Достаточно часто у многих пользователей, которые используют сеансы удаленного доступа, возникает вопрос, как изменить порт RDP. Сейчас посмотрим на простейшие решения, а также укажем несколько основных этапов в процессе настройки.
Для чего нужен протокол RDP?
Для начала несколько слов о том, RDP. Если посмотреть на расшифровку аббревиатуры, можно понять, что удаленного доступа
Говоря простым языком, это средство терминальному серверу или рабочей станции. Настройки Windows (причем любой из версий системы) используют параметры по умолчанию, которые подходят большинству пользователей. Тем нем менее иногда возникает необходимость их изменения.
Стандартный порт RDP: нужно ли его менять?
Итак, вне зависимости от модификации Windows все протоколы имеют предустановленное значение. Это порт RDP 3389, который и используется для осуществления сеанса связи (подключения одного терминала к удаленным).
С чем же связана ситуация, когда стандартное значение нужно поменять? Прежде всего только с обеспечением безопасности локального компьютера. Ведь если разобраться, при установленном стандартном порте, в принципе, любой злоумышленник может запросто проникнуть в систему. Так что сейчас посмотрим, как изменить порт RDP, установленный по умолчанию.
Изменение настроек в системном реестре
Сразу отметим, что процедура изменения производится исключительно в ручном режиме, причем в самом клиенте удаленного доступа какой-либо сброс или установка новых параметров не предусмотрены.
Для начала вызываем стандартный редактор реестра командой regedit в меню «Выполнить» (Win + R). Здесь нас интересует ветка HKLM, в которой по дереву разделов нужно спуститься через директорию терминального сервера до каталога RDP-Tcp. В окне справа находим ключ PortNumber. Его-то значение нам и нужно поменять.
Заходим в редактирование и видим там 00000D3D. Многие сразу недоумевают по поводу того, что это такое. А это просто шестнадцатеричное представление десятичного числа 3389. Чтобы указать порт именно в десятичном виде, используем соответствующую строку отображения представления значения, а затем указываем нужный нам параметр.
После этого перегружаем систему, а при попытке подключения указываем новый порт RDP. Еще одним способом подключения является использование специальной команды mstsc /v:ip_address:XXXXX, где XXXXX - новый номер порта. Но и это еще не все.
Правила для файрволла Windows
Увы, но встроенный брандмауэр Windows может блокировать новый порт. Значит, необходимо внести изменения в настройки самого фаервола.
Вызываем настройки фаервола с расширенными параметрами безопасности. Тут следует сначала выбрать входящие подключения и кликнуть на строке создания нового правила. Теперь выбираем пункт создания правила для порта, затем вводим его значение для TCP, далее разрешаем подключение, раздел профилей оставляем без изменений и наконец присваиваем новому правилу название, после чего жмем кнопку завершения настройки. Остается перегрузить сервер и при подключении указать новый порт RDP через двоеточие в соответствующей строке. По идее, проблем наблюдаться не должно.
Проброс порта RDP на роутере
В некоторых случаях, когда используется беспроводное соединение, а не кабельное, может потребоваться сделать проброс порта на маршрутизаторе (роутере). Ничего сложного в этом нет.
Сначала в свойствах системы разрешаем и указываем пользователей, имеющих на это право. Затем заходим в меню настроек роутера через браузер (192.168.1.1 или в конце 0.1 - все зависит от модели роутера). В поле (если основной адрес у нас 1.1) желательно указать адрес, начиная с третьего (1.3), а правило выдачи адреса прописать для второго (1.2).
Затем в сетевых подключениях используем просмотр деталей, где следует просмотреть детали, скопировать оттуда физический MAC-адрес и вставить его в параметры роутера.
Теперь в разделе настроек NAT на модеме включаем подключение к серверу, добавляем правило и указываем порт XXXXX, который нужно пробросить на стандартный порт RDP 3389. Сохраняем изменения и перегружаем роутер (без перезагрузки новый порт воспринят не будет). Проверить подключение можно на каком-нибудь специализированном сайте вроде ping.eu в разделе тестирования портов. Как видим, все просто.
Напоследок обратите внимание, что значения портов распределяются следующим образом:
- 0 - 1023 - порты для низкоуровневых системных программ;
- 1024 - 49151 - порты, выделяемые для частных целей;
- 49152 - 65535 - динамические приватные порты.
