Skip to content

วิธีเปิดใช้งานเดสก์ท็อประยะไกลใน Windows Server 2016

    1652051805

    Remote Desktop Protocol (RDP) เป็นโปรโตคอลการเข้าถึงระยะไกลที่เป็นกรรมสิทธิ์ของ Microsoft ซึ่งผู้ดูแลระบบ Windows ใช้ในการจัดการระบบ Windows Server จากระยะไกล สิ่งที่ทำให้ RDP แตกต่างจากรีโมต Windows PowerShell หรือ Secure Shell (SSH) คือการมีอยู่ของเดสก์ท็อปกราฟิกแบบเต็ม ดังแสดงในรูปที่ 1

    ตามค่าเริ่มต้น คอมโพเนนต์ของเซิร์ฟเวอร์ RDP จะรับฟังการเชื่อมต่อขาเข้าบนพอร์ต TCP 3389 โดยค่าเริ่มต้น แม้ว่าผู้ดูแลระบบสามารถเปลี่ยนแปลงสิ่งนี้ได้ด้วยเหตุผลด้านความปลอดภัย

    เพื่อให้แน่ใจว่า การพุชปัจจุบันของ Microsoft มีไว้เพื่อให้ผู้ดูแลระบบลดการพึ่งพา RDP และ (a) ปรับใช้ Windows Servers ในโหมด Server Core หรือ Nano แทน; และ (b) ใช้การดูแลระบบระยะไกลบรรทัดคำสั่ง Windows PowerShell แทน RDP

    เหตุผลของ Microsoft สำหรับคำแนะนำนี้คือสองเท่า:

    เลเยอร์ GUI ใช้ทรัพยากรระบบที่ไม่จำเป็น
    เลเยอร์ GUI ขยายพื้นผิวการโจมตีของเซิร์ฟเวอร์ของคุณ

    ไม่ว่าผู้ดูแลระบบจำนวนมากจะคุ้นเคยกับการดูแลระบบระยะไกลบน RDP และพยายามทำเช่นนั้นแม้ในระบบปฏิบัติการ Windows Server 2016 ที่ออกใหม่ มาเรียนรู้วิธีเปิดใช้งาน RDP ใน Server 2016 (tl; dr: กระบวนการนี้เหมือนกับ Windows Server 2012 R2)

    ตัวจัดการเซิร์ฟเวอร์

    เปิดคอนโซลตัวจัดการเซิร์ฟเวอร์ ไปที่โหนด Local Server แล้วคลิกไฮเปอร์ลิงก์เดสก์ท็อประยะไกลดังแสดงในรูปที่ 2

    ไฮเปอร์ลิงก์เดสก์ท็อประยะไกลเป็นเพียงทางลัดไปยังแผ่นคุณสมบัติของระบบจากรายการแผงควบคุมระบบ เลือก อนุญาตการเชื่อมต่อระยะไกลไปยังคอมพิวเตอร์เครื่องนี้ และเลือกเปิดใช้งาน อนุญาตการเชื่อมต่อเฉพาะจากคอมพิวเตอร์ที่ใช้ Remote Destkop พร้อมการรับรองความถูกต้องระดับเครือข่าย (แนะนำ)

    Network Level Authentication (NLA) ปกป้อง Windows Server จากการโจมตีแบบปฏิเสธการให้บริการ (DoS) โดยกำหนดให้มีการตรวจสอบสิทธิ์ก่อนที่จะสร้างเซสชันกราฟิกโดยเซิร์ฟเวอร์ NLA ยังอนุรักษ์ทรัพยากรระบบเซิร์ฟเวอร์

    Windows PowerShell

    จากมุมมองระดับล่าง การเชื่อมต่อ RDP ขาเข้าจะเปิดใช้งานบนเซิร์ฟเวอร์ผ่านค่ารีจิสทรีสองค่าและกฎไฟร์วอลล์ Windows
    เปิดเซสชัน Windows PowerShell ที่ยกระดับและเรียกใช้คำสั่งต่อไปนี้ อันแรกนี้สร้างค่า fDenyTSConnections และตั้งค่าเป็น 0 (ปิด) สิ่งนี้สมเหตุสมผลเพราะเราไม่ต้องการปฏิเสธการเชื่อมต่อ Terminal Services (TS)

    New-ItemProperty -Path ‘HKLM: SystemCurrentControlSetControlTerminal Server’ -ชื่อ ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force

    คำสั่งถัดไปจะสร้างและเปิดใช้งานค่า UserAuthentication (Network Layer Authentication) NLA เป็นความคิดที่ดี และคุณควรพิจารณาเปิดใช้งานโดยค่าเริ่มต้นบนเซิร์ฟเวอร์ของคุณ

    New-ItemProperty -Path ‘HKLM: SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ – ชื่อ ‘UserAuthentication’ – ค่า 1 -PropertyType dword -Force

    คำสั่งถัดไปเปิดใช้งานกฎไฟร์วอลล์ Windows “เดสก์ท็อประยะไกล” ที่กำหนดไว้ล่วงหน้า จากนั้นเราสามารถเรียกใช้ Get-NetFirewallRule PowerShell cmdlet เพื่อตรวจสอบดังแสดงในรูปที่ 3
    Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’

    นโยบายกลุ่ม

    มีโอกาสดีที่คุณต้องการสร้างมาตรฐานพฤติกรรม RDP ในเซิร์ฟเวอร์โครงสร้างพื้นฐานทั้งหมดของคุณ ดังนั้นเราจึงหันไปใช้นโยบายกลุ่มเพื่อบรรลุเป้าหมายนี้

