2. Fare clic sulla scheda Remoto. In Desktop remoto, fare clic sulla casella di controllo Abilita desktop remoto su questo computer.

Verifica Terminal Services Limite numero di connessioni policy

  1. Avviare lo snap-in Criteri di gruppo, aprire il Criterio di sicurezza locale o il Criterio di gruppo appropriato
  2. Passare alla posizione: Local Computer Policy > Configurazione computer > Modelli amministrativi > Componenti Windows > Terminal Services Limite numero di connessioni.
  3. Fare clic su Abilitato.
  4. Nella casella TS Connessioni massime consentite, digitare il numero massimo di connessioni che si desidera consentire, quindi fare clic su OK.

Verificare le proprietà RDP-Tcp dei servizi terminal e impostarle tramite Configurazione dei servizi Terminal

  1. Fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su **Configurazione dei servizi terminal.
  2. Nella struttura della console, fare clic su Connessioni.
  3. Nel riquadro Dettagli, fare clic con il pulsante destro del mouse sulla connessione per la quale si desidera specificare un numero massimo di sessioni, quindi fare clic su Proprietà.
  4. Nella scheda Scheda di rete, fare clic su Connessioni massime, digitare il numero massimo di sessioni che possono connettersi al server, quindi fare clic su Applica.

Verifica servizi terminal Diritti Logon e configura il gruppo Utenti desktop remoto

Il gruppo Utenti desktop remoto su un Terminal Server viene utilizzato per consentire a utenti e gruppi di connettersi in remoto a un Terminal Server.

È possibile aggiungere utenti e gruppi al gruppo Utenti desktop remoto nei seguenti modi:

  • Utenti e Gruppi Locali snap-in
  • Sul Telecomando scheda nella finestra di dialogo Proprietà di Sistema su un server Host Sessione desktop remoto
  • Active Directory Users e snap-in Computer, se il server Host Sessione desktop remoto è installato su un controller di dominio

È possibile utilizzare la procedura seguente per aggiungere utenti e gruppi per il gruppo Utenti Desktop Remoto utilizzando il Telecomando scheda nella finestra di dialogo Proprietà Sistema sul Server Terminal.

L’appartenenza al gruppo Amministratori locali, o equivalente, sul Terminal Server che si intende configurare, è il minimo richiesto per completare questa procedura.

Aggiungere utenti e gruppi al gruppo Utenti Desktop remoto utilizzando la scheda Remota

  1. Avviare lo strumento di sistema. Per avviare lo strumento di sistema, fare clic su Start > Pannello di controllo > Icona di sistema e quindi fare clic su OK.
  2. Nella finestra di dialogo Proprietà di sistema, nella scheda Remoto, fare clic su Seleziona utenti remoti. Aggiungere gli utenti o i gruppi che devono connettersi al Terminal Server. Gli utenti e i gruppi aggiunti vengono aggiunti al gruppo Utenti desktop remoto.

Se non si seleziona Consenti agli utenti di connettersi in remoto a questo computer nella scheda Remoto, nessun utente sarà in grado di connettersi in remoto a questo computer, anche se sono membri del gruppo Utenti desktop remoto.

Aggiungi utenti e gruppi al gruppo Utenti desktop remoto utilizzando lo snap-in Utenti e gruppi locali

  1. Fai clic su Start > Strumenti di amministrazione, apri Gestione computer.
  2. Nell’albero della console, fare clic sul nodo Utenti e gruppi locali.
  3. Nel riquadro dettagli, fare doppio clic sulla cartella Gruppi.
  4. Fare doppio clic su Utenti desktop remoto, quindi fare clic su Aggiungi.
  5. Nella finestra di dialogo Seleziona utenti, fare clic su Percorsi per specificare il percorso di ricerca.
  6. Fare clic su Tipi di oggetto per specificare i tipi di oggetti che si desidera cercare.
  7. Digitare il nome da aggiungere nella casella Inserisci i nomi degli oggetti da selezionare (esempi).
  8. Fare clic su Controlla nomi.
  9. Quando si trova il nome, fare clic su OK.

Nota

  • Non è possibile connettersi a un computer in stato di sospensione o ibernazione, quindi assicurarsi che le impostazioni di sospensione e ibernazione sul computer remoto siano impostate su Mai. (Ibernazione non è disponibile su tutti i computer.) Per informazioni su come apportare tali modifiche, vedere Modifica, creazione o eliminazione di un piano di alimentazione (schema).
  • I membri del gruppo Amministratori locali possono connettersi anche se non sono elencati.

