- artikel
- 09/24/2021
- 16 minuter att läsa
-
- D
- v
- s
den här artikeln hjälper dig att förstå de vanligaste inställningarna som påverkar upprättandet av en Terminal Services-session i en företagsmiljö.
gäller för: Windows Server 2003
ursprungligt KB-nummer: 2477023
Terminal Server
en Terminal Server är den server som är värd för Windows-baserade program eller hela Windows-skrivbordet för Terminal Services-klienter. Användare kan ansluta till Terminal Server för att köra program, spara filer och använda nätverksresurser på den servern. Användare kan komma åt en terminalserver från ett företagsnätverk eller från Internet.
fjärranslutningar för administrativa ändamål
Terminal Services stöder två samtidiga fjärranslutningar till datorn. Du behöver inte Terminal Services client access licenses (TS Cal) för dessa anslutningar.
för att tillåta mer än två administrativa anslutningar eller flera användaranslutningar måste du installera rollen Terminal Services och ha lämpliga TS Cal.
Felsök upprätta en Terminal Services-session
följande avsnitt beskriver problem som du kan stöta på och tillhandahåller lösningar.
du kan vara begränsad i antalet användare som kan ansluta samtidigt till en Terminal Services-session
begränsat antal RDP-anslutningar kan bero på felkonfigurerad Grupprincip eller RDP-Tcp-egenskaper i Terminal Services-konfigurationen. Som standard är anslutningen konfigurerad så att ett obegränsat antal sessioner kan anslutas till servern. När du försöker göra en fjärrskrivbordsanslutning (RDC) får du följande felmeddelande:
fjärrskrivbord frånkopplad.
den här datorn kan inte ansluta till fjärrdatorn.
försök ansluta igen. Om problemet fortsätter, kontakta ägaren till fjärrdatorn eller nätverksadministratören.
kontrollera att Remote Desktop är aktiverat
- starta systemverktyget. För att starta systemverktyget, klicka på Start > Kontrollpanelen > Systemikon och klicka sedan på OK.
- klicka på fliken Remote. Under fjärrskrivbord klickar du på kryssrutan Aktivera fjärrskrivbord på den här datorn.
verifiera Terminal Services Limit antal anslutningar policy
- starta snapin-modulen Grupprincip, öppna den lokala säkerhetspolicyn eller lämplig Grupprincip
- navigera till platsen: lokal Datorpolicy > Datorkonfiguration > Administrativa mallar > Windows-komponenter > Terminal Services Limit antal anslutningar.
- Klicka På Aktiverad.
- skriv in det maximala antalet anslutningar som du vill tillåta i rutan TS Maximum Connections allowed och klicka sedan på OK.
verifiera Terminal Services RDP-TCP-egenskaper och ange via Terminal Services Configuration
- klicka på Start, klicka på Kontrollpanelen, dubbelklicka på Administrationsverktyg och dubbelklicka sedan på **Terminal Services Configuration.
- klicka på Anslutningar i konsolträdet.
- högerklicka på den anslutning som du vill ange maximalt antal sessioner för i informationsfönstret och klicka sedan på Egenskaper.
- på fliken nätverksadapter klickar du på maximala anslutningar, skriver det maximala antalet sessioner som kan anslutas till servern och klickar sedan på Verkställ.
verifiera Terminaltjänsterlogonrättigheter och konfigurera gruppen Användare av fjärrskrivbord
gruppen Användare av fjärrskrivbord på en terminalserver används för att ge användare och grupper behörighet att fjärransluta till en terminalserver.
du kan lägga till användare och grupper i gruppen Användare av fjärrskrivbord på följande sätt:
- lokala användare och grupper snap-in
- på fliken Remote i dialogrutan Systemegenskaper på en FJÄRRSKRIVBORDSSESSIONSVÄRDSERVER
- Active Directory-användare och datorer snap-in, om FJÄRRSKRIVBORDSSESSIONSVÄRDSERVERN är installerad på en domänkontrollant
du kan använda följande procedur för att lägga till användare och grupper i gruppen Användare av fjärrskrivbord genom att använda fliken Remote i dialogrutan Systemegenskaper dialogrutan Systemegenskaper på terminalservern.
medlemskap i gruppen lokala administratörer, eller motsvarande, på terminalservern som du planerar att konfigurera, är det minsta som krävs för att slutföra den här proceduren.
