Giao thức Máy tính Từ xa (RDP) là một giao thức truy cập từ xa độc quyền của Microsoft được quản trị viên hệ thống Windows sử dụng để quản lý hệ thống Windows Server từ xa. Điều làm cho RDP khác biệt với Windows PowerShell hoặc Secure Shell (SSH) là sự hiện diện của màn hình đồ họa đầy đủ, như thể hiện trong Hình 1.
Theo mặc định, thành phần máy chủ RDP lắng nghe các kết nối đến trên cổng TCP 3389 theo mặc định, mặc dù điều này có thể được quản trị viên thay đổi vì lý do bảo mật.
Để chắc chắn, nỗ lực hiện tại của Microsoft là để quản trị viên giảm bớt sự phụ thuộc của họ vào RDP và thay vào đó (a) triển khai Máy chủ Windows ở chế độ Server Core hoặc Nano; và (b) sử dụng quản trị từ xa dòng lệnh Windows PowerShell thay vì RDP.
Lời biện minh của Microsoft cho lời khuyên này có hai phần:
Lớp GUI sử dụng tài nguyên hệ thống không cần thiết
Lớp GUI mở rộng bề mặt tấn công của các máy chủ của bạn
Bất chấp điều đó, nhiều quản trị viên đã quen với việc quản trị từ xa dựa trên RDP và tìm cách làm như vậy ngay cả trong hệ điều hành Windows Server 2016 mới được phát hành. Hãy tìm hiểu cách bật RDP trong Server 2016 (tl; dr: quá trình này giống với Windows Server 2012 R2).
Quản lý máy chủ
Mở bảng điều khiển Trình quản lý máy chủ, điều hướng đến nút Máy chủ cục bộ và nhấp vào siêu liên kết Máy tính từ xa như thể hiện trong Hình 2.
Siêu liên kết Máy tính Từ xa chỉ đơn giản là một lối tắt đến trang Thuộc tính Hệ thống từ mục Bảng Điều khiển Hệ thống. Chọn Cho phép kết nối từ xa với máy tính này, và tùy chọn bật Chỉ cho phép kết nối từ các máy tính chạy Remote Destkop với Xác thực cấp độ mạng (được khuyến nghị).
Xác thực mức mạng (NLA) bảo vệ Windows Server chống lại các cuộc tấn công từ chối dịch vụ (DoS) bằng cách yêu cầu xác thực diễn ra trước khi bất kỳ phiên đồ họa nào được máy chủ thiết lập. NLA cũng bảo tồn tài nguyên hệ thống máy chủ.
Windows PowerShell
Từ góc độ cấp thấp hơn, các kết nối RDP đến được kích hoạt trên máy chủ thông qua hai giá trị Sổ đăng ký và quy tắc Tường lửa của Windows.
Mở phiên Windows PowerShell nâng cao và chạy các lệnh sau. Cái đầu tiên này tạo giá trị fDenyTSConnections và đặt nó thành 0 (tắt). Điều này có ý nghĩa, bởi vì chúng tôi không muốn từ chối các kết nối Dịch vụ đầu cuối (TS).
New-ItemProperty -Path ‘HKLM: SystemCurrentControlSetControlTerminal Server’ -Tên ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
Lệnh tiếp theo tạo và bật giá trị UserAuthentication (Network Layer Authentication); NLA là một ý tưởng hay và bạn nên cân nhắc việc bật nó theo mặc định trên máy chủ của mình.
New-ItemProperty -Path ‘HKLM: SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Tên ‘UserAuthentication’ -Value 1 -PropertyType dword -Force
Lệnh tiếp theo bật quy tắc Tường lửa Windows “Máy tính từ xa” được xác định trước. Sau đó, chúng ta có thể gọi lệnh ghép ngắn Get-NetFirewallRule PowerShell để xác minh như trong Hình 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Chính sách Nhóm
Rất có thể bạn muốn chuẩn hóa hành vi RDP trên tất cả các máy chủ cơ sở hạ tầng của mình. Do đó, chúng tôi chuyển sang Chính sách Nhóm để thực hiện mục tiêu này.