Вообще, многие юзеры во избежание проблем обычно выбирают порты RDP из третьего диапазона списка. Впрочем, и специалисты, и эксперты рекомендуют использовать в настройке именно эти значения, поскольку они подходят для большинства поставленных задач.
Что же касается именно такая процедура используется в основном только в случаях Wi-Fi-соединения. Как уже можно было заметить, при обычном проводном подключении она не требуется: достаточно изменить значения ключей реестра и добавить правила для порта в файрволле.
Настраиваем RDP (remote desktop protocol) — удаленный рабочий стол
Если у Вас профессиональная или максимальная версия — Вы можете настроить вход на свой ПК через удаленный рабочий стол. Для этого нужно сделать несколько вещей.
— разрешить вход через удаленный рабочий стол (для младших версий этого меню нет)
— добавить пользователей, которые имеют право работать через удаленный рабочий стол (обычно Windows добавляет текущего пользователя автоматически)
Как запустить Удаленный рабочий стол в Windows 7?
Всё через кнопку «Пуск»:
Набираем в поисковой строке «Подключение к удаленному рабочему столу» (смешно — именно так, через строку «Поиск» рекомендует MicroSoft -> откроется в новой вкладке) или «mstsc.exe» — собственно сама программа так называется
Или через папку «Стандартные» в программах. Не во всех версиях Windows есть, например в Windows 7 Started (да, та самая с программным ограничением ОЗУ в 2 Гб) такой папки нет.
После запуска получаем форму настроек удаленного рабочего стола, нам нужен развернутый вариант (с параметрами)
На общей вкладке настраиваем:
Компьютер — или IP-адрес или название компьютера
Пользователь — юзер, под которым будем входить на удаленный ПК
На вкладке «Локальные ресурсы» выбираем, будут ли нам доступны принтеры основного компьютера и буфер обмена.
Если у Вас все ПК в местной локальной сети (т.е. скорость сети не критична) — можно на вкладке «Дополнительно» использовать фоновый рисунок рабочего стола удаленного ПК.
Ну вот, вроде все настроили — возвращаемся на первую вкладку, сохраняем как ярлык — пробуем подключиться.
Результат:(
Основные причины такой ситуации:
- удаленный ПК имеет IP-адрес, назначенный ему роутером через DHCP, он периодически меняется. Необходимо в свойства адаптера прописать фиксированный IP-адрес
- забыли разрешить удаленный доступ через «Свойства» компьютера
- удаленный доступ разрешили, но забыли указать пользователя, которому можно входить
- запрещает брендмаузер Windows, необходимо добавить «удаленный рабочий стол» в исключения
- Вы сделали удаленную перезагрузку ПК и до входа локального пользователя удаленный рабочий стол не будет работать
В большинстве случаев Windows 7 всё это должна сделать сама (добавить текущего пользователя, разрешить в брендмаузере и пр.), но не всегда это работает. Т.е. например, «Удаленный рабочий стол» в список программ в бредмаузере добавлен, но галочка не установлена:(Надо всё самому проверить.
Дополнительные настройки удаленного рабочего стола.
1. Есть необходимость перезагружать ПК через удаленный рабочий стол. Сама перезагрука — это не проблема — либо через диспетчер задач либо через Alt F4. (в кнопке «Пуск» этой возможности не будет). Но до входа локального пользователя удаленный рабочий стол подключаться не будет. А если ПК стоит в темной комнате, где нет никаких локальных пользователей?
Тут сюрприз — необходимо создавать ярлык для удаленного рабочего стола через командную строку с параметром /admin
Вот так: mstsc.exe /admin
Визуально настройка ярлыка будет такая же — но система будет пускать через удаленный рабочий стол после перезагрузки удаленного ПК.
Вот полный список параметров запуска удаленного рабочего стола из командной строки
2. При необходимости разрешить вход без пароля (крайне не рекомендуется для корпоративного сегмента)
меню «Пуск» — выполнить — gpedit.msc (редактор политик) — «конфигурация компьютера» — «конфигурация windows»- «локальные политики» — «параметры безопасности» — «ограничить использование пустых паролей…..» — «отключен»
Да, на младших версиях Windows, конечно, gpedit.msc не запускается (нет этой настройки)
— Все бытовые версии Windows позволяют работать на ПК только одному пользователю (при входе нового пользователя текущий пользователь будет принудительно закрыт) в отличии от серверных вариантов. Это лицензионное ограничение — но выход есть. Немного шаманства — и все работает, смотреть (открытие в новом окне)
3. Автоматический вход с сохраненным логином и паролем
Есть волшебная галочка «Разрешить мне сохранять учетные данные». Если запустить изменение еще раз — галочка сменится на «Всегда запрашивать учетные данные»
Получаем запрос на ввод данных, они сохраняются, вход на удаленную машину работает только по клику на ярлык.
