Passaggi dettagliati per la risoluzione dei problemi relativi alla connessione desktop remoto alle macchine virtuali Windows in Azure
Questo articolo fornisce procedure dettagliate per la risoluzione dei problemi per diagnosticare e correggere errori complessi di Desktop remoto per le macchine virtuali di Azure basate su Windows.
Importante
Per eliminare gli errori più comuni di Desktop remoto, assicurati di leggere l'articolo di risoluzione dei problemi di base per Desktop remoto prima di procedere.
È possibile che venga visualizzato un messaggio di errore di Desktop remoto che non assomiglia a nessuno dei messaggi di errore specifici descritti nella guida alla risoluzione dei problemi di base di Desktop remoto. Seguire questi passaggi per determinare perché il client Desktop remoto (RDP) non è in grado di connettersi al servizio RDP nella macchina virtuale di Azure.
Componenti di una connessione Desktop remoto
I seguenti componenti sono coinvolti in una connessione RDP:
Prima di procedere, potrebbe essere utile rivedere mentalmente cosa è cambiato dall'ultima connessione desktop remoto riuscita alla VM. Ad esempio:
- L'indirizzo IP pubblico della macchina virtuale o il servizio cloud contenente la macchina virtuale (chiamato anche indirizzo IP virtuale VIP) è cambiato. L'errore RDP potrebbe essere dovuto al fatto che la cache del tuo client DNS ha ancora il vecchio indirizzo IP registrato per il nome DNS. Svuota la cache del client DNS e prova a connettere nuovamente la VM. Oppure prova a connetterti direttamente con il nuovo VIP.
- Si usa un'applicazione di terze parti per gestire le connessioni Desktop remoto invece di usare la connessione generata dal portale di Azure. Verificare che la configurazione dell'applicazione includa la porta TCP corretta per il traffico di Desktop remoto. È possibile controllare questa porta per una macchina virtuale classica nel portale di Azure, facendo clic su Impostazioni > Endpoint della macchina virtuale.
Passi preliminari
Prima di procedere alla risoluzione dettagliata dei problemi,
- Controllare lo stato della macchina virtuale nel portale di Azure per eventuali problemi evidenti.
- Segui la procedura di correzione rapida per gli errori RDP comuni nella guida alla risoluzione dei problemi di base.
- Per le immagini personalizzate, assicurati che il tuo disco rigido virtuale sia preparato correttamente prima di caricarlo. Per altre informazioni, vedere Preparare un disco rigido virtuale Windows o VHDX da caricare in Azure.
Prova a riconnetterti alla VM tramite Desktop remoto dopo questi passaggi.
Passaggi dettagliati per la risoluzione dei problemi
Il client Desktop remoto potrebbe non essere in grado di raggiungere il servizio Desktop remoto nella macchina virtuale di Azure a causa di problemi nelle origini seguenti:
- Computer client Desktop remoto
- Dispositivo Intranet periferico dell'organizzazione
- Endpoint del servizio cloud ed elenco di controllo degli accessi (ACL)
- Gruppi di sicurezza di rete
- Macchina virtuale di Azure basata su Windows
Origine 1: computer client Desktop remoto
Verifica che il tuo computer sia in grado di effettuare connessioni Desktop remoto a un altro computer locale basato su Windows.
Se non puoi, controlla le seguenti impostazioni sul tuo computer:
- Un'impostazione del firewall locale che blocca il traffico di Desktop remoto.
- Software proxy client installato localmente che impedisce le connessioni Desktop remoto.
- Software di monitoraggio della rete installato localmente che impedisce le connessioni Desktop remoto.
- Altri tipi di software di sicurezza che monitorano il traffico o consentono/non consentono tipi specifici di traffico che impediscono le connessioni Desktop remoto.
In tutti questi casi, disabilita temporaneamente il software e prova a connetterti a un computer locale tramite Desktop remoto. Se riesci a scoprire la vera causa in questo modo, collabora con il tuo amministratore di rete per correggere le impostazioni del software per consentire le connessioni Desktop remoto.
Fonte 2: dispositivo periferico intranet dell'organizzazione
Verificare che un computer connesso direttamente a Internet possa effettuare connessioni Desktop remoto alla macchina virtuale di Azure.
Se non si dispone di un computer connesso direttamente a Internet, creare ed eseguire il test con una nuova macchina virtuale di Azure in un gruppo di risorse o servizio cloud. Per ulteriori informazioni, vedere Creare una macchina virtuale che esegue Windows in Azure. È possibile eliminare la macchina virtuale e il gruppo di risorse o il servizio cloud dopo il test.
