Windows Server 2012에 원격 데스크톱을 활성화 하자.
단지 원격 데스크톱을 활성화하는 것은 간단하다. 하지만 보안상 취약한 점이 있다.
그래서 원격에 사용되는 기본 포트를 변경하여 원격 데스크톱을 활성화하는 방법을 사용하면 좋다.
내가 테스트한 환경 : 윈도우즈7이 설치된 데스크톱 컴퓨터, 컴퓨터의 VMware에 설치한 윈도우즈 서버 2012 Standard
1. 하단의 서버 관리자를 실행하고, 서버 관리자 창이 뜨면 왼쪽의 로컬 서버를 클릭한다.
2. 원격 데스크톱이 사용 안함으로 되어 있을 것이다.
원격 데스크톱을 활성화 하기 위해서 사용 안함을 -> 사용으로 바꿔야 한다.
먼저 원격 데스크톱의 "사용 안함" 버튼을 클릭한다.
그러면 아래 사진과 같은 창이 하나 뜬다.
원격 데스크톱에서 이 컴퓨터에 대한 원격 연결 허용을 클릭하고
네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용(권장)을 체크 한다.
(* 권장 사항이긴하지만 이것을 사용하면 접속을 하지 못하는 환경도 있다고 한다. *)
(1). 클라이언트 컴퓨터에서 원격 데스크톱 연결 6.0 이상을 사용해야 한다.
(2). 클라이언트 컴퓨터에서 CredSSP (Credential Securety Support Provider) 프로토콜을 지원하는
Windows 7, Windows Vista, Windows XP 서비스 팩 3 등의 운영체제를 사용하고 있어야 한다.
(3). RD 세션 호스트 서버에서 Windows Server 2008 R2 OR Windows Server 2008이 실행되고 있어야한다.
(4). 안드로이드 앱으로 접속하면 이 환경에 부합하지 못하여 접속이 안될 수 도 있다고 한다.
Administrator가 아닌 사용자를 추가하고 싶으면 사용자 선택을 클릭하여 추가해주기만 하면 된다.
기본적으로 Administrator가 추가되어 있다.
3. 아래 그림처럼 원격 데스크톱 - 사용이라고 뜨면 정상적으로 원격 데스크톱이 활성화 되었다. (시간이 조금 걸림)
물론 여기서 끝난 것이 아니고 방화벽 설정을 해줘야 한다.
4. 서버 관리자 화면에서 오른쪽 상단의 도구를 선택하면 나오는 고급 보안이 포함된 Windows 방화벽을 클릭한다.
5. 왼쪽 로컬 컴퓨터의 고급 보안이 포함된 Windows 방화벽의 인바운드 규칙을 클릭한다.
6. 인바운트 규칙에서 스크롤을 아래로 내리다보면 원격 데스크톱이 나온다.
(1). 원격 데스크톱 - 사용자 모드(TCP-In)
(2). 원격 데스크톱 - 사용자 모드(UDP-In)
(1)번, (2)번 규칙이 사용되고 있는지 확인한다.
7. 바탕화면에서 윈도우+X 키를 누르고 제어판을 클릭하자
제어판에서 시스템 및 보안을 클릭하면 나오는 창에서 Windows 방화벽을 클릭하자
그리고 왼쪽 상단의 Windows 방화벽을 통해 앱 또는 기능 허용을 클릭하자.
8. 허용되는 앱 창이 뜨면 스크롤을 내려서 Windows 원격 관리가 개인, 공용 둘 다 체크가 되어있는지 확인하자
여기까지가 원격 데스크톱을 활성화 하고 , 방화벽 열기 까지 설정을 한 것이다.
9. 원격 데스크톱을 활성화한 서버의 IP주소를 확인하고, 호스트 컴퓨터에서 mstsc 명령어를 입력하여 원격 접속을
시도해보다. 잘 접속 될 것이다.
10. 보안을 위하여 원격 데스크톱의 접속 포트를 변경해 보자
여기까지는 안해도 되지만 많은 곳에서 보안상의 이유로 포트를 변경해서 사용하는 경우도 많이 있다고 한다.
원격 데스크톱의 기본 접속 포트는 3389이다. 이 기본 접속 포트를 변경해 볼 것이다.
키보드의 윈도우+R 키를 누르면 실행창이 뜬다. 이 실행 창에서 regedit을 입력하고 확인을 누르자.
11. 레지스트리 창이 뜨면
HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
경로로 이동하자. 그리고 RDP-Tcp 폴더 안에 있는 PortNumber를 더블 클릭 하자
그러면 DWORD(32비트) 값 편집 창이 뜬다. 여기서 값 데이터와 단위를 변경하면 된다.
값 데이터는 사용할 접속 포트를 입력하고 단위는 10진수를 선택한다.
이렇게 포트 번호를 변경하면 원격 접속을 할 수 없다.
(원격 데스크톱을 허용해주는 방화벽 포트 번호가 바뀌었는데, 바뀐 포트의 방화벽을 설정하지 않았으니 당연한 것이다.)
또한 레지스트리 편집기에서 수정한 포트 값은 재부팅 후에 적용 된다.
12. 원격 데스크톱과 관련된 포트를 변경하였으니, 방화벽에서 포트를 재설정 해줘야 한다.
다시 고급 보안이 포함된 Windows 방화벽에 들어가서 인바운트 규칙을 클릭한다.
기존에 사용했던 원격 데스크톱 규칙을 규칙 사용 안 함을 클릭하자
13. 고급 보안이 포함된 Windows 방화벽의 오른쪽에 새규칙을 클릭한다.
그러면 새 인바운드 규칙 마법사 창이 뜬다.
만들려는 규칙 종류에서 포트를 선택하고 다음을 클릭한다.
14. 이 규칙을 TCP에 적용되게 선택한다.
이 규칙을 특정 로컬 포트에 적용되게 특정 로컬 포트를 선택하고 아까 레지스트리에서 수정했던 7777을 입력한다.
15. 지정된 조건과 연결이 일차할 경우 어떤 작업을 수행해야 합니까? -
연결 허용 - IPsec으로 보호되는 연결과 보호되지 않은 연결이 포함됩니다.
다음을 클릭한다.
16. 이 규칙이 적용되는 시기는 언제입니까? 에서
도메인 - 컴퓨터가 회사 도메인에 연결된 경우 적용됩니다.
개인 - 컴퓨터가 개인 네트워크 위치(가정 또는 직장)에 연결된 경우 적용됩니다.
공용 - 컴퓨터가 공용 네트워크 위치에 연결된 경우 적용됩니다.
도메인, 개인, 공용 3개 다 클릭하고 다음
17. 이름 - 원하는 이름을 적는다.
마침을 클릭
18. 인바운드 규칙에서 새 규칙을 클릭하고 TCP 설정 처럼 UDP도 설정해 준다.
19. 마지막으로 호스트 컴퓨터에서 원격 접속이 잘 되는지 확인해 보면 된다.
원래는 아이피만 입력하면 접속을 할 수 있지만, 지금부터는 포트 번호까지 붙여야 접속을 할 수 있다.
아이피:포트번호 형식으로 접속하면 된다.
만약 접속 방법이 도메인 주소일 때 도메인 주소가 AAA.com 포트 번호가 7777 이라면
aaa.com:7777 이런 방식으로 접속하면 된다.
그리고 보안이 강화된 이유는 포트 번호까지 알아야 접속할 수 있기 때문이다.
(* 레지스트리 수정 후 재부팅을 해야 원격 접속이 가능하다. 재부팅 후 원격 접속이 잘 되는지 확인하면 된다.)
댓글