А если учетные данные не сохраняются (в Windows 7 и старше)?
Или получаем предупреждение «Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Введите новые учетные данные.»
Что делать?
Дело в том, что в последних версиях Windows пароль хранится не в rdp-файле, а в отдельном хранилище (Credential Manager - Диспетчер учетных данных). Как минимум — в групповых политиках должны быть отключены следующие параметры:
- Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Клиент подключения к удаленному рабочему столу - Запретить сохранение паролей;
- Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Клиент подключения к удаленному рабочему столу - Запретить сохранение паролей.
Вот можно (откроется в новом окне)
4. Иногда при подключении Вы видите такую картину — «не удается проверить подлинность удаленного компьютера»
Проверка подлинности была добавлена, начиная с Windows XP SP3. Но она там отключена по умолчанию (на Wibdows Vista уже включена).
Как включить проверку подлинности удаленного компьютера на Window XP SP3?
Идем в реестр regedit.exe (Выполнить)
Ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Открываем параметр Security Packages и ищем там слово tspkg . Если его нет, добавляем к уже существующим параметрам.
Ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
Открываем параметр SecurityProviders и добавляем к уже существующим провайдерам credssp.dll , если таковой отсутствует.
Закрываем редактор реестра. Перезагружаемся.
Если этого не сделать, то при попытке подключения компьютер запросит у нас имя пользователя и пароль, но вместо удаленного рабочего стола ответит следующее:
Подключение к удаленному рабочему столу
Ошибка при проверке подлинности(код 0×507)
5. При подключении появляется предупреждение системы безопасности Windows
«Не удается определить издателя этого удаленного подключения»
Это означает, что файл rdp не защищен подписанным сертификатом. Для локальной сети ничего страшного тут нет, можно поставить галочку «Больше не выводить запрос…»
Сама система безопасности работает следующим образом. Параметр политики позволяет указать, могут ли пользователи запускать на клиентском компьютере неподписанные файлы протокола удаленного рабочего стола (RDP) и RDP-файлы, полученные от неизвестных издателей.
Если этот параметр политики включен или не настроен, то пользователи могут запускать на клиентском компьютере неподписанные RDP-файлы и RDP-файлы, полученные от неизвестных издателей. Перед началом сеанса RDP пользователь получит предупреждение и запрос на подтверждение подключения.
Если этот параметр политики отключен, то пользователи не могут запускать на клиентском компьютере неподписанные RDP-файлы и RDP-файлы, полученные от неизвестных издателей. Если пользователь попытается начать сеанс RDP, то он получит сообщение о блокировке издателя.
Поддерживается: Не ниже Windows Vista с пакетом обновления 1 (SP1)
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Value Name | AllowUnsignedFiles |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
Файл Default.rdp
Собственно — это именно файл, а не ярлык удаленного рабочего стола. Данный настроенный файл можно переслать другому пользователю, он его сохранит — и всё будет работать.
Более того — это простой текстовый файл, в котором хранятся все настройки удаленного подключения и этот файл можно открыть Блокнотом. Кстати, часть параметров не редактируется через стандартные настройки, их можно вписать руками.
screen mode id:i: — 1 — удаленный сеанс выполняется в оконном режиме, 2 — в полноэкранном. Редактируется на вкладке ”Экран” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”.
use multimon:i: — 0 — запрет поддержки нескольких мониторов, 1 — разрешение поддержки нескольких мониторов. Может использоваться в Windows 7 /Windows Server 2008 и более поздних версиях.
desktopwidth:i: — ширина рабочего стола. Выбирается на вкладке ”Экран” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”.
desktopheight:i: — высота рабочего стола. Выбирается на вкладке ”Экран” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”.
session bpp:i: — глубина цвета. Выбирается в группе ”Цвета” на вкладке ”Экран” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”.
winposstr:s: — позиция и размеры окна в формате WINDOWPOS
compression:i: — 0 — не использовать сжатие данных, 1 — использовать.
keyboardhook:i: — Определяет, как интерпретируются сочетания клавиш Windows. Значение этого параметра соответствует настройке в поле ”Клавиатура” на вкладке ”Локальные ресурсы” окна ”Параметры средства ”Подключение к удаленному рабочему столу”. 0 — на локальном компьютере. 1 — на удаленном компьютере. 2 — только в полноэкранном режиме.
