Comment configurer les délais d'expiration des sessions RDP et le maintien de la connexion dans Windows Server 2025

Avant de configurer les délais d'expiration de session, assurez-vous que le Bureau à distance est correctement activé sur votre Windows Server 2025. Cette étape vérifie que votre serveur est prêt pour la gestion des sessions RDP.

Ouvrez le Gestionnaire de serveur et accédez à Serveur local. Vérifiez que Bureau à distance affiche Activé. Sinon, cliquez dessus et sélectionnez Activer le Bureau à distance.

Alternativement, utilisez PowerShell pour activer RDP :

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Vérifiez que RDP écoute sur le port 3389 :

netstat -an | findstr :3389

Vous devriez voir TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING

Ouvrez l'Éditeur de stratégie de groupe pour configurer les politiques de délai d'expiration des sessions RDP. C'est la méthode principale pour gérer les limites de session dans Windows Server 2025.

Appuyez sur Win + R, tapez gpedit.msc, et appuyez sur Entrée. Si vous gérez un environnement de domaine, utilisez plutôt la Console de gestion des stratégies de groupe :

gpmc.msc

Accédez à l'emplacement des politiques des Services Bureau à distance :

Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de session Bureau à distance > Limites de session

Vous verrez quatre politiques clés qui contrôlent le comportement des sessions :

• Définir la limite de temps pour les sessions des Services Bureau à distance actives mais inactives
• Définir la limite de temps pour les sessions déconnectées
• Définir la limite de temps pour les sessions actives des Services Bureau à distance
• Terminer la session lorsque les limites de temps sont atteintes

Vérifiez que vous êtes au bon endroit en vérifiant que les descriptions des politiques correspondent à la gestion des délais d'expiration des sessions.

Configurez la déconnexion automatique des sessions RDP inactives pour optimiser les ressources du serveur. Cette configuration est recommandée pour les serveurs avec des ressources limitées ou une forte concurrence d'utilisateurs.

Double-cliquez sur Définir la limite de temps pour les sessions des services Bureau à distance actives mais inactives. Sélectionnez Activé et choisissez votre valeur de délai d'attente :

• 15 minutes - Recommandé pour les environnements à haute sécurité
• 30 minutes - Approche équilibrée pour la plupart des scénarios
• 1 heure - Pour les environnements de développement ou à faible sécurité

Configurez Définir la limite de temps pour les sessions déconnectées. Activez cette politique et réglez-la sur 1 heure (3600 secondes). Cela garantit que les sessions déconnectées ne consomment pas indéfiniment des ressources.

Réglez Définir la limite de temps pour les sessions des services Bureau à distance actives sur 12 heures pour éviter les sessions extrêmement longues qui pourraient indiquer des problèmes de sécurité.

Activez Terminer la session lorsque les limites de temps sont atteintes. Cela termine les sessions au lieu de simplement les déconnecter, libérant ainsi toutes les ressources.

Appliquez les modifications :

gpupdate /force

Vérifiez l'application de la politique :

gpresult /r | findstr "Remote Desktop"

Utilisez les modifications du registre pour un contrôle précis du délai d'attente lorsque la stratégie de groupe ne fournit pas le timing exact dont vous avez besoin. Les valeurs du registre sont spécifiées en millisecondes, offrant un contrôle plus granulaire.

Ouvrez une invite de commande avec élévation de privilèges et ajoutez les entrées de registre suivantes pour un délai d'attente d'inactivité de 15 minutes :

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v MaxIdleTime /t REG_DWORD /d 900000 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v MaxDisconnectionTime /t REG_DWORD /d 3600000 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v MaxConnectionTime /t REG_DWORD /d 43200000 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fResetBroken /t REG_DWORD /d 1 /f

Alternativement, utilisez PowerShell pour la même configuration :

$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
Set-ItemProperty -Path $regPath -Name "MaxIdleTime" -Value 900000 -Type DWord
Set-ItemProperty -Path $regPath -Name "MaxDisconnectionTime" -Value 3600000 -Type DWord
Set-ItemProperty -Path $regPath -Name "MaxConnectionTime" -Value 43200000 -Type DWord
Set-ItemProperty -Path $regPath -Name "fResetBroken" -Value 1 -Type DWord

Vérifiez les entrées du registre :

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"

Redémarrez le service Terminal Services pour appliquer les modifications immédiatement :

net stop TermService
net start TermService

Configurez les sessions RDP pour rester actives indéfiniment en désactivant les politiques de délai d'attente. Cette approche est utile pour les serveurs exécutant des processus de longue durée ou pour les postes de travail administratifs.

