Cách bật RDP trong Windows Server 2016 bằng PowerShell, CMD hoặc GUI

Giao thức máy tính từ xa (RDP) cho phép bạn điều khiển máy chủ Windows qua mạng như thể bạn đang sử dụng nó cục bộ. Trên Windows Server 2016, RDP bị tắt theo mặc định vì Microsoft khuyên bạn nên sử dụng PowerShell và WinRM để quản lý từ xa, đồng thời cảnh báo rằng việc lộ cổng 3389 mà không có biện pháp bảo vệ có thể dẫn đến các cuộc tấn công. 

Tuy nhiên, nhiều quản trị viên và nhân viên từ xa cần quyền truy cập đồ họa để cài đặt phần mềm, khắc phục sự cố hoặc hỗ trợ người dùng. Hướng dẫn này giải thích cách bật RDP trong Windows Server 2016 bằng bốn phương pháp khác nhau đồng thời nêu bật các phương pháp hay nhất để bảo mật và ổn định.

Tại sao nên kích hoạt RDP & Điều kiện tiên quyết

 RDP rất hữu ích khi cần có giao diện đồ họa (xem RDP là gì). Tuy nhiên, việc kích hoạt nó phải là một sự lựa chọn có chủ ý. Trước khi bạn tiếp tục tìm hiểu cách bật RDP trong Windows Server 2016, hãy xác nhận rằng máy chủ đã được vá và nằm sau tường lửa đáng tin cậy. 

Đăng nhập bằng tài khoản quản trị viên, biết địa chỉ IP hoặc tên DNS của máy và đảm bảo bạn có thể truy cập nó qua mạng an toàn hoặc VPN. Tường lửa Windows sẽ cần cho phép lưu lượng truy cập đến trên cổng TCP 3389. 

Dưới đây là những điều kiện tiên quyết chính:

• Quyền quản trị viên: Chỉ quản trị viên mới có thể bật RDP.
• Truy cập mạng: Đảm bảo bạn có thể truy cập máy chủ và cổng 3389 đang mở.
• Tài khoản người dùng: Quyết định những người dùng không phải quản trị viên nào cần quyền truy cập từ xa để bạn có thể thêm họ sau.
• Quy hoạch an ninh: Lên kế hoạch sử dụng Xác thực cấp mạng (NLA), mật khẩu mạnh và hạn chế tiếp xúc với các dải IP đáng tin cậy.

Khi bạn đáp ứng các yêu cầu này, hãy chọn phương pháp bên dưới và làm theo các bước về cách bật RDP trong Windows Server 2016.

Phương pháp 1: Kích hoạt RDP thông qua Trình quản lý máy chủ (GUI)

Nếu bạn không biết cách bật RDP trong Windows Server 2016 thì phương pháp GUI là đơn giản nhất:

1. Mở Trình quản lý máy chủ và chọn Máy chủ cục bộ ở khung bên trái. Ngăn chính liệt kê các thuộc tính hệ thống.

2. Thay đổi cài đặt Remote Desktop: Ở cạnh Máy tính để bàn từ xa, bấm vào màu xanh Tàn tật liên kết.

3. trong Thuộc tính hệ thống hộp thoại, chọn Cho phép kết nối từ xa và để bảo mật tốt hơn, hãy kiểm tra Chỉ cho phép kết nối từ các máy tính chạy Remote Desktop với Xác thực cấp mạng.

4. Áp dụng và thêm người dùng: nhấp chuột Áp dụng. Lời nhắc sẽ tự động kích hoạt quy tắc tường lửa. Để cho phép người không phải quản trị viên, hãy nhấp vào Chọn người dùng, thêm tên người dùng của họ và nhấp vào OK.
5. Xác minh trạng thái: Đóng và mở lại Trình quản lý máy chủ hoặc nhấn F5. các Máy tính để bàn từ xa mục nhập sẽ hiển thị Đã bật. Kiểm tra quyền truy cập từ máy khách của bạn bằng cách sử dụng Kết nối máy tính từ xa ứng dụng.

Phương pháp này cho thấy cách bật RDP trong Windows Server 2016 bằng giao diện đồ họa; nếu bạn thích tập lệnh hơn, PowerShell sẽ là lựa chọn tiếp theo.

Phương pháp 2: Kích hoạt RDP bằng PowerShell

PowerShell lý tưởng cho các tình huống tự động hóa và từ xa. Trong phần này, bạn sẽ tìm hiểu cách bật RDP trong Windows Server 2016 thông qua dòng lệnh:

Kích hoạt RDP:

Set‑ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0

Mở quy tắc tường lửa:

Enable‑NetFirewallRule -DisplayGroup "Remote Desktop"

Tùy chọn: thực thi NLA và thêm người dùng:

Set‑ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP‑Tcp' -Name 'UserAuthentication' -Value 1
Add‑LocalGroupMember -Group 'Remote Desktop Users' -Member '<Domain\Username>'

Các lệnh này sửa đổi giá trị đăng ký kiểm soát RDP và kích hoạt nhóm tường lửa cho cổng 3389. Để chạy chúng trên máy chủ từ xa, trước tiên hãy thiết lập phiên với Nhập‑PSPhiên trên WinRM. Nếu bạn cần giải pháp thay thế chỉ bằng văn bản về cách bật RDP trong Windows Server 2016, phương pháp tiếp theo là sử dụng Dấu nhắc Lệnh.

Phương pháp 3: Kích hoạt RDP thông qua Dấu nhắc Lệnh

Nếu bạn thích Dấu nhắc Lệnh hoặc đang làm việc trên các hệ thống không có PowerShell, bạn có thể đạt được kết quả tương tự. Cách tiếp cận này chỉ cho bạn cách bật RDP trong Windows Server 2016 bằng các công cụ tích hợp sẵn:

1. Mở Dấu nhắc lệnh với quyền quản trị viên.

2. Đặt giá trị đăng ký:
   

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

3. Kích hoạt quy tắc tường lửa:
   

netsh advfirewall firewall set rule group="remote desktop" new enable=yes

4. Cấp quyền truy cập không phải quản trị viên:

net localgroup "Remote Desktop Users" /add <Domain\Username>

5. Kiểm tra công việc của bạn:
   

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Một giá trị của 0x0 xác nhận quyền truy cập từ xa được cho phép. Đóng và mở lại Trình quản lý Máy chủ để làm mới trạng thái của nó. Nếu bạn cần bật RDP trên nhiều máy chủ cùng một lúc, phần tiếp theo sẽ hướng dẫn cách bật RDP trong Windows Server 2016 bằng Chính sách nhóm.

Phương pháp 4: Kích hoạt RDP thông qua Chính sách nhóm

Chính sách nhóm phù hợp với môi trường miền nơi bạn cần kích hoạt RDP trên nhiều máy chủ. Những người muốn tìm hiểu cách bật RDP trong Windows Server 2016 cho nhiều máy có thể làm theo các bước sau:

1. Tạo hoặc chỉnh sửa GPO: Mở Bảng điều khiển quản lý chính sách nhóm bằng cách tìm kiếm nó trong Start. Nhấp chuột phải vào miền của bạn hoặc đơn vị tổ chức và tạo GPO mới.
2. Điều hướng đến cài đặt RDP: Dưới Cấu hình máy tính → Mẫu quản trị → Cấu phần Windows → Dịch vụ máy tính từ xa → Máy chủ phiên máy tính từ xa → Kết nối, nhấp đúp vào Cho phép người dùng kết nối từ xa bằng Remote Desktop Services.

3. Kích hoạt chính sách và NLA tùy chọn: Chọn Đã bật. Để thực thi NLA, hãy đặt Yêu cầu xác thực người dùng cho các kết nối từ xa bằng cách sử dụng Xác thực cấp độ mạng to Đã bật.

4. Cập nhật máy chủ mục tiêu: Chạy gpupdate/lực lượng trên mỗi máy chủ hoặc đợi chu kỳ làm mới chính sách.

Cách tiếp cận này tiêu chuẩn hóa cài đặt RDP và dễ kiểm tra hơn. Bạn có thể tăng cường truy cập an toàn hơn bằng cách chỉnh sửa quy tắc tường lửa trong cùng một GPO. Nếu bạn không thể bận tâm đến việc tự mình làm tất cả những việc này, bạn luôn có thể chọn một trong những nhà cung cấp RDP tốt nhất cho các giải pháp quản lý thương mại.

VPS RDP của Cloudzy

Bạn thậm chí có thể bỏ qua việc tìm kiếm nhà cung cấp RDP tốt nhất và khởi động máy tính để bàn ảo Windows với VPS RDP của Cloudzy. Bạn có toàn quyền truy cập quản trị viên, Windows Server ưa thích của bạn (2012, 2016, 2019 hoặc 2022) được cài đặt sẵn, kích hoạt tức thì và hai lần đăng nhập đồng thời; dịch vụ vẫn có giá cả phải chăng khi bạn phát triển với PAYG. 

Chọn một trong nhiều trung tâm dữ liệu của chúng tôi ở Hoa Kỳ, Châu Âu hoặc Châu Á để duy trì độ trễ thấp, sau đó mở rộng quy mô CPU, RAM và bộ lưu trữ mà không cần di chuyển. Bên trong, CPU xung nhịp cao lên đến 4,2 GHz với bộ nhớ DDR5, bộ lưu trữ SSD NVMe và kết nối mạng lên đến 10 Gbps giúp máy tính để bàn của bạn phản hồi nhanh, đồng thời bảo vệ DDoS tích hợp, IP tĩnh chuyên dụng, thời gian hoạt động 99,95% và hỗ trợ 24/7 giúp bạn luôn trực tuyến. Thanh toán linh hoạt bao gồm thẻ, PayPal, Alipay và tiền điện tử. Khi bạn đã sẵn sàng, mua RDP.

