Windows Server 2008 Remote Desktop Service (RDP)

Ali YÜKSEL 09 Temmuz 2012 1

Merhabalar;

Remote desktop(uzak masaüstü)  bir bilgisayara uzakdan bağlanıp kendi bilgisayarımız gibi kullanmak demektir.
Mantık olarak klavye ve fare hareketlerimizin bağlandığımız Server yada PC’ye gitmesi karşıda yapılan işlemlerinde çıktısı ekran görüntüsü olarak bize gelmesidir.

2003’de Terminal server servisi olan ismi 2008’server’da Remote desktop servisi olarak değişmiştir.

Remote desktop 3389 Port’unu kullanmaktadır. Siz 2008 Server’da Remote Desktop açtığınızda otomatik güvenlik duvarına da izin vermektedir.
Local’de  bilgisayardan server’a istenidiği gibi bağlanılabilir. Ama şirket dışından şirket’e bağlanmak için firewall cihazında ya da modemde 3389 portunun Bağlandığınız Server’ın ip Adresine yönlendirmesi (NAT) gerekmektedir.

Güvenlik için ve saldırılar için 3389 portunu değiştirmek için;
Regedit HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\CONTROL\TERMINAL SERVER\WINSTATIONS\RDP-Tcp – PortNumber değerinden değiştirilebilir.

Remote desktop 2 şekilde kullanılabilir.
1. Server yada pc’de uzak masaüstü açılır ise sadece 3 kullanıcının oturum açıp kullanma yetkisi vardır. 2 kullanıcı admin olarak 1 kullanıcı consol olarak.
2. Server’da Remote desktop Services rolü yüklenirse istenildiği kadar bağlantı yapılabilir. (Free olarak 120 gün kullanım vermektedir. Lisans sayısı unutulmamalıdır. )

           1.       Şekilde uzak masaüstü bağlantısı için;

Computer – Properties – Remote  Settings

Default olarak a. Seçenek seçili gelir.

a.       Don’t allow connections to this computer = Uzak masaüstüne izin verme.

b.      Allow connections from computers running any version of Remote Desktop (less secure) = Remote desktop çalıştıran tüm sürümler için (95-98-2000……)

c.       Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure) = Kimlik doğrulaması yapabilen kullanıcılara izin ver (Vista ve Windows 7). Alttaki resimde görüldüğü gibi Add diyerek Bağlanmasını istediğimiz kullanıcıları ekliyoruz. Bu alanda bir kullanıcı eklediğimizde otomatik olarak Remote desktop kullanıcısı grup’una eklenir.

      2. Şekilde uzak masaüstü bağlantısı için;
Start – Administrative  Tools – Server Manager – Roles – Add Roles

Remote Desktop Session Host : Remote desktop server üzerinde kullanıcıların oturum açmalarını sağlayan gerekli temel servisdir.
Remote Desktop Virtual Host : Kullanıcıların sanal makinelere uzak masaüstü bağlantısı yapabilmelerini sağlar
Remote Desktop Licensing : Lisanslama yöneticisi sistemde kesin olması gerekir
Remote Desktop Connection Broker : Yük dengeleyici servis’dir. Cluster mantığı ile çalışır sistemde 1’den fazla RDS var ise yük paylaşımı yapar.
Remote Desktop Gateway : Tek bir bağlantı ip ile RDS’larınıza bağlanmamızı sağlar. Aynı zamanda internet üzerinde 443 portunu kullandığı için güvenli bir bağlantı sağlar.(Sistemde IIS kurulu değilse işaretlediğinizde IIS kurulumunu da işaretler)
Remote Desktop Web Access : RDS’a web tarayıcınızdan bağlanmanızı sağlar. (Sistemde IIS kurulu değilse işaretlediğinizde IIS kurulumunu da işaretler)

İstenilen servisler işaretlendikden sonra devam ettiğimizde güvenlik ile ilgili 2 seçenek karşımıza çıkıyor. Yukarıda Remote Desktop etkinleştirirken seçtiğimiz güvenlik düzeyleri gibi.
Require Network Level Authentication : Kimlik doğrulaması yapabilen kullanıcılara izin ver (Vista ve Windows 7).
Do not require Network Level Authentication : Remote Desktop çalıştıran tüm sürümler için (95-98-2000……)

Bir sonraki aşamada Lisanslama  penceresi
Configure Later : Daha sonra yapılandır.
Per Device : Sunucuya bağlanan her makine için Lisans alınır. Örn: ThinClient gibi
Per User : Sunucuya bağlanan her kullanıcı için Lisans alınır.

