Koje portove otvoriti za rdp. Prosljeđivanje portova na ruteru

25.04.2019 Windows 10

Da promijenite zadani port za sve kreiran od strane servera terminala za nove veze, slijedite ove korake.

Pokrenite Regedt32 i otvorite sljedeći odjeljak registar:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Bilješka. Dati put do ključa registratora je jedan red, koji je podijeljen na dva radi lakšeg snalaženja.
Potražite u pododjeljku "PortNumber" vrijednost 00000D3D (3389 u heksadecimalnom obliku). Promijenite broj porta u heksadecimalnom formatu i spremite novu vrijednost.
Za promjenu porta za specifična veza na terminal serveru, slijedite ove korake.
Pokrenite program Regedt32 i otvorite sljedeći ključ registratora:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\veza

BILJEŠKA. Dati put do ključa registratora je jedan red, koji je podijeljen na dva radi lakšeg snalaženja.
Potražite u pododjeljku "PortNumber" vrijednost 00000D3D (3389 u heksadecimalnom obliku). Promijenite broj porta u heksadecimalnom formatu i spremite novu vrijednost.
Bilješka. Budući da alternativni portovi nisu u potpunosti podržani u Terminal Serveru 4.0, promjene će stupiti na snagu samo kada je to moguće. Ako dođe do sukoba, prethodna vrijednost mora biti postavljena na 3389.

Za promjenu porta na strani klijenta, slijedite ove korake.

Pokrenite čarobnjak za povezivanje klijenta.
Na meniju File odaberite stavku Nova veza i kreirajte novu vezu. Nakon toga, nova veza bi se trebala pojaviti na listi.
Označite novu vezu i izaberite iz menija File tim Izvoz. Sačuvajte ga kao name.cns.
Uredite .cns datoteku u Notepad-u, mijenjajući “Server Port=3389″ u “Server Port= xxxx“, gdje je xxxx nova luka naveden na terminal serveru.
Uvezite datoteku u čarobnjak za povezivanje klijenta. Ako trenutna datoteka ima isto ime, od vas će biti zatraženo da je prepišete. Potvrdite da prepišete datoteku. Konfiguracija porta klijenta sada odgovara promijenjenim vrijednostima na terminal serveru.

Bilješka. Klijent ActiveX servera Windows terminali 2000 se uvijek povezuje samo na TCP port 3389 i to se ne može promijeniti. U ActiveX klijentu terminalskog servera u Microsoft Windows XP i Microsoft Windows Server 2003 podržava mogućnost promjene postavki porta. Dodatne informacije Pogledajte sljedeći članak Microsoftove baze znanja:

326945 Kako ponovo dodijeliti port za slušanje terminalskog servera u klijentu Windows terminalskog servera (ova veza može ukazivati na sav ili dio sadržaja na engleskom.)

Bilješka. Da biste aktivirali novi port za slušanje, morate ponovo pokrenuti terminal server ili ponovo kreirati RDP slušač u konfiguraciji terminalskih usluga.

Bilješka. Windows 2000 Terminal Server ActiveX klijent se uvijek povezuje samo na TCP port 3389 i to se ne može promijeniti. ActiveX terminal server klijent u Microsoft Windows XP i Microsoft Windows Server 2003 podržava mogućnost promjene postavki porta. Za više informacija pogledajte sljedeći članak Microsoftove baze znanja: 326945 Kako ponovo dodijeliti port za slušanje terminalskog servera u klijentu Windows terminal servera (ova veza može ukazivati na sav ili dio sadržaja na engleskom.)
Bilješka. Da biste aktivirali novi port za slušanje, morate ponovo pokrenuti terminalski server ili ponovo kreirati RDP slušač u konfiguraciji terminalskih usluga.

Uobičajeni zadatak: podešavanje udaljenog pristupa računaru koji je povezan na Internet preko rutera.

Rješenje: izvršite prosljeđivanje portova na ruteru. Port prosljeđivanje se također naziva objavljivanje luke ili port forwarding. U engleskoj terminologiji se koriste termini Port Forwarding I Port Publishing.