Lägg till användare och grupper i gruppen Användare av fjärrskrivbord genom att använda fliken Remote
- starta systemverktyget. För att starta systemverktyget, klicka på Start > Kontrollpanelen > Systemikon och klicka sedan på OK.
- i dialogrutan Systemegenskaper klickar du på Välj fjärranvändare på fliken Remote. Lägg till användare eller grupper som behöver ansluta till terminalservern. De användare och grupper som du lägger till läggs till i gruppen Användare av fjärrskrivbord.
om du inte väljer Tillåt användare att fjärransluta till den här datorn på fliken fjärranslutning kommer Inga användare att kunna fjärransluta till den här datorn, även om de är medlemmar i gruppen Användare av fjärrskrivbord.
Lägg till användare och grupper i gruppen Användare av fjärrskrivbord genom att använda snapin-modulen Lokala användare och grupper
- klicka på Start > Administrationsverktyg, öppna Datorhantering.
- klicka på noden Lokala användare och grupper i konsolträdet.
- dubbelklicka på mappen grupper i informationsfönstret.
- dubbelklicka på användare av fjärrskrivbord och klicka sedan på Lägg till.
- i dialogrutan Välj användare klickar du på platser för att ange sökplatsen.
- klicka på objekttyper för att ange vilka typer av objekt du vill söka efter.
- skriv namnet du vill lägga till i rutan Ange objektnamn för att välja (exempel).
- Klicka På Kontrollera Namn.
- när namnet finns klickar du på OK.
Obs!
- du kan inte ansluta till en dator som sover eller vilar, så se till att inställningarna för sömn och viloläge på fjärrdatorn är inställda på Aldrig. (Viloläge är inte tillgängligt på alla datorer.) Information om hur du gör ändringarna finns i Ändra, skapa eller ta bort en energiplan (schema).
- medlemmar i gruppen lokala administratörer kan ansluta även om de inte är listade.
du kan ha en Porttilldelningskonflikt
det här problemet kan indikera att ett annat program på terminalservern använder samma TCP-port som RDP (Remote Desktop Protocol). Standardporten som tilldelats RDP är 3389.
Lös problemet genom att avgöra vilket program som använder samma port som RDP. Om portatilldelningen för det programmet inte kan ändras ändrar du den port som tilldelats RDP genom att redigera registret. När du har redigerat registret måste du starta om Terminal Services-tjänsten. När du har startat om Terminal Services-tjänsten bör du bekräfta att RDP-porten har ändrats korrekt.
Terminalserver lyssnartillgänglighet
lyssnarkomponenten körs på terminalservern och ansvarar för att lyssna efter och acceptera nya RDP-klientanslutningar (Remote Desktop Protocol), vilket gör det möjligt för användare att skapa nya fjärrsessioner på terminalservern. Det finns en lyssnare för varje Terminal Services-anslutning som finns på terminalservern. Anslutningar kan skapas och konfigureras med hjälp av Terminal Services Configuration tool.
för att utföra dessa uppgifter, se följande avsnitt.
Bestäm vilket program som använder samma port som RDP
du kan köra netstat-verktyget för att avgöra om port 3389 (eller den tilldelade RDP-porten) används av ett annat program på terminalservern.
- på terminalservern klickar du på Start, Kör, skriver cmd och klickar sedan på OK.
- skriv
netstat -a -o
vid kommandotolken och tryck sedan på RETUR. - leta efter en post för TCP-port 3389 (eller den tilldelade RDP-porten) med status för lyssnande. Detta indikerar att ett annat program använder den här porten. PID (Process Identifier) för processen eller tjänsten som använder den porten visas under PID-kolumnen.
för att bestämma vilken applikation som använder port 3389 (eller den tilldelade RDP-porten), använd kommandoradsverktyget tasklist tillsammans med PID-informationen från netstat-verktyget.
- på terminalservern klickar du på Start, Kör, skriver cmd och klickar sedan på OK.
- skriv
tasklist /svc
och tryck sedan på RETUR. - leta efter en post för PID-numret som är associerat med porten (från netstat-utgången). De tjänster eller processer som är associerade med det PID visas till höger.
ändra porten som tilldelats RDP
du bör avgöra om det här programmet kan använda en annan port. Om du inte kan ändra programmets port måste du ändra den port som tilldelats RDP.
viktigt
Microsoft rekommenderar inte att du ändrar porten som tilldelats RDP.
om du måste ändra den port som tilldelats RDP måste du redigera registret.
för att utföra den här proceduren måste du ha medlemskap i gruppen lokala administratörer, eller så måste du ha delegerats behörig myndighet.
för att ändra porten som tilldelats RDP, följ dessa steg:
Varning
felaktig redigering av registret kan allvarligt skada ditt system. Innan du gör ändringar i registret bör du säkerhetskopiera alla värderade data.
