Декабрь 2023 года. К нам обратился клиент — логистическая компания из 30 человек в Подмосковье. Директор позвонил лично: «Евгений, у нас бухгалтерия работает из дома, 1С стоит на сервере в офисе, а подключаются они через TeamViewer. Платим 40 тысяч в год за лицензии, всё тормозит, сотрудники жалуются». Мы приехали, посмотрели — и за один рабочий день перевели всех на RDP. Скорость выросла втрое. Ежегодные затраты на TeamViewer исчезли. Бухгалтер Марина Викторовна сказала: «Наконец-то 1С не зависает, когда я закрываю месяц».

Удалённый рабочий стол встроен в Windows. Бесплатно, с первого дня. Но на практике я раз за разом вижу одно и то же: компании платят за TeamViewer, терпят задержки, ругают интернет — и даже не подозревают, что нужная кнопка сидит буквально в двух кликах от рабочего стола.

В этой статье я дам пошаговую инструкцию — от простого включения RDP на рабочей станции до настройки полноценного терминального сервера с безопасным доступом через интернет. Без воды. С конкретными командами, которые можно скопировать и сразу вставить в консоль. Всё это проверено на десятках реальных внедрений у наших клиентов.

Поехали.

Что такое RDP и зачем он нужен бизнесу

RDP — Remote Desktop Protocol. Microsoft разработала его ещё в 1998 году, и с тех пор он живёт в каждой Windows. Принцип простой: вы подключаетесь к удалённой машине, видите её рабочий стол и работаете так, будто сидите прямо перед ней. Клавиатура, мышь, звук, принтеры, буфер обмена — всё это гоняется по сети прозрачно для пользователя.

Зачем это бизнесу? Вот конкретные сценарии, которые мы настраиваем клиентам каждую неделю:

Почему RDP выигрывает у TeamViewer и AnyDesk? Трафик идёт напрямую, без чужих серверов посередине. Никаких ежегодных платежей. И скорость — на нормальном канале разницы с локальной работой вы просто не почувствуете.

На практике: По нашей статистике за 2024-2025 годы, компании экономят от 30 до 120 тысяч рублей в год только на лицензиях TeamViewer/AnyDesk после перехода на RDP. А ускорение работы с сетевыми приложениями — бонус, который сложно измерить в деньгах.

Включаем RDP в Windows 10/11

Первое и главное: принимать RDP-подключения умеют только редакции Pro, Enterprise и Education. В Windows Home этой функции нет вообще. Проверьте свою редакцию прямо сейчас: Win + Pause или Параметры → Система → О программе.

Если у вас Home — есть обходные пути, расскажу ниже. Но для рабочих машин я всегда рекомендую Pro. Обновление стоит около 5–6 тысяч рублей и отбивается уже в первый месяц удалённой работы — мы считали.

Через параметры

Самый простой способ. Три клика — и готово:

  1. Откройте Параметры (Win + I)
  2. Перейдите в Система → Удалённый рабочий стол
  3. Включите переключатель «Удалённый рабочий стол»
  4. Нажмите Подтвердить в диалоговом окне

Отдельно обратите внимание на опцию «Требовать использование устройствами проверки подлинности на уровне сети (NLA)». По умолчанию она включена — и трогать её не нужно. NLA проверяет учётные данные ещё до того, как создаётся полноценная сессия, и это отсекает целый класс атак. Видел, что бывает, когда её отключают — не надо так.

После включения сразу запишите имя компьютера — оно отображается прямо на этой же странице настроек. Именно его вы будете вводить в RDP-клиенте с другой машины.

Через PowerShell

Для тех, кто работает через командную строку, или когда нужно включить RDP сразу на нескольких машинах одним скриптом — запустите PowerShell от имени администратора:

# Включаем RDP через реестр
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
    -Name "fDenyTSConnections" -Value 0

# Включаем NLA (проверка подлинности на уровне сети)
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
    -Name "UserAuthentication" -Value 1

# Открываем порт 3389 в брандмауэре
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Проверяем, что всё поднялось:

# Проверяем статус RDP
Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
    -Name "fDenyTSConnections" | Select-Object fDenyTSConnections

# Должно вернуть 0 (RDP включён)
Совет: Если вы администрируете парк машин через Active Directory, RDP можно включить централизованно через групповую политику: Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Connections → Allow users to connect remotely.

После этого подключиться можно с любого компьютера в сети. Откройте mstsc.exe — или просто наберите «Подключение к удалённому рабочему столу» в поиске Windows — введите имя компьютера или IP-адрес и подключайтесь.

Настройка RDP на Windows Server

Вот тут начинается совсем другая история. Windows 10/11 — это «подключился и работаешь вместо того, кто сидит за монитором». Windows Server — масштабнее: несколько пользователей одновременно, у каждого свой рабочий стол, свои приложения, свои настройки.

За 15 лет мы подняли десятки терминальных серверов — от маленьких офисов на 5 человек до компаний с 200+ сотрудниками. Принцип везде одинаковый. Масштаб разный.

Установка роли Remote Desktop Services

По умолчанию Windows Server разрешает только два одновременных административных подключения — исключительно для администрирования. Хотите полноценный терминальный сервер для сотрудников — придётся устанавливать роль RDS.

Через Server Manager:

  1. Откройте Server Manager → Add roles and features
  2. Выберите Role-based or feature-based installation
  3. На этапе выбора ролей отметьте Remote Desktop Services
  4. В компонентах роли выберите Remote Desktop Session Host (RDSH) — это ядро всей конструкции, без него ничего не заработает
  5. Опционально добавьте Remote Desktop Licensing — если лицензии планируете хранить прямо на этом сервере
  6. Завершите мастер и перезагрузите сервер

Через PowerShell быстрее:

# Установка роли RDSH
Install-WindowsFeature -Name RDS-RD-Server -IncludeManagementTools

# Установка роли лицензирования (опционально, на этом же сервере)
Install-WindowsFeature -Name RDS-Licensing -IncludeManagementTools

# Перезагрузка
Restart-Computer -Force

После перезагрