阿里云远程桌面连接不上时的防火墙与安全组配置核查方法

1.

概述与常见导致因素

1) 场景：Windows ECS 无法通过远程桌面(RDP)连接，表现为“无法连接到远程计算机”或等待超时。
2) 常见原因：安全组没有放通3389或放通范围受限（仅内网/错误CIDR）。
3) 常见原因：主机本地防火墙阻止3389端口或规则范围不对。
4) 常见原因：RDP服务未启动或被修改了端口（注册表PortNumber被改）。
5) 常见原因：EIP未绑定、NAT/路由或网络ACL拦截、客户机网络策略或ISP阻断。

2.

第一步：在阿里云控制台检查安全组与EIP

1) 登录阿里云控制台 → 弹性计算 → 实例，确认实例是否有公网EIP（示例：198.51.100.10为实例公网IP）。
2) 打开实例的安全组设置，检查“入方向规则”：是否有TCP 3389且源地址包含你的公网IP（示例：198.51.100.23/32）。
3) 若没有，新增规则：协议TCP，端口范围3389，优先放宽为你办公室IP/32，避免0.0.0.0/0长期开放。
4) 若使用外网负载或NAT，确认端口转发规则已将外网端口映射到ECS内部IP及3389端口。
5) 使用控制台的“安全组权限模拟”功能或在线端口扫描验证端口是否开放。

3.

第二步：主机操作系统层面的防火墙与服务检查

1) 远程登录受阻时，先在控制台打开远程管理或通过控制台的VNC/Serial登录主机（若可用）。
2) 检查RDP服务状態：命令 sc query TermService 输出应为 RUNNING。
3) 检查端口监听：命令 netstat -ano | findstr 3389 示例输出：TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING PID 4。
4) 检查注册表端口：reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber（十进制为3389）。
5) 检查Windows防火墙规则：netsh advfirewall firewall show rule name=all | findstr /i "3389" 或在高级安全中查看“远程桌面(用户模式-TCP-In)”是否启用且Scope允许你的IP。

4.

第三步：客户端与网络工具验证

1) 在客户端执行连通性测试：PowerShell 中 Test-NetConnection -ComputerName 198.51.100.10 -Port 3389，查看 TcpTestSucceeded。
2) 使用 telnet 198.51.100.10 3389 或 nmap 扫描端口状态（示例：nmap -Pn -p 3389 198.51.100.10）。
3) 若返回超时，确认本地网络/公司出口是否有策略阻断3389（有些运营商或公司策略会禁用常见远程端口）。
4) 如使用跳板机/堡垒机，确认跳板到目标主机的安全组与防火墙规则也已放通。
5) 若使用VPN，确认VPN的路由与安全组没有把流量隔离到内网段而无法访问公网EIP。

5.

第四步：VPC网络ACL与云防火墙设置核查

1) 检查VPC子网的网络ACL（Network ACL），查看入站/出站是否阻止3389或目标CIDR。
2) 若部署了阿里云云防火墙或第三方WAF，确认没有规则误拦截RDP流量。
3) 检查安全组优先级冲突：多个安全组叠加时，若有拒绝规则也可能导致被阻断。
4) 若使用弹性公网IP绑定到负载或ECS，确认绑定关系生效并同步安全组策略。
5) 使用阿里云提供的流日志或云监控抓取被拒绝流量样本，定位拦截策略。

6.

真实案例与配置示例

1) 案例描述：公司A Windows Server 2019 ECS 无法RDP。
2) 环境：ECS 公网IP 198.51.100.10，私有IP 172.16.0.5，客户公网IP 203.0.113.23。
3) 问题原因：安全组只放通了内网CIDR 172.16.0.0/12，且Windows防火墙只允许特定内网段。
4) 处理过程：控制台新增安全组入方向TCP 3389 源 203.0.113.23/32，同时在主机防火墙放行该IP，重启TermService。
5) 结果：Test-NetConnection 返回 TcpTestSucceeded : True，RDP连接成功。

规则名	协议	端口	源IP/CIDR	说明
Allow-RDP-Office	TCP	3389	203.0.113.23/32	仅允许办公公网IP
Windows-FW-RDP	TCP	3389	203.0.113.23/32	主机防火墙入口规则

7.

总结与安全建议

1) 排查顺序：控制台安全组 → EIP绑定 → 主机防火墙与服务 → 网络ACL → 客户端连通性检测。
2) 安全建议：避免长期开3389到0.0.0.0/0，优先采用IP白名单、VPN或堡垒机。
3) 加固建议：可更改RDP端口并结合云防火墙做异常流量告警与DDoS防护。
4) 日志与监控：开启云端流日志与主机审计日志，出现失败尝试时可回溯源IP与策略。
5) 若仍无法解决，可联系阿里云技术支持并提供安全组、网络ACL及netstat/reg查询输出以便诊断。

来源：阿里云远程桌面连接不上时的防火墙与安全组配置核查方法