使用远程桌面协议 (RDP) 登录您的 Windows 服务器

远程桌面协议（RDP）是微软专有的网络协议，可通过TCP端口3389对远程Windows计算机进行加密的完整图形访问。它将服务器的显示输出传输到客户端，并将客户端的键盘/鼠标输入传回服务器，有效地为您提供在未亲身到场的计算机上进行实时交互会话的能力。

对于服务器管理员而言，RDP是管理Windows Server实例的主要方法——无论该服务器是数据中心的裸机、VPS托管环境，还是运行Windows Server 2019、2022或更高版本的独立服务器。本指南涵盖完整工作流程：启用RDP、防范真实攻击向量、从Windows、macOS和Linux进行连接，以及诊断令管理员措手不及的故障。

RDP底层工作原理

在接触任何配置设置之前，了解协议架构将在故障排除时带来极大帮助。

RDP通过TCP（以及可选的用于多媒体重定向的UDP）运行，并在所有现代Windows Server版本中使用TLS 1.2/1.3进行传输加密。会话栈由多个虚拟通道组成，可同时承载不同类型的数据：

• 图形通道——使用RemoteFX或GDI加速的压缩显示更新
• 输入通道——键盘和鼠标事件
• 剪贴板通道——双向剪贴板共享
• 驱动器/打印机重定向通道——将本地资源映射到远程会话
• 音频通道——远程音频播放和录制重定向

默认情况下，每个通道通过单个TCP连接多路复用到端口3389。服务器端组件是TermService（远程桌面服务），监听器由RDPWinST.sys在内核级别管理。当您更改监听端口时，实际上是在修改该驱动程序在服务启动时读取的注册表值。

网络级身份验证（NLA）使用CredSSP（凭据安全支持提供程序）添加了预会话身份验证层。启用NLA后，客户端必须在服务器分配完整桌面会话之前使用有效凭据进行身份验证，这大大减少了针对登录界面的拒绝服务和暴力破解攻击的攻击面。

前提条件清单

在尝试连接之前，请确认以下每一项：

• 已启用RDP的Windows Server实例（2016、2019或2022）
• 服务器的公共IPv4地址或可解析的主机名
• 服务器上有效的管理员级别账户
• 本地计算机上已安装RDP客户端
• 在操作系统防火墙和任何上游网络防火墙或安全组中开放端口3389（或您的自定义端口）
• 客户端支持NLA（在所有现代Windows、macOS和Linux RDP客户端上默认启用）

第一步：在Windows Server上启用RDP

RDP在全新安装的Windows Server上默认处于禁用状态。有两种可靠的方法可以启用它。

方法A：图形界面（系统属性）

1. 打开服务器管理器，或按Win + R，输入sysdm.cpl，然后按回车键。
2. 导航到远程选项卡。
3. 在远程桌面下，选择允许远程连接到此计算机。
4. 确保勾选仅允许运行使用网络级别身份验证的远程桌面的计算机连接。
5. 点击确定。

方法B：PowerShell（自动化首选）

对于无头或脚本化部署，PowerShell更快且可脚本化：

# Enable RDP
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' `
    -Name "fDenyTSConnections" -Value 0

# Enable NLA
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
    -Name "UserAuthentication" -Value 1

# Allow RDP through Windows Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Confirm the service is running
Set-Service -Name TermService -StartupType Automatic
Start-Service TermService

验证防火墙规则

内置防火墙规则组”远程桌面”涵盖了必要的入站规则。使用以下命令验证：

Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Select-Object DisplayName, Enabled, Direction

如果您位于云提供商的安全组之后（在带cPanel的VPS或托管VPS环境中很常见），您还必须在提供商的外部防火墙面板中开放端口3389——仅靠操作系统防火墙是不够的。

第二步：查找服务器的公共IP地址

从服务器控制台

打开提升权限的命令提示符并运行：

ipconfig /all

在活动网络适配器下查找IPv4地址。在具有多个NIC的服务器上（在专用硬件上很常见），通过交叉参考默认网关来识别连接到公共网络的适配器。

要获得更简洁的输出，请使用PowerShell：

Get-NetIPAddress -AddressFamily IPv4 | Where-Object { $_.IPAddress -notlike "127.*" } |
    Select-Object InterfaceAlias, IPAddress

从您的托管控制面板

如果您通过托管提供商配置了服务器，公共IP将列在控制面板仪表板中。对于AlexHost 独立服务器，IP在配置完成后立即显示在客户区中。

重要边缘情况：如果您的服务器位于NAT之后（例如，具有内部网络的私有云或虚拟机管理程序），ipconfig显示的IP将是私有RFC 1918地址。您需要连接到NAT网关的公共IP，并配置端口转发到服务器在端口3389上的私有IP。

第三步：通过RDP连接到服务器

从Windows

内置客户端是mstsc.exe（Microsoft终端服务客户端）。从运行（Win + R）或开始菜单启动它：

mstsc /v:YOUR_SERVER_IP:3389

要获得禁用驱动器重定向的全屏会话（一个注重安全的默认设置）：

mstsc /v:YOUR_SERVER_IP /f /nodrives

在图形界面中：

1. 在计算机字段中输入服务器IP。
2. 点击显示选项以预填用户名，这样可以避免额外的凭据提示。
3. 在体验选项卡下，选择适当的连接速度以优化渲染。
4. 点击连接，在首次连接时接受证书警告（如果安全性至关重要，请验证证书指纹），然后输入您的密码。

从macOS

微软官方的Microsoft Remote Desktop应用（在Mac App Store上免费提供）是推荐的客户端。

1. 打开应用并点击+按钮，然后点击添加PC。
2. 在PC名称中输入服务器IP。
3. 在用户账户下，点击添加用户账户并输入您的凭据。
4. 可选择配置显示设置和设备与音频重定向。
5. 双击保存的连接以启动会话。

从Linux

Linux上有两个成熟的选项：

Remmina（基于GTK，推荐用于桌面环境）：

sudo apt install remmina remmina-plugin-rdp   # Debian/Ubuntu
sudo dnf install remmina remmina-plugin-rdp   # RHEL/Fedora

启动Remmina，创建新连接，选择RDP作为协议，输入服务器IP、凭据，然后连接。

FreeRDP（命令行，适合脚本编写或无头客户端）：

sudo apt install freerdp2-x11
xfreerdp /v:YOUR_SERVER_IP /u:Administrator /p:'YourPassword' /cert:ignore /dynamic-resolution

/cert:ignore标志用于抑制证书警告——在受控环境中可以接受，但在生产环境中应替换为适当的证书固定。

RDP客户端比较

第四步：针对真实威胁加固RDP

RDP是互联网上受攻击最频繁的服务之一。Shodan持续索引数百万个暴露的RDP端点，自动化暴力破解活动全天候运行。以下措施对任何生产服务器而言都不是可选项。

更改默认监听端口

从3389更改为非标准端口可消除绝大多数自动扫描器。编辑注册表：

$newPort = 54321  # Replace with your chosen port
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' `
    -Name "PortNumber" -Value $newPort -Type DWord

# Update firewall rule
New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound `
    -Protocol TCP -LocalPort $newPort -Action Allow

# Disable the default rule
Disable-NetFirewallRule -DisplayName "Remote Desktop - User Mode (TCP-In)"

Restart-Service TermService

记得更新您的云安全组以允许新端口并阻止3389。

按IP地址限制访问

如果您的管理工作站具有静态IP，请将RDP限制为仅该IP：

Set-NetFirewallRule -DisplayName "RDP Custom Port" `
    -RemoteAddress "YOUR_ADMIN_IP"

强制执行账户锁定策略

通过配置账户锁定阈值来防止暴力破解攻击。在组策略（gpedit.msc）中：

• 账户锁定阈值：5次无效尝试
• 账户锁定持续时间：30分钟
• 在以下时间后重置账户锁定计数器：15分钟

或通过PowerShell：

net accounts /lockoutthreshold:5 /lockoutduration:30 /lockoutwindow:15

部署VPN或SSH隧道作为网关

最稳健的方法是完全不将RDP暴露在公共互联网上。将RDP置于VPN（WireGuard或OpenVPN）或SSH隧道之后。管理员先连接到VPN，然后通过RDP连接到服务器的私有IP。这完全消除了攻击面。

启用Windows Defender凭据保护

在Windows Server 2016及更高版本上，凭据保护将凭据哈希隔离在基于虚拟化的安全飞地中，防止可能从受损RDP会话横向移动的哈希传递攻击。

审计和记录RDP会话

通过组策略在计算机配置 > Windows设置 > 安全设置 > 高级审核策略配置 > 登录/注销下启用审计。同时记录成功和失败事件。将日志转发到SIEM，或至少定期在事件查看器中查看Event ID 4624（成功登录）和Event ID 4625（失败登录）。

第五步：排查常见RDP连接故障

连接被拒绝（错误代码0x204 / “无法访问远程计算机”）

这几乎总是防火墙或路由问题。

# Test from the client machine (replace with your server IP and port)
Test-NetConnection -ComputerName YOUR_SERVER_IP -Port 3389

如果TcpTestSucceeded返回False，则端口被阻止。检查：

1. 服务器上的操作系统防火墙（Get-NetFirewallRule -DisplayGroup "Remote Desktop"）
2. 云提供商的安全组或ACL
3. 客户端和服务器之间的任何中间硬件防火墙

身份验证错误（”发生身份验证错误。不支持所请求的函数。”）

这通常意味着客户端不支持服务器所需的凭据安全支持提供程序（CredSSP）版本，通常在Windows安全更新（CVE-2018-0886补丁）后出现。在服务器上修复：

# Temporary workaround — update the client instead when possible
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters' `
    -Name "AllowEncryptionOracle" -Value 2 -Type DWord

永久修复方法是将RDP客户端更新到支持更新CredSSP协议的已修补版本。

“远程会话已断开，因为没有可用的远程桌面许可证服务器”