Bir sonraki aşama Server’a bağlanılacak kullanıcılar yada grup’lar seçilir. Sonrasında ses ve video aktarımları ile ilgili ayarlar. Sonraki aşamaları da ileri diyerek geçtiğimizde Server RESTART etmemiz gerekmektedir.

Gelelim şimdi Client Bilgisayardan uzak masaüstü bağlantısına;

Remote Desktop Service Manager’ı açtığımızda
Users
bölümünde gördüğümüz gibi Ahmet kullanıcısı sistemde RDP ile geldiği görünmekte ve ID 2 olarak bağlantı kurmakta resimde de görüldüğü gibi Sağ taraf’dan kullanıcıyı reset, disconnect, mesaj, log Off yapabiliyoruz.

Process Bölümünde kullanıcının hangi uygulamaları açtığını görebiliyoruz PID ve ID no ile TSKILL ve TASKKILL Komutları ile açık olan proğramları kapatabiliriz.

Örn : Tskill notepad 2288 /id:2
taskkill /pid 2288 /f
f parametresi programı zorla kapat anlamına gelmektedir.

Remote Desktop Session Host :
Connections bölümüdenki RDP-Tcp bölümü TCP/IP protokolü üzerindeki işlemleri yapılandırmak için kullanılır bazı ayarlar kullanıcı ara yüzündeki ayarlar ile aynıdır ama burada yapılan işlemler kullanıcı yapılandırmasına göre daha üstündür.

Edit Settings Bölümü
General

  • Delete temporary folders on exit : Oturum kapandığında geçici dosyaları sil.
  • Use temporary folders per session : Her oturum açıldığında geçici klasörleri ayrı tut.
  • Restrict each user to a single session : Bir kullanıcı aynı isimle 1 tane oturum açabilir bu bölümü NO yaparsak aynı kullanıcı adı ile 2. Bir oturum açabilir.
  •  User log on mode;
  1. Allow all  connections : Tüm bağlantılara izin ver.
  2. Allow reconnections, but prevent new logons : Bağlantısı kopan oturumlara bağlantı izni ver ama yeni oturum açmalarını engelle.
  3. Allow reconnections, but prevent new logons until the server is restarted: Bağlantısı kopan oturumlara bağlantı izni ver ama sunucu yeniden başlatılana kadar yeni oturum açmalarını engelle.

Licensing

  • Remote Desktop licensing Mode : Kurulumda anlattığım lisanslama yönergeleri (Per Device, Per User)
  • Remote Desktop license servers : Eğer ki lisans’ımız başka bir server üzerinde kurulu ise buradan lisans server’ı ekliyebiliyoruz.

RD Connection Broker

  • Member of farm in RD Connection Broker : Bu servis bağlı olan kullanıcının bağlantısı herhangi bir Sebeb’den dolayı koptuğunda bilgileri gitmeden tekrar bağlandığında başka bir RDS üzerinden devam edebilmesini sağlar.

RD IP Virtualization

  • IP Virtualization :  Her bir oturum açan kullanıcı için ayrı bir IP adresi verilmesi


Connections bölümü :

RDP-Tcp Properties General seçmesinde;
Security Layer :
Güvenlik sekmesi

  • RDP Security Layer : Rdp’ye özgü bir yöntemdir.
  • Negotive : (x.224 şifreleme ile güçlü şifreleme katmanı)
  • SSL : SSL kullanıcı adı, şifre  bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesini sağlar.

Encyption level: Yukarıdaki güvenlik sekmelerinin düzeyini belirler

  • Low (Düşük)
  • Client Compatible (En yüksek)
  • High(Yüksek)
  • FIPS Compliant (Federal bilgi işlem standartı seviyesi)

Allow connections only from computers running Remote Desktop with Network Level Authentication = Kimlik doğrulaması yapabilen kullanıcılara izin ver (Vista ve Windows 7).

