RDP(원격 데스크톱 프로토콜)는 Windows 시스템 관리자가 Windows Server 시스템을 원격으로 관리하는 데 사용하는 Microsoft 독점 원격 액세스 프로토콜입니다. RDP가 Windows PowerShell 또는 SSH(Secure Shell) 원격과 다른 점은 그림 1과 같이 전체 그래픽 데스크톱이 있다는 것입니다.
기본적으로 RDP 서버 구성 요소는 보안상의 이유로 관리자가 변경할 수 있지만 기본적으로 TCP 포트 3389에서 들어오는 연결을 수신 대기합니다.
확실히 Microsoft의 현재 푸시는 관리자가 RDP에 대한 의존도를 줄이고 대신 (a) Windows Server를 Server Core 또는 Nano 모드로 배포하는 것입니다. (b) RDP 대신 Windows PowerShell 명령줄 원격 관리를 사용합니다.
이 조언에 대한 Microsoft의 정당성은 두 가지입니다.
GUI 계층은 불필요한 시스템 리소스를 소비합니다.
GUI 계층은 서버의 공격 표면을 확장합니다.
그럼에도 불구하고 많은 관리자는 RDP 기반 원격 관리에 익숙하며 새로 출시된 Windows Server 2016 운영 체제에서도 그렇게 하려고 합니다. Server 2016에서 RDP를 활성화하는 방법을 알아보겠습니다(tl;dr: 프로세스는 Windows Server 2012 R2와 동일함).
서버 매니저
서버 관리자 콘솔을 열고 로컬 서버 노드로 이동한 다음 그림 2와 같이 원격 데스크톱 하이퍼링크를 클릭합니다.
원격 데스크톱 하이퍼링크는 단순히 시스템 제어판 항목의 시스템 속성 시트에 대한 바로 가기입니다. 이 컴퓨터에 대한 원격 연결 허용을 선택하고 선택적으로 네트워크 수준 인증으로 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용을 활성화합니다(권장).
NLA(네트워크 수준 인증)는 서버에서 그래픽 세션을 설정하기 전에 인증을 수행하도록 요구하여 DoS(서비스 거부) 공격으로부터 Windows Server를 보호합니다. NLA는 서버 시스템 리소스도 절약합니다.
윈도우 파워쉘
낮은 수준의 관점에서 수신 RDP 연결은 두 개의 레지스트리 값과 Windows 방화벽 규칙을 통해 서버에서 활성화됩니다.
관리자 권한 Windows PowerShell 세션을 열고 다음 명령을 실행합니다. 이 첫 번째 것은 fDenyTSConnections 값을 생성하고 0(꺼짐)으로 설정합니다. 이것은 TS(터미널 서비스) 연결을 거부하고 싶지 않기 때문에 의미가 있습니다.
New-ItemProperty -경로 ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -이름 ‘fDenyTSConnections’ -값 0 -PropertyType dword -Force
다음 명령은 UserAuthentication(네트워크 계층 인증) 값을 만들고 활성화합니다. NLA는 좋은 생각이며 서버에서 기본적으로 활성화하는 것을 고려해야 합니다.
New-ItemProperty -경로 ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -이름 ‘UserAuthentication’ -값 1 -PropertyType dword -Force
다음 명령은 미리 정의된 “원격 데스크톱” Windows 방화벽 규칙을 활성화합니다. 그런 다음 Get-NetFirewallRule PowerShell cmdlet을 호출하여 그림 3과 같이 확인할 수 있습니다.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
그룹 정책
모든 인프라 서버에서 RDP 동작을 표준화하려는 경우가 많습니다. 따라서 이 목표를 달성하기 위해 그룹 정책을 사용합니다.
먼저 RDP 서버 설정을 공유해야 하는 서버를 대상으로 하는 새 GPO(그룹 정책 개체)를 만들고 연결하고 범위를 지정합니다.
그런 다음, 다음 그룹 정책 경로로 이동하여 새 제한된 그룹 항목을 추가합니다(그림 4 참조).
컴퓨터 구성 정책Windows 설정보안 설정제한된 그룹
서버의 기본 제공 원격 데스크톱 사용자 그룹의 구성원을 사용자 지정할 수 있습니다. 이 그룹의 구성원은 서버에 대한 RDP 세션을 설정할 수 있습니다. 로컬 관리자 그룹(및 확장하여 Domain Admins 글로벌 그룹)에는 Active Directory에서 이 권한이 자동으로 부여됩니다.
다음 세 가지 그룹 정책 설정이 적용됩니다.
Windows 방화벽 수신 RDP 예외
RDP 세션을 설정할 사용자 권한
NLA 요구
컴퓨터 구성관리 템플릿네트워크 네트워크 연결Windows 방화벽도메인 프로필Windows 방화벽: 인바운드 원격 데스크톱 예외 허용
컴퓨터 구성관리 템플릿Windows 구성 요소원격 데스크톱 서비스원격 데스크톱 세션 호스트연결사용자가 원격 데스크톱 서비스를 사용하여 원격으로 연결할 수 있도록 허용
컴퓨터 구성관리 템플릿Windows 구성 요소원격 데스크톱 서비스원격 데스크톱 세션 호스트보안NLA를 사용하여 원격 연결에 사용자 인증 필요
클라이언트 연결 만들기
Windows 클라이언트와 Windows 서버에는 모두 원격 데스크톱 연결이라는 Microsoft RDP 클라이언트가 포함되어 있습니다. 이 도구를 호출하는 가장 좋아하는 방법은 다음과 같습니다.
Windows 키 + R을 누릅니다.
mstsc(“Microsoft 터미널 서비스 클라이언트”의 약자)를 입력합니다.
엔터 키를 치시오
그림 5에 원격 데스크톱 연결 사용자 인터페이스가 나와 있습니다.
RDP 클라이언트의 장점은 거의 모든 데스크톱 또는 모바일 운영 체제에서 사용할 수 있다는 것입니다. 다음은 대표적인 목록입니다.
안드로이드: 마이크로소프트 원격 데스크톱
iOS: 마이크로소프트 원격 데스크톱
리눅스: rdesktop
macOS: 마이크로소프트 원격 데스크톱
윈도우 폰: 마이크로소프트 원격 데스크톱
Windows Server는 한 번에 두 개의 동시 RDP 세션만 지원합니다. 그 이상이 필요한 경우 RDS(원격 데스크톱 서비스) 세션 호스트 서버 역할을 설치하고 Microsoft에서 추가 RDS 연결 라이선스를 구입해야 합니다.
마지막 생각들
이전 Windows Server 버전에서 RDP를 구성한 경우 Windows Server 2016이 정확히 동일한 방식으로 작동함을 알 수 있습니다. 그러나 Microsoft가 “침해 가정” 보안 태세와 하이브리드 클라우드 시나리오에 대한 점점 더 확대되고 있는 수용과 그에 수반되는 “애완동물이 아닌 무리 관리” 철학은 온-오프 RDP가 아닌 명령줄 자동화에 중점을 둔다는 것을 의미합니다. GUI 세션.
Windows Server 2016의 10가지 최고의 새로운 기능
IT 전문가를 위한 Windows 10: 자습서, 팁 및 요령
IT 전문가를 위한 상위 6개의 Windows 10 앱