audiocapturemode:i: — Определяет, где воспроизводится звук. Значение этого параметра соответствует настройкам ”Удаленный звук” на вкладке ”Локальные ресурсы” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. 0 — на клиентском компьютере. 1 — на удаленном компьютере. 2 — звук не воспроизводится.
videoplaybackmode:i: — 0 — не использовать RDP efficient multimedia streaming при воспроизведении видео. 1 — использовать.
connection type:i: 2 — тип соединения для достижения максимального быстродействия. Соответствует настройкам ”Быстродействие” на вкладке ”Дополнительно” окна ”Параметры” средства ”Подключение к удаленному рабочему столу” Определяется типом выбранной скорости соединения.
displayconnectionbar:i: — Отображение панели подключений при входе в систему удаленного компьютера в полноэкранном режиме. Значение этого параметра соответствует состоянию флажка ”Отображать панель подключений при работе на полном экране” на вкладке ”Экран” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. 0 — не отображать панель подключений. 1 — отображать панель подключений.
disable wallpaper:i: — запрет отображения фонового рисунка удаленного рабочего стола. Соответствует настройкам в группе ”Быстродействие”- флажок ”Фоновый рисунок рабочего стола” на вкладке ”Дополнительно” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. 0 — отображать фоновый рисунок. 1 — не отображать фоновый рисунок.
allow font smoothing:i: — разрешение сглаживания шрифтов. Соответствует настройкам в группе ”Быстродействие”- флажок ”Сглаживание шрифтов” на вкладке ”Дополнительно” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. 0 — не использовать сглаживание. 1 — использовать.
allow desktop composition:i: 0 — Соответствует настройкам в группе ”Быстродействие”- флажок ”Сглаживание шрифтов” на вкладке ”Дополнительно” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. 0 — не использовать сглаживание. 1 — использовать.
disable full window drag:i: — Отображение содержимого папки при перетаскивании. Значение этого параметра соответствует состоянию флажка ”Отображать содержимое окна при перетаскивании” на вкладке ”Дополнительно” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. 0 — отображать содержимое при перетаскивании. 1 — не отображать.
disable menu anims:i: — запрет визуальных эффектов. Значение этого параметра соответствует состоянию флажка ”Визуальные эффекты при отображении меню и окон” на вкладке ”Дополнительно” окна ”Параметры”. 0 — использовать визуальные эффекты, 1 — не использовать.
disable themes:i: — запрет использования тем. 0 — использовать темы. 1 — не использовать темы.
disable cursor setting:i:0 — запрет настроек курсора. 0 — настройка курсора разрешена. 1 — запрещена.
bitmapcachepersistenable:i:1 — Кэширование точечных рисунков на локальном компьютере. Значение этого параметра соответствует состоянию флажка ”Постоянное кэширование точечных рисунков” на вкладке ”Дополнительно” окна ”Параметры”. 0 — не использовать кэширование. 1 — использовать кэширование.
full address:s: — имя или IP-адрес удаленного компьютера, к которому выполняется подключение по RDP. При необходимости, можно указать номер используемого TCP порта.
audiomode:i: — определяет, где воспроизводится звук. Значение этого параметра соответствует записи в поле ”Удаленный звук” на вкладке ”Локальные ресурсы” окна ”Параметры”. 0 — на клиентском компьютере. 1 На удаленном компьютере. 2 — звук отключен.
redirectprinters:i: — использование принтеров во время удаленного сеанса. Значение этого параметра соответствует состоянию флажка ”Принтеры” на вкладке ”Локальные ресурсы” окна ”Параметры”. 0 — не использовать локальные принтеры во время удаленного сеанса. 1 — использовать автоматическое подключение принтеров.
redirectcomports:i: — использование последовательных портов локального компьютера при подключении к удаленному рабочему столу. 0 — не использовать. 1 — использовать.
redirectsmartcards:i: — использование смарт-карт локального компьютера при подключении к удаленному рабочему столу. 0 — не использовать. 1 — использовать.
redirectclipboard:i: — использовать общий буфер обмена для локального и удаленного компьютера. Значение этого параметра соответствует состоянию флажка ”Буфер обмена” на вкладке ”Локальные ресурсы” окна ”Параметры”. 0 — не использовать общий буфер обмена. 1 — использовать.
