Отключить udp в rdp windows 10

Обновлено: 03.07.2024

Столкнулся с интересной проблемой при переходе на удалённую работу. Работать приходится на рабочей машине через VPN, подключаясь к ней с помощью клиента удалённого рабочего стола с домашнего ПК. И вот при подобном соединении периодически как бы зависал экран, т.е. изображение полностью замирало, не менялось даже на чёрный экран. При этом отсоединения от сессии не проходило, мышь и клавиатура продолжала работать, так как при переключении было видно, что нажатия клавиш и мыши были переданы на удалённый ПК.

По мнению тех, кто отвечал на вопрос подобный моему, дело заключалось в протоколе UDP, который использовался (вместе с TCP) в соединениях по протоколу RDP. И предлагалось отключить эту возможность через редактор локальных групповых политики Windows. Однако, в версии Windows 10 Home, этот редактор по-умолчанию отключён. Хорошо, что его можно установить, пусть для этого нам потребуется командная строка с правами администратора. Сначала надо ввести следующую строку:

После перезагрузки ПК, запускаем с правами администратора оснастку gpedit.msc, можно из командной строки, можно просто из поиска в главном меню Windows:


Далее, надо найти в редакторе раздел Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу:


Открываем Выбор транспортных протоколов RDP:


Или запустить редактор реестра с правами администратора:


И в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client добавить новый ключ fClientDisableUDP со цифровым значением 1:


date

26.04.2021

directory

Windows 10, Windows Server 2016, Windows Server 2019

comments

комментария 4

В этой статье мы рассмотрим, что делать, если при RDP подключении к удаленному хосту вместо рабочего стола вы видите черный экран. Эта проблема стала довольно часто встречаться в последних билдах Windows 10 и Windows Server 2019, и я решил оставить тут информацию из внутренней базы знания нашего HelpDesk о типовых способах решения.

Итак, вы пытаетесь подключиться к удаленному компьютеру стандартным RDP клиентом Windows (mstsc.exe) и после ввода имени и пароля вместо рабочего стола вы видите черный экран ( BLM ).

черный экран вместо рабочего стола в RDP сессии

Причин, из-за которых вместо RDP сессии отображается черный экран довольно много. Как-то диагностировать или классифицировать их довольно сложно.

отключить сжатие для rdp трафика

  1. Убедитесь, то RDP сервер, клиент и все сетевое оборудование между ними настроены на одинаковый размер MTU;
  2. Отключите сжатие передаваемых данных в сеансе RDP через редактор локальной GPO – Configure compression for RemoteFX data (Настройка сжатия данных RemoteFX) = Do not use an RDP compression algorithm (Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host).


UPD (01.05.2020): В первую очередь попробуйте перезапустить службу удаленных рабочих столов на сервере. Если это не поможет :

Одним из способов решить данную проблему это очистка историю RDP подключений на клиенте в ветке HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers
Так же может помочь сброс кеша RDP в каталоге C:\Users\%Username%\AppData\Local\Microsoft\Terminal Server Client\Cache (перед очисткой завершите все запущенные сеансы mstsc.exe).
Для очистки кеша используйте команду:

del "C:\Users\%Username%\AppData\Local\Microsoft\Terminal Server Client\cache"
(не забудьте указать корректный путь)

Решений тут несколько:

  1. Закрыть доступ к серверу по порту 3389 для неизвестных IP-адресов через firewall
  2. Сменить порты 3389 на любой другой

Как изменить RDP Порт

  1. Открываем редактор реестра regedit
  2. Открываем ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
  3. Правим параметр PortNumber в десятичном фрмате
  4. Порт RDP по умолчанию 3389
  5. Перезагружаем сервер
    1. Если у вас на удаленном сервере установлен КриптоПРО, он может быть источником проблем с rdp подключением. Попробуйте отключить проверку контрольных целостности файлов (проверки контрольных сумм) в КриптоПро через реестр. Перейдите в ветку реестра HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\CProIntegrity и измените значение параметра CheckMode на 0. Перезагрузите сервер.
    2. Если в журнале событий TerminalServices-RemoteConnectionManager вы встретите событие с EventID 1057 (The RD Session Host Server has failed to create a new self signed certificate to be used for RD Session Host Server authentication on SSL connections), перейдите в каталог C:\ProgramData\Microsoft\Crypto\RSA, переименуйте папку Machinekeys в Machinekeys_bak и перезапустите службу TermService.
    3. Также нашел информацию, что RDP проблема “Произошла внутренняя ошибка” встречалась в Windows 10 1809, если на удаленном компьютере включена политика Configure H.264/AVC hardware encoding for Remote Desktop connections (находится в секции GPO: Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Remote Session Environment). Для решения этой проблемы достаточно отключить UDP протокол для RDP, создав в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client параметр fClientDisableUDP со значением 1.

