Введение
- Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
- Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
- Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
- Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.
- Кратким упоминанием про версии RDP
- Настройкой режима защиты RDP-сессии
- Настройкой шифрования для RDP
- Привязкой к конкретному адаптеру и порту
- Меняем стандартный порт на нужный
- Делаем раздельные настройки RDP для нескольких сетевых адаптеров
- Включением NLA
- Как включается NLA со стороны RDP-сервера
- NLA и Windows XP
- Как включить CredSSP в XP
- Выбором правильного сертификата для RDP
- Блокированием подключений по RDP учётным записям с пустым паролем
- Настройка ACL для подключения по RDP
- Оптимизацией скорости RDP
- Отключаем редирект неиспользуемых устройств
- Настраиваем общую логику оптимизации визуальных данных RDP
- Оптимизацией сжатия RDP
- Настраиваем общее сжатие RDP
- Настраиваем сжатие аудиопотока RDP
- Оптимизацией соотношения потоков данных RDP
- Включением Require secure RPC communication для RDP
listener state not listening на windows 10 что делать?
Если все же хотите поковыряться, проверьте наличие обновления KB4493464 . Если оно есть у вас в системе — удалите и переустановите RDP Wraper. Самую полную информацию вы можете поискать в ветках форума github.com. В качестве частых рекомендаций — замена системних библиотек в каталоге C:Windowssystem32 Если у вас работает программа, то вам повезло. Сохраните нужные рабочие файлы системных библиотек — они Вам пригодятся.
После обновлений помогает замена этих системных файлов, termsvr.dll (и иногда советуют rfxvmt.dll) на работоспособные. Самая большая проблема найти такой, от вашей версии.
Замена системных файлов — тоже не такой простой процесс. Остановлюсь на этом подробнее. Система запрещает их удалять или изменять, но можно временно снять запрет. Сначала остановим службы, которые используют нужный файл:
Теперь нужно найти и удалить системную библиотеку termsvr.dll. Она находится в системной папке WindowsSystem32 и мы будем менять ее на другую В свойствах файла, во вкладке «Безопасность» выясняем кто владелец файла, нажав на кнопку «Дополнительно»:
Нужно назначить себя владельцем этого файла, для того чтобы получить полный доступ к нему:
Вводим имя пользователя (с правами Администратора) проверяем имена и нажимаем ОК
Убеждаемся, что все сделали правильно, применяем изменения.
Далее, присвоим полные права доступа к termsvr.dll новому владельцу, потому как сейчас он имеет право только на чтение и выполнение:
Проставляем галочки на всем что можно и применяем изменения к выбранной группе(Администраторы):
После чего файл из папки System32 должен легко удалится. Заменяем его работоспособным.
Determining the current Remote Desktop port
Now that we are connected to a remote computer (TERMINAL, in our example), you can use the following command to determine what port number RDP is currently using:
(Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber).PortNumber
Using PowerShell to view the port number currently used by RDP
This command returns the current port number used by the RDP service on your target computer. You can see that the information is stored in the Windows registry, and we just queried the particular registry key for the port number using the Get-ItemProperty cmdlet. Modern versions of Windows (starting with Server 2012 and Windows tend to use both the TCP and UDP protocols for RDP, which essentially means that, by default, the remote desktop server service (TermService) listens on both TCP 3389 and UDP 3389 on a typical Windows system. You can confirm this by running the Get-NetTCPConnection and Get-NetUDPEndpoint commands, as shown in the following screenshot:
Using the NetTCPConnection and Get NetUDPEndpoint commands to view the TCP and UDP endpoints for RDP
При подключении к удаленному рабочему столу произошла ошибка при проверке подлинности, как исправить?
При первом подключении может возникнуть ошибка проверки подлинности. В «свойствах компьютера» через «дополнительные параметры системы» открываем вкладку «удаленный доступ» и проверяем настройки как на фотографии:
Флаг «проверка подлинности» убираем. Если планируется многопользовательская работа — заводим учетные записи пользователей и через «Выбрать пользователей» добавляем их в список (на проф. версии). Всем удачи!
- https://virtualniy-mir.ru/kak-nastroit-rdp-na-vindovs-10/
- https://ip-calculator.ru/blog/ask/kak-ispolzovat-udalennyj-rabochij-stol-windows-10-home-rdp/
- https://fast-wolker.ru/kak-podklyuchit-rdp-windows-10-home.html
Как работает RDP
Доступ к другому компьютеру производится через порт TCP 3389 по умолчанию. На каждом персональном устройстве он предустановлен автоматически. При этом существует два вида соединения:
- для администрирования;
- для работы с программами на сервере.