-
öppna Registerredigeraren på terminalservern. Om du vill öppna Registerredigeraren klickar du på Start, Kör, skriver regedit och klickar sedan på OK.
-
leta upp och klicka sedan på följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
RDP-TCP är standardanslutningsnamnet. För att ändra porten för en specifik anslutning på terminalservern, välj anslutningen under WinStations-tangenten.
- dubbelklicka på registerposten PortNumber i den högra rutan.
- skriv portnumret som du vill tilldela RDP i rutan värdedata. Portnummer anges som ett hexadecimalt värde.
- klicka på OK för att spara ändringen och stäng sedan Registerredigeraren.
- starta om terminalservern.
bekräfta att RDP-porten har ändrats
för att bekräfta att RDP-porttilldelningen har ändrats, använd netstat-verktyget.
- på terminalservern klickar du på Start, Kör, skriver cmd och klickar sedan på OK.
- vid kommandotolken skriver du
netstat -a
och trycker sedan på ENTER. - leta efter en post för portnumret som du tilldelade RDP. Porten ska visas i listan och ha Status att lyssna.
anslutning till fjärrskrivbord och Terminal Server webbklient använder port 3389 som standard för att ansluta till en Terminal Server. Om du ändrar RDP-porten på terminalservern måste du ändra porten som används av fjärrskrivbordsanslutning och Terminalserverns webbklient.
kontrollera att lyssnaren på terminalservern fungerar som den ska
Obs
RDP-TCP är standardanslutningsnamnet och 3389 är standardporten för RDP. Använd anslutningsnamnet och portnumret som är specifikt för din Terminal Server-konfiguration.
-
Metod 1: använd en RDP-klient, till exempel anslutning till fjärrskrivbord, för att upprätta en fjärranslutning till terminalservern.
-
Metod 2: Använd qwinsta-verktyget för att visa lyssnarstatus på terminalservern.
- på terminalservern klickar du på Start, Kör, skriver cmd och klickar sedan på OK.
- skriv qwinsta vid kommandotolken och tryck sedan på ENTER.
- RDP-TCP-sessionstillståndet ska lyssna.
-
Metod 3: Använd netstat-verktyget för att visa lyssnarstatus på terminalservern.
- på terminalservern klickar du på Start, Kör, skriver cmd och klickar sedan på OK.
- vid kommandotolken skriver du
netstat -a
och trycker sedan på ENTER. - posten för TCP-port 3389 ska lyssna.
-
Metod 4: Använd telnet-verktyget för att ansluta till RDP-porten på terminalservern.
- från en annan dator, klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK.
- vid kommandotolken skriver du
telnet <servername> 3389
, där <servernamn> är namnet på terminalservern och trycker sedan på RETUR.
om telnet lyckas får du telnet-skärmen och en markör.
om telnet inte lyckas får du det här felet:
anslutning till servernamn…Det gick inte att öppna anslutning till värden, på port 3389: Connect misslyckades
qwinsta, netstat och telnet verktyg ingår också i Windows XP. Du kan också ladda ner och använda andra felsökningsverktyg, till exempel Portqry.
du kan ha en felaktigt konfigurerad autentiserings-och Krypteringsinställning
konfigurera autentisering och kryptering med Terminal Services-konfiguration
-
öppna Terminal Services-konfiguration i Administrationsverktyg.
-
klicka på Anslutningar i konsolträdet.
-
högerklicka på den anslutning du vill ändra i informationsfönstret och klicka sedan på Egenskaper.
-
på fliken Allmänt, i säkerhetslager, välj en säkerhetsmetod. Säkerhetsmetoden som du väljer avgör om terminalservern är autentiserad till klienten och vilken krypteringsnivå du kan använda. Du kan välja mellan dessa säkerhetsmetoder:
-
förhandlings metoden använder TLS 1.0 för att autentisera servern, om TLS stöds. Om TLS inte stöds autentiseras inte servern.
-
RDP Security Layer-metoden använder native Remote Desktop Protocol encryption för att säkra kommunikationen mellan klienten och servern. Om du väljer den här inställningen autentiseras inte servern.
