Remote Desktop Protocol (RDP) ialah protokol capaian jauh milik Microsoft yang digunakan oleh pentadbir sistem Windows untuk mengurus sistem Windows Server dari jauh. Apa yang membezakan RDP daripada, katakan, pemadaman Windows PowerShell atau Secure Shell (SSH) ialah kehadiran desktop grafik penuh, seperti yang ditunjukkan dalam Rajah 1.
Secara lalai, komponen pelayan RDP mendengar sambungan masuk pada port TCP 3389 secara lalai, walaupun ini boleh ditukar oleh pentadbir atas sebab keselamatan.
Yang pasti, dorongan semasa Microsoft adalah untuk pentadbir mengurangkan pergantungan mereka pada RDP dan sebaliknya (a) menggunakan Pelayan Windows dalam mod Teras Pelayan atau Nano; dan (b) menggunakan pentadbiran jauh baris arahan Windows PowerShell dan bukannya RDP.
Justifikasi Microsoft untuk nasihat ini adalah dua kali ganda:
Lapisan GUI menggunakan sumber sistem yang tidak diperlukan
Lapisan GUI meluaskan permukaan serangan pelayan anda
Walau apa pun, ramai pentadbir sudah terbiasa dengan pentadbiran jauh berasaskan RDP, dan berusaha untuk melakukannya walaupun dalam sistem pengendalian Windows Server 2016 yang baru dikeluarkan. Mari belajar cara mendayakan RDP dalam Server 2016 (tl;dr: prosesnya sama dengan Windows Server 2012 R2).
Pengurus Pelayan
Buka konsol Pengurus Pelayan, navigasi ke nod Pelayan Tempatan, dan klik hiperpautan Desktop Jauh seperti yang ditunjukkan dalam Rajah 2.
Hiperpautan Desktop Jauh hanyalah pintasan ke helaian Sifat Sistem daripada item Panel Kawalan Sistem. Pilih Benarkan sambungan jauh ke komputer ini dan secara pilihan dayakan Benarkan sambungan hanya daripada komputer yang menjalankan Remote Destkop dengan Pengesahan Tahap Rangkaian (disyorkan).
Pengesahan Tahap Rangkaian (NLA) melindungi Pelayan Windows daripada serangan denial-of-service (DoS) dengan memerlukan pengesahan berlaku sebelum sebarang sesi grafik ditubuhkan oleh pelayan. NLA juga menjimatkan sumber sistem pelayan.
Windows PowerShell
Dari perspektif peringkat rendah, sambungan RDP masuk didayakan pada pelayan melalui dua nilai Registry dan peraturan Windows Firewall.
Buka sesi Windows PowerShell yang ditinggikan dan jalankan arahan berikut. Yang pertama ini mencipta nilai fDenyTSConnections dan menetapkannya kepada 0 (mati). Ini masuk akal, kerana kami tidak mahu menafikan sambungan Perkhidmatan Terminal (TS).
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Nama ‘fDenyTSConnections’ -Nilai 0 -PropertyType dword -Force
Arahan seterusnya mencipta dan mendayakan nilai UserAuthentication (Network Layer Authentication); NLA ialah idea yang baik dan anda harus mempertimbangkan untuk mendayakannya secara lalai pada pelayan anda.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Nama ‘UserAuthentication’ -Nilai 1 -PropertyType dword -Force
Perintah seterusnya membolehkan peraturan Windows Firewall “Remote Desktop” yang dipratakrifkan. Kami kemudiannya boleh menggunakan cmdlet PowerShell Get-NetFirewallRule untuk mengesahkan seperti yang ditunjukkan dalam Rajah 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Dasar Kumpulan
Kemungkinan besar anda ingin menyeragamkan tingkah laku RDP merentas semua pelayan infrastruktur anda. Oleh itu, kami beralih kepada Dasar Kumpulan untuk mencapai matlamat ini.
Mulakan dengan mencipta, memaut dan merangkum Objek Dasar Kumpulan (GPO) baharu yang menyasarkan pelayan yang sepatutnya berkongsi tetapan pelayan RDP.
Seterusnya, navigasi ke laluan Dasar Kumpulan berikut dan tambahkan entri Kumpulan Terhad baharu (ditunjukkan dalam Rajah 4): Polisi
Konfigurasi KomputerTetapan WindowsSecurity SettingsRestricted Groups
Anda boleh menyesuaikan keahlian dalam kumpulan Pengguna Desktop Jauh terbina dalam pelayan; ahli kumpulan ini boleh menubuhkan sesi RDP ke pelayan. Ambil perhatian bahawa kumpulan Pentadbir tempatan (dan, dengan lanjutan, kumpulan global Pentadbir Domain) secara automatik diberikan keistimewaan ini dalam Active Directory.
Tiga tetapan Dasar Kumpulan berikut mengawal:
Pengecualian RDP masuk Windows Firewall
Hak pengguna untuk menubuhkan sesi RDP
Memerlukan NLA
Konfigurasi KomputerTemplat PentadbiranRangkaianSambungan RangkaianWindows FirewallDomain ProfileWindows Firewall: Benarkan Pengecualian Desktop Jauh Masuk
Konfigurasi KomputerTemplat PentadbiranKomponen WindowsPerkhidmatan Desktop Jauh Hos Sesi Desktop JauhSambunganBenarkan pengguna menyambung dari jauh dengan menggunakan Perkhidmatan Desktop Jauh
Konfigurasi KomputerTemplat PentadbiranKomponen WindowsPerkhidmatan Desktop Jauh Host Sesi Desktop JauhSecurityMemerlukan pengesahan pengguna untuk sambungan jauh dengan menggunakan NLA
Mencipta Sambungan Pelanggan
Windows Client dan Windows Server kedua-duanya termasuk klien Microsoft RDP, yang dipanggil Remote Desktop Connection. Cara kegemaran saya untuk menggunakan alat ini ialah:
Tekan WINDOWS KEY+R
Taip mstsc (yang bermaksud “Microsoft Terminal Services Client”)
Tekan enter
Saya menunjukkan kepada anda antara muka pengguna Sambungan Desktop Jauh dalam Rajah 5.
Apa yang menarik tentang pelanggan RDP ialah ia tersedia untuk hampir setiap sistem pengendalian desktop atau mudah alih. Berikut adalah senarai wakil:
Android: Desktop Jauh Microsoft
iOS: Desktop Jauh Microsoft
Linux: rdesktop
macOS: Desktop Jauh Microsoft
Telefon Windows: Desktop Jauh Microsoft
Ambil perhatian bahawa Windows Server hanya menyokong dua sesi RDP serentak sekaligus. Jika anda memerlukan lebih daripada itu, maka anda perlu memasang peranan pelayan Hos Sesi Perkhidmatan Desktop Jauh (RDS) dan membeli lesen sambungan RDS tambahan daripada Microsoft.
Fikiran Akhir
Jika anda telah mengkonfigurasi RDP pada versi Windows Server sebelumnya, maka anda akan mendapati bahawa Windows Server 2016 berkelakuan dengan cara yang sama. Walau bagaimanapun, perlu diingat bahawa pelukan Microsoft yang semakin meluas tentang postur keselamatan “anggap pelanggaran” dan senario awan hibrid serta falsafah “urus ternakan, bukan haiwan peliharaan” yang disertakan bermakna penekanan adalah pada automasi baris arahan dan bukannya RDP aktif. sesi GUI.
10 Ciri Baharu Terbaik dalam Windows Server 2016
Windows 10 untuk Kebaikan IT: Tutorial, Petua dan Trik
6 Apl Windows 10 Terbaik untuk Kebaikan IT