Серверы, где установлена ОС Windows Server поддерживают два удаленных подключения РДП сразу (это в том случае, если не активирована роль RDP). Компьютеры, не являющиеся серверами имеют только по одному входу.
Соединение между компьютерами производится в несколько этапов:
- протокол, основой которого является TCP, запрашивает доступ;
- определяется сессия протокола удаленного рабочего стола. Во время этой сессии утверждаются инструкции передачи данных;
- когда завершится этап определения сервер передаст другому устройству графический вывод. В этот же момент он получает данные от мышки и клавиатуры. Графический вывод – это точно скопированное изображение или команды на отрисовку различных фигур, типа линий, кругов. Такие команды являются ключевыми задачами для данного вида протокола. Они сильно экономят расход трафика;
- клиентский компьютер превращает эти команды в графику и выводит их на экран.
Также этот протокол имеет виртуальные каналы, которые позволяют соединиться с принтером, работать с буфером обмена, использовать аудиосистему и др.
Безопасность соединения
Существует два вида защищенного соединения через RDP:
- встроенная система (Standard RDP Security);
- внешняя система (Enchanced RDP Security).
Они отличаются тем, что в первом типе используется шифрование, обеспечение целостности создается с помощью стандартных средств, которые есть в протоколе. А во втором виде используется модуль TLS для установки защищенного соединения. Разберем подробней процесс работы.
Диспетчер задач Windows 10 — что это такое, как открыть и его возможности
Встроенная защита осуществляется так — в начале проходит аутентификация, затем:
- при включении будут сгенерированы RSA ключи;
- изготавливается открытый ключ;
- подписывается RSA, который вшит в систему. Он есть в любом устройстве с установленным протоколом удаленного стола;
- клиентское устройство при подключении получает сертификат;
- проверяется и происходит получение этого ключа.
Затем происходит шифрование:
- стандартно используется алгоритм RC4;
- для серверов Виндоус 2003 используется 128 битная защита, где 128 бит — длина ключа;
- для серверов Wndows 2008 – 168 бит.
Целостность контролируется с помощью генерации mac-кодов основанных на алгоритме MD5 и SHA1.
Внешняя система безопасности работает с модулями TLS 1.0, CredSSP. Последний совмещает в себе функциональности TLS, Kerberos, NTLM.
Окончание подключения:
- компьютер проверяет разрешение на вход;
- шифр подписывается по протоколу TLS. Это лучший вариант защиты;
- разрешается вход единожды. Каждая сессия шифруется отдельно.
Настройка порта RDP
Если система, которой выполняется RDP подключение, находится за роутером, то может потребоваться настройка порта. Для этого стандартным образом подключитесь к роутеру через веб-интерфейс (используемый для этого адрес необходимо уточнить в инструкции к оборудованию). Далее найдите в настройках раздел Port Forwarding (перенаправление портов). Потребуется добавить в него правило со следующими параметрами:
- название может быть произвольным;
- в качестве порта выберите 3389 TCP;
- IP введите от своего ПК;
- локальный порт также пропишите 3389;
- выберите протокол TCP из списка.
После этого станет возможно подключаться удаленно и работать с ПК.
Настройка удаленного рабочего стола Chrome
Установка «Удалённый рабочий стол Chrome»
Установите программу «Удаленный рабочий стол Chrome» на каждый компьютер, к которому хотите иметь удаленный доступ, и на каждый компьютер, который будет использоваться для удаленного доступа.
- Перейдите на страницу программы «Удаленный рабочий стол Chrome» в Веб-магазине Chrome.
- Чтобы установить, нажмите кнопку Добавить в Chrome.
- Когда появится диалоговое окно подтверждения, нажмите Установить.
После установки программы откроется новая вкладка и значок программы появится в разделе «Программы» страницы новой вкладки (для устройств Chrome: его можно найти в списке программ).
При первом запуске программы «Удаленный рабочий стол Chrome» Вам нужно будет подтверждать ее, чтобы иметь возможность выполнять следующие действия.
- Просмотр вашей электронной почты;
- Просмотр компьютеров, зарегистрированных в программе «Удаленный рабочий стол Chrome»;
- Получение и отправка сообщений чата (таким образом два компьютера «общаются» между собой).
Включение удаленных соединений
Чтобы включить компьютер, к которому нужно получить удалённый доступ, следуйте инструкциям ниже. Нужно использовать аккаунт Google.
