В Windows для подключения к рабочему столу удаленного компьютера по протоколу RDP (Remote Desktop) по-умолчанию используется порт TCP 3389. В этой статье мы рассмотрим, как изменить номер стандартного порта для службы RDP на другой (применимо как к дестопным версиям Windows, так и к Windows Server).
Содержание:
- Изменить номер RDP порта в Windows
- PowerShell скрипт для смены номера RDP порта в Windows
После того, как вы включили RDP доступ в Windows, служба TermService (Remote Desktop Services) начинает слушать на порту 3389.
В современных версиях Windows для подключений удаленного рабочего стола также используется протокол UDP с тем же номером порта 3389. При использовании VPN, транспортный UDP протокол может вызывать проблемы с зависанием RDP сессий.
Для чего может понадобиться замена стандартного RDP порта 3389 на другой?
- Чаще всего это используется, чтобы спрятать RDP/RDS хост от автоматических сканеров портов, которые ищут в Интернете хосты Windows с открытым дефолтным RDP портом 3389.
- Смена RDP порта позволит уменьшить вероятность эксплуатации RDP уязвимостей, уменьшить количество попыток удалённого подбора паролей по RDP (не забывайте периодически анализировать логи RDP подключений), SYN и других типов атак.
- Обычно смена RDP порт используется на компьютерах с прямым подключением к интернету (VPS/VDS), или в сетях, где пограничный маршрутизатор перенаправляет порт 3389/RDP в локальную сеть на компьютер/сервер с Windows.
Несмотря на смену порта, не рекомендуется выставлять открытый RDP порт в Интернет. Сканеры портов по сигнатуре ответа могут понять, что на новом порту находится RDP Listener. Если вы хотите открыть внешний RDP доступ к компьютеру в локальной сети, лучше использовать такие технологии подключения, как VPN, RD Web Access, шлюз RD Gateway и другие.
При смене номера RDP порта на нестандартный, нежелательно использовать номера портов в диапазоне от 1 до 1023 (известные порты). Выберите неиспользуемый порт в пользовательском диапазоне (1024 до 49151) или из RPC (49152 — 65535). Проверьте, что выбранный порт не слушается другими процессами (например, порт 1350).
netstat -aon | findstr ":1350" | findstr "LISTENING"
Изменить номер RDP порта в Windows
В нашем примере мы изменим номер порта, на котором ожидает подключения служба TermService на 1350.
Для быстрой замены номера RDP порта на указанный, достаточно выполнить следующие команды с правами администратора:
set p=1350
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d %p% /f
netsh advfirewall firewall add rule name="Custom-RDP-Port-TCP" protocol=TCP localport=%p% action=allow dir=IN
netsh advfirewall firewall add rule name="Custom-UDP-Port-UDP" protocol=UDP localport=%p% action=allow dir=IN
net stop TermService /y
net start TermService
Этот набор команд изменит номер RDP порта, создаст разрешающие правила для нового порта в файерволе и перезапустит службу TermService.
Рассмотрим, что делают эти команды и как изменить дефолтный номер RDP порта вручную.
- Откройте редактор реестра (
regedit.exe
) и перейдите в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - Найдите DWORD параметр реестра с именем PortNumber. В этом параметре указан порт, на котором ожидает подключения служба Remote Desktop. Значение по умолчанию 3389 (decimal)
- Измените значение этого порта. Я изменил RDP порт на 1350 в десятичном значении (Decimal);
хalert] Можно изменить значение параметра реестра с помощью PowerShell:
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1350
[/alert] - Создайте новые правила в Windows Firewall, разрешающие входящие подключения на новый номер RDP порта (если вы перенастраиваете удаленный сервер через RDP, создайте разрешающее правило в файерволе до перезапуска службы TermService, иначе вы потеряете доступ к хосту). Вы можете создать разрешающее входящее правило для нового TCP/UDP порта RDP вручную из консоли Windows Firewall with Advanced Security (
wf.msc
) или с помощью PowerShell команд:
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
- Перезагрузите Windows или перезапустите службу удаленных рабочих столов командой:
net stop termservice & net start termservice
- Теперь для подключения к данному Windows компьютеру по RDP, в клиенте mstsc.exe нужно указывать порт RDP подключения через двоеточие следующим образом:
Your_Computer_Name:1350
или по IP адресу
192.168.1.100:1350
или из командной строки:
mstsc.exe /v 192.168.1.100:1350
Если для управления RDP подключений вы используете менеджер RDCMan, новый номер RDP порта подключения указывается на вкладке “Connection Settings”.