È possibile che si verifichi un conflitto di assegnazione della porta

Questo problema potrebbe indicare che un’altra applicazione sul Terminal Server utilizza la stessa porta TCP del Remote Desktop Protocol (RDP). La porta predefinita assegnata a RDP è 3389.

Per risolvere questo problema, determinare quale applicazione utilizza la stessa porta di RDP. Se l’assegnazione della porta per l’applicazione non può essere modificata, modificare la porta assegnata a RDP modificando il registro di sistema. Dopo aver modificato il registro, è necessario riavviare il servizio Terminal Services. Dopo aver riavviato il servizio Terminal Services, è necessario verificare che la porta RDP sia stata modificata correttamente.

Disponibilità listener Terminal Server

Il componente listener viene eseguito sul Terminal Server ed è responsabile dell’ascolto e dell’accettazione di nuove connessioni client Remote Desktop Protocol (RDP), consentendo così agli utenti di stabilire nuove sessioni remote sul Terminal Server. C’è un listener per ogni connessione Servizi Terminal che esiste sul Server Terminal. Le connessioni possono essere create e configurate utilizzando lo strumento di configurazione dei servizi terminal.

Per eseguire queste attività, fare riferimento alle sezioni seguenti.

Determinare quale applicazione utilizza la stessa porta di RDP

È possibile eseguire lo strumento netstat per determinare se la porta 3389 (o la porta RDP assegnata) viene utilizzata da un’altra applicazione sul Terminal Server.

  1. Sul Terminal Server, fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
  2. Al prompt dei comandi, digitare netstat -a -o e quindi premere INVIO.
  3. Cerca una voce per la porta TCP 3389 (o la porta RDP assegnata) con uno stato di ascolto. Questo indica che un’altra applicazione sta usando questa porta. Il PID (Identificatore di processo) del processo o del servizio che utilizza tale porta viene visualizzato sotto la colonna PID.

Per determinare quale applicazione utilizza la porta 3389 (o la porta RDP assegnata), utilizzare lo strumento da riga di comando tasklist insieme alle informazioni PID dallo strumento netstat.

  1. Sul Terminal Server, fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
  2. Digitare tasklist /svc e quindi premere INVIO.
  3. Cerca una voce per il numero PID associato alla porta (dall’output netstat). I servizi o i processi associati a quel PID appariranno sulla destra.

Modificare la porta assegnata a RDP

È necessario determinare se questa applicazione può utilizzare una porta diversa. Se non è possibile modificare la porta dell’applicazione, sarà necessario modificare la porta assegnata a RDP.

Importante

Microsoft non consiglia di modificare la porta assegnata a RDP.

Se è necessario modificare la porta assegnata a RDP, è necessario modificare il registro di sistema.

Per eseguire questa procedura, è necessario disporre dell’appartenenza al gruppo Amministratori locali o è stata delegata l’autorità appropriata.

Per modificare la porta assegnata a RDP, attenersi alla seguente procedura:

Attenzione

La modifica errata del registro di sistema potrebbe danneggiare gravemente il sistema. Prima di apportare modifiche al registro, è necessario eseguire il backup di tutti i dati valutati.

  1. Sul Terminal Server, aprire l’editor del Registro di sistema. Per aprire Editor del Registro di sistema, fare clic su Start, fare clic su Esegui, digitare regedit e quindi fare clic su OK.

  2. Individuare e quindi fare clic sulla seguente sottochiave del registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

RDP-TCP è il nome di connessione predefinito. Per modificare la porta per una connessione specifica sul Terminal Server, selezionare la connessione sotto la chiave WinStations.

  1. Nel riquadro di destra, fare doppio clic sulla voce del registro di sistema PortNumber.
  2. Digitare il numero di porta che si desidera assegnare a RDP nella casella Dati valore. PortNumber viene inserito come valore esadecimale.
  3. Fare clic su OK per salvare la modifica, quindi chiudere l’editor del Registro di sistema.
  4. Riavviare il server Terminal.

Conferma che la porta RDP è stata modificata

Per confermare che l’assegnazione della porta RDP è stata modificata, utilizzare lo strumento netstat.

