Протокол Remote Desktop Protocol (RDP) позволяет удаленно подключиться к рабочему столу компьютера с Windows и работать с ним, как будто это ваш локальный компьютер. По умолчанию RDP доступ в Windows запрещен. В этой статье, мы покажем, как включить и настроить RDP доступ в Windows 10 и Windows Server 2016/2019.
Содержание:
- Включаем удаленный рабочий стол в Windows 10
- Как включить RDP доступ с помощью PowerShell?
- RDP доступ к Windows Server 2016/2019
- Включение RDP с групповых политик в домене Active Direcrtory
- Как удаленно включить RDP на компьютере Windows?
Включаем удаленный рабочий стол в Windows 10
Самый простой способ включить RDP доступ в Windows – воспользоваться графическим интерфейсом.
Откройте свойства системы через панель управления, или выполнив команду SystemPropertiesRemote.
Перейдите на вкладку Remote Settings (Удаленный доступ), включите опцию Allow remote connection to this computer (Разрешить удалённые подключения к этому компьютеру).
В целях безопасности желательно разрешить подключение только с клиентов RDP с поддержкой протокола NLA (Allow connections only from computers running Remote Desktop with Network Level Authentication/ Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети).
Сохраните изменения, нажав ОК.
По умолчанию право на подключение к компьютеру через RDP есть только у членов группы локальных администраторов. Если вам нужно разрешить RDP доступ другим пользователям, нажмите кнопку Select Users.
Все пользователи, которых вы укажете здесь будет добавлены в локальную группу Remote Desktop Users. Вы можете в командной строке вывести список пользователей в этой группе:
net localgroup "Remote Desktop Users"
или
net localgroup “Пользователи удаленного рабочего стола”
Чтобы добавить нового пользователя в группу доступа RDP, выполните:
net localgroup "Remote Desktop Users" /add publicuser
В русской версии Windows измените название группы на “Пользователи удаленного рабочего стола”.
В новых билдах Windows 10 классическая панель для включения RDP доступа теперь спрятана и Microsoft рекомендует пользоваться новой панелью Setting.
- Перейдите в Settings -> System —> Remote Desktop;
- Включите опцию Enable Remote Desktop;
- Подтвердите включение RDP на компьютере.
Обратите внимание, что вы не можете включить RDP доступ к редакции Windows 10 Home. RDP сервер работает только на Windows 10 Pro и Enterprise. Впрочем, есть обходное решение.
Обратите внимание, что по умолчанию при включении Remote Desktop, включаются две опции:
- Keep my PC awake for connection when it is plugged in ;
- Make my PC discoverable on private networks to enable automatic connection from a remote device
На жмите на ссылку “Advanced settings”. Здесь можно включить использование протокола “Network Level Authentication” для RDP подключений (рекомендуется).
Если на компьютере включен Windows Defender Firewall (брандмауэр), то нужно проверить, что в нем разрешены входящие RDP подключения. По умолчанию для RDP подключений используется порт TCP
3389
, а в последних билдах Windows также используется
UDP 3389
( см. статью про кейс с черным экраном вместо рабочего стола при RDP доступе).
Перейдите в панель управления и выберите элемент Windows Defender Firewall. Откройте список стандартных правил брандмауэра Windows, щелкнув в левом столбце по ссылке Allow an app or feature through Windows Firewall.
Проверьте, что правило Remote Desktop включено для профиля Private (домашняя или рабочая сеть) и, если необходимо, для профиля Public (общедоступные сети).
Подробнее про типы сетей и профили брандмауэра Windows здесь.
Если нужно, вы можете дополнительно ограничить длительность RDP сессий с помощью GPO.
Теперь к данному компьютеру можно подключится с помощью RDP клиента. Встроенный RDP клиент Windows –
mstsc.exe
. Он сохраняет всю историю RDP подключений с компьютера. Поддерживается копирование файлов между локальным и удаленным компьютером прямо через буфер обмена RDP.
Также вы можете использовать менеджеры RDP подключений, такие как RDCMan или mRemoteNG, или альтернативные клиенты.
Для удобства пользователей пароль для RDP подключения можно сохранить в Windows Credential Manager.
Как включить RDP доступ с помощью PowerShell?
Вы можете включить RDP доступ в Windows с помощью пары PowerShell команд. Это гораздо быстрее:
- Запустите консоль PowerShell.exe с правами администратора;
- Включите RDP доступ в реестре с помощью командлета Set-ItemProperty:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0Чтобы закрыть RDP доступ, измените значение fDenyTSConnections на 1.
- Разрешите RDP подключения к компьютеру в Windows Defender Firewall. Для этого включите предустановленное правило :
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
- Если нужно добавить пользователя в группу в локальную группу RDP доступа, выполните:
Add-LocalGroupMember -Group "Remote Desktop Users" -Member 'a.petrov'
Чтобы проверить, что на компьютере открыт RDP порт, воспользуйтесь командлетом Test-NetConnection:
Test-NetConnection -ComputerName deskcomp323 -CommonTCPPort rdp
RDP доступ к Windows Server 2016/2019
В отличии от десктопной редакции Windows 10, в Windows Server по умолчанию поддерживается два одновременных RDP подключения. Эти подключения используются администраторами для управления сервером.
Включается RDP в Windows Server аналогично. Через SystemPropertiesRemote, через Server Manager или командами PowerShell, рассмотренными выше.
Вы можете использовать Windows Server в качестве терминального сервера. В этом случае множество пользователей могут одновременно подключаться к собственному рабочему столу на сервере. Для этого нужно установить и настроить на сервере роль Remote Desktop Session Host. Это требует приобретения специальных RDS лицензии (CAL). Подробнее о RDS лицензировании здесь.
Для дополнительно защиты RDP сессий можно использовать SSL/TLS сертификаты.
Включение RDP с групповых политик в домене Active Direcrtory
Если вам нужно включить RDP доступ сразу на большом количестве компьютеров, можно воспользоваться групповыми политиками (GPO). Мы подразумеваем, что все компьютеры включены в домен Windows.
- Запустите консоль управления доменными GPO
gpmc.msc
; - Создайте новую (или отредактируйте уже существующую) групповую политику и привяжите ее к целевой OU с компьютерами или серверами;
- Переключитесь в режим редактирования политики и перейдите в секцию GPO Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections;
- Найдите и включите политику Allow Users to connect remotely by using Remote Desktop Services, установив ее в Enable;
- Обновите параметры групповых политик на клиентах;
- После применения данной политики вы сможете подключится ко всем компьютерам по RDP (политика применится как к десктопным клиентам с Windows 10, так и к Windows Server). Если нужно, вы можете более тонко нацелить политики на компьютеры с помощью WMI фильтров GPO.
- Если на компьютерах включен Windows Defender Firewall, нужно в этой же GPO разрешить RDP-трафик для доменного профиля. Для этого нужно активировать правило Windows Firewall: Allow inbound Remote Desktop Exceptions (находится в разделе Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile).
Подробнее о настройке правил брандмаура Windows через GPO рассказано здесь.
Как удаленно включить RDP на компьютере Windows?
Также вы можете удаленно включить RDP на любом компьютере Windows. Для этого у вас должен быть удаленный доступ к этому компьютеру (через PowerShell или WMI) и ваша учетная запись состоять в группе локальных администраторов на этом компьютере.
Вы можете удаленно включить RDP через реестр. Для этого на удаленном компьютере должна быть включена служба Remote Registry (по умолчанию она отключена). Чтобы запустить службу:
- Запустите консоль управления службами (
services.msc
); - Выберите Connect to another computer и укажите имя удаленного компьютера;
- Найдите в списке службу Remote Registry, измените тип запуска на Manual (ручной) и затем запустите службу – Start.
Тоже самое можно выполнить удаленно из командной строки с помощью встроенной утилиты
sc
(позволяет создавать, управлять или удалять службы Windows):
sc \\WKMDK22SQ65 config RemoteRegistry start= demand
sc \\WKMDK22SQ65 start RemoteRegistry
Затем на локальном компьютере
- Запустите редактор реестра
regedit.exe - Выберите в меню Файл пункт Connect Network Registry (Подключить сетевой реестр)
- Укажите имя или IP адрес удаленного компьютера, на котором нужно включить службу RDP;
- Перейдите в раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
; - Найдите параметр fDenyTSConnections (тип REG_DWORD). Если данный ключ отсутствует – создайте его. Измените его значение на 0, чтобы включить RDP.
Для отключения RDP доступа нужно изменить значение fDenyTSConnections на 1.
Сразу после этого без перезагрузки удаленный компьютер должен стать доступным по RDP.
Но гораздо быстрее можно включить RDP в реестре удаленого компьютера через командную строку:
REG ADD "\\WKMDK22SQ65\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
Если на удаленном компьютере настроен PowerShell remoting, вы можете выполнить на нем удаленную команду через Invoke-Command:
Invoke-Command -Computername WKMDK22SQ65 -ScriptBlock {Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" –Value 0}
Если в Windows установлен OpenSSH сервер, вы можете подключиться к нему любым ssh клиентом и внести изменения в реестр в локальной ssh сессии.
Также вы можете подключиться к удаленному компьютеру и включить RDP через WMI:
$compname = “WKMDK22SQ65”
(Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace root\CIMV2\TerminalServices -Computer $compname -Authentication 6).SetAllowTSConnections(1,1)
Салимжанов Р.Д
Part 2 Basic Configuration of Windows Server 2019 (RDP, DHCP)
Salimzhanov R.D.
В первой части, мы рассмотрели, как настроить сетевые компоненты, а также рассмотрели создание учетных записей пользователей и настройку прав доступа.
Сейчас мы рассмотрим настройку удаленного доступа и установку необходимых служб (DHCP-сервер).
Воспользуемся протоколом Remote Desktop Protocol (RDP) — это протокол удаленного рабочего стола, который предоставляет возможность удаленного управления компьютером через сеть. Пользователь может подключаться к удаленному компьютеру и управлять им, как если бы он находился непосредственно перед ним. Протокол RDP обеспечивает безопасное и зашифрованное соединение, что позволяет защитить данные и предотвратить несанкционированный доступ к компьютеру.
Для подключения удаленного стола, следует перейти “Диспетчер серверов” и найти там в локальном сервере пункт “Удаленный рабочий стол”:
Нажимаем на него, и выбираем “Разрешить удаленные подключения к этому компьютеру”:
Далее выбираем пользователей, которым разрешим подключение:
Нажимаем “Добавить”:
Выбираем пользователя “USER_admin”:
Нажимаем “ok” и теперь этот пользователь может подключится к серверу, проверим подключение через основной ПК, заранее дав ему доступ:
Открываем основной ПК, пишем в поиске “Подключение к удалённому рабочему столу”:
Далее прописываем IP сервера:
Прописываем пользователя и пароль:
Нажимаем “да”:
Теперь мы подключились:
DHCP-сервер (Dynamic Host Configuration Protocol) — это сервис, который автоматически распределяет IP-адреса между устройствами в сети. Это позволяет упростить процесс настройки сетевых устройств и обеспечивает централизованное управление IP-адресами.
Установка и настройка DHCP-сервера на Windows Server может понадобиться в следующих случаях:
1. Автоматическое назначение IP-адресов: DHCP-сервер автоматически назначает IP-адреса устройствам в сети, что облегчает управление сетью. Это устраняет необходимость вручную настройки IP-адресов на каждом устройстве и помогает избежать конфликтов IP-адресов.
2. Управление адресами: DHCP-сервер управляет пулом доступных IP-адресов и может динамически выделять и освобождать их по мере необходимости. Это позволяет эффективно использовать доступные адреса и предотвращает избыточное расходование адресов.
