windows远程桌面端口修改

远程桌面服务所使用的通信协议是Microsoft定义RDP(Reliable Data Protocol)协议，RDP协议的TCP通信端口号是3389。为了安全起见，我们常需要更改其端口。

运行注册表编辑器，找到

HKEY_LOCAL_MACHINE / System / CurrentControlSet / Control / Terminal Server /

WdsRepwdTdsTcp

以及

HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / TerminalServer / WinStations / rdp-tcp

下PortNumber键的键值：0xd3d，是16进制，也就是10进制的3389，也就是RDP协议的端口，改成3333端口。修改完成后重启电脑。

检测端口是否设置成功按照下图方式输入

第二篇：Windows 20xx 远程桌面 端口相关配置

Windows 2003 远程桌面 端口相关配置

一、端口

注册表，

进入以下路径：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlT

WdsrdpwdTdstcp]， erminal Server

PortNamber值其默认值是3389，修改成所希望的端口即可。 再打开

[HKEY_LOCAL_MACHINE SYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDPTcp]，

将PortNumber的值（默认是3389）修改成端口6111。

修改完毕，重新启动电脑，以后远程登录的时候使用端口6111就可以了

打开客户端管理连接器，单击已经建好的某个连接，单击“文件（file）”→“导出（Export）”…… 用记录本或其它文本编辑软件找开刚导出的这个.cns文件，找到“Server Port =3389”这一行了吗？

把这个默认的3389改成与服务器一样的端口号就行了

Windows XP/2003 下的修改办法

使用XP或2003的客户端，它可以显示多彩，还可以有声音，功能更强大。但终端客户端连接端口的修改方法与WIN2000有一定区别：

按照原来更改2000的客户端的思路，把XP、2003的默认配置另存(在连接界面上单击“另存为”)，和2000不一样的是：XP、2003的配置文件后缀是.rdp，WIN2000的是.cns

用记事本打开这个地default.rdp文件，在里面没有发现什么3389的东东(2000的配置文件是有的)，没有这句端口的配置我们就给它加上，假定现在的端口为8933，如下： server port:i:8933 保存，退出即可

二、链接数

用远程桌面链接登录到终端服务器时经常会碰到“终端服务器超出最大允许链接数”诸如此类错误导致无法正常登录终端服务器，引起该问题的原因在于终端服务的缺省链接数为2个链接，并且当登录遥程桌面后如果不是采用注销方式退出，而是直接关闭遥程桌面窗口，那么实际上会话并没有释放掉，而是继续保留在服务器端，这样就会占用总的链接数，当这个数量达到最大允许值时就会出现上面的提示。

解决方式：

一、用注销来退出远程桌面而不是直接关闭窗口

二、限制已断开链接的会话存在时间

三、增加最多链接数，即设置可连接的数量多些

一、限制断开会话存在时间

一般情况下，我们在维护遥程服务器时，不可能长时间在线，但是系统默认的却是只要登录就不再断开。因此，我们可以修改这一默认设置，给他指定一个自动断开的时间即可。 在远程服务器上打开“运行”窗口，输入“tscc.msc”连接设置窗口。然后双击“连接”项右侧的“RDP-Tcp”，切换到“会话”标签，选中“替代用户设置”选项，再给“结束已断开的会话”设置一个合适的时间即可(图1)。

500)this.width=500;else if(this.width<150)this.style.cssText="display:none"'>

转自:/Article/ShowInfo.asp?ID=16953

二、增加连接数量

默认情况下允许远程终端连接的数量是2个用户，这也太少了一些，我们可以根据需要适当增加遥程连接同时在线的用户。

打开“运行”窗口，输入“gpedit.msc”打开组策略编辑器窗口，依次选择“计算机配置”-“管理模板”-“Windows组件”-“终端服务”，再双击右侧的“限制连接数量”，将其TS允许的最大连接数设置大一些就可以了(图2)。

500)this.width=500;else if(this.width<150)this.style.cssText="display:none"'>

经过上面两个配置，基本上就可以保证遥程终端连接时不再受限。但有一些用户反映，当前同时只有一个用户进行连接，却提示超出最大允许链接数，这又是什么原因呢?出现这种情况也是因为操作不当所造成的。在上一个账户登录过错程桌面后退出时，没有采用注销的方式，而是直接关闭遥程桌面窗口，那么导致该会话并没有被释放，而是继续保留在服务器端，占用了连接数，这样就会影响下一个用户的正常登录了。

经常碰到超过远程连接数而无法连接服务器

此时一般有以下选

1.打托管商电话要求机房手动强制重启.

2.使用专用远程连接器.

如果以上两条不方便实现,那请看下面这条最方便的吧，用如下命令形式解决超过最大连接数问题

运行 mstsc /v:IP /console

就可以连接到远程系统的的0会话。其实这主要是mstsc参数的了解，可通过mstsc /?学习一下。

遥程桌面连接

MSTSC [＜Connection File＞] [/v:＜sever[:port]＞] [/console] [/f[ullscreen]]

[/w:＜width＞ /h:＜height＞] /Edit”ConnectionFile” /Migrate /?

＜Connection File＞ — 指定连接的 .rdp 文件的名称。

/v:＜sever[:port]＞ — 指定要连接到的终端服务器。

/console — 连接到服务器的控制台会话。

/f — 以全屏模式启动客户端。

/w: ＜width＞ — 指定远程桌面屏幕的宽度。

/h:＜height＞ — 指定遥程桌面屏幕的亮度。

/edit — 打开指定的 .rdp 文件来编辑。

/migrate — 将客户端连接管理器创建的旧版连接文件迁移到新的 .rdp 连接文件。 /? — 生成这个用法消息。

而要从根本上解决还是需要修改服务器端配置:

使用远程桌面链接登录到终端服务器时经常会碰到“终端服务器超出最大允许链接数”，引起该问题的原因在于终端服务的缺省链接数为2个链接，并且当登录遥程桌面后如果不是采用注销方式退出，而是直接关闭远程桌面窗口，那么实际上会话并没有释放掉，而是继续保留在服务器端，这样就会占用总的链接数，当这个数量达到最大允许值时就会出现上面的提示。 解决方式：

一、用注销来退出遥程桌面而不是直接关闭窗口

二、限制已断开链接的会话存在时间

三、增加最多链接数，即设置可连接的数量多些

第三可采用如下几种方式来修改：

1.从终端服务配置中修改：

打开管理工具里的终端服务配置，再单击连接，双击右边的RDP-Tcp，弹出RDP-Tcp属性，选择网卡，可设置最多连接数，或者设置为无限制的连接数。当然这个值不也能太大，否则会占用较多的系统资源。不过这里修改的值似乎不起作用，设置成无限制时照样还是会出现本文所说的情况。

修改会话存在时间：运行－Tscc.msc－连接－双击RDP-Tcp或右击－属性－会话－选中第一个的替代用户设置(O)－结束已断开的会话［将默认值“从不”改为一个适当的时间，比如30分钟］

2.打开“控制面板”，双击“添加删除程序”，单击“添加删除Windows组件”*“组件” ，在Windows组件向导对话框中选中“终端服务” * “下一步” * “应用服务器” * “下 一步”，然后按照提示即可改变终端服务的模式。

不过听说用此法，改了应用需要许可证，90天后过期:(

3.win2003的话可以从组策略修改：

组策略级别要高于终端服务配置，当启用组策略后终端服务配置中的相应选项会变成灰色不可修改

运行－gpedit.msc－计算机配置－管理模板－Windows组件－终端服务

双击右边的”限制连接数量“－选择”已启用“－填入允许的最大连接数

在Windows 2003系统上的远程桌面实际上就是终端服务，虽然远程桌面最初在Windows XP上就已经存在，但由于Windows XP的远程桌面功能，只能提供一个用户使用计算机，因此使用率并不高。

而Windows 2003提供的远程桌面功能则可供多用户同时使用，在其上可以运行程序、保存文件和使用网络资源，在很多方面可以像使用终端一样，并且在管理及配置方面比原来的终端服务更方便。要更好地发挥远程桌面的作用就要对远程桌面进行相应的配置。 终端服务配置(Tscc.msc)的使用

使用终端服务配置可以更改本地计算机上该连接的属性、添加新连接或设置服务器。打开“控制面板”—〉“管理工具”，单击“终端服务器配置”启动终端服务配置窗口。

1 单击左边窗口的“连接”项，右边窗口即出现可选的RDP-TCP连接，右击“RDP-TCP”，选“属性”出现RDP-Tcp属性对话框(如图1)，主要配置有：

(1)连接数设置：可在“网卡”选项中更改。设置更多地连接数可使更多的用户同时登录服务器。默认最多同时两个用户连接，如果想要使3个以上的用户同时使用远程桌面功能，则必须安装终端服务，安装后就可以任意设定用户数制。

