Remote Desktop Services (RDS)
Stell dir vor, eure Firma kauft eine neue Software für die Buchhaltung – aber sie läuft nur auf Windows und kostet pro Installation 500 Euro. 30 Mitarbeiter müssen sie nutzen. Müsst ihr 30 Lizenzen kaufen und auf 30 Rechnern installieren? Mit Remote Desktop Services (RDS) nicht unbedingt: Die Software läuft auf einem zentralen Server, und die Mitarbeiter steuern sie über eine Remote-Desktop-Verbindung – die Software selbst läuft nur einmal auf dem Server, nicht auf jedem PC.
RDS ist Microsofts Terminalserver-Technologie. Es gibt zwei Szenarien: Beim einfachsten Fall verbindet sich ein Administrator per RDP (Remote Desktop Protocol) zur Verwaltung auf einen Server. Das geht ohne extra Lizenz für maximal 2 gleichzeitige Admin-Verbindungen. Das zweite Szenario ist der vollständige RDS-Terminalserver: Viele Benutzer arbeiten gleichzeitig auf demselben Server – dafür braucht man extra RDS-CALs und die vollständige RDS-Rolleninstallation.
1) RDP – der einfache Fernzugriff
RDP ist das Protokoll hinter dem Remote Desktop. Es überträgt den Bildschirminhalt des Servers zum Client und sendet Tastatur- und Mauseingaben zurück. Der gesamte Datenverkehr läuft verschlüsselt über TLS. Standard-Port ist 3389 – dieser Port sollte im Internet niemals direkt erreichbar sein, da er ein permanentes Angriffsziel für Brute-Force- und RDP-Exploits ist.
In der Praxis gilt: RDP-Port 3389 nie direkt im Internet öffnen. Stattdessen: Zugriff nur über VPN oder über ein RD Gateway (verschlüsselter HTTPS-Tunnel der RDP kapselt). Als zusätzliche Schutzmaßnahme empfiehlt sich die Aktivierung von Network Level Authentication (NLA) – dabei muss sich der Benutzer authentifizieren bevor die RDP-Session aufgebaut wird.
2) RDS-Architektur – die Rollen im Überblick
Eine vollständige RDS-Umgebung für Mehrbenutzerbetrieb besteht aus mehreren Komponenten, die auf verschiedenen Servern laufen können. In kleinen Umgebungen kann alles auf einem Server installiert sein. In großen Umgebungen sind es dedizierte Server je Rolle. Das folgende Diagramm zeigt den typischen Verbindungsweg eines Benutzers:
mstsc.exe / RDP-Client
HTTPS-Tunnel, kein offener Port 3389
Lastverteilung, Session-Wiederverbindung
Läuft die eigentliche Session
Einzelne App statt vollständiger Desktop
3) RDP absichern – das Wichtigste
RDP auf Port 3389 ist eines der meistangegriffenen Dienste im Internet. In der Praxis sieht man täglich tausende automatisierte Login-Versuche auf Servern mit offenem RDP-Port. Die folgenden Maßnahmen sind Pflicht für jeden produktiven Server:
| Maßnahme | Warum wichtig | Wie umsetzen |
|---|---|---|
| RDP nur über VPN | Kein direkter Angriff aus dem Internet möglich | VPN-Zugang einrichten, Port 3389 in Firewall sperren |
| Network Level Authentication (NLA) | Authentifizierung vor Session-Aufbau – kein Angriff auf RDP-Stack möglich ohne gültige Credentials | Systemeigenschaften → Remote → NLA aktivieren |
| Kein RDP als Local Administrator | Credential-Diebstahl möglich via Pass-the-Hash | Dedizierte Admin-Accounts, PAM / Privileged Access Workstations |
| Kontosperrung aktivieren | Brute-Force-Angriffe nach X Versuchen stoppen | Passwortrichtlinie in GPO: Account Lockout Threshold = 5 |
| Port 3389 ändern | Automatische Scans auf Standard-Port verhindern | Registry: HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp → PortNumber |
4) RDP vs. alternative Remote-Protokolle
RDP ist die Windows-Lösung – aber es gibt Alternativen, die du in der Praxis kennen solltest:
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0, dann Start-Service sshd. Danach ist der Server per ssh user@server erreichbar – praktisch für PowerShell-Remotezugriff ohne RDP.Zusammenfassung
RDP = Protokoll für Remote Desktop-Verbindungen (Port 3389/TLS). Für Admins: max. 2 gleichzeitige Verbindungen ohne extra Lizenz. Für Mehrbenutzerbetrieb: vollständige RDS-Rollenkonstellation + RDS-CALs. RDP niemals direkt im Internet offen lassen – immer VPN oder RD Gateway vorschalten. NLA aktivieren, Kontosperrung konfigurieren.