Résolution générale des problèmes de connexion Bureau à distance

  • Article

Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes de connectivité courants liés aux sessions Bureau à distance

Procédez comme suit lorsqu’un client Bureau à distance ne peut pas se connecter à un bureau à distance, mais ne fournit pas de messages ou d’autres symptômes qui aideraient à identifier la cause.

Vérifier la status du protocole RDP

Vérifier la status du protocole RDP sur un ordinateur local

Pour case activée et modifier la status du protocole RDP sur un ordinateur local, consultez Comment activer le Bureau à distance.

Remarque

Si les options bureau à distance ne sont pas disponibles, consultez Vérifier si un objet stratégie de groupe bloque rdp.

Vérifier la status du protocole RDP sur un ordinateur distant

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour pallier à toute éventualité, sauvegardez le Registre avant de le modifier afin de pouvoir le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Pour case activée et modifier le status du protocole RDP sur un ordinateur distant, utilisez une connexion au registre réseau :

  1. Tout d’abord, accédez au menu Démarrer , puis sélectionnez Exécuter. Dans la zone de texte qui s’affiche, entrez regedt32.

  2. Dans la Rédacteur du Registre, sélectionnez Fichier, puis Sélectionnez Connecter le registre réseau.

  3. Dans la boîte de dialogue Sélectionner un ordinateur , entrez le nom de l’ordinateur distant, sélectionnez Vérifier les noms, puis sélectionnez OK.

  4. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server et à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.

    Capture d’écran du Rédacteur du Registre montrant l’entrée fDenyTSConnections.

    • Si la valeur de la clé fDenyTSConnections est 0, rdp est activé.
    • Si la valeur de la clé fDenyTSConnections est 1, rdp est désactivé.

  5. Pour activer le protocole RDP, remplacez la valeur de fDenyTSConnections de 1 par 0.

Vérifier si un objet de stratégie de groupe (GPO) bloque rdp sur un ordinateur local

Si vous ne pouvez pas activer rdp dans l’interface utilisateur ou si la valeur de fDenyTSConnections revient à 1 après l’avoir modifiée, un objet de stratégie de groupe peut remplacer les paramètres au niveau de l’ordinateur.

Pour case activée la configuration de la stratégie de groupe sur un ordinateur local, ouvrez une fenêtre d’invite de commandes en tant qu’administrateur, puis entrez la commande suivante :

gpresult /H c:\gpresult.html

Une fois cette commande terminée, ouvrez gpresult.html. Dans Configuration ordinateur\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de session Bureau à distance\Connections, recherchez la stratégie Autoriser les utilisateurs à se connecter à distance à l’aide des services Bureau à distance.

  • Si le paramètre de cette stratégie est Activé, stratégie de groupe ne bloque pas les connexions RDP.

  • Si le paramètre de cette stratégie est Désactivé, case activée objet de stratégie de groupe gagnant. Il s’agit de l’objet de stratégie de groupe qui bloque les connexions RDP.

    Capture d’écran d’un exemple de segment de gpresult.html dans lequel le protocole RDP de blocage d’objet de stratégie de groupe au niveau du domaine désactive RDP.

    Capture d’écran d’un exemple de segment de gpresult.html dans lequel le stratégie de groupe local désactive RDP.

Vérifier si un objet de stratégie de groupe bloque RDP sur un ordinateur distant

Pour case activée la configuration stratégie de groupe sur un ordinateur distant, la commande est presque identique à celle d’un ordinateur local :

gpresult /S <computer name> /H c:\gpresult-<computer name>.html

Le fichier produit par cette commande (nom> gpresult-computer<.html) utilise le même format d’informations que la version de l’ordinateur local (gpresult.html).

Modification d’un objet de stratégie de groupe bloquant

Vous pouvez modifier ces paramètres dans les Rédacteur d’objets stratégie de groupe (GPE) et stratégie de groupe Management Console (GPM). Pour plus d’informations sur l’utilisation des stratégie de groupe, consultez Advanced stratégie de groupe Management.

Pour modifier la stratégie de blocage, utilisez l’une des méthodes suivantes :

  • Dans GPE, accédez au niveau approprié d’objet de stratégie de groupe (par exemple, local ou domaine), puis accédez à Configuration> ordinateurModèles> d’administrationComposants> WindowsServices>Bureau à distance Hôte> de session Bureau à distance Connections>Autoriser les utilisateurs à se connecter à distance à l’aide des services Bureau à distance.
    1. Définissez la stratégie sur Activé ou Non configuré.
    2. Sur les ordinateurs affectés, ouvrez une fenêtre d’invite de commandes en tant qu’administrateur, puis exécutez la gpupdate /force commande .
  • Dans GPM, accédez à l’unité d’organisation (UO) dans laquelle la stratégie de blocage est appliquée aux ordinateurs affectés et supprimez la stratégie de l’unité d’organisation.