- В результате вы должны успешно подключитесь к рабочему столу удаленного компьютера по новому номеру RDP порта (с помощью команды
netstat –na | Find "LIST"
убедитесь, что служба RDP теперь слушает на другом порту).
Обратите внимание, что номер UDP порта RDP также изменился на 1350 (проще всего проверить это с помощью утилиты TCPView).
С помощью команды Test-NetConnection, проверьте что старый RDP порт теперь закрыт (
TcpTestSucceeded : False
):
Test-NetConnection 192.168.13.202 -port 3389 |select TcpTestSucceeded
Если вы хотите изменить номер RDP порта сразу на нескольких компьютерах в домене, можно воспользоваться групповыми политиками. Создайте новую GPO, которая распространит параметр реестра PortNumber с новым значением RDP порта на компьютеры домена.
PowerShell скрипт для смены номера RDP порта в Windows
Полный код PowerShell скрипта для смены номера RDP порта, создания правила в брандмауэре и перезапуска службы RDP может выглядеть так:
Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "NewRDPPort-TCP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "NewRDPPort-UDP-In-$RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow
Restart-Service termservice -force
Write-host "Номер RDP порта изменен на $RDPPort " -ForegroundColor Magenta
Если на удаленном компьютере включен WinRM, вы можно изменить номер порта RDP удаленно с помощью командлета Invoke-Command:
Invoke-Command -ComputerName PC1name -ScriptBlock {Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value 1350}
RDP (Remote Desktop Protocol – протокол удалённого рабочего стола) – пропри��тарный протокол прикладного уровня, позаимствованный Microsoft из купленной у PictureTel (ныне известной как Polycom) телекоммуникационной программы Liveshare Plus (названной впоследствии NetMeeting), использующийся для обеспечения удалённой работы пользователя с сервером. Клиенты существуют практически для всех версий Windows (включая Windows CE, Phone и Mobile), Linux, FreeBSD, MacOS, iOS, Android. По умолчанию для подключения используется порт TCP 3389.
Например, мне был нужен доступ к Windows-машине, когда я использовал MacOS как основную систему. Поскольку на этой операционной системе не было необходимых программ для выполнения лабораторных работ, а виртуальная машина не всегда корректно отображала их, было принято решение настроить RDP.
Конечно, можно использовать и сторонние программы для удалённого доступа, но они требуют подтверждения на стороне удалённого компьютера, что не всегда удобно. Поэтому такие программы больше подходят для удалённой помощи, но не для повседневной работы.
Один из важных моментов, связанных с настройкой и использованием удалённого рабочего стола — это необходимость в статическом IP-адресе на удалённом компьютере. Большинство провайдеров предоставляют динамические IP-адреса, которые могут меняться со временем. Статические IP-адреса, как правило, можно получить за дополнительную плату.
Например, в начале 2022 года у провайдера DOM.RU стоимость статического IP-адреса составляла 100 рублей. В моем случае такого IP-адреса нет, поэтому при каждом его изменении необходимо вручную вносить изменения в настройках подключения с клиента.
Теперь перейдём к настройке удалённого компьютера, к которому будем подключаться, с операционной системой Windows. Для этого нужно открыть «Панель управления» (можно воспользоваться поиском). В панели управления выберем вкладку «Система и безопасность», а затем во вкладке «Система» выберем «Настройка удаленного доступа».
После этого откроется окно, в котором нужно будет «Разрешить удаленные подключения к этому компьютеру».
Нажмём на кнопку «Выбрать пользователей..», перейдём в «Учетные записи пользователей».
Для удобства, создадим новую учётную запись, которая будет использоваться для удалённого подключения.
Для этого перейдём в раздел «Учетные записи пользователей», выберем «Управление другой учетной записью» и добавим нового пользователя. Далее необходимо будет указать имя пользователя и пароль, а также задать контрольные вопросы, для восстановления доступа.
Теперь в окне, где был выбор пользователей удалённого рабочего стола, нажмем кнопку «Добавить», и введем имя нового созданного пользователя.
После этого, необходимо нажать кнопку «Проверить имена». Если все правильно, то к имени пользователя добавится имя компьютера.
Теперь в группу «Пользователи удаленного рабочего стола» будет добавлен пользователь с обычной учётной записью RemoteAccount. Нажмем кнопку «ОК» для применения изменений.
Далее, в командной строке введем команду «ipconfig /all», чтобы узнать MAC-адрес и IP-адрес компьютера в локальной сети. Эта информация понадобится для настройки DHCP-сервера на маршрутизаторе с целью резервирования адреса.
На этом настройка удалённого компьютера с операционной системой Windows завершена.
Перейдём к настройке маршрутизатора. Для этого в браузере введём адрес «192.168.0.1» или «192.168.1.1». Откроется страница авторизации в панели управления.
По умолчанию на большинстве устройств используются стандартные сочетания для входа: «admin/admin» или «admin/password». Также данные для входа могут быть указаны на наклейке, расположенной на нижней части роутера.
В других моделях маршрутизаторов процедура настройки будет аналогичной, но интерфейс и расположение пунктов меню могут отличаться.
В первую очередь добавим постоянный локальный IP-адрес, привязав к нему MAC-адрес (физический адрес) компьютера, к которому будет осуществляться доступ. В нашем случае данная настройка находится во вкладке «Дополнительные настройки» -> «Сеть» -> «DHCP-сервер».
После этого, есть два пути – Настройка RDP с VPN или же Настройка RDP с пробросом порта (небезопасно).
Надёжный (рекомендуемый) способ.
Автор после прочтения комментариев
Перейдём во вкладку «Дополнительные настройки» -> «VPN-сервер» -> «OpenVPN». Создадим сертификат OpenVPN, который необходим для работы.
После этого, необходимо запустить сервер и настроить параметры сервиса (оставим всё по умолчанию).
Теперь нажмём кнопку «Экспорт», чтобы скачать полученную конфигурацию, которую будем использовать на клиенте для подключения.
После этого, необходимо установить клиент OpenVPN для своей системы. В моём случае это MacOS. После скачивания, будет предложен выбор версии (для Intel или ARM-процессор).
После установки, будет следующий интерфейс, в который нужно загрузить (перетащить) ранее сгенерированную конфигурацию для подключения.
После загрузки отобразится IP-адрес, к которому подключаемся. Нажмём кнопку «Connect» для подключения.
После успешного подключения, будет отображаться скорость подключения, продолжительность сеанса и количество отправляемых пакетов.
Теперь в RDP-клиенте (Microsoft Remote Desktop), после нажатия на кнопку «Add PC» появится окно, в котором необходимо ввести локальный IP-адрес удалённого компьютера.
После этого, необходимо ввести учётные данные пользователя, которого создавали ранее.
Внимание, проброс портов в сеть небезопасен! То что написано ниже — изначальный вариант настройки.
Автор после прочтения комментариев
Теперь, перейдём к пробросу портов. Во вкладке «NAT переадресация», выберем «Перенаправление порта». Чтобы открыть доступ к удалённому рабочему столу, нужно пробросить порт TCP 3389. Также, стоит учитывать, что, открывая стандартный порт службы всему миру, можно получить регулярные атаки с подбором пароля к учётной записи. Для минимума безопасности изменим внешний порт, по которому будем подключаться. Возьмем один из свободных, которые есть в списке портов, например 49049. Зададим имя сервиса и адрес устройства, которому будет перенаправлен порт.
Теперь при обращении к внешнему IP-адресу через порт 49049, пользователь будет попадать именно на указанный удалённый компьютер.
Перейдём к настройке подключения к удалённому рабочему столу. Рассмотрим две системы, MacOS и Windows, при необходимости можно будет подключаться и через другие, процесс настройки не особо отличается.
Для начала, из App Store скачаем приложение Microsoft Remote Desktop. Для MacOS компания Microsoft выпускает официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows.
Предварительно, с помощью любого сервиса (будь то «Яндекс.Интернетометр» или 2ip.ru) узнаем внешний IP-адрес, к которому будем подключаться.
После нажатия на кнопку «Add PC» появится окно, в котором необходимо ввести IP-адрес удалённого компьютера. Также, через двоеточие, необходимо указать внешний порт, по которому будем подключаться (49049). Остальные настройки можно оставить без изменений.