- Откройте новую вкладку в Google Chrome, нажав на кнопку вверху окна браузера или комбинацию клавиш Ctrl + T;
- Нажмите на панели Программы, чтобы открыть «Удаленный рабочий стол Chrome»;
- Если в окне «Мои компьютеры» появится кнопка Начать, нажмите, чтобы увидеть параметры удаленного соединения;
- Нажмите Включить удаленные соединения;
- Установите Chrome Remote Host Service (служба удаленного хоста Chrome).
Инструкции для Windows
- Введите PIN-код, повторно введите PIN-код и нажмите OK.
- Нажмите Да, чтобы установить Chrome Remote Host Service. Хостинговая служба автоматически загружается и установливается.
- Появится окно подтверждения. Подтвердите аккаунт Google и снова введите PIN-код, чтобы продолжить.
- Подключенный компьютер появится в разделе «Мои компьютеры».
Может появиться окно управления учетными записями Windows и попросить разрешения на установку. Если у вас нет прав администратора на компьютере, свяжитесь с системным администратором, чтобы закончить процесс установки.
Инструкции для ОС Mac
- Chrome начнет загрузку файла установки .Dmg. Нажмите кнопку Сохранить.
- Выберите файл chromeremotedesktop.dmg на панели загрузок Download, чтобы запустить программу установки.
- Перейдите в программу Finder и найдите окно «Удаленное управление Chrome» с пакетом программы установки «Chrome Remote Desktop.mpkg».
- Дважды щелкните файл Chrome Remote Desktop.mpkg, чтобы запустить программу установки.
- Следуйте инструкциям на экране, чтобы закончить установку.
- Как только установка завершится, вернитесь в Chrome и нажмите OK в диалоговом окне на экране, чтобы включить компьютер для удаленного доступа.
- Введите PIN-код, повторно введите PIN-код и нажмите OK.
- Появится диалоговое окно настроек системы System Preferences. Разблокируйте панель и подтвердите свой аккаунт и PIN-код еще раз.
- Когда появится сообщение с текстом «Удаленные соединения для этого компьютера включено», нажмите «OK», чтобы закрыть его.
- Подключенный компьютер появится в разделе «Мои компьютеры».
Защита компьютера PIN-кодом
Защита компьютера с включенными удаленными подключениями с помощью PIN-кода добавляет еще один уровень безопасности, кроме тех, которые обеспечивает обычный пароль учетной записи Google. Даже если ваш аккаунт будет взломан, компьютер остается в безопасности.
Доступ к вашим компьютерам с помощью только PIN-кода невозможно получить – нужно также войти в аккаунт Google.
Ниже приведены несколько советов по улучшению защиты этой функции:
- Ваш PIN-код должен состоять, по крайней мере, из 6 цифр, но может быть и длиннее. Длинный PIN-код обеспечивает лучшую защиту.
- Используйте различные PIN-коды для каждого компьютера, зарегистрированного в программе «Удаленное управление Chrome».
- Старайтесь запомнить PIN-код, а не записывать его. Если вы его записали, держите эту запись в надежном месте.
Внимание!
- Не используйте PIN-код, которым вы уже пользуетесь для другой службы, например, своего банковского счета.
- Не храните PIN-код в электронном письме, документах и т.д., где его могут найти, если ваш аккаунт будет взломан.
- Не передавайте PIN-код с помощью SMS или сообщения в чате, и не передавайте его людям, которым не доверяете.
- Не сообщайте свой PIN-код в текстовых сообщениях или чатах или тем, кому не доверяете.
Альтернативы удаленному рабочему столу
Приведенные выше шаги должны позволить вам настроить подключения к удаленному рабочему столу через маршрутизатор. Однако, если ваши подключения к удаленному рабочему столу не работают или вы недовольны качеством, есть альтернативы RDP. Например, такие приложения, как TeamViewer, позволят вам легко подключиться к компьютеру.
Вы также можете использовать различные инструменты управления удаленным рабочим столом для поддержания ваших подключений, или вы можете подумать о настройке VPN для установления соединений с вашим удаленным компьютером. Вы также можете рассмотреть как удаленно выключить или перезагрузить компьютер чтобы перезагрузить компьютер, если у вас возникнут проблемы.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Change RDP Listening Port Number with PowerShell
A complete PowerShell script to change the RDP port number, create the firewall rule, and restart the Remote Desktop service might look like this:
You can change the RDP port number on a remote computer. To do this, you need to enable WinRM on the remote computer, and then you can use the Invoke-Command cmdlet to connect to the computer:
If you need to change the RDP number remotely on multiple computers in your AD domain (in the specific OU), use the following script (you can get a list of computers in the OU using the Get-ADComputer cmdlet):
This guide for changing the default RDP port is suitable for any Windows version starting from Windows XP (Windows Server 2003) and up to modern Windows 10, Windows 11, and Windows Server 2022 builds.
