Ce porturi să deschideți pentru rdp. Redirecționare porturi pe router

Pentru a schimba portul implicit pentru toată lumea creat de server terminale pentru conexiuni noi, urmați acești pași.

1. Lansați Regedt32 și deschideți secțiunea următoare registru:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
   Notă. Calea dată către cheia de registry este o linie, care a fost împărțită în două pentru a facilita consultarea.
2. Căutați în subsecțiunea „PortNumber” valoarea 00000D3D (3389 în hexazecimal). Schimbați numărul portului în format hexazecimal și salvați noua valoare.
3. Pentru a schimba portul pentru conexiune specifică pe serverul terminal, urmați acești pași.
   Rulați programul Regedt32 și deschideți următoarea cheie de registry:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection

NOTĂ. Calea dată către cheia de registry este o linie, care a fost împărțită în două pentru a facilita consultarea.
Căutați în subsecțiunea „PortNumber” valoarea 00000D3D (3389 în hexazecimal). Schimbați numărul portului în format hexazecimal și salvați noua valoare.
Notă. Deoarece porturile alternative nu sunt pe deplin acceptate în Terminal Server 4.0, modificările vor intra în vigoare numai atunci când este posibil. Dacă apar conflicte, valoarea anterioară trebuie setată la 3389.

Pentru a schimba portul pe partea client, urmați acești pași.

1. Lansați Client Connection Wizard.
2. În meniu Fişier selectați elementul Conexiune nouăși creați o nouă conexiune. După aceasta, noua conexiune ar trebui să apară în listă.
3. Evidențiați noua conexiune și selectați din meniu Fişier echipă Export. Salvați-l ca name.cns.
4. Editați fișierul .cns în Notepad, schimbând „Server Port=3389″ în „Server Port= xxxx”, unde xxxx este port nou specificat pe serverul terminal.
5. Importați fișierul în Client Connection Wizard. Dacă fișierul curent are același nume, vi se va solicita să îl suprascrieți. Confirmați pentru a suprascrie fișierul. Configurația portului clientului se potrivește acum cu valorile modificate pe serverul terminal.

Notă. Client server ActiveX Terminale Windows 2000 se conectează întotdeauna la portul TCP 3389, iar acest lucru nu poate fi schimbat. În clientul ActiveX al serverului terminal în Microsoft Windows XP și Microsoft Windows Server 2003 acceptă posibilitatea de a schimba setările portului. Informații suplimentare Consultați următorul articol din baza de cunoștințe Microsoft:

326945 Cum să reatribuiți un port de ascultare a unui server terminal într-un client Windows Terminal Server (Acest link poate indica tot sau o parte din conținut în limba engleză.)

Notă. Pentru a activa un nou port de ascultare, trebuie să reporniți serverul terminal sau să recreați ascultătorul RDP în configurația Terminal Services.

Notă. Clientul Windows 2000 Terminal Server ActiveX se conectează întotdeauna la portul TCP 3389, iar acest lucru nu poate fi modificat. Clientul serverului terminal ActiveX din Microsoft Windows XP și Microsoft Windows Server 2003 acceptă posibilitatea de a modifica setările de port. Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft: 326945 Cum să reatribuiți un port de ascultare a serverului terminal într-un client Windows Terminal Server (Acest link poate indica tot sau o parte din conținut în limba engleză.)
Notă. Pentru a activa un nou port de ascultare, trebuie să reporniți serverul terminal sau să recreați ascultătorul RDP în configurația Terminal Services.

O sarcină comună: configurarea accesului de la distanță la un computer care este conectat la Internet printr-un router.

Soluție: faceți redirecționarea portului pe router. Redirecționarea portului este de asemenea numită publicarea portului sau port forwarding. În terminologia engleză termenii sunt folosiți Port forwarding Și Port Publishing.

Ce este port forwarding

Port forwarding este maparea unui anumit port extern gateway (router, modem) cu portul necesar dispozitivul țintă în retea locala(servere, stație de lucru, stocare în rețea, cameră, recorder etc.)

Dar ce port să redirecționați depinde de modul în care doriți să accesați computerul.

Cum se configurează accesul la distanță prin RDP (desktop la distanță, terminal)

Conexiunile RDP sunt realizate la portul 3389 al computerului țintă. Ce ar trebui făcut:

Pasul 1 Permite intrarea conexiuni RDP pe computer

Atenţie! Este posibil să faceți conexiuni INCOMING prin Remote Desktop la următoarele ediții ale sistemului de operare Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.

În Windows XP Starter, Ediția Acasă, în Windows Vista/7/8/8.1 Starter, Home Basic, Home Oportunitate premium Nu există conexiuni de intrare.

Pentru a face asta deschidem Proprietățile sistemului(WIN+Break), faceți clic pe link Opțiuni suplimentare sisteme:

Accesați fila Acces de la distanță, puneți comutatorul în poziție Permiteți conexiunile la acest computer, debifați Permite conexiuni numai de pe computere care rulează Desktop la distanță cu autentificare la nivel de rețea (recomandat) și faceți clic pe Bine pentru a aplica setarea:

Pasul 2 Creați pe computer cont, sub care utilizatorul desktop la distanță se va conecta.

Cerința nr. 1. Acest contul trebuie să aibă o parolă. Conform setărilor implicite ale politicii locale de securitate, conturi Fără parolă, conexiunea RDP este interzisă. Nu este recomandat să permiteți accesul de la distanță la conturile care nu sunt protejate prin parolă în politicile de securitate. Acest lucru va crea o amenințare de acces neautorizat din partea intrușilor.

Cerința nr. 2. Dacă utilizatorul NU este administrator activ calculator local, trebuie adăugat la grup. Acest lucru se poate face în două moduri.

Cum să permiteți unui utilizator fără privilegii administrative să se conecteze la un desktop la distanță

Metoda unu.

Clic Click dreapta De scurtătură de sistem Acest calculatorși selectați Control:

La fereastră Managementul calculatorului Selectați Utilizatori locali si grupuri => Utilizatori:

Găsiți utilizatorul dorit în listă și dublu click numiți proprietățile sale:

Accesați fila Membru al grupuluiși apăsați butonul Adăuga:

Faceți clic pe butonul În plus:

Apoi, butonul Căutare:

Selectați un grup din listă Utilizatori de desktop la distanțăși apăsați Bine:

În ferestre Selectarea grupuluiȘi Proprietăți:<пользователь> clic BINE:

Metoda a doua.

Deschideți proprietățile sistemului (Win+Break), faceți clic Opțiuni suplimentare:

Accesați fila Acces de la distanțăși apăsați butonul Selectați utilizatori:

Faceți clic pe butonul Adăuga:

Clic În plus:

Și Căutare:

În listă, selectați contul de utilizator căruia doriți să îi acordați drepturi acces de la distanță, și apăsați Bine:

Acum faceți clic Bineîn următoarele două ferestre:

Pasul 3 Creați o regulă de redirecționare pe router, conform căreia, atunci când se face o solicitare pe un anumit port, conexiunea va fi redirecționată către portul 3389 al computerului dorit.

În routere Este necesar D-Link secțiunea poate fi numită Server virtual, ca în D-Link DIR-615:

De asemenea, poate fi numit Port forwarding, ca, de exemplu, în DIR-300:

Esența este aceeași:

1. Dăm un nume arbitrar regulii;
2. Deschidere Port non-standard pe un router care nu este ocupat (câmp Port Public);
3. Indicăm adresa IP a computerului țintă din rețea unde ar trebui să meargă utilizator șters(camp adresa IP);
4. Indicăm numărul portului prin care rulează aplicația sau serviciul pe computer. În cazul nostru, pentru serviciul Remote Desktop Server acesta este portul 3389 (câmp Port privat).

Dacă ISP-ul dumneavoastră vă oferă routerul adresa dinamica, este convenabil să utilizați serviciul DNS dinamic. U D-Link Există un serviciu prin care puteți înregistra o adresă de Internet (adică un domeniu) gratuit și puteți configura accesul la router și la rețeaua locală prin intermediul acestuia.

