Remote Desktop Protocol (RDP) ist ein Microsoft-eigenes Fernzugriffsprotokoll, das von Windows-Systemadministratoren verwendet wird, um Windows Server-Systeme remote zu verwalten. Was RDP beispielsweise von Windows PowerShell oder Secure Shell (SSH)-Remoting unterscheidet, ist das Vorhandensein des vollständigen grafischen Desktops, wie in Abbildung 1 dargestellt.
Standardmäßig lauscht die RDP-Serverkomponente standardmäßig auf TCP-Port 3389 auf eingehende Verbindungen, obwohl dies aus Sicherheitsgründen vom Administrator geändert werden kann.
Um sicher zu sein, der aktuelle Vorstoß von Microsoft besteht darin, dass Administratoren ihre Abhängigkeit von RDP reduzieren und stattdessen (a) Windows-Server im Server Core- oder Nano-Modus bereitstellen; und (b) Verwenden der Windows PowerShell-Befehlszeilen-Remoteverwaltung anstelle von RDP.
Microsofts Rechtfertigung für diesen Rat ist zweifach:
Eine GUI-Schicht verbraucht unnötige Systemressourcen
Eine GUI-Schicht erweitert die Angriffsfläche Ihrer Server
Unabhängig davon sind viele Administratoren an die RDP-basierte Remoteverwaltung gewöhnt und versuchen dies auch im neu veröffentlichten Betriebssystem Windows Server 2016. Lassen Sie uns lernen, wie man RDP in Server 2016 aktiviert (tl;dr: der Prozess ist identisch mit Windows Server 2012 R2).
Server Administrator
Öffnen Sie die Server-Manager-Konsole, navigieren Sie zum Knoten „Lokaler Server“ und klicken Sie auf den Hyperlink „Remotedesktop“, wie in Abbildung 2 gezeigt.
Der Remotedesktop-Hyperlink ist einfach eine Verknüpfung zum Blatt „Systemeigenschaften“ des Elements „Systemsteuerung“. Wählen Sie Remoteverbindungen zu diesem Computer zulassen und aktivieren Sie optional Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen).
Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) schützt Windows Server vor Denial-of-Service (DoS)-Angriffen, indem eine Authentifizierung erforderlich ist, bevor eine grafische Sitzung vom Server eingerichtet wird. NLA spart auch Systemressourcen des Servers.
Windows PowerShell
Aus einer untergeordneten Perspektive werden eingehende RDP-Verbindungen auf einem Server durch zwei Registrierungswerte und eine Windows-Firewallregel aktiviert.
Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Rechten und führen Sie die folgenden Befehle aus. Dieser erste erstellt den fDenyTSConnections-Wert und setzt ihn auf 0 (aus). Das ist sinnvoll, weil wir Terminal Services (TS)-Verbindungen nicht verweigern wollen.
New-ItemProperty -Path ‚HKLM:SystemCurrentControlSetControlTerminal Server‘ -Name ‚fDenyTSConnections‘ -Value 0 -PropertyType dword -Force
Der nächste Befehl erstellt und aktiviert den Wert UserAuthentication (Network Layer Authentication); NLA ist eine gute Idee und Sie sollten erwägen, es standardmäßig auf Ihren Servern zu aktivieren.
New-ItemProperty -Path ‚HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp‘ -Name ‚UserAuthentication‘ -Value 1 -PropertyType dword -Force
Der nächste Befehl aktiviert die vordefinierte Windows-Firewall-Regel „Remote Desktop“. Wir können dann das Get-NetFirewallRule PowerShell-Cmdlet aufrufen, um dies zu überprüfen, wie in Abbildung 3 gezeigt.
Enable-NetFirewallRule -DisplayGroup ‚Remote Desktop‘
Gruppenrichtlinie
Die Chancen stehen gut, dass Sie das RDP-Verhalten auf allen Ihren Infrastrukturservern standardisieren möchten. Daher wenden wir uns der Gruppenrichtlinie zu, um dieses Ziel zu erreichen.
