Workshop: So richten Sie die Remote Desktop Services ein

Mit den Remote Desktop Services von Windows können Anwender auf entfernte Rechner zugreifen, so, als säßen sie direkt davor. Der Bürorechner kann so zum Beispiel aus dem Home-Office bedient werden, und Administratoren können auf die Server in den Rechenzentren zugreifen.

Das generelle Prinzip der Remote Desktop Services ist nicht neu. Es wird schon seit vielen Jahren erfolgreich von diversen Tools dieser Art angewandt. Diese wurden meist unter dem Begriff der KVM- oder Remote Control-Tools zusammengefasst. KVM steht dabei für Keyboard, Video und Maus und umschreibt die Hardwarebaugruppen, die darin involviert sind. Dabei werden alle Bildschirmausgeben über das Netzwerk auf einen entfernten Arbeitsplatz umgeleitet. Die Eingaben von Maus und Tastatur nehmen den umgekehrten Weg.

Ein Unterschied zu den frühen KVM-Tools aber besteht dennoch. Diese basierten meist auf einer einfachen Verlängerung der Kabel zwischen dem Rechner und den Bediengeräten (Keyboard, Video, Maus). Mit KVM over IP wurde das Prinzip auf IP-Strecken erweitert. Dies gilt analog für die Remote Desktop Services (RDS). Auch sie operieren über IP-Netzwerke. Microsoft hat diese Funktionalität seit wenigen Jahren in seine Betriebssysteme integriert. Damit sind keine Zusatz-Tools erforderlich.

Windows Remote Desktop Services (RDS)
Ob die beiden Rechner korrekt im Netzwerk implementiert sind, überprüfen wir mit dem ping-Befehl.

Windows Remote Desktop Services (RDS)
Unter Computer / Eigenschaften lassen sich die RDS-Einstellungen überprüfen.

Windows Remote Desktop Services (RDS)
Die Computereigenschaften im Überblick.

Windows Remote Desktop Services (RDS)
Remote Desktop mit Setzen eines Hackens aktivieren.

Windows Remote Desktop Services (RDS)
Mit „Alle Systemsteuerelemente“ werden alle Einträge der Dienste und Funktionen sichtbar.

Windows Remote Desktop Services (RDS)
Remote App- und Desktopverbindung für das Einrichten der Remote Desktop Services aufrufen.

Windows Remote Desktop Services (RDS)
Es besteht keine Netzwerkverbindung zum Zielrechner.

Windows Remote Desktop Services (RDS)
Die URL zum Einrichten einer neuen Netzwerkverbindung eingeben.

Windows Remote Desktop Services (RDS)
Den Rechnernamen oder die IP-Adresse des Zielcomputers eingeben.

Windows Remote Desktop Services (RDS)
Eine Verbindung zum Zielcomputer aufbauen.

Windows Remote Desktop Services (RDS)
Die Remote-Verbindung für diesen Computer zulassen.

Windows Remote Desktop Services (RDS)
Eine Remote Desktop Verbindung direkt starten.

Windows Remote Desktop Services (RDS)
Eine Remote-Desktop-Verbindung lässt sich auch direkt über das Startmenü aufrufen.

Windows Remote Desktop Services (RDS)
Einen Remote-Zugriff in der umgekehrten Richtung durchführen.

Windows Remote Desktop Services (RDS)
Die Anmeldung zum Zielrechner ist fehlgeschlagen.

Windows Remote Desktop Services (RDS)
Den Status des Servers überprüfen.

Windows Remote Desktop Services (RDS)
Es ist keine Authentifizierung möglich.

W7_RemoteDesktop_005
Der Servername auf dem Zertifikat ist falsch.

Windows Remote Desktop Services (RDS)
Das Zertifikat wir mit Hilfe eines Assistenten importiert.

