Allgemeine Problembehandlung bei Remotedesktopverbindungen

Testen Sie unseren Virtual Agent – Er kann Ihnen helfen, häufige Verbindungsprobleme bei RD-Sitzungen schnell zu erkennen und zu beheben.

Führen Sie diese Schritte aus, wenn ein Remotedesktopclient keine Verbindung mit einem Remotedesktop herstellen kann, es aber keine Meldungen oder sonstigen Symptome gibt, die zum Bestimmen der Ursache hilfreich wären.

Überprüfen des Status des RDP-Protokolls

Überprüfen des Status des RDP-Protokolls auf einem lokalen Computer

Informationen zum Überprüfen und Ändern des Status des RDP-Protokolls auf einem lokalen Computer finden Sie unter So aktivieren Sie Remotedesktop.

Hinweis

Wenn die Remotedesktopoptionen nicht verfügbar sind, lesen Sie Überprüfen, ob ein Gruppenrichtlinienobjekt RDP blockiert.

Überprüfen des Status des RDP-Protokolls auf einem Remotecomputer

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Um den Status des RDP-Protokolls auf einem Remotecomputer zu überprüfen und zu ändern, verwenden Sie eine Netzwerkverbindung mit der Registrierung:

1. Wählen Sie im Startmenü die Option Ausführen aus. Geben Sie im angezeigten Textfeld den Befehl regedt32 ein.

2. Wählen Sie im Registrierungs-Editor Datei und dann Netzwerkregistrierung verbinden aus.

3. Geben Sie im Dialogfeld Computer auswählen den Namen des Remotecomputers ein, wählen Sie Namen überprüfen und dann OK aus.

4. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server und zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.

   

   • Wenn der Schlüssel fDenyTSConnections den Wert 0 hat, ist RDP aktiviert.
   • Wenn der Schlüssel fDenyTSConnections den Wert 1, ist RDP deaktiviert.

5. Um RDP zu aktivieren, ändern Sie den Wert von fDenyTSConnections von 1 in 0.

Überprüfen, ob ein Gruppenrichtlinienobjekt RDP auf einem lokalen Computer blockiert

Wenn Sie RDP nicht über die Benutzeroberfläche aktivieren können oder der Wert von fDenyTSConnections wieder auf 1 zurückgesetzt wird, nachdem Sie ihn geändert haben, setzt möglicherweise ein GPO die Einstellungen auf Computerebene außer Kraft.

Um die Gruppenrichtlinienkonfiguration auf einem lokalen Computer zu überprüfen, öffnen Sie ein Eingabeaufforderungsfenster als Administrator, und geben Sie den folgenden Befehl ein:

gpresult /H c:\gpresult.html

Öffnen Sie nach dem Abschluss dieses Befehls gpresult.html. Suchen Sie in Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Verbindungen die Richtlinie Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen.

• Wenn die Einstellung für diese Richtlinie Aktiviert ist, werden RDP-Verbindungen nicht durch eine Gruppenrichtlinie blockiert.

• Wenn die Einstellung für diese Richtlinie Deaktiviert ist, überprüfen Sie Ausschlaggebendes Gruppenrichtlinienobjekt. Das ist das Gruppenrichtlinienobjekt, das RDP-Verbindungen blockiert.

  

  

Überprüfen, ob ein GPO RDP auf einem Remotecomputer blockiert

Der Befehl zum Überprüfen der Konfiguration von Gruppenrichtlinien auf einem Remotecomputer lautet fast genauso wie für einen lokalen Computer:

gpresult /S <computer name> /H c:\gpresult-<computer name>.html

Die Datei, die durch diesen Befehl erzeugt wird (gpresult-<computername>.html) verwendet das gleiche Informationsformat wie in der Version für lokale Computer (gpresult.html).

