在没有安装终端服务的Windows 2012 R2服务器上配置远程桌面的属性



在没有安装终端服务的Windows2012 R2服务器上配置远程桌面的属性。

从Windows 2012开始，如果没有在服务器上启用终端服务的计算机，要想配置远程桌面使用更安全加密的RDP连接就需要通过另一台安装了2008的服务器管理工具连接后管理。通常，对于加入域的计算机来说，这不是问题。但是如果对于未加域的计算来说，这个方法就不行了。我们需要通过一些命令来设置，可以达到同样的效果。



首先我们需要知道，用于加密的证书指纹。



把内容复制下来，并去掉空格。如下：

dc1fffbc28f11b6c2e6db4021697c7fa72545474

然后用这条命令，为Terminalservice配置证书。

wmic /namespace:\\root\cimv2\TerminalServices PATHWin32_TSGeneralSetting Set SSLCertificateSHA1Hash="‎‎dc1fffbc28f11b6c2e6db4021697c7fa72545474"

然后修改两个注册表键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

SecurityLayer REG_DWORD

MinEncryptionLevelREG_DWORD

SecurityLayer的对应关系如下：

0 RDPSecurity Layer

1 Negotiate

2 SSL (TLS1.0)

MinEncryptionLevel的对应关系如下：

1 Low

2 ClientCompatible

3 High

4 FIPSCompliant

同时，在注册表中，也可以验证一下之前配置的证书信息。



SSLCertificateSHA1Hash中记录的就是证书的指纹。

UserAuthentication是关于是否只允许支持Network
Level Authentication的客户端连接选项前的钩。1表示选中，0表示没有选中。