3. Улучшенное контроль безопасности: DHCP-сервер обеспечивает возможность контроля доступа к сети через использование фильтра MAC-адресов и других методов аутентификации. Это помогает обеспечить безопасность сети и предотвратить несанкционированный доступ.
Для настройки и установки DHCP в диспетчере серверов нажимаем на “Управление” и “Добавить роли и компоненты”:
После следуем инструкции в скринах:
Далее уже выбраны нужные нам компоненты, но для определенных задач следует выбирать конкретно что вам нужно, оставляю ссылку на описание компонентов URL: https://info-comp.ru/softprodobes/572-components-in-windows-server-2016.html
Ждем установки:
После установки слева появился DHCP сервер:
Далее переходим в меню “Средства” и выбираем “DHCP”:
В разделе IPv4 создаем область:
Далее мы можем, добавить машину как отдельный DNS сервер, или создать на этой машине, просто нажав “Далее”.
Точно также, если надо мы можем добавить WINS серверы, если требуется:
Теперь появился пул адресов:
А да и еще, нажав на флажок, диспетчер попросит создать вас две новые группы:
(там нажимаем “Фиксировать” и они автоматически создаются)
Осталось теперь только протестировать:
В следующий части базовой настройки Windows Server 2019, разберем:Настройка DNS-сервера и Active Directory (AD)
1) Как включить и настроить удаленный рабочий стол (RDP) в Windows? // [электронный ресурс]. URL: https://winitpro.ru/index.php/2013/04/29/kak-vklyuchit-udalennyj-rabochij-stol-v-windows-8/ / (дата обращения 01.08.2024).
2) Помощник Админа // [канал]. URL: https://t.me/channel_adminwinru (дата обращения 01.08.2024).
Обновлено:
Опубликовано:
Удаленный рабочий стол применяется для дистанционного администрирования системы. Для его настройки нужно сделать, буквально, несколько шагов.
Как включить
Настройка доступа
Ограничения
Доступ из Интернет
Включение
1. Открываем сведения о системе. В Windows Server 2012 R2 / 2016 или 10 кликаем правой кнопкой мыши по Пуск и выбираем Система.
В Windows Server 2012 / 8 и ниже открываем проводник или меню Пуск. Кликаем правой кнопкой по Компьютер и выбираем Свойства.
2. Настраиваем удаленный рабочий стол. В меню слева кликаем по Настройка удаленного доступа.
В открывшемся окне ставим переключатель в положение Разрешить удаленные подключения к этому компьютеру.
* желательно, если будет установлен флажок Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Но если компьютер, с которого мы будем заходить с устаревшей операционной системой, это может вызвать проблемы.
Предоставление доступа
Очень важно, чтобы у пользователя был установлен пароль. Без него зайти в систему с использованием RDP будет невозможно — это программное ограничение. Поэтому всем учетным записям ставим пароли.
У пользователей с правами администратора права на использование удаленного стола есть по умолчанию. Чтобы обычная учетная запись могла использоваться для удаленного входа в систему, добавьте ее в группу Пользователи удаленного рабочего стола. Для этого открываем консоль управления компьютером (команда compmgmt.msc) — переходим по разделам Служебные программы — Локальные пользователи и группы — Группы и кликаем дважды по Пользователи удаленного рабочего стола:
В открывшемся окне добавляем необходимых пользователей.
Для проверки правильности настроек, используйте программу Подключение к удаленному рабочему столу (находится в меню Пуск или вызывается командой mstsc) на любом другом компьютере в сети.
Ограничение по количеству пользователей
По умолчанию, в серверных операционных системах Windows разрешено подключение для одновременно двух пользователей. Чтобы несколько пользователей (больше 2-х) могли использовать удаленный стол, необходима установка роли удаленных рабочих столов (терминального сервера) и активации терминальных лицензий — подробнее, читайте в инструкции Установка и настройка терминального сервера на Windows Server.