Ändern ein blockierenden Gruppenrichtlinienobjekts

Sie können diese Einstellungen im Gruppenrichtlinienobjekt-Editor (GPE) und der Gruppenrichtlinien-Verwaltungskonsole (GPM) ändern. Weitere Informationen zum Verwenden der Gruppenrichtlinie finden Sie unter Advanced Group Policy Management (Erweiterte Gruppenrichtlinienverwaltung).

Verwenden Sie eins der folgenden Verfahren, um die blockierende Richtlinie zu ändern:

• Greifen Sie im GPE auf die passende GPO-Ebene (wie etwa lokal oder Domäne) zu, und navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Verbindungen>Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen.
  1. Legen Sie die Richtlinie auf Aktiviert oder Nicht konfiguriert fest.
  2. Öffnen Sie auf den betroffenen Computern ein Eingabeaufforderungsfenster als Administrator, und führen Sie den gpupdate /force Befehl aus.
• Navigieren Sie in GPM zu der Organisationseinheit, in der die blockierende Richtlinie auf die betroffenen Computer angewendet wird, und löschen Sie die Richtlinie aus der Organisationseinheit.

Überprüfen des Status der RDP-Dienste

Auf dem lokalen Computer (Client) und dem Remotecomputer (Zielcomputer) sollten die folgenden Dienste ausgeführt werden:

• Remotedesktopdienste (TermService)
• Portumleitung für Remotedesktopdienste im Benutzermodus (UmRdpService)

Sie können das Dienste-MMC-Snap-In verwenden, um die Dienste lokal oder remote zu verwalten. Sie können darüber hinaus PowerShell lokal oder remote zum Verwalten der Dienste verwenden (wenn der Remotecomputer für das Annehmen von Remote-PowerShell-Cmdlets konfiguriert ist).

Wenn einer der Dienste (oder beide) auf einem von beiden Computern nicht ausgeführt wird, starten Sie ihn.

Notiz

Wenn Sie den Remotedesktopdienstedienst starten, wählen Sie "Ja " aus, um den UserMode-Portumleitungsdienst für Remotedesktopdienste automatisch neu zu starten.

Überprüfen der Funktion des RDP-Listeners

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Überprüfen des Status des RDP-Listeners

Verwenden Sie für dieses Verfahren eine PowerShell-Instanz, die über Administratorberechtigungen verfügt. Für einen lokalen Computer können Sie auch eine Eingabeaufforderung mit Administratorberechtigungen verwenden. In diesem Verfahren verwenden wir jedoch PowerShell, da die gleichen Cmdlets sowohl lokal als auch remote funktionieren.

1. Führen Sie das folgende Cmdlet aus, um eine Verbindung mit einem Remotecomputer herzustellen:

   Enter-PSSession -ComputerName <computer name>
   

2. Geben Sie qwinsta ein.

   

3. Wenn die Liste einen Status enthält rdp-tcp Listen, funktioniert der RDP-Listener. Fahren Sie mit Überprüfen des RDP-Listener-Ports fort. Fahren Sie andernfalls mit Schritt 4 fort.

4. Exportieren der RDP-Listener-Konfiguration von einem funktionierenden Computer.

   1. Melden Sie sich bei einem Computer an, der die gleiche Betriebssystemversion wie der betroffene Computer aufweist, und greifen Sie auf die Registrierung dieses Computers zu (beispielsweise mithilfe des Registrierungs-Editors).

   2. Navigieren Sie zu folgendem Registrierungseintrag:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

   3. Exportieren Sie den Eintrag in eine .reg Datei. Klicken Sie beispielsweise im Registrierungs-Editor mit der rechten Maustaste auf den Eintrag, wählen Sie Exportieren aus, und geben Sie dann einen Dateinamen für die exportierten Einstellungen ein.

   4. Kopieren Sie die exportierte .reg Datei auf den betroffenen Computer.

5. Um die Konfiguration des RDP-Listeners zu importieren, öffnen Sie ein PowerShell-Fenster, das über Administratorberechtigungen auf dem betroffenen Computer verfügt (oder öffnen Sie das PowerShell-Fenster, und stellen Sie eine Remoteverbindung mit dem betroffenen Computer her).