Vérifier la status des services RDP

Sur l’ordinateur local (client) et l’ordinateur distant (cible), les services suivants doivent être en cours d’exécution :

  • Services Bureau à distance (TermService)
  • Redirecteur de port UserMode des services Bureau à distance (UmRdpService)

Vous pouvez utiliser le composant logiciel enfichable MMC Services pour gérer les services localement ou à distance. Vous pouvez également utiliser PowerShell pour gérer les services localement ou à distance (si l’ordinateur distant est configuré pour accepter les applets de commande PowerShell distantes).

Capture d’écran des services Bureau à distance dans le composant logiciel enfichable Services MMC.

Sur l’un ou l’autre ordinateur, si un ou les deux services ne sont pas en cours d’exécution, démarrez-les.

Remarque

Si vous démarrez le service Services Bureau à distance, sélectionnez Oui pour redémarrer automatiquement le service Redirecteur de port UserMode des services Bureau à distance.

Vérifier que l’écouteur RDP fonctionne

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour pallier à toute éventualité, sauvegardez le Registre avant de le modifier afin de pouvoir le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Vérifier la status de l’écouteur RDP

Pour cette procédure, utilisez un instance PowerShell disposant d’autorisations d’administration. Pour un ordinateur local, vous pouvez également utiliser une invite de commandes disposant d’autorisations d’administration. Toutefois, cette procédure utilise PowerShell, car les mêmes applets de commande fonctionnent à la fois localement et à distance.

  1. Pour vous connecter à un ordinateur distant, exécutez l’applet de commande suivante :

    Enter-PSSession -ComputerName <computer name>

  2. Entrez qwinsta.

    Capture d’écran de la commande qwinsta qui répertorie les processus à l’écoute sur les ports de l’ordinateur.

  3. Si la liste inclut rdp-tcp avec un status de Listen, l’écouteur RDP fonctionne. Passez à Vérifier le port de l’écouteur RDP. Sinon, passez à l’étape 4.

  4. Exportez la configuration de l’écouteur RDP à partir d’un ordinateur de travail.

    1. Connectez-vous à un ordinateur qui a la même version de système d’exploitation que l’ordinateur concerné et accédez au registre de cet ordinateur (par exemple, à l’aide du Registre Rédacteur).

    2. Accédez à l’entrée de Registre suivante :

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    3. Exportez l’entrée dans un .reg fichier. Par exemple, dans registre Rédacteur, cliquez avec le bouton droit sur l’entrée, sélectionnez Exporter, puis entrez un nom de fichier pour les paramètres exportés.

    4. Copiez le fichier exporté .reg sur l’ordinateur affecté.

  5. Pour importer la configuration de l’écouteur RDP, ouvrez une fenêtre PowerShell disposant d’autorisations d’administration sur l’ordinateur affecté (ou ouvrez la fenêtre PowerShell et connectez-vous à l’ordinateur affecté à distance).

    1. Pour sauvegarder l’entrée de Registre existante, entrez l’applet de commande suivante :

      cmd /c 'reg export "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp" C:\Rdp-tcp-backup.reg'

    2. Pour supprimer l’entrée de Registre existante, entrez les applets de commande suivantes :

      Remove-Item -path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp' -Recurse -Force

    3. Pour importer la nouvelle entrée de Registre, puis redémarrer le service, entrez les applets de commande suivantes :

      cmd /c 'regedit /s c:\<filename>.reg'
Restart-Service TermService -Force

      Remplacez filename> par <le nom du fichier exporté.reg.

  6. Testez la configuration en essayant à nouveau la connexion Bureau à distance. Si vous ne parvenez toujours pas à vous connecter, redémarrez l’ordinateur affecté.

  7. Si vous ne parvenez toujours pas à vous connecter, case activée la status du certificat auto-signé RDP.

Vérifier la status du certificat auto-signé RDP

  1. Si vous ne parvenez toujours pas à vous connecter, ouvrez le composant logiciel enfichable MMC Certificats. Lorsque vous êtes invité à sélectionner le magasin de certificats à gérer, sélectionnez Compte d’ordinateur, puis sélectionnez l’ordinateur affecté.
  2. Dans le dossier Certificats , sous Bureau à distance, supprimez le certificat auto-signé RDP.
  3. Sur l’ordinateur affecté, redémarrez le service Services Bureau à distance.
  4. Actualisez le composant logiciel enfichable Certificats.
  5. Si le certificat auto-signé RDP n’a pas été recréé, case activée les autorisations du dossier MachineKeys.

