Cara Mengaktifkan Remote Access pada Windows Server (2008-2025)

Pengenalan

Akses jauh adalah keperluan harian dalam pentadbiran Windows Server, sama ada beban kerja berjalan di premis, dalam VM awan, atau di seluruh persekitaran hibrid. Panduan ini menunjukkan cara untuk mengaktifkan Protokol Desktop Jauh (RDP) dengan selamat pada Windows Server 2008-2025, serta bila untuk menggunakan PowerShell, peraturan firewall yang perlu disahkan, dan cara untuk mengelakkan pendedahan akses RDP yang berisiko.

Apakah Remote Access dalam Windows Server?

Akses jauh membolehkan pentadbir atau pengguna yang diberi kuasa untuk menyambung ke Windows Server dari komputer lain melalui rangkaian atau internet. Keupayaan ini adalah asas untuk pentadbiran terpusat, pengurusan infrastruktur awan, dan persekitaran IT hibrid.

Teknologi akses jauh teras dalam Windows Server

Beberapa teknologi membolehkan akses jauh dalam ekosistem Windows, dan setiap satu mempunyai tujuan yang berbeza.

Pilihan yang paling biasa termasuk:

• Protokol Desktop Jauh (RDP): sesi desktop grafik untuk pentadbir atau pengguna
• Perkhidmatan Desktop Jauh (RDS): infrastruktur penghantaran aplikasi atau desktop pelbagai pengguna
• Perkhidmatan Penghalaan dan Akses Jauh (RRAS): sambungan VPN ke rangkaian dalaman
• Pengurusan jauh baris perintah PowerShell: menggunakan WinRM

Apabila RDP adalah pilihan yang tepat

Untuk kebanyakan tugas pentadbiran, mengaktifkan Remote Desktop (RDP) adalah penyelesaian yang paling cepat dan praktikal. RDP membolehkan pentadbir berinteraksi dengan antaramuka grafik Windows sepenuhnya seolah-olah mereka berada di konsol.

RDP juga merupakan permukaan pengurusan jauh yang paling sering diserang apabila terdedah dengan tidak betul. Bahagian lain panduan ini menganggap "aktifkan RDP" dan "aktifkan RDP dengan selamat" sebagai tugas yang sama. Panduan Microsoft sendiri menekankan untuk mengaktifkan Remote Desktop hanya apabila diperlukan dan menggunakan kaedah akses yang lebih selamat jika boleh.

Apakah Prasyarat Sebelum Mengaktifkan Akses Jauh?

Sebelum mengaktifkan akses jauh pada Windows Server, semak beberapa prasyarat. Ini mengurangkan percubaan sambungan yang gagal dan mengelakkan pembukaan laluan akses yang berisiko sebagai penyelesaian saat akhir.

Kebenaran pentadbiran dan hak pengguna

Anda mesti log masuk dengan akaun yang mempunyai hak pentadbir tempatan. Akaun pengguna standard tidak boleh mengaktifkan Remote Desktop atau mengubah tetapan firewall.

Juga rancang siapa yang seharusnya dibenarkan untuk masuk melalui RDP. Secara lalai, Pentadbir tempatan boleh menyambung. Semua orang lain harus diberikan akses secara sengaja melalui kumpulan Pengguna Desktop Jauh, sebaiknya menggunakan kumpulan domain dalam persekitaran Active Directory.

Aksesibiliti rangkaian dan resolusi nama

Pelayan mesti dapat diakses dari peranti yang memulakan sambungan. Senario biasa termasuk:

• Akses rangkaian tempatan (LAN)
• Sambungan melalui terowong VPN
• Akses internet awam melalui alamat IP awam

Jika anda bercadang untuk menyambung menggunakan nama hos, sahkan resolusi DNS. Jika anda menyambung menggunakan alamat IP, sahkan ia stabil dan boleh diroute dari segmen rangkaian klien.

Pertimbangan Firewall dan NAT

Remote Desktop menggunakan TCP port 3389 secara lalai. Dalam kebanyakan kes, Windows mengaktifkan peraturan firewall yang diperlukan secara automatik apabila RDP dihidupkan, tetapi pentadbir masih perlu mengesahkan keadaan peraturan.

Jika sambungan melintasi firewall perimeter, peranti NAT, atau kumpulan keselamatan awan, lapisan-lapisan tersebut juga mesti membenarkan trafik. Peraturan firewall Windows sahaja tidak dapat menyelesaikan sekatan hulu.

Persiapan keselamatan sebelum mengaktifkan RDP

Membuka akses jauh memperkenalkan permukaan serangan. Sebelum mengaktifkan RDP, laksanakan perlindungan asas ini:

• Aktifkan Pengesahan Tahap Rangkaian (NLA)
• Hadkan akses menggunakan peraturan skop firewall atau penapisan IP
• Gunakan a VPN atau Gerbang Desktop Jauh untuk akses berasaskan internet
• Laksanakan pengesahan pelbagai faktor (MFA) di sempadan akses apabila boleh
• Pantau log pengesahan untuk aktiviti mencurigakan

Dengan NLA diaktifkan, pengguna mengesahkan sebelum sesi penuh ditubuhkan, yang mengurangkan pendedahan dan membantu melindungi hos.

Bagaimana untuk Mengaktifkan Akses Jauh di Windows Server?

Di kebanyakan versi Windows Server, mengaktifkan Remote Desktop hanya melibatkan beberapa langkah. GUI aliran kerja telah kekal sebahagian besarnya konsisten sejak Windows Server 2012.

Langkah 1: Buka Pengurus Pelayan

Log masuk ke Windows Server menggunakan akaun pentadbir.

Buka Pengurus Pelayan, yang merupakan konsol pentadbiran pusat untuk persekitaran Windows Server. Ia biasanya tersedia dalam Menu Mula, di bar tugas, dan sering dilancarkan secara automatik selepas log masuk.

Langkah 2: Navigasi ke tetapan Pelayan Tempatan

Dalam Pengurus Pelayan:

• Klik Pelayan Tempatan di panel navigasi kiri
• Cari harta Remote Desktop dalam senarai harta pelayan

Secara lalai, status sering muncul sebagai Dinonaktifkan, yang bermaksud sambungan Remote Desktop tidak dibenarkan.

Langkah 3: Aktifkan Remote Desktop dan perlukan NLA

Klik Disabled di sebelah tetapan Remote Desktop. Ini membuka Properties Sistem pada tab Remote.

• Pilih Benarkan sambungan jauh ke komputer ini
• Aktifkan Pengesahan Tahap Rangkaian (disyorkan)

NLA adalah pilihan default yang kuat kerana pengesahan berlaku sebelum sesi desktop penuh bermula, mengurangkan risiko dan pendedahan sumber.

Langkah 4: Sahkan peraturan Windows Defender Firewall

Apabila Remote Desktop diaktifkan, Windows biasanya mengaktifkan peraturan firewall yang diperlukan secara automatik. Namun, semak secara manual.

Buka Windows Defender Firewall dengan Advanced Security dan mengesahkan bahawa peraturan masuk ini diaktifkan:

• Remote Desktop – Mod Pengguna (TCP-In)
• Remote Desktop – Mod Pengguna (UDP-In)

Panduan penyelesaian masalah Microsoft menyebutkan peraturan-peraturan ini sebagai pemeriksaan utama apabila RDP gagal.

Langkah 5: Konfigurasikan pengguna yang diberi kuasa

Secara lalai, ahli kumpulan Pentadbir dibenarkan untuk menyambung melalui Remote Desktop. Jika pengguna lain memerlukan akses, tambahkan mereka secara eksplisit.

• Klik Pilih Pengguna
• Pilih Tambah
• Masukkan nama pengguna atau kumpulan
• Sahkan perubahan

Ini menambah identiti yang dipilih ke dalam kumpulan Pengguna Desktop Jauh dan mengurangkan godaan untuk memberikan hak yang lebih luas daripada yang diperlukan.

Langkah 6: Sambung ke pelayan secara jarak jauh

Dari peranti klien:

• Lancarkan Sambungan Desktop Jauh (mstsc.exe)
• Masukkan nama hos pelayan atau alamat IP
• Sediakan kelayakan log masuk
• Mulakan sesi

Jika pasukan anda menggunakan aplikasi “Remote Desktop” Microsoft Store untuk perkhidmatan awan, ambil perhatian bahawa Microsoft telah mengalihkan pengguna ke Aplikasi Windows yang lebih baru untuk Windows 365, Azure Virtual Desktop, dan Dev Box, sementara Sambungan Desktop Jauh (mstsc) yang terbina dalam kekal sebagai standard untuk aliran kerja RDP klasik.

