在沒有安裝終端服務的Windows2012 R2服務器上配置遠程桌面的屬性。
從Windows 2012開始,如果沒有在服務器上啟用終端服務的計算機,要想配置遠程桌面使用更安全加密的RDP連接就需要通過另一台安裝了2008的服務器管理工具連接后管理。通常,對於加入域的計算機來說,這不是問題。但是如果對於未加域的計算來說,這個方法就不行了。我們需要通過一些命令來設置,可以達到同樣的效果。
首先我們需要知道,用於加密的證書指紋。
把內容復制下來,並去掉空格。如下:
dc1fffbc28f11b6c2e6db4021697c7fa72545474
然后用這條命令,為Terminalservice配置證書。
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="dc1fffbc28f11b6c2e6db4021697c7fa72545474"
然后修改兩個注冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
SecurityLayer REG_DWORD
MinEncryptionLevelREG_DWORD
SecurityLayer的對應關系如下:
0 RDPSecurity Layer
1 Negotiate
2 SSL (TLS1.0)
MinEncryptionLevel的對應關系如下:
1 Low
2 ClientCompatible
3 High
4 FIPSCompliant
同時,在注冊表中,也可以驗證一下之前配置的證書信息。
SSLCertificateSHA1Hash中記錄的就是證書的指紋。
UserAuthentication是關於是否只允許支持Network Level Authentication的客戶端連接選項前的鈎。1表示選中,0表示沒有選中。