Šta je prosljeđivanje porta?

Prosljeđivanje porta je mapiranje određenog eksterni port gateway (ruter, modem) sa potreban port ciljni uređaj u lokalna mreža(serveri, radna stanica, mrežna pohrana, kamera, diktafon, itd.)

Ali koji port proslediti zavisi od toga kako želite da pristupite računaru.

Kako postaviti daljinski pristup putem RDP-a (udaljena radna površina, terminal)

RDP veze se uspostavljaju na portu 3389 ciljnog računara. Šta treba učiniti:

Korak 1 Dozvoli dolazni RDP veze na kompjuteru

Pažnja! Moguće je uspostaviti DOLAZEĆE konekcije putem udaljene radne površine sa sljedećim izdanjima Windows OS-a:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.

U Windows XP Starter, Home Edition, u Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium prilika Nema dolaznih veza.

Za to otvaramo Svojstva sistema(WIN+Break), kliknite na link Dodatne opcije sistemi:

Idite na karticu Daljinski pristup, postavite prekidač u položaj Dozvolite veze sa ovim računarom, poništite oznaku Dozvoli veze samo s računara koji koriste udaljenu radnu površinu s provjerom autentičnosti na nivou mreže (preporučeno) i kliknite uredu da primenite postavku:

Korak 2 Kreirajte na računaru račun, pod kojim će se povezati korisnik udaljene radne površine.

Zahtjev br. 1. Ovo nalog mora imati lozinku. Prema zadanim postavkama lokalne sigurnosne politike, računi Bez lozinke, RDP veza je zabranjena. Nije preporučljivo dozvoliti daljinski pristup nalozima koji nisu zaštićeni lozinkom u sigurnosnim politikama. To će stvoriti prijetnju od neovlaštenog pristupa uljeza.

Zahtjev br. 2. Ako korisnik NIJE administrator na lokalni računar, mora se dodati u grupu. Ovo se može uraditi na dva načina.

Kako omogućiti korisniku bez administrativnih privilegija da se poveže na udaljenu radnu površinu

Prvi metod.

Kliknite desni klik By sistemska prečica Ovaj kompjuter i odaberite Kontrola:

U prozoru Upravljanje kompjuterima izaberite Lokalni korisnici i grupe => Korisnici:

Pronađite traženog korisnika na listi i dvostruki klik nazovite njegova svojstva:

Idite na karticu Grupno članstvo i pritisnite dugme Dodati:

Kliknite na dugme Dodatno:

Zatim dugme Traži:

Odaberite grupu sa liste Korisnici udaljene radne površine i pritisnite uredu:

U prozorima Grupni odabir I Svojstva:<пользователь> kliknite UREDU:

Metod dva.

Otvorite svojstva sistema (Win+Break), kliknite Dodatne opcije:

Idite na karticu Daljinski pristup i pritisnite dugme Odaberite korisnike:

Kliknite na dugme Dodati:

Kliknite Dodatno:

I Traži:

Na listi izaberite korisnički nalog za koji želite da dodelite prava daljinski pristup i pritisnite uredu:

Sada kliknite uredu u sljedeća dva prozora:

Korak 3 Kreirajte pravilo prosljeđivanja na ruteru, prema kojem će se, kada se napravi zahtjev na datom portu, veza preusmjeriti na port 3389 željenog računara.

U ruterima Potreban je D-Link sekcija se može pozvati Virtuelni server, kao u D-Link DIR-615:

Takođe, može se nazvati Port Forwarding, kao, na primjer, u DIR-300:

Suština je ista:

Dajemo proizvoljno ime pravilu;
Otvaranje Nestandardni port na ruteru koji nije zauzet (polj Javna luka);
Naznačavamo IP adresu ciljnog računara na mreži na koju treba da ide obrisan korisnik(polje IP adresa);
Naznačavamo broj porta preko kojeg se aplikacija ili usluga pokreće na računaru. U našem slučaju, za uslugu Remote Desktop Server ovo je port 3389 (polje Privatna luka).

