Skip to content

如何在 Windows Server 2016 中启用远程桌面

    1652051805

    远程桌面协议 (RDP) 是 Microsoft 专有的远程访问协议,Windows 系统管理员使用它来远程管理 Windows Server 系统。RDP 与 Windows PowerShell 或 Secure Shell (SSH) 远程处理的不同之处在于它具有完整的图形桌面,如图 1 所示。

    默认情况下,RDP 服务器组件默认侦听 TCP 端口 3389 上的传入连接,尽管出于安全原因管理员可以更改此设置。

    可以肯定的是,微软目前的推动是让管理员减少对 RDP 的依赖,转而 (a) 在 Server Core 或 Nano 模式下部署 Windows Server;(b) 使用 Windows PowerShell 命令行远程管理而不是 RDP。

    微软对此建议的理由有两个:

    GUI 层会消耗不必要的系统资源
    GUI 层扩大了服务器的攻击面

    无论如何,许多管理员已经习惯了基于 RDP 的远程管理,甚至在新发布的 Windows Server 2016 操作系统中也寻求这样做。让我们了解如何在 Server 2016 中启用 RDP(tl;dr:该过程与 Windows Server 2012 R2 相同)。

    服务器管理器

    打开 Server Manager 控制台,导航到 Local Server 节点,然后单击 Remote Desktop 超链接,如图 2 所示。

    远程桌面超链接只是系统控制面板项中系统属性表的快捷方式。选择允许远程连接到这台计算机,并可选择启用仅允许来自运行具有网络级别身份验证的远程 Destkop 的计算机的连接(推荐)。

    网络级身份验证 (NLA) 要求在服务器建立任何图形会话之前进行身份验证,从而保护 Windows Server 免受拒绝服务 (DoS) 攻击。NLA 还可以节省服务器系统资源。

    Windows PowerShell

    从较低级别的角度来看,传入 RDP 连接通过两个注册表值和一个 Windows 防火墙规则在服务器上启用。
    打开提升的 Windows PowerShell 会话并运行以下命令。第一个创建 fDenyTSConnections 值并将其设置为 0(关闭)。这是有道理的,因为我们不想拒绝终端服务 (TS) 连接。

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force

    下一个命令创建并启用 UserAuthentication(网络层身份验证)值;NLA 是一个好主意,您应该考虑在您的服务器上默认启用它。

    New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force

    下一个命令启用预定义的“远程桌面”Windows 防火墙规则。然后我们可以调用 Get-NetFirewallRule PowerShell cmdlet 进行验证,如图 3 所示。
    Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’

    组策略

    您希望跨所有基础架构服务器标准化 RDP 行为的可能性很大。因此,我们求助于组策略来实现这一目标。

    首先创建、链接和限定一个新的组策略对象 (GPO),该对象以应该共享 RDP 服务器设置的服务器为目标。

    接下来,导航到以下组策略路径并添加一个新的 Restricted Groups 条目(如图 4 所示):
    Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups

    您可以自定义服务器内置远程桌面用户组中的成员资格;该组的成员可以与服务器建立 RDP 会话。请注意,本地管理员组(以及扩展的域管理员全局组)在 Active Directory 中自动授予此权限。

    以下三个组策略设置管理:

    Windows 防火墙传入 RDP 异常
    建立 RDP 会话的用户权限
    需要 NLA

    计算机配置管理模板网络网络连接Windows 防火墙域配置文件Windows 防火墙:允许入站远程桌面例外

    计算机配置管理模板Windows 组件远程桌面服务远程桌面会话主机连接允许用户使用远程桌面服务进行远程连接

    计算机配置管理模板Windows 组件远程桌面服务远程桌面会话主机安全要求使用 NLA 进行远程连接的用户身份验证

    创建客户端连接

    Windows 客户端和 Windows Server 都包含 Microsoft RDP 客户端,称为远程桌面连接。我最喜欢调用这个工具的方法是:

    按 WINDOWS 键+R

    键入 mstsc(代表“Microsoft 终端服务客户端”)

    按 ENTER

    我在图 5 中向您展示了远程桌面连接用户界面。

    RDP 客户端最酷的地方在于它们几乎可用于所有桌面或移动操作系统。以下是代表名单:

    Android:微软远程桌面
    iOS:微软远程桌面
    Linux:桌面
    macOS:微软远程桌面
    Windows Phone:微软远程桌面

    请注意,Windows Server 一次仅支持两个同时的 RDP 会话。如果您需要更多,则必须安装远程桌面服务 (RDS) 会话主机服务器角色并从 Microsoft 购买额外的 RDS 连接许可证。

    最后的想法

    如果您在以前的 Windows Server 版本上配置了 RDP,那么您会发现 Windows Server 2016 的行为方式完全相同。但是请记住,Microsoft 越来越广泛地接受“假设违规”安全态势和混合云场景及其伴随的“管理牛群,而不是宠物”理念,这意味着重点是命令行自动化而不是开关 RDP GUI 会话。

    Windows Server 2016 中的 10 个最佳新功能
    适用于 IT 专业人员的 Windows 10:教程、提示和技巧
    面向 IT 专业人员的 6 大 Windows 10 应用

    0 0 votes
    Rating post
    Subscribe
    Notify of
    guest
    0 comments
    Inline Feedbacks
    View all comments
    0
    Would love your thoughts, please comment.x
    ()
    x