В пользовательских системах (Windows 10 / 8 / 7) разрешено подключение только одному пользователю. Это лицензионное ограничение. В сети Интернет можно найти патчи для его снятия и предоставления возможности подключаться удаленным рабочим столом для нескольких пользователей. Однако, это нарушение лицензионного соглашения.
Доступ через глобальную сеть (Интернет)
Для возможности подключения по RDP из вне необходим статический внешний IP-адрес. Его можно заказать у Интернет провайдера, стоимость услуги, примерно, 150 рублей в месяц (некоторые поставщики могут предоставлять бесплатно). Для подключения нужно использовать полученный внешний IP.
Если компьютер подключен к Интернету напрямую, никаких дополнительных действий не потребуется. Если мы подключены через NAT (роутер), необходима настройка проброса портов. Пример того, как это можно сделать на Mikrotik.
Как настроить терминальный сервер Windows Server 2025
Открываем Диспетчер серверов, выбираем «Управление» — «Добавить роли и компоненты».
На шаге Тип установки выбираем «Установка ролей или компонентов»
Выбираем наш сервер из списка серверов:
Выбираем роль сервера «Службы удаленных рабочих столов»:
Пропускаем шаг «Компоненты» и переходим к следующему. Здесь выбираем «Лицензирование удаленных рабочих столов» и «Узел сеансов удаленных рабочих столов»:
На шаге «Подтверждение» проверьте список устанавливаемых ролей и укажите, может ли сервер автоматически перезагрузиться, если это потребуется в ходе установки:
Далее нажимаем «Установить» и ждём, пока мастер добавления ролей и компонентов закончит установку:
После окончания установки в Диспетчере серверов перейдём в «Средства» — «Remote Desktop Services» — «Средство диагностики лицензирования удаленных рабочих столов». Тут отображаются все сведения о состоянии нашего терминального сервера:
Нам необходимо задать режим лицензирования и выбрать сервер лицензирования. Для этого открываем редактор групповой политики: нажимаем сочетание клавиш «Win+R», вводим «gpedit.msc» и жмём Enter.
Далее переходим по пути «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Лицензирование», открываем параметр политики «Использовать указанные серверы лицензирования удаленных рабочих столов», выбираем «Включено» и указываем имя нашего сервера лицензирования (посмотреть имя сервера можно в «Параметры» — «Система» — «О системе»):
После внесения изменений нажимаем «Применить» и «ОК» и открываем параметр политики «Задать режим лицензирования удаленных рабочих столов», выбираем «Включено» и в поле «Укажите режим лицензирования для сервера узла сеанса удаленных рабочих столов» выбираем необходимый нам режим.
В нашем случае будет использовать режим «На пользователя» (режим «На устройство» означает, что лицензии будут выдаваться для устройств, с которых неограниченное количество пользователей сможет подключаться к терминальному серверу, а режим «На пользователя» подразумевает, что лицензии будут выдаваться для пользователя, который сможем подключаться к терминальному серверу с любого устройства. Про режимы лицензирования также можно прочитать в справке, находящейся правее выбора параметра):
После внесения изменений нам нужно обновить политику с помощью команды gpupdate /force в консоли, запустив её с правами администратора:
Далее переходим в «Диспетчер серверов» — «Средства» — «Remote Desktop Services» — «Диспетчер лицензирования удаленных рабочих столов», выбираем наш сервер в списке и нажимаем «Активировать сервер»
Следуем по шагам мастера активации сервера. На шаге «Метод подключения» нужно выбрать «Авто», после чего указать актуальную информацию о пользователе:
После окончания работы мастера оставляем галочку «Запустить мастер установки лицензий» и жмём далее. Выбираем тип лицензии «Другое соглашение» и переходим далее:
На следующем шаге указываем номер соглашения и переходим далее.
