远程桌面连不上？问题十有八九出在防火墙上。核心就是确保系统防火墙放行RDP协议依赖的端口——Windows默认是TCP 3389。

你可以在Windows Defender防火墙的“允许应用或功能”界面直接勾选“远程桌面”。系统会自动处理好专用、公用和域网络类型。

如果手头用的是自定义端口（比如6111），那就得手动去高级安全设置里新建一条入站规则，同时别忘了同步修改注册表。规则状态必须启用，Remote Desktop Services这些核心服务也得设置成自动启动并正在运行。

这几个环节一步都不能少，连起来才是一条完整的远程访问通路。

一、通过基础界面快速放行远程桌面

最简单的方法：打开控制面板，顺着“系统和安全”→“Windows Defender防火墙”→“允许应用或功能通过Windows Defender防火墙”这条路径进去。点击右上角“更改设置”获得编辑权限。

在应用列表里找到“远程桌面”，把“专用”网络勾上。如果你希望在外面（比如咖啡馆、酒店）也能连回来，那“公用”也别落下。

这个操作的实质是启用系统预置的“RemoteDesktop-UserMode-In-TCP”规则组——它自动绑定了3389端口和对应的系统进程，省去了手动配置细节的麻烦。对于大多数家庭用户或小办公室来说，这就是最省事的方案，前提是你没改过默认端口。

二、使用高级安全设置精准控制入站规则

如果你需要更精细的控制，或者已经改了RDP端口号，那就得进入“高级安全Windows Defender防火墙”操作了。点左侧“入站规则”，新建规则，类型选“端口”，协议选TCP，然后填上你用的端口号（默认3389，或者自定义的6111）。

到“操作”页面记得选“允许连接”。“配置文件”页面一定要把“域”“专用”“公用”三个选项都勾上——这样才能保证无论你在哪种网络环境下都能连上。

最后给规则起个名字，建议带上端口号和用途，比如“RDP-TCP-3389-Allow”，以后排查起来一目了然。这种方式的好处是：系统更新不会让预置规则失效，而且你还可以进一步按IP地址范围限制哪些人才能连进来，安全系数更高。

三、验证与协同配置不可遗漏

防火墙规则设好之后，别忘了检查另外三个关键状态：

• 打开服务管理器，看看“Remote Desktop Services”、“Remote Desktop Configuration”和“UserMode Port Redirector”这三个服务是否都在“正在运行”，启动类型是不是“自动”。
• 在“系统属性→远程设置”里确认“允许远程连接到此计算机”已经勾上，然后根据客户端版本决定要不要启用NLA（网络级身份验证）。
• 如果你是在企业网络或者公网环境，路由器或边界防火墙（比如天融信那类设备）上还得配好对应端口的NAT映射和安全策略。数据包一层层穿过去，才能最终抵达目标主机。

远程桌面能不能连上，防火墙、服务、协议、网络路径这几个环节必须协同工作。任何一个地方漏了，连接就会断。

《夸克》非常好用的免费AI浏览器

下载APP查看