步骤一：使用阿里云Workbench工具测试远程登录

通过阿里云提供的Workbench工具进行远程登录，Workbench工具在远程登录出现异常时会返回具体的错误信息及解决方案。测试步骤如下：

1. 登录 ECS管理控制台 。

2. 在左侧导航栏，选择 实例与镜像 > 实例 。

3. 在顶部菜单栏左上角处，选择地域。

4. 在 实例列表 页面，找到需要连接的实例，单击该实例对应 操作 列下的 远程连接 。

5. 在弹出的 远程 与命令 对话框中，单击 Workbench远程连接 对应的 立即登录 。

6. Workbench工具将自动填充登录目标实例所需的基本信息，请确认基本信息的正确性并输入登录的用户名和认证信息。并根据以下结果进行处理：

   • 如仍然无法登录，Workbench工具会返回错误提示和解决方案，请根据系统提示进行处理。处理完毕后重新使用Workbench工具进行远程登录测试。为了便于您解决问题，以下列举Workbench工具使用时常见的异常问题： Workbench远程连接问题（Windows） 。

   • 如可以通过Workbench工具正常登录，但无法通过本地服务器远程登录，说明远程连接的端口及服务正常，您可以自行排查。

步骤二：检查是否有收到黑洞通知

请检查是否有收到黑洞通知，黑洞期间无法支持公网访问服务器。更多信息，请参见 阿里云黑洞策略 。

步骤三：检查端口及安全组

检查安全组规则是否有限制，具体操作如下：

1. 登录 ECS管理控制台 。

2. 在顶部菜单栏左上角处，选择地域。

3. 在 实例列表 页面，单击对应的实例ID。

4. 在 实例详情 页面，单击 安全组 页签，在 安全组列表 区域，单击 操作 列的 管理规则 。

5. 选择安全组规则方向。

6. 在 安全组规则 页面，您可以选择以下任意一种方式添加安全组规则，具体操作，请参见 添加安全组规则 。

   • 方式一：快速添加安全组规则

     • 授权策略 ： 允许

     • 端口范围 ： RDP（3389）

     • 授权对象 ： 0.0.0.0/0（代表所有IP访问）

   • 方式二：手动添加安全组规则

     • 授权策略 ： 允许

     • 优先级 ： 1（代表安全规则中优先级最高，数字越小优先级越高）

     • 协议类型 ： 自定义（TCP）

     • 端口范围 ： 如果自定义远程端口为33899，则设置为33899

     • 授权对象 ： 0.0.0.0/0（代表所有IP访问）

7. 通过 IP:端口 的方式进行远程桌面连接。连接方式类似如下。

   

8. 使用以下命令，进行端口测试，判断端口是否正常。

   telnet [$IP] [$Port]

   说明

   • [$IP]指Windows实例的IP地址。

   • [$Port]指Windows实例的RDP端口号。

   系统显示类似如下，比如执行 telnet 192.168.0.1 4389 命令，正常情况下返回结果类似如下。

   Trying 192.168.0.1 ...
   Connected to 192.168.0.1  4389.
   Escape character is '^]'

   如果端口测试失败，请参见 使用ping命令正常但端口不通时的端口可用性探测说明 进行排查。

步骤四：本地公网IP被云安全中心拦截

如果在一个本地客户端网络连接ECS服务器时多次输入错误的登录信息，会导致此IP远程登录ECS的请求被拦截。您可以在云安全中心的 设置 中，添加本地IP至白名单，这样就不会对本地IP远程登录此服务器进行拦截，具体操作如下：

1. 登录 云安全中心控制台 。

2. 在左侧导航栏，选择 系统配置 > 功能设置 。

3. 在 设置 页签的 其它配置 子页签，单击 安全管控 区域的 配置 ，跳转至 安全管控 控制台。

4. 在左侧导航栏，选择 白名单管理 > IP白名单 。

5. 在 IP白名单 页面，单击 添加 。

   具体操作，请参见 安全管控 。

步骤六：检查远程桌面服务

您可以查看Windows服务器的系统是否开启了远程桌面服务。具体操作如下：

1. 使用VNC方式登录Windows实例。

   具体操作，请参见 通过密码认证登录Windows实例 。

2. 右键单击开始菜单，单击 系统 。

3. 在 系统 界面，单击 远程设置 。

   