Se riesci a creare una connessione Desktop remoto con un computer direttamente collegato a Internet, controlla il dispositivo perimetrale dell'intranet della tua organizzazione per:
- Un firewall interno che blocca le connessioni HTTPS a Internet.
- Un server proxy che impedisce le connessioni Desktop remoto.
- Software di rilevamento delle intrusioni o monitoraggio della rete in esecuzione sui dispositivi nella rete perimetrale che impedisce le connessioni Desktop remoto.
Collaborare con l'amministratore di rete per correggere le impostazioni del dispositivo perimetrale della intranet dell'organizzazione per consentire connessioni Desktop remoto basate su HTTPS a Internet.
Origine 3: endpoint del servizio cloud e ACL
Importante
Le macchine virtuali classiche verranno ritirate il 1° settembre 2023
Se si utilizzano risorse IaaS da ASM, completare la migrazione entro il 1° settembre 2023. Ti invitiamo a effettuare il passaggio prima per sfruttare i numerosi miglioramenti delle funzionalità in Azure Resource Manager.
Per ulteriori informazioni, consultare Migrazione delle risorse IaaS in Azure Resource Manager entro il 1° settembre 2023.
Per le macchine virtuali create usando il modello di distribuzione classica, verificare che un'altra macchina virtuale di Azure che si trova nello stesso servizio cloud o nella stessa rete virtuale possa effettuare connessioni Desktop remoto alla macchina virtuale di Azure.
Nota
Per le macchine virtuali create in Resource Manager, vai a Origine 4: gruppi di sicurezza di rete.
Se non si dispone di un'altra macchina virtuale nello stesso servizio cloud o rete virtuale, crearne una. Seguire i passaggi in Creare una macchina virtuale che esegue Windows in Azure. Eliminare la macchina virtuale di test al termine del test.
Se puoi connetterti tramite Desktop remoto a una macchina virtuale nello stesso servizio cloud o rete virtuale, controlla queste impostazioni:
- La configurazione dell'endpoint per il traffico Desktop remoto nella macchina virtuale di destinazione: la porta TCP privata dell'endpoint deve corrispondere alla porta TCP su cui è in ascolto il servizio Desktop remoto della macchina virtuale (l'impostazione predefinita è 3389).
- L'ACL per l'endpoint del traffico di Desktop remoto nella macchina virtuale di destinazione: gli ACL consentono di specificare il traffico in entrata consentito o negato da Internet in base all'indirizzo IP di origine. Gli ACL configurati in modo errato possono impedire il traffico Desktop remoto in entrata verso l'endpoint. Controlla i tuoi ACL per assicurarti che il traffico in entrata dai tuoi indirizzi IP pubblici del tuo proxy o altro server perimetrale sia consentito. Per ulteriori informazioni, vedere Che cos'è un elenco di controllo di accesso alla rete (ACL)?
Per verificare se l'endpoint è l'origine del problema, rimuovere l'endpoint corrente e crearne uno nuovo, scegliendo una porta casuale nell'intervallo 49152–65535 per il numero di porta esterna. Per ulteriori informazioni, vedere Come configurare gli endpoint su una macchina virtuale.
Fonte 4: gruppi di sicurezza di rete
I gruppi di sicurezza di rete consentono un controllo più granulare del traffico in entrata e in uscita consentito. È possibile creare regole che si estendono su subnet e servizi cloud in una rete virtuale di Azure.
Utilizza la verifica del flusso IP per confermare se una regola in un gruppo di sicurezza di rete sta bloccando il traffico da o verso una macchina virtuale. È inoltre possibile esaminare le regole del gruppo di sicurezza effettive per garantire che la regola NSG "Consenti" in ingresso esista e abbia la priorità per la porta RDP (impostazione predefinita 3389). Per ulteriori informazioni, consulta Utilizzo di regole di sicurezza efficaci per la risoluzione dei problemi relativi al flusso del traffico VM.
Fonte 5: macchina virtuale di Azure basata su Windows
Segui le istruzioni in questo articolo. Questo articolo reimposta il servizio Desktop remoto sulla macchina virtuale:
- Abilitare la regola predefinita di Windows Firewall "Desktop remoto" (porta TCP 3389).
- Abilita le connessioni Desktop remoto impostando il valore di registro HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections su 0.