Указываем версию продукта «Windows Server 2025», «Тип лицензии» выбираем в соответствии с установленным нами в групповой политике и количество лицензий, доступных на сервере лицензирования (для примера мы создадим 5 лицензий для 5 пользователей терминального сервера):
В случае успешного завершения работы мастера, увидим, что наш сервер лицензирования перешел в состояние «Активирован»:
Выбрав наш сервер в списке, мы можем увидеть установленные лицензии и отслеживать количество доступных и выданных лицензий для пользователей:
Для того, чтобы пользователь имел доступ через RDP до нашего терминального сервера, необходимо добавить его в группу «Пользователи удалённого рабочего стола». Как это сделать можно прочитать в другой нашей статье.
Важной деталью является тот факт, что сервер лицензирования выдаёт лицензии и считает их количество только для пользователей домена Active Directory. Благодаря этому, при настройке терминального сервера без домена мы получаем фактически бесконечное количество лицензий «на пользователя». На нашем примере видно, как 6 пользователей, не считая Администратора, одновременно подключены к терминальному серверу, при этом в диспетчере лицензирования в графе лицензий «Выдано» указан 0.
Как заблокировать учётную запись пользователя RDP?
При настройке терминального сервера без домена Active Directory существует два способа:
1. Удалить пользователя из группы «Пользователи удаленного рабочего стола»
Для этого нам необходимо перейти в Диспетчер устройств – Средства – Управление компьютером – Локальные пользователи и группы – Пользователи
В этом списке необходимо выбрать нашего пользователя, открыть свойства его учётной записи и перейти во вкладку «Членство в группах», после чего выбрать группу «Пользователи удаленного рабочего стола» и нажать «Удалить»:
Чтобы вернуть пользователю возможность подключения по RDP нужно будет вернуть его в группу «Пользователи удаленного рабочего стола» и применить изменения.
2. Отключить учётную запись пользователя
Данный способ полностью отключает учётную запись пользователя так, что зайти в неё будет нельзя даже локально. Для этого нам нужно перейти в список пользователей Диспетчер устройств – Средства – Управление компьютером – Локальные пользователи и группы – Пользователи:
В списке пользователей выбираем необходимого нам, открываем свойства его учётной записи и ставим галочку на пункте «Отключить учётную запись»:
Чтобы разблокировать запись пользователя, достаточно снять галочку с указанного пункта и применить изменения.
Why Enable Remote Desktop on Windows Server 2022?
Remote Desktop Protocol (RDP)
is a powerful tool for accessing Windows servers from remote locations. It allows administrators to perform system maintenance, deploy applications, and troubleshoot issues without physical access to the server. By default, Remote Desktop is disabled on Windows Server 2022 for security purposes, necessitating deliberate configuration to enable and secure the feature.
RDP also simplifies collaboration by enabling IT teams to work on the same server environment simultaneously. Additionally, businesses with distributed workforces depend on RDP for efficient access to centralized systems, boosting productivity while reducing infrastructure costs.
Methods to Enable Remote Desktop
There are several ways to enable Remote Desktop in Windows Server 2022, each tailored to different administrative preferences. This section explores three primary methods: the GUI, PowerShell, and Remote Desktop Services (RDS). These approaches ensure flexibility in configuration while maintaining high standards of precision and security.
Enabling Remote Desktop via the Server Manager (GUI)
Step 1: Launch Server Manager
The Server Manager is the default interface for managing Windows Server roles and features.
Open it by:
-
Clicking the Start Menu and selecting Server Manager.
-
Alternatively, use the Windows + R key combination, type ServerManager, and press Enter.
Step 2: Access Local Server Settings
Once in Server Manager:
-
Navigate to the Local Server tab in the left-hand menu.
-
Locate the «Remote Desktop» status, which typically shows «Disabled.»
Step 3: Enable Remote Desktop
-
Click on «Disabled» to open the System Properties window in the Remote tab.
-
Select Allow remote connections to this computer.
-
For enhanced security, check the box for Network Level Authentication (NLA), requiring users to authenticate before accessing the server.
Step 4: Configure Firewall Rules
-
A prompt will appear to enable the firewall rules for Remote Desktop.
Click OK. -
Verify the rules in the Windows Defender Firewall settings to ensure port 3389 is open.
