最近遇到一个比较典型的远程连接故障通过 Tailscale 从 Windows 10 远程桌面连接 Windows 11之前一直正常某天突然无法连接提示远程桌面由于以下原因之一无法连接到远程计算机1未启用对服务器的远程访问2远程计算机已关闭3远程计算机在网络上不可用本文记录一次完整的排查过程从网络、Tailscale、路由到防火墙最终定位问题。一、问题环境客户端Windows 10desktop-client服务器Windows 11desktop-server远程方式Windows Remote Desktop网络Tailscale 内网100.x.x.xRDP 端口3389现象desktop-client 无法远程 desktop-server远程桌面提示无法连接之前一直正常二、第一步确认 Tailscale 是否在线首先检查 Tailscale 节点状态tailscale status输出示例100.96.228.71 desktop-client100.107.244.5 desktop-server说明两台设备都在线。三、第二步测试 Tailscale 网络连通性使用 Tailscale 自带的 pingtailscale ping 100.107.244.5结果示例pong via DERP(sfo)pong via 61.xxx.xxx.xxx说明节点可以通信Tailscale 控制层正常。四、第三步检查远程端口监听在 desktop-server 上执行netstat -ano | findstr 3389结果TCP 0.0.0.0:3389 LISTENING说明远程桌面服务正常监听端口。五、第四步测试 TCP 端口在 desktop-client 执行Test-NetConnection 100.107.244.5 -Port 3389结果TcpTestSucceeded : False说明网络通道存在问题。六、第五步检查路由查看 desktop-client 路由表route print发现一个问题没有任何 100.x 网段的路由。说明Tailscale 虚拟网卡没有生效。原因可能是VPN 软件Windows 更新网络驱动冲突解决办法tailscale downtailscale up --reset重新建立隧道。此时再次查看路由route print | findstr 100.出现100.107.244.5 在链路上说明路由恢复。七、第六步再次测试连接重新测试Test-NetConnection 100.107.244.5 -Port 3389仍然失败。此时继续排查。八、第七步怀疑 Windows 防火墙关闭防火墙测试Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False再次测试Test-NetConnection 100.107.244.5 -Port 3389结果TcpTestSucceeded : True说明问题来自 Windows 防火墙。九、最终原因后来发现是自己误操作点击了 Windows 防火墙的“还原默认设置”。这会导致所有自定义规则被删除。包括之前放行的 RDP 端口规则。因此 Tailscale 网络虽然正常但端口被防火墙拦截。十、解决方法重新添加防火墙规则New-NetFirewallRule-DisplayName RDP 3389-Direction Inbound-Protocol TCP-LocalPort 3389-Action Allow为了安全可以只允许 Tailscale 网段New-NetFirewallRule-DisplayName RDP from Tailscale-Direction Inbound-Protocol TCP-LocalPort 3389-RemoteAddress 100.64.0.0/10-Action Allow十一、排查思路总结遇到 Tailscale 远程桌面无法连接可以按以下顺序排查查看节点状态tailscale status测试 Tailscale 网络tailscale ping查看远程端口监听netstat -ano | findstr 3389测试 TCP 连接Test-NetConnection IP -Port 3389检查路由route print检查 Windows 防火墙十二、经验总结这次问题的关键点1Tailscale 网络是正常的2RDP 服务也是正常的3真正的问题是 Windows 防火墙规则被重置排查时一定要分层网络层隧道层服务层防火墙层逐层验证问题就会逐渐浮现。十三、小技巧一个快速判断 Tailscale 是否正常的方法route print | findstr 100.如果没有任何结果说明 Tailscale 路由没有生效。通常是虚拟网卡或 VPN 冲突。这次排查虽然绕了一圈但也梳理了一套比较完整的远程连接诊断流程。以后遇到类似问题可以按照这个顺序逐步定位。