在没有安装终端服务的Windows 2012 R2服务器上配置远程桌面的属性

Posted 2020-06-14

在没有安装终端服务的Windows2012 R2服务器上配置远程桌面的属性。

 

从Windows 2012开始，如果没有在服务器上启用终端服务的计算机，要想配置远程桌面使用更安全加密的RDP连接就需要通过另一台安装了2008的服务器管理工具连接后管理。通常，对于加入域的计算机来说，这不是问题。但是如果对于未加域的计算来说，这个方法就不行了。我们需要通过一些命令来设置，可以达到同样的效果。

 

 

首先我们需要知道，用于加密的证书指纹。

 

把内容复制下来，并去掉空格。如下：

dc1fffbc28f11b6c2e6db4021697c7fa72545474

 

然后用这条命令，为Terminalservice配置证书。

wmic /namespace:\\root\cimv2\TerminalServices PATHWin32_TSGeneralSetting Set SSLCertificateSHA1Hash="dc1fffbc28f11b6c2e6db4021697c7fa72545474"

 

然后修改两个注册表键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

SecurityLayer               REG_DWORD

MinEncryptionLevelREG_DWORD

 

SecurityLayer的对应关系如下：

0    RDPSecurity Layer

1    Negotiate

2    SSL (TLS1.0)

MinEncryptionLevel的对应关系如下：

1    Low

2    ClientCompatible

3    High

4    FIPSCompliant

 

同时，在注册表中，也可以验证一下之前配置的证书信息。

 

SSLCertificateSHA1Hash中记录的就是证书的指纹。

UserAuthentication是关于是否只允许支持Network Level Authentication的客户端连接选项前的钩。1表示选中，0表示没有选中。