Далее, в появившемся окне, необходимо ввести учётные данные, то есть логин и пароль пользователя на удалённом компьютере, через которого будем осуществлять подключение. Введем данные пользователя, который был создан ранее.
При подключении к серверу, появится информация о недоверенном сертификате безопасности. Причина этого заключается в том, что сервер шифрует передаваемые данные SSL-сертификатом, который он сгенерировал сам в автоматическом режиме. Данное уведомление не является свидетельством о проблеме с безопасностью, а только предупреждает о том, что соединение зашифровано с использованием сертификата, который не был выдан авторизованным центром. После этого, появится окно с удалённым рабочим стол, на котором можно работать. Стоит добавить, что перенос файлов можно делать прямо через буфер обмена, скопировав конкретный файл на своем рабочем столе с компьютера и вставив на удалённый.
Настроим подключение для Windows. Например, если нужно использовать ресурсы мощного компа, который стоит дома, через слабенький ноут. Сначала, через поиск откроем «Подключение к удаленному рабочему столу».
Далее, аналогично Mac OS, необходимо ввести адрес удалённого компьютера, к которому будем подключаться. В параметрах можно сразу добавить имя и пароль учётной записи, а можно задать непосредственно при подключении.
В итоге, мы настроили удалённый рабочий стол, который можно использовать для удалённой работы с Windows-машиной, в связи с чем, выполнение лабораторных работ стало удобнее и привычнее.
Если вы нашли неточности/ошибки или просто хотите дополнить статью своим мнением — то жду в комментариях.
P.S. Спасибо людям из комментариев, понял, что порт RDP нельзя в открытую выставлять в сеть, нужно настраивать VPN. Поэтому, статья была дополнена.
В последнее время довольно много пользователей систем Windows и Windows Server, которые подключены к сети Интернет и выходят в сеть через статический (белый) IP-адрес сталкиваются с тем, что их компьютер, сервер и удаленный рабочий стол начинает работать некорректно. Это ярко выражено в частых ошибках при подключении к серверу, замедленной работы системы и запущенных программ на компьютере. Если же это касается удаленного рабочего стола, то возможны частые выбивания сессии подключения и последующей ошибки о том, что удаленный компьютер недоступен или просто отдается ошибка общего плана при подключении. Все это связанно с тем, что к сервису удаленного рабочего стола (Remote Desktop Service) производится большое количество попыток подключения. Зачастую около десятка за одну секунду. Злоумышленники пытаются подобрать пароль и получить доступ к учетной записи сервер. Это вызывает переполнение сессий доступных подключений к сервису и тем самым выводя его из работы. Отдельным побочным эффектом в этой ситуации является и повышенная нагрузка при обработке данных подключений самим сервером или компьютером, на который производят атаку, от сюда и замедленная работа программ, и нестабильная работа самого компьютера.
Как же можно восстановить работу компьютера и обезопасить себя от атак на свой компьютер?
Если вы уже столкнулись с тем, что ваш удаленный компьютер или сервер стал недоступен при подключении через удаленный рабочий стол, то для начала вам нужно просто его перезагрузить. Это позволит получить доступ к системе для последующий операций и настроек.
В первую очередь, нужно проверить журнал работы Event Viewer на наличие информации в нем о попытках взлома сервера. Во вкладке Windows Logs – Security. В случае активной атаки на ваше устройство, вы увидите довольно большое количество неудавшихся попыток подключения к системе (Audit Failure). В детальной информации события можно посмотреть имя пользователя (Account Name), к которому пытались подключиться и IP-адрес (Source Network Address), с которого была попытка подключения.
Теперь мы точно уверены в том, что кто-то пытается подобрать пароль к нашему устройству.
Для того, чтобы обезопасить работу своего сервиса, нам необходимо поменять порт подключения к службе удаленного рабочего стола. Давайте же посмотрим, как это делается на примере Windows Server 2022.
1. Откройте редактор рееста через стандартное окно быстрого поиска Windows
либо через окно Выполнить (комбинация клавиш Win+R)
2. Перейдите в ветку
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3. Нажмите два раза на параметр PortNumber. В новом окне выберите десятичную систему счисления и впишите новый порт подключения, который будет использоваться.
Готово. Мы поменяли порт подключения к сервису удаленного рабочего стола.