4. 在 远程桌面 区域，选中 允许远程连接到此 计算 机( L) ，单击 确定 。

   

5. 启动 Remote Desktop Services 服务。

   在 开始 菜单中，选择 管理工具>组件服务>服务（本地） ，在右侧的菜单窗口中找到 Remote Desktop Services 服务，检查是否启动，如果没有启动，则需启动。

   

6. 加载远程桌面服务所依赖的驱动和服务。

   为了提高系统安全性，有时错误地将远程桌面服务所依赖的某些关键服务禁用，导致远程桌面服务异常。可通过以下操作进行检查。

   1. 右键单击开始菜单，单击 运行 ，输入 msconfig ，单击 确定 。

      

   2. 在 系统配置 对话框中，单击 常规 页签，选中 正常 启 动( N) ，单击 确定 。

   3. 重启ECS实例。

      具体操作，请参见 重启实例 。

步骤七：检查远程终端服务配置

无法连接Windows实例的远程桌面可能是由于以下远程终端服务的配置异常。

异常二：远程桌面会话主机配置连接被禁用

使用 netstat 命令查询，发现端口未正常监听。

使用VNC方式登录Windows实例后，发现远程桌面RDP连接属性配置文件被禁用，重新启用 RDP-Tcp连接 即可 ， 具体操作，请参见 异常一：服务器侧自签名证书损坏 。

步骤八：检查网络

无法正常远程连接Windows实例时，需要先检查网络是否正常。

1. 使用其他网络环境中（不同网段或不同运营商）的电脑连接对比测试，判断是本地网络问题还是服务器端的问题。

   • 如果是本地网络问题或运营商问题，请联系本地IT人员或运营商解决。

   • 如果是网卡驱动存在异常，则重新安装。排除本地网络故障后进行下一步检查。

2. 在本地客户端使用 ping 命令测试与实例的网络连通性。

   • 网络异常时，请参见 网络异常时如何抓取数据包 进行排查。

   • 当出现ping丢包或ping不通时，请参见 使用ping命令丢包或不通时的链路测试方法 进行排查。

   • 如果出现间歇性丢包，ECS实例的网络一直处于不稳定状态时，请参见 使用ping命令测试ECS实例的IP地址间歇性丢包 进行解决。

3. 在实例中使用ping命令测试与客户端的连通性，提示 一般故障 错误时，请参见 Windows实例ping外网地址提示“一般故障” 进行解决。

步骤九：检查CPU负载、带宽及内存使用情况

无法正常远程连接Windows实例时，可能是因为CPU负载、带宽不足或内存不足导致。

1. 根据是否存在CPU负载过高情况，选择相应操作。

   • 不存在CPU负载过高情况，请继续执行步骤2继续排查。

   • 如果CPU负载过高情况，请参考本步骤解决问题。

     • 检查CPU负载过高时，通过实例详情页面的终端登录实例，检查后台是否正在执行Windows Update操作。若存在Windows Update操作，则CPU负载过高是正常结果，请继续等待执行完成。

     • 若应用程序有大量的磁盘访问、网络访问行为、高计算需求，CPU负载过高是正常结果。建议您升配实例规格来解决资源瓶颈问题，具体操作，请参见 升降配方式概述 。

       说明

       CPU负载过高的解决方法，请参见 Windows系统ECS实例的CPU使用率较高的解决方法 。

2. 排查是否存在公网带宽不足问题。

   无法远程连接可能是公网带宽不足导致的，具体排查方法如下。

   1. 登录 ECS管理控制台 。

   2. 在顶部菜单栏左上角处，选择地域。

   3. 在 实例列表 页面，单击对应的实例ID，在 基本信息 区域，查看 当前使用带宽 。

      如果服务器带宽为0 Mbps，说明购买实例时没有购买公网带宽，您可以通过升级带宽解决，具体操作，请参见 修改公网带宽 。

3. 排查是否存在内存不足问题。

   远程连接Windows实例后，不能正常显示桌面并直接退出，也没有错误信息提示。这种情况可能是服务器内存不足导致，需要检查服务器的内存使用情况。具体操作如下。

   1. 使用VNC方式登录Windows实例。

      具体操作，请参见 通过密码认证登录Windows实例 。

   2. 选择 开始>管理工具>事件查看器 ，查看是否存在内存资源不足的警告日志信息。具体操作，请参见 Windows 虚拟内存不足问题的处理 。

步骤十：检查系统的安全策略设置

您可以查看Windows服务器上是否有阻止远程桌面连接的相关安全策略。具体操作如下。

1. 使用VNC方式登录Windows实例。

   具体操作，请参见 通过密码认证登录Windows实例 。

2. 选择 开始>控制面板>管理工具 ，双击 本地安全策略 。

3. 在 本地安全策略 界面中，单击 IP安全策略，在本地计算机 ，根据是否存在相关的安全策略，选择相应操作。

   1. 存在相关安全策略，删除或重新编辑该安全策略

      • 删除安全策略：右键单击相关策略，选择 删 除( D) ，在弹出的对话框，单击 是 。

        

      • 双击打开该IP的安全策略，重新配置以允许远程桌面连接，然后再使用远程桌面连接。

   2. 不存在相关安全策略，执行 步骤十：检查系统的安全策略设置 继续排查。

步骤十一：检查杀毒软件

使用远程桌面无法连接ECS实例可能是由于第三方杀毒软件设置导致，可通过以下方法进行解决。此处列举两个安全狗配置导致远程访问失败的解决案例。

• 如果杀毒软件在后台执行，可通过VNC方式登录实例，将杀毒软件升级至最新版本或者直接删除。关于如何使用VNC登录实例，请参见 连接方式概述 。

• 请使用商业版杀毒软件，或者使用Microsoft Safety Scanner微软免费安全工具，在安全模式下扫描杀毒。关于更多安全扫描程序信息，请参见 安全扫描程序 。

案例一：安全狗黑名单拦截

如果安装了安全狗后，出现以下情况，请确认防护软件中是否做了安全设置或对应的拦截。

• 客户端本地无法远程桌面连接Windows实例，但其他区域可以远程连接。

• 无法ping通服务器IP地址，并且通过 tracert 命令跟踪路由，发现无法到达服务器。

• 云安全中心未拦截本地公网IP地址。

打开 服务器安全狗 ，选择 网络防火墙 ，单击 超级 黑白名 单 右侧 的 图标，如果 超级黑名单 中存在ECS实例公网IP，需将此黑名单规则删除，然后将公网IP添加到 超级白名单 。

说明

如果云安全中心的阈值设置过低，则可能拦截实例公网IP。建议把清洗阈值调高，避免出现拦截实例公网IP的情况发生，更多信息，请参见 DDoS基础防护 。

案例二：安全狗程序异常

使用VNC登录到Windows实例后，在系统桌面右下角，安全狗弹出错误提示，系统显示类似如下。

该问题可能是由于安全狗软件出现异常导致，您可以通过Windows系统卸载安全狗软件后，重启ECS实例，即可恢复网络。

步骤十二： Windows注册表配置异常

Windows注册表相关配置异常，可能导致RDP连接被阻断，您可以参考以下步骤来修复。

1. 使用VNC连接ECS实例。

   具体操作，请参见 使用VNC登录实例 。

2. 在 运行 框中输入 regedit ，单击 确定 ，打开注册表编辑器。

   

3. 在注册表编辑器中，分别修改以下参数配置。

   • 将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 中的 fEnableWinStation 参数值修改为1。

     

   • 将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server 中的 fDenyTSConnections 参数值修改为0。

     

步骤十三： Windows RDP自签证书到期

RDP自签证书过期，可能会导致无法远程登录，您可以参考以下步骤来修复。

1. 使用VNC方式登录Windows实例。

   具体操作，请参见通过密码认证登录Windows实例。

2. 以管理员身份运行Windows PowerShell。

3. 在Windows PowerShell对话框，执行如下命令。

   Remove-Item -Path 'Cert:\LocalMachine\Remote Desktop\*' -Force -ErrorAction SilentlyContinue
   Restart-Service TermService -Force