RDP не работает: «Не удаётся подключиться к удалённому рабочему столу» в Windows 10/11 — что делать (2025)

Сначала исключим банальное: редакция Windows хоста должна быть Pro/Enterprise/Server. Клиент может быть хоть Home. Дальше идём сверху вниз — от настроек до сети и роутера.

1. Включаем RDP и добавляем пользователя

• Параметры → Система → Удалённый рабочий стол → Включить. Отметьте «Разрешить подключение только с NLA» — позже можно временно снять для теста.
• Добавьте нужную учётную запись в группу Пользователи удалённого рабочего стола:

  PowerShell
  net localgroup "Пользователи удалённого рабочего стола" %USERNAME% /add
            

• Убедитесь, что пароль у пользователя задан. Пустые пароли по сети блокируются.

2. Открываем порт 3389 в брандмауэре

Частая причина — закрытое правило или сторонний «фаер». Включаем стандартные правила или создаём своё.

PowerShell
# Разрешить встроенные правила RDP
netsh advfirewall firewall set rule group="Remote Desktop" new enable=Yes

# Или отдельное правило
netsh advfirewall firewall add rule name="RDP 3389" dir=in action=allow protocol=TCP localport=3389
      

Во внешних антивирусах тоже проверьте сетевой экран и доверенную зону.

3. Проверяем службы и порт

• TermService должен работать:

  PowerShell
  sc query TermService
  sc start TermService
            

• Слушается ли 3389:

  cmd
  netstat -ano | find ":3389"
            

  Если пусто — проверьте реестр:

  PowerShell
  # Разрешить входящие RDP
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
  # Порт (по умолчанию 3389)
  reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
            

4. NLA и «ошибка проверки подлинности»

Проблема часто в несовпадении обновлений CredSSP/времени/доменных политик. Для диагностики можно временно снять NLA:

PowerShell
# Временное отключение NLA (только для теста!)
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
# Перезапустить службу
sc stop TermService && sc start TermService
      

После успешной проверки обязательно верните NLA (UserAuthentication=1) и обновите Windows на обеих сторонах. Также проверьте синхронизацию времени и часовой пояс.

5. Политики и редактор локальной политики

• gpedit.msc → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеансов… Проверьте «Разрешить пользователям подключаться удалённо» → Включено.
• Профиль сети должен быть Частный/Доменный для корректных правил. В общедоступном профиле RDP чаще всего блокируется.

6. Сеть: локально и из интернета

• Локально: подключайтесь по имени/IPv4 — mstsc /v:PC-ИМЯ или mstsc /v:192.168.1.50.
• Из интернета безопаснее через VPN. Если всё же нужен проброс, на роутере сделайте Port Forwarding 3389/TCP на внутренний IP хоста. Настройте белый адрес/динамический DNS. Отключите UPnP «наобум».
• Не используйте нестандартные «рандомные» пробросы как защиту. Это не безопасность. Лучше VPN и сложные пароли.

7. Сон, питание и нестабильные обрывы

• Запретите отключение сетевого адаптера для экономии энергии (Диспетчер устройств → Адаптер → Управление питанием).
• На хосте отключите спящий режим/гибернацию. Иначе сеанс будет рваться.
• Обновите драйвер Wi-Fi/Ethernet с сайта производителя устройства/чипсета.

Когда лучше позвать мастера

Если 3389 не слушается даже локально, TermService падает при старте, политики конфликтуют с корпоративным доменом или доступ нужен «из мира» с правильным VPN и безопасностью — подключусь, всё настрою и задокументирую.

Ещё по теме

• SMB/общие папки: как открыть \\ПК\папка и NAS, если «Не найден сетевой путь».
• DNS/SSL: сайты не открываются, а пинг есть — что проверить.
• Безопасная публикация служб в интернет: базовые правила.