Step 5: Add Authorized Users
-
By default, only administrators can connect. Click Select Users… to add non-administrator accounts.
-
Use the Add Users or Groups dialog to specify usernames or groups.
Enabling Remote Desktop via PowerShell
Step 1: Open PowerShell as Administrator
-
Use the Start Menu to search for PowerShell.
-
Right-click and select Run as Administrator.
Step 2: Enable Remote Desktop via Registry
-
Run the following command to modify the registry key controlling RDP access:
-
Set-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server’ -Name «fDenyTSConnections» -Value 0
Step 3: Open the Necessary Firewall Port
-
Allow RDP traffic through the firewall with:
-
Enable-NetFirewallRule -DisplayGroup «Remote Desktop»
Step 4: Test Connectivity
-
Use PowerShell’s built-in networking tools to verify:
- Test-NetConnection -ComputerName -Port 3389
Installing and Configuring Remote Desktop Services (RDS)
Step 1: Add the RDS Role
-
Open Server Manager and select Add roles and features.
-
Proceed through the wizard, selecting Remote Desktop Services.
Step 2: Configure RDS Licensing
-
During the role setup, specify the licensing mode: Per User or Per Device.
-
Add a valid license key if required.
Step 3: Publish Applications or Desktops
-
Use the Remote Desktop Connection Broker to deploy remote apps or virtual desktops.
-
Ensure users have appropriate permissions to access published resources.
Securing Remote Desktop Access
While enabling
Remote Desktop Protocol (RDP)
on Windows Server 2022 provides convenience, it can also introduce potential security vulnerabilities. Cyber threats like brute-force attacks, unauthorized access, and ransomware often target unsecured RDP setups. This section outlines best practices to secure your RDP configuration and protect your server environment.
Enable Network Level Authentication (NLA)
Network Level Authentication (NLA) is a security feature that requires users to authenticate before a remote session is established.
Why Enable NLA?
-
It minimizes exposure by ensuring only authorized users can connect to the server.
-
NLA reduces the risk of brute-force attacks by blocking unauthenticated users from consuming server resources.
How to Enable NLA
-
In the System Properties window under the Remote tab, check the box for Allow connections only from computers running Remote Desktop with Network Level Authentication.
- Ensure client devices support NLA to avoid compatibility issues.
Restrict User Access
Limiting who can access the server via RDP is a critical step in securing your environment.
Best Practices for User Restrictions
-
Remove Default Accounts: Disable or rename the default Administrator account to make it harder for attackers to guess credentials.
-
Use the Remote Desktop Users Group: Add specific users or groups to the Remote Desktop Users group.
Avoid granting remote access to unnecessary accounts. -
Audit User Permissions: Regularly review which accounts have RDP access and remove outdated or unauthorized entries.
Enforce Strong Password Policies
Passwords are the first line of defense against unauthorized access. Weak passwords can compromise even the most secure systems.
Key Elements of a Strong Password Policy
-
Length and Complexity: Require passwords to be at least 12 characters long, including uppercase letters, lowercase letters, numbers, and special characters.
-
Expiration Policies: Configure policies to force password changes every 60–90 days.
-
Account Lockout Settings: Implement account lockout after a certain number of failed login attempts to deter brute-force attacks.
How to Configure Policies
-
Use Local Security Policy or Group Policy to enforce password rules:
-
Navigate to Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy.
-
Adjust settings such as minimum password length, complexity requirements, and expiration duration.
-
Restrict IP Addresses
Restricting RDP access to known IP ranges limits potential attack vectors.
How to Restrict IPs
-
Open Windows Defender Firewall with Advanced Security.
-
Create an Inbound Rule for RDP (
port 3389
):
-
Specify the rule applies only to traffic from trusted IP ranges.
-
Block all other inbound traffic to RDP.
-
Benefits of IP Restrictions
-
Drastically reduces exposure to attacks from unknown sources.
-
Provides an additional layer of security, especially when combined with VPNs.