   1. Geben Sie das folgende Cmdlet ein, um den vorhandenen Registrierungseintrag zu sichern:

      cmd /c 'reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg'
      

   2. Geben Sie das folgende Cmdlet ein, um den vorhandenen Registrierungseintrag zu entfernen:

      Remove-Item -path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force
      

   3. Um den neuen Registrierungseintrag zu importieren und den Dienst anschließend neu zu starten, geben Sie die folgenden Cmdlets ein:

      cmd /c 'regedit /s c:\<filename>.reg'
      Restart-Service TermService -Force
      

      Ersetzen Sie <den Dateinamen> durch den Namen der exportierten .reg Datei.

6. Testen Sie die Konfiguration, indem Sie erneut versuchen, die Remotedesktopverbindung herzustellen. Wenn Sie trotzdem keine Verbindung herstellen können, führen Sie einen Neustart des betroffenen Computers durch.

7. Wenn Sie noch immer keine Verbindung herstellen können, überprüfen Sie den Status des selbstsignierten RDP-Zertifikats.

Überprüfen des Status des selbstsignierten RDP-Zertifikats

1. Wenn Sie immer noch keine Verbindung herstellen können, öffnen Sie das MMC-Zertifikate-Snap-In. Wenn Sie aufgefordert werden, den zu verwaltenden Zertifikatspeicher auszuwählen, wählen Sie Computerkonto und dann den betroffenen Computer aus.
2. Löschen Sie im Ordner Certificates unter Remote Desktop das selbstsignierte RDP-Zertifikat.
3. Starten Sie auf dem betroffenen Computer die Remotedesktopdienste erneut.
4. Aktualisieren Sie das Zertifikate-Snap-In.
5. Wenn das selbstsignierte RDP-Zertifikat nicht erneut erstellt wurde, überprüfen Sie die Berechtigungen des MachineKeys-Ordners.

Überprüfen der Berechtigungen des MachineKeys-Ordners

1. Öffnen Sie auf dem betroffenen Computer den Explorer, und navigieren Sie dann zu C:\ProgramData\Microsoft\Crypto\RSA\.
2. Klicken Sie mit der rechten Maustaste auf MachineKeys, wählen Sie "Properties>Security>Advanced" aus.
3. Vergewissern Sie sich, dass die folgenden Berechtigungen konfiguriert sind:
   • Builtin\Administrators: Vollzugriff
   • Jeder: Lesen, Schreiben

Überprüfen des RDP-Listener-Ports

Auf dem lokalen Computer (Client) und dem Remotecomputer (Zielcomputer) sollte der RDP-Listener an Port 3389 lauschen. Keine anderen Anwendungen sollten diesen Port verwenden.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Um den RDP-Port zu überprüfen oder zu ändern, verwenden Sie den Registrierungs-Editor:

1. Wählen Sie im Startmenü die Option Ausführen, und geben Sie im angezeigten Textfeld regedt32 ein.

   • Um eine Verbindung mit einem Remotecomputer herzustellen, wählen Sie Datei und dann Mit Netzwerkregistrierung verbinden aus.
   • Geben Sie im Dialogfeld Computer auswählen den Namen des Remotecomputers ein, wählen Sie Namen überprüfen und dann OK aus.

2. Öffnen Sie die Registrierung, und navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener>.

   

3. Wenn PortNumber einen anderen Wert als 3389 aufweist, ändern Sie ihn in 3389.

   Wichtig

   Sie können die Remotedesktopdienste über einen anderen Port betreiben. Dies wird jedoch nicht empfohlen. In diesem Artikel wird die Behebung von Problemen mit dieser Art von Konfiguration nicht behandelt.