-
SSL-metoden kräver användning av TLS 1.0 för att autentisera servern. Om TLS inte stöds misslyckas anslutningen. Den här metoden är endast tillgänglig om du väljer ett giltigt certifikat, som beskrivs i steg 6.
om du väljer förhandla eller SSL, för att TLS ska fungera korrekt, måste du också ställa in krypteringsnivån till hög, eller du måste aktivera FIPS-kompatibel kryptering med hjälp av Grupprincip eller Terminal Server-konfiguration. Ytterligare krav på server-och klientkonfiguration måste också uppfyllas. Mer information om krav och uppgifter för att konfigurera Terminal Server för att stödja TLS-autentisering finns i Konfigurera autentisering och kryptering.
-
-
klicka på den nivå du vill använda i krypteringsnivå. Du kan välja låg, Klientkompatibel, hög eller FIPS-kompatibel. För mer information om dessa nivåer, se anteckningar i slutet av detta ämne.
-
om du vill använda TLS 1.0 för att autentisera servern klickar du på Bläddra i certifikat, klickar på Välj certifikatoch klicka sedan på det certifikat som du vill använda. Certifikatet måste vara ett X.509 certifikat med motsvarande privat nyckel. Instruktioner om hur du kontrollerar om certifikatet har en motsvarande privat nyckel finns i anteckningar i slutet av det här avsnittet.
-
om du vill ange att klienter loggar in på terminalservern genom att skriva sina referenser i standardinloggningsdialogrutan för Windows markerar du kryssrutan Använd Standardinloggningsgränssnitt för Windows.
Obs!
- för att utföra den här proceduren måste du vara medlem i gruppen Administratörer på den lokala datorn, eller så måste du ha delegerats rätt behörighet. Om datorn är ansluten till en domän kan medlemmar i gruppen domänadministratörer kanske utföra den här proceduren. Som en säkerhets bästa praxis, överväga att använda Run As för att utföra denna procedur.
- om du vill öppna Terminal Services-konfiguration klickar du på Start, på Kontrollpanelen, dubbelklickar på Administrationsverktyg och dubbelklickar sedan på Terminal Services-konfiguration.
- alla krypteringsnivåinställningar som du konfigurerar i Grupprincip åsidosätter konfigurationen som du anger med hjälp av konfigurationsverktyget Terminal Services. Också, om du aktiverar systemet kryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashing och signering Grupprincipinställning, den här inställningen åsidosätter inställningen ange klientanslutning krypteringsnivå Grupprincip.
- när du ändrar krypteringsnivån träder den nya krypteringsnivån i kraft nästa gång en användare loggar in. Om du behöver flera krypteringsnivåer på en server installerar du flera nätverkskort och konfigurerar varje adapter separat.
- om du vill verifiera att certifikatet har en motsvarande privat nyckel högerklickar du på den anslutning som du vill visa certifikatet för i Terminal Services Configuration, klickar på fliken Allmänt, klickar på Redigera, klickar på certifikatet som du vill visa och klickar sedan på Visa certifikat. Längst ner på fliken Allmänt, uttalandet, har du en privat nyckel som motsvarar detta certifikat ska visas. Du kan också visa den här informationen genom att använda snapin-modulen certifikat.
- FIPS-kompatibel inställning (systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashing och signering inställning i Grupprincip eller FIPS-kompatibel inställning i Terminal Server Configuration) krypterar och dekrypterar data som skickas från klienten till servern och från servern till klienten, med Federal Information Processing Standard (FIPS) 140-1 krypteringsalgoritmer, med hjälp av Microsoft kryptografiska moduler. Mer information finns i Terminal Services i Teknisk referens för Windows Server 2003.
- den höga inställningen krypterar data som skickas från klienten till servern och från servern till klienten med hjälp av stark 128-bitars kryptering.
- den Klientkompatibla inställningen krypterar data som skickas mellan klienten och servern med den maximala nyckelstyrkan som stöds av klienten.
- den låga inställningen krypterar data som skickas från klienten till servern med 56-bitars kryptering.
du kan inte helt koppla bort en Terminal Server-anslutning
när en Terminal Server-klient förlorar anslutningen till en Terminal Server, kan sessionen på Terminal Server inte övergå till ett frånkopplat tillstånd, i stället kan den förbli aktiv även om klienten är fysiskt frånkopplad från Terminal Server. Om klienten loggar in igen på samma Terminalserver kan en ny session upprättas och den ursprungliga sessionen kan fortfarande vara aktiv.
för att komma runt det här problemet, följ dessa steg:
- klicka på Start, klicka på Kör, skriv gpedit.msc och klicka sedan på OK.
