Remote Desktop & Remoteverwaltung

Remoteverwaltung – warum ist sie wichtig?

In der Praxis stehen Server im Rechenzentrum – physisch nicht direkt erreichbar für den Administrator. Remoteverwaltung ermöglicht es Server, Dienste und Konfigurationen bequem vom Arbeitsplatz aus zu administrieren – ohne vor Ort sein zu müssen.

Windows Server bietet mehrere Methoden zur Remoteverwaltung – von der grafischen RDP-Verbindung bis zur vollständig skriptbasierten PowerShell-Remoteverwaltung.

Remote Desktop Protocol (RDP)

RDP (Remote Desktop Protocol) ist Microsofts Protokoll für grafische Fernsteuerung. Es überträgt den Bildschirminhalt eines Servers zum Client und Tastatur-/Mauseingaben zurück. RDP läuft standardmäßig auf TCP Port 3389.

Remote Desktop aktivieren

# Per PowerShell aktivieren
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" `
                 -Name "fDenyTSConnections" -Value 0

# Firewall-Regel aktivieren
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Wer darf sich per RDP verbinden?

Standardmäßig dürfen nur Mitglieder der lokalen Gruppe "Remote-Desktopbenutzer" und Administratoren eine RDP-Verbindung aufbauen. Weitere Benutzer können über die Systemeinstellungen → Remote Desktop → "Benutzer auswählen" hinzugefügt werden.

RDP-Sicherheit

• Network Level Authentication (NLA): Der Benutzer authentifiziert sich bevor die RDP-Sitzung aufgebaut wird. Schützt gegen bestimmte Angriffe auf den RDP-Dienst selbst. NLA sollte immer aktiviert sein.

• Port ändern: Den Standard-Port 3389 zu ändern ist eine einfache Härtungsmaßnahme gegen automatisierte Scans – bietet aber keinen echten Sicherheitsgewinn (Security by Obscurity).

• RDP über VPN: RDP sollte niemals direkt aus dem Internet erreichbar sein. Der Zugriff sollte über VPN erfolgen.

RemoteApp

RemoteApp ist eine Erweiterung von RDS (Remote Desktop Services): Einzelne Anwendungen werden auf dem Server ausgeführt und erscheinen auf dem Client-Desktop als wären sie lokal installiert. Der Benutzer sieht nicht den ganzen Server-Desktop – nur das Programmfenster.

Remote Desktop Services (RDS) – Terminaldienste

Remote Desktop Services ermöglicht mehreren Benutzern gleichzeitig die Anmeldung an einem Server. Jeder Benutzer bekommt eine eigene isolierte Sitzung. Nützlich wenn viele Benutzer eine bestimmte Anwendung nutzen müssen, die zentral auf dem Server läuft.

RDS besteht aus mehreren Rollendiensten:

• RD Session Host: Der eigentliche Sitzungsserver der mehrere gleichzeitige Benutzeranmeldungen ermöglicht

• RD Gateway: Ermöglicht sicheren Zugriff auf RDP über HTTPS (Port 443) ohne VPN

• RD Web Access: Weboberfläche für RemoteApps und Desktops im Browser

• RD Licensing: Verwaltung der RDS-CALs (separate Lizenzen erforderlich)

• RD Connection Broker: Lastverteilung und Sitzungsverwaltung bei mehreren Session Hosts

PowerShell Remoting (WinRM)

PowerShell Remoting ermöglicht die Ausführung von PowerShell-Befehlen auf entfernten Computern. Es basiert auf dem WinRM-Dienst (Windows Remote Management) der das WS-Management-Protokoll implementiert. Standard-Port: TCP 5985 (HTTP) und 5986 (HTTPS).

# WinRM aktivieren
Enable-PSRemoting -Force

# Einzelnen Befehl remote ausführen
Invoke-Command -ComputerName "Server01" -ScriptBlock { Get-Service }

# Interaktive Remote-Sitzung
Enter-PSSession -ComputerName "Server01"

# Befehl auf mehreren Servern gleichzeitig
Invoke-Command -ComputerName "Server01","Server02","Server03" `
               -ScriptBlock { Restart-Service -Name "Spooler" }

PowerShell Remoting ist besonders mächtig für die Verwaltung von Server-Core-Installationen die keine grafische Oberfläche haben.

Windows Admin Center (WAC)

Das Windows Admin Center ist eine moderne, browserbasierte Verwaltungsoberfläche die Microsoft als Ersatz für klassische MMC-Snapins entwickelt hat. WAC wird auf einem Windows-Server oder Windows-PC installiert und ist dann über den Browser erreichbar.

WAC bietet eine zentrale Oberfläche für:

• Serververwaltung (Dienste, Ereignisanzeige, Registrierung, Zertifikate)

• PowerShell-Konsole direkt im Browser

• Hyper-V-Verwaltung

• Storage Spaces und Festplattenverwaltung

• Netzwerkkonfiguration

• Azure-Integration (Azure Arc, Azure Backup)

RSAT – Remote Server Administration Tools

RSAT (Remote Server Administration Tools) ist eine Sammlung von Verwaltungstools für Windows-Clients (Windows 10/11). Mit RSAT kann ein Administrator von seinem Windows-PC aus Windows-Server und Active Directory verwalten – ohne sich per RDP auf dem Server anmelden zu müssen.

RSAT enthält u.a.:

• Active Directory Users and Computers (ADUC)

• Group Policy Management Console (GPMC)

• DNS-Manager

• DHCP-Manager

• Server-Manager

# RSAT-Tools über PowerShell installieren (Windows 10/11)
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Zusammenfassung

• RDP (Port 3389) ermöglicht grafische Fernsteuerung – NLA sollte immer aktiviert sein

• RDP niemals direkt aus dem Internet – immer über VPN

• RDS ermöglicht mehrere gleichzeitige Benutzeranmeldungen auf einem Server

• PowerShell Remoting (WinRM, Port 5985/5986) für Skript-basierte Fernverwaltung

• Windows Admin Center: modernes browserbasiertes Verwaltungstool

• RSAT: Tools zur Verwaltung von Servern und AD vom Client-PC aus