4. Führen Sie nach dem Ändern der Portnummer einen Neustart des Remotedesktopdiensts durch.

Überprüfen, ob eine andere Anwendung den gleichen Port zu verwenden versucht

Verwenden Sie für dieses Verfahren eine PowerShell-Instanz, die über Administratorberechtigungen verfügt. Für einen lokalen Computer können Sie auch eine Eingabeaufforderung mit Administratorberechtigungen verwenden. In diesem Verfahren verwenden wir jedoch PowerShell, da die gleichen Cmdlets lokal und remote funktionieren.

1. Öffnen Sie ein PowerShell-Fenster. Um eine Verbindung mit einem Remotecomputer herzustellen, geben Sie die Eingabetaste Enter-PSSession -ComputerName <computer name>ein.

2. Geben Sie den folgenden Befehl ein:

   cmd /c 'netstat -ano | find "3389"'
   

   

3. Suchen Sie nach einem Eintrag für den TCP-Port 3389 (oder dem zugewiesenen RDP-Port) mit dem Status Empfangsbereit.

   Hinweis

   In der Spalte PID wird die Prozess-ID (PID) des Prozesses oder Diensts angezeigt, der diesen Port verwendet.

4. Um zu bestimmen, welche Anwendung Port 3389 (oder den zugewiesenen RDP-Port) verwendet, geben Sie den folgenden Befehl ein:

   cmd /c 'tasklist /svc | find "<pid listening on 3389>"'
   

   

5. Suchen Sie nach einem Eintrag für die PID-Nummer, die dem Port zugeordnet ist (aus der netstat Ausgabe). Die Dienste oder Prozesse, die der betreffenden PID zugeordnet sind, werden in der rechten Spalte angezeigt.

6. Wenn eine andere Anwendung oder ein anderer Dienst als Remotedesktopdienste (TermServ.exe) den Port verwendet, können Sie den Konflikt mithilfe einer der folgenden Methoden lösen:

   • Konfigurieren der anderen Anwendung oder des anderen Diensts für die Verwendung eines anderen Ports (empfohlen).
   • Deinstallieren der anderen Anwendung oder des anderen Diensts.
   • Konfigurieren von RDP für die Verwendung eines anderen Ports, gefolgt von einem Neustart der Remotedesktopdienste (nicht empfohlen).

Überprüfen, ob der RDP-Port durch eine Firewall blockiert wird

Verwenden Sie das psping Tool, um zu testen, ob Sie den betroffenen Computer über Port 3389 erreichen können.

1. Wechseln Sie zu einem anderen Computer, der nicht betroffen ist, und laden Sie psping herunter.

2. Öffnen Sie ein Eingabeaufforderungsfenster als Administrator, wechseln Sie in das Verzeichnis, in dem Sie installiert haben psping, und geben Sie dann den folgenden Befehl ein:

   psping -accepteula <computer IP>:3389
   

3. Überprüfen Sie die Ausgabe des psping Befehls auf Ergebnisse wie die folgenden:

   • Connecting to \<computer IP\>: Der Remotecomputer ist erreichbar.
   • (0% loss): Alle Versuche, eine Verbindung herzustellen, erfolgreich.
   • The remote computer refused the network connection: Der Remotecomputer ist nicht erreichbar.
   • (100% loss): Fehler bei allen Versuchen, eine Verbindung herzustellen.

4. Führen Sie psping auf mehreren Computern aus, um ihre Fähigkeit zu testen, eine Verbindung mit dem betroffenen Computer herzustellen.

5. Achten Sie darauf, ob der betroffene Computer Verbindungen von allen anderen Computern, von einigen anderen Computern oder nur von einem anderen Computer blockiert.

6. Empfohlene nächste Schritte:

   • Tauschen Sie sich mit Ihren Netzwerkadministratoren aus, um sicherzustellen, dass das Netzwerk RDP-Datenverkehr zum betroffenen Computer zulässt.
   • Untersuchen Sie die Konfigurationen aller Firewalls zwischen den Quellcomputern und dem betroffenen Computer (einschließlich der Windows Firewall auf dem betroffenen Computer), um zu bestimmen, ob eine Firewall den RDP-Port blockiert.