Win2003远程桌面SSL认证配置

使用SSL加密远程桌面连接windows的远程桌面功能操作服务器有一定的安全隐患，也就是说数据传输的安全级不够高，虽然传输信息进行了一定的加密，但黑客高手还是很容易将其还原成本来信息的。

其实通过一定加密和认证手段完全可以打造安全的远程桌面，本文讲得是通过SSL加密远程桌面的方法来加强VPS的安全性。

提示：如果你使用的是windows2003，但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。

因此建议各个公司马上将服务器升级到windows2003+SP1。

一、安装证书颁发机构：首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet1补丁包安装。

因为只有安装了SP1的indows2003才具备通过SSL加密的远程桌面功能。

以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。

安装证书颁发机构（证书服务）的过程参照“SERVER2003证书颁发机构安装与配置”一文章。

二、申请证书：IIS启动后我们就可以通过网页来申请证书了。

第一步：打开证书颁发机构所在服务器的IE浏览器，在地址栏处输入http://ip/certsrv/例如服务器地址为192.168.1.1，则输入http://192.168.1.1/certsrv如果IIS工作正常，证书服务安装正确的话会出现microsoft证书服务界面。

我们在该界面中选择“申请一个证书”。

第三步：在申请证书界面选择“高级证书申请”。

在高级证书申请界面选择“创建并向此CA提交一个申请”。

在高级证书申请填写界面需要我们修改的地方比较多，首先输入姓名，这个姓名要填写服务器的IP地址。

提示：如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。

所以务必填写服务器的IP地址。

【IT168 专稿】windows系统的远程桌面一直是企业网络管理员的得力助手，很多网络管理员通过远程桌面管理服务器和有特殊角色的员工计算机。

远程桌面的使用非常简单，通过远程桌面连接程序访问目标计算机，输入用户名和密码后登录成功后就和使用自己的计算机一模一样了。

不过最近笔者在对一台XP系统计算机进行管理时，却出现了无法正常连接的问题。

最后通过查询资料解决了此问题，在此写出来给各位读者，希望大家在遇到同样问题时能够快速解决。

一、远程桌面连接故障现象：笔者刚刚安装完一台员工计算机，该计算机操作系统是windows XP，领导决定以后这台计算机就担任公司数据存放工作，所以日后需要对其进行远程管理操作。

所以笔者也像往常一样，开启了该系统的远程桌面连接功能。

谁知道在网络中的其他计算机通过远程桌面连接程序访问时却出现了“中断远程桌面连接，远程计算机已结束连接”的提示，也就是说能够连接上但是马上中断，根本没有给予输入管理员用户名和密码的时间。

（如图1）图1 点击看大图二、解决问题：既然可以连接到该计算机，只是马上中断。

笔者怀疑是否在远程桌面登录时是默认使用当前帐户的，所以将自己的计算机帐户和密码设置为和远程那台计算机一致，谁知道问题依旧。

看来故障应该是该计算机远程桌面服务本身的设置问题。

笔者在网上寻求帮助，终于发现了问题的所在。

第一步：通过“开始->运行->输入regedit”，打开注册表编辑器。

第二步：打开注册表后找到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\RDPDR键值，在左侧的RDPDR上点鼠标右键，选择“权限”。

（如图2）图2 点击看大图第三步：在弹出的对RDPDR设置权限窗口后，将everyone组添加到完全控制权限，如果你只想让某个特定的用户远程管理该计算机的话，将该帐户添加到权限设置窗口中即可，记住一定要给予“完全控制”权限。

