在没有安装终端服务的Windows 2012 R2服务器上配置远程桌面的属性
在没有安装终端服务的Windows2012 R2服务器上配置远程桌面的属性。
从Windows 2012开始,如果没有在服务器上启用终端服务的计算机,要想配置远程桌面使用更安全加密的RDP连接就需要通过另一台安装了2008的服务器管理工具连接后管理。通常,对于加入域的计算机来说,这不是问题。但是如果对于未加域的计算来说,这个方法就不行了。我们需要通过一些命令来设置,可以达到同样的效果。
首先我们需要知道,用于加密的证书指纹。
把内容复制下来,并去掉空格。如下:
dc1fffbc28f11b6c2e6db4021697c7fa72545474
然后用这条命令,为Terminalservice配置证书。
wmic /namespace:\\root\cimv2\TerminalServices PATHWin32_TSGeneralSetting Set SSLCertificateSHA1Hash="dc1fffbc28f11b6c2e6db4021697c7fa72545474"
然后修改两个注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
SecurityLayer REG_DWORD
MinEncryptionLevelREG_DWORD
SecurityLayer的对应关系如下:
0 RDPSecurity Layer
1 Negotiate
2 SSL (TLS1.0)
MinEncryptionLevel的对应关系如下:
1 Low
2 ClientCompatible
3 High
4 FIPSCompliant
同时,在注册表中,也可以验证一下之前配置的证书信息。
SSLCertificateSHA1Hash中记录的就是证书的指纹。
UserAuthentication是关于是否只允许支持Network Level Authentication的客户端连接选项前的钩。1表示选中,0表示没有选中。