  1. Sul Terminal Server, fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
  2. Al prompt dei comandi, digitare netstat -a quindi premere INVIO.
  3. Cerca una voce per il numero di porta assegnato a RDP. La porta dovrebbe apparire nell’elenco e avere uno stato di ascolto.

Connessione Desktop remoto e client Web Terminal Server utilizzano la porta 3389, per impostazione predefinita, per connettersi a un Terminal Server. Se si modifica la porta RDP sul Terminal Server, sarà necessario modificare la porta utilizzata da Remote Desktop Connection e il client Web Terminal Server.

Verificare che il listener sul Terminal Server funzioni correttamente

Nota

RDP-TCP è il nome di connessione predefinito e 3389 è la porta RDP predefinita. Utilizzare il nome della connessione e il numero di porta specifici per la configurazione di Terminal Server.

  • Metodo 1: Utilizzare un client RDP, ad esempio Connessione desktop remoto, per stabilire una connessione remota al Terminal Server.

  • Metodo 2: Utilizzare lo strumento qwinsta per visualizzare lo stato del listener sul Terminal Server.

    1. Sul Terminal Server, fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
    2. Al prompt dei comandi, digitare qwinsta e quindi premere INVIO.
    3. Lo stato della sessione RDP-TCP deve essere Listen.
  • Metodo 3: Utilizzare lo strumento netstat per visualizzare lo stato del listener sul Terminal Server.

    1. Sul Terminal Server, fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
    2. Al prompt dei comandi, digitare netstat -a quindi premere INVIO.
    3. La voce per la porta TCP 3389 dovrebbe essere in ascolto.
  • Metodo 4: Utilizzare lo strumento telnet per connettersi alla porta RDP sul Terminal Server.

    1. Da un altro computer, fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
    2. Al prompt dei comandi, digitare telnet <servername> 3389, dove<servername > è il nome del Terminal Server, quindi premere INVIO.

    Se telnet ha esito positivo, si riceverà la schermata telnet e un cursore.

    Se telnet non ha esito positivo, verrà visualizzato questo errore:

    Connessione a servername…Impossibile aprire la connessione all’host, sulla porta 3389: Connessione non riuscita

    Gli strumenti qwinsta, netstat e telnet sono inclusi anche in Windows XP. È inoltre possibile scaricare e utilizzare altri strumenti di risoluzione dei problemi, come Portqry.

È possibile che un’impostazione di autenticazione e crittografia configurata in modo errato

Configuri l’autenticazione e la crittografia utilizzando la configurazione dei servizi terminal

  1. In Strumenti di amministrazione, aprire la configurazione dei servizi terminal.

  2. Nella struttura della console, fare clic su Connessioni.

  3. Nel riquadro Dettagli, fare clic con il pulsante destro del mouse sulla connessione che si desidera modificare, quindi fare clic su Proprietà.

  4. Nella scheda Generale, in Livello di sicurezza, selezionare un metodo di sicurezza. Il metodo di sicurezza selezionato determina se il Terminal Server è autenticato sul client e il livello di crittografia che è possibile utilizzare. È possibile scegliere tra questi metodi di sicurezza:

    • Il metodo Negotiate utilizza TLS 1.0 per autenticare il server, se TLS è supportato. Se TLS non è supportato, il server non viene autenticato.

    • Il metodo RDP Security Layer utilizza la crittografia del protocollo desktop remoto nativo per proteggere le comunicazioni tra client e server. Se si seleziona questa impostazione, il server non viene autenticato.

    • Il metodo SSL richiede l’uso di TLS 1.0 per autenticare il server. Se TLS non è supportato, la connessione non riesce. Questo metodo è disponibile solo se si seleziona un certificato valido, come descritto nel passaggio 6.

      Se si seleziona Negozia o SSL, affinché TLS funzioni correttamente, è necessario impostare anche il livello di crittografia su Alto oppure abilitare la crittografia conforme a FIPS utilizzando Criteri di gruppo o Configurazione Terminal Server. Devono inoltre essere soddisfatti ulteriori requisiti di configurazione del server e del client. Per ulteriori informazioni sui requisiti e le attività per la configurazione di Terminal Server per supportare l’autenticazione TLS, vedere Configurazione di autenticazione e crittografia.

  5. In Livello di crittografia, fare clic sul livello desiderato. È possibile selezionare Basso, Compatibile con client, Alto o Compatibile con FIPS. Per ulteriori informazioni su questi livelli, vedere note alla fine di questo argomento.

