Pasos detallados para solucionar problemas de conexión a Escritorio remoto a máquinas virtuales Windows en Azure

  • Artículo

Se aplica a: ✔️ Máquinas virtuales de Windows

Este artículo ofrece pasos detallados de solución de problemas para diagnosticar y corregir errores complejos de Escritorio remoto en máquinas virtuales de Azure basadas en Windows.

Importante

Para eliminar los errores más comunes de Escritorio remoto, asegúrese de leer el artículo sobre la solución de problemas básicos de Escritorio remoto antes de continuar.

Puede que se encuentre un mensaje de error de Escritorio remoto que no se parezca a ninguno de los tratados en la guía básica de solución de problemas de Escritorio remoto. Siga estos pasos para determinar por qué el cliente de Escritorio remoto (RDP) no se puede conectar con el servicio RDP en la máquina virtual de Azure.

Componentes de una conexión de Escritorio remoto

Los siguientes componentes participan en una conexión RDP:

En el diagrama se muestran los componentes implicados en una conexión de Escritorio remoto (RDP).

Antes de continuar, podría resultar útil revisar mentalmente qué ha cambiado desde la última conexión correcta de Escritorio remoto a la máquina virtual. Por ejemplo:

  • La dirección IP pública de la máquina virtual o del servicio en la nube que contiene la máquina virtual (también llamada dirección IP virtual VIP) ha cambiado. El error de RDP podría deberse a que la memoria caché del cliente DNS sigue teniendo la dirección IP antigua registrada para el nombre DNS. Vacíe la memoria caché del cliente DNS e intente conectar la máquina virtual de nuevo. O bien, intente conectarse directamente con la VIP nueva.
  • Está usando una aplicación de terceros para administrar las conexiones a Escritorio remoto en lugar de la conexión generada por Azure Portal. Compruebe que la configuración de la aplicación incluya el puerto TCP correcto para el tráfico de Escritorio remoto. Puede comprobar este puerto para ver una máquina virtual clásica en Azure Portal; para ello, haga clic en los puntos de conexión de configuración > de la máquina virtual.

Pasos previos

Antes de continuar con la solución de problemas detallada,

Vuelva a conectarse a la máquina virtual a través de Escritorio remoto después de realizar estos pasos.

Pasos de la solución de problemas detallada

Puede que el cliente de Escritorio remoto no pueda ponerse en contacto con el servicio de Escritorio remoto en la máquina virtual de Azure debido a problemas en los orígenes siguientes:

Causa 1: equipo cliente de Escritorio remoto

Compruebe que el equipo puede establecer conexiones de Escritorio remoto a otro equipo local, basado en Windows.

Diagrama de los componentes de una conexión RDP con el cliente RDP resaltado y una flecha que apunta a otro equipo local que indica una conexión.

Si no es posible, compruebe si la configuración del equipo incluye lo siguiente:

  • Una configuración del firewall local que bloquea el tráfico de Escritorio remoto
  • Software de proxy de cliente instalado localmente que impide las conexiones a Escritorio remoto
  • Software de supervisión de red instalado localmente que impide las conexiones a Escritorio remoto
  • Otro tipo de software de seguridad, por ejemplo, para supervisar el tráfico o para permitir o impedir ciertos tipos de tráfico, que imposibilita las conexiones a Escritorio remoto

En todos estos casos, deshabilite temporalmente el software e intente conectarse a un equipo local a través de Escritorio remoto. Si puede averiguar la causa real mediante este método, trabaje con el administrador de red para corregir la configuración del software para permitir conexiones a Escritorio remoto.

Causa 2: dispositivo perimetral de intranet de la organización

Compruebe que un equipo conectado directamente a Internet puede establecer conexiones de Escritorio remoto a la máquina virtual de Azure.

Diagrama de los componentes de una conexión RDP con un cliente RDP que está conectado a Internet resaltado y una flecha que apunta a una instancia de Azure V M que indica una conexión.

Si no tiene un equipo conectado directamente a Internet, cree y pruebe con una nueva máquina virtual de Azure en un grupo de recursos o servicio en la nube. Para más información, consulte Creación de una máquina virtual Windows en Azure. Puede eliminar la máquina virtual y el grupo de recursos o el servicio en la nube después de la prueba.

Si puede crear una conexión a Escritorio remoto con un equipo conectado directamente a Internet, compruebe si el dispositivo perimetral de intranet de la organización tiene lo siguiente:

  • Un firewall interno que bloquea las conexiones HTTPS a Internet
  • Un servidor proxy que impide las conexiones a Escritorio remoto
  • Software de detección de intrusiones o supervisión de red en ejecución en los dispositivos de la red perimetral que impide las conexiones a Escritorio remoto

Trabaje con el administrador de red para corregir la configuración del dispositivo perimetral de intranet de la organización para permitir conexiones a Escritorio remoto a Internet basadas en HTTPS.

Origen 3: Grupos de seguridad de red

Los grupos de seguridad de red permiten un control pormenorizado del tráfico entrante y saliente permitido. Puede crear reglas que abarquen subredes y servicios en la nube en una red virtual de Azure.

Use la verificación del flujo IP para confirmar si una regla en un grupo de seguridad de red está bloqueando el tráfico hacia o desde una máquina virtual. También puede revisar cómo crear reglas de grupo de seguridad eficaces para garantizar que exista la regla NSG "Permitir" de entrada y tenga prioridad para el puerto RDP (valor predeterminado 3389). Para más información, vea Uso de las reglas de seguridad vigentes para solucionar problemas de flujo de tráfico de máquinas virtuales.