Pentru a configura DNS dinamic, accesați secțiunea ÎNTREȚINERE, selectați subsecțiunea Setări DDNSși faceți clic pe link Inscrie-te... pentru a merge pe site și a înregistra un domeniu. Apoi configurați sincronizarea domeniului cu adresa IP a routerului din zonă SETĂRI DNS DINAMICși salvați setările cu butonul Salvează setările:

După aceasta, vă puteți conecta nu prin adresa IP, ci printr-o adresă ca your-adres.dlinkddns.com:port

Verificarea conexiunii la computer prin desktop la distanță

Porniți clientul Remote Desktop Server:

În câmp Calculator Introduceți adresa și portul separate prin două puncte. În câmp Utilizator introduceți numele dvs. de utilizator și faceți clic pe butonul A conecta:

Această conexiune la distanță poate dăuna computerului local sau de la distanță. Înainte de conectare, asigurați-vă că computer la distanță de încredere.

Bifați caseta și faceți clic pe butonul A conecta:

Acum introduceți parola utilizatorului, bifați caseta Amintiți-vă acreditările, dacă nu doriți să vă introduceți parola de fiecare dată și apăsați Bine:

După aceasta, poate apărea un mesaj:

Autenticitatea computerului de la distanță nu poate fi verificată. Vrei să te conectezi oricum?

Aici puteți bifa caseta Nu mai cere conexiuni la acest computer din nouși apăsați da:

Bună ziua, dragi cititori și oaspeți ai blogului, astăzi avem următoarea sarcină: să ne schimbăm portul de intrare Servicii RDP ( server terminal) de la standardul 3389 la altul. Permiteți-mi să vă reamintesc că serviciul RDP este o funcționalitate a sistemelor de operare Windows, datorită căreia puteți deschide o sesiune prin rețea către computerul sau serverul de care aveți nevoie folosind protocolul RDP și puteți lucra la el, ca și cum ați stăteau pe el la nivel local.

Ce este protocolul RDP

Înainte de a schimba ceva, ar fi bine să înțelegeți ce este și cum funcționează, vă tot spun despre asta. RDP sau Remote Desktop Protocol este un protocol desktop la distanță în sălile de operație. sisteme Microsoft Windows, deși originile sale provin de la PictureTel (Polycom). Microsoft tocmai l-a cumpărat. Folosit pentru lucrul de la distanță al unui angajat sau utilizator cu un server la distanță. Cel mai adesea, astfel de servere joacă rolul unui server terminal pe care este dedicat licente speciale, fie pe utilizator, fie pe dispozitiv, CAL. Aici ideea a fost așa, există o foarte server puternic, atunci de ce să nu-și folosească resursele împreună, de exemplu, pentru o aplicație 1C. Acest lucru devine deosebit de relevant odată cu apariția clienților subțiri.

Lumea a văzut serverul terminal în sine, deja în 1998 în sistemul de operare Windows NT 4.0 Terminal Server, ca să fiu sincer, nici măcar nu știam că există așa ceva, iar în Rusia la acea vreme cu toții jucam dandy sau sega. Clienții de conexiune RDP sunt în prezent disponibili în toate versiuni Windows, Linux, MacOS, Android. Cel mai versiune modernă Protocolul RDP este în prezent 8.1.

Port rdp implicit

Voi scrie imediat portul rdp implicit 3389, cred că asta este administratorii de sistem ei îl cunosc.

Cum funcționează protocolul rdp

Și astfel, tu și cu mine înțelegem de ce am venit cu Protocolul Remote Desktop, acum este logic că trebuie să înțelegeți principiile funcționării acestuia. Microsoft distinge două moduri ale protocolului RDP:

• Modul de administrare la distanță > pentru administrare, sunteți direcționat la server la distantași configurați și administrați-l
• Modul Terminal Server > pentru a accesa serverul de aplicații, aplicația la distanță sau partajarea e pentru muncă.

În general, dacă instalați Windows Server 2008 R2 - 2016 fără un server terminal, atunci în mod implicit va avea două licențe și doi utilizatori se vor putea conecta la el în același timp, al treilea va trebui să dea afară pe cineva pentru a muncă. În versiunile client de Windows, există o singură licență, dar și aceasta poate fi ocolită; am vorbit despre asta în articolul Terminal Server pe Windows 7. De asemenea, în modul de administrare la distanță, puteți echilibra în cluster și încărcarea, datorită tehnologiei NLB și serverului de conexiune Session Directory Service. Este folosit pentru indexarea sesiunilor utilizatorilor, datorită acestui server utilizatorul se poate conecta la desktop-ul de la distanță al serverelor terminale într-un mediu distribuit. De asemenea, componentele necesare sunt un server de licențiere.

Protocolul RDP funcționează Conexiune TCPși este un protocol de aplicație. Când un client stabilește o conexiune cu serverul, se creează o sesiune RDP la nivel de transport, unde se negociază metodele de criptare și transmitere a datelor. Când toate negocierile sunt determinate și inițializarea este completă, serverul terminal trimite ieșire grafică către client și așteaptă intrarea de la tastatură și mouse.

Remote Desktop Protocol acceptă mai multe canale virtuale într-o singură conexiune, permițându-vă să utilizați funcționalități suplimentare

• Transferați imprimanta sau portul COM pe server
• Redirecționați unitățile locale către server
• Clipboard
• Audio și video

Etapele conexiunii RDP

• Stabilirea unei conexiuni
• Negocierea parametrilor de criptare
• Autentificare server
• Negocierea parametrilor sesiunii RDP
• Autentificarea clientului
• Datele sesiunii RDP
• Încheierea sesiunii RDP

Securitate în protocolul RDP

Remote Desktop Protocol are două metode de autentificare Standard RDP Security și Enhanced RDP Security, pe ambele le vom analiza mai detaliat mai jos.

Securitate RDP standard

Protocolul RDP la aceasta metoda autentificare, criptează conexiunea folosind protocolul RDP în sine, care se află în el, folosind această metodă:

• Când sistemul dvs. de operare pornește, este generată o pereche de chei RSA
• Certificatul de proprietate este în curs de creare
• După care certificatul de proprietate este semnat cu cheia RSA creată anterior
• Acum client RDP conectarea la serverul terminal va primi un certificat de proprietate
• Clientul se uită la el și îl verifică, apoi primește cheie publică server, care este utilizat în etapa de negociere a parametrilor de criptare.

Dacă luăm în considerare algoritmul cu care totul este criptat, acesta este cifrul de flux RC4. Chei de diferite lungimi de la 40 la 168 de biți, totul depinde de ediția sistemului de operare sisteme Windows, de exemplu, în Windows 2008 Server - 168 de biți. Odată ce serverul și clientul au decis lungimea cheii, sunt generate două noi chei diferite pentru a cripta datele.

Dacă întrebați despre integritatea datelor, atunci aceasta se realizează prin algoritmul MAC (Message Authentication Code) bazat pe SHA1 și MD5

Securitate RDP îmbunătățită

Protocolul RDP cu această metodă de autentificare utilizează două module externe Securitate:

• CredSSP
• TLS 1.0

TLS este acceptat de versiunea 6 a RDP. Când utilizați TLS, un certificat de criptare poate fi creat folosind un server terminal, un certificat autosemnat sau selectat dintr-un magazin.

Când utilizați protocolul CredSSP, este o simbioză a tehnologiilor Kerberos, NTLM și TLS. La acest protocol verificarea în sine, în timpul căreia se verifică permisiunea de a intra pe serverul terminal, se efectuează în prealabil și nu după o conexiune RDP completă și, prin urmare, economisiți resurse pe serverul terminal, plus există o criptare mai fiabilă și vă puteți conecta la sistem o dată (Single Sign On), mulțumiri NTLM și Kerberos. CredSSP funcționează numai în sistemele de operare nu mai mici decât Vista și Windows Server 2008. Iată această casetă de selectare în proprietățile sistemului

Permiteți conexiuni numai de la computere care rulează Desktop la distanță cu autentificare la nivel de rețea.

Schimbați portul rdp

Pentru a schimba portul rdp, veți avea nevoie de:

1. Deschideți editorul de registry (Start -> Run -> regedit.exe)
2. Să trecem la următoarea secțiune:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Găsiți cheia PortNumber și modificați valoarea acesteia la numărul portului de care aveți nevoie.

Asigurați-vă că selectați o valoare zecimală; de exemplu, voi pune portul 12345.

După ce ați făcut acest lucru, reporniți Serviciul Desktop la distanță prin Linie de comanda, cu aceste comenzi:

Și creăm o nouă regulă de intrare pentru noul port rdp. Permiteți-mi să vă reamintesc că portul rdp implicit este 3389.

Alegem care va fi regula pentru port

Lăsăm protocolul ca TCP și specificăm numar nou Port RDP.

Regula va fi să permiteți conexiunea RDP pe un port non-standard

Dacă este necesar, setați profilurile de rețea necesare.

Ei bine, să numim regula într-o limbă pe care o înțelegem.

Pentru a vă conecta de la client calculatoare Windows scrieți adresa care indică portul. De exemplu, dacă ați schimbat portul la 12345 și adresa serverului (sau pur și simplu computerul la care vă conectați): myserver, atunci conexiunea MSTSC va arăta astfel:
mstsc -v:myserver:12345

RDP este protocolul Remote Desktop. În engleză, această abreviere înseamnă protocol Remote Desktop. Este necesar pentru a conecta un computer la altul prin Internet. De exemplu, dacă utilizatorul este acasă și are nevoie urgent să completeze documente la birou, poate face acest lucru folosind acest protocol.

Cum funcționează RDP

Accesul la un alt computer se face prin intermediul Port TCP 3389 este implicit. Pe fiecare dispozitiv personal El preinstalat automat. Există două tipuri de conexiune:

• pentru administrare;
• pentru lucrul cu programe de pe server.

Serverele cu sistemul de operare Windows Server instalat acceptă două conexiuni la distanță RDP imediat (asta dacă rolul RDP nu este activat). Calculatoarele care nu sunt servere au o singură intrare.

Conexiunea dintre calculatoare se realizează în mai multe etape:

• protocol bazat pe TCP, solicită acces;
• Este definită sesiunea Remote Desktop Protocol. În timpul acestei sesiuni instrucțiunile sunt aprobate transmisie de date;
• când etapa de determinare este finalizată, serverul se va transfera pe alt dispozitiv ieșire grafică. În același moment, primește date de la mouse și tastatură. Ieșire grafică- aceasta este o imagine exact copiată sau comenzi pentru desenarea diferitelor forme, cum ar fi linii, cercuri. Asemenea comenzi sunt sarcini cheie pentru acest tip de protocol. Economisesc mult consumul de trafic;
• computerul client transformă aceste comenzi în grafice şi le afișează pe ecran.

Acest protocol are și canale virtuale, care vă permit să vă conectați la o imprimantă, să lucrați cu clipboard-ul, să utilizați sistemul audio etc.

Securitatea conexiunii

Există două tipuri de conexiune securizată prin RDP:

• incorporat sistem (Standard RDP Security);
• extern sistem (Securitate RDP îmbunătățită).

Ele diferă prin faptul că primul tip utilizează criptarea, asigurându-se că integritatea este creată folosind mijloace standard care sunt în protocol. Iar în al doilea tip, modulul TLS este folosit pentru a stabili o conexiune sigură. Să aruncăm o privire mai atentă asupra procesului de lucru.

Protecție încorporată Acest lucru se face astfel: mai întâi are loc autentificarea, apoi:

• când este pornit va exista generateRSAchei;
• se generează o cheie publică;
• semnat de RSA, care este integrat în sistem. Este disponibil pe orice dispozitiv cu protocolul Remote Desktop instalat;
• dispozitivul client primește un certificat la conectare;
• este bifată și se obține această cheie.

Apoi are loc criptarea:

• algoritmul RC4 este utilizat ca standard;
• pentru serverele Windows 2003, se utilizează protecția de 128 de biți, unde 128 de biți este lungimea cheii;
• pentru servere Windows 2008 – 168 de biți.

Integritatea este controlată prin generarea de coduri Mac bazate pe algoritmul MD5 și SHA1.

Sistemul de securitate extern funcționează cu modulele TLS 1.0 și CredSSP. Acesta din urmă combină funcționalitatea TLS, Kerberos, NTLM.