  6. Per utilizzare TLS 1.0 per autenticare il server, in Certificato, fare clic su Sfoglia, fare clic su Seleziona certificato, quindi fare clic sul certificato che si desidera utilizzare. Il certificato deve essere una X.509 certificato con una chiave privata corrispondente. Per istruzioni su come verificare se il certificato ha una chiave privata corrispondente, vedere note alla fine di questo argomento.

  7. Per specificare che i client accedono a Terminal Server digitando le proprie credenziali nella finestra di dialogo di accesso predefinito a Windows, selezionare la casella di controllo Usa interfaccia di accesso standard a Windows.

Nota

  • Per eseguire questa procedura, è necessario essere membri del gruppo Administrators nel computer locale oppure è stata delegata l’autorità appropriata. Se il computer è unito a un dominio, i membri del gruppo Domain Admins potrebbero essere in grado di eseguire questa procedura. Come best practice di sicurezza, considerare l’utilizzo di Run As per eseguire questa procedura.
  • Per aprire Configurazione servizi terminal, fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Configurazione servizi terminal.
  • Tutte le impostazioni del livello di crittografia configurate in Criteri di gruppo sovrascrivono la configurazione impostata utilizzando lo strumento di configurazione dei servizi terminal. Inoltre, se si abilita la crittografia di sistema: Utilizzare algoritmi FIPS compliant per la crittografia, hashing, e la firma Impostazione dei criteri di gruppo, questa impostazione sostituisce l’impostazione dei criteri di gruppo a livello di crittografia Set client connection.
  • Quando si modifica il livello di crittografia, il nuovo livello di crittografia ha effetto al successivo accesso di un utente. Se si richiedono più livelli di crittografia su un server, installare più schede di rete e configurare ciascuna scheda separatamente.
  • Per verificare che il certificato ha una chiave privata corrispondente, in Configurazione di Servizi Terminal, fare clic sul collegamento per il quale si desidera visualizzare il certificato, fare clic sulla scheda Generale, fare clic su Modifica, fare clic sul certificato che si desidera visualizzare e quindi fare clic su Visualizza Certificato. Nella parte inferiore della scheda Generale, l’istruzione, Si dispone di una chiave privata che corrisponde a questo certificato dovrebbe apparire. È inoltre possibile visualizzare queste informazioni utilizzando lo snap-in Certificati.
  • L’impostazione FIPS compliant (la crittografia di sistema: Utilizzare algoritmi FIPS compliant per la crittografia, l’hashing e l’impostazione di firma in Criteri di gruppo o l’impostazione FIPS Compliant in configurazione Terminal Server) crittografa e decrittografa i dati inviati dal client al server e dal server al client, con gli algoritmi di crittografia FIPS (Federal Information Processing Standard) 140-1, utilizzando moduli crittografici Microsoft. Per ulteriori informazioni, vedere Servizi terminal in Windows Server 2003 Technical Reference.
  • L’impostazione Alta crittografa i dati inviati dal client al server e dal server al client utilizzando una forte crittografia a 128 bit.
  • L’impostazione Compatibile con il client crittografa i dati inviati tra il client e il server con la massima forza chiave supportata dal client.
  • L’impostazione Low crittografa i dati inviati dal client al server utilizzando la crittografia a 56 bit.

Non è possibile disconnettere completamente una connessione Terminal Server

Dopo che un client Terminal Server perde la connessione a un Terminal Server, la sessione sul Terminal Server potrebbe non passare a uno stato disconnesso, ma potrebbe rimanere attiva anche se il client è fisicamente disconnesso dal Terminal Server. Se il client accede nuovamente allo stesso Terminal Server, è possibile stabilire una nuova sessione e la sessione originale potrebbe rimanere attiva.

Per risolvere questo problema, attenersi alla seguente procedura:

  1. Fare clic su Start, fare clic su Esegui, digitare gpedit.msc, quindi fare clic su OK.
  2. Espandere la configurazione del computer, espandere i modelli amministrativi, espandere i componenti di Windows, quindi fare clic su Servizi terminal.
  3. Nel riquadro di destra, fare doppio clic su Connessioni Keep-Alive.
  4. Fare clic su Abilitato, quindi su OK.
  5. Chiudere Editor di oggetti Criteri di gruppo, fare clic su OK, quindi chiudere Utenti e computer di Active Directory.