安装终端服务可通过Windows的“添加/删除程序”—〉“添加/删除Windows组件”中，选中“终端服务器”来添加。

由于每个用户连接遥程桌面后最小占用12MB左右的内存，因此可根据服务器内存大小来设定用户数，一般用户数不要太多，以免影响性能。如256MB内存可设定用户数8个左右，512MB内存可设定20~30个。

(2)调整颜色分辨率(颜色深度)：在“客户端设置”项中。限制颜色深度可以增强连接性能，尤其是对于慢速链接，并且还可以减轻服务器负载。“遥程桌面”连接的当前默认最大颜色深度设置为 16 位。

选中“颜色深度最大值”，可修改限定的最大颜色深度为8、15、16或24位。若不选中，则使用登录的客户端颜色设置。

(3)让客户自动登录：在“登录设置”选项卡上。这对普通应用非常方便，可加快登录速度，提高服务效率。

要使用自动登录，需选中“总是使用下列登录信息”，在“用户名”中，键入允许自动登录到服

务器的用户的名称，在“密码”和“确认密码”中，键入该用户的密码。 这样客户端连接时将不用再输渗入渗出用户名和密码，而自动进入Windows 2003桌面(注意：若此后再有用户登录，那么原来的连接将被断开)。若输入不完整，则登录时还会要求输入用户名或密码。 如要想更安全的使用服务器，则应选中“总是提示密码”以指定该用户在登录到服务器之前始终要被提示输渗入渗出密码，从而限制客户端的自动登录。

(4)对连接自动限制管理：单击“会话”项来设定。主要用来设定超时的限制，以便释放会话所占用的资源，“结束已断开的会话”和“空闲会话限制”的时间，一般应用设为5分钟较好。对安全性要求高的也可设定“活动会话限制”的时间。“达到会话限制或者连接被中断时”下的选项，最好选“结束会话”，这样连接所占的资源就会被释放。

(5)设置加密级别：单击“常规”项，可指定在终端服务会话期间，对于客户端与远程计算机之间发送的所有数据是否强制加密级别。分四个级别：符合 FIPS(最高级别的加密)、高(加密数据经过强 128 位加密。)、客户端兼容(加密数据经过客户端支持的最大密钥强度加密)和低(从服务器发送到客户端的数据将不会被加密)。

(6)启用终端客户音频：在“客户端设置”项下边，默认为禁用，以节约服务器资源。当用户少时 ，单击“音频映射”去掉被禁用的选项，使终端客户能使用多媒体设备。当然，客户端计算机也必须装有声卡。

如果有多个用户连接到相同的服务器，则会以同一个用户名登录。

(7)启用驱动器映射；此项可方便终端与服务器磁盘间文件的相互传送。启用后本地驱动器将作为网络驱动器显示在终端中。

同样还有打印机、剪贴板、com端口等也可设置映射。但每设置一个都要占用一定的系统资源；所以，一般用户最好禁用。

(8)服务器的安全设置：在“权限”项，可选择组或用户，限制其对终端的配置权限。另外，由于只有Administrators 和 Remote Desktop Users 组的成员可以使用终端服务连接与遥程计算机连接，所以可对不同用户分组管理，对于要求安全性高的，可利用NTFS分区设置不同用户的权限。

2.单击左边窗口的“服务器设置”；在右边窗口可实现以下设置：

(1)允许多用户以同一个用户名登录：可双击“限制每个用户使用一个会话”，选“是”为限制一个用户登录，去掉其中的选项(即选“否”)允许多用户同时自动登录，可使多个用户以相同用户名连接到相同的服务器，使得一般的多用户应用非常方便。

(2)设置多用户使用相同的临时文件夹：可修改“进行每个会话时使用临时文件夹”，选“是”使用不同临时文件夹，选“否”为相同，同样可设置退出时是否删除临时文件夹。

以上设置也可使用组策略配置：打开“组策略”，在“计算机配置”—〉“管理模板”—〉“Windows 组件”—〉“终端服务”中可入行配置，配置项目与“终端服务配置”基本相同，但有更详尽的说明(如图2)。

使用组策略的更多设置如：是否允许永久连接、强制删除遥程桌面壁纸、客户端/服务器的更多重定向、会话目录设置、是否允许用户使用与原始客户端计算机不同的计算机重新连接已断开的终端服务会话等。

