提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
窗口使用远程桌面 (RDP) 访问您的 Windows 服务器:完整技术指南
远程桌面协议(RDP)是微软专有的网络协议,通过TCP端口3389实现对Windows服务器和桌面的加密图形化远程访问。它将远程计算机的显示输出传输至客户端,并将输入(键盘、鼠标、音频)反向传输,使用户能够从任何联网设备对Windows环境进行完整的交互式控制。
对于管理VPS Hosting环境或独立服务器的系统管理员而言,RDP是主要的管理界面——相当于Windows版本的SSH。深入理解RDP,而不仅仅停留在”输入IP然后点击连接”的层面,才是称职的管理员与凌晨两点被锁在门外的管理员之间的区别。
连接前的准备工作
在发起RDP会话之前,请确认客户端和服务器端均满足以下条件:
在Windows服务器上:
- 已在系统属性中明确启用RDP
- Windows防火墙(以及任何外部防火墙或安全组)允许端口
3389上的入站TCP流量 - 目标用户账户已被授予”允许通过远程桌面服务登录”权限
- 已知网络级别身份验证(NLA)状态——这会影响哪些客户端可以连接
- 服务器具有可访问的公共IPv4(或IPv6)地址
在客户端计算机上:
- 远程桌面连接客户端(
mstsc.exe)可用(默认内置于除家庭版以外的所有Windows版本) - 您拥有服务器的公共IP地址、有效的用户名及对应密码
- 您的本地网络未阻止出站TCP
3389(某些企业防火墙会阻止)
分步指南:通过远程桌面连接(mstsc)进行连接
第一步:打开RDP客户端
按Win + R打开运行对话框,输入mstsc,然后按回车键。这将启动远程桌面连接窗口。或者,在开始菜单中搜索”远程桌面连接”。
从命令行或脚本直接一行命令连接:
mstsc /v:YOUR_SERVER_IP指定非标准端口(例如3390):
mstsc /v:YOUR_SERVER_IP:3390第二步:输入服务器IP地址
在计算机字段中,输入Windows服务器的公共IP地址。如果您的托管服务提供商分配了主机名(例如server1.example.com),只要DNS解析正确,同样有效。
连接前点击显示选项——这将展示大多数指南完全跳过的关键设置:
- 常规选项卡:将连接凭据保存到
.rdp文件以便重复使用 - 显示选项卡:设置分辨率和色彩深度(在慢速连接上两者均降低以提升性能)
- 本地资源选项卡:控制剪贴板共享、打印机重定向和本地驱动器映射
- 体验选项卡:选择连接速度配置文件以禁用消耗带宽的视觉效果
- 高级选项卡:配置服务器身份验证行为和RDP网关设置
第三步:使用用户名和密码进行身份验证
点击连接。将出现凭据提示。输入:
- 用户名:对于全新的Windows Server实例通常为
Administrator,或以DOMAINusername格式输入域账户 - 密码:由托管服务提供商设置或在服务器配置期间配置的密码
如果您希望预先指定用户名以避免提示:
mstsc /v:YOUR_SERVER_IP /u:Administrator第四步:处理证书警告
首次连接时,您几乎肯定会看到证书信任警告。这是因为服务器的TLS证书是自签名的,而非由受信任的证书颁发机构颁发。警告内容为:*”无法验证远程计算机的身份。”*
技术含义:RDP使用TLS加密会话。服务器出示证书以证明其身份。对于您控制的已知服务器,自签名证书本身并不不安全——但在点击是之前,您应将证书的指纹与提供商颁发的内容进行核对。
对于安全性至关重要的生产环境,请考虑将受信任的证书绑定到RDP监听器。这可消除警告并提供可验证的身份。将此与针对基础设施的合理SSL证书策略相结合是明智之举。
第五步:连接成功
身份验证后,远程桌面会话将在窗口中打开(或全屏显示,取决于您的显示设置)。您现在可以完全交互式地访问Windows Server桌面环境——与坐在物理机器前完全相同。
在Windows服务器上启用RDP(如果尚未激活)
如果RDP被禁用——这在新配置的服务器或操作系统加固后很常见——可通过以下方法之一启用:
方法一:图形界面(系统属性)
- 打开控制面板 > 系统和安全 > 系统
- 点击左侧窗格中的远程设置
- 在远程桌面部分,选择允许远程连接到此计算机
- 如果需要支持旧版客户端,可选择取消勾选仅允许运行使用网络级别身份验证的远程桌面的计算机连接(不建议用于面向互联网的服务器)
- 点击应用,然后点击确定
方法二:PowerShell(推荐用于远程或脚本化启用)
# Enable RDP
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' -Name "fDenyTSConnections" -Value 0
# Allow RDP through Windows Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
# Confirm the service is running
Get-Service -Name TermService | Start-Service方法三:注册表(当PowerShell不可用时)
控制注册表键为:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server
将fDenyTSConnections设置为0(DWORD)以启用RDP,或设置为1以禁用。
RDP访问的防火墙配置
Windows防火墙
上述PowerShell命令可处理内置Windows防火墙。验证规则是否生效:
Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Select-Object DisplayName, Enabled, Direction外部防火墙/云安全组
如果您的服务器位于外部防火墙之后(VPS Hosting和独立服务器中常见),您还必须在网络边界开放入站TCP 3389。具体界面因提供商而异,但规则参数始终为:
- 协议:TCP
- 端口:
3389(或您的自定义端口) - 来源:限制为您的管理IP范围,而非
0.0.0.0/0
将RDP在默认端口上暴露给整个互联网是现存最常被利用的攻击面之一。针对端口3389的暴力破解活动持续不断且高度自动化。
RDP安全加固:大多数指南遗漏的内容
一份止步于”点击是然后进入”的基础连接指南会让您的服务器处于危险的暴露状态。以下加固步骤对任何面向互联网的Windows服务器都是不可或缺的。
更改默认RDP端口
从3389更改为非标准端口(例如33890或52100)可显著减少自动扫描噪音。这是通过隐匿实现安全——并非身份验证加固的替代方案——但可消除最低级别的攻击。
# Change RDP port to 52100 (example)
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -Name PortNumber -Value 52100
# Update the firewall rule
New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -Protocol TCP -LocalPort 52100 -Action Allow
Remove-NetFirewallRule -DisplayGroup "Remote Desktop"
# Restart the Terminal Services
Restart-Service -Name TermService -Force更改后,使用mstsc /v:YOUR_SERVER_IP:52100进行连接。
强制执行网络级别身份验证(NLA)
NLA要求客户端在建立完整RDP会话之前进行身份验证,从而防止未经身份验证的用户访问Windows登录界面。通过PowerShell启用:
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -Name UserAuthentication -Value 1按IP地址限制RDP访问
使用Windows防火墙仅将已知管理IP列入白名单:
Set-NetFirewallRule -DisplayGroup "Remote Desktop" -RemoteAddress "203.0.113.10","198.51.100.5"启用账户锁定策略
通过组策略(gpedit.msc)或本地安全策略配置锁定阈值:
- 账户锁定阈值:5次无效尝试
- 锁定持续时间:30分钟
- 重置计数器时间:15分钟后
使用RDP网关或VPN
为达到最高安全级别,请勿将RDP直接暴露于互联网。将其置于以下保护之后:
- 远程桌面网关(RD Gateway):通过HTTPS(端口
443)隧道传输RDP,提供基于证书的身份验证和集中日志记录 - VPN:要求在RDP访问可用之前建立VPN连接,将攻击面限制为仅经过身份验证的VPN用户
mstsc之外的RDP客户端选项
mstsc.exe是默认的Windows客户端,但并非唯一选择。当从非Windows系统连接或需要高级功能时,了解替代方案至关重要。
客户端
平台
主要优势
局限性
—
—
—
—
`mstsc.exe`(内置)
Windows
原生,无需安装,支持`.rdp`文件
仅限Windows
Microsoft Remote Desktop
macOS、iOS、Android
微软官方应用,支持NLA
高级选项少于mstsc
FreeRDP
Linux、macOS、Windows
开源,高度可配置,可脚本化
以命令行为主,学习曲线较陡
Remmina
Linux
多协议(RDP、VNC、SSH),基于图形界面
仅限Linux
Royal TSX
macOS
企业级凭据管理,标签式会话
完整功能需付费
MobaXterm
Windows
将RDP、SSH、X11集成于一个工具
主要以SSH为核心
对于在管理Windows服务器的同时处理Linux工作负载的Linux管理员,FreeRDP或Remmina是标准选择。从Linux终端使用FreeRDP连接的命令如下:
xfreerdp /v:YOUR_SERVER_IP /u:Administrator /p:'YourPassword' /cert:ignore /dynamic-resolution
RDP会话性能优化
在高延迟或低带宽连接上,RDP性能会明显下降。以下设置可带来显著改善:
降低色彩深度和分辨率:
在mstsc显示选项卡中,将色彩深度设置为16位,并将分辨率调整至工作所需的最低值。
通过体验选项卡禁用视觉效果:
选择”调制解调器(56 Kbps)”或手动取消勾选:桌面背景、字体平滑、桌面合成、拖动时显示窗口内容、菜单和窗口动画。
启用RemoteFX或H.264/AVC压缩:
在Windows Server 2016及更高版本上,RDP支持H.264/AVC 444模式,可在更低带宽下实现显著更好的视觉质量。通过组策略启用:
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Remote Session Environment将对所有远程桌面服务会话使用硬件图形适配器和优先使用H.264/AVC 444图形模式设置为已启用。
对于RDP性能至关重要的GPU加速工作负载,请考虑支持RemoteFX或NVIDIA GRID/vGPU的GPU Hosting环境。
保存和重用RDP连接配置文件
无需每次会话重新输入设置,将其保存到.rdp文件:
- 在mstsc窗口中,点击显示选项 > 另存为
- 为文件命名(例如
prod-server.rdp)并保存到安全位置 - 双击该文件即可使用所有已保存参数启动会话
.rdp文件是纯文本配置文件。最简示例:
full address:s:203.0.113.50:3389
username:s:Administrator
screen mode id:i:2
desktopwidth:i:1920
desktopheight:i:1080
session bpp:i:32
authentication level:i:2
enablecredsspsupport:i:1安全提示:切勿在共享或未加密的系统上将密码保存在.rdp文件中。密码字段仅经过混淆处理,并未加密,极易被还原。
常见RDP连接错误及解决方法
| 错误 | 根本原因 | 解决方案 |
|---|---|---|
| — | — | — |
| “远程桌面无法连接到远程计算机” | RDP已禁用、防火墙阻止`3389`、IP地址错误 | 验证RDP是否已启用;检查防火墙规则;确认IP地址 |
| “连接被拒绝,因为该用户账户未获授权” | 用户不在远程桌面用户组中 | 通过`lusrmgr.msc`或`net localgroup "Remote Desktop Users" username /add`添加用户 |
| “发生身份验证错误(CredSSP)” | CredSSP加密预言机修正不匹配 | 更新客户端和服务器,或临时将组策略设置`Encryption Oracle Remediation`调整为**易受攻击** |
| “远程桌面服务当前繁忙” | 已达会话限制(标准服务器许可证支持2个并发会话) | 断开空闲会话;考虑购买RDS CAL以支持更多会话 |
| 连接反复断开 | MTU不匹配、网络不稳定或空闲超时设置过于激进 | 调整MTU;在RDP-Tcp注册表设置中设置`Keep-Alive` |
| 每次连接都出现证书警告 | 自签名证书未被客户端信任 | 将服务器证书导入客户端的受信任根存储,或部署CA签名证书 |
通过控制面板管理RDP
如果您希望在原始PowerShell和注册表编辑之上使用图形化管理层,服务器控制面板可显著简化RDP配置、用户管理和防火墙规则。探索VPS控制面板,了解与Windows Server环境集成的选项;如果您的工作负载包含Web托管和远程管理,也可考虑带cPanel的VPS。
技术决策矩阵:配置RDP时的关键选择
在任何Windows服务器上设置或审计RDP访问时,请使用此检查清单:
- 端口:是否已从默认
3389更改为非标准端口?如未更改,请记录原因。 - NLA:是否已启用?如已禁用,请说明原因(旧版客户端需求)并通过其他控制措施进行补偿。
- 防火墙范围:入站RDP是否限制为特定来源IP?
0.0.0.0/0在生产环境中不可接受。 - 账户锁定:是否已配置并测试?通过故意的失败登录序列进行验证。
- 证书:自签名还是CA颁发?自签名证书适用于内部使用;合规环境需要CA颁发的证书。
- 会话限制:空闲会话是否会超时?通过
Session Time Limits下的组策略进行配置。 - 日志记录:是否已启用RDP登录/注销审计?在
Security Policy > Audit logon events下检查。 - 网关或VPN:是否必须直接暴露于互联网?如非必要,请通过RD Gateway或VPN进行路由。
- 备用访问方式:如果RDP失败(防火墙配置错误、服务崩溃),您是否有带外控制台(KVM、IPMI、提供商的VNC控制台)?
常见问题
RDP的默认端口是什么,我应该更改它吗?
默认RDP端口为TCP 3389。对于任何面向互联网的服务器,您都应该更改它。自动扫描器持续探测端口3389以寻找暴力破解机会。更改为高编号的非标准端口不能替代强身份验证,但可消除绝大多数自动化噪音。
为什么每次连接时RDP都会显示证书警告?
服务器正在出示一个您的客户端不认可为受信任的自签名TLS证书。要永久消除此警告,请导出服务器的自签名证书并将其导入客户端计算机的受信任的根证书颁发机构存储,或将自签名证书替换为受信任CA颁发的证书。
Windows Server支持多少个同时进行的RDP会话?
标准Windows Server(不含远程桌面服务许可)恰好支持两个并发管理RDP会话。为多用户场景添加具有适当客户端访问许可证(CAL)的远程桌面服务角色可取消此限制。
我可以在非Windows客户端上使用RDP连接到Windows服务器吗?
可以。微软为macOS、iOS和Android发布了官方远程桌面客户端。在Linux上,FreeRDP和Remmina是功能最强大的开源选项。所有这些客户端均支持NLA和标准RDP加密。
如果我不小心将自己锁定在RDP之外,该怎么办?
首先,检查您的托管服务提供商是否提供带外控制台(通过其控制面板进行VNC或KVM访问)。从那里,您可以更正防火墙规则、重新启用RDP服务或修复错误配置的注册表键,而无需活动的RDP会话。这就是为什么带外访问是任何服务器管理策略的必要组成部分——请在需要之前就配置好它。