Комментарии 51
Для подключения к удалённому рабочему столу из Windows-системы используется специальный клиент, запуск которого осуществляется при помощи комбинации клавиш
Win
иR
, где необходимо ввестиmstsc
.
Опять инструкцию на сайт выложили ? есть же подключение к удаленному рабочему столу, зачем сходу в командную строку ?
Если номер порта на удалённом сервере не совпадает с номером порта на локальной машине, клиент
mstsc
выдаёт ошибку, как на скриншоте ниже.
Что я только что прочитал? На локальной машине у вас будет какой-то порт кроме 3389, потому что у в корпоративной среде у вас скорее всего ваш локальный сервис слушает 3389 порт на предмет "вдруг кто-то захочет подключиться".
либо с использованием какого-либо другого протокола — здесь вам в помощь VNC, Radmin или что-либо подобное.
либо powershell нормального человека.
В ветке
RDP-Tcp
ищем параметрPortNumber
, открываем его, указываем отображение в десятичном формате и, если значением параметра является не 3389, меняем его
Зачем? Ведь кто-то это поменял до вас, и скорее всего это групповые политики ? Зачем вы лезете в реестр, а не в документацию??
Кроме того, следует иметь в виду, что порт, предназначенный для подключения по RDP, должен быть открыт в брандмауэре удалённого сервера.
В исходящем, в общем случае, тоже. И на роутерах по пути не помешает закрыть лишнее.
Если попытки подключиться по RDP всё ещё заканчиваются ничем, следует в числе прочего проверить статус протокола.
Не раскрыта тема Enhanced RDP Security / NLA https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/592a0337-dc91-4de3-a901-e1829665291d
Опять инструкцию на сайт выложили ? есть же подключение к удаленному рабочему столу, зачем сходу в командную строку ?
А причем тут командная строка? Этой комбинацией клавиш открывается окно «Выполнить», через которое можно открыть RDP-подключение.
Что я только что прочитал? На локальной машине у вас будет какой-то порт кроме 3389, потому что у в корпоративной среде у вас скорее всего ваш локальный сервис слушает 3389 порт на предмет "вдруг кто-то захочет подключиться".
Не на локальной, а на удалённой (VPS).
либо powershell нормального человека.
Тут скорее вопрос в удобстве и опыте пользователя. На мой взгляд, обычному юзеру, который не привык работать с консолью, проще будет использовать описанные в статье методы.
Зачем? Ведь кто-то это поменял до вас, и скорее всего это групповые политики ? Зачем вы лезете в реестр, а не в документацию??
Проверить всё равно нужно.
В исходящем, в общем случае, тоже. И на роутерах по пути не помешает закрыть лишнее.
Согласен, но пока рассматриваем доступ к удалённой машине без роутеров по пути.
Не раскрыта тема Enhanced RDP Security / NLA https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/592a0337-dc91-4de3-a901-e1829665291d
Задумка была описать самые простые и очевидные проблемы при подключении. Здесь речь идет уже о расширенной защите RDP-трафика с реализацией внешних протоколов безопасности.
Согласен, но пока рассматриваем доступ к удалённой машине без роутеров по пути.
Это как? У вас плоская сеть и юзеры и прод в одной сети?
Не на локальной, а на удалённой (VPS).
Написано " не совпадает с номером порта на локальной машине ".
А причем тут командная строка? Этой комбинацией клавиш открывается окно «Выполнить», через которое можно открыть RDP-подключение.
Это и есть командная строка. Или вы ее путаете с вызовом cmd \ powershell?
Это как? У вас плоская сеть и юзеры и прод в одной сети?
Рассматриваем даже не плоскую сеть, а подключение к удаленному серверу с отдельно взятого компьютера.
Написано " не совпадает с номером порта на локальной машине ".
Номер порта на удаленном сервере не совпадает с 3389.
Это и есть командная строка. Или вы ее путаете с вызовом cmd \ powershell?
Через Win + R запускается утилита Run, а не командная строка.
Рассматриваем даже не плоскую сеть, а подключение к удаленному серверу с отдельно взятого компьютера.
??? Без роутера ?
Через Win + R запускается утилита Run, а не командная строка.
Может вы посмотрите в process explorer, что там запускается?
С такими познаниями Гриша, умничать не стоит.
А что делать если в RDP сессии вместо : \ , набираются другие символы? И правильные ввести с клавиатуры невозможно, только, скопировать через буфер обмена.
обратиться к системному администратору
Дело в том, что при поключении по RDP на сервер устанавливаются клавиатуры с раскладками, которые используются клиентом-пользователем, иногда возникают конфликты, например появляются несколько английских клавиатур с разными раскладками.
Вот откуда они появляются, на все машинах только русская и английская раскладки. А вот версии винды разные. И еще проблема возникает не при прямом подключении по rdp, а через цепочку rdp :)
Здесь же проверяем, слушается ли порт 3389 на стороне сервера. Оптимально, если порт присутствует в списке и в столбце Status имеет значение Listen.
Светить RDP/3389 на публичном Windows хосте? Это не шутка?
Captain Obvious. Ну хоть так:
Не нужно открывать прямой доступ к порту RDP/3389
Достаточно открыть только порт SSH/22
ssh rdp tunnel(local TCP forwarding)
Get-WindowsCapability -Online | ? Name -like 'OpenSSH.Client*'
ssh -L 2222:DEST_SERVER_IP:3389 USER@DEST_SERVER_IP
mstsc.exe /v 127.0.0.1::2222
Как вариант, RDP можно защитить от брутфорса с помощью EvilWatcher.
А реально сейчас все еще есть проблемы с публичным RDP для win10-win11?
Это ж не XP
RUVDS:Защита RDP-подключения к VDS/VPS в эпоху «заслуженного» киберпанка
https://habr.com/ru/companies/ruvds/articles/516814/
Судя по Вашим статьям, Вы грамотный админ локалхоста.
Публичный VPS win10-win11 с открытым 3389 tcp/udp.
Проведите небольшой аудит тыц(примитивно) или лучше тыц(статейка устарела).
Увидите много интересного, надеюсь, что и так знаете.
Только на мой взгляд - такой вариант лучший для VPS win10-win11(открыт только порт SSH/22):
ssh-keygen -t ed25519
https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement
dism /Online /Add-Capability /CapabilityName:OpenSSH.Server~~~~0.0.1.0
или
https://github.com/PowerShell/Win32-OpenSSH
или
wsl2 c debian.
How to SSH into WSL2 on an external Window
https://gist.github.com/estsaon/b27452c3ba105c369a5d7c9b1f10c6e7
Самое главное забыл(sshd_config):
В Windows OpenSSH нет опции 'PermitRootLogin no'.
Для ограничения доступа администраторов нужно использовать параметр DenyGroups.
fail2ban или sshguard под Win нет. Есть альтернатива - CrowdSec под Win.
https://docs.crowdsec.net/docs/next/getting_started/install_windows/
https://github.com/crowdsecurity/crowdsec
Есть. Его начинают брутить и жрут канал/процессор.
На каком бы порту у вас ни был открыт rdp/ssh/etc, его найдут и начнут брутить.
Приходилось разворачивать демо-стенды оперативно для заказчика на VDS/VPS(Win-серверы)
В Windows нет фичи net.ipv4.icmp_echo_ignore_all=1
Повторяюсь уже.
Оптимальным решением для меня было(на Win):
Устанока openssh-server.
открыт только порт SSH/22(переназначать особого смысла нет)
генерация ssh-keygen -t ed25519
один из вариантов - ssh rdp tunnel(local TCP forwarding)
В Windows OpenSSH нет опции 'PermitRootLogin no'.
Для ограничения доступа администраторов нужно использовать параметр DenyGroups.
Установка и настройка IPBan:
IPBan - Free software to block out attackers quickly and easily on Linux and Windows
https://github.com/DigitalRuby/IPBan
"Auto ban ip addresses by detecting failed logins from event viewer and/or log files. On Linux, SSH is watched by default. On Windows, RDP, OpenSSH, VNC, MySQL, SQL Server, Exchange, SmarterMail, MailEnable are watched. More applications can easily be added via config file..."
А ещё начиная с RDP 8ой версии он может использовать udp, а не tcp
Иконка кнопки "Перезагрузить сервер" на последней картинки немного странная. Смотря непонятно, что она позволяет перезагрузить сервер. Не думали кнопку заменить на более интуитивно понятную?
А зачем переназначать порт 3389? Что это даст?
Неудачных попыток подключения в логах будет на порядок меньше, это удобнее.