Origen 4: máquina virtual de Azure basada en Windows

Diagrama de los componentes de una conexión RDP con una instancia de Azure V M resaltada dentro de un servicio en la nube y un mensaje que podría ser un posible origen de problemas.

Siga las instrucciones de este artículo. En este artículo se restablece el servicio de Escritorio remoto en la máquina virtual:

  • Se habilitará la regla predeterminada «Escritorio remoto» del firewall de Windows (puerto TCP 3389).
  • Se habilitarán las conexiones a Escritorio remoto estableciendo en 0 el valor HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections del Registro.

Pruebe de nuevo la conexión desde su equipo. Si todavía no puede conectarse mediante Escritorio remoto, compruebe los siguientes problemas posibles:

  • El servicio de Escritorio remoto no se está ejecutando en la máquina virtual de destino.
  • El servicio de Escritorio remoto no está escuchando en el puerto TCP 3389.
  • El firewall de Windows u otro firewall local tiene una regla de salida que impide el tráfico de Escritorio remoto.
  • El software de detección de intrusiones o supervisión de red que se ejecuta en la máquina virtual de Azure impide las conexiones a Escritorio remoto.

Para las máquinas virtuales creadas con el modelo de implementación clásico, puede utilizar una sesión remota de Azure PowerShell para la máquina virtual de Azure. En primer lugar, debe instalar un certificado para el servicio en la nube de hospedaje de la máquina virtual. Vaya a Configurar el acceso remoto seguro de PowerShell a Azure Virtual Machines y descargue el archivo de script InstallWinRMCertAzureVM.ps1 en el equipo local.

A continuación, instale Azure PowerShell si todavía no lo ha hecho. Consulte Instalación y configuración de Azure PowerShell.

Después, abra un símbolo del sistema de Azure PowerShell y cambie la carpeta actual a la ubicación del archivo de script InstallWinRMCertAzureVM.ps1 . Para ejecutar un script de Azure PowerShell, debe establecer la directiva de ejecución correcta. Ejecute el comando Get-ExecutionPolicy para determinar el nivel de directiva actual. Para obtener información sobre cómo establecer el nivel adecuado, vea Set-ExecutionPolicy.

A continuación, rellene el nombre de la suscripción de Azure, el nombre del servicio en la nube y el nombre de la máquina virtual (quitando los < caracteres y > ) y, a continuación, ejecute estos comandos.

$subscr="<Name of your Azure subscription>"
$serviceName="<Name of the cloud service that contains the target virtual machine>"
$vmName="<Name of the target virtual machine>"
.\InstallWinRMCertAzureVM.ps1 -SubscriptionName $subscr -ServiceName $serviceName -Name $vmName

Puede obtener el nombre de suscripción correcto en la propiedad SubscriptionName de la pantalla del comando Get-AzureSubscription. Puede obtener el nombre del servicio en la nube de la máquina virtual en la columna ServiceName de la pantalla del comando Get-AzureVM.

Compruebe si tiene el certificado nuevo. Abra un complemento Certificados para el usuario actual y vaya a la carpeta Entidades de certificación raíz de confianza\Certificados. Debería ver un certificado con el nombre DNS del servicio en la nube en la columna Emitido para (ejemplo: cloudservice4testing.cloudapp.net).

A continuación, inicie una sesión remota de Azure PowerShell mediante el uso de estos comandos.

$uri = Get-AzureWinRMUri -ServiceName $serviceName -Name $vmName
$creds = Get-Credential
Enter-PSSession -ConnectionUri $uri -Credential $creds

Después de escribir las credenciales de administrador válidas, debería ver algo parecido al siguiente símbolo del sistema de Azure PowerShell:

[cloudservice4testing.cloudapp.net]: PS C:\Users\User1\Documents>

La primera parte de este indicador es el nombre del servicio en la nube que contiene la máquina virtual de destino, que podría ser diferente de "cloudservice4testing.cloudapp.net". Ahora puede emitir comandos de Azure PowerShell para este servicio en la nube, para investigar los problemas que se mencionaron y corregir la configuración.

Para corregir manualmente el puerto TCP de escucha de Servicios de Escritorio remoto

En la sesión remota de Azure PowerShell, ejecute este comando.

Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"

La propiedad PortNumber muestra el número de puerto actual. Si es necesario, vuelva a poner el número de puerto del Escritorio remoto en su valor predeterminado (3389) con este comando.

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 3389

Compruebe que el puerto cambió a 3389 con este comando.

Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber"

Salga de la sesión remota de Azure PowerShell con este comando.

Exit-PSSession

Compruebe que el punto de conexión de Escritorio remoto para la máquina virtual de Azure también usa el puerto TCP 3398 como puerto interno. Reinicie la máquina virtual de Azure y vuelva a intentar la conexión a Escritorio remoto.

Recursos adicionales

Cómo restablecer una contraseña o el servicio de Escritorio remoto para máquinas virtuales de Windows

Instalación y configuración de Azure PowerShell

Solución de problemas de conexiones de Secure Shell (SSH) en una máquina virtual de Azure basada en Linux

Solución de problemas de acceso a una aplicación que se ejecuta en una máquina virtual de Azure

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.