Но это ещё не всё. Стандартно в системе Windows включена служба защиты системы Firewall, которая имеет набор правил подключения к нашему устройству. Штатно она настроена на доступ к порту 3389, который является стандартным портом для службы удаленного рабочего стола, но сейчас мы изменили этот порт и нам необходимо добавить новое правило в наш фаервол.
4. Для этого откройте Windows Defender Firewall.
5. Нажмите на ссылку Advanced Settings
6. В новом окне выберите категорию правил входящих подключений Inbound Rules, нажмите левой кнопкой по ней и выберите New Rule.
7. Выберите тип правила, а именно, что мы будет разрешать.
8. Укажите номер порта, который вы указали ранее в редакторе реестра, в параметре PortNumber.
9. Далее разрешите работу правила для указанных зон.
10. Разрешите подключения к новому правилу.
11. Укажите имя правила, под которым оно будет отображаться в списке всех правил.
Готово!
Теперь вам осталось только перезагрузить компьютер и изменения вступят в силу.
Как подключиться к сервису с новым портом?
Для подключения к компьютеру с измененным портом необходимо указывать новый порт в конце адреса сервера через двоеточие.
Пример: 192.168.0.2:33899
А мы напоминаем, что вы можете заказать удаленный рабочий стол в нашей компании и в случае возникновения каких-либо проблем данного характера – мы будем рады помочь вам в быстром решении и предоставлении качественного сервиса.
Выбрать локацию и заказать удаленный рабочий стол можно по ссылке
https://finerdp.com/ru/rdp-server
Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров67K
Для доступа удалённому Windows-серверу из Windows-системы большинство администраторов используют протокол удалённого рабочего стола (Remote Desktop Protocol — RDP). Есть, конечно, и существенная доля тех, кто оперирует более обширным перечнем вариантов подключения — Microsoft Remote Assistance, VNC, Radmin и много чего ещё, но мы поговорим про RDP. Вернее, не о самом RDP, а о проблемах, которые могут возникнуть при подключении к удалённому серверу при помощи этого протокола.
Для многих, вероятно, не составляет труда решить внезапно возникшее затруднение, когда почему-то не получается подключиться к виртуалке, вдобавок практически каждый, не сходя с места, подкинет пару-тройку советов, где и что следует глянуть, чтобы исправить проблему. И всё же, вдруг кто-то чего-то не знает. На этот случай под катом несколько способов выхода из ситуации — по большей части самых простых.
▍ Немного теории
RDP — сетевой протокол разработки корпорации Microsoft, позволяющий управлять удалённым компьютером или виртуальной машиной. Протокол был разработан для поддержки множества различных типов сетевых топологий, таких как ISDN, POTS, IPX, NetBIOS, TCP/IP. Текущая версия работает только по протоколу TCP/IP. Передача данных через стек RDP производится в рамках семиуровневых стандартов модели OSI. Данные из службы или приложения передаются вниз по стекам протоколов, где они разбиваются на секции, направляются в канал, шифруются, оформляются, упаковываются в сетевой протокол и, наконец, отправляются в адрес клиента. Возвращаемые данные обрабатываются так же, только в обратном порядке. Пакет лишается своего адреса, после чего разворачивается, расшифровывается и передаётся приложению.
Протокол использует архитектуру клиент-сервер, когда клиент инициирует подключение, а сервер отвечает на полученный запрос. Чтобы начать сеанс RDP, клиент посылает на удалённый узел запрос на подключение, включающий в себя данные, необходимые для входа в систему — учётную запись пользователя, разрешение и глубину цветопередачи экрана удалённого рабочего стола, параметры использования клавиатуры, звука и тому подобное. После чего сервер проверяет корректность учётных данных подключающегося пользователя и устанавливает соединение с клиентом.
В установленном соединении RDP использует сочетание методов сжатия, кэширования и кодирования для оптимизации передачи обновлений экрана, ввода с помощью мыши и клавиатуры и других данных.
Для подключения к удалённому рабочему столу из Windows-системы используется специальный клиент, запуск которого осуществляется при помощи комбинации клавиш Win и R, где необходимо ввести mstsc.
По умолчанию RDP использует на удалённой машине порт 3389. Для того, чтобы успешно установить соединение, этот порт должен быть открыт и доступен через брандмауэры и конфигурацию сетевой безопасности. При этом следует отметить, что номер порта может быть изменён администратором для приведения настроек конфигурации RDP в соответствие со своими конкретными потребностями.