redirectposdevices:i: — перенаправления устройств, которые используют Microsoft Point of Service (POS). 0 — не использовать перенаправление. 1 — использовать.
redirectdirectx:i: — перенаправление DirectX. 0 — не использовать перенаправление DirectX. 1 — использовать.
autoreconnection enabled:i:1 — автоматическое подключение при разрыве соединения с удаленным компьютером. Значение этого параметра соответствует состоянию флажка ”Восстановить соединение при разрыве” на вкладке ”Дополнительно” окна ”Параметры”. 0 — не использовать автоматическое восстановление соединения. 1 — использовать.
authentication level:i: — уровень проверки подлинности для удаленного подключения. Определяет действия в случае, когда не удается подтвердить подлинность удаленного компьютера. Определяется настройкой группы ”Проверка подлинности сервера” на вкладке ”Подключение”. В Windows 10 – вкладке ”Подключение” соответствует вкладка ”Взаимодействие”. 0 — если не удалось подтвердить подлинность терминального сервера, то подключаться без предупреждения. 1 — не подключаться. 2 — подключаться с предупреждением.
prompt for credentials:i: — запрос пользователю на подтверждение учетных данных в случае, если они были сохранены ранее. 0 — не запрашивать учетные данные, если они были предварительно сохранены. 1 — всегда запрашивать учетные данные.
negotiate security layer:i: — уровень шифрования сессии RDP. 0 — сессия с шифрованием TLS 1.0 (SSL) будет использоваться в случае поддержки клиентом. Если клиент его не поддерживает, будет использоваться стандартное встроенное шифрование RDP. 1 — удаленная сессия будет использовать шифрование x.224
remoteapplicationmode:i: — режим работы с удаленным приложением. 0 — режим работы с удаленным рабочим столом. 1 — режим работы с удаленным приложением.
alternate shell:s: — имя альтернативной оболочки пользователя.
shell working directory:s: — рабочий каталог оболочки пользователя.
gatewayhostname:s: — имя сервера шлюза удаленных рабочих столов. Значения параметров сервера шлюза определяется группой ”Подключение из любого места” на вкладке ”Подключение” (для Windows 10 – на вкладке ”Дополнительно”).
gatewayusagemethod:i:4 — метод использования сервера шлюза удаленных рабочих столов. 0 — никогда не использовать сервер шлюза удаленных рабочих столов. 1 — всегда использовать сервер шлюза удаленных рабочих столов. 2 — не использовать сервер шлюза удаленных рабочих столов для локальных клиентов. 3 — использовать настройки по умолчанию сервера шлюза удаленных рабочих столов. 4 — не использовать сервер шлюза удаленных рабочих столов, но в настройке ”Подключение из любого места” – ”Параметры” включен флажок ”Не использовать сервер шлюза удаленных рабочих столов для локальных адресов”
RDP – это протокол удаленного рабочего стола. С английского эта аббревиатура расшифровывается, как Remote Desktop protocol. Он нужен для подключения одного компьютера к другому через сеть интернет. К примеру, если пользователь находится дома, а ему нужно срочно заполнить документы в офисе он может это сделать с помощью данного протокола.
Как работает RDP
Доступ к другому компьютеру производится через порт TCP 3389 по умолчанию. На каждом персональном устройстве он предустановлен автоматически . При этом существует два вида соединения:
- для администрирования;
- для работы с программами на сервере.
Серверы, где установлена ОС Windows Server поддерживают два удаленных подключения РДП сразу (это в том случае, если не активирована роль RDP). Компьютеры, не являющиеся серверами имеют только по одному входу.
Соединение между компьютерами производится в несколько этапов:
- протокол, основой которого является TCP, запрашивает доступ ;
- определяется сессия протокола удаленного рабочего стола. Во время этой сессии утверждаются инструкции передачи данных;
- когда завершится этап определения сервер передаст другому устройству графический вывод . В этот же момент он получает данные от мышки и клавиатуры. Графический вывод – это точно скопированное изображение или команды на отрисовку различных фигур, типа линий, кругов. Такие команды являются ключевыми задачами для данного вида протокола. Они сильно экономят расход трафика;
- клиентский компьютер превращает эти команды в графику и выводит их на экран .
Также этот протокол имеет виртуальные каналы, которые позволяют соединиться с принтером, работать с буфером обмена, использовать аудиосистему и др.
Безопасность соединения
Существует два вида защищенного соединения через RDP:
- встроенная система (Standard RDP Security);
- внешняя система (Enchanced RDP Security).
Они отличаются тем, что в первом типе используется шифрование, обеспечение целостности создается с помощью стандартных средств, которые есть в протоколе. А во втором виде используется модуль TLS для установки защищенного соединения. Разберем подробней процесс работы.
Встроенная защита осуществляется так — в начале проходит аутентификация, затем:
- при включении будут сгенерированы RSA ключи ;
- изготавливается открытый ключ;
- подписывается RSA, который вшит в систему. Он есть в любом устройстве с установленным протоколом удаленного стола;
- клиентское устройство при подключении получает сертификат;
- проверяется и происходит получение этого ключа.
Затем происходит шифрование:
- стандартно используется алгоритм RC4;
- для серверов Виндоус 2003 используется 128 битная защита, где 128 бит — длина ключа;
- для серверов Wndows 2008 – 168 бит.
Целостность контролируется с помощью генерации mac-кодов основанных на алгоритме MD5 и SHA1.
Внешняя система безопасности работает с модулями TLS 1.0, CredSSP. Последний совмещает в себе функциональности TLS, Kerberos, NTLM.
Окончание подключения:
- компьютер проверяет разрешение на вход;
- шифр подписывается по протоколу TLS. Это лучший вариант защиты;
- разрешается вход единожды. Каждая сессия шифруется отдельно.
Замена старого значения порта новым
Для того, чтобы прописать другое значение необходимо сделать следующее (актуально для любой версии Виндовс, в том числе Windows Server 2008):
Теперь при подключении к удаленному столу необходимо после IP-адреса через двоеточие указывать новое значение, например 192.161.11.2:3381 .
Замена с помощью утилиты PowerShell
PowerShell также позволяет внести необходимые изменения:
- рекомендуется сделать перезагрузку;
- после того, как устройство включится, введите команду «regedit» в меню «Пуск». Пройдите в директорию: HKEY _ LOCAL _ MACHINE , найдите папку CurrentControlSet, затем папку Control, перейдите в Terminal Server и откройте WinStations. Кликните по файлу RDP-Tcp. Тут должно быть установлено новое значение.
- Теперь нужно открыть порт RDP на сетевом экране. Входите в Powershell, вбиваете команду: netsh advfirewall firewall add rule name=»NewRDP» dir=in action=allow protocol=TCP localport=49089 . Цифры должны означать тот порт, на который перебили старый.
Не удалось открыть файл подключений default.rdp
Чаще всего эта ошибка возникает, когда появляются проблемы с
DNS
сервером
. Клиентский компьютер не может найти имя указанного сервера.
Для того, чтобы избавиться от ошибки, необходимо в первую очередь проверить правильно ли веден адрес хоста.
В другом случае при возникновении бага необходимо произвести такие шаги:
- зайти в «Мои документы »;
- найти файл default.rdp. Если не найдете, поставьте галочку пункте «Параметры папок » для показа скрытых файлов и папок;
- теперь удалите этот файл и попробуйте подключиться повторно.
Все достаточно просто. Открываем Панель управления -> Система и безопасность -> Система. Далее в левой колонке открываем ссылку «Настройка удаленного доступа»:
В разделе «Удаленный рабочий стол» необходимо выбрать тип подключения:
- Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее). Этот вариант подходит для подключения устаревших клиентов (версия протокола удаленного рабочего стола ниже 7.0), а также при подключении через Эксплорер (remote desktop web connection).
- Разрешать подключаться только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Этот вариант подходит для подключения клиентов с версией 7.0 протокола удаленного рабочего стола.
С помощью кнопки «Выбрать пользователей» можно указать учетные записи пользователей, которым разрешено подключаться к удаленному рабочему столу. Тот же самый эффект будет, если в ручную добавить учетные записи в группу «Пользователи удаленного рабочего стола». Обратите внимание, что пользователи входящие в группу администраторов уже имеют доступ к удаленному рабочему столу.
Также имейте в виду, что по умолчанию политика безопасности не разрешает вход в систему через сеть для учетных записей с пустым паролем. Поэтому учетная запись должна быть защищена паролем (в том числе и входящая в группу Администраторы), иначе подключиться не получится.
Следующий шаг — настройка брандмауэра. Необходимо открыть порт TCP 3389 для входящих подключений. Если на компьютере используется только брандмауэр Windows, то он будет настроен автоматически, никаких дополнительных действий предпринимать не надо. При подключении к Интернет через маршрутизатор, не забываем пробросить порт 3389, чтобы иметь возможность доступа за пределами локальной сети. .
Подключение к удаленному рабочему столу с помощью стандартного клиента
Для начала определяемся какая версия протокола поддерживается нашим клиентом. Для этого запускаем клиент (обычно он находится в меню Пуск -> Программы -> Стандартные -> Подключение к удаленному рабочему столу). Далее кликаем по пиктограмме в левом верхнем углу окна и в меню выбираем пункт «О программе»:
Внизу окна будет указана версия протокола.
Если версия протокола ниже 7.0, то необходимо обновить клиент, или понизить уровень безопасности в настройках сервера (до «Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее)»). Клиент с поддержкой протокола 7.0 можно скачать здесь:
Теперь запускаем клиент и настраиваем соединение. Для доступа к дополнительным настройкам нажимаем кнопку Параметры. В окне появятся дополнительные закладки.
Закладка Общие.
В поле Компьютер указываем ip-адрес или доменное имя компьютера к которому производится подключение.
В поле Пользователь указываем имя пользователя удаленного рабочего стола.
Опцию «Разрешить мне сохранять учетные данные» отмечаем только в том случае, если к компьютеру имеете доступ только вы (а лучше и вовсе оставить ее неотмеченной).
Чтобы сохранить параметры доступа, используем кнопку «Сохранить как».
Закладка Экран.
В разделе «Настройка отображения» выбираем размер удаленного рабочего стола.
В разделе Цвета выбираем глубину цвета. Для медленных соединений рекомендуется устанавливать меньшую глубину.
Закладка «Локальные ресурсы».
Раздел «Удаленный звук». Здесь можно настроить где будет воспроизводиться звук (на локальном или удаленном компьютере).
Раздел Клавиатура. Здесь настраивается приоритет сочетаний клавиш между локальным и удаленным компьютером. Обратите внимание, что комбинация CTRL+ALT+DEL
всегда будет вызывать действие на локальном компьютере. Вместо нее на удаленном компьютере используйте CTRL+ALT+END
.
Раздел «Локальные устройства и ресурсы». Опция «буфер обмена» разрешает обмен данными между локальным и удаленным компьютером через буфер обмена. Опция Принтеры позволяет печатать на локальном принтере из удаленного рабочего стола. Кнопка Подробнее позволяет подключить к удаленному рабочему столу локальные диски, порты и «прочие устройства» (не знаю, что под этим подразумевается). На скриншоте ниже показано подключение локального диска E:
В удаленном рабочем столе, подключенные диски отображаются в окне Компьютер.
Закладка Программы. Здесь можно указать программы (на удаленном компьютере), которые необходимо запустить сразу при входе в систему.
Закладка Дополнительно.
Здесь можно настроить производительность в зависимости от скорости канала.
Закладка Подключение. Все параметры оставляем без изменений.
После настройки всех опций переходим на закладку Общие и создаем ярлык с выбранными параметрами подключения (кнопка Сохранить как). После этого нажимаем кнопку Подключить. Появится окно «последнего предупреждения»:
Подключение к удаленному рабочему столу через Эксплорер (remote desktop web connection / tsweb)
Перед началом на срервере необходимо .
На сервере в разделе «Удаленный доступ» (Панель управления -> Система и безопасность -> Система. Далее в левой колонке открываем ссылку «Настройка удаленного доступа») установить опцию «Разрешать подключение от компьютеров с любой версией удаленного рабочего стола (опаснее)»:
Это необходимо для подключения через Эксплорер.
Вверху появится предупреждение, что необходимо установить надстройку ActiveX. Делаем правый клик по предупреждению и в открывшемся меню выбираем пункт «Запустить надстройку»:
На вопрос «Запустить этот элемент управления ActiveX» отвечаем Выполнить:
Далее в возвращаемся обратно к веб-странице. В поле Сервер: вводим ip-адрес или доменное имя удаленного компьютера (я ввожу локальный адрес 192.168.10.5). В поле размер выбираем размер удаленного рабочего стола. Опцию «Отправить учетные данные для данного подключения» отмечаем только, если текущий локальный пользователь заведен и на удаленном компьютере.
Нажимаем Подключить. Появится окно в котором можно разрешить/отключить синхронизацию буфера обмена, а также подключить к удаленному рабочему столу локальные принтеры.
Снова нажимаем Подключить и перед нами открывается экран входа в систему:
Помимо использования Remote Assistance, вы можете удаленно подключиться к рабочему столу пользователя Windows 10 с помощью теневого RDP подключения (). Большинство администраторов так или иначе пользовались этим функционалом для подключения к сессиям пользователей на терминальных RDS серверах с Windows Server 2012 R2 / Server 2016. Однако далеко не все знают, что теневое подключение можно использовать для удаленного просмотра и взаимодействия с рабочим столом пользователя и на десктопной Windows 10. Рассмотрим, как это работает.
Как вы помните, если попытаться удаленно подключится к компьютеру с Windows 10 через RDP, то сессия пользователя, работающего локально выбивается (даже если вы включите возможность использования ). Однако вы можете подключится непосредственно подключиться к консольной сессии пользователя без блокировки его сеанса.
Предположим, вам нужно подключиться с сервера Windows Server 2012 R2 к рабочему столу пользователя, работающего локально за рабочей станцией с Windows 10.
Для теневого подключения к сессии пользователя нужно использовать стандартную RDP утилиту mstsc.exe . Формат команды такой:
Mstsc.exe /shadow:
Также можно использовать одну из опций:
- /prompt – запросить имя и пароль пользователя, под которым выполняется подключение (если не указано, подключение выполняется под текущим пользователем).
- /control – режим взаимодействия с сеансом пользователя. Если параметр не задан, вы подключитесь в режиме просмотра (наблюдения) сессии пользователя, т.е. вы не сможете управлять его мышью и вводить данные с клавиатуры;
- /noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.
Режим теневого подключения (нужно ли запрашивать подтверждение пользователя, и возможно управления в сессии или только наблюдение) настраивается с помощью групповой политики или редактирования реестра.
Политика находится в разделе Конфигурация компьютера ->Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Подключения (Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections) и называется «Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов » (Set rules for remote control of Remote Desktop Services user sessions).
Вместо включения политики можно выставить значение dword ключа с именем Shadow в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services. Допустимые значения:
- 0 – запретить удаленное управление;
- 1 — полный контроль с разрешения пользователя;
- 2 — полный контроль без разрешения пользователя;
- 3 — наблюдение за сеансом с разрешения пользователя;
- 4 — наблюдение за сеансом без разрешения пользователя.
По умолчанию данный ключ не задан и теневое подключение осуществляется в режиме полного контроля с разрешения пользователя.
Чтобы удаленно подключится к компьютеру через теневое подключение, у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).
Запросим удаленно список сессий на рабочей станции Windows 10 командой:
qwinsta /server:192.168.11.60 
Как вы видите, на данном компьютере имеется одна консольная сессия пользователя с идентификатором ID = 1.
Итак, попробуем удаленно подключиться к сессии пользователя через теневое подключение. Выполните команду:
Mstsc /shadow:1 /v:192.168.11.60
На экране пользователя Windows 10 появится запрос:
Username запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.
Если пользователь разрешит соединение, вы подключитесь к его консольному сеансу и увидите его рабочий стол. Вы будете видеть все действия пользователя, но не сможете взаимодействовать с его сессией.
Совет . Для завершения теневой сессии нажмите на компьютере alt+* или ctrl+* на RDS сервере.
Если проверить сетевые соединения с помощью TCPView, можно увидеть, что взаимодействие идет через RemoteRPC (а не по протоколу RDP с портом TCP 3389). Т.е. для подключения используется случайный TCP порт из высокого диапазона RPC. На стороне подключающегося компьютера соединение устанавливает mstsc.exe, на стороне клиента подключение обрабатывает rdpsa.exe или rdpsaproxy.exe (в зависимости от билда Windows 10). Поэтому на клиенте должен быть включен RemoteRPC:
HKLM\SYSTЕM\CurrеntCоntrоlSеt\Cоntrol\Tеrminal Sеrvеr
“AllоwRemotеRPС”=dwоrd:00000001
Функционал теневого подключения Remote Desktop Shadowing работает в Windows 10 / 8.1 и Windows Server 2012 R2 /2016. Чтобы теневое подключение работало на клиентах с Windows 7 SP1 (Windows Server 2008 R2) нужен RDP клиент версии 8.1 – поэтому придется установить обновление KB2830477 (требует наличия установленных KB2574819 и KB2857650).
Таким образом Remote Desktop Shadowing можно использовать как аналог Remote Assistance (Удаленный помощник) или TeamViewer для локальной или корпоративной сети.