    เริ่มต้นด้วยการสร้าง เชื่อมโยง และกำหนดขอบเขต Group Policy Object (GPO) ใหม่ที่กำหนดเป้าหมายเซิร์ฟเวอร์ที่ควรแชร์การตั้งค่าเซิร์ฟเวอร์ RDP

    ถัดไป ไปที่เส้นทางนโยบายกลุ่มต่อไปนี้ และเพิ่มรายการกลุ่มที่จำกัดใหม่ (แสดงในรูปที่ 4):
    Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups

    คุณสามารถปรับแต่งการเป็นสมาชิกในกลุ่มผู้ใช้เดสก์ท็อประยะไกลในตัวของเซิร์ฟเวอร์ได้ สมาชิกของกลุ่มนี้สามารถสร้างเซสชัน RDP ไปยังเซิร์ฟเวอร์ได้ โปรดทราบว่ากลุ่มผู้ดูแลระบบภายใน (และตามส่วนขยาย กลุ่มส่วนกลางของ Domain Admins) จะได้รับสิทธิ์นี้โดยอัตโนมัติใน Active Directory

    การตั้งค่านโยบายกลุ่มสามรายการต่อไปนี้ควบคุม:

    Windows Firewall ข้อยกเว้น RDP ขาเข้า
    สิทธิ์ผู้ใช้ในการสร้างเซสชัน RDP
    ต้องการ สนช

    การกำหนดค่าคอมพิวเตอร์เทมเพลตการดูแลระบบเครือข่ายการเชื่อมต่อเครือข่ายไฟร์วอลล์ Windows โปรไฟล์โดเมนไฟร์วอลล์ Windows: อนุญาตข้อยกเว้นเดสก์ท็อประยะไกลขาเข้า

    การกำหนดค่าคอมพิวเตอร์เทมเพลตการดูแลระบบคอมโพเนนต์ของ Windowsบริการเดสก์ท็อประยะไกลRemote Desktop Session HostConnectionsอนุญาตให้ผู้ใช้เชื่อมต่อจากระยะไกลโดยใช้บริการเดสก์ท็อประยะไกล

    การกำหนดค่าคอมพิวเตอร์เทมเพลตการดูแลระบบคอมโพเนนต์ของ Windowsบริการเดสก์ท็อประยะไกลโฮสต์เซสชันเดสก์ท็อประยะไกลโฮสต์ความปลอดภัยต้องการการรับรองความถูกต้องผู้ใช้สำหรับการเชื่อมต่อระยะไกลโดยใช้ NLA

    การสร้างการเชื่อมต่อไคลเอ็นต์

    ไคลเอนต์ Windows และ Windows Server รวมไคลเอนต์ Microsoft RDP ที่เรียกว่าการเชื่อมต่อเดสก์ท็อประยะไกล วิธีที่ฉันชอบในการเรียกใช้เครื่องมือนี้คือ:

    กด WINDOWS KEY+R

    พิมพ์ mstsc (ซึ่งย่อมาจาก “Microsoft Terminal Services Client”)

    กดปุ่มตกลง

    ฉันแสดงอินเทอร์เฟซผู้ใช้การเชื่อมต่อเดสก์ท็อประยะไกลให้คุณดูในรูปที่ 5

    สิ่งที่ยอดเยี่ยมเกี่ยวกับไคลเอ็นต์ RDP ก็คือมีให้ใช้งานได้เกือบทุกระบบปฏิบัติการบนเดสก์ท็อปหรือมือถือ นี่คือรายชื่อตัวแทน:

    Android: Microsoft Remote Desktop
    iOS: Microsoft Remote Desktop
    Linux: rdesktop
    macOS: Microsoft Remote Desktop
    Windows Phone: Microsoft Remote Desktop

    โปรดทราบว่า Windows Server รองรับเพียงสองเซสชัน RDP พร้อมกันในคราวเดียว หากคุณต้องการมากกว่านั้น คุณจะต้องติดตั้งบทบาทเซิร์ฟเวอร์โฮสต์ของเซสชันบริการเดสก์ท็อประยะไกล (RDS) และซื้อสิทธิ์การใช้งานการเชื่อมต่อ RDS เพิ่มเติมจาก Microsoft

    ความคิดสุดท้าย

    หากคุณได้กำหนดค่า RDP ใน Windows Server เวอร์ชันก่อนหน้า คุณจะพบว่า Windows Server 2016 ทำงานในลักษณะเดียวกัน อย่างไรก็ตาม พึงระลึกไว้เสมอว่าการใช้มาตรการรักษาความปลอดภัย “สันนิษฐานว่าเป็นการละเมิด” ที่เพิ่มมากขึ้นของ Microsoft และสถานการณ์ไฮบริดคลาวด์และปรัชญา “จัดการฝูงสัตว์ ไม่ใช่สัตว์เลี้ยง” ที่ประกอบกันเข้ามานั้นหมายถึงการเน้นที่ระบบอัตโนมัติของบรรทัดคำสั่งมากกว่าการเปิด-ปิด RDP เซสชัน GUI

    10 คุณสมบัติใหม่ที่ดีที่สุดใน Windows Server 2016
    Windows 10 สำหรับผู้เชี่ยวชาญด้าน IT: บทช่วยสอน เคล็ดลับและคำแนะนำ
    แอพ 6 อันดับแรกของ Windows 10 สำหรับผู้เชี่ยวชาญด้านไอที

    0 0 votes
    Rating post
    Subscribe
    Notify of
    guest
    0 comments
    Inline Feedbacks
    View all comments
    0
    Would love your thoughts, please comment.x
    ()
    x