▍ Недостаточность прав пользователя
Для многих очевидно, что пользователь, под именем которого производится подключение к удалённому рабочему столу, должен обладать определёнными полномочиями. В самом простейшем случае локальная учётная запись должна входить либо в группу Administrators, либо, если данной учётке не нужны администраторские привилегии, в группу Remote Desktop Users. Если же пользователь не обладает достаточными правами, ошибка при подключении выглядит следующим образом:
Решением в данном случае является добавление учётной записи дополнительных полномочий путём помещения её в соответствующую группу, либо потребуется настройка групповых политик, если вы используете Active Directory.
▍ Проверка порта RDP
Именно с возможным изменением номера порта связан первый из рассматриваемых рецептов восстановления неработающего подключения к удалённому рабочему столу. Если номер порта на удалённом сервере не совпадает с номером порта на локальной машине, клиент mstsc выдаёт ошибку, как на скриншоте ниже.
Чтобы проверить и при несоответствии изменить номер порта на удалённом сервере, придётся подключиться к нему либо при помощи консоли, либо с использованием какого-либо другого протокола — здесь вам в помощь VNC, Radmin или что-либо подобное. На серверах RUVDS для подобных ситуаций предусмотрен специальный аварийный режим работы, который по сути является аналогом консольного подключения. Для того, чтобы получить возможность управлять виртуальной машиной в данном режиме, достаточно кликнуть на изображение его экрана в списке серверов.
Получив доступ к удалённой машине, необходимо запустить редактор реестра. Для этого в строке поиска набираем regedit. В результате чего система найдёт соответствующее приложение.
Хорошим тоном в таких ситуациях является создание резервной копии на случай, если внесённые изменения приведут к каким-либо неожиданным последствиям. Системный реестр — серьёзная вещь, поэтому подобный подход здесь особенно важен. Чтобы создать бэкап в редакторе реестра, переходим в File, затем Export. После чего указываем место на диске, куда нужно сохранить файл резервной копии, в разделе Export range отмечаем сохранение всего реестра целиком и нажимаем Save.
Если что-то пойдёт не так, восстановить реестр из копии можно будет также в редакторе через File → Import.
Теперь к главному. В редакторе реестра через Edit → Find запускаем поиск ветки rdp-tcp.
В ветке RDP-Tcp ищем параметр PortNumber, открываем его, указываем отображение в десятичном формате и, если значением параметра является не 3389, меняем его и нажимаем ОК.
Теперь для применения внесённых изменений необходимо перезапустить службы удалённых рабочих столов. Чтобы это сделать, в строке поиска вводим services и выбираем приложение, в котором перечислены службы, работающие в фоновом режиме.
Здесь находим службу Remote Desktop Services и кликаем на Restart.
Кроме того, следует иметь в виду, что порт, предназначенный для подключения по RDP, должен быть открыт в брандмауэре удалённого сервера. Правила, применяемые для RDP, называются Remote Desktop — User Mode. Проверяем их тоже на всякий случай.
Если попытки подключиться по RDP всё ещё заканчиваются ничем, следует в числе прочего проверить статус протокола. Для этого также необходимо войти в удалённую систему через консоль или протокол, отличный от RDP, после чего запустить редактор реестра. Здесь проверяем параметр fDenyTSConnections, который находится в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server. Значением параметра может быть 0 или 1. Первое значение означает, что протокол работает, второе указывает на то, что он отключён. Естественно, устанавливаем значение параметра в 0 и снова пытаемся подключиться к серверу по RDP.
Для проверки статуса протокола удалённого рабочего стола можно использовать командную оболочку PowerShell. В поисковой строке набираем powershell и запускаем найденное приложение от имени администратора.
В командной строке выполняем команду Get-Service TermService и смотрим, что вывод показывает в колонке Status.
Здесь же проверяем, слушается ли порт 3389 на стороне сервера. Оптимально, если порт присутствует в списке и в столбце Status имеет значение Listen. Проверку состояния порта производим командой:
Get-NetTCPConnection -State Listen | Where-Object LocalPort -EQ 3389
Помимо этого, PowerShell позволяет проверить наличие в брандмауэре правила, разрешающего входящие RDP-подключения. Команда для такой проверки выглядит следующим образом:
Get-NetFirewallPortFilter | Where-Object LocalPort -EQ 3389 | Get-NetFirewallRule
О том, что доступ к порту разрешён, свидетельствует значение True в поле Enabled и значение Allow в поле Action.