Logon Settings = Oturum açma ayarları

  • Use client-provided log on information : Kullanıcılar kendi hesap bilgilerini kullanarak oturum açabilir.
  • Always use the following log on information : Kullanıcı kullanıcı adı ve şifre girdirmeden sabit bizim belirlediğimiz şekilde oturum açtırılabilir.

Sessions =

  •     Override user settings : Oturum açmış ama bağlantısı sonlanan oturumların ne zaman sonlandırılacağı
  •     Active session limit : Aktif olan oturumların hangi sure sonunda sonlanacağı
  •     Idle session limit : Aktif olan oturumda işlem yapılmadığındaki sure sonunda sonlanrılacağı

When session limit is reached or connection is broken = Bağlantı koptuğunda oturumun disconnectmi yoksa sonlandırılacağımı seçilebilir.

Environment =

  • Do not allow an initial program to be launched; always show desktop : Herzaman masaüstünü gösterir.
  • Run initial program specified by user profile and Remote Desktop Connection or client : Uzak masaüstü bağlantısında seçilen programlar başlar.
  • Start the following program when the user logs on : Program yolunun gösterdiği yerdeki program başlasın.

Remote Control=

  • Use remote control with default user settings: Oturum açan kullanıcının ayarları geçerli olsun
  • Do not allow remote control: Uzakdan control’e izin verme
  • Use remote control with the following settings: Aşağıdaki ayarlar ile müdahale et.
    Require user’s permission =  İzin gerekli.
    View the session :Oturum izlenebilir.
    Interact with the session : Oturuma müdahale edilebilir.

Client Settings= Burada renk ayarları, printerlar ,LPT port, ses ve video gibi seçilebilir.
Monitor settings bölümünde Kullanıcının kullandığı monitör sayısını belirtebiliriz.

Network Adapter = Uzak masaüstünde hangi network kartının kullanılacağını seçmemizi sağlar. Default olarak tüm network kartlarını kullanır. Ayrıca uzak masaüstü bağlantı sınırı konulabilir.

Security = TCP/IP üzerinde güvenlik ayarlarını ayarlamamıza yarar. Kullanıcılara ayrı izinler verilebilir yada ayrı bir grup oluşturup grup yetkileride düzenlenebilir.

Remote desktop Web Access = Uzak masaüstünü web browser üzerinden çalıştırmak için https://serverip/RDWeb adresinden server ip yerine sunucu adı’da yazılabilir.

RemoteApp Manager = 2008 server’ın en güzel yeni özelliklerinden bir tanesi bence.
Bir kullanıcının uzak masaüstü kullanmasını istemiyorsunuz ama kullandığı bir program yüzünden uzak masaüstü açmak zorunda kalıyorsunuz. Böyle durumlar için çok güzel bir özellik,
Öncelikle Sağ’daki RD session Host Server Settings Bölümünden Server Name kısmında domain.local kısmını siliyoruz sadece Domain makine ismi kalacak şekilde kaydediyoruz. Sonra sağ’da Add RemoteApp Programs seçerek kendi içindeki listeden seçebileceğiniz gibi browse diyerek başka bir programda seçebilirsiniz. Ben örnek olarak notepad seçip next dediğimde aşağıdaki liste ekranına atıyor burada istersek msi paketi oluşturup domain’deki tüm kullanıcılara otomatik kurulum yapabiliriz ama ben rdp file oluşturdum ve XP olan bir client pc üzerine attım. Burada çalıştırdığımda benden domain’deki kullanıcı adı şifre sordu şifre’yi kaydet dedim şifre değişene kadar bir’daha sormayacak ve sonra çalıştı.Burada dikkat edilmesi gereken burada File-Save dediğinizde hangi kullanıcı ile bağlıysanız o kullnıcının masaüstüne atıyor o yüzden farklı kaydet kullanılmalıdır.

 

 

 

 

 

 

 

 

 

One Comment »

  1. Faik GENÇ 10 Temmuz 2012 at 08:24 - Reply

    Ellerine sağlık Ali Hocam.. Çok güzel bir makale olmuş..

Yorum Bırak »