Verwendung des Remote Desktop Protocol (RDP) zur Anmeldung bei Ihrem Windows Server

Remote Desktop Protocol (RDP) ist ein proprietäres Microsoft-Netzwerkprotokoll, das verschlüsselten, vollständigen grafischen Zugriff auf einen entfernten Windows-Rechner über TCP-Port 3389 ermöglicht. Es überträgt die Bildschirmausgabe vom Server zum Client und Tastatur-/Mauseingaben vom Client zurück zum Server, wodurch Sie effektiv eine interaktive Live-Sitzung auf einem Rechner erhalten, an dem Sie nicht physisch anwesend sind.

Für Serveradministratoren ist RDP die primäre Methode zur Verwaltung einer Windows-Server-Instanz – ob dieser Server ein Bare-Metal-Rechner in einem Rechenzentrum ist, eine VPS Hosting-Umgebung oder ein Dedicated Server, auf dem Windows Server 2019, 2022 oder höher läuft. Dieser Leitfaden behandelt den vollständigen Workflow: RDP aktivieren, es gegen reale Angriffsvektoren absichern, von Windows, macOS und Linux aus verbinden und die Fehler diagnostizieren, die Administratoren unvorbereitet treffen.

Wie RDP unter der Haube funktioniert

Bevor Sie eine einzige Konfigurationseinstellung anfassen, zahlt sich das Verständnis der Protokollarchitektur bei der Fehlerbehebung aus.

RDP arbeitet über TCP (und optional UDP für Multimedia-Umleitung) und verwendet TLS 1.2/1.3 für die Transportverschlüsselung in allen modernen Windows-Server-Versionen. Der Sitzungs-Stack besteht aus mehreren virtuellen Kanälen, die gleichzeitig unterschiedliche Datentypen übertragen:

• Grafikkanal — komprimierte Anzeigeaktualisierungen mit RemoteFX oder GDI-Beschleunigung
• Eingabekanal — Tastatur- und Mausereignisse
• Zwischenablagekanal — bidirektionale Zwischenablagefreigabe
• Laufwerk-/Druckerumleitung — lokale Ressourcenzuordnung in die Remote-Sitzung
• Audiokanal — Remote-Audiowiedergabe und Aufnahmeumleitung

Jeder Kanal wird standardmäßig über eine einzige TCP-Verbindung zu Port 3389 gemultiplext. Die serverseitige Komponente ist TermService (Remote Desktop Services), und der Listener wird von RDPWinST.sys auf Kernel-Ebene verwaltet. Wenn Sie den Listening-Port ändern, modifizieren Sie einen Registry-Wert, den dieser Treiber beim Dienststart liest.

Network Level Authentication (NLA) fügt eine Vor-Sitzungs-Authentifizierungsschicht mit CredSSP (Credential Security Support Provider) hinzu. Mit aktiviertem NLA muss sich der Client mit gültigen Anmeldedaten authentifizieren, bevor der Server eine vollständige Desktop-Sitzung zuweist, was die Angriffsfläche für Denial-of-Service- und Brute-Force-Angriffe gegen den Anmeldebildschirm erheblich reduziert.

Voraussetzungen-Checkliste

Bestätigen Sie jeden Punkt unten, bevor Sie eine Verbindung versuchen:

• Eine Windows-Server-Instanz (2016, 2019 oder 2022) mit aktiviertem RDP
• Die öffentliche IPv4-Adresse oder ein auflösbarer Hostname für den Server
• Ein gültiges Administratorkonto auf dem Server
• Ein RDP-Client, der auf Ihrem lokalen Rechner installiert ist
• Port 3389 (oder Ihr benutzerdefinierter Port) sowohl in der OS-Firewall als auch in einer vorgelagerten Netzwerk-Firewall oder Sicherheitsgruppe geöffnet
• NLA-Unterstützung auf der Client-Seite (standardmäßig auf allen modernen Windows-, macOS- und Linux-RDP-Clients aktiviert)

Schritt 1: RDP auf dem Windows Server aktivieren

RDP ist bei frischen Windows-Server-Installationen standardmäßig deaktiviert. Es gibt zwei zuverlässige Methoden, es zu aktivieren.

Methode A: GUI (Systemeigenschaften)

1. Öffnen Sie den Server-Manager oder drücken Sie Win + R, geben Sie sysdm.cpl ein und drücken Sie Enter.
2. Navigieren Sie zur Registerkarte Remote.
3. Wählen Sie unter Remotedesktop die Option Remoteverbindungen mit diesem Computer zulassen.
4. Stellen Sie sicher, dass Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird aktiviert ist.
5. Klicken Sie auf OK.