Проверить состояние порта RDP можно также и из монитора ресурсов, для запуска которого после нажатия Win R вводим resmon.exe, либо в Control Panel переходим Administrative Tools → Resource Monitor. Активность на порту доступна для мониторинга в разделе TCP Connections вкладки Network.
▍ Проверка настроек файрвола в личном кабинете
В личном кабинете RUVDS присутствует штатный межсетевой экран, при помощи которого можно легко настроить параметры доступа к виртуальным серверам. Основой конфигурации данного файрвола является набор разрешающих и запрещающих правил, создаваемых владельцем виртуалок. Для доступа к настройкам межсетевого экрана переходим в личный кабинет и в настройках сервера переключаемся на вкладку Сеть, где кликаем на Настроить файрвол для публичных адресов. Чтобы получить доступ к изменению конфигурации межсетевого экрана, необходимо корректно набрать пароль от личного кабинета.
В открывшемся окне обратите внимание на список правил файрвола. Здесь нас в первую очередь должны интересовать правила, касающиеся рассматриваемого протокола. Если ранее вы уже прописывали правила, позволяющие или запрещающие подключаться к порту RDP из какой-то определённой сети или с какого-либо IP-адреса, то, вероятно, невозможность подключения к виртуальной машине заключена именно в этом. Убедитесь, что IP-адрес, с которого вы пытаетесь соединиться с вашим VPS, является валидным с точки зрения текущего набора правил.
Желание обезопасить сервер путём ограничения доступа к нему не лишено здравого смысла, но всё же требует определённой степени аккуратности. Здесь важно не заблокировать доступ самому себе.
▍ Проверка локальной рабочей станции
Корнем проблем, препятствующих бесперебойному подключению по RDP, может служить компьютер, с которого такое подключение производится. В некоторых случаях помогает очистка истории RDP-подключений. Сделать это можно в редакторе реестра на локальной машине. А именно, открываем редактор, для чего используем комбинацию клавиш Win и R, где вводим regedit.exe и переходим на ветку HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client. Там разворачиваем ветку Default и выделяем все параметры с именами MRU0-MRU9, потом нажимаем правую кнопку мыши и кликаем на Удалить.
Там же можно очистить всю историю RDP-подключений вместе с сохранёнными адресами и именами пользователей. Для этого необходимо удалить содержимое ветки Servers. Поскольку выделять все вложенные ветки внутри Servers не совсем сподручно, удобнее будет удалить данную ветку целиком и после этого создать новую с таким же названием.
После таких манипуляций с реестром перезагружаем локальный компьютер и пробуем подключиться к удалённой машине.
В некоторых случаях может помочь изменение настроек подключения в клиенте mstsc. Для этого запускаем его, нажимаем стрелочку Показать параметры и переходим во вкладку Взаимодействие. Здесь устанавливаем или убираем галочку в строке Восстановить подключение при разрыве (действие зависит от того, в каком состоянии находится данный чекбокс).
Затем снова пробуем при помощи кнопки Подключить.
▍ Заключение
При любых сложностях в подключении к удалённой машине следует помнить, что доступ к виртуальному серверу RUVDS возможен через аварийный режим. Данный режим хотя и имеет ограничения по времени использования, всё же позволяет решить проблему на стороне удалённого сервера. В то же время, как мы уже смогли убедиться, причина невозможности подключения может заключаться в рабочей станции, с которой производится подключение.
Не всегда неудачная попытка подключения по RDP заканчивается выводом какой-либо ошибки. Для пользователя, который подключается к удалённой системе, это может выглядеть как «бесконечный коннект». В такой ситуации полезно убедиться, что на виртуальном сервере установлено достаточное количество оперативной памяти, которое позволяет службе RDP работать в штатном режиме. К примеру, на удалённой системе может быть запущено чрезмерное количество торговых ботов, и под такой нагрузкой у сервера нет возможности поддерживать полноценную работу RDP.
Также никто не отменял самый популярный метод решения всех неурядиц — перезагрузку машины. Не исключено, что сервер банально «завис». Перезапустить его можно в личном кабинете при помощи соответствующей кнопки под изображением экрана виртуалки.