    Открыть журнала событий RDP


    В предыдущей заметке, мы обсуждали вопрос блокировки UDP трафика для защиты от утечки реального IP-адреса, при использовании технологии WebRTC в самом браузере. Сегодня, мы будем настраивать правила брандмауэра, при помощи встроенного брандмауэра Windows.

    Примечательно, что стандартный брандмауэр Windows, часто называют неудобным и дырявым. Однако, если разобраться в его настройках, можно создать эффективную защиту, без использования стороннего защитного программного обеспечения и дополнительных финансовых затрат.

    Нужна компьютерная помощь? Есть проблемы, которые не можете устранить самостоятельно?
    Надежные исполнители по доступным ценам.



    Создаем правила для входящих подключений в брандмауэре Windows 10.




    Список всех TCP и UDP портов, можно посмотреть тут.





    Создаем правила для исходящих подключений в брандмауэре Windows 10.

    Для создания правила блокировки UDP трафика при исходящих соединениях, посредством создания правила в стандартном брандмауэре Windows 10, ничем не отличается от создания правил для входящего трафика (описан выше).




    Как и в случае создания правила для входящих подключений, если вы, хотите заблокировать UDP трафик в браузере, вам нужно указать два порта:

    Список всех TCP и UDP портов, можно посмотреть тут.





    Данным способом, можно создавать любые правила для брандмауэра Windows 10. При этом, у нас нет возможности при создании правила брандмауэра, более гибко настроить брандмауэр Windows 10, чтобы блокировать например UDP трафик только для браузера. Для этого, мы можем указать только порты. Однако, их могут использовать и другие программы. Полная блокировка UDP трафика, может негативно сказаться на работе ряда программ и зачастую, полностью блокирует выход в Сеть. Прежде, чем использовать данные настройки, сначала вникните в суть и поймите, что вам именно нужно. При этом, мы можем после создания правила, произвести более тонкую настройку правила и указать, например, что нужно блокировать не весь UDP трафик, а только для конкретного приложения (например, только в браузере). Таким образом, мы сохраним доступ в Сеть и защитимся от утечки IP-адреса при использовании браузера с поддержкой технологии WebRTC.

    Тонкая настройка правил стандартного брандмауэра Windows 10.

    После того, как вы создадите правила для входящих и исходящих подключений, вы сможете их в последствии:

    • Отключить правило (1.)
    • Удалить правило (2.)
    • Тонкая настройка правила (3.)


    Как уже упоминалось выше, при создании правила брандмауэра, у нас нет возможности настроить более гибко правило, под свои нужды. Однако, после создания правила, мы можем его настроить. Вот тут и открывается весь потенциал стандартного брандмауэра Windows.

    При этом, если заблокировать полностью UDP трафика, мы потеряем в большинстве случаев, полностью доступ в Интернет. Поэтому, теперь, нам необходимо настроить правило брандмауэра, чтобы блокировался только UDP трафик браузера.





    *Будьте предельно внимательны, при создании правил и указывайте верный путь к нужному файлу.

    При последующем обновлении программы, необходимо проверять и редактировать при необходимости правила брандмауэра. Так как путь к исполняемым файлам, может меняться. Например, Браузер Opera, при каждом обновлении, создает новый путь к исполняемому файлу. Таким образом, правило брандмауэра, перестанет работать для нужной версии и его нужно редактировать.

    Теперь, наше правило брандмауэра Windows, будет блокировать UDP трафик, только в браузере Google Chrome. Таким образом, мы можем создавать правила и потом, настраивать их более гибко, под свои задачи. Естественно, если нам нужно создать несколько правил, для разных программ, мы должны создать сначала правило в брандмауэре, а потом, отредактировать его.

    Заключение.

    У меня нет задачи, описать разные сценарии настройки брандмауэра Windows. Моя цель, показать основной принцип создания правил в брандмауэре Windows и как их можно редактировать. Понимая данные принципы работы с брандмауэром Windows, вы сможете самостоятельно создавать и настраивать правила брандмауэра, под свои нужды.

    Приветствуются комментарии с полезной информацией: уточнениями, дополнениями, вопросами. Очень хорошо, когда вы делитесь своим опытом. Ваш опыт и информация, могут быть полезны другим.
    Категорически запрещено в комментариях использование ненормативной лексики (в том числе нецензурную речь). Комментарии со спамом и рекламой, не пройдут модерацию.
    Все комментарии, проходят модерацию и публикуются только после рассмотрения и одобрения.

    Читайте также: