Что делать, если порт 3389 не прослушивается?
Если действия по открытию порта ни в одном из описанных случаев эффекта не дают, в параметрах маршрутизатора при наличии динамического адреса попробуйте выполнить привязку порта к компьютеру по MAC-адресу, узнать который труда не составит, если воспользоваться свойствами активного сетевого подключения. Также иногда помогает смена номера порта терминального сервера в реестре.
В редакторе (regedit) пройдите по ветке HKLM и найдите там раздел RDP-Tcp, а справа измените значение ключа PortNumber с установленного на 3389, после чего перезагрузите систему.
Если вы меняете порт 3389 на другой, потребуется перезапуск службы терминального сервера. Для этого в командной строке выполните две команды:
- net stop TermService;
- net start TermService.
Устранение неполадок при подключении к удаленному рабочему столу
Если брандмауэр Windows не дает соединиться, откройте его настройки в параметрах.
Нажмите на изменение параметров над списком.
Укажите для удаленного рабочего стола обе галочки.
В случае, если не срабатывает подключение по порту, нужно уточнить наличие такой возможности у провайдера.
Если показывается ошибка об отсутствии ответа со стороны ПК, к которому вы подключаетесь – убедитесь, что он вообще включен и что он не ушел в спящий режим.
Также может потребоваться переключить в параметрах, в разделе подключения, тип сети с общественной на доверенный.
Выберите частную, в противном случае компьютер может быть не виден даже при работе по локальной сети.
Существует много различий между Windows 10 Home и Professional. Функция удаленного рабочего стола является одним из них. В отличие от профессиональной версии, если вы когда-нибудь попробуете использовать функцию удаленного рабочего стола в домашней версии, вы не сможете это сделать. В этом посте я поделюсь тем, как вы можете использовать Windows 10 Remote Desktop в Windows 10 Home. Также мы предложим альтернативу для лучшего опыта.
Интересно отметить, что компоненты и сервис для RDP-сервера, которые делают возможным удаленное подключение, также доступны в Windows 10 Home. Однако эта функция отключена или заблокирована в домашней версии. Тем не менее, это решение — обходной путь, который исходит от двоичного мастера разработчика в форме библиотеки-оболочки RDP.
Действия по включению функции удаленного рабочего стола Windows 10 Home
- Загрузите последнюю версию библиотеки RDP Wrapper с Github
- Запустите установочный файл. Это позволит все, что нужно для удаленного рабочего стола.
- Введите Remote Desktop в поиске, и вы сможете увидеть программное обеспечение RDP.
- Введите имя удаленного компьютера и пароль для подключения к компьютеру.
Убедитесь, что подключение к удаленному рабочему столу разрешено на компьютере, к которому вы хотите подключиться.
Я подключился со своего ноутбука, который находится в версии для дома, к своему рабочему столу под управлением Windows 10 Pro. Он работает безупречно, как и в Pro версиях.
После установки, если вы перейдете в «Настройки» → «Система» → «Удаленный рабочий стол», все равно будет указано, что удаленный рабочий стол недоступен. Однако другие компьютеры могут подключаться к ПК с Windows Home.
Как поменять rdp порт — пошаговая инструкция
В принципе делается это очень просто, выполним следующие шаги:
- Запустить редактор реестра от имени администратора (пуск -> выполнить -> regedit)
- Перейти в следующею ветку реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- В этой ветке необходимо изменить значение на нужное у параметра PortNumber, щелкаем по нему два раза, переключаем систему исчисления на десятичную и вводим нужное нам значение. Я ввел нужный мне порт 80:
- Вводим нужное значение, и нажимаем ОК.
- Обязательно перезагружаем компьютер
Все, после этого ваш порт rdp будет изменен. Но есть одно но, если у вас включен Windows FireWall то поменять порт rdp будет недостаточно, необходимо создать исключение на этот порт, чтобы можно было подключаться. В статье седьмой пункт (ссылка откроется в новом окне и сразу на нужном пункте) я показываю, как добавить правило исключения через командную строку. Пользуйтесь.
Сопоставление вашего IP-адреса с помощью службы динамического DNS
После того, как переадресация портов активна, вы сможете устанавливать подключения к удаленному рабочему столу через Интернет, пока действует правило переадресации портов, ваш компьютер включен и подключен к маршрутизатору, ваше интернет-соединение активно, а ваш публичный IP-адрес остается такой же.
Однако, если ваш интернет-провайдер использует динамические IP-адреса (IP-адреса, которые регулярно меняются), вы не сможете подключиться, если или когда ваш общедоступный IP-адрес изменится. Чтобы обойти эту проблему, вы можете сопоставить свой IP-адрес использование службы динамического DNS так что, когда ваш IP-адрес изменится, вы все равно сможете удаленно подключаться.
Однако, прежде чем вы сможете использовать службу динамического DNS, вам необходимо настроить учетную запись у соответствующего поставщика, например Нет-IP.
- Если вы хотите использовать No-IP для динамического DNS, Создать учетную запись предоставив свой адрес электронной почты и подходящий пароль. Вам также необходимо указать имя хоста (например, example.ddns.net), которое вы можете использовать для установления RDP-соединений без использования вашего IP-адреса.
- После того, как вы создали свою учетную запись, вам необходимо активировать ее. Проверьте свой почтовый ящик и нажмите кнопку «Подтвердить учетную запись» в электронном письме с подтверждением, как только вы его получите.
- После активации вашей учетной записи вам необходимо будет установить клиент динамического обновления на свой компьютер. Это гарантирует, что ваша учетная запись без IP-адреса всегда будет иметь правильный общедоступный IP-адрес, что позволит вам устанавливать соединения. Загрузите клиент динамического обновления на свой компьютер и установите его, чтобы продолжить.
- После установки клиента динамического обновления на ваш компьютер приложение должно открыться автоматически. На этом этапе войдите в систему, используя свое имя пользователя и пароль без IP.
- После входа в систему вам нужно будет выбрать имена хостов для привязки к вашему общедоступному IP-адресу. Выберите соответствующее имя хоста из списка, затем нажмите Сохранить для подтверждения.
- На этом этапе у вас должна быть возможность удаленно подключиться к компьютеру, используя имя хоста Dynamic DNS и используемый порт RDP (например, example.ddns.net:3389). Клиент динамического обновления будет проверять изменения вашего общедоступного IP-адреса каждые пять минут, но если вы хотите обновить его самостоятельно, нажмите кнопку «Обновить сейчас» в окне настроек DUC.
- Некоторые сетевые маршрутизаторы (например, TP-Link) поддерживают динамический DNS и позволяют автоматически обновлять общедоступный IP-адрес без установки клиента динамического обновления на ваш компьютер. Тем не менее, рекомендуется сделать это в качестве резервного варианта. Например, пользователи маршрутизатора TP-Link могут получить доступ к этим настройкам, выбрав пункт меню «Динамический DNS» на странице веб-администрирования. Для других моделей обратитесь к руководству пользователя вашего сетевого маршрутизатора для получения дополнительной информации о том, как действовать.
- После того, как вы настроили свой маршрутизатор с помощью этих шагов, вы сможете удаленно подключаться с помощью RDP. Обязательно введите правильное имя хоста динамического DNS и номер порта (например, example.ddns.net:3387) в инструменте подключения к удаленному рабочему столу для правильной аутентификации. Если ваш маршрутизатор настроен правильно и других проблем с подключением нет, вы сможете установить подключение и успешно установить подключение к удаленному рабочему столу.
Transport Layer Security (TLS)
В сессии RDS можно задействовать один из трех механизмов безопасности, позволяющих защитить соединение между клиентов и сервером RDS Session Host:
-
RDP security layer
– используется встроенное шифрование протокола RDP, является менее безопасным. -
Negotiate
– шифрование TLS 1.0 (SSL) будет использоваться в случае поддержки клиентом, если клиент его не поддерживает, будет использоваться обычный уровень безопасности RDP. -
SSL
– шифрование TLS 1.будет использоваться для аутентификации сервера и шифрования передаваемых данных между клиентом и сервером. Это наиболее безопасный режим.
Для обеспечения высокого уровня безопасности необходимо использовать шифрование SSL/TLS. Для этих целей необходимо иметь цифровой сертификат, он может быть самоподписанным либо выданным центром сертификации CA (что предпочтительнее).
В дополнении к уровню безопасности можно выбрать уровень шифрования соединения. Доступны следующие виды шифрования:
-
Low
– используется 56 битное шифрование данных, отправляемых с клиента на сервер. Данные, передаваемые с сервера на клиент не шифруются. -
Client Compatible
– данный вид шифрования используется по умолчанию. В этом случае шифруется весь трафик между клиентом и сервером с максимальной длиной ключа, которую поддерживает клиент. -
High
– все данные передаваемые между клиентом и сервером в обе стороны шифруются 128 битным ключом -
FIPS Compliant
– все данные передаваемые между клиентом и сервером в обе стороны шифруются методом FIPS 140-1.
Стоит отметить, что если используются уровни шифрования High или FIPS Compliant, то все клиенты, не поддерживающие данный вид шифрования, не смогут подключиться к серверу.
Настроить тип аутентификации сервера и уровень шифрования можно следующим образом:
- На сервере RD Session Host, откройте окно конфигурации Remote Desktop Session Host и перейдите в окно свойств.
- На вкладке General, в выпадающих меню выберите необходимый уровень безопасности и тип шифрования.
- Нажмите OK.
Правила для файрволла Windows
Увы, но встроенный брандмауэр Windows может блокировать новый порт. Значит, необходимо внести изменения в настройки самого фаервола.
Вызываем настройки фаервола с расширенными параметрами безопасности. Тут следует сначала выбрать входящие подключения и кликнуть на строке создания нового правила. Теперь выбираем пункт создания правила для порта, затем вводим его значение для TCP, далее разрешаем подключение, раздел профилей оставляем без изменений и наконец присваиваем новому правилу название, после чего жмем кнопку завершения настройки. Остается перегрузить сервер и при подключении указать новый порт RDP через двоеточие в соответствующей строке. По идее, проблем наблюдаться не должно.
Схема сети и описание сценария проброса портов
Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.
Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.
Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.
Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта .
Для проброса портов в Mikrotik необходимо:
- Запустить программу Winbox;
- Указать ip адрес роутера, логин, пароль и нажать клавишу ;
- В меню программы перейти IP > Firewall > вкладка NAT;
- Нажать кнопку ;
- Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
- Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.
Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.
Проверка подключения к компьютеру через удалённый рабочий стол
Запустите клиент сервера удалённых рабочих столов:
В поле Компьютер
введите адрес и порт через двоеточие. В поле Пользователь
введите имя пользователя и нажмите кнопку Подключить
:
удалённое подключениеудалённый компьютер
Установите галку и нажмите кнопку Подключить
:
Теперь введите пароль пользователя, установите галку Запомнить учётные данные
, если не хотите вводить пароль каждый раз, и нажмите OK
:
После этого может появиться сообщение:
Не удаётся проверить подлинность удалённого компьютера.
Вы хотите установить подключение в любом случае?
Здесь можно установить галку Больше не выводить запрос о подключениях к этому компьютеру
и нажать Да
:
Принцип работы протокола rdp
И так мы с вами поняли для чего придумали Remote Desktop Protocol, теперь логично, что нужно понять принципы его работы. Компания Майкрософт выделяет два режима протокола RDP:
- Remote administration mode > для администрирования, вы попадаете на удаленный сервер и настраиваете и администрируете его
- Terminal Server mode > для доступа к серверу приложений, Remote App или совместное использование его для работы.
Вообще если вы без сервера терминалов устанавливаете Windows Server 2008 R2 — 2016, то там по умолчанию у него будет две лицензии, и к нему одновременно смогут подключиться два пользователя, третьему придется для работы кого то выкидывать. В клиентских версиях Windows, лицензий всего одна, но и это можно обойти, я об этом рассказывал в статье сервер терминалов на windows 7 . Так же Remote administration mode, можно кластеризировать и сбалансировать нагрузку, благодаря технологии NLB и сервера сервера подключений Session Directory Service. Он используется для индексации пользовательских сессий, благодаря именно этому серверу у пользователя получиться войти на удаленный рабочий стол терминальных серверов в распределенной среде. Так же обязательными компонентами идут сервер лицензирования .
RDP протокол работает по TCP соединению и является прикладным протоколом. Когда клиент устанавливает соединение с сервером, на транспортном уровне создается RDP сессия, где идет согласование методов шифрования и передачи данных. Когда все согласования определены и инициализация окончена, сервер терминалов, передает клиенту графический вывод и ожидает входные данные от клавиатуры и мыши.
Remote Desktop Protocol поддерживает несколько виртуальных каналов в рамках одного соединения, благодаря этому можно использовать дополнительный функционал
- Передать на сервер свой принтер или COM порт
- Перенаправить на сервер свои локальные диски
- Буфер обмена
- Аудио и видео
Этапы RDP соединения
- Установка соединения
- Согласование параметров шифрования
- Аутентификация серверов
- Согласование параметров RDP сессии
- Аутентификация клиента
- Данные RDP сессии
- Разрыв RDP сессии
Безопасность в RDP протоколе
Remote Desktop Protocol имеет два метода аутентификации Standard RDP Security и Enhanced RDP Security, ниже рассмотрим оба более подробно.
Standard RDP Security
RDP протокол при данном методе аутентификации, шифрует подключение средствами самого RDP протокола, которые есть в нем, вот таким методом:
- Когда ваша операционная система запускается, то идет генерация пары RSA ключиков
- Идет создание сертификата открытого ключа Proprietary Certificate
- После чего Proprietary Certificate подписывается RSA ключом созданным ранее
- Теперь RDP клиент подключившись к терминальному серверу получит Proprietary Certificate
- Клиент его смотрит и сверяет, далее получает открытый ключ сервера, который используется на этапе согласования параметров шифрования.
Если рассмотреть алгоритм с помощью которого все шифруется, то это потоковый шифр RC4. Ключи разной длины от 40 до 168 бит, все зависит от редакции операционной системы Windows, например в Windows 2008 Server – 168 бит. Как только сервер и клиент определились с длиной ключа, генерируются два новых различных ключа, для шифрования данных.
Если вы спросите про целостность данных, то тут она достигается за счет алгоритма MAC (Message Authentication Code) базируемого на SHA1 и MD5
Enhanced RDP Security
RDP протокол при данном методе аутентификации использует два внешних модуля безопасности:
- CredSSP
- TLS 1.0
TLS поддерживается с 6 версии RDP. Когда вы используете TLS, то сертификат шифрования можно создать средствами терминального сервера, самоподписный сертификат или выбрать из хранилища.
Когда вы задействуете CredSSP протокол, то это симбиоз технологий Kerberos, NTLM и TLS. При данном протоколе сама проверка, при которой проверяется разрешение на вход на терминальный сервер осуществляется заранее, а не после полноценного RDP подключения, и тем самым вы экономите ресурсы терминального сервера, плюс тут более надежное шифрование и можно делать однократный вход в систему (Single Sign On), благодаря NTLM и Kerberos. CredSSP идет только в ОС не ниже Vista и Windows Server 2008. Вот эта галка в свойствах системы
разрешить подключения только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети.
Проброс порта на маршрутизаторе
В некоторых случаях вышеописанных действий бывает недостаточно, поскольку для конкретных компьютерных терминалов, подключенных к маршрутизатору или находящихся в одной беспроводной сети один и тот же порт использоваться не может. Как открыть порт 3389 в такой ситуации? Для этого используется методика, называемая пробросом портов (от английского Port forwarding).
Через любой установленный веб-браузер войдите в настройки роутера, прописав в адресной строке значение, указанное на шильде, расположенном на обратной стороне устройства (обычно это 192.168.0.1 или с окончанием на 1.1), введите логин и пароль (обычно для обоих полей используется Admin), затем перейдите к разделу переадресации, в котором автоматически откроется вкладка виртуальных серверов, добавьте новое правило путем нажатия соответствующей кнопки, введите номер порта сервиса (или диапазон номеров) и внутренний порт (3389), укажите тип протокола и выберите все типы, если точно не знаете, что именно следует использовать. Из выпадающего списка выберите нужный сервис, хотя это и необязательно), после чего выставьте состояние порта на включенное
Сразу же обратите внимание, что в качестве IP-вводится статический адрес, который в обязательном порядке должен быть прописан в настройках протокола IPv4. В случае с динамическими адресами можно воспользоваться диапазоном адресов, найти который можно в разделе активации DHCP-сервера
Если подключение по каким-либо причинам все равно останется неактивным, пропишите аналогичные параметры в разделе Port Triggering (например, при использовании маршрутизаторов TP-Link), а затем сохраните изменения и выполните перезагрузку роутера.
Проброс портов для удаленного рабочего стола
Если удаленный компьютер не относится к локальной сети, а управляется другим роутером, к нему надо наладить подключение через интернет. Однако, сервер находится «за роутером», через него придется еще пробиваться. Это вполне возможно и нетрудно, если выполнить на нем процедуру проброса порта 3389. Здесь для каждой модели характерны свои тонкости, так что мы рассмотрим, как это сделать на примере модели D-Link 300.
Но сначала обязательно надо определить внешний адрес, то есть IP компьютера, являющего сервером. Чтобы это сделать, достаточно посетить страницу 2ip.ru. Далее нужно войти в настройки роутера (по адресу 192.168.1.1 или 192.168.0.1). Если вы меняли логин и пароль, то вводим их. По умолчанию проставляем admin в обоих полях.
Чтобы сделать проброс портов RDP, в панели настроек открываем «Настроить вручную» и переходим последовательно в разделы «Межсетевой экран» и «Виртуальные серверы». Нажимаем «Добавить». Затем в новом окне вводим информацию для подключения таким образом:
- шаблон оставляем по умолчанию (Custom);
- имя впечатываем произвольное латиницей;
- в графе «Внешний интерфейс» все оставляем без изменений;
- в качества протокола лучше всего поставить TCP;
- внешний порт (начальный) – ставим значение 3389;
- ту же цифру прописываем в качестве внутреннего (начального) порта – 3389;
- внутренний IP – сюда заносится адрес IPv4 сервера RDP;
- внешний (удаленный) IP – ставим значение, которое определил сайт 2ip.ru.
Настройка проброса портов завершена, не забудьте все сохранить — нажмите кнопку «Изменить».
Теперь расскажем, как открыть порт на роутере клиента. Нужно проделать все в точности так же, как при подключении по локальной сети
Кроме одного очень важного пункта. В поле «Компьютер» указываем вместо имени компьютера связку его IP и порта 3389
К примеру, если внешний адрес IP – 109.201.35.211, то забиваем сюда следующее значение: 109.201.35.211:3389.