Настройка порта RDP
Если система, которой выполняется RDP подключение, находится за роутером, то может потребоваться настройка порта. Для этого стандартным образом подключитесь к роутеру через веб-интерфейс (используемый для этого адрес необходимо уточнить в инструкции к оборудованию). Далее найдите в настройках раздел Port Forwarding (перенаправление портов). Потребуется добавить в него правило со следующими параметрами:
- название может быть произвольным;
- в качестве порта выберите 3389 TCP;
- IP введите от своего ПК;
- локальный порт также пропишите 3389;
- выберите протокол TCP из списка.
После этого станет возможно подключаться удаленно и работать с ПК.
Как включить перенаправления портов в Windows 10 с помощью netsh portproxy?
Настройка переадресации портов в Windows выполняется из командной строки в режиме Portproxy команды Netsh. Синтаксис команды следующий:
где это находится,
- listenaddress – локальный IP-адрес, на котором ожидается соединение (полезно, если у вас несколько сетевых карт или несколько IP-адресов на одном интерфейсе);
- listenport – номер локального TCP-порта, соединение на которое будет перенаправлено (на этом порту ожидается входящее соединение);
- connectaddress – локальный или удаленный IP-адрес или DNS-имя, на которое вы хотите перенаправить сетевое соединение;
- connectport – номер TCP-порта, на который вы хотите перенаправить трафик с прослушивающего порта.
Используя параметры
, вы можете создавать правила переадресации портов между адресами IPv4 и IPv6.
Допустим, наша задача – заставить службу RDP отвечать на нестандартный порт, например 3340 (этот порт, конечно, можно изменить в настройках самой службы, но мы используем RDP, чтобы упростить продемонстрировать технику переадресации и переадресацию портов). Для этого нам нужно перенаправить входящий трафик с TCP-порта 3340 на другой локальный порт – 3389 (это стандартный номер порта RDP).
Примечание
Обратите внимание, что номер локального порта, указанный в listenport, не должен быть занят (прослушиваться) другой службой. Убедитесь, что номер порта свободен с помощью команды:
Кроме того, вы можете проверить, не прослушивает ли порт локально, с помощью командлета PowerShell Test-NetConnection:
Чтобы создать правило переадресации портов, запустите командную строку от имени администратора и выполните команду:
Где 10.10.1.110 – текущий IP-адрес этого компьютера
Теперь используйте утилиту netstat, чтобы убедиться, что Windows теперь прослушивает локальный порт 3340:
Примечание. Если эта команда ничего не возвращает и переадресация портов через интерфейс netsh portproxy не работает, убедитесь, что в вашей системе включен iphlpsvc (IP Helper).
А на сетевом интерфейсе, для которого создано правило переадресации портов, должна быть включена поддержка IPv6.
Это предварительные условия для правильной работы переадресации портов. Без IP Helper и без включенной поддержки IPv6 механизм пересылки не работает.
В Windows Server 2003 / XP для работы перенаправления вам также необходимо включить параметр реестра IPEnableRouter = 1 в ветке HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters.
можно определить процесс, прослушивающий указанный локальный порт, используя его PID (в нашем примере PID – 636):
Теперь попробуем подключиться к этому порту с удаленного компьютера с помощью любого RDP-клиента. В качестве порта rdp необходимо указать 3340 (номер порта указывается после двоеточия после адреса сервера rdp), например,
RDP-соединение должно быть установлено правильно.
Если вам нужно перенаправить входящее TCP-соединение на удаленный компьютер, используйте следующую команду:
Это правило перенаправит весь входящий трафик RDP (с локального TCP-порта 3389) с этого компьютера на удаленный компьютер с IP-адресом 192.168.1.100.
Кроме того, для перенаправления локального порта на удаленный сервер в Windows вы можете использовать метод SSH-туннелирования.
Используем протокол SSL/TLS для защиты RDP
Если соединение с RDP-сервером реализовывается не через VPN, для обеспечения защиты подключений рекомендуется активировать SSL/TLS-туннелирование соединения.
Опцию RDP через TLS можно активировать через набор правил и настроек защиты сервера удаленных рабочих столов. Введите команду gpedit.msc и перейдите в раздел Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Безопасность. Откройте политику Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP. Выберите значение Включено и выберите уровень безопасности SSL (рис. 14).
Рис. 14. Включение RDP через TLS
Настройка и управление IP
Вместо имени компьютера часто используется IP. Чтобы его просмотреть, правым кликом по значку текущего подключения вызовите Центр управления сетями.
Далее кликните непосредственно по каналу связи с интернетом (например, Ethernet) для просмотра состояния.