远程桌面证书设置一、服务器远程桌面设置：默认情况下远程桌面功能是不支持SSL加密认证的，即使我们申请并安装了证书。

第一步：通过任务栏的“开始->程序->管理工具->终端服务配置”来启动tscc终端服务配置窗口。

（如图1）图1第二步：在tscc终端服务配置窗口中我们点“终端服务>连接”，在右边窗口中会显示出终端服务，我们在其上点鼠标右键选择“属性”。

（如图2）图2第三步：在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。

然后通过查看证书找到我们在上期文章中安装的证书（证书名为10.91.30.45）。

（如图3）图3第四步：选择完证书后还需要对常规标签中的安全级别进行设置，我们将安全层设置为“SSL”，将加密级别设置为“高”。

确定后完成全部服务器远程桌面设置工作。

（如图4）图4二、客户端安装认证证书：既然服务器上使用了证书进行SSL加密认证，那么还需要在客户机上安装这些认证。

如果不安装的话远程桌面访问将无法进行。

有两种方法获得证书，我们将一一介绍。

1 从TS服务器上导出证书：第一步：通过任务栏的“开始->运行”，输入mmc来启动MMC管理单元。

（如图5）图5第二步：打开MMC管理单元后我们需要加载证书服务，方法是通过控制台菜单中的“文件->添加/删除管理单元”。

（如图6）图6第三步：从“可用的独立管理单元”中找到证书管理单元，然后点“添加”按钮加载该管理单元。

（如图7）图7第四步：在证书管理单元中选择“计算机帐户”后点“下一步”。

（如图8）图8第五步：在选择计算机窗口中找到“本地计算机”后完成操作。

（如图9）图9第六步：回到控制台界面后我们选择“控制台根节点->证书（本地计算机）->个人->证书”，在右边窗口中会看到服务器当前安装的所有证书。

我们找到用于SSL加密连接的证书。

（如图10）图10第七步：在该证书上点鼠标右键后选择“打开”，在证书信息界面中选择“详细信息”，然后点下方的“复制到文件”按钮，将证书进行复制。

windows2003服务---证书服务在访问Web站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。

在Web站点的身份验证中，有一种基本身份验证，要求用户访问输入用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。

那我们该如果避免呢？可利用SSL通信协议，在Web服务器上启用安全通道以实现高安全性。

试验拓扑在安装证书服务之前，我已经在服务器上建了WEB站点，并配置了DNS服务器。

一：安装证书服务·打开“控制面板”---“添加/删除windows组件”。

勾选“证书服务”复选框·企业根CA：需要AD服务，即计算机在活动目录中才可以。

企业从属CA：域中的另一台证书服务器上独立根CA：服务器可以在AD中，也可以不在AD中。

·在此CA的公用名称中输入CA的名称，一般是域名称。

·设置证书数据库以及日志的路径。

（如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务）·安装完成后，会在IIS管理器“默认站点”中添加一虚拟目录。

并在浏览器中输入http:// /certsrv时出现microsoft证书服务页面二：生成证书申请·打开“IIS管理器”右击“默认网站”选择“属性”，在“目录安全性”选项卡下单击“服务器证书”按钮，开始证书的申请。

注：如果可以直接联系到网络中的CA（一般是企业CA），则可以选择“立即将证书请求发送到联机证书颁发机构”，此后就不需要生成证书申请这步了·输入单位信息、部门，单击下一步·公用名称中输入Web站点的域名·填写国家、地区等详细资料·输入“证书请求的文件名”三：申请、下载证书·上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，不需要这一步。

Windows2003多用户远程桌面访问实现的方法实现Windows2003多用户远程桌面访问有多种方法，下面将介绍两种常用的方法：使用Windows Terminal Services和使用第三方远程桌面软件。

一、使用Windows Terminal Services1.配置终端服务角色：a.在服务器管理器中，选择“添加角色”。

b.在“配置应用程序服务器”对话框中，选择“自定义配置”。

c.在“应用程序服务器角色”，选择“终端服务器”。

d.完成安装终端服务器的向导。

2.配置终端服务许可证：a.在服务器管理器中，展开“终端服务”节点，选择“终端服务许可证”。

b.在右侧窗口中，选择“要求终端服务器许可证”。

c.完成终端服务许可证向导，获取终端服务器的许可证。

3.配置用户访问权限：a.在服务器管理器中，展开“本地用户和组”节点，选择“组”。

b. 在右侧窗口中，选择“Administrators”组。

c. 在“Administrators 属性”对话框中，选择“成员”。

d. 添加需要访问服务器的用户到“Administrators”组。

4.配置远程桌面连接：a.在开始菜单中，选择“所有程序”>“附件”>“通信”>“远程桌面连接”。

b.在“远程桌面连接”对话框中，输入服务器的IP地址或主机名，点击“连接”按钮。

c.输入用户名和密码，点击“确定”按钮，即可远程桌面访问服务器。

二、使用第三方远程桌面软件除了使用Windows Terminal Services，还可以使用第三方远程桌面软件来实现Windows2003多用户远程桌面访问。

