远程桌面协议(RDP)允许你通过网络控制 Windows 服务器,就像在本地使用一样。在 Windows Server 2016 上,RDP 默认被禁用,因为微软建议使用 PowerShell 和 WinRM 进行远程管理,并警告未经保护地暴露 3389 端口会招致攻击。
但许多管理员和远程工作者需要图形界面来安装软件、排查问题或协助用户。本指南介绍如何在 Windows Server 2016 上通过四种不同方法启用 RDP,同时强调安全和稳定性的最佳实践。
为什么启用 RDP 及前置条件
RDP 在需要图形界面时很有用(参见 what is RDP)。但启用它应该是一个深思熟虑的决定。在开始学习如何在 Windows Server 2016 上启用 RDP 之前,请确认服务器已打补丁且位于可信防火墙后。
使用管理员账户登录,了解机器的 IP 地址或 DNS 名称,并确保可以通过安全网络或 VPN 访问它。Windows 防火墙需要允许 TCP 端口 3389 的入站流量。
以下是关键前置条件:
- Administrator rights: 只有管理员可以启用 RDP。
- Network access: 确保可以访问服务器,且 3389 端口已开放。
- User accounts: 确定哪些非管理员用户需要远程访问,以便稍后添加他们。
- Security planning: 计划使用网络级身份验证(NLA)、强密码,并限制对可信 IP 范围的暴露。
满足这些要求后,选择下面的一种方法,按步骤学习如何在 Windows Server 2016 上启用 RDP。
方法 1:通过服务器管理器(GUI)启用 RDP
如果你不清楚如何在 Windows Server 2016 中启用 RDP,用图形界面的方法最简单:
- 打开服务器管理器 and select Local Server 在左窗格中。主窗格列出系统属性。
- 更改远程桌面设置: Next to Remote Desktop,点击蓝色 Disabled link.
- In the System Properties dialog, select 允许远程连接 为了更好地保护安全,请检查 仅允许来自运行启用网络级身份验证的远程桌面的计算机的连接.
- 申请并添加用户: Click Apply。提示会自动启用防火墙规则。要允许非管理员访问,请点击 Select Users,添加他们的用户名,然后点击 OK.
- Verify status: 关闭并重新打开服务器管理器,或按 F5. The Remote Desktop 条目应该显示 Enabled。从你的客户端机器使用 远程桌面连接 app.
本方法展示如何在 Windows Server 2016 中通过图形界面启用 RDP;如果你更喜欢用脚本,接下来是 PowerShell 的方法。
方法 2:使用 PowerShell 启用 RDP
PowerShell 非常适合自动化和远程场景。本部分将教你如何通过命令行在 Windows Server 2016 中启用 RDP:
Enable RDP:
Set‑ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
打开防火墙规则:
Enable‑NetFirewallRule -DisplayGroup "Remote Desktop"可选:强制使用 NLA 并添加用户:
Set‑ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP‑Tcp' -Name 'UserAuthentication' -Value 1
Add‑LocalGroupMember -Group 'Remote Desktop Users' -Member '<Domain\Username>'
这些命令修改控制 RDP 的注册表值,并为端口 3389 启用防火墙组。要在远程服务器上运行它们,请先使用以下方式建立会话 Enter‑PSSession 通过 WinRM。如果你需要在 Windows Server 2016 上启用 RDP 的纯文本方案,下一个方法使用命令提示符。
方法 3:通过命令提示符启用 RDP
如果你倾向于使用命令提示符,或者在没有 PowerShell 的系统上工作,你可以达到同样的效果。下面展示如何在 Windows Server 2016 中使用内置工具启用 RDP:
- 以管理员权限打开命令提示符。
- 设置注册表值:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
- 启用防火墙规则:
netsh advfirewall firewall set rule group="remote desktop" new enable=yes
- 授予非管理员访问权限:
net localgroup "Remote Desktop Users" /add <Domain\Username>
- 检查你的工作:
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
A value of 0x0 确认已允许远程访问。关闭并重新打开 Server Manager 以刷新状态。如果需要在多台服务器上同时启用 RDP,请参阅下一节了解如何在 Windows Server 2016 中使用组策略启用 RDP。
方法 4:通过组策略启用 RDP
Group Policy 适用于需要在多台服务器上启用 RDP 的域环境。如果你想学习如何在 Windows Server 2016 中为多台机器启用 RDP,可以按照以下步骤操作:
- 创建或编辑 GPO: Open the 组策略管理控制台 通过在 Start 中搜索找到它。右键单击你的域或组织单位,然后创建新的 GPO。
- 导航到 RDP 设置: Under 计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务 → 远程桌面会话主机 → 连接, double‑click 允许用户使用远程桌面服务进行远程连接.