Methode B: PowerShell (bevorzugt für Automatisierung)

Für headlose oder skriptgesteuerte Deployments ist PowerShell schneller und skriptfähig:

# Enable RDP
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' `
    -Name "fDenyTSConnections" -Value 0

# Enable NLA
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
    -Name "UserAuthentication" -Value 1

# Allow RDP through Windows Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Confirm the service is running
Set-Service -Name TermService -StartupType Automatic
Start-Service TermService

Überprüfung der Firewall-Regel

Die integrierte Firewall-Regelgruppe „Remotedesktop” deckt die notwendigen eingehenden Regeln ab. Überprüfen Sie mit:

Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Select-Object DisplayName, Enabled, Direction

Wenn Sie sich hinter der Sicherheitsgruppe eines Cloud-Anbieters befinden (üblich bei VPS mit cPanel oder verwalteten VPS-Umgebungen), müssen Sie Port 3389 auch im externen Firewall-Panel des Anbieters öffnen – die OS-Firewall allein ist nicht ausreichend.

Schritt 2: Die öffentliche IP-Adresse des Servers ermitteln

Von der Server-Konsole

Öffnen Sie eine erhöhte Eingabeaufforderung und führen Sie aus:

ipconfig /all

Suchen Sie nach der IPv4-Adresse unter dem aktiven Netzwerkadapter. Auf einem Server mit mehreren NICs (üblich bei dedizierter Hardware) identifizieren Sie den mit dem öffentlichen Netzwerk verbundenen Adapter durch Quervergleich mit dem Standard-Gateway.

Für eine übersichtlichere Ausgabe verwenden Sie PowerShell:

Get-NetIPAddress -AddressFamily IPv4 | Where-Object { $_.IPAddress -notlike "127.*" } |
    Select-Object InterfaceAlias, IPAddress

Aus Ihrem Hosting-Kontrollpanel

Wenn Sie den Server über einen Hosting-Anbieter bereitgestellt haben, ist die öffentliche IP im Dashboard des Kontrollpanels aufgeführt. Bei AlexHost Dedicated Servers wird die IP unmittelbar nach der Bereitstellung im Kundenbereich angezeigt.

Wichtiger Sonderfall: Wenn Ihr Server hinter NAT sitzt (z. B. eine private Cloud oder ein Hypervisor mit internem Netzwerk), ist die von ipconfig angezeigte IP eine private RFC-1918-Adresse. Sie müssen sich mit der öffentlichen IP des NAT-Gateways verbinden und Port-Weiterleitung zur privaten IP des Servers auf Port 3389 konfigurieren.

Schritt 3: Mit dem Server über RDP verbinden

Von Windows

Der integrierte Client ist mstsc.exe (Microsoft Terminal Services Client). Starten Sie ihn über Ausführen (Win + R) oder das Startmenü:

mstsc /v:YOUR_SERVER_IP:3389

Für eine Vollbildsitzung mit deaktivierter Laufwerkumleitung (ein sicherheitsbewusster Standard):

mstsc /v:YOUR_SERVER_IP /f /nodrives

In der GUI:

1. Geben Sie die Server-IP in das Feld Computer ein.
2. Klicken Sie auf Optionen einblenden, um den Benutzernamen vorauszufüllen, was die zusätzliche Anmeldedaten-Aufforderung vermeidet.
3. Wählen Sie unter der Registerkarte Leistung die entsprechende Verbindungsgeschwindigkeit aus, um das Rendering zu optimieren.
4. Klicken Sie auf Verbinden, akzeptieren Sie die Zertifikatswarnung bei der ersten Verbindung (überprüfen Sie den Zertifikats-Fingerabdruck, wenn Sicherheit kritisch ist) und geben Sie Ihr Passwort ein.

Von macOS

Microsofts offizielle Microsoft Remote Desktop-App (kostenlos im Mac App Store erhältlich) ist der empfohlene Client.

1. Öffnen Sie die App und klicken Sie auf die Schaltfläche +, dann auf PC hinzufügen.
2. Geben Sie die Server-IP unter PC-Name ein.
3. Klicken Sie unter Benutzerkonto auf Benutzerkonto hinzufügen und geben Sie Ihre Anmeldedaten ein.
4. Konfigurieren Sie optional Anzeige-Einstellungen und Geräte & Audio-Umleitung.
5. Doppelklicken Sie auf die gespeicherte Verbindung, um die Sitzung zu starten.