In diesem Workshop zeigen wir Ihnen, wie Sie die Remote Desktop Services einrichten, konfigurieren und in Betrieb nehmen können. Als Grundlage verwendeten wir eine Umgebung, bestehend aus einem virtuellen Rechner und einem physischen Rechner. Für die Arbeitsweise der Remote-Dienste ist dies im Prinzip aber unerheblich. Dennoch gilt es aufzupassen, denn durch die Virtualisierung kommt eine Softwareschicht dazu, die es zu verwalten gilt: die Virtualisierungsebene. Ferner werden in virtuellen Umgebungen die Netzwerkverbindungen in der Regel virtuell nachgebildet. Ferner müssen Sie sicherstellen, dass das virtuelle System Zugang zum physischen Netzwerk hat, denn die Kommunikation mit den entfernten Rechner erfolgt über das IP-Netzwerk. Da aber an der Virtualisierung kaum ein Weg vorbeiführt, zeigen wir hier dieses Szenario.

Netzwerkarchitektur und Ausgangslage

Das Zielsystem, auf das wir mittels Remote Desktop Services zugreifen, läuft auf einem physischen Rechner. Es kann sich dabei um Windows 7 oder um Windows Server 2008 handeln. In unserem Workshop trägt das Zielsystem den Namen JBASP5930.

Der Rechner, von dem aus der Zugriff erfolgen soll, hat den Rechnernamen W7UXHOST. Dieser Rechner dient auch als Grundlage für die VMware-Workstation - daher der Name "Host". Für die Arbeitsweise der RDS hat dies zwar keine Bedeutung, es wird uns aber später noch mal begegnen.

Der Zugriff erfolgt über das IP-Netzwerk. Die IP-Adresse des Zielsystems, auf das der Zugriff aus der Ferne erfolgt, ist in unserem Szenario 172.16.0.200; der zugreifende Rechner hat die Adresse 172.16.0.170.

Damit RDS funktionieren kann, müssen die beiden Rechner natürlich kommunizieren können. Entweder erfolgt dies über die Weiterleitung des Netzwerk-Traffics über einen Gateway, oder Sie platzieren beide Rechner in das gleiche Netzwerksegment. Letzteres erfordert die Anpassung der IP-Konfiguration des zugreifenden Rechners auf den Zielrechner.

Das Zielsystem ist in der Regel entfernt, eine Anpassung der IP-Adresse kann daher nicht ad hoc durchgeführt werden. Diesen Zusatzschritt kann man in unserem Fall als Nachteil sehen, doch ist er auch eine zusätzliche Sicherheitsstufe. Denn wenn die Zieladresse nicht bekannt ist, kann kein Zugriff erfolgen.

Um die prinzipielle Kommunikationsfähigkeit zu ermitteln, sollte man vorher durch den ping-Befehl eine Testnachricht absenden und somit die Kommunikation prüfen. Ermittelb Sie daher vorher die eigene Netzwerkadresse durch die Eingabe von IPCONFIG / al" in einem Kommandozeilenfenster. Prüfen Sie mit ping ferner, ob Sie den Zielrechner erreichen können. Dabei dürfen jedoch dazwischen liegende Firewalls den Ping-Request nicht blockieren. Im Zweifel kann die Firewall kurz abgeschaltet werden - allerdings sollte dies nur ausnahmsweise geschehen, denn generell sollte die Firewall aus Sicherheitsgründen aktiv bleiben. Die RDS-Kommunikation klappt, wenn richtig eingerichtet, auch über die interne Windows-Firewall. Andere Firewalls müssen gegebenenfalls angepasst werden.

Der Rechner, auf den via Remote Desktop zugegriffen werden soll, muss diesen Zugriff vorher explizit erlauben. Diese Sicherheitseinstellung ist notwendig, denn es wäre sehr gefährlich, wenn jeder Benutzer über das Internet auf einen Rechner zugreifen könnte. Um die Erlaubnis für RDS zu erteilen, rufen Sie die Eigenschaften des Computers auf. Klicken Sie dazu auf den Startknopf des Windows-Desktops, navigieren zum Eintrag "Computer" und öffnen dann mit der rechten Maustaste das Kontextmenü und darin den Eintrag "Eigenschaften".

Nun sehen Sie die Computereigenschaften. Im linken Bereich finden Sie unter "Startseite der Systemsteuerung" den Eintrag "Remoteeinstellungen". Wählen sie diese Option.

