Netzwerkarchitektur und Ausgangslage

Das Zielsystem, auf das wir mittels Remote Desktop Services zugreifen, läuft auf einem physischen Rechner. Es kann sich dabei um Windows 7 oder um Windows Server 2008 handeln. In unserem Workshop trägt das Zielsystem den Namen JBASP5930.

Der Rechner, von dem aus der Zugriff erfolgen soll, hat den Rechnernamen W7UXHOST. Dieser Rechner dient auch als Grundlage für die VMware-Workstation - daher der Name "Host". Für die Arbeitsweise der RDS hat dies zwar keine Bedeutung, es wird uns aber später noch mal begegnen.

Der Zugriff erfolgt über das IP-Netzwerk. Die IP-Adresse des Zielsystems, auf das der Zugriff aus der Ferne erfolgt, ist in unserem Szenario 172.16.0.200; der zugreifende Rechner hat die Adresse 172.16.0.170.

Damit RDS funktionieren kann, müssen die beiden Rechner natürlich kommunizieren können. Entweder erfolgt dies über die Weiterleitung des Netzwerk-Traffics über einen Gateway, oder Sie platzieren beide Rechner in das gleiche Netzwerksegment. Letzteres erfordert die Anpassung der IP-Konfiguration des zugreifenden Rechners auf den Zielrechner.

Das Zielsystem ist in der Regel entfernt, eine Anpassung der IP-Adresse kann daher nicht ad hoc durchgeführt werden. Diesen Zusatzschritt kann man in unserem Fall als Nachteil sehen, doch ist er auch eine zusätzliche Sicherheitsstufe. Denn wenn die Zieladresse nicht bekannt ist, kann kein Zugriff erfolgen.

Um die prinzipielle Kommunikationsfähigkeit zu ermitteln, sollte man vorher durch den ping-Befehl eine Testnachricht absenden und somit die Kommunikation prüfen. Ermittelb Sie daher vorher die eigene Netzwerkadresse durch die Eingabe von IPCONFIG / al" in einem Kommandozeilenfenster. Prüfen Sie mit ping ferner, ob Sie den Zielrechner erreichen können. Dabei dürfen jedoch dazwischen liegende Firewalls den Ping-Request nicht blockieren. Im Zweifel kann die Firewall kurz abgeschaltet werden - allerdings sollte dies nur ausnahmsweise geschehen, denn generell sollte die Firewall aus Sicherheitsgründen aktiv bleiben. Die RDS-Kommunikation klappt, wenn richtig eingerichtet, auch über die interne Windows-Firewall. Andere Firewalls müssen gegebenenfalls angepasst werden.

Der Rechner, auf den via Remote Desktop zugegriffen werden soll, muss diesen Zugriff vorher explizit erlauben. Diese Sicherheitseinstellung ist notwendig, denn es wäre sehr gefährlich, wenn jeder Benutzer über das Internet auf einen Rechner zugreifen könnte. Um die Erlaubnis für RDS zu erteilen, rufen Sie die Eigenschaften des Computers auf. Klicken Sie dazu auf den Startknopf des Windows-Desktops, navigieren zum Eintrag "Computer" und öffnen dann mit der rechten Maustaste das Kontextmenü und darin den Eintrag "Eigenschaften".

Nun sehen Sie die Computereigenschaften. Im linken Bereich finden Sie unter "Startseite der Systemsteuerung" den Eintrag "Remoteeinstellungen". Wählen sie diese Option.

Im sich anschließend öffnenden Dialog setzen Sie unter dem Reiter "Remote" den Haken bei "Remoteunterstützungsverbindungen mit diesem Computer zulassen". Dabei werden zwei Varianten unterschieden: Die mittlere Option erlaubt jegliche Remote-Verbindung, allerdings gestattet sie den Fernzugriff nur dann, wenn eine Authentifizierung erfolgt ist. Diese Einstellungen sind relativ generisch und gelten für alle Benutzer. Es wird dabei lediglich festgelegt, ob der Zugriff erlaubt sein soll. Sie können aber auch eine feinere Einstellung vornehmen. Durch den Knopf "Erweitert..." beispielsweise lässt sich die Zeit für den Remote-Zugriff einschränken, und die Option "Benutzer auswählen..." erlaubt die Festlegung von bestimmen definierten Anwendern.

Nun wenden wir uns dem zweiten Rechner zu. Er wird eine Verbindung zum anderen Gerät aufbauen. Die Dienste zum Einrichten der RDS finden Sie unter der Systemsteuerung. Wenn Sie nur die reduzierte Anzeige mit den wichtigsten Einträgen in der Systemsteuerung vorfinden, so erweitern Sie die Anzeige um "Alle Systemsteuerungselemente".

Nun finden Sie die Konfiguration der Remote Desktop Services unter dem Eintrag "Remote App- und Desktopverbindung". Rufen Sie diese Option auf.

Vor dem Zugriff auf den Zielrechner müssen Sie die Netzwerkverbindung einrichten. Wenn noch keine besteht, teilt Windows Ihnen dies mit. Diesen Bildschirm sehen Sie nur bei der ersten Konfiguration der RDS. Sollten Sie bereits eine Verbindung haben, so können Sie hier eine weitere Verbindung einrichten. Rufen Sie dafür die Option links im Menü "Neue Verbindung mit RemoteApp- und Desktopverbindungen einrichten".

Der Zugriff auf den entfernten Rechner erfolgt über das Netzwerk. Geben Sie nun den Rechnernamen oder die IP-Adresse des Zielcomputers an. Wenn Sie den Rechnernamen verwenden, müssen Sie darauf achten, dass eine funktionierende Namensauflösung durch DNS besteht. Im Testszenario hat unser Zielrechner die IP-Adresse 172.16.0.170. Diese haben wir hier direkt eingetragen.

Windows präsentiert nochmals einen Bestätigungsbildschirm und teilt Ihnen mit, was nun erfolgen wird. Dabei werden Links auf den Zielcomputer eingetragen. Wenn Sie die Einrichtung der RDS-Verbindung bestätigen, baut Windows die Verbindung zum Zielcomputer auf.

Anschießend präsentiert Ihnen Windows einen Bildschirm zur Authentifizierung. Hierzu verwenden die RDS ein Zertifikat - im Test war das nicht der Fall. Sie können diese Meldung ignorieren oder das Zertifikat anzeigen und einrichten. Für die erste Kontaktaufnahme können Sie es aber ignorieren. Wir werden das Zertifikat später einrichten.

Ist alles korrekt eingerichtet, so haben Sie nun Zugriff auf den Desktop des entfernten Gerätes. Dieser wird im Bild mit schwarzem Hintergrund dargestellt. Sie arbeiten jetzt auf dem entfernten Desktop just so, als wenn Sie direkt davorsäßen. Durch Schließen des Fensters (X rechts oben) wird die Verbindung zum entfernten Desktop wieder abgebrochen. Ferner können Sie den Desktop auch in der vollständigen Bildschirmgröße anzeigen. Als Desktop wird dabei die Windows-Oberfläche verstanden und nicht der Benutzerrechner.

Wenn Sie die Verbindung zum Remote-Desktop eingerichtet haben, können Sie diese in Zukunft direkt über das Startmenü aufrufen. Die Einrichtung muss nur einmal zu Beginn erfolgen

Die Firewall können Sie dabei eingeschaltet lassen. Im Workshop hatte der Rechner zwei aktive Netzwerkverbindungen; der Zugriff via RDS erfolgt aber über das "öffentliche Netzwerk".