客户端的连接配置

在客户机上设置，仅对本机有效。打开遥程桌面连接的“选项”可看到更详尽的客户端登录配置信息。(如图3)

(1)设置自动登录：单击“常规”输入计算机名、用户名、密码；单击“连接”即可自动登录。但当服务端设置使用自动登录或指定使用密码登录时，则客户端的此项设置无效。

(2)设置桌面大小和颜色：单击“显示”即可调整连接后桌面的大小和颜色，其设置值不会超过本机的有效值，若本机系统颜色为16位色，则登陆远程桌面后的颜色不会高于16位色。同

样，其颜色也不会超过服务器端限定的颜色数。

(3)设置声音和磁盘及打印机映射：单击“本地资源”，可选择是否播放遥程计算机的声音；是否把本机磁盘及打印机连接到终端上。同样当这些选项在服务端被禁用时，客户端的设置也无效。

(4)另外还可通过“高级”和“程序”项来调整连接性能及连接后运行的程序。

终端服务管理器应用

用终端服务管理器管理和监视网络中运行终端服务的任何服务器上的用户、会话及入程。单击“管理工具”，单击“终端服务器管理器”打开管理窗口(如图4)。

从中我们可以观到显示有关服务器、会话、用户和进程的信息，可以连接和断开会话、监视会话、复位会话、向用户发送消息、注销用户、终止进程。

Windows 2003遥程桌面配置和使用简单，维护方便，对于一般的办公和教学场合，远程桌面完全可作为一个可供多人使用的终端服务器来使用，通过实践，一台新的配有256MB内存的普通个人计算机，可轻松带动3~5台旧的计算机；若加大内存则可带动的用户计算机更多。 我校机房就充分利用新旧机房联网搭配使用，效果良好。新机房中有50台配置了Intel 赛扬

2.4GHz处理器、256MB内存的新机器，两个较旧的机房有120台微机，配置从奔腾MMX233到赛扬366，16MB~64MB内存，270MB~6.4GB硬盘，好多机器即使安装Windows 95也运行缓慢，大一些的软件无法安装使用。

改造时就在新机器上全部安装了Windows 2003，配置成遥程桌面功能。新旧机器都进行了对应编号，一台新机器对应2~3台旧机器。由此大大提高了旧PC的应用性能，能和新机一样入行正常教学工作了。

连接建立后，遥程主机将退往返到登录界面，这样任何其他人就无法看到你在远程主机上的操作了；如果要更改连接设置（例如屏幕大小、自动登录信息以及本地资源重定向和性能选项），请在连接前单击图5上的“选项”按钮；客户机切换到其他用户时，遥程的工作成果不会丢失。例如，在你使用远程桌面更新办公室计算机上的开支报告时，家庭成员需要使用计算机检查重要的电子邮件，这时你可以先断开遥程桌面，允许家庭成员切换到自己的帐户查收邮件，完成后可以用刚才的帐号重新连接到办公室计算机，这时你会看到开支报告与刚才断开时完全一样。

如果你留意Windows系统的安全日志，在那些事件描述中你将会发现里面的“登录类型”并非全部相同，难道除了在键盘上入行交互式登录（登录类型1）之外还有其它类型吗？不错，Windows为了让你从日志中获得更多有价值的信息，它细分了很多种登录类型，以便让你区分登录者到底是从本地登录，还是从网络登录，以及其它更多的登录方式。因为了解了这些登录方式，将有助于你从事件日志中发现可疑的黑客行为，并能够判断其攻击方式。下面我们就来详细地观看Windows的登录类型。

登录类型2：交互式登录（Interactive）

这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上入行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。

登录类型3：网络（Network）

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

登录类型4：批处理（Batch）

当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中

记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中入行更改。

登录类型5：服务（Service）

与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

登录类型7：解锁（Unlock）

你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户来回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输渗透了错误的密码或者有人在尝试解锁计算机。

登录类型8：网络明文（NetworkCleartext）

这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。

登录类型9：新凭证（NewCredentials）

当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它，但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9，如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2。

登录类型10：远程交互（RemoteInteractive）

当你通过终端服务、遥程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。

登录类型11：缓存交互（CachedInteractive）

Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能，默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。

上面讲了Windows的登录类型，但默认情况下Windows2000是没有记录安全日志的，你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些具体的记录信息有助于大家更好地掌握系统情况，维护网络安定。