Beginnen Sie mit dem Erstellen, Verknüpfen und Scoping eines neuen Gruppenrichtlinienobjekts (GPO), das auf die Server abzielt, die RDP-Servereinstellungen gemeinsam nutzen sollen.
Navigieren Sie als nächstes zum folgenden Gruppenrichtlinienpfad und fügen Sie einen neuen Eintrag für eingeschränkte Gruppen hinzu (siehe Abbildung 4):
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups
Sie können die Mitgliedschaft in der integrierten Remotedesktopbenutzergruppe des Servers anpassen; Mitglieder dieser Gruppe können RDP-Sitzungen zum Server aufbauen. Beachten Sie, dass der lokalen Gruppe „Administratoren“ (und damit auch der globalen Gruppe „Domänen-Admins“) diese Berechtigung in Active Directory automatisch gewährt wird.
Die folgenden drei Gruppenrichtlinieneinstellungen gelten:
Eingehende RDP-Ausnahmen der Windows-Firewall
Benutzerrecht zum Aufbau von RDP-Sitzungen
NLA erforderlich
ComputerkonfigurationAdministrative VorlagenNetzwerkNetzwerkverbindungenWindows-FirewallDomänenprofilWindows-Firewall: Eingehende Remotedesktopausnahmen zulassen
ComputerkonfigurationAdministrative VorlagenWindows-KomponentenRemotedesktopdiensteRemotedesktop-SitzungshostVerbindungenBenutzern die Remoteverbindung mithilfe von Remotedesktopdiensten ermöglichen
ComputerkonfigurationAdministrative VorlagenWindows-KomponentenRemotedesktopdiensteRemotedesktop-SitzungshostSicherheitErfordert Benutzerauthentifizierung für Remoteverbindungen mithilfe von NLA
Erstellen der Client-Verbindung
Sowohl Windows Client als auch Windows Server enthalten den Microsoft RDP-Client namens Remote Desktop Connection. Meine bevorzugte Art, dieses Tool aufzurufen, ist:
Drücken Sie die WINDOWS-TASTE+R
Geben Sie mstsc ein (was für „Microsoft Terminal Services Client“ steht)
Drücken Sie Enter
Ich zeige Ihnen die Benutzeroberfläche der Remotedesktopverbindung in Abbildung 5.
Das Coole an RDP-Clients ist, dass sie für nahezu jedes Desktop- oder mobile Betriebssystem verfügbar sind. Hier ist eine repräsentative Liste:
Android: Microsoft-Remotedesktop
iOS: Microsoft-Remotedesktop
Linux: rdesktop
macOS: Microsoft-Remotedesktop
Windows Phone: Microsoft-Remotedesktop
Beachten Sie, dass Windows Server nur zwei gleichzeitige RDP-Sitzungen gleichzeitig unterstützt. Wenn Sie mehr benötigen, müssen Sie die Remotedesktopdienste (RDS)-Sitzungshost-Serverrolle installieren und zusätzliche RDS-Verbindungslizenzen von Microsoft erwerben.
Abschließende Gedanken
Wenn Sie RDP auf früheren Windows Server-Versionen konfiguriert haben, werden Sie feststellen, dass sich Windows Server 2016 genau so verhält. Denken Sie jedoch daran, dass Microsofts immer breitere Übernahme der Sicherheitslage „Annehmen von Sicherheitsverletzungen“ und des Hybrid-Cloud-Szenarios und die damit einhergehende Philosophie „Herden verwalten, nicht Haustiere“ bedeutet, dass der Schwerpunkt eher auf der Befehlszeilenautomatisierung als auf On-Off-RDP liegt GUI-Sitzungen.
Die 10 besten neuen Funktionen in Windows Server 2016
Windows 10 für IT-Experten: Tutorials, Tipps und Tricks
Top 6 Windows 10-Apps für IT-Profis