- expandera Datorkonfiguration, expandera Administrativa mallar, expandera Windows-komponenter och klicka sedan på Terminal Services.
- dubbelklicka på keep-Alive-anslutningar i den högra rutan.
- klicka på Aktiverad och klicka sedan på OK.
- Stäng redigeraren för grupprincipobjekt, klicka på OK och avsluta sedan Active Directory-användare och datorer.
RDP Services är för närvarande upptagen
följande problem kan uppstå när SNP-funktionen i Windows Server 2003 är aktiverad:
symptom
när du försöker ansluta till servern med hjälp av en VPN-anslutning visas följande felmeddelande:
fel 800: Det gick inte att upprätta anslutning.
- du kan inte skapa en RDP-anslutning (Remote Desktop Protocol) till servern.
- du kan inte ansluta till resurser på servern från en dator i det lokala nätverket.
- du kan inte ansluta en klientdator till domänen.
- du kan inte ansluta till Exchange-servern från en dator som kör Microsoft Outlook.
- inaktiva Outlook-anslutningar till Exchange-servern kanske inte rensas upp.
- du upplever långsam nätverksprestanda.
- du kan uppleva långsam nätverksprestanda när du kommunicerar med en Windows Vista-baserad dator.
- du kan inte skapa en utgående FTP-anslutning från servern.
- tjänsten Dynamic Host Configuration Protocol (DHCP) server kraschar.
- du upplever långsam prestanda när du loggar in på domänen.
- Nat-klienter (Network Address Translation) som finns bakom Windows Small Business Server 2003 eller ISA-Server (Internet Security and Acceleration) upplever intermittenta anslutningsfel.
- du upplever intermittenta RPC-Kommunikationsfel.
- servern slutar svara.
- servern har ont om nonpaged pool minne
du kan ha ett certifikat korruption
Terminal Services-klienter kan upprepade gånger nekas åtkomst till terminalservern. Om du använder en Terminal Services-klient för att logga in på terminalservern kan du få något av följande felmeddelanden:
-
felmeddelande 1
på grund av ett säkerhetsfel kunde klienten inte ansluta till terminalservern. När du har kontrollerat att du är inloggad på nätverket kan du försöka ansluta till servern igen.
-
felmeddelande 2
fjärrskrivbord frånkopplad. På grund av ett säkerhetsfel kunde klienten inte ansluta till fjärrdatorn. Kontrollera att du är inloggad på nätverket och försök sedan ansluta igen.
viktigt
det här avsnittet, metoden eller aktiviteten innehåller steg som talar om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer dessa steg noggrant. För extra skydd, säkerhetskopiera registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Mer information om hur du säkerhetskopierar och återställer registret finns i säkerhetskopiera och återställa registret i Windows.
Lös problemet genom att säkerhetskopiera och ta bort registernycklarna för X509-certifikatet, starta om datorn och återaktivera licensservern för Terminal Services. För att göra detta, följ dessa steg.
Obs
utför följande procedur på var och en av Terminalservrarna.
-
se till att Terminal Server-registret har säkerhetskopierats.
-
Starta Registerredigeraren.
-
leta upp och klicka sedan på följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\
-
klicka på Exportera registerfil på Registry-menyn.
-
skriv exporterade parametrar i rutan Filnamn och klicka sedan på Spara.
Obs
om du måste återställa den här registerundernyckeln i framtiden dubbelklickar du på de exporterade parametrarna.reg-fil som du sparade i det här steget.
-
högerklicka på vart och ett av följande värden under undernyckeln Parameters registry, klicka på Ta bort och klicka sedan på Ja för att bekräfta borttagningen:
- certifikat
- X509 certifikat
- X509 certifikat ID
-
avsluta Registerredigeraren och starta sedan om servern.
-
återaktivera licensservern för Terminal Services med hjälp av Telefonanslutningsmetoden i Licensguiden.
-
hur man begränsar antalet anslutningar på en terminalserver som kör Windows Server 2003
-
felsökning allmänna Felmeddelanden för fjärrskrivbord
-
på grund av ett säkerhetsfel kunde klienten inte ansluta till terminalservern
om den här artikeln inte hjälper dig att lösa problemet eller om du upplever symtom som skiljer sig från de som beskrivs i den här artikeln söker du i Microsoft-supporten. Skriv sedan texten i felmeddelandet som du får eller skriv en beskrivning av problemet i rutan SÖKSTÖD (KB).