RDP-клиенты для Windows: установка и настройка. Настройка доступа к удаленному рабочему столу
Как считается статистика по RDP?
Если вы работаете с RDP, то статистика по RDP по умолчанию считается по каждой программе, запущенной удаленно. При этом возможно слияние статистики Remote Desktop с локальным RDP клиентом. Для того, чтобы это изменить зайдите в меню редактирования программы и выберите “Тип программы” -> “Удаленный вход” В таком случае статистика c локального RDP не будет учитываться, пока есть активность с Remote Desktop.
Поддерживает ли система работу с терминальным сервером?
Система имеет поддержку терминального сервера. Для того, чтобы начать сбор статистики с сервера терминалов, необходимо установить на него агент. После установки агента статистика начнет собираться с каждого пользователя, который будет подключен к терминальному серверу. Если запустить диспетчер задач на сервере терминалов, то можно увидеть несколько процессов session_inspector. Количество этих процессов равно количеству пользователей, подключенных к серверу терминалов.
Добрый день уважаемые читатели и гости блога, сегодня у нас с вами вот такая задача: изменить входящий порт службы RDP (терминального сервера) со стандартного 3389 на какой-то другой. Напоминаю, что RDP служба это функционал операционных систем Windows, благодаря которому вы можете по сети открыть сессию на нужный вам компьютер или сервер по протоколу RDP, и иметь возможность за ним работать, так как будто вы сидите за ним локально.
Что такое RDP протокол
Прежде чем, что то изменять, хорошо бы понимать, что это и как это работает, я вам об этом не перестаю повторять. RDP или Remote Desktop Protocol это протокол удалённого рабочего стола в операционных системах Microsoft Windows, хотя его происхождение идет от компании PictureTel (Polycom). Microsoft просто его купила. Используется для удаленной работы сотрудника или пользователя с удаленным сервером. Чаще всего такие сервера несут роль сервер терминалов , на котором выделены специальные лицензии, либо на пользователе, либо на устройства, CAL. Тут задумка была такой, есть очень мощный сервер, то почему бы не использовать его ресурсы совместно, например под приложение 1С. Особенно это становится актуальным с появлением тонких клиентов.
Сам сервер терминалов мир увидел, аж в 1998 году в операционной системе Windows NT 4.0 Terminal Server, я если честно тогда и не знал, что такое есть, да и в России мы в то время все играли в денди или сегу. Клиенты RDP соединения, на текущий момент есть во всех версиях Windows, Linux, MacOS, Android. Самая современная версия RDP протокола на текущий момент 8.1.
Порт rdp по умолчанию
Сразу напишу порт rdp по умолчанию 3389, я думаю все системные администраторы его знают.
Принцип работы протокола rdp
И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:
- Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
- Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы.
Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 - 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7 . Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования .
RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.
Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал
- Передать на сервер свой принтер или COM порт
- Перенаправить на сервер свои локальные диски
- Буфер обмена
- Аудио и видео
Этапы RDP соединения
- Установка соединения
- Согласование параметров шифрования
- Аутентификация серверов
- Согласование параметров RDP сессии
- Аутентификация клиента
- Данные RDP сессии
- Разрыв RDP сессии
Безопасность в RDP протоколе
Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.
Standard RDP Security
RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:
- Когда ваша операционная система запускается, то идет генерация пары RSA ключиков
- Идет создание сертификата открытого ключа Proprietary Certificate
- После чего Proprietary Certificate подписывается RSA ключом созданным ранее
- Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate
- Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования.
Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.
Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5
Enhanced RDP Security
RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:
- CredSSP
- TLS 1.0
TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.
Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы
разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.
Изменить порт rdp
Для того, чтобы изменить порт rdp, вам потребуется:
- Открываем редактор реестра (Пуск -> Выполнить -> regedit.exe)
- Переходим к следующему разделу:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Находим ключ PortNumber и меняем его значение на номер порта, который Вам нужен.
Выберите обязательно десятичное значение, я для примера поставлю порт 12345.
Как только вы это сделали, то перезапустите службу удаленных рабочих столов, через командную строку, вот такими командами:
И создаем новое входящее правило для нового rdp порта. Напоминаю, что порт rdp по умолчанию 3389.
Выбираем, что правило будет для порта
Протокол оставляем TCP и указываем новый номер RDP порта.
Правило у нас будет разрешающее RDP соединение по не стандартному порту
При необходимости задаем нужные сетевые профили.
Ну и назовем правило, понятным для себя языком.
Для подключения с клиентских компьютеров Windows адрес пишите с указанием порта. Например, если порт Вы изменили на 12345, а адрес сервера (или просто компьютера, к которому подключаетесь): myserver, то подключение по MSTSC будет выглядеть так:
mstsc -v:myserver:12345
Все достаточно просто. Открываем Панель управления -> Система и безопасность -> Система. Далее в левой колонке открываем ссылку «Настройка удаленного доступа»:
В разделе «Удаленный рабочий стол» необходимо выбрать тип подключения:
- Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее). Этот вариант подходит для подключения устаревших клиентов (версия протокола удаленного рабочего стола ниже 7.0), а также при подключении через Эксплорер (remote desktop web connection).
- Разрешать подключаться только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Этот вариант подходит для подключения клиентов с версией 7.0 протокола удаленного рабочего стола.
С помощью кнопки «Выбрать пользователей» можно указать учетные записи пользователей, которым разрешено подключаться к удаленному рабочему столу. Тот же самый эффект будет, если в ручную добавить учетные записи в группу «Пользователи удаленного рабочего стола». Обратите внимание, что пользователи входящие в группу администраторов уже имеют доступ к удаленному рабочему столу.
Также имейте в виду, что по умолчанию политика безопасности не разрешает вход в систему через сеть для учетных записей с пустым паролем. Поэтому учетная запись должна быть защищена паролем (в том числе и входящая в группу Администраторы), иначе подключиться не получится.
Следующий шаг — настройка брандмауэра. Необходимо открыть порт TCP 3389 для входящих подключений. Если на компьютере используется только брандмауэр Windows, то он будет настроен автоматически, никаких дополнительных действий предпринимать не надо. При подключении к Интернет через маршрутизатор, не забываем пробросить порт 3389, чтобы иметь возможность доступа за пределами локальной сети. .
Подключение к удаленному рабочему столу с помощью стандартного клиента
Для начала определяемся какая версия протокола поддерживается нашим клиентом. Для этого запускаем клиент (обычно он находится в меню Пуск -> Программы -> Стандартные -> Подключение к удаленному рабочему столу). Далее кликаем по пиктограмме в левом верхнем углу окна и в меню выбираем пункт «О программе»:
Внизу окна будет указана версия протокола.
Если версия протокола ниже 7.0, то необходимо обновить клиент, или понизить уровень безопасности в настройках сервера (до «Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее)»). Клиент с поддержкой протокола 7.0 можно скачать здесь:
Теперь запускаем клиент и настраиваем соединение. Для доступа к дополнительным настройкам нажимаем кнопку Параметры. В окне появятся дополнительные закладки.
Закладка Общие.
В поле Компьютер указываем ip-адрес или доменное имя компьютера к которому производится подключение.
В поле Пользователь указываем имя пользователя удаленного рабочего стола.
Опцию «Разрешить мне сохранять учетные данные» отмечаем только в том случае, если к компьютеру имеете доступ только вы (а лучше и вовсе оставить ее неотмеченной).
Чтобы сохранить параметры доступа, используем кнопку «Сохранить как».
Закладка Экран.
В разделе «Настройка отображения» выбираем размер удаленного рабочего стола.
В разделе Цвета выбираем глубину цвета. Для медленных соединений рекомендуется устанавливать меньшую глубину.
Закладка «Локальные ресурсы».
Раздел «Удаленный звук». Здесь можно настроить где будет воспроизводиться звук (на локальном или удаленном компьютере).
Раздел Клавиатура. Здесь настраивается приоритет сочетаний клавиш между локальным и удаленным компьютером. Обратите внимание, что комбинация CTRL+ALT+DEL
всегда будет вызывать действие на локальном компьютере. Вместо нее на удаленном компьютере используйте CTRL+ALT+END
.
Раздел «Локальные устройства и ресурсы». Опция «буфер обмена» разрешает обмен данными между локальным и удаленным компьютером через буфер обмена. Опция Принтеры позволяет печатать на локальном принтере из удаленного рабочего стола. Кнопка Подробнее позволяет подключить к удаленному рабочему столу локальные диски, порты и «прочие устройства» (не знаю, что под этим подразумевается). На скриншоте ниже показано подключение локального диска E:
В удаленном рабочем столе, подключенные диски отображаются в окне Компьютер.
Закладка Программы. Здесь можно указать программы (на удаленном компьютере), которые необходимо запустить сразу при входе в систему.
Закладка Дополнительно.
Здесь можно настроить производительность в зависимости от скорости канала.
Закладка Подключение. Все параметры оставляем без изменений.
После настройки всех опций переходим на закладку Общие и создаем ярлык с выбранными параметрами подключения (кнопка Сохранить как). После этого нажимаем кнопку Подключить. Появится окно «последнего предупреждения»:
Подключение к удаленному рабочему столу через Эксплорер (remote desktop web connection / tsweb)
Перед началом на срервере необходимо .
На сервере в разделе «Удаленный доступ» (Панель управления -> Система и безопасность -> Система. Далее в левой колонке открываем ссылку «Настройка удаленного доступа») установить опцию «Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее)»:
Это необходимо для подключения через Эксплорер.
Вверху появится предупреждение, что необходимо установить надстройку ActiveX. Делаем правый клик по предупреждению и в открывшемся меню выбираем пункт «Запустить надстройку»:
На вопрос «Запустить этот элемент управления ActiveX» отвечаем Выполнить:
Далее в возвращаемся обратно к веб-странице. В поле Сервер: вводим ip-адрес или доменное имя удаленного компьютера (я ввожу локальный адрес 192.168.10.5). В поле размер выбираем размер удаленного рабочего стола. Опцию «Отправить учетные данные для данного подключения» отмечаем только, если текущий локальный пользователь заведен и на удаленном компьютере.
Нажимаем Подключить. Появится окно в котором можно разрешить/отключить синхронизацию буфера обмена, а также подключить к удаленному рабочему столу локальные принтеры.
Снова нажимаем Подключить и перед нами открывается экран входа в систему:
RDP (Remote Desktop Protocol) - протокол, который позволяет удаленно работать с сервером.
У всех арендованных VDS на ОС Windows доступно подключение по RDP .
Если у Вас VDS с OC Linux - используйте подключение по SSH .
Доступ к серверу
Для подключения, потребуется указать IP адрес и доступы администратора сервера.
Необходимая информация сохранена в личном кабинете в раздел “Товары” - “Виртуальные серверы” - кнопка ”Инструкция” .
В новой вкладке откроется страница с необходимой информацией.
Если Вы подключаетесь к серверу с OC Windows
Нажмите комбинацию клавиш Win+R и в открывшемся окне наберите mstsc.exe и кликните “ОК” .
В открывшемся окне укажите IP-адрес VDS и кликните кнопку “Подключить” .
Затем укажите имя пользователя и пароль из инструкции и кликните “ОК” .
При подключении к серверу приложение покажет уведомление о недоверенном сертификате.
Уведомление указывает, что сервер шифрует передаваемые данные самоподписанным SSL-сертификатом.
Отметьте поле «Больше не выводить запрос о подключениях к этому компьютеру» и нажмите «Да» .
В новом окне откроется рабочий стол сервера.
Подключение по RDP c Ubuntu
Microsoft не выпускает клиенты для подключения по RDP на Linux.
Если приложение не установлено, откройте консоль и введите команды с правами root-пользователя:
Sudo apt-add-repository ppa:remmina-ppa-team/remmina-next sudo apt-get update sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standard
После перезагрузки приложение станет доступно в меню приложению Ubuntu.
В окне приложения выберите тип подключения RDP и введите IP адрес сервера.
Затем кликните кнопку “Подключиться” и укажите имя пользователя и пароль из инструкции.
При первом подключении Remmina уточнит информацию о недоверенном сертификате безопасности. Нажмите «Принять» и вы увидите рабочий стол сервера.
Android и IOS
Вы также можете подключиться к серверу с мобильных устройств.
Microsoft выпустила официальное приложение Microsoft Remote Desktop. Приложение доступно для загрузки в Google Play и AppStore .
Для подключения со смартфона создайте в приложении новое соединение.
В открывшемся окне укажите IP адрес. В поле “User name” выберите “Add user account” .
Затем введите логин и пароль администратора. Для сохранения нажмите кнопку “Save” .
Подключение будет доступно в главном меню приложения.
При подключении приложение также запросит подтвердить сертификат безопасности.
После подтверждения сертификата вы увидите рабочий стол сервера.
Распространённая задача: настроить удалённый доступ к компьютеру, который подключён к Интернету через роутер.
Решение: сделать перенаправление порта на роутере. Перенаправление порта ещё называют публикацией порта или пробросом порта . В английской терминологии используются термины Port Forwarding и Port Publishing .
Что такое проброс порта
Перенаправление порта — это сопоставление определённого внешнего порта шлюза (роутера, модема) с нужным портом целевого устройства в локальной сети (сервера, рабочей станции, сетевого хранилища, камеры, регистратора и т.п.)
А вот какой порт пробрасывать, зависит от того, каким способом вы хотите получать доступ к компьютеру.
Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)
Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:
Шаг 1 Разрешить входящие RDP подключения на компьютере
Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.
Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:
Переходим на вкладку Удалённый доступ , ставим переключатель в положение Разрешать подключения к этому компьютеру , снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:
Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.
Требование №1. Эта учётная запись обязательно должна иметь пароль . Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.
Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу . Это можно сделать двумя способами.
Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу
Способ первый.
Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление :
В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи :
В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:
Перейдите на вкладку Членство в группах и нажмите кнопку Добавить :
Нажмите кнопку Дополнительно :
Затем, кнопку Поиск :
Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK :
В окнах Выбор группы и Свойства: <пользователь> нажмите OK:
Способ второй.
Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:
Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей :
Нажмите кнопку Добавить :
Нажмите Дополнительно :
и Поиск :
В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK :
Теперь нажмите OK в двух следующих окнах:
Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.
В роутерах D-Link нужный раздел может называться Virtual Server , как в D-Link DIR-615:
Также, он может называться Port Forwarding , как, например, в DIR-300:
Суть одна и та же:
- Даём произвольное имя правилу;
- Открываем НЕстандартный порт на роутере, который не занят (поле Public Port );
- Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address );
- Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port ).
Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.
Для настройки Dynamic DNS зайдите в раздел MAINTENANCE , выберите подраздел DDNS Settings и нажмите на ссылку Sign up … для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings :
После этого можно будет подключаться не по IP-адресу, а по адресу вида vash-adres.dlinkddns.com:port
Проверка подключения к компьютеру через удалённый рабочий стол
Запустите клиент сервера удалённых рабочих столов:
В поле Компьютер введите адрес и порт через двоеточие. В поле Пользователь введите имя пользователя и нажмите кнопку Подключить :
Установите галку и нажмите кнопку Подключить :
Теперь введите пароль пользователя, установите галку Запомнить учётные данные , если не хотите вводить пароль каждый раз, и нажмите OK :
После этого может появиться сообщение:
Не удаётся проверить подлинность удалённого компьютера. Вы хотите установить подключение в любом случае?Здесь можно установить галку Больше не выводить запрос о подключениях к этому компьютеру и нажать Да :