Riprova la connessione dal tuo computer. Se non riesci ancora a connetterti tramite Desktop remoto, controlla i seguenti possibili problemi:
- Il servizio Desktop remoto non è in esecuzione sulla macchina virtuale di destinazione.
- Il servizio Desktop remoto non è in ascolto sulla porta TCP 3389.
- Windows Firewall o un altro firewall locale ha una regola in uscita che impedisce il traffico di Desktop remoto.
- Il rilevamento delle intrusioni o il software di monitoraggio della rete in esecuzione sulla macchina virtuale di Azure impedisce le connessioni a Desktop remoto.
Per le macchine virtuali create usando il modello di distribuzione classico, è possibile usare una sessione remota di Azure PowerShell nella macchina virtuale di Azure. Innanzitutto, è necessario installare un certificato per il servizio cloud di hosting della macchina virtuale. Andare su Configurare l'accesso remoto PowerShell sicuro per le macchine virtuali di Azure e scaricare il file di script InstallWinRMCertAzureVM.ps1 nel computer locale.
Successivamente, installa Azure PowerShell se non lo hai già fatto. Vedere Come installare e configurare Azure PowerShell.
Aprire quindi un prompt dei comandi di Azure PowerShell e modificare la cartella corrente nel percorso del file di script InstallWinRMCertAzureVM.ps1. Per eseguire uno script di Azure PowerShell, è necessario impostare i criteri di esecuzione corretti. Eseguire il comando Get-ExecutionPolicy per determinare il livello dei criteri correnti. Per informazioni sull'impostazione del livello appropriato, vedere Set-ExecutionPolicy.
Successivamente, immettere il nome della sottoscrizione di Azure, il nome del servizio cloud e il nome della macchina virtuale (rimuovendo i caratteri< e >), quindi eseguire questi comandi.
$subscr="<Name of your Azure subscription>"
$serviceName="<Name of the cloud service that contains the target virtual machine>"
$vmName="<Name of the target virtual machine>"
.\InstallWinRMCertAzureVM.ps1 -SubscriptionName $subscr -ServiceName $serviceName -Name $vmName
È possibile ottenere il nome della sottoscrizione corretto dalla proprietà SubscriptionName della visualizzazione del comando Get-AzureSubscription. È possibile ottenere il nome del servizio cloud per la macchina virtuale dalla colonna ServiceName nella visualizzazione del comando Get-AzureVM.
Controlla se hai il nuovo certificato. Aprire uno snap-in certificati per l'utente corrente e cercare nella cartella Autorità di certificazione radice attendibili\Certificati. Dovresti vedere un certificato con il nome DNS del tuo servizio cloud nella colonna Rilasciato a (esempio: cloudservice4testing.cloudapp.net).
Avviare quindi una sessione remota di Azure PowerShell usando questi comandi.
$uri = Get-AzureWinRMUri -ServiceName $serviceName -Name $vmName
$creds = Get-Credential
Enter-PSSession -ConnectionUri $uri -Credential $creds
Dopo aver immesso credenziali di amministratore valide, dovresti vedere qualcosa di simile al seguente prompt di Azure PowerShell:
[cloudservice4testing.cloudapp.net]: PS C:\Users\User1\Documents>
La prima parte di questo prompt è il nome del servizio cloud che contiene la VM di destinazione, che potrebbe essere diversa da "cloudservice4testing.cloudapp.net". È ora possibile emettere comandi di Azure PowerShell per questo servizio cloud per analizzare i problemi menzionati e correggere la configurazione.
Per correggere manualmente la porta TCP di ascolto di Servizi Desktop remoto
Al prompt della sessione remota di Azure PowerShell eseguire questo comando.
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"
La proprietà PortNumber mostra il numero di porta corrente. Se necessario, modificare il numero di porta del desktop remoto riportandolo al valore predefinito (3389) utilizzando questo comando.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 3389
Verificare che la porta sia stata modificata in 3389 utilizzando questo comando.
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"
Uscire dalla sessione remota di Azure PowerShell usando questo comando.
Exit-PSSession
Verificare che anche l'endpoint di Desktop remoto per la macchina virtuale di Azure usi la porta TCP 3398 come porta interna. Riavvia la macchina virtuale di Azure e prova di nuovo la connessione Desktop remoto.
Risorse aggiuntive
Come reimpostare una password o il servizio Desktop remoto per le macchine virtuali Windows
Come installare e configurare Azure PowerShell
Risolvere i problemi di accesso a un'applicazione in esecuzione su una macchina virtuale di Azure
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per