Dans l'Éditeur de stratégie de groupe, revenez aux politiques de limites de temps de session. Pour chaque politique de délai d'attente, sélectionnez Désactivé ou Non configuré :

• Définir la limite de temps pour les sessions des services Bureau à distance actives mais inactives : Désactivé
• Définir la limite de temps pour les sessions déconnectées : Désactivé
• Définir la limite de temps pour les sessions des services Bureau à distance actives : Désactivé
• Terminer la session lorsque les limites de temps sont atteintes : Désactivé

Utilisez PowerShell pour définir les valeurs du registre à 0 (illimité) pour la configuration de maintien en vie :

$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
Set-ItemProperty -Path $regPath -Name "MaxIdleTime" -Value 0 -Type DWord
Set-ItemProperty -Path $regPath -Name "MaxDisconnectionTime" -Value 0 -Type DWord
Set-ItemProperty -Path $regPath -Name "MaxConnectionTime" -Value 0 -Type DWord

Configurez le maintien en vie TCP pour éviter les déconnexions liées au réseau :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v KeepAliveInterval /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v KeepAliveTimeout /t REG_DWORD /d 1 /f

Appliquez les modifications :

gpupdate /force

Empêcher le verrouillage automatique de l'écran qui peut interférer avec la gestion des sessions RDP. Les politiques de verrouillage d'écran sont distinctes des politiques de délai d'expiration RDP et nécessitent une configuration indépendante.

Accédez à Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques locales > Options de sécurité dans l'Éditeur de stratégie de groupe.

Trouvez et configurez Ouverture de session interactive : Limite d'inactivité de la machine. Réglez ceci sur 0 secondes pour désactiver le verrouillage automatique, ou définissez une valeur appropriée qui est plus longue que votre délai d'expiration RDP.

Utilisez le registre pour désactiver le délai d'inactivité de la machine :

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v InactivityTimeoutSecs /t REG_DWORD /d 0 /f

Désactiver le verrouillage de l'économiseur d'écran pour l'utilisateur actuel (exécutez ceci pour chaque compte utilisateur) :

reg add "HKCU\Control Panel\Desktop" /v ScreenSaveSecure /t REG_SZ /d 0 /f
reg add "HKCU\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d 0 /f

Pour les paramètres d'économiseur d'écran à l'échelle du système, modifiez le profil utilisateur par défaut :

reg load HKU\DefaultUser C:\Users\Default\NTUSER.DAT
reg add "HKU\DefaultUser\Control Panel\Desktop" /v ScreenSaveSecure /t REG_SZ /d 0 /f
reg add "HKU\DefaultUser\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d 0 /f
reg unload HKU\DefaultUser

Vérifiez que le verrouillage de l'écran est désactivé en vérifiant le registre :

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v InactivityTimeoutSecs

Testez minutieusement la configuration du délai d'expiration de votre session RDP pour vous assurer qu'elle fonctionne comme prévu. Cette étape valide que vos politiques sont correctement appliquées et fonctionnent.

Créez une session RDP de test depuis une autre machine :

mstsc /v:your-server-ip

Vérifiez les informations de session actuelles en utilisant PowerShell :

Get-RDUserSession -ConnectionBroker localhost | Select-Object UserName, SessionState, IdleTime, SessionId

Pour les serveurs sans rôle RDS, utilisez la commande query :

query session

Surveillez le comportement du délai d'expiration de la session en laissant la session inactive pendant votre période de délai d'expiration configurée. Pour un délai d'expiration de 15 minutes, attendez 16 minutes et vérifiez que la session est déconnectée ou terminée.

Vérifiez les journaux d'événements pour les événements de délai d'expiration de session :

Get-WinEvent -LogName "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" | Where-Object {$_.Id -eq 23 -or $_.Id -eq 24 -or $_.Id -eq 25} | Select-Object TimeCreated, Id, LevelDisplayName, Message

Vérifiez que les paramètres du registre sont actifs :

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"

Testez la fonctionnalité de maintien de connexion réseau en surveillant les connexions réseau :

netstat -an | findstr :3389

Résolvez les problèmes courants qui empêchent les politiques de délai d'expiration des sessions RDP de fonctionner correctement. Ces étapes de dépannage résolvent les problèmes de configuration les plus fréquents.

Si les sessions ne se terminent pas comme prévu, vérifiez les politiques conflictuelles :

gpresult /h gpresult.html
start gpresult.html

Recherchez les paramètres conflictuels dans les sections Configuration de l'ordinateur et Configuration de l'utilisateur. Les politiques de Configuration de l'utilisateur peuvent remplacer celles de Configuration de l'ordinateur.

Vérifiez que le service Terminal Services est en cours d'exécution et configuré correctement :

sc query TermService
sc qc TermService

Vérifiez les erreurs de traitement des stratégies de groupe :

Get-WinEvent -LogName "Microsoft-Windows-GroupPolicy/Operational" | Where-Object {$_.LevelDisplayName -eq "Error"} | Select-Object TimeCreated, Id, Message

Si les modifications du registre ne prennent pas effet, assurez-vous de modifier la bonne branche. Certains paramètres nécessitent à la fois une modification de la politique et du registre direct :

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"

Pour les environnements de domaine, vérifiez si les politiques de domaine remplacent les paramètres locaux :

gpresult /scope computer /v | findstr -i "terminal\|remote\|session"

Réinitialisez la configuration des services de terminal si nécessaire :

reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f
gpupdate /force
net stop TermService && net start TermService

Surveillez l'activité des sessions en temps réel pour le dépannage :

while ($true) {
    Clear-Host
    query session
    Start-Sleep -Seconds 30
}