windows server 2003远程桌面使用及介绍

一、修改默认端口 大家应该知道远程桌面连接默认使用的端口是3389，一旦公司在服务器或路由器上将3389端口进行了封锁，我们就没有一点办法了。其实远程桌面的使用端口是可以进行修改的，我们可以修改为公司没有禁止的端口，如21或80等。这样就可以再次轻松管理远程计算机了。将3389端口修改为80端口的方法如下： 　　 　　第一步：在远程计算机（即被访问的计算机）上通过任务栏的“开始->运行->输入regedit”，打开注册表编辑器。 　　第二步：在注册表中找到Hkey_local_machine\system\currentcontrolset\control\terminal server\wds\repwd\tds\tcp，将其下的portnumber值从3389修改为80，注意10进制和16进制数字的区别。 　　第三步：还需要在注册表中找到hkey_local_machine\system\currentcontrolsetcontrol\terminal server\WINSTATIONS\RDP-TCP,将其下的portnumber值从3389修改为80，同样注意10进制和16进制数字的区别。全部修改后重新启动计算机就完成了被访问计算机上的设置。 　　第四步：这样我们就可以在网络中任意一台安装了远程桌面登录器的计算机上连接刚刚设置的计算机了，使用的端口是80端口。值得注意的是在输入被访问计算机IP地址时需要使用类似ip:80的形式。 10.101.10.10：80 二、非管理员远程登录 大家都知道只有管理员组用户才可以通过远程桌面连接程序管理服务器，非管理员组用户是没有远程桌面使用权限的， WIN2003解决方法：在WIN2003中的配置相对简单，因为系统内置了一个REMOTE DESKTOP USERS组，我们把容许远程访问的用户添加到REMOTE DESKTOP USERS组中即可完成非管理员组的远程桌面访问。 三、传输文件 远程桌面程序内置了映射磁盘的功能，通过这个功能可以实现远程登录服务器时自动将本地计算机的磁盘映射到服务器上，传送文件变得更加方便简单，不需要安装软件，不需要启动FTP服务或找FTP站点做中转。方法如下: 　　 　　在本地计算机上启动“远程桌面连接程序”，依次点击“选项→本地资源”，将该标签下的本地设置处的字盘驱动器前打钩。点击“连接”按钮远程登录到服务器上。打开服务器的“我的电脑”就会发现本地计算机的磁盘以及软驱、光驱都映射到了服务器上。我们直接在服务器上打开相应的磁盘就可以传送需要的文件了，就像操作本地硬盘一样方便。 四、通过SSL加密连接远程桌面 首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。因为只有安装了SP1的Windows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。 1.安装证书服务：（保证安装了IIS） 第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。（ 第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续 第三步：在CA识别信息窗口中为安装的CA起一个公用名称——softer，可分辨名称后缀处空白不填写，有效期限保持默认5年即可 第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。点“下一步”后继续 第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。 第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。 第七步：完成CA证书服务的windows组件安装工作 2.设置证书服务参数： 默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。 第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口 第二步：如果证书颁发机构中没有显示出任何计算机则我们需要通过“文件”菜单中的设置来加载本地计算机的证书服务. 第三步：在计算机softer上点鼠标右键选择“属性”，然后点“策略模快”标签，在策略模快标签下还有一个“属性”按钮。 第四步：点属性按钮后在设置请求处理窗口中将默认的设置修改为“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书”。 3.申请证书： IIS启动后我们就可以通过网页来申请证书了。 第一步：打开IE浏览器，在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45，则输入http://10.91.30.45/certsrv，如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面 第二步：我们在该界面中选择“申请一个证书”。 第三步：在申请证书界面选择“高级证书申请”。 第四步：在高级证书申请界面选择“创建并向此CA提交一个申请”。 第五步：在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。 小提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。 第六步：电子邮件和公司，部门，地区等信息随意填写。 第七步：需要的证书类型选择“服务器身份验证证书”。 第八步：密钥选项设置为“创建新密钥集”。 第九步：密钥用户设置为“交换”。 第十步：将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕. 第十一步：点提交申请后会出现“潜在的脚本冲突”提示，我们不用理会直接选择“是”即可。 第十二步：提交申请完毕会出现证书挂起的提示，系统会提示你的申请信息已经挂起，等待管理员颁发，并还会显示出申请ID的序号。 至此我们就完成了证书的申请工作，接下来还需要对申请的证书进行颁发，只有颁发了我们才可以开始使用。 4.颁发证书： 下面为大家介绍如何颁发刚刚申请的证书。 第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。 第二步：在本地计算机softer下的“挂起的申请”处会看到有一个申请，ID号为2，这个就是刚才的申请。 第三步：在该申请上点鼠标右键选择“所有任务->颁发”，颁发后我们申请的证书就可以使用了。 5.