В просмотре состояния нажмите Сведения.
Отобразится детальная информация, из которой нужно запомнить или записать IP.
Если адрес выдается динамическим образом, то при повторных включениях ПК он может измениться, и тогда потребуется его каждый раз заново узнавать. Вместо этого, иногда настраивают статический адрес, который остается неизменным при перезагрузках.
В окне просмотра состояния перейдите к свойствам. Далее выберите протокол IPv4 и откройте детальный просмотр.
В качестве адреса укажите значение, которое не попадает в используемый для динамического использования диапазон. Соответствующую настройку можно опять-таки найти в роутере.
Традиционно маска указывается в виде 255.255.255.0, так что IP должен отличаться от адреса шлюза (его не меняем) только последним числом.
В качестве DNS можно указать используемые в вашей сети значения или же воспользоваться публичными сервисами: 8.8.8.8 от Google, 1.1.1.1 от Cloudflare и так далее.
Если используется фиксированный адрес и прямое подключение (то есть у вашего ПК «белый» IP, уточните данную информацию у своего провайдера), его также можно просмотреть при помощи внешних сервисов вроде https://2ip.ru.
Windows — Изменение порта TCP RDP
Хотите узнать, как изменить порт TCP службы RDP на Windows? В этом учебнике мы покажем вам, как настроить службу удаленного рабочего стола, чтобы использовать другой порт TCP на компьютере под управлением Windows.
• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7
В нашем примере служба RDP будет настроена на использование порта TCP 3333.
Список оборудования
Здесь вы можете найти список оборудования, используемого для создания этого учебника.
СПИСОК ОБОРУДОВАНИЯ
Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.
На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.
Список учебных пособий
Учебник RDP — Изменение порта TCP
Как администратор, запустите повышенный командный запрос.
Изменение порта TCP службы RDP.
Copy to Clipboard
Syntax Highlighterreg add «HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP» /v PortNumber /t REG_DWORD /d 3333 /f
Создайте правило брандмауэра, разрешая ввод пакетов в новый порт RDP.
Copy to Clipboard
Syntax Highlighternetsh advfirewall firewall add rule name=»RDP PORT 3333″ dir=in action=allow protocol=TCP localport=3333
Перезапустить службу RDP.
Copy to Clipboard
Syntax Highlighternet stop TermService && net start TermService
В нашем примере мы настроили службу RDP для использования порта TCP номер 3333.
В нашем примере мы создали правило брандмауэра, разрешая ввод пакетов в новый порт обслуживания RDP.
Доступ к службе RDP с помощью другого порта TCP.
Дополнительно используйте командную линию для доступа к службе RDP с помощью другого порта TCP.
Copy to Clipboard
Syntax Highlightermstsc /v:192.168.0.1:3333
Поздравляю! Вы изменили порт службы удаленного рабочего стола TCP.
Учебник RDP — Настройка порта TCP с помощью REGEDIT
В качестве администратора запустите приложение Windows Registry Editor.
На экране редактора реестра найдите следующий элемент.
Copy to Clipboard
Syntax HighlighterHKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > WinStations > RDP-TCP > PortNumber
Редактировать элемент под названием PORTNUMBER.
Выберите десятичную опцию и измените порт TCP службы RDP.
Перезапустить службу RDP.
В нашем примере мы настроили службу RDP для использования порта TCP номер 3333.
Доступ к службе RDP с помощью другого порта TCP.
Дополнительно используйте командную линию для доступа к службе RDP с помощью другого порта TCP.
Copy to Clipboard
Syntax Highlightermstsc /v:192.168.0.1:3333
Поздравляю! Вы изменили порт RDP с помощью редактора реестра Windows.
2020-11-26T16:40:49-03:00
Изменение порта RDP
Теперь, когда вы уверены, что служба удаленных рабочих столов на вашем целевом компьютере в настоящее время использует порт по умолчанию, используйте следующую команду, чтобы изменить номер порта RDP:
Set-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\» -Name PortNumber -Value 50102
1 | Set-ItemProperty-Path»HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\»-Name PortNumber-Value50102 |
Изменение порта RDP с помощью PowerShell
Эта команда использует командлет Set-ItemProperty для изменения номера порта на временный порт (50102, в нашем примере). При изменении номера порта RDP с помощью этой команды конечные точки TCP и UDP будут изменены на один и тот же номер порта.
Вы можете использовать любой номер порта, но рекомендуется использовать от 1024 до 65535. Некоторым людям даже нравится использовать номер порта из предложенного диапазона IANA (49152-65535), поскольку он вряд ли будет конфликтовать с другими известными или настраиваемыми службами.