Если решить проблему всё же не удаётся, всегда можно инициировать переустановку операционной системы на виртуальном сервере, если на нём нет важной информации или такие данные предварительно сохранены. Ну, и естественно, можно обратиться к специалистам технической поддержки.
Скидки, итоги розыгрышей и новости о спутнике RUVDS — в нашем Telegram-канале ?
RDP (Remote Desktop Protocol) — это протокол, разработанный корпорацией Microsoft для предоставления удалённого доступа к рабочему столу и приложениям на удалённой рабочей станции. Данный протокол позволяет пользователям подключаться к другому компьютеру через сеть и управлять им так, как если бы они находились непосредственно перед ним.
В RDP используется шифрование для защиты данных, передаваемых между клиентом и сервером, что обеспечивает конфиденциальность и целостность информации. Также протокол передаёт графические данные от удалённого компьютера к клиентскому устройству и передаёт данные ввода от клиента к серверу.
По умолчанию для подключения по RDP используется порт 3389, что довольно часто является целью автоматических сканеров и ботнетов, которые ищут уязвимые системы. Помочь снизить вероятность успешности таких атак в значительной степени позволяет изменение порта.
В данной статье разберём, как можно изменить номер порта, используемый RDP, средствами операционной системы на виртуальном сервере, работающем на Windows Server 2016.
Изменение номера порта
Для изменения порта откройте редактор системного реестра, для чего нажмите комбинацию клавиш Win R и там наберите regedit. Затем нажмите ОК.
В редакторе реестра откройте ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp, где найдите параметр PortNumber. Данный параметр в качестве своего значения содержит номер порта, используемого системой для входящих подключений по RDP. Откройте параметр для редактирования, укажите формат числа как десятичный, переключив параметр Base на Decimal, и в строке Value data укажите новый номер порта. После чего нажмите ОК.
Также процедуру изменения номера порта можно проделать при помощи PowerShell. Запуск данной командной оболочки производится с использованием комбинации клавиш Win R, где необходимо набрать powershell и нажать ОК.
Команда, вносящая соответствующее изменение в системный реестр, выглядит следующим образом:
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 12345
В данном случае 12345 — устанавливаемый номер порта. В своей команде замените его на значение, которое вы планируете использовать на своём VPS.
Настройка Windows Firewall
В случае, если на удалённом сервере работает брандмауэр Windows, вам дополнительно потребуется создать разрешающее правило для входящих подключений с применением нового номера порта. Для запуска брандмауэра используйте комбинацию Win R, где введите firewall.cpl и нажмите ОК.
В открывшемся окне кликните в строку Advanced settings в правой его части.
Далее перейдите в раздел Inbound Rules, нажмите правую кнопку мыши и в открывшемся меню выберите New Rule.
В стартовом окне мастера создания нового правила выберите тип правила Port и нажмите Next для продолжения.
На следующем шаге укажите тип порта TCP, после чего установите переключатель на Specific local ports и в его строке наберите номер порта, который вы планируете установить для подключения по RDP. После чего нажмите Next.
Затем выберите действие, которое создаваемое правило будет выполнять. Поскольку мы создаём разрешающее правило, то следует установить переключатель на Allow the connection.
Так как используемое на данном виртуальном сервере сетевое подключение относится к публичным сетям, то на этом этапе достаточно оставить активным лишь тип сетей Public.
На заключительном шаге необходимо в строку Name ввести название создаваемого правила, например, Remote Desktop - User Mode (TCP-In). Правило будет создано после того, как вы нажмёте Finish.
Применение новых настроек
Для применения новых настроек запустите командную строку от имени администратора. Для этого в строке поиска наберите cmd и на строке Command Prompt нажмите правую кнопку мыши, где выберите Run as administrator.
В командной строке выполните команду, которая перезапустит службу удалённых рабочих столов:
net stop termservice & net start termservice
Следует учесть, что если для внесения данных изменений вы используете RDP-подключение к серверу, то при выполнении этой команды вы потеряете контроль над виртуальной машиной.
Для того, чтобы снова подключиться к удалённому рабочему столу, необходимо использовать уже изменённый номер порта. Его следует указать через двоеточие после IP-адреса вашей виртуальной машины.