安装证书： 证书已经通过服务器的审批，下面就要在服务器上安装我们申请的证书。只有拥有了证书才能让我们远程访问中传输的数据更加安全。 第一步：打开IE浏览器，在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45，则输入http://10.91.30.45/certsrv，如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。 第二步：选择“查看挂起的证书申请状态”，在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。 第三步：点该“服务器身份验证证书”后出现证书已颁发的提示，我们直接点“安装此证书”。 第四步：系统会弹出“潜在的脚本冲突”提示，我们不用理睬继续点“是”即可。系统会自动将该证书安装在服务器上。 第五步：安装完毕系统会以网页的形式将“证书已安装信息”反馈给用户。 一、服务器远程桌面设置： 默认情况下远程桌面功能是不支持SSL加密认证的，即使我们申请并安装了证书。 第一步：通过任务栏的“开始->程序->管理工具->终端服务配置”来启动tscc终端服务配置窗口。 第二步：在tscc终端服务配置窗口中我们点“终端服衽渲?>连接”，在右边窗口中会显示出终端服务，我们在其上点鼠标右键选择“属性”。 第三步：在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到我们在上期文章中安装的证书（证书名为10.91.30.45）。 第四步：选择完证书后还需要对常规标签中的安全级别进行设置，我们将安全层设置为“SSL”，将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。 二、客户端安装认证证书： 既然服务器上使用了证书进行SSL加密认证，那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书，我们将一一介绍。 1 从TS服务器上导出证书： 第一步：通过任务栏的“开始->运行”，输入mmc来启动MMC管理单元。 第二步：打开MMC管理单元后我们需要加载证书服务，方法是通过控制台菜单中的“文件->添加/删除管理单元。 第四步：在证书管理单元中选择“计算机帐户”后点“下一步”。 第五步：在选择计算机窗口中找到“本地计算机”后完成操作。 第六步：回到控制台界面后我们选择“控制台根节点->证书（本地计算机）->个人->证书”，在右边窗口中会看到服务器当前安装的所有证书。我们找到用于SSL加密连接的证书。 第六步：回到控制台界面后我们选择“控制台根节点->证书（本地计算机）->个人->证书”，在右边窗口中会看到服务器当前安装的所有证书。我们找到用于SSL加密连接的证书。 第八步：打开证书导出向导后直接点“下一步”。 第九步：导出私钥处选择“不，不要导出私钥”。 第十步：导出文件格式处选择“DER 编码二进制X.509（.CER）”。 第十一步：选择导出文件的保存路径，一般直接选桌面即可。 第十二步：完成证书导出向导配置工作，证书文件成功保存 第十三步：文件保存到桌面后我们就可以把这个证书文件复制到其他计算机上了，所有准备通过远程桌面连接服务器的客户机都需要安装该证书。 第十四步：直接双击该证书文件就可以安装了，在“常规”标签中有一个“安装证书”按钮。 第十五步：点“安装证书”按钮后进入证书导入向导，我们选择“根据证书类型，自动选择证书存储”后点“下一步”。 第十六步：完成证书的全部导入工作。 2.通过证书页面安装证书： 我们还有另外一种方法在客户机上安装证书。 第一步：在客户机上打开浏览器，在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45，则输入http://10.91.30.45/certsrv。浏览器将打开证书申请页面。 第二步：选择下载CA证书后直接点“安装此CA证书链”。 第三步：系统将自动安装该CA证书，并给出安装完毕的提示。 安装了证书的客户机就可以通过远程桌面连接的SSL加密功能访问远程的服务器了。 三、客户端配置 如果急于使用SSL加密模式控制远程服务器的用户会发现一个问题，那就是XP和2000中的远程桌面工具没有地方设置安全模式。这是因为SSL加密模式是2003SP1中添加的新功能，所以如果要使用该功能就需要安装全新的远程桌面连接工具。 1.WIN2003系统： 在2003系统中的远程桌面连接程序自带有安全标签，通过这个标签我们可以直接设置SSL加密模式访问远程服务器。 2.其他系统： 其他系统需要安装新版远程桌面连接程序，该程序存在于WINDOWS2003系统光盘中，存放路径为i:\support\tools下，程序名称为msrdpcli.exe。 3.使用新版程序： 安装了新版远程桌面程序后我们就要配置他使用SSL访问远程服务器了。 第一步：启动新版远程桌面连接程序。 第二步：你会发现多出了一个“安全”标签。 第三步：在“安全”标签中将身份验证方式修改为“要求身份验证”。 第四步：设置完毕后点“连接”按钮就可以访问远程配置好SSL加密模式的服务器了。 小提示：安全标签中的三个选项依次为“无身份验证”（使用常规模式访问远程服务器），“试图身份验证”（先使用SSL加密身份验证访问服务器，如果不成功则使用传统模式），“要求身份验证”（使用SSL加密模式访问服务器，如果失败则退出）。 四、常见故障： 由于配置了SSL加密的远程桌面访问与传统的不同，所以在实际使用过程中会出现这样或那样的问题，笔者总结了其中最典型的几个介绍给各位读者。 1.客户端无法建立跟远程计算机的连接： 使用老版本远程桌面连接程序访问配置加密SSL模式的服务器的话就会出现这个“无法建立跟远程计算机的连接”的提示。解决方法是升级到新版桌面连接程序。 2.远程计算机要求经过身份验证才能连接： 如果安装了新版桌面连接程序但没有设置“安全”标签参数的话就会出现“远程计算机要求经过身份验证才能连接”的提示，我们通过“安全”标签设置身份验证方式为“要求身份验证”或“试图身份验证”即可。 3.验证远程计算机证书遇到错误： 如果在服务器上配置了SSL加密模式但是在客户机上安装的证书不正确，或者在申请证书名称时没有按照IP地址信息书写而是填写了其他名称的话则会出现“验证远程计算机证书遇到错误——证书上的服务器名错误”的提示。解决方法是重新申请证书并在客户端上安装该证书，申请时证书名称填写服务器的IP地址。 总结：当客户机使用SSL加密模式连接服务器并控制服务器后，在网络中传输的所有信息都是加密过的，黑客使用sniffer等工具无法抓取到可用的数据包。从而真真正正的将远程桌面的安全进行到底。远程操作界面也出现了SSL加密的图标。