Bagaimana untuk Mengaktifkan Akses Jauh Menggunakan PowerShell?

Dalam persekitaran yang lebih besar, pentadbir jarang mengkonfigurasi pelayan secara manual. Skrip dan automasi membantu menstandardkan tetapan dan mengurangkan penyimpangan konfigurasi.

Aktifkan RDP dan peraturan firewall dengan PowerShell

Jalankan PowerShell sebagai Pentadbir dan laksanakan:

Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Pendekatan ini mencerminkan panduan umum Microsoft: aktifkan RDP dan pastikan peraturan firewall dihidupkan untuk kumpulan Remote Desktop.

Nota untuk automasi dan standardisasi (GPO, templat)

Untuk pelayan yang disertakan dengan domain, Dasar Kumpulan biasanya merupakan cara yang paling selamat untuk meningkatkan akses jauh:

• Tegakkan NLA secara konsisten
• Kawal keanggotaan Pengguna Desktop Jauh menggunakan kumpulan AD
• Standardkan tingkah laku peraturan firewall
• Menyelaraskan pengauditan dan dasar penguncian di seluruh armada pelayan

PowerShell masih berguna untuk penyediaan saluran, penyediaan break-glass dalam rangkaian terkawal, dan skrip pengesahan.

Apakah Konfigurasi Remote Access oleh Versi Windows Server?

Tumpukan RDP adalah konsisten, tetapi UI dan tetapan lalai berbeza. Gunakan nota ini untuk mengelakkan pembaziran masa mencari tetapan.

Windows Server 2008 dan 2008 R2

Windows Server 2008 menggunakan antara muka pentadbiran yang lebih lama:

• Buka Panel Kawalan
• Pilih Sistem
• Klik Tetapan Jauh
• Aktifkan sambungan jauh

Versi ini menyokong Remote Desktop untuk Pentadbiran, biasanya membenarkan dua sesi pentadbiran ditambah sesi konsol, bergantung pada konfigurasi dan edisi.

Windows Server 2012 dan 2012 R2

Windows Server 2012 memperkenalkan model berpusatkan Server Manager:

• Pengurus Pelayan → Pelayan Tempatan → Desktop Jauh

Ini adalah aliran kerja yang tetap dikenali melalui keluaran yang akan datang.

Windows Server 2016

Windows Server 2016 mengekalkan aliran konfigurasi yang sama:

• Pengurus Pelayan → Pelayan Tempatan
• Aktifkan Desktop Jarak Jauh
• Sahkan peraturan firewall

Pelepasan ini menjadi asas perusahaan yang umum kerana kestabilan jangka panjang.

Windows Server 2019

Windows Server 2019 meningkatkan kemampuan hibrid dan ciri keselamatan tetapi membolehkan Remote Desktop tetap sama aliran kerja Server Manager.

Windows Server 2022

Windows Server 2022 menekankan keselamatan dan infrastruktur yang diperkukuh, tetapi konfigurasi Remote Desktop masih mengikuti pola yang sama dalam Server Manager.

Windows Server 2025

Windows Server 2025 meneruskan model pentadbiran yang sama. Dokumentasi Microsoft untuk pengurusan Windows Firewall secara jelas merangkumi Windows Server 2025, termasuk mengaktifkan peraturan firewall melalui PowerShell, yang penting untuk pengaktifan RDP yang standard.

Bagaimana untuk Menyelesaikan Masalah Sambungan Desktop Jauh?

Walaupun Remote Desktop dikonfigurasi dengan betul, masalah sambungan masih berlaku. Kebanyakan isu tergolong dalam beberapa kategori yang boleh diulang.

Pemeriksaan firewall dan port

Mulakan dengan kebolehcapaian port.

• Sahkan peraturan masuk diaktifkan untuk Remote Desktop
• Sahkan firewall hulu, NAT, dan kumpulan keselamatan awan membenarkan sambungan
• Sahkan pelayan sedang mendengar pada port yang dijangkakan

Panduan penyelesaian masalah RDP Microsoft menekankan keadaan firewall dan peraturan sebagai penyebab kegagalan utama.

Status perkhidmatan dan konflik dasar

Sahkan Remote Desktop diaktifkan dalam Properties Sistem pada tab Remote. Jika Group Policy menyahaktifkan RDP atau mengehadkan hak log masuk, perubahan tempatan mungkin akan kembali kepada keadaan asal atau disekat.

