Начало
В данном руководстве будет рассмотрена процедура изменения порта RDP в операционной системе Windows Server 2012.
Обратите внимание что — все дальнейшие процедуры меняют порт RDP что приведет к отключению текущего соединения с сервером,в связи с этим рекомендуем использовать другие варианты подключения к серверу (например через Веб консоль из личного кабинета).
Для того чтобы выполнить эту задачу, необходимо осуществить редактирование реестра операционной системы.
Редактирование реестра производится с помощью программы-редактора.
Нажмите Пуск и в панели Поиск напечатайте cmd.
В появившемся окне консоли наберите и выполните команду regedit.
В редакторе реестра нужно отыскать раздел RDP-Tcp, сделать это можно, пройдя такой путь:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
В нем необходимо отыскать элемент PortNumber (как на картинке выше), и открыть этот параметр.
Далее следует переключиться в Десятичный (Decimal) формат ввода и задать новый порт для подключения по протоколу RDP:
При выборе нового порта для подключения необходимо помнить о том, что существует несколько категорий портов в разбивке по их номерам:
- Номера от 0 до 10213 — известные порты, которые назначаются и контролируются организацией IANA (Internet Assigned Numbers Authority).
Как правило, их используют различные системные приложения ОС. - Порты от 1024 до 49151 — зарегистрированные порты, назначаемые IANA. Их позволяется использовать для решения частных задач.
- Номера портов от 49152 до 65535 — динамические (приватные) порты, которые могут использоваться любыми приложениями или процессами для решения рабочих задач.
Правило для порта
После изменения порта для удаленного подключения, необходимо открыть его в настройках межсетевого экрана, иначе попытки внешнего соединения будут блокироваться.
Для этого, нужно воспользоваться оснасткой управления Брандмаэур Windows в режиме повышенной безопасности
Открыть ее можно, зайдя в меню: Диспетчер Серверов —> Средства
Далее нужно выбрать пункт «Брандмаэур Windows в режиме повышенной безопасности»
В новом окне выбрать пункт «Правила для входящих подключений», кликнуть по этому пункту правой кнопкой мыши и выбрать «Создать правило»:
Мы будем создавать правило для порта:
Нужно выбрать тип протокола (TCP или UDP) и указать порт, который мы задавали в ходе редактирования реестра
(в нашем примере — протокол TCP, номер порта 60000):
На следующем этапе нужно выбрать тип действия, которое описывает правило.
В нашем случае нужно разрешить подключение.
На следующем шаге необходимо указать область действия правила — оно зависит от того, где работает сервер (в рабочей группе, домене, или частном доступе):
Затем нужно выбрать имя для правила
(рекомендуется выбирать его таким образом, чтобы затем правило было легко узнать среди других):
После этого нужно перезагрузить сервер.
Теперь для подключения к нему по протоколу RDP нужно использовать новый порт.
RDP (Remote Desktop Protocol), или протокол удалённого рабочего стола — это протокол прикладного уровня, использующийся для обеспечения удаленного доступа к серверам и рабочим станциям Windows. По умолчанию для подключения по RDP используется порт TCP 3389, но иногда может возникнуть необходимость его изменить, например по соображениям безопасности.
- Запустите редактор реестра regedit (WIN+R).
- Откройте ветку реестра — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Измените параметр PortNumber на любой из диапазона от 1024 до 65535, например, 50415.
- Запустите Брандмауэр Windows и создайте новое правило в разделе «Правила для входящих подключений»
- Тип правила — Для порта, Протокол TCP, Определённые локальный порты — 50415, Разрешить подключение, Профиль — Доменный, Публичный и Частный, Имя — Allow RDP
В дальнейшем, при подключении используйте новый порт, например, 50415.
- Запустите подключение к удалённому рабочему столу mstsc (WIN+R)
- Введите ваш IP и порт через двоеточие, например, 192.168.40.57:50415.
Наш телеграм-канал
Пишем про облака, кейсы, вебинары
Подписаться
Why is it recommended to change the port in Windows Server
It often happens that hackers scan ports and guess passwords to access your server. By default, RDP uses port 3389. If you set a very simple password, an hacker will gain access to your server and use it for their own purposes, or encrypt all data and ask you for money. The problem due to port scanning can also be that due to many bots attempts, you will not be able to enter the server. This can overload the resources of the server. If you have such a suspicion, it is strongly recommended to protect the RDP port from bots by changing it to any port to the range from 1000 to 65535.
How to change RDP port in Windows Server?
To begin with the process, we must connect to our server and open “PowerShell”.
Click on “Start”, then on “PowerShell”. You must select the option to run “As Administrator”. Suppose we want to change the port to 1312. After PowerShell has opened, we execute this command.
You can specify any other port you want, such as 7777, 8888, 20000, etc.
After the PowerShell is opened, paste this command and hit the Enter to execute it.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1312
After executing the command, we see that there is no answer from the server, which means that we made the changes correctly.
How to open RDP port
Now we can’t just connect to our server, because we have “Firewall turned on” and the port does not work immediately after changing to another one.
We have to open a new port. Click on “Start” again, then on “Control Panel”.
When the Control Panel has opened, we click on “System and Security”
Then click on “Windows Defender Firewall” and after that on “Advanced Settings”
Here we have to open the port. Click on “Inbound Rules”, then on “New Rule…”.
Select “Port”, then click “Next”.
We write down our port, which we specified in the command in “PowerShell” and click on “Next”
Leave everything as it is in the “Action” and “Profile” sections and click “Next”.
In the “Name” we indicate the name of the port on which we will open, and click on “Finish”.
How to restart the RDP service
We haven’t finished yet. In order server to work on the new port, we must restart the remote access service. Of course, we can also restart the server, but there is an option to restart this service, so all our software continues to work, without downtime.
Click on “Start” and look for “Services”. Click and open.
We are looking for “Remote Desktop Services” and we will restart it.
The service will see the new port and it will immediately close the connection to the old port for us.
We reopen “Remote Desktop Connection” on our PC or other device and enter the IP and port that we opened and enter password for the Administrator user.
Now the server can be used without the fear that hacker will guess the passwords of users on your server, since they usually scan the standard port, and you changed it.
Почему рекомендуется заменить порт в Windows Server
Очень часто бывает, что злоумышленники сканируют порты и подбирают пароли для входа на ваш сервер. По умолачнию RDP использует порт 3389. Если вы поставили очень простой пароль, злоумышленник получит доступ к вашему серверу и будет его использовать для своих целей, либо зашифрует все данные и попросит от вас деньги. Проблема из-за сканирования портов может быть также в том, что из-за множества чужих попыток у Вас не будет возможности войти на сервер. Это может перегрузать процессорные ресурсы сервера. Если у Вас возникли такие подозрение, то настоятельно рекомендуется защитить порт RDP от роботов его сменой на любой удобный и свободных из диапазона от 1000 до 65535.
Как заменить порт в Windows Server?
Для начала мы должны подключиться к нашему серверу и открыть «PowerShell».
Нажимаем на «Пуск», затем на «PowerShell». Необходимо выбрать параметр запуска команды «От имени Администратора». Предположим мы хотим сменить порт на 1312. После того как «PowerShell» открылся, выполняем данную команду.
Вы можете указать любой нужный вам другой порт, например 7777, 8888, 20000 и т.д.
После открытия PowerShell вставьте эту команду и нажмите Enter, чтобы выполнить ее.
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" -Name PortNumber -Value 1312
После выполнения команды мы видим, что ответа нет и это означает, что изменения мы сделали правильно.
Как открыть RDP порт
Теперь мы не можем просто так подключиться на наш сервер, так как у нас «включен Брандмауэр» и порт не работает сразу после изменения на другой.
Мы должны добавить новый порт. Нажимаем на «Пуск» заново, затем на «Панель управления».
Когда панель управления открылась, мы нажимаем на «Система и безопасность»
Затем нажимаем на «Брандмауэр Защитника Windows» и на «Дополнительные параметры«
Здесь мы должны открыть порт. Нажимаем на «Правила для входящих подключений«, затем на «Создать правило«.
Выбираем «Для порта«, нажимаем «Далее«.
Указываем наш порт, который мы указали в команде в «PowerShell» и нажимаем на «Далее«
Оставляем все как есть в разделах «Действие» и «Профиль» и нажимаем Далее.
В «Имя» указываем название порта, по которому мы будем подключаться, и нажимаем на «Готово».
Как перезапустить службу RDP
Мы еще не закончили. Чтобы сервер работал по новому порту мы должны перезагрузить службу удаленного доступа. Мы конечно можем также перезагрузить сервер, но есть вариант перезагрузить данную службу, чтобы все наше ПО продолжало работать, без даунтайма.
Нажимаем на «Пуск» и ищем «Службы». Нажимаем и открываем.
Ищем «Службы удаленных рабочих столов» и перезагружаем её.
Служба увидит новый порт и закроет нам сразу подключение по старому порту.
Открываем заново «Подключение к удаленному рабочему столу» на нашем устройстве и уже вводим IP и порт, который мы открыли и вводим данные от пользователя Administrator.
Теперь сервер можно использовать без страха, что злоумышленники будут подбирать пароли пользователей на вашем сервере, так как они обычно сканируют стандартный порт, а вы его изменили.
Оглавление
- Добавление ролей и компонентов
- Активация лицензии удалённых рабочих столов
- Изменение стандартного порта подключения
- Возможные проблемы
- Подключение было запрещено
- CredSSP
- Отсутствуют доступные серверы лицензирования удаленных рабочих столов
Добавление ролей и компонентов
Установка самой оси Microsoft Windows Server 2016 в рамках данной статьи рассматриваться не будет, только отдельно сама установка терминального сервера.
На будущем терминальном сервере открываем диспетчер сервера через Панель управления (Win + R Control) — Администрирование — Диспетчер серверов (Server Manager)
или через команду «Выполнить» (Win + R ServerManager). После чего переходим по вкладке Локальный сервер (Local Server)
Открываем мастер добавления ролей и компонентов, жмём далее, в типе установки отмечаем радиокнопкой пункт Установка ролей или компонентов (Role-based or feature-based installation),
выбираем сервер, жмём далее, чекбоксом отмечаем Службы удаленных рабочих столов. В службах ролей отмечаем для установки две службы: Лицензирование удаленных рабочих столов (Remote Desktop Licensing) и Узел сеансов удаленных рабочих столов (Remote Desktop Session Host),
жмём далее и потом установить. Дожидаемся конца установки и перезагружаем сервер, если это не было сделано автоматически по завершению установки.
Активация лицензии удалённых рабочих столов
Средства — Remote Desktop Services — Диспетчер лицензирования удаленных рабочих столов (RD Licensing Manager).
Раскрываем древо, правой кнопкой по нашему серверу вызываем выпадающее меню и выбираем пункт активировать сервер.
В мастер активации сервера вначале заполняем сведения об организации, а после устанавливаем саму лицензию. При выборе программы лицензии указываем Другое соглашение,
и указываем ключи активации купленной лицензии 6565792 (или любой другой. Для тестового сервера нагуглите за 2 минуты:»номер соглашения windows server 2016«. Ключ 6565792 — также является результатом выдачи поисковика google).
Выбираем версию продукта Windows Server 2016и тип лицензии Клиентская лицензия служб удаленных рабочих столов (на пользователя). Готово!
Но Средство диагностики лицензирования удаленных рабочих столов сообщает нам, что сервер лицензирования не включён. Чтож, поправим это дело через политики. Вызываем
командное меню «Выполнить» Win + R gpedit.msc. Переходим: Конфигурация компьютера (Computer Configuration) — Административные шаблоны (Administrative Templates) — Компоненты Windows (Windows Components) — Службы удаленных рабочих столов (Remote Desktop Services) — Узел сеансов удаленных рабочих столов (Remote Desktop Session Host) — Лицензирование (Licensing).
Тут поправим Использовать указанные серверы лицензирования удаленных рабочих столов (Use the specified Remote Desktop license servers) и Задать режим лицензирования удаленных рабочих столов (Set the Remote licensing mode).
Обновляем сведения в оснастке Средство диагностики лицинзирования удаленных рабочих столов (Win + R lsdiag.msc). Теперь всё ок!
Изменение стандартного порта подключения
Стандартный порт для RDP подключения: 3389
Открываем реестр (Win + R regedit), переходим по ветке:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Находим ключ PortNumber, меняем систему исчисления на Десятичную и задаем необходимый номер порта.
Так же это можно сделать через командную строу:
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d НОВЫЙ_НОМЕР_ПОРТА /f
А чтобы вы потом смогли подключиться по новому порту, то вам в фаервол нужно прописать правило
netsh advfirewall firewall add rule name="RDP PORT НОВЫЙ_НОМЕР_ПОРТА" dir=in action=allow protocol=TCP localport=НОВЫЙ_НОМЕР_ПОРТА
И перезапустить службу
net stop TermService && net start TermService
Возможные проблемы
Подключение было запрещено
Скорее всего вы при попытке подключиться увидите сообщение:»Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему«,
а всё из-за того, что 1 — терминальный сервер не настроен в домене на разрешение подключения к нему определённых пользователей; 2 — вы не добавили в группу Пользователи удаленного рабочего стола ни одного пользователя.
Возможно вам будет полезна статья о том как из Windows 10 сделать Терминальный сервер.
CredSSP
Ещё можете столкнуться с такой вот ошибкой: An authentication error has occurred. The function is not supported. This could be due to CredSSP encryption oracle remediation.
О ней я писал ранее в статье:»Ошибка RDP подключения: CredSSP encryption oracle remediation. Как исправить?».
А возникновение этой ошибки связано с тем, что на терминальном Windows сервере, на который идёт подключение, не установлены последние обновления безопасности (CredSSP обновления для CVE-2018-0886). После обновления система по умолчанию запрещает подключаться к удалённым серверам по RDP со старой версией протокола CredSSP.
Отсутствуют доступные серверы лицензирования удаленных рабочих столов
После настройки сервера всё шло хорошо, но только 120 дней. Потом случилось следущее:
Удаленный сеанс отключен, поскольку отсутствуют доступные серверы лицензирования удаленных рабочих столов.
Обратитесь к администратору сервера
А это означает что у вас установлен ключ льготного периода (grace period licensing), который необходимо удалить. Для этого вам нужно залогиниться на сервер локально.
Где удалять ключ льготного периода? В реестре под именем L$RTMTIMEBOMB. Идём по ветке реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod
Но не тут то было! У вас недостаточно прав, но и это нас не остановит. Жмём правой кнопкой мыши и меняем владельца на ветку реестра и даём полные права самому себе, после чего спокойно удаляем эту гадость).
Если не поможет, то советую переустановить роли и компоненты.