Vérifier les autorisations du dossier MachineKeys

  1. Sur l’ordinateur affecté, ouvrez Explorer, puis accédez à C :\ProgramData\Microsoft\Crypto\RSA\.
  2. Cliquez avec le bouton droit sur MachineKeys, puis sélectionnez Propriétés>Sécurité>avancée.
  3. Vérifiez que les autorisations suivantes sont configurées :
    • Builtin\Administrators : Contrôle total
    • Tout le monde : Lecture, Écriture

Vérifier le port de l’écouteur RDP

Sur l’ordinateur local (client) et l’ordinateur distant (cible), l’écouteur RDP doit écouter sur le port 3389. Aucune autre application ne doit utiliser ce port.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour pallier à toute éventualité, sauvegardez le Registre avant de le modifier afin de pouvoir le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Pour case activée ou modifier le port RDP, utilisez le registre Rédacteur :

  1. Accédez au menu Démarrer, sélectionnez Exécuter, puis entrez regedt32 dans la zone de texte qui s’affiche.

    • Pour vous connecter à un ordinateur distant, sélectionnez Fichier, puis Connecter le registre réseau.
    • Dans la boîte de dialogue Sélectionner un ordinateur , entrez le nom de l’ordinateur distant, sélectionnez Vérifier les noms, puis sélectionnez OK.

  2. Ouvrez le Registre et accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener>.

    Capture d’écran de la sous-clé PortNumber pour le protocole RDP.

  3. Si PortNumber a une valeur autre que 3389, remplacez-la par 3389.

    Importante

    Vous pouvez utiliser les services Bureau à distance à l’aide d’un autre port. Toutefois, nous vous déconseillons de le faire. Cet article n’explique pas comment résoudre les problèmes liés à ce type de configuration.

  4. Après avoir modifié le numéro de port, redémarrez le service Services Bureau à distance.

Vérifiez qu’une autre application n’essaie pas d’utiliser le même port

Pour cette procédure, utilisez un instance PowerShell disposant d’autorisations d’administration. Pour un ordinateur local, vous pouvez également utiliser une invite de commandes disposant d’autorisations d’administration. Toutefois, cette procédure utilise PowerShell, car les mêmes applets de commande fonctionnent localement et à distance.

  1. Ouvrez une fenêtre PowerShell. Pour vous connecter à un ordinateur distant, entrez Enter-PSSession -ComputerName <computer name>.

  2. Entrez la commande suivante :

    cmd /c 'netstat -ano | find "3389"'

    Capture d’écran de la commande netstat qui produit une liste de ports et des services qui les écoutent.

  3. Recherchez une entrée pour le port TCP 3389 (ou le port RDP attribué) avec l’état Écoute.

    Remarque

    L’identificateur de processus (PID) du processus ou du service utilisant ce port apparaît sous la colonne PID.

  4. Pour déterminer quelle application utilise le port 3389 (ou le port RDP affecté), entrez la commande suivante :

    cmd /c 'tasklist /svc | find "<pid listening on 3389>"'

    Capture d’écran de la commande tasklist qui signale les détails d’un processus spécifique.

  5. Recherchez une entrée pour le numéro PID associé au port (à partir de la netstat sortie). Les services ou processus associés à ce PID apparaissent dans la colonne de droite.

  6. Si une application ou un service autre que les services Bureau à distance (TermServ.exe) utilise le port, vous pouvez résoudre le conflit à l’aide de l’une des méthodes suivantes :

    • Configurez l’autre application ou service pour qu’il utilise un port différent (recommandé).
    • Désinstallez l’autre application ou service.
    • Configurez RDP pour utiliser un port différent, puis redémarrez le service Services Bureau à distance (non recommandé).

Vérifier si un pare-feu bloque le port RDP

Utilisez l’outil psping pour tester si vous pouvez atteindre l’ordinateur affecté à l’aide du port 3389.

  1. Accédez à un autre ordinateur qui n’est pas affecté et téléchargez psping.

  2. Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur, accédez au répertoire dans lequel vous avez installé psping, puis entrez la commande suivante :

    psping -accepteula <computer IP>:3389

  3. Vérifiez la sortie de la psping commande pour obtenir des résultats tels que les suivants :

    • Connecting to \<computer IP\>: l’ordinateur distant est accessible.
    • (0% loss): toutes les tentatives de connexion ont réussi.
    • The remote computer refused the network connection: l’ordinateur distant n’est pas accessible.
    • (100% loss): toutes les tentatives de connexion ont échoué.

  4. Exécutez psping sur plusieurs ordinateurs pour tester leur capacité à se connecter à l’ordinateur affecté.

  5. Notez si l’ordinateur affecté bloque les connexions à partir de tous les autres ordinateurs, de certains autres ordinateurs ou d’un seul autre ordinateur.

  6. Étapes suivantes recommandées :

    • Engage vos administrateurs réseau pour vérifier que le réseau autorise le trafic RDP vers l’ordinateur affecté.
    • Examinez les configurations des pare-feu entre les ordinateurs sources et l’ordinateur affecté (y compris le Pare-feu Windows sur l’ordinateur concerné) pour déterminer si un pare-feu bloque le port RDP.