Ako vaš ISP daje vaš ruter dinamička adresa, zgodno je da koristite uslugu Dynamic DNS. U D-Link Postoji usluga na kojoj možete besplatno registrovati internet adresu (tj. domenu) i preko nje postaviti pristup vašem ruteru i lokalnoj mreži.

Da biste konfigurirali dinamički DNS, idite na odjeljak ODRŽAVANJE, odaberite pododjeljak DDNS postavke i kliknite na link Prijaviti se... da odete na stranicu i registrujete domenu. Zatim podesite sinhronizaciju domene sa IP adresom rutera u tom području DINAMIČKE DNS POSTAVKE i sačuvajte podešavanja pomoću dugmeta Sačuvaj postavke:

Nakon toga, možete se povezati ne preko IP adrese, već preko adrese kao što je vaša-adresa.dlinkddns.com:port

Provjera veze sa računarom putem udaljene radne površine

Pokrenite klijent servera udaljene radne površine:

Na terenu Kompjuter Unesite adresu i port odvojene dvotočkom. Na terenu Korisnik unesite svoje korisničko ime i kliknite na dugme Za uključivanje:

Ova udaljena veza može oštetiti lokalni ili udaljeni računar. Prije povezivanja, uvjerite se u to udaljeni računar pouzdan.

Označite polje i kliknite na dugme Za uključivanje:

Sada unesite korisničku lozinku, označite polje Zapamtite akreditive, ako ne želite svaki put unositi lozinku i pritisnite uredu:

Nakon ovoga može se pojaviti poruka:

Autentičnost udaljenog računara ne može se provjeriti. Želite li se ipak povezati?

Ovdje možete označiti polje Nemojte više tražiti veze s ovim računarom i pritisnite Da:

Dobar dan, dragi čitaoci i gosti bloga, danas imamo zadatak: promijeniti se dolazni port RDP usluge ( terminal server) sa standardnog 3389 na neki drugi. Da vas podsjetim da je RDP usluga funkcionalnost Windows operativnih sistema, zahvaljujući kojoj možete otvoriti sesiju preko mreže na računaru ili serveru koji vam je potreban pomoću RDP protokola i moći na njoj raditi, kao da sjedili na njemu lokalno.

Šta je RDP protokol

Prije nego što nešto promijenite, bilo bi dobro da shvatite šta je to i kako funkcionira, o tome vam stalno pričam. RDP ili Remote Desktop Protocol je protokol udaljene radne površine u operacionim salama. Microsoft sistemi Windows, iako njegovo porijeklo potiče od PictureTel (Polycom). Microsoft ga je upravo kupio. Koristi se za daljinski rad zaposlenika ili korisnika sa udaljenim serverom. Najčešće takvi serveri igraju ulogu terminalnog servera na kojem je posvećen posebne licence, bilo po korisniku ili po uređaju, CAL. Ovdje je ideja bila ovakva, postoji vrlo moćan server, zašto onda ne koristiti njegove resurse zajedno, na primjer, za 1C aplikaciju. Ovo postaje posebno relevantno s pojavom tankih klijenata.

Svet je video sam terminal server, već 1998. godine u operativnom sistemu Windows NT 4.0 Terminal Server, da budem iskren, nisam ni znao da tako nešto postoji, a u Rusiji smo tada svi igrali dendi ili segu. Klijenti RDP veze su trenutno dostupni u svim Windows verzije, Linux, MacOS, Android. Najviše moderna verzija RDP protokol je trenutno 8.1.

Zadani rdp port

Odmah ću napisati zadani rdp port 3389, mislim da je to to sistem administratori oni ga poznaju.

Kako funkcioniše rdp protokol

I tako vi i ja razumijemo zašto smo smislili protokol za udaljenu radnu površinu, sada je logično da morate razumjeti principe njegovog rada. Microsoft razlikuje dva načina rada RDP protokola:

Režim daljinske administracije > za administraciju, na koju ste odvedeni udaljeni server te ga konfigurirati i administrirati
Način rada terminalskog servera > za pristup poslužitelju aplikacija, udaljenoj aplikaciji ili dijeljenje to za posao.

Općenito, ako instalirate Windows Server 2008 R2 - 2016 bez terminalnog servera, tada će on po defaultu imati dvije licence i dva korisnika će se moći spojiti na njega u isto vrijeme, treći će morati nekoga izbaciti da rad. U klijentskim verzijama Windowsa postoji samo jedna licenca, ali i to se može zaobići; o tome sam govorio u članku Terminal Server na Windows 7. Takođe, Remote Administration Mode, možete klasterirati i balansirati opterećenje, zahvaljujući NLB tehnologiji i serveru za povezivanje Session Directory Service. Koristi se za indeksiranje korisničkih sesija, zahvaljujući ovom serveru korisnik se može prijaviti na udaljenu radnu površinu terminalnih servera u distribuiranom okruženju. Takođe potrebne komponente su server za licenciranje.

RDP protokol radi dalje TCP veza i predstavlja aplikacijski protokol. Kada klijent uspostavi vezu sa serverom, kreira se RDP sesija na nivou transporta, gde se dogovaraju metode šifrovanja i prenosa podataka. Kada su svi pregovori određeni i inicijalizacija je završena, terminalski server šalje grafički izlaz klijentu i čeka unos tastature i miša.

Remote Desktop Protocol podržava više virtuelnih kanala unutar jedne veze, omogućavajući vam korištenje dodatne funkcionalnosti

Prenesite svoj štampač ili COM port na server
Preusmjerite svoje lokalne diskove na server
Clipboard
Audio i video

Faze RDP veze

Uspostavljanje veze
Pregovaranje o parametrima šifriranja
Server Authentication
Pregovaranje o parametrima RDP sesije
Client Authentication
Podaci RDP sesije
Prekidanje RDP sesije

Sigurnost u RDP protokolu

Protokol udaljene radne površine ima dvije metode provjere autentičnosti Standardna RDP sigurnost i poboljšana RDP sigurnost, oba ćemo detaljnije pogledati u nastavku.

Standardna RDP sigurnost

RDP protokol na ovu metodu autentifikaciju, šifrira vezu pomoću samog RDP protokola koji se nalazi u njoj, koristeći ovu metodu:

Kada se vaš operativni sistem pokrene, generira se par RSA ključeva
Vlasnički certifikat je u izradi
Nakon čega se vlasnički certifikat potpisuje ranije kreiranim RSA ključem
Sad RDP klijent povezivanje na terminal server će dobiti vlasnički certifikat
Klijent to gleda i provjerava, a zatim prima javni ključ server, koji se koristi u fazi dogovaranja parametara enkripcije.

Ako uzmemo u obzir algoritam kojim je sve šifrirano, to je RC4 stream šifra. Ključevi različitih dužina od 40 do 168 bita, sve zavisi od izdanja operativnog sistema Windows sistemi, na primjer, u Windows 2008 Server - 168 bita. Kada server i klijent odluče za dužinu ključa, generišu se dva nova različita ključa za šifrovanje podataka.

Ako pitate za integritet podataka, onda se to postiže kroz MAC (Message Authentication Code) algoritam baziran na SHA1 i MD5

Poboljšana RDP sigurnost

RDP protokol s ovom metodom provjere autentičnosti koristi dva eksterni moduli sigurnost:

CredSSP
TLS 1.0

TLS je podržan od verzije 6 RDP-a. Kada koristite TLS, certifikat za šifriranje se može kreirati pomoću terminalskog poslužitelja, samopotpisanog certifikata ili odabrati iz trgovine.

Kada koristite CredSSP protokol, to je simbioza Kerberos, NTLM i TLS tehnologija. At ovaj protokol sama provjera, tokom koje se provjerava dozvola za ulazak na terminal server, vrši se unaprijed, a ne nakon pune RDP veze, i na taj način štedite resurse na terminal serveru, plus postoji pouzdanija enkripcija i možete se prijaviti na sistem jednom (single Sign On), zahvaljujući NTLM-u i Kerberos-u. CredSSP radi samo u operativnim sistemima koji nisu niži od Vista i Windows Server 2008. Evo ovog polja za potvrdu u svojstvima sistema

Dozvolite veze samo sa računara koji koriste udaljenu radnu površinu s provjerom autentičnosti na nivou mreže.