Servizi RDP è attualmente occupato

I seguenti problemi possono verificarsi quando in Windows Server 2003 funzione SNP è attivata:

Sintomi

Quando si tenta di connettersi al server utilizzando una connessione VPN, viene visualizzato il seguente messaggio di errore:

Errore 800: Impossibile stabilire la connessione.

  • Impossibile creare una connessione RDP (Remote Desktop Protocol) al server.
  • Non è possibile connettersi alle condivisioni sul server da un computer della rete locale.
  • Non è possibile unire un computer client al dominio.
  • Non è possibile connettersi a Exchange server da un computer che esegue Microsoft Outlook.
  • Le connessioni inattive di Outlook al server Exchange potrebbero non essere ripulite.
  • Si verificano prestazioni di rete lente.
  • È possibile che si verifichino prestazioni di rete lente quando si comunica con un computer basato su Windows Vista.
  • Non è possibile creare una connessione FTP in uscita dal server.
  • Il servizio server DHCP (Dynamic Host Configuration Protocol) si blocca.
  • Si verificano prestazioni lente quando si accede al dominio.
  • I client NAT (Network Address Translation) che si trovano dietro Windows Small Business Server 2003 o Internet Security and Acceleration (ISA) Server riscontrano errori di connessione intermittenti.
  • Si verificano errori di comunicazione RPC intermittenti.
  • Il server smette di rispondere.
  • Il server è a corto di memoria pool non paged

Si potrebbe avere un danneggiamento del certificato

Ai client dei servizi Terminal potrebbe essere ripetutamente negato l’accesso al Server Terminal. Se si utilizza un client Terminal Services per accedere al Terminal Server, è possibile ricevere uno dei seguenti messaggi di errore:

  • Messaggio di errore 1

    A causa di un errore di sicurezza, il client non è stato in grado di connettersi al Terminal server. Dopo aver effettuato l’accesso alla rete, provare a connettersi nuovamente al server.

  • Messaggio di errore 2

    Desktop remoto disconnesso. A causa di un errore di sicurezza, il client non è stato in grado di connettersi al computer remoto. Verificare di aver effettuato l’accesso alla rete e quindi riprovare a connettersi.

Importante

Questa sezione, metodo o attività contiene i passaggi che indicano come modificare il registro di sistema. Tuttavia, potrebbero verificarsi problemi gravi se si modifica il registro in modo errato. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il registro di sistema, vedere Come eseguire il backup e ripristinare il registro di sistema in Windows.

Per risolvere il problema, eseguire il backup e quindi rimuovere le chiavi del registro di sistema del certificato X509, riavviare il computer e riattivare il server delle licenze Terminal Services. Per fare ciò, segui questi passaggi.

Nota

Eseguire la seguente procedura su ciascuno dei Terminal Server.

  1. Assicurarsi che il registro di sistema di Terminal Server sia stato eseguito correttamente il backup.

  2. Avvia Editor del Registro di sistema.

  3. Individuare e quindi fare clic sulla seguente sottochiave del registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\

  4. Nel menu Registro, fare clic su Esporta file di registro.

  5. Digitare exported-parameters nella casella Nome file, quindi fare clic su Salva.

    Nota

    Se è necessario ripristinare questa sottochiave del registro in futuro, fare doppio clic sui parametri esportati.reg file salvato in questo passaggio.

  6. Nella sottochiave Registro parametri, fare clic con il pulsante destro del mouse su ciascuno dei seguenti valori, fare clic su Elimina, quindi fare clic su Sì per confermare l’eliminazione:

    • Certificato
    • Certificato X509
    • ID certificato X509
  7. Chiudere l’editor del Registro di sistema, quindi riavviare il server.

  8. Riattivare il server Licenze Terminal Services utilizzando il metodo di connessione telefonica nella procedura guidata licenze.

  • Come limitare il numero di connessioni su un terminal server che esegue Windows server 2003

  • Risoluzione dei problemi Generali di Desktop Remoto Messaggi di Errore

  • a Causa di un errore di protezione, il client non riesce a connettersi al Server Terminal

Se in questo articolo non consentono di risolvere il problema o se si verificano sintomi diversi da quelli descritti in questo articolo, cercare di Supporto Microsoft. Quindi, digitare il testo del messaggio di errore ricevuto o digitare una descrizione del problema nella casella Supporto ricerca (KB).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.