- 启用策略和可选的 NLA: Choose Enabled。要强制使用 NLA,请设置 使用网络级身份验证为远程连接启用用户身份认证 to Enabled.
- 更新目标服务器: Run gpupdate /force 在每台服务器上进行操作,或等待策略刷新周期完成。
这种方法使 RDP 设置标准化且便于审计。你还可以通过在同一组策略对象中编辑防火墙规则来进一步保护访问权限。如果你不想自己操作这些步骤,总是可以选择 最佳 RDP 服务商 用于商业托管解决方案。
Cloudzy 的 RDP VPS
你无需费力寻找最佳 RDP 提供商,直接用 Cloudzy 的 RDP VPS 启动一台 Windows 虚拟桌面即可。你获得完整的管理员访问权、预装的首选 Windows Server(2012、2016、2019 或 2022)、即时激活和两个并发登录;采用按量付费模式,服务费用始终经济实惠。
在美国、欧洲或亚洲的众多数据中心中选择一个,保持低延迟,然后无需迁移即可扩展 CPU、RAM 和存储。在底层,高频率的 CPU(最高 4.2 GHz)搭配 DDR5 内存、NVMe SSD 存储和最高 10 Gbps 网络保持桌面响应迅速,而内置 DDoS 保护、专用静态 IP、99.95% 的正常运行时间和全天候支持保证你始终在线。灵活的付款方式包括信用卡、PayPal、支付宝和加密货币。当你准备好时, buy RDP.
防火墙配置及安全最佳实践
启用 RDP 会使你的服务器暴露于远程登录尝试。在学会如何在 Windows Server 2016 中启用 RDP 后,采用以下最佳实践来最小化风险:
- 限制入站流量: 将防火墙规则限制在特定 IP 范围。如果不需要来自公网的访问,只允许来自你的 VPN 或企业网络的连接。
- Use a VPN: 为远程用户提供 VPN 隧道,这样 RDP 永远不会直接暴露在公网上。
- 启用 NLA 并使用强密码: NLA 在用户看到桌面之前对其进行身份验证。将其与复杂密码和通过身份提供者或硬件令牌进行的多因素身份验证相结合。
- 更改默认端口: 通过注册表将端口 3389 改为非标准端口号可以减少自动扫描。记得相应地调整防火墙规则和客户端设置。
- 保持系统更新: 应用最新的 Windows 更新和安全补丁。针对 RDP 的漏洞利用通常依赖于过时软件。
在便利性的平衡下,这些措施有助于保护你的服务器安全。话说回来,你总可以尝试一个 RDP 替代方案,如 VNC.
故障排查及远程访问建议
即使配置正确,你仍可能在通过 RDP 连接时遇到问题。如果你已按照如何在 Windows Server 2016 中启用 RDP 的步骤操作但仍无法连接,可以尝试以下几点:
- Firewall blocks: Windows 防火墙规则可能仍被禁用,或外部防火墙可能阻止了端口 3389。检查你的规则并确认该端口已开放。
- Permissions errors: 只有管理员和 远程桌面用户 组的成员可以连接。将必要的用户添加到该组。
- Network instability: 高延迟或 VPN 中断可能导致超时。使用稳定连接,如有可能从其他网络进行测试。
- 状态未刷新: 在您使用以下方式刷新服务器管理器之前,它可能仍然将 RDP 报告为已禁用 F5 或重新打开控制台。
- Client software: 使用您的操作系统对应的官方 Microsoft 远程桌面客户端。在 macOS 上,从应用商店安装 Microsoft 远程桌面 ;在 Linux 上,使用 Remmina。Android 和 iOS 用户可以在各自的应用商店中找到移动客户端。
如果您在学会如何在 Windows Server 2016 中启用 RDP 后,更希望避免自己管理 RDP,可以考虑使用 Windows Server 2016 VPS 带有预配置的远程访问。
Final Thoughts
一旦您了解如何在 Windows Server 2016 中启用 RDP,启用远程访问就很简单了。为了简化操作,请选择服务器管理器方法;如果需要脚本编写和远程场景,选择 PowerShell 或命令提示符;如果需要域范围的一致性,选择组策略。
无论采用哪种方法,都要通过限制入站连接、启用网络级身份验证以及仅向所需用户授予访问权限来保护服务器。别忘了测试和排查您的设置,确保连接可靠。最后,如果您不想为配置操心,可以考虑使用托管 RDP VPS(来自 Cloudzy)以避免这些麻烦。