Im sich anschließend öffnenden Dialog setzen Sie unter dem Reiter "Remote" den Haken bei "Remoteunterstützungsverbindungen mit diesem Computer zulassen". Dabei werden zwei Varianten unterschieden: Die mittlere Option erlaubt jegliche Remote-Verbindung, allerdings gestattet sie den Fernzugriff nur dann, wenn eine Authentifizierung erfolgt ist. Diese Einstellungen sind relativ generisch und gelten für alle Benutzer. Es wird dabei lediglich festgelegt, ob der Zugriff erlaubt sein soll. Sie können aber auch eine feinere Einstellung vornehmen. Durch den Knopf "Erweitert..." beispielsweise lässt sich die Zeit für den Remote-Zugriff einschränken, und die Option "Benutzer auswählen..." erlaubt die Festlegung von bestimmen definierten Anwendern.

Nun wenden wir uns dem zweiten Rechner zu. Er wird eine Verbindung zum anderen Gerät aufbauen. Die Dienste zum Einrichten der RDS finden Sie unter der Systemsteuerung. Wenn Sie nur die reduzierte Anzeige mit den wichtigsten Einträgen in der Systemsteuerung vorfinden, so erweitern Sie die Anzeige um "Alle Systemsteuerungselemente".

Nun finden Sie die Konfiguration der Remote Desktop Services unter dem Eintrag "Remote App- und Desktopverbindung". Rufen Sie diese Option auf.

Vor dem Zugriff auf den Zielrechner müssen Sie die Netzwerkverbindung einrichten. Wenn noch keine besteht, teilt Windows Ihnen dies mit. Diesen Bildschirm sehen Sie nur bei der ersten Konfiguration der RDS. Sollten Sie bereits eine Verbindung haben, so können Sie hier eine weitere Verbindung einrichten. Rufen Sie dafür die Option links im Menü "Neue Verbindung mit RemoteApp- und Desktopverbindungen einrichten".

Der Zugriff auf den entfernten Rechner erfolgt über das Netzwerk. Geben Sie nun den Rechnernamen oder die IP-Adresse des Zielcomputers an. Wenn Sie den Rechnernamen verwenden, müssen Sie darauf achten, dass eine funktionierende Namensauflösung durch DNS besteht. Im Testszenario hat unser Zielrechner die IP-Adresse 172.16.0.170. Diese haben wir hier direkt eingetragen.

Windows präsentiert nochmals einen Bestätigungsbildschirm und teilt Ihnen mit, was nun erfolgen wird. Dabei werden Links auf den Zielcomputer eingetragen. Wenn Sie die Einrichtung der RDS-Verbindung bestätigen, baut Windows die Verbindung zum Zielcomputer auf.

Anschießend präsentiert Ihnen Windows einen Bildschirm zur Authentifizierung. Hierzu verwenden die RDS ein Zertifikat - im Test war das nicht der Fall. Sie können diese Meldung ignorieren oder das Zertifikat anzeigen und einrichten. Für die erste Kontaktaufnahme können Sie es aber ignorieren. Wir werden das Zertifikat später einrichten.

Ist alles korrekt eingerichtet, so haben Sie nun Zugriff auf den Desktop des entfernten Gerätes. Dieser wird im Bild mit schwarzem Hintergrund dargestellt. Sie arbeiten jetzt auf dem entfernten Desktop just so, als wenn Sie direkt davorsäßen. Durch Schließen des Fensters (X rechts oben) wird die Verbindung zum entfernten Desktop wieder abgebrochen. Ferner können Sie den Desktop auch in der vollständigen Bildschirmgröße anzeigen. Als Desktop wird dabei die Windows-Oberfläche verstanden und nicht der Benutzerrechner.

Wenn Sie die Verbindung zum Remote-Desktop eingerichtet haben, können Sie diese in Zukunft direkt über das Startmenü aufrufen. Die Einrichtung muss nur einmal zu Beginn erfolgen

Die Firewall können Sie dabei eingeschaltet lassen. Im Workshop hatte der Rechner zwei aktive Netzwerkverbindungen; der Zugriff via RDS erfolgt aber über das "öffentliche Netzwerk".

