Есть ситуации, когда необходимо изменить порт для подключения к серверу терминалов в Windows Server 2008 R2. Здесь я расскажу как это сделать.
1. Изменение порта в реестре
Заходим на сервер с правами администратора и запускаем редактор реестра (Для этого нажимаем «Пуск» , в строке поиска пишем «regedit» и запускаем regedit.exe из появившегося списка)
Делаем, на всякий случай, экспорт реееста. А затем, в редакторе реестра, в дереве слева, идем по пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
выделяем папку «RDR-Tcp» и справа находим параметр «PortNumber» . Кликаем по нему 2 раза и в открывшемся окне выбираем десятеричную систему счисления. Теперь текущее значение порта 3389 меняем на то, которое вам надо (В моем примере это 3394). Нажимаем «ОК» и закрываем редактор.
2. Добавление правила в Бредмауэр.
Теперь, когда мы изменили порт для RDP, надо добавить правило в бредмауэр для нового порта. Для этого заходим «Пуск» — «Панель управления» — «Система и безопасность» — «Бредмауэр Windows» . Слева нажимаем на «Дополнительные параметры» , откроется оснастка «Бредмауэр в режиме повышенной безопасности», заходим в ветку «Правила для входящих подключений» и нажимаем «Создать правило» .
Запустится «Мастер создания правила для нового входящего подключения», выбираем правило «Для порта», нажимаем «Далее» .
Указываем номер нашего нового порта (у меня 3394), жмем 3 раза «Далее», вводим название правила, и нажимаем «Готово» .
Чтобы все изменения вступили в силу, необходимо перезагрузить сервер.
Все, на этом настройка закончена. Теперь можно заходить на сервер через новый порт. Для этого при подключении к удаленному рабочему столу в поле «Компьютер» надо написать IP-адрес сервера, двоеточие и номер порта.
а при каких обстоятельствах это может пригодиться?
Любая защита и даже «защита от дурака» — хорошо. Я например по поводу безопасности — параноик. И для меня это полезно.
Если не поменять порт на гипервизоре — будет рубить подключения к к виртуалкам.
допустим если надо опубликовать RDP наружу, но стандартный порт публиковать не хочется
Согласен, если интернет воткнут сразу в сервер. но, наверное, у любой компании, которая держит у себя сервер, с начала идет марштуризатор, а уже потом сервер. я публикую наружу порт XXX, который внутрь приходит уже на 3389. это избавляет от необходимости вводить порт при подключении из локалки к терминалу, но в то же время не дает снаружи подключиться по стандартному порту.
Нежелательно windows вообще выпускать в интернет. Предпочитаю этому поставить любой linux на старую машинку или взять простенький маршрутизатор и отделить сервер от интернета. А уж на маршрутизатор (программном или аппаратном) разгуляйся душа. Как угодно меняй порты и пробрасывай во внутрь на стандартные 3389 и т.п. Но статья полезная, спасибо.
Не обязательно менять RDP-порт по умолчанию на самом серваке. Его ведь и забыть можно. Куда проще сделать кросс при пробросе на шлюзе. То есть я на роутере вбиваю входящим какой-нибудь левый порт типа 2278, а выходным оставляю 3389. По локалке конектиться напрямую, а при подключении через интернет, просто добавляю номер входящего порта к внешнему IP адресу. Вот такой вариант.
Это всё очень интересно про всякие маршрутизаторы и пробросы. Но данная статья мне полезна, так как терминальный сервер арендованный и сидит без каких-либо роутеров. Спасибо!
Именно для безопасности это мало подходит. У нас порт переназначен на маршрутизаторе, но всё равно его кто-то нащупал, и теперь все логи исписаны попытками найти пользователей без пароля на этом порту. Поэтому для безопасности придётся использовать VPN.