下面是一个常用的第三方软件：TeamViewer。

2.配置主机：a. 在主机上运行TeamViewer软件。

b. 在TeamViewer窗口中，选择“设置”。

c.在“安全”选项卡中，设置一个自定义的访问密码。

3.配置主机访问权限：a.在主机上，选中“允许远程支持到这台计算机上”复选框。

Window server2003远程桌面登录设置一、首先、在局域网内实现远程登录内网，是指在同一个局域网内，同一个路由器下的终端机和服务器之间的远程登录。

在终端机访问服务器的时候，常会出现如下问题1-1、出现的问题通过远程桌面登录登录Window server2003服务器时，出现如下图1所示的提示。

无法实现远程登录，如何解决呀？1-2、解决步骤：在装有Window server2003系统的服务器上做如下三步操作1-2-1、先右键我的电脑出现以下”系统属性”设置界面，点击“远程”在“远程协助”和“远程桌面”两个选项前的复选项的选项框内打勾（远程桌面选择“允许运行任意版本的远程计算机连接）1-2-2、左键单击“开始”，“运行”本地服务设置services.msc命令。

或者右键单击“我的电脑”——左键单击“管理”功能项——双击“服务和应用程序”功能项，选择其中的一项服务——“terminal services”;该服务的功能是，“允许用户以交互方式连接到远程计算机，远程桌面、快速用户切换、远程协助和终端服务器依赖此服务，停止或禁用此服务会使，您的计算机变得不可靠，要阻止远程使用计算机，请在系统属性控制面板上清除远程选项卡上的复选项”。

将该功能选择为“已启动状态”1-2-3、开放防火墙。

在server2003操作系统下：鼠标右键单击右下角的网络连接图标选择以上的“更改windows防火墙设置”选择“例外”，在“远程桌面”的复选框中打勾如果是win7系统操作界面如下：1-3、远程登录通过以上设置，在局域网内就可以通过客户机访问服务器了。

具体登录方法按以下操作步骤。

在客户机上，调出“运行”快捷键是“window窗口键+R”，在运行窗口中输入mstsc(远程桌面链接)，出现如下界面：这时候输入要登录的电脑的地址、域名，点击连接点击；“是”，输入被登录电脑的用户名和密码，点击登录，即可。

1-4、如何建立桌面快捷登录方式点击“另存为”，给该快捷方式命名，便在桌面上建立了一个快捷方式图标二、不在局域网内的访问如果客户机和服务器不在一个局域网内，要实现远程访问，必须满足以下条件。

Windows server 2003 SSL 配置SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.下面先来部署HTTPS有关具体的部署可看之前的文章IIS.这里是针对部署的411网站,点其属性.点服务器证书,开始为网站申请证书.点新建证书.输入证书名称.设置网站的公用名称设置网站所在的地理位置信息点下一步然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.下面来看获取和安装网站证书获取的步骤也参看CA部署文章这个是获得的网站证书.然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.现在来处理挂起的请求并安装证书在此对话框中指定从CA获得的网站证书的文件名称.在此对话框中指定HTTPS的端口,标准端口为443显示了即将安装的网站证书的基本信息.点完成这样早请的网站证书安装就完成了.点查看证书这里有关证书的详细信息下面来看通过HTTPS访问网站登录WEB客户端,并从CA获取CA证书并点击安装下一步这里默认便可以点完成然后单击开始--运行确定在证书管理控制台能够看到安装的CA证书.单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.单击证书也能够看到安装的CA证书下面来配置网站只接受HTTPS访问在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.然后在客户端打开浏览器访问WEB服务器.可以看到要用HTTPS为通信协议的URL才能成功访问. 配置HTTPS的加密强度并勾选要求128位加密访问成功配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问选择要求客户端证书然后要向CA申请WEB浏览器证书.点WEB浏览器证书中间的过程就省略了,之前文章已介绍过然后点安装此证书点是在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.通过证书对访问网站的用户进行身份验证通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来启用客户端证书映射单击编辑点添加确定配置HTTPS启用证书信任列表点新建下一步选择要添加的CA证书下一步输入名称点完成完成.配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用NET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份. 下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CRL分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于CRL分发点URL 包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA 的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限。

从Windows Server 2003 SP1开始，客户端便可以通过服务器身份验证安全套接字层（SSL）证书连接到远程桌面服务器。

要实现这一功能，只需管理员使用和配置服务器操作系统的“远程桌面会话主机” 配置工具即可。

尽管Windows Vista和Windows 7这样的客户端操作系统并无这样的管理工具可用，但服务器仍可以向它们颁发远程桌面连接证书。

要通过证书来实现安全的远程桌面连接连接有两种常用配置方法。

第一种方法使用组策略和证书模板来进行配置；第二种方法则是使用WMI脚本来进行配置。

第一种方法：使用组策略和证书模板此种方式允许管理员为域中的多台计算机安装远程桌面证书，前提是域中必须有正常工作的公钥基础结构（PKI）。

首先，管理员需要创建一个远程桌面证书模板。

创建远程桌面证书模板：在企业证书颁发机构中找到“证书模板”。

找到并右键单击“计算机”模板，选择“复制模板”。

在弹出的对话框中选择“Windows Server 2008 Enterprise”模板类型。

此时会弹出一个新模板的“属性”对话框。

我们在“常规”选项卡中将“模板显示名称”和“模板名称”改为“RemoteDesktopComputer”以方便今后识别和使用。

注意：此处的模板显示名称和模板名称必须相同。

再到“扩展”选项卡中选择“应用程序策略”并点击“编辑”按钮。

此时会出现一个“编辑应用程序策略扩展”对话框。

要创建“远程桌面身份认证”策略必须先删除“客户端身份验证”和“服务器身份验证”策略，然后再点击“添加”。

此时会出现一个“添加应用程序策略扩展”对话框。

我们在对话框中单击“新建”。

此时会出现一个“新建程序策略扩展”对话框。

我们在“名称”中输入“Remote Desktop Authentication”，再在“对象标识符”中输入“1.3.6.1.4.1.311.54.1.2”并单击“确定”。

在“添加应用程序策略”对话框中选中“Remote Desktop Authentication”点击“确定”。

在windows2003的IIS6上建立httpsSSL加密的方法在windows2003的IIS6上建立https SSL加密的方法一、先决条件：要想成功架设SSL安全站点关键要具备以下几个条件。

1、需要从可信的证书办法机构CA获取服务器证书。

2、必须在WEB服务器上安装服务器证书。

3、必须在WEB服务器上启用SSL功能。

4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。

二、准备工作：在实施SSL安全站点之前需要我们做一些准备工作。

第一步：默认情况下IIS6组件是安装在windows2003中的，如果没有该组件请自行安装。

第二步：我们建立的IIS站点默认是使用HTTP协议的，打开浏览器在地址处输入“http://本机IP”（不含引号）就可以访问。

（如图1）图1第三步：安装证书服务，通过控制面板中的添加/删除程序，选择添加/删除windows组件。

在windows组件向导中找到“证书服务”，前面打勾后点“下一步”。

（如图2）图2 点击看大图小提示：证书服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。

为了方便这两个功能都需要安装。

第四步：系统会弹出“安装证书服务后计算机名和区域成员身份会出现改变，是否继续”的提示，我们选“是”即可。

（如图3）图3第五步：在windows组件向导CA类型设置窗口中选择独立根CA。

（如图4）第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如10.91.30.45，其他设置保留默认信息即可。

（如图5）图5第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。

（如图6）图6 点击看大图第八步：下一步后出现“要完成安装，证书服务必须暂时停止IIS服务”的提示。

选择“是”后继续。

（如图7）图7第九步：开始复制组件文件到本地硬盘。

（如图8）图8第十步：安装过程中会出现缺少文件的提示，我们需要将windows2003系统光盘插入光驱中才能继续。

Win2003远程桌面SSL认证配置指南远程桌面一直被认为是比较不安全的，但是如果加上SSL证书认证，可以很大幅度提升远程桌面的安全性，本文将针对远程桌面SSL认证的配置做较为详细的说明。

下面是配置步骤：SSL认证必须组件：IIS+ASP，证书服务首先安装IIS和证书服务，打开“添加/删除程序”，然后选择“添加/删除Windows组件”按照下面的图中所示勾选：安装过程中需要填写CA公用名称，随便填写就可以了，其他的全部默认安装，中间会提示一步是否要起用asp，点是就可以了，如果已经安装了IIS并且启用了asp，这一步只要安装证书服务就可以：安装好证书服务后，在浏览器中访问http://localhost/certsrv/，打开证书服务页面：单击其中的申请一个证书，然后选择“高级证书申请”，如图：在下一步中选择“创建并向此CA提交一个申请。

”这一步比较重要，首先证明的姓名不能随便写，要填写服务器的ip，不然会在后面认证的时候提示名称不一致，下面的部分按照图中的红框标志部分修改就可以，主要修改5个部分：1.证书的名称，使用服务器的ip，其他的随便填写2.证书类型，选择服务器身份验证证书3.密钥用法，改为交换4.勾选标记密钥为可导出5.勾选把证书保存在本地存储中完成这些所有以后，提交申请，然后在管理工具中打开“证书颁发机构”，颁发证书。

依次展开树：域名，挂起的申请，在右边的窗格中显示了刚刚申请的证书，单击右键，在所有任务菜单中选择颁发。

现在就可以看到刚刚申请的证书了，打开http://localhost/certsrv,并且选择“查看挂起的证书申请状态”，可以看到自己刚刚申请的证书已经通过了单击证书并且选择安装证书，在弹出的对话框中选择是，注意这一步是必须的，否则在下一步的终端服务证书选择中看不到任何证书。

在管理工具中，打开终端服务配置，在左边的窗格中单击连接，然后在右边双击连接，在弹出的对话框的常规选项卡中，首先单击证书旁边的编辑选择刚刚安装的证书，确定然后按照下图中的设置更改，修改两项：1．安全层改为SSL2．加密级别改为高服务器段的设置到此完毕下面是登陆客户端的设置，首先访问刚刚的证书服务器地址，并且单击：下载一个CA证书，证书链或URL在下一步中选择安装此证书链，弹出窗口中单击确定，这样就在客户端中安装了该TS服务器的证书在远程桌面连接的安全选项卡中，把身份验证改为试图身份验证，如果没有安全选项卡，找个win2003的安装盘，support tools里面就有，或者拷贝win2003目录下的mstsc.exe和mstscax.dll至任意目录，直接使用，附件中也提供了，最后连接就以SSL方式连接到终端服务了。

一：在服务器没有任何错误的办法，一般服务器远程桌面连接的方法1：右击“我的电脑”打开“属性” ->远程->勾选上“远程协助”和“远程桌面”如图1图12：然后打开“选择远程用户”如图2 ->选择“添加”进入如图3“立即查找”选择所用远程的用户名图2图3图43：选择“用户账户”密码刚才选择远程用户，修改登录密码如图5图片5图64：现在已经设置好了，如果你的服务器没有启用防火墙，现在可以远程控你的服务器"mstsc"试一下吧。

二：第一种端口修改方式：注册表服务器远程链接的端口是3389，有时候你的端口要装软件的时候可能会被修改了,那么现在我们就现在修改这个端口了，有二个地方要修改，我建议最好是进注册表里修改有时用软件修改的不一定一致，方法如下：1、第一处运行RegEdit，打开注册表编辑器。

找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，找到右边的PortNumber 值，记住2、第二处运行RegEdit，打开注册表编辑器。

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，同样也要找到右边的PortNumber 值如果二个值不一样，在防火墙没有打开的情况下、在十进制状态下修改为3389如果你想改为别的，为了服务器安全考虑，那就在十进制状态下改成你想要的端口号吧，如：33099，只要不与其它端口冲突。

改了端口，一定要记得防火墙里要开你新设置的端口哦，不然就进不去了！(netstat -an 查找开放的端口)现在要重启一下你的服务器。

重启好了试试现在是不是可以远程了。

如果还是不行进入第三种方法。

三、第二种端口修改方式：界面操作打开网络连接→本地连接→属性→常规→Internet 协议（TCP/IP）→属性→高级→选项→属性→钩选启用TCP/IP筛选→TCP端口选择只允许→添加3389（默认端口，可以改）三：如果没有打开防火墙现在打开，选择“启用”->“网络连接设置”->看一下“服务”里的“远程桌面”有没有选择上一定是没有选择上了才不能远程的了，现在选择上。

Windows server 2003 SSL 配置SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.S SL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.下面先来部署HTTPS有关具体的部署可看之前的文章IIS.这里是针对部署的411网站,点其属性.点服务器证书,开始为网站申请证书.下一步点新建证书.下一步.输入证书名称.设置网站的公用名称设置网站所在的地理位置信息指定证书请求的文件名称点下一步证书请求文件创建完成然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在C A上颁发证书.下面来看获取和安装网站证书获取的步骤也参看CA部署文章这个是获得的网站证书.然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.现在来处理挂起的请求并安装证书在此对话框中指定从CA获得的网站证书的文件名称.在此对话框中指定HTTPS的端口,标准端口为443显示了即将安装的网站证书的基本信息.点完成这样早请的网站证书安装就完成了.点查看证书这里有关证书的详细信息下面来看通过HTTPS访问网站登录WEB客户端,并从CA获取CA证书并点击安装下一步这里默认便可以点完成然后单击开始--运行确定在证书管理控制台能够看到安装的CA证书.单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.单击证书也能够看到安装的CA证书下面来配置网站只接受HTTPS访问在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.然后在客户端打开浏览器访问WEB服务器.可以看到要用HTTPS为通信协议的URL才能成功访问. 配置HTTPS的加密强度并勾选要求128位加密访问成功配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问选择要求客户端证书然后要向CA申请WEB浏览器证书.点WEB浏览器证书中间的过程就省略了,之前文章已介绍过然后点安装此证书点是在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查C RL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CR L.通过证书对访问网站的用户进行身份验证通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来启用客户端证书映射单击编辑点添加确定配置HTTPS启用证书信任列表点新建下一步选择要添加的CA证书下一步输入名称点完成完成.。

Windows系统远程桌面连接配置在当今的数字化工作环境中，远程桌面连接已成为一项非常实用的功能。

它允许您在不同的地点通过网络访问和控制另一台计算机，就好像您正坐在它面前一样。

这对于需要在家办公、为他人提供技术支持或者远程管理服务器的人来说，无疑是一大便利。

接下来，让我们详细了解一下 Windows 系统远程桌面连接的配置方法。

首先，我们需要确保被连接的计算机（以下称为“主机”）满足一些基本条件。

主机需要运行 Windows 专业版、企业版或服务器版操作系统。

Windows 家庭版默认是不支持远程桌面连接功能的。

在主机上，我们要进行一系列的设置。

第一步，打开“控制面板”，然后选择“系统和安全”。

在“系统和安全”窗口中，找到“系统”选项，点击进入。

在系统窗口的左侧，点击“远程设置”。

在弹出的“系统属性”对话框的“远程”选项卡中，我们有两个主要的选项需要关注。

第一个是“远程协助”，这个选项允许其他人通过邀请来连接并协助您解决问题，但不是我们这次配置的重点。

第二个是“远程桌面”，这里有三个选项：“不允许连接到这台计算机”、“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）”和“允许远程连接到此计算机（较不安全）”。

为了保证安全性，建议选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）”。

接下来，我们还需要在主机上设置防火墙规则，以允许远程桌面连接通过。

如果您使用的是 Windows 自带的防火墙，一般在您选择允许远程桌面连接时，系统会自动为您配置相应的防火墙规则。

但为了确保万无一失，您可以手动检查一下防火墙设置，确保“远程桌面”相关的规则处于启用状态。

然后，我们要获取主机的 IP 地址。

您可以通过在命令提示符中输入“ipconfig”命令来获取。

找到“IPv4 地址”，这就是我们后续连接时需要用到的地址。

有了主机的准备工作，接下来在要进行连接的计算机（以下称为“客户端”）上操作。

远程桌面SSL设置说明————服务器与客户端均有证书首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。

因为只有安装了SP1的Windows2003才具备通过SSL 加密的远程桌面功能。

以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。

1.安装证书服务：第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。

（如图8）图8 点击看大图第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。

（如图9）图9 点击看大图第三步：在CA识别信息窗口中为安装的CA起一个公用名称——softer，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。