Weitere Funktionen und Tipps

Mit diesen Standardabläufen, wie wir sie oben definiert haben, können Sie auf einen entfernten Rechner zugreifen. Im Folgenden wollen wir Ihnen noch einige Besonderheiten vorstellen, auf die wir bei der Arbeit mit RDS gestoßen sind. Diese Tipps und Tricks machen die Arbeit mit RDS (hoffentlich) eine wenig einfacher und klarer.

Sie können auch wechselseitig zugreifen. Dies mag den Test und das Setup einfacher machen. Im Test hatten wir mehrere Durchläufe vorgenommen und auch wechselseitig zugegriffen. Das Bild zeig den Zugriff in der umgekehrten Richtung: von IP 172.16.0.200 auf den Rechner mit der IP-Adresse 172.16.0.170.

Wenn Ihre Geräte lediglich eine Netzwerkkarte haben, können Sie diesen Hinweis übergehen. Falls aber einer der Rechner, die in der RDS-Kommunikation involviert sind, mit mehr als einer Netzwerkkarte ausgestattet ist, sollten Sie diesen Passus zumindest durchlesen. Server werden oftmals mit mehreren Netzwerkkarten ausgestattet, je nach Funktion. Im Testszenario hatten wir Rechner mit mehreren Netzwerkkarten im Einsatz. Hinzu kam, dass beim Einsatz von VMware-Virtualisierungssystemen virtuelle Switches angelegt werden.

In einem derart komplexen Umfeld mit mehreren physischen Netzwerkkarten und virtuellen Switches kann es leicht passieren, dass man den Überblick über die Netzwerke und deren Bindungsreihenfolge verliert oder Windows sich verheddert. Der sicherste Weg, zumindest eine initiale Verbindung zwischen den beiden Rechnern zu erreichen, liegt darin, alle nicht benötigten Netzwerkverbindungen zu deaktivieren. Später lässt sich dann schrittweise die Kommunikation über die anderen Netzwerkkarten, sofern sie überhaupt benötigt werden, wieder öffnen.

Der Zugriff auf ein entferntes Gerät mittels RDS muss durch ein Passwort gesichert sein. Im Testszenario verwendeten wir einen Account des Zielrechners, der kein Passwort hatte. RDS quittierte diese mit einer Fehlermeldung und dem Hinweis: "...leere Kennwörter sind nicht zulässig ...". Sie müssen also immer einen Account verwenden, der auf dem Zielrechner ein Passwort besitzt.

Um RDS auf einem Windows Server einzurichten, müssen Sie den Server Manger starten. Die Aktivierung von RDS erfolgt durch den Eintrag "Configure Remote Desktop" in der rechten oberen Aufgabenleiste (bei der englischen Version des Windows Server).

Zertifikate einrichten

Wenn Sie nach dem erstmaligen Aufbau der RDS-Verbindung den Namen des Zielcomputers ändern, erhalten Sie bei der späteren RDS-Session beim Verbindungsaufbau eine Meldung - Windows teilt Ihnen mit, dass das Zertifikat fehlerhaft ist. Im Testszenario blieb die IP-Adresse des Zielcomputers gleich (172.16.0.200).

Der Name des Zielcomputers allerdings wurde auf "JBASP5930" geändert. Das Zertifikat passt also nicht mehr mit dem Namen des Zielcomputers zusammen. Windows meldet daher: "Der Servername auf dem Zertifikat ist falsch". Lassen Sie sich vom Hinweis "Servername" nicht irritieren: Es ist der Name das Zielcomputers, auf den wir zugreifen.

Um das Zertifikat für den Zugriff einzurichten, drücken Sie auf die Taste "Zertifikat anzeigen".

Im nachfolgenden Bildschirm auf die Taste "Zertifikat installieren" drücken. Daraufhin startet ein Assistent, der Sie beim Einrichten des Zertifikates unterstützt. Sie können dabei den Zertifikatsspeicher auswählen, in dem das Zertifikat abgelegt werden soll. Mehr ist nicht zu tun, um das Zertifikat einzurichten. (hal)

Dieser Artikel basiert auf einem Artikel der CW-Schwesterpublikation "Tecchannel".