Von Linux

Unter Linux gibt es zwei ausgereifte Optionen:

Remmina (GTK-basiert, empfohlen für Desktop-Umgebungen):

sudo apt install remmina remmina-plugin-rdp   # Debian/Ubuntu
sudo dnf install remmina remmina-plugin-rdp   # RHEL/Fedora

Starten Sie Remmina, erstellen Sie eine neue Verbindung, wählen Sie RDP als Protokoll, geben Sie die Server-IP und Anmeldedaten ein und verbinden Sie sich.

FreeRDP (Befehlszeile, ideal für Skripting oder headlose Clients):

sudo apt install freerdp2-x11
xfreerdp /v:YOUR_SERVER_IP /u:Administrator /p:'YourPassword' /cert:ignore /dynamic-resolution

Das Flag /cert:ignore unterdrückt die Zertifikatswarnung – in einer kontrollierten Umgebung akzeptabel, sollte aber in der Produktion durch ordnungsgemäßes Zertifikat-Pinning ersetzt werden.

RDP-Client-Vergleich

Schritt 4: RDP gegen reale Bedrohungen absichern

RDP ist einer der am aktivsten angegriffenen Dienste im Internet. Shodan indiziert konsistent Millionen von exponierten RDP-Endpunkten, und automatisierte Brute-Force-Kampagnen laufen rund um die Uhr. Die folgenden Maßnahmen sind für jeden Produktionsserver nicht optional.

Den Standard-Listening-Port ändern

Die Änderung von 3389 auf einen nicht standardmäßigen Port eliminiert die große Mehrheit automatisierter Scanner. Bearbeiten Sie die Registry:

$newPort = 54321  # Replace with your chosen port
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
    -Name "PortNumber" -Value $newPort -Type DWord

# Update firewall rule
New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound `
    -Protocol TCP -LocalPort $newPort -Action Allow

# Disable the default rule
Disable-NetFirewallRule -DisplayName "Remote Desktop - User Mode (TCP-In)"

Restart-Service TermService

Denken Sie daran, Ihre Cloud-Sicherheitsgruppe zu aktualisieren, um den neuen Port zuzulassen und 3389 zu blockieren.

Zugriff nach IP-Adresse einschränken

Wenn Ihre administrative Workstation eine statische IP hat, beschränken Sie RDP auf diese IP:

Set-NetFirewallRule -DisplayName "RDP Custom Port" `
    -RemoteAddress "YOUR_ADMIN_IP"

Kontosperrungsrichtlinie durchsetzen

Verhindern Sie Brute-Force-Angriffe durch Konfiguration eines Kontosperrungsschwellenwerts. In der Gruppenrichtlinie (gpedit.msc):

• Kontosperrungsschwellenwert: 5 ungültige Versuche
• Kontosperrdauer: 30 Minuten
• Kontosperrungszähler zurücksetzen nach: 15 Minuten

Oder über PowerShell:

net accounts /lockoutthreshold:5 /lockoutduration:30 /lockoutwindow:15

VPN oder SSH-Tunnel als Gateway einsetzen

Der robusteste Ansatz ist, RDP überhaupt nicht dem öffentlichen Internet auszusetzen. Platzieren Sie RDP hinter einem VPN (WireGuard oder OpenVPN) oder einem SSH-Tunnel. Administratoren verbinden sich zuerst mit dem VPN und dann per RDP mit der privaten IP des Servers. Dies eliminiert die Angriffsfläche vollständig.

Windows Defender Credential Guard aktivieren

Unter Windows Server 2016 und höher isoliert Credential Guard Anmeldedaten-Hashes in einer virtualisierungsbasierten Sicherheitsenklave und verhindert Pass-the-Hash-Angriffe, die von einer kompromittierten RDP-Sitzung aus pivotieren können.

RDP-Sitzungen prüfen und protokollieren

Aktivieren Sie die Überwachung über die Gruppenrichtlinie unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Anmelden/Abmelden. Protokollieren Sie sowohl Erfolgs- als auch Fehlerereignisse. Leiten Sie Protokolle an ein SIEM weiter oder überprüfen Sie mindestens regelmäßig Event ID 4624 (erfolgreiche Anmeldung) und Event ID 4625 (fehlgeschlagene Anmeldung) in der Ereignisanzeige.

Schritt 5: Häufige RDP-Verbindungsfehler beheben

Verbindung verweigert (Fehlercode 0x204 / „Remotecomputer kann nicht erreicht werden”)

Dies ist fast immer ein Firewall- oder Routing-Problem.

# Test from the client machine (replace with your server IP and port)
Test-NetConnection -ComputerName YOUR_SERVER_IP -Port 3389

Wenn TcpTestSucceeded False zurückgibt, ist der Port blockiert. Überprüfen Sie:

1. Die OS-Firewall auf dem Server (Get-NetFirewallRule -DisplayGroup "Remote Desktop")
2. Die Sicherheitsgruppe oder ACL des Cloud-Anbieters
3. Jede zwischengeschaltete Hardware-Firewall zwischen Client und Server

Authentifizierungsfehler („Ein Authentifizierungsfehler ist aufgetreten. Die angeforderte Funktion wird nicht unterstützt.”)

Dies bedeutet in der Regel, dass der Client die vom Server geforderte Credential Security Support Provider (CredSSP)-Version nicht unterstützt, was häufig nach einem Windows-Sicherheitsupdate (CVE-2018-0886-Patch) auftritt. Behebung auf dem Server:

# Temporary workaround — update the client instead when possible
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters' `
    -Name "AllowEncryptionOracle" -Value 2 -Type DWord

Die dauerhafte Lösung besteht darin, den RDP-Client auf eine gepatchte Version zu aktualisieren, die das aktualisierte CredSSP-Protokoll unterstützt.

„Die Remotesitzung wurde getrennt, weil keine Remotedesktop-Lizenzserver verfügbar sind”

Dies tritt auf, wenn die Remote Desktop Session Host (RDSH)-Rolle des Servers installiert ist, aber kein RD-Lizenzierungsserver konfiguriert ist. Für einfachen administrativen Zugriff (keine Multi-User-RDSH-Deployments) entfernen Sie die RDSH-Rolle oder konfigurieren Sie eine 120-tägige Kulanzfrist:

# Check licensing mode
(Get-WmiObject -Namespace root/CIMV2/TerminalServices -Class Win32_TerminalServiceSetting).LicensingType

Ein Wert von 2 bedeutet Pro Gerät, 4 bedeutet Pro Benutzer. Für reinen Admin-Zugriff sollte der Wert 5 sein (nicht konfiguriert / Kulanzfrist).

Schwarzer Bildschirm nach der Anmeldung

Ein schwarzer Bildschirm bei der RDP-Verbindung weist in der Regel auf eine von drei Ursachen hin:

• Explorer.exe-Absturz: Drücken Sie Ctrl + Alt + End, um den Task-Manager zu öffnen, und führen Sie dann explorer.exe über Datei > Neuen Task ausführen aus.
• Anzeigetreiber-Konflikt: Deaktivieren Sie die Hardwarebeschleunigung in der RDP-Sitzung über die Gruppenrichtlinie.
• GPU-Remoting-Problem: Auf Servern mit dedizierten GPUs (relevant für GPU Hosting-Workloads) stellen Sie sicher, dass der RemoteFX vGPU-Adapter ordnungsgemäß konfiguriert ist.

Langsame oder verzögerte RDP-Sitzung

Optimieren Sie die Leistung durch Anpassen der Verbindungserfahrungs-Einstellungen in mstsc:

mstsc /v:YOUR_SERVER_IP /f

Wählen Sie auf der Registerkarte Leistung die Option LAN (10 Mbit/s oder höher) und deaktivieren Sie Desktophintergrund, Schriftartglättung und Desktopgestaltung für maximale Reaktionsfähigkeit bei Verbindungen mit hoher Latenz.

RDP vs. alternative Fernzugriffsprotokolle

Für die Windows-Server-Administration bleibt RDP in Bezug auf Leistung, native Integration und Funktionstiefe die überlegene Wahl. SSH ist das bevorzugte Protokoll für Linux-basierte VPS Hosting-Umgebungen.

Mehrere RDP-Sitzungen und gespeicherte Anmeldedaten verwalten

RDP-Verbindungsdateien speichern

mstsc unterstützt .rdp-Konfigurationsdateien, die Klartextdateien sind, die Sie versionieren können:

full address:s:YOUR_SERVER_IP:3389
username:s:Administrator
prompt for credentials:i:1
audiomode:i:0
redirectdrives:i:0
redirectclipboard:i:1

Speichern Sie als server.rdp und doppelklicken Sie zum Starten, oder rufen Sie über folgenden Befehl auf:

mstsc server.rdp

Anmeldeinformationsverwaltung

Unter Windows werden gespeicherte RDP-Anmeldedaten in der Anmeldeinformationsverwaltung (control keymgr.dll) gespeichert. Für automatisierte Skripte oder CI/CD-Pipelines, die RDP-Zugriff benötigen, verwenden Sie das Dienstprogramm cmdkey:

cmdkey /generic:YOUR_SERVER_IP /user:Administrator /pass:YourPassword
mstsc /v:YOUR_SERVER_IP
cmdkey /delete:YOUR_SERVER_IP

Löschen Sie Anmeldedaten unmittelbar nach der Verwendung, um eine dauerhafte Offenlegung von Anmeldedaten zu vermeiden.

Praktische Schlüssel-Checkliste

Verwenden Sie dies als Verifizierungsmatrix vor dem Deployment und nach einem Vorfall:

Ersteinrichtung

• RDP über fDenyTSConnections = 0 in der Registry aktiviert
• NLA erzwungen (UserAuthentication = 1)
• TermService auf Automatisch gesetzt und läuft
• Firewall-Regel für den korrekten Port aktiv

Netzwerk & Zugangskontrolle

• Standardport 3389 auf einen nicht standardmäßigen Port geändert
• Cloud-Sicherheitsgruppe aktualisiert, um den neuen Port widerzuspiegeln
• IP-Zulassungsliste in der Firewall-Regel konfiguriert
• RDP nicht direkt dem Internet ausgesetzt (VPN-Gateway bevorzugt)

Authentifizierung & Härtung

• Kontosperrungsrichtlinie konfiguriert (5 Versuche / 30-minütige Sperrung)
• Starkes, einzigartiges Passwort für alle Konten mit RDP-Zugriff
• Credential Guard auf Windows Server 2016+ aktiviert
• RDP-Zugriff auf die integrierte Administratorengruppe oder eine dedizierte RDP-Gruppe beschränkt

Überwachung

• Überwachungsrichtlinie für Anmelde-/Abmeldeereignisse aktiviert
• Event ID 4625-Warnungen für wiederholte Fehler konfiguriert
• Sitzungsprotokolle regelmäßig überprüft oder an ein SIEM weitergeleitet

Client-Seite

• RDP-Client auf die neueste Version aktualisiert
• .rdp-Dateien sicher gespeichert und nicht in öffentliche Repositories eingecheckt
• Gespeicherte Anmeldedaten in der Anmeldeinformationsverwaltung regelmäßig überprüft und bereinigt

Häufig gestellte Fragen

Welchen Port verwendet RDP, und kann er geändert werden?

RDP lauscht standardmäßig auf TCP-Port 3389. Sie können ihn ändern, indem Sie den DWORD-Wert PortNumber unter HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp modifizieren und den Dienst TermService neu starten. Aktualisieren Sie Ihre Firewall-Regeln entsprechend.

Was ist Network Level Authentication (NLA) und sollte es immer aktiviert sein?

NLA erfordert, dass sich der Client über CredSSP authentifiziert, bevor der Server eine vollständige Desktop-Sitzung erstellt. Dies verhindert, dass nicht authentifizierte Benutzer den Windows-Anmeldebildschirm erreichen, und reduziert die Exposition gegenüber Credential-Stuffing- und Denial-of-Service-Angriffen erheblich. Es sollte auf Produktionsservern immer aktiviert sein, es sei denn, Sie haben eine spezifische Anforderung zur Kompatibilität mit Legacy-Clients.

Warum wird meine RDP-Verbindung nach einer Inaktivitätsperiode getrennt?

Sitzungs-Timeouts werden durch die Gruppenrichtlinie unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Sitzungszeitlimits gesteuert. Die relevanten Richtlinien sind Zeitlimit für getrennte Sitzungen festlegen und Zeitlimit für aktive, aber im Leerlauf befindliche Remotedesktopdienste-Sitzungen festlegen. Setzen Sie diese auf Ihre betrieblichen Anforderungen, anstatt sie bei den Standardwerten zu belassen.

Können mehrere Benutzer gleichzeitig über RDP mit einem Windows Server verbinden?

Eine Standard-Windows-Server-Installation unterstützt zwei gleichzeitige administrative RDP-Sitzungen. Für mehr gleichzeitige Benutzer benötigen Sie die Remote Desktop Session Host (RDSH)-Rolle und gültige Remote Desktop Services Client Access Licenses (RDS CALs). Ohne ordnungsgemäße Lizenzierung tritt der Server in eine 120-tägige Kulanzfrist ein, bevor er Verbindungen verweigert.

Ist es sicher, RDP direkt im öffentlichen Internet zu exponieren?

Nein. Das direkte Exponieren von RDP auf Port 3389 im Internet lädt automatisierte Brute-Force-Angriffe, Ransomware-Lieferkampagnen (RDP ist der führende initiale Zugriffsvektor für Ransomware) und die Ausnutzung ungepatchter Schwachstellen ein. Platzieren Sie RDP immer hinter einem VPN, beschränken Sie den Zugriff nach IP, ändern Sie den Standardport und erzwingen Sie NLA und Kontosperrungsrichtlinien als Mindestbasis.