Jika pelayan telah disertakan dalam domain, semak sama ada polisi sedang dikuatkuasakan:

• Tetapan keselamatan RDP
• Pengguna dan kumpulan yang dibenarkan
• Keadaan peraturan firewall

Ujian laluan rangkaian

Gunakan ujian asas untuk mengasingkan di mana kegagalan berlaku:

• ping server-ip (tidak pasti jika ICMP disekat)
• Test-NetConnection server-ip -Port 3389 (PowerShell di klien)
• telnet server-ip 3389 (jika Klien Telnet dipasang)

Jika port tidak dapat diakses, masalahnya mungkin berkaitan dengan penghalaan atau firewall, bukan konfigurasi RDP.

Isu berkaitan Pengesahan dan NLA

Jika anda boleh mengakses port tetapi tidak dapat mengesahkan, semak:

• Sama ada pengguna berada dalam Pentadbir atau Pengguna Desktop Jauh
• Sama ada akaun tersebut dikunci atau terhad oleh dasar
• Sama ada NLA gagal disebabkan oleh kebergantungan identiti, seperti isu sambungan domain dalam beberapa senario VM

Apakah Amalan Terbaik Keselamatan untuk Akses Jauh?

Remote Desktop sering dipindai di internet awam, dan port RDP terbuka adalah sasaran yang kerap untuk serangan berasaskan kelayakan. Akses jauh yang selamat adalah masalah reka bentuk berlapis, bukan hanya satu kotak semak.

Jangan dedahkan 3389 secara langsung kepada internet

Elakkan menerbitkan TCP 3389 ke internet awam apabila mungkin. Jika akses luar diperlukan, gunakan perkhidmatan sempadan yang mengurangkan pendedahan dan memberikan anda titik kawalan yang lebih kuat.

Suka RD Gateway atau VPN untuk akses luar.

Gateway Desktop Jauh direka untuk menyediakan akses jauh yang selamat tanpa mendedahkan titik akhir RDP dalaman secara langsung, biasanya menggunakan HTTPS sebagai pengangkutan.

VPN adalah sesuai apabila pentadbir memerlukan akses rangkaian yang lebih luas di luar RDP. Dalam kedua-dua kes, anggap pintu gerbang sebagai sempadan keselamatan dan kukuhkan ia dengan sewajarnya.

Kurangkan risiko kelayakan dengan MFA dan kebersihan akaun

Tambah MFA di titik masuk, seperti VPN, gerbang, atau penyedia identiti. Hadkan akses RDP kepada kumpulan pentadbir, elakkan menggunakan akaun bersama, dan lumpuhkan akaun pentadbir tempatan yang tidak digunakan jika boleh.

Pantau dan bertindak balas terhadap aktiviti log masuk yang mencurigakan

Sekurang-kurangnya, pantau:

• Kegagalan logon mendadak
• Logon dari geografi atau julat IP yang tidak biasa
• Cuba berulang kali terhadap akaun yang dinyahdayakan

Jika persekitaran sudah mempunyai SIEM, hantarkan log keselamatan dan beri amaran tentang corak dan bukannya acara tunggal.

Bagaimana TSplus Menawarkan Alternatif yang Lebih Mudah dan Lebih Selamat untuk Remote Access?

RDP Asli berfungsi dengan baik untuk pentadbiran asas, tetapi banyak organisasi juga memerlukan akses berasaskan pelayar, penerbitan aplikasi, dan pengenalan pengguna yang lebih mudah tanpa mendedahkan RDP secara meluas. TSplus Remote Access menyediakan pendekatan terpusat untuk menyampaikan aplikasi dan desktop Windows, membantu pasukan mengurangkan pendedahan pelayan secara langsung dan menstandardkan titik akses jauh sambil menyokong pelbagai pengguna dengan cekap.

Kesimpulan

Mengaktifkan akses jauh pada Windows Server 2008 hingga 2025 adalah mudah: hidupkan Remote Desktop, sahkan peraturan firewall, dan berikan akses hanya kepada pengguna yang tepat. Perbezaan sebenar antara penyebaran yang selamat dan yang berisiko adalah bagaimana RDP terdedah. Utamakan pola RD Gateway atau VPN untuk akses luar, perlukan NLA, tambah MFA di mana mungkin, dan pantau acara pengesahan secara berterusan.