（如图10）图10 点击看大图第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。

点“下一步”后继续。

（如图11）图11 点击看大图第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。

（如图12）图12 点击看大图第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。

（如图13）图13 点击看大图第七步：完成CA证书服务的windows组件安装工作。

（如图14）图14 点击看大图小提示：如果windows2003没有安装IIS组件的话还需要按照上面介绍的方法将IIS 组件也安装。

2.设置证书服务参数：默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。

第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。

Win server 2003远程桌面的配置及应用你是不是有的时候需远程调用服务器中的数据或程序，甚至要配置服务器，或远程关闭（重启）服务器，那就要试一试Windows 2003中的远程桌面Web连接，它强大的功能一定会让你感到非常满意的。

远程桌面Web 连接是ActiveX 控件，该控件实际上提供了与完整终端服务客户端相同的功能，但它旨在通过Web 传递该功能。

嵌入网页时，即使用户的计算机上并未安装完整的远程桌面连接客户端，远程桌面Web 连接也可以作为与终端服务器连接的客户端会话的宿主。

一、必要组件安装1. 打开“控制面板”→“添加或删除程序”→“添加或删除Windows组件”→“应用程序服务器”→“详细信息…”→“Internet信息服务（IIS）”→“详细信息…”→“万维网服务”→“详细信息…”→勾选“远程桌面Web连接”→连点三个“确定”→“下一步”等待完成。

2. 改变远程终端模式打开“控制面板”，双击“添加删除程序”，单击“添加删除Windows组件”,“组件”，在Windows组件向导对话框中选中“终端服务” , “下一步”,“应用服务器”,“下一步”，然后按照提示即可改变终端服务的模式。

Windows 2000终端服务有2种运行模式: 远程管理模式和应用程序服务器模式。

远程管理模式允许系统管理员远程管理服务器，而且只允许2个终端会话同时登录终端服务器。

应用程序服务器模式允许用户运行一个以上应用程序，允许多个用户从终端登录访问服务器。

但是，应用终端服务的用户必须有终端服务授权，即必须在90天之内在这个域或工作组中设置终端服务授权服务器，否则用户需删除应用程序，然后再重新安二、启用或禁用远程连接1、打开控制面板中的系统。

2、在“远程”选项卡上，选中或清除“允许用户远程连接到您的计算机”复选框。

单击“选择远程用户…”，在随后出现的对话框中添加或删除用户，单击“确定”（两次）。

三、在客户端应用在“开始”→“运行”，在运行框中键入“HTTP://服务器/TSWEB”→“确定”，在IE中出现（如图3）所示网页，若是第一次在本客户端使用，会要求下载ActiveX 控件，在“服务器”后的文本框中键入服务器名，在“大小”后的下拉列表中选择远程桌面的分辨率，请选择“全屏”，（否则远程桌面会显示在浏览器中），回车后即可看到登录窗口，键入用户名与密码即可进入远程桌面。

配置证书服务一、条件Windows server 2003 （域环境）Windows server 2003 （工作组环境）Windows XP （客户机）二、过程在Windows server 2003 （域环境）设置1、配置静态IP：192.168.0.12、安装组件控制面板→添加或删除程序→添加或删除组件→应用程序服务程序→IIS添加或删除组件→证书服务→选则“是”→企业CA→名称***→下一步→完成3、管理工具→IIS管理器→右击“默认网站”→属性→目录安全性→安全通信-服务器证书→新建证书→立即将证书请求发送到政府颁发机构→默认下一步→完成编辑→把“要求安全通信（SSL）”“√”4、建立用户开始→运行→dsa.msc→user→新建用户zhangqing密码！！！111qqq三、验证在Windows XP （客户机）设置1、配置静态IP：192.168.0.32、开始-运行→https://192.168.0.1/certsrv用户名：zhangqing密码：！！！111qqq3、申请一个证书→用户证书→提交“是”→安装此证书“是”4、导出证书右击IE浏览器→属性→内容→证书→选中证书-“导出”→是，导出私钥→下一步→密码000→文件名“C:\pki.pfx”→下一步-完成5、导入证书进入C盘找到文件名pki的证书文件双击→默认下一步→密码000→下一步-完成在Windows server 2003 （工作组环境）安装web服务器证书1、IIS管理器→默认网站属性→目录安全性→服务器证书→新建证书→默认下一步-完成2、打开certreq.exe文件复制所有内容3、在开始运行中输入http://192.168.0.2/certsrv 申请一个证书→高级证书申请→选择第二项→在第一个文本框中粘贴内容→提交4、管理工具→证书颁发机构→挂起的证书→颁发证书5、在开始运行中输入http://192.168.0.2/certsrv →查看挂起的证书申请的状态→保存证书→64编码→下载证书6、IIS管理器→默认网站属性→目录安全性→服务器证书I→处理挂起的请求并安装证书→输入下载证书的路径和文件名→默认下一步-完成。