当服务器安装了远程桌面会话主机（RDSH）角色但未配置RD许可证服务器时会出现此情况。对于简单的管理访问（非多用户RDSH部署），请删除RDSH角色或配置120天宽限期：

# Check licensing mode
(Get-WmiObject -Namespace root/CIMV2/TerminalServices -Class Win32_TerminalServiceSetting).LicensingType

值2表示按设备，4表示按用户。对于仅管理员访问，该值应为5（未配置/宽限期）。

登录后黑屏

RDP连接后出现黑屏通常表明以下三种原因之一：

• Explorer.exe崩溃：按Ctrl + Alt + End打开任务管理器，然后从文件 > 运行新任务运行explorer.exe。
• 显示驱动程序冲突：通过组策略在RDP会话中禁用硬件加速。
• GPU远程处理问题：在配备专用GPU的服务器上（与GPU托管工作负载相关），确保RemoteFX vGPU适配器已正确配置。

RDP会话缓慢或卡顿

通过调整mstsc中的连接体验设置来优化性能：

mstsc /v:YOUR_SERVER_IP /f

在体验选项卡中，选择局域网（10 Mbps或更高），并禁用桌面背景、字体平滑和桌面合成，以在高延迟链路上获得最大响应速度。

RDP与替代远程访问协议比较

对于Windows Server管理，RDP在性能、原生集成和功能深度方面仍然是最优选择。SSH是基于Linux的VPS托管环境的首选协议。

管理多个RDP会话和保存的凭据

保存RDP连接文件

mstsc支持.rdp配置文件，这些是可以进行版本控制的纯文本文件：

full address:s:YOUR_SERVER_IP:3389
username:s:Administrator
prompt for credentials:i:1
audiomode:i:0
redirectdrives:i:0
redirectclipboard:i:1

保存为server.rdp并双击启动，或通过以下方式调用：

mstsc server.rdp

凭据管理器

在Windows上，保存的RDP凭据存储在凭据管理器（control keymgr.dll）中。对于需要RDP访问的自动化脚本或CI/CD管道，请使用cmdkey工具：

cmdkey /generic:YOUR_SERVER_IP /user:Administrator /pass:YourPassword
mstsc /v:YOUR_SERVER_IP
cmdkey /delete:YOUR_SERVER_IP

使用后立即删除凭据，以避免持久性凭据暴露。

实用关键要点清单

将此作为部署前和事后验证矩阵：

初始设置

• 通过注册表中的fDenyTSConnections = 0启用RDP
• 强制执行NLA（UserAuthentication = 1）
• TermService设置为自动并正在运行
• 正确端口的防火墙规则处于活动状态

网络与访问控制

• 默认端口3389已更改为非标准端口
• 云安全组已更新以反映新端口
• 防火墙规则中已配置IP白名单
• RDP未直接暴露在互联网上（首选VPN网关）

身份验证与加固

• 已配置账户锁定策略（5次尝试/30分钟锁定）
• 所有具有RDP访问权限的账户使用强且唯一的密码
• 在Windows Server 2016+上启用凭据保护
• RDP访问限制为内置管理员组或专用RDP组

监控

• 已为登录/注销事件启用审计策略
• 已为重复失败配置Event ID 4625警报
• 定期审查会话日志或转发到SIEM

客户端

• RDP客户端已更新到最新版本
• .rdp文件安全存储，未提交到公共存储库
• 定期审查和清理凭据管理器中保存的凭据

常见问题解答

RDP使用哪个端口，可以更改吗？

RDP默认监听TCP端口3389。您可以通过修改HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber DWORD值并重启TermService服务来更改它。更新您的防火墙规则以匹配。

什么是网络级身份验证（NLA），是否应该始终启用？

NLA要求客户端在服务器创建完整桌面会话之前通过CredSSP进行身份验证。这可以防止未经身份验证的用户访问Windows登录界面，显著降低凭据填充和拒绝服务攻击的暴露风险。除非您有特定的旧版客户端兼容性要求，否则应始终在生产服务器上启用它。

为什么我的RDP连接在一段时间不活动后会断开？

会话超时由组策略控制，路径为计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制。相关策略是设置已断开连接的会话的时间限制和设置活动但空闲的远程桌面服务会话的时间限制。根据您的操作需求设置这些值，而不是保留默认值。

多个用户可以同时通过RDP连接到Windows Server吗？

标准Windows Server安装支持两个并发管理RDP会话。对于更多同时用户，您需要远程桌面会话主机（RDSH）角色和有效的远程桌面服务客户端访问许可证（RDS CAL）。没有适当的许可证，服务器将进入120天宽限期，之后拒绝连接。

将RDP直接暴露在公共互联网上安全吗？

不安全。将RDP直接暴露在端口3389上会招致自动化暴力破解攻击、勒索软件投递活动（RDP是勒索软件的主要初始访问向量）以及对未修补漏洞的利用。始终将RDP置于VPN之后、按IP限制访问、更改默认端口，并强制执行NLA和账户锁定策略作为最低基准。