Promijenite rdp port

Da biste promijenili rdp port, trebat će vam:

Otvorite uređivač registra (Start -> Pokreni -> regedit.exe)
Pređimo na sljedeći odjeljak:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Pronađite ključ PortNumber i promijenite njegovu vrijednost u broj porta koji vam je potreban.

Obavezno odaberite decimalnu vrijednost; na primjer, stavit ću port 12345.

Kada to učinite, ponovo pokrenite uslugu udaljene radne površine putem komandna linija, sa ovim naredbama:

I kreiramo novo dolazno pravilo za novi rdp port. Da vas podsjetim da je zadani rdp port 3389.

Mi biramo koje će pravilo biti za luku

Ostavljamo protokol kao TCP i specificiramo novi broj RDP port.

Pravilo će biti da se dozvoli RDP konekcija na nestandardnom portu

Ako je potrebno, postavite potrebne mrežne profile.

Pa, nazovimo pravilo na jeziku koji razumijemo.

Za povezivanje sa klijenta Windows računari napišite adresu koja označava port. Na primjer, ako ste promijenili port na 12345, a adresu servera (ili jednostavno računara na koji se povezujete): moj server, tada će MSTSC veza izgledati ovako:
mstsc -v:moj server:12345

RDP je protokol za udaljenu radnu površinu. Na engleskom, ova skraćenica je skraćenica za Remote Desktop protokol. Potreban je za povezivanje jednog računara sa drugim putem Interneta. Na primjer, ako je korisnik kod kuće i hitno treba popuniti dokumente u kancelariji, to može učiniti pomoću ovog protokola.

Kako radi RDP

Pristup drugom računaru se ostvaruje preko TCP port 3389 je zadana vrijednost. Na svakom lični uređaj On automatski unapred instaliran. Postoje dvije vrste veze:

za administraciju;
za rad sa programima na serveru.

Serveri sa instaliranim Windows Server OS podržavaju dva udaljene veze RDP odmah (ovo je ako RDP uloga nije aktivirana). Računari koji nisu serveri imaju samo jedan ulaz.

Veza između računara se vrši u nekoliko faza:

protokol baziran na TCP-u, traži pristup;
Definirana je sesija protokola udaljene radne površine. Tokom ove sesije uputstva su odobrena prijenos podataka;
kada se faza određivanja završi, server će se prebaciti na drugi uređaj grafički izlaz. U istom trenutku prima podatke od miša i tastature. Grafički izlaz- ovo je tačno kopirana slika ili komande za crtanje raznih oblika, kao što su linije, krugovi. Takve komande su ključni zadaci za ovu vrstu protokola. Oni značajno štede potrošnju saobraćaja;
klijentski računar pretvara ove komande u grafiku i prikazuje ih na ekranu.

Ovaj protokol takođe ima virtuelni kanali, koji vam omogućavaju povezivanje sa štampačem, rad sa klipbordom, korišćenje audio sistema itd.

Sigurnost veze

Postoje dvije vrste sigurne veze putem RDP-a:

ugrađen sistem (Standard RDP Security);
vanjski sistem (Enhanced RDP Security).

Razlikuju se po tome što prvi tip koristi enkripciju, osiguravajući da se integritet kreira pomoću standardnim sredstvima koji se nalaze u protokolu. A kod drugog tipa, TLS modul se koristi za uspostavljanje sigurne veze. Pogledajmo detaljnije proces rada.

Ugrađena zaštita To se radi ovako: prvo se vrši autentifikacija, a zatim:

kada se uključi biće generisanoRSAključevi;
generira se javni ključ;
potpisan od strane RSA, koji je ugrađen u sistem. Dostupan je na bilo kom uređaju sa instaliranim protokolom za udaljenu radnu površinu;
klijentski uređaj prima certifikat nakon povezivanja;
je označen i ovaj ključ je dobiven.

Zatim dolazi do šifriranja:

RC4 algoritam se koristi kao standard;
za Windows 2003 servere koristi se 128-bitna zaštita, pri čemu je 128 bita dužina ključa;
za Windows 2008 servere – 168 bit.