Win2003证书效劳配置/客户端(效劳端)证书申请/IIS站点SSL设置一．CA证书效劳器安装1．安装证书效劳之前要先安装IIS效劳而且包管“WEB效劳扩展〞中的“Active Server Pages〞为允许状态2．在“控制面板〞中运行“添加或删除程序〞，切换到“添加/删除Windows组件〞页3．在“Windows组件向导〞对话框中，选中“证书效劳〞选项，接下来选择CA 类型，这里选择“独立根CA〞4．然后为该CA效劳器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年〞即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书效劳的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“ ://证书效劳器IP/CertSrv/default.asp〞。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处置您提交的申请，此过程可能要等待10秒钟摆布。

建议最好记下申请ID三。

客户端证书的颁布翻开“办理东西〞选择“证书颁布机构〞，翻开"挂起的申请",右击-->"颁布"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“ ://证书效劳器IP/CertSrv/default.asp〞,选择“查看挂起的证书申请状态〞2.找到本身申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书1.以IIS的默认站为例，先右击站点，翻开网站属性-->目录安然性-->效劳器证书2.按IIS证书向导一步步提交效劳器证书申请六。

效劳器证书的颁布1.先翻开"证书颁布机构"，提交刚刚的申请按提示一步步完成2.颁布证书在挂起的申请里，可以看到刚刚的申请(本例ID为5)，右击-->颁布3.导出证书在颁布的证书里，可以看到多了个证书，在新颁布的效劳器证书上右击-->翻开切换到"详细信息"，单击"复制到文件"，将该证书导出为cer文件七。

配置终端服务使用SSL微软在Windows Server 2003 SP1 中针对终端服务提供了SSL加密功能，它可以基于SSL（TLS 1.0）来实现以下两个功能：●对RDP客户端提供终端服务器的服务器身份验证；●加密和RDP客户端的通信。

在启用终端服务器的SSL加密功能时，当RDP客户向终端服务器发起连接时，终端服务器会向RDP客户出示配置使用的服务器证书，而RDP客户会检查颁发此服务器证书的CA是否位于自己受信任的根证书颁发机构列表中，如果存在则使用此服务器证书进行后续的RDP加密通讯，如果不存在则根据RDP客户的配置进行处理，你可以选择继续和终端服务器进行连接或者拒绝连接。

要使用终端服务器的SSL加密功能，对于终端服务器具有以下要求：●终端服务器组件的版本必须是RDP 5.2 或以上，即所运行的操作系统必须是WindowsServer 2003 SP1 或其后版本；●必须具有一个有效的服务器身份验证证书；而对于RDP客户端具有以下要求：●客户端操作系统必须是Windows 2000、Windows XP 或Windows Server 2003；●客户端的RDP客户端连接组件版本必须为RDP 5.2 以上，即必须为Windows Server 2003SP1 及其后版本中所带的RDP客户端连接组件；如果终端服务器要求SSL加密而客户端的RDP客户端连接组件版本低于RDP 5.2，则RDP客户端无法进行连接；如果颁发终端服务器使用的服务器证书的CA不在RDP客户端所信任的CA列表中，那么RDP 客户端在连接终端服务器时会出现错误提示，不过你可以选择是否继续进行连接。

配置终端服务器使用SSL加密首先，我们需要在终端服务器上申请一个有效的（即颁发此证书的CA必须位于终端服务器的受信任的根证书颁发机构列表中）服务器身份验证证书，在此具体的申请过程我就不详细进行描述了，下面配置终端服务器。

点击开始，指向所有程序，点击管理工具中的终端服务配置，在弹出的终端服务配置\连接对话框，右击右边详细面板中的RDP-Tcp，选择属性；然后在弹出的RDP-Tcp属性对话框上，点击常规页中的编辑按钮；在选择证书对话框上，选择对应的服务器身份验证证书，然后点击确定；在配置使用服务器身份验证证书后，就可以使用SSL加密功能了。