Bắt đầu bằng cách tạo, liên kết và xác định phạm vi Đối tượng chính sách nhóm (GPO) mới nhắm mục tiêu các máy chủ sẽ chia sẻ cài đặt máy chủ RDP.
Tiếp theo, điều hướng đến đường dẫn Chính sách Nhóm sau và thêm một mục nhập Nhóm bị hạn chế mới (hiển thị trong Hình 4):
Cấu hình máy tính
Bạn có thể tùy chỉnh tư cách thành viên trong nhóm Người dùng Máy tính Từ xa cài sẵn của máy chủ; các thành viên của nhóm này có thể thiết lập các phiên RDP tới máy chủ. Lưu ý rằng nhóm quản trị viên cục bộ (và theo phần mở rộng, nhóm quản trị viên miền toàn cầu) được tự động cấp đặc quyền này trong Active Directory.
Ba cài đặt Chính sách Nhóm sau đây chi phối:
Các ngoại lệ RDP đến của Tường lửa Windows
Quyền của người dùng để thiết lập phiên RDP
Yêu cầu NLA
Cấu hình máy tínhMẫu quản trị Mạng lưới Kết nối mạng Tường lửa Windows Cấu hình chínhWindows Firewall: Cho phép các trường hợp ngoại lệ Inbound Remote Desktop
Cấu hình máy tínhMẫu quản trịCác thành phần của WindowsDịch vụ máy tính để bànRemote Máy chủ phiên máy tính để bànConnectionsCho phép người dùng kết nối từ xa bằng cách sử dụng Dịch vụ máy tính từ xa
Cấu hình máy tínhMẫu quản trịCác thành phần của WindowsDịch vụ máy tính để bànRemote Máy chủ phiên máy tính để bàn Bảo mậtĐòi hỏi xác thực người dùng cho các kết nối từ xa bằng cách sử dụng NLA
Tạo kết nối máy khách
Máy khách Windows và Máy chủ Windows đều bao gồm máy khách Microsoft RDP, được gọi là Kết nối Máy tính Từ xa. Cách yêu thích của tôi để gọi công cụ này là:
Nhấn phím WINDOWS + R
Nhập mstsc (viết tắt của “Microsoft Terminal Services Client”)
Nhấn nút Enter
Tôi chỉ cho bạn giao diện người dùng Kết nối Máy tính Từ xa trong Hình 5.
Điều thú vị về máy khách RDP là chúng có sẵn cho mọi hệ điều hành máy tính để bàn hoặc di động. Đây là danh sách đại diện:
Android: Microsoft Remote Desktop
iOS: Microsoft Remote Desktop
Linux: rdesktop
macOS: Microsoft Remote Desktop
Windows Phone: Microsoft Remote Desktop
Lưu ý rằng Windows Server chỉ hỗ trợ hai phiên RDP đồng thời cùng một lúc. Nếu bạn cần nhiều hơn thế, thì bạn sẽ phải cài đặt vai trò máy chủ Máy chủ phiên của Dịch vụ Máy tính Từ xa (RDS) và mua giấy phép kết nối RDS bổ sung từ Microsoft.
Lời kết
Nếu bạn đã định cấu hình RDP trên các phiên bản Windows Server trước, thì bạn sẽ thấy rằng Windows Server 2016 hoạt động theo cùng một cách. Tuy nhiên, hãy nhớ rằng ngày càng rộng rãi của Microsoft về tư thế bảo mật “giả định vi phạm” và kịch bản đám mây lai và triết lý “quản lý bầy đàn, không phải vật nuôi” đi kèm có nghĩa là sự nhấn mạnh vào tự động hóa dòng lệnh thay vì bật tắt RDP Phiên GUI.
10 tính năng mới tốt nhất trong Windows Server 2016
Windows 10 dành cho Chuyên gia CNTT: Hướng dẫn, Mẹo và Thủ thuật
6 ứng dụng Windows 10 hàng đầu dành cho chuyên gia CNTT