Integritet se kontroliše generisanjem mac kodova baziranih na MD5 i SHA1 algoritmu.

Eksterni sigurnosni sistem radi sa TLS 1.0 i CredSSP modulima. Potonji kombinira funkcionalnost TLS-a, Kerberosa, NTLM-a.

Kraj veze:

kompjuter proverava dozvolu na ulazu;
šifra je potpisana od strane TLS protokol. Ovo najbolja opcija zaštita;
Ulaz je dozvoljen samo jednom. Svaka sesija se šifrira zasebno.

Zamjena stare vrijednosti porta novom

Da biste registrirali drugu vrijednost, morate učiniti sljedeće (relevantno za bilo koju Windows verzije, in uključujući Windows Server 2008):

Sada kada je povezan na daljinski sto potrebno je navesti novu vrijednost nakon IP adrese odvojene dvotočkom, na primjer 192.161.11.2:3381 .

Zamjena pomoću PowerShell uslužnog programa

PowerShell vam takođe omogućava da izvršite neophodne promene:

Preporučuje se ponovno pokretanje;
Kada se uređaj uključi, unesite komandu “regedit” u Start meni. Idite na direktorij: HKEY_ LOCAL_ MACHINE, Pronađite folder CurrentControlSet, zatim Control folder, idite na Terminal Server i otvorite WinStations. Kliknite na RDP-Tcp datoteku. Ovdje treba postaviti novu vrijednost.
Sada morate otvoriti RDP port uključen firewall. Prijavite se na Powershell, unesite naredbu: netsh advfirewall firewall add rule name=”NewRDP” dir=in action=allow protocol=TCP localport= 49089 . Brojevi bi trebali označavati port na koji je prebačen stari.

Otvaranje datoteke veze default.rdp nije uspjelo

Najčešće se ova greška javlja kada problemi saDNSserver. Klijentski računar ne može pronaći ime navedenog servera.

Da biste se riješili greške, prvo morate provjeriti da li je adresa domaćina ispravno unesena.

U suprotnom, ako dođe do greške, morate poduzeti sljedeće korake:

idi " Moji dokumenti»;
pronađite default.rdp datoteku. Ako ga ne pronađete, označite polje " Postavke foldera» za prikaz skrivene datoteke i fascikle;
sada izbrišite ovaj fajl i pokušajte se ponovo povezati.

01. Firewall Pa, ovde je sve jasno. Glavno pravilo je “zabraniti sve”. Windows 2008 R2 ima prilično dobar ugrađen zaštitni zid, tako da je to dobro mjesto za početak. Odlazi otvoreni portovi 80 i 443 (i možda 3389 za RDP) - to je sve.

02. Postavljanje GPO-a. Idite na “Start - Pokreni - secpol.msc - Sigurnosne postavke - Politika računa - Politika zaključavanja računa”. I postavite, na primjer, "5 pokušaja" i "5 minuta" - to će blokirati korisnika na 5 minuta nakon 5 neuspješnih autorizacija.

Idite na “Start - Run -gpupdate.msc - PC Configuration - Windows konfiguracija- Sigurnosne postavke - Lokalne politike- Sigurnosne opcije: Opcije lokalna sigurnost» potvrdni okvir za korištenje samo RC4_HMAC_MD5.

03. Instalirajte menadžer lozinki. Gomila mojih prijatelja (zaista gomila) koristi „jedan složena lozinka- za sve". Čak i poznati programeri, admini, dizajneri... Uglavnom, nisu glupi ljudi. Razmisli ponovo. Čak i za servisne naloge (kao što su korisnici baze podataka, itd.), koristite samo složene generisane lozinke. I zadržite ih u upravitelju pasova. Lično koristim LastPass - besplatan je, cool i dostupan kao proširenje za Chrome.

04.Promijenite port za RDP Port servisa terminala (isti "Remote Desktop") se mijenja u registru ovdje: "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber" (ne zaboravite otvoriti ovaj port na firewall-u i ponovo pokrenite RDP uslugu).