Implement Two-Factor Authentication (2FA)
Two-Factor Authentication adds an extra layer of protection by requiring users to verify their identity with something they know (password) and something they have (e.g., a mobile app or hardware token).
Setting Up 2FA for RDP
-
Use third-party solutions such as DUO Security or Authy to integrate 2FA with Windows Server.
-
Alternatively, configure Microsoft Authenticator with Azure Active Directory for seamless integration.
Why Use 2FA?
-
Even if a password is compromised, 2FA prevents unauthorized access.
-
It significantly enhances security without compromising user convenience.
Testing and Using Remote Desktop
After successfully enabling
Remote Desktop Protocol (RDP)
on your Windows Server 2022, the next critical step is testing the setup. This ensures connectivity and verifies that the configuration works as expected. Additionally, understanding how to access the server from various devices—regardless of the operating system—is essential for a seamless user experience.
Testing Connectivity
Testing the connection ensures the RDP service is active and accessible over the network.
Step 1: Use the Built-in Remote Desktop Connection Tool
On a Windows machine:
-
Open the Remote Desktop Connection tool by pressing Windows + R, typing mstsc, and pressing Enter.
-
Enter the server’s IP address or hostname in the Computer field.
Step 2: Authenticate
-
Input the username and password of an account authorized for remote access.
-
If using Network Level Authentication (NLA), ensure the credentials match the required security level.
Step 3: Test the Connection
-
Click Connect and verify that the remote desktop session initializes without errors.
-
Troubleshoot connectivity issues by checking the firewall, network configurations, or server status.
Accessing from Different Platforms
Once the connection has been tested on Windows, explore methods for accessing the server from other operating systems.
Windows: Remote Desktop Connection
Windows includes a built-in Remote Desktop client:
-
Launch the Remote Desktop Connection tool.
-
Input the IP address or hostname of the server and authenticate.
macOS: Microsoft Remote Desktop
-
Download Microsoft Remote Desktop from the App Store.
-
Add a new PC by entering the server details.
-
Configure optional settings such as display resolution and session preferences for an optimized experience.
Linux
:
RDP Clients like Remmina
Linux users can connect using RDP clients such as Remmina:
-
Install Remmina via your package manager (e.g., sudo apt install remmina for Debian-based distributions).
-
Add a new connection and select RDP as the protocol.
-
Provide the server’s IP address, username, and password to initiate the connection.
Mobile Devices
Accessing the server from mobile devices ensures flexibility and availability:
iOS:
-
Download the Microsoft Remote Desktop app from the App Store.
-
Configure a connection by providing the server’s details and credentials.
Android:
-
Install the Microsoft Remote Desktop app from Google Play.
-
Add a connection, enter the server’s IP address, and authenticate to begin remote access.
Troubleshooting Common Issues
Connectivity Errors
-
Check that
port 3389
is open in the firewall.
-
Confirm the server is accessible via a ping test from the client device.
Authentication Failures
-
Verify the username and password are correct.
-
Ensure the user account is listed in the Remote Desktop Users group.
Session Performance
-
Reduce display resolution or disable resource-intensive features (e.g., visual effects) to improve performance on low-bandwidth connections.
Explore Advanced Remote Access with TSplus
For IT professionals seeking advanced solutions,
TSplus Remote Access
offers unparalleled functionality. From enabling multiple concurrent connections to seamless application publishing and enhanced security features, TSplus is designed to meet the demands of modern IT environments.
Streamline your remote desktop management today by visiting
TSplus
.
Conclusion
Enabling Remote Desktop on Windows Server 2022 is a critical skill for IT administrators, ensuring efficient remote management and collaboration. This guide has walked you through multiple methods to enable RDP, secure it, and optimize its usage for professional environments. With robust configurations and security practices, Remote Desktop can transform server management by providing accessibility and efficiency.
TSplus Remote Access Free Trial
Ultimate Citrix/RDS alternative for desktop/app access.Secure, cost-effective,on-permise/cloud