Thực tiễn tốt nhất về cấu hình và bảo mật tường lửa

Việc bật RDP sẽ khiến máy chủ của bạn gặp phải các nỗ lực đăng nhập từ xa. Áp dụng các phương pháp hay nhất này để giảm thiểu rủi ro sau khi bạn tìm hiểu cách bật RDP trong Windows Server 2016:

• Hạn chế lưu lượng truy cập vào: Giới hạn quy tắc tường lửa ở các dải IP cụ thể. Nếu bạn không cần truy cập từ Internet mở, hãy chỉ cho phép kết nối từ VPN hoặc mạng công ty của bạn.
• Sử dụng VPN: Cung cấp cho người dùng từ xa một đường hầm VPN để RDP không bao giờ được tiếp xúc trực tiếp với Internet công cộng.
• Yêu cầu NLA và mật khẩu mạnh: NLA xác thực người dùng trước khi họ nhìn thấy màn hình nền. Kết hợp nó với mật khẩu phức tạp và xác thực đa yếu tố thông qua nhà cung cấp danh tính hoặc mã thông báo phần cứng của bạn.
• Thay đổi cổng mặc định: Việc thay đổi cổng 3389 thành một số không chuẩn thông qua sổ đăng ký có thể làm giảm quá trình quét tự động. Hãy nhớ điều chỉnh các quy tắc tường lửa và cài đặt máy khách cho phù hợp.
• Luôn cập nhật hệ thống: Áp dụng các bản cập nhật Windows và bản vá bảo mật mới nhất. Việc khai thác nhắm mục tiêu RDP thường dựa vào phần mềm lỗi thời.

Cân bằng giữa sự tiện lợi, những biện pháp này giúp giữ an toàn cho máy chủ của bạn. Điều đó nói rằng, bạn luôn có thể thử RDP thay thế như VNC.

Mẹo khắc phục sự cố và truy cập từ xa

Ngay cả khi được định cấu hình chính xác, bạn vẫn có thể gặp sự cố khi kết nối qua RDP. Nếu bạn đã làm theo các bước về cách bật RDP trong Windows Server 2016 mà vẫn không thể kết nối thì dưới đây là một số cách bạn có thể thử:

• Khối tường lửa: Quy tắc Tường lửa của Windows có thể vẫn bị tắt hoặc tường lửa bên ngoài có thể chặn cổng 3389. Xem lại quy tắc của bạn và xác nhận cổng đang mở.
• Lỗi quyền: Chỉ có quản trị viên và thành viên của Người dùng máy tính từ xa nhóm có thể kết nối. Thêm người dùng cần thiết vào nhóm đó.
• Mạng không ổn định: Độ trễ cao hoặc gián đoạn VPN có thể gây ra thời gian chờ. Sử dụng kết nối ổn định và kiểm tra từ mạng khác nếu có thể.
• Trạng thái không được làm mới: Trình quản lý Máy chủ vẫn có thể báo cáo RDP là bị vô hiệu hóa cho đến khi bạn làm mới nó bằng F5 hoặc mở lại bảng điều khiển.
• Phần mềm khách hàng: Sử dụng ứng dụng khách Microsoft Remote Desktop chính thức cho hệ điều hành của bạn. Trên macOS, cài đặt Máy tính từ xa của Microsoft từ App Store; trên Linux, sử dụng Remmina. Người dùng Android và iOS có thể tìm thấy ứng dụng khách di động trong các cửa hàng ứng dụng tương ứng của họ.

Nếu bạn muốn tránh tự mình quản lý RDP sau khi tìm hiểu cách bật RDP trong Windows Server 2016, hãy xem xét VPS Windows Server 2016 đi kèm với quyền truy cập từ xa được cấu hình sẵn.

suy nghĩ cuối cùng

Việc bật quyền truy cập từ xa rất đơn giản khi bạn biết cách bật RDP trong Windows Server 2016. Chọn phương thức Trình quản lý Máy chủ để đơn giản, PowerShell hoặc Dấu nhắc Lệnh cho kịch bản tập lệnh và từ xa cũng như Chính sách Nhóm để đảm bảo tính nhất quán trên toàn miền. 

Bất kể phương pháp nào, hãy bảo mật máy chủ bằng cách hạn chế các kết nối gửi đến, bật Xác thực cấp độ mạng và chỉ cấp quyền truy cập cho những người dùng được yêu cầu. Đừng quên kiểm tra và khắc phục sự cố thiết lập của bạn để đảm bảo bạn có kết nối đáng tin cậy. Cuối cùng, một lần nữa, nếu bạn không muốn lo lắng về cấu hình, hãy xem xét một giải pháp được quản lý RDP VPS từ Cloudzy để tránh mọi rắc rối đó.

Câu hỏi thường gặp