Sfârșitul conexiunii:

• calculator verifică permisiunea la intrare;
• cifrul este semnat de Protocolul TLS. Acest cea mai bună opțiune protecţie;
• Intrarea este permisă o singură dată. Fiecare sesiune este criptată separat.

Înlocuirea vechii valori de port cu una nouă

Pentru a înregistra o valoare diferită, trebuie să faceți următoarele (relevante pentru orice versiuni Windows, în inclusiv Windows Server 2008):

Acum când este conectat la birou la distanță este necesar să specificați o nouă valoare după adresa IP separată prin două puncte, de exemplu 192.161.11.2:3381 .

Înlocuire folosind utilitarul PowerShell

PowerShell vă permite, de asemenea, să faceți modificările necesare:

• Se recomandă repornirea;
• Odată ce dispozitivul pornește, introduceți comanda „regedit” în meniul Start. Accesați directorul: HKEY_ LOCAL_ MAȘINĂRIE, Găsiți folderul CurrentControlSet, apoi folderul Control, accesați Terminal Server și deschideți WinStations. Faceți clic pe fișierul RDP-Tcp. O nouă valoare trebuie setată aici.
• Acum trebuie să deschideți portul RDP firewall. Conectați-vă la Powershell, introduceți comanda: netsh advfirewall firewall add rule name=”NewRDP” dir=în acțiune=allow protocol=TCP localport= 49089 . Numerele ar trebui să indice portul la care a fost comutat cel vechi.

Nu s-a putut deschide fișierul de conexiune default.rdp

Cel mai adesea această eroare apare atunci când probleme cuDNSServer. Computer client nu poate găsi numele serverului specificat.

Pentru a scăpa de eroare, trebuie mai întâi să verificați dacă adresa gazdei este introdusă corect.

În caz contrar, dacă apare o eroare, trebuie să urmați următorii pași:

• mergi la " Documentele mele»;
• găsiți fișierul default.rdp. Dacă nu îl găsiți, bifați caseta „ Setări pentru foldere» pentru afișare fișiere ascunseși foldere;
• acum ștergeți acest fișier și încercați să vă conectați din nou.

01. Firewall Ei bine, totul este clar aici. Regula principală este „interzice totul”. Windows 2008 R2 are un firewall destul de bun încorporat, așa că este un loc bun pentru a începe. Părăsi porturi deschise 80 și 443 (și poate 3389 pentru RDP) - asta este tot.

02. Configurarea GPO. Accesați „Start - Run - secpol.msc - Setări de securitate - Politici de cont - Politică de blocare a contului”. Și setați, de exemplu, „5 încercări” și „5 minute” - acest lucru va bloca utilizatorul timp de 5 minute după 5 autorizații nereușite.

Accesați „Start - Run -gpupdate.msc - PC Configuration - Configurare Windows- Setări de securitate - Politicile locale- Opțiuni de securitate: Opțiuni securitate locală» caseta de selectare pentru a utiliza numai RC4_HMAC_MD5.

03. Instalați un manager de parole. O grămadă de prieteni ai mei (într-adevăr o grămadă) folosesc „unul parolă complexă- pentru tot". Chiar și programatori familiari, admini, designeri... În general, nu sunt oameni proști. Mai gandeste-te. Chiar și pentru conturile de serviciu (cum ar fi utilizatorii bazei de date etc.), utilizați numai parole complexe generate. Și păstrați-le în managerul de permise. Personal, folosesc LastPass - este gratuit, cool și disponibil ca extensie Chrome.

04.Schimbați portul pentru RDP Portul serviciului terminal (același „Remote Desktop”) se modifică în registru aici: „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber” (nu uitați să deschideți acest port pe firewall și reporniți serviciul RDP).

Selectați o regulă în funcție de port.

Indicăm numărul portului pe care l-am specificat (în exemplul TCP 50000).

Apoi specificăm acțiunea pentru regula noastră - Permite conexiunea. Aici, dacă este necesar, puteți activa criptarea conexiunii noastre.

În funcție de locul în care se află serverul - în grup de lucru, într-un domeniu sau în acces public indicați profilul de rețea pentru care se aplică regula.

Numim regula creată astfel încât să fie ușor de identificat și faceți clic pe butonul „Finish”.