небольшую задержку в описанных выше эффектах, где-то 1-3 суток.
появляется время подумать над дальнейшей закруткой гаек.
Про то, что лучше переназначать порт 3389 - тоже ничего не вижу.
Не понимаю такой подход. Я первым делом настраиваю firewall, потом все изменения портов делаются уже через него, dst-nat. Тогда при установке нового сервиса он не начинает сразу торчать голой жопой в интернет, а при подключении через vpn или ssh-туннель не нужно помнить все эти переназначенные порты.
Чёрный экран - это по опыту проблема размера MTU сетевого оборудования, а не самого RDP. Ещё с приходом W11 чёрный экран может висеть при активном соединении VNC с тем же хостом, но опять же это не про сам RDP.
Но в целом обычная рекламная статья, не претендующая на истину. Гайд по работе с VPS.
RemoteFX разве не deprecated?
Глупый вопрос - а чем брандмауэр отличается от файрвола? и надо ли конфигурировать их оба, или достаточно только одного?
Брандмауэр отличается от файрволла примерно тем же, чем каталог отличается от директории, а прайс-лист - от прейскуранта. То есть ничем, в общеупотребительном смысле (если не является частью названия конкретного программного продукта) это синонимы.
только языком заимствования, как Вы понимаете)) по этому поводу у меня есть забавная маленькая история:
Hidden text
Как-то давно работал сервисным инженером ( надо знать ПЛК + электронику + электрику + механику + иногда пневматику, ибо мы не на Западе с ихней узкой специализацией, на Камчатке и в Приморье не поймут). И как-то упёрся в небочий электромотор. Местный коллега говорит "надо барно смотреть"...
Я : "....??? Что смотреть??"
Он: " Барно!"
Я завис, думаю- что за слово, может 2 первые буквы тут не как везде произносят...
Пошли вместе смотреть. Пришли к ... соединительной коробке мотора! Она же распаячная, она же распределительная. Но чтоб "барно"!?
Оказалось просто: в Советсвком Союзе поставки импортного оборудования шли из многих стран, в том числе из Франции.То что у англоговорящих junction box, у французов указывалась на схемах как “borneau”.
Потом ещё версию слышал, дескать бАрно=бОрно=БлокРасключенияНачалОбмоток. ИМХО, кто-то из советских мастеров придумал, для наглядности )))
Есть задача прокинуть на другую машину WiFi с подключенного USB WiFi адаптера. Подскажите, пожалуйста, можно ли сделать это по RDP? К примеру расшарив USB?
А почему не использую шлюз терминалов? дополнительная защита же...
"Если номер порта на удалённом сервере не совпадает с номером порта на локальной машине, клиент mstsc
выдаёт ошибку, как на скриншоте ниже."
Тут имеется ввиду что по умолчанию на всех машинах 3389 и при подключении многие используют просто ввод айпи адреса или имени компа без :порт.
Ну и ошибка по сути на стороне админов которые решили поменять порт и не сообщили об этом сотрудникам. В целом не понимаю зачем менять значения по умолчанию, когда легче указать конкретный порт при подключении.
Дикую скорость сенсы в играх через удалёнку когда починят? При зажатой пкм и повороте камеры, приходится по миллиметру тянуть и даже тогда камера в игре может крутится как у припадошного.
Не совсем по серверам вопрос, но по RDP: не работает вход по RDP через Microsoft аккаунт.
На неделе переустановил Windows 11, создал юзера через Microsoft аккаунт и не смог сделать подключение к компу через него. На клиенте локальный аккаунт. До переустановки работало через онлайн аккаунт.
В этот раз решил только через смену учётной записи на локальную. Может кто-то знает, какие настройки могут мешать подключению по RDP через Microsoft аккаунт?
А вот почему с одного ПК Windows 10 подключается, а с другого не подключается. Версии Windows одинаковые. Как бы вы анализировали данную ситуацию?
Может кто подскажет как обмануть 3d приложение, чтобы оно открывалось в rdp сессии? Если открыть его в обычном сеансе и потом подключиться по рдп то все работает, но если открывать в рдп сразу то ругается что не возможно в этом режиме
У нас однажды была ошибка подключения связанная с сертификатом. Долго голову ломали, оказалось, нужно было обновить Крипто ПРО на АРМ юзверей. Как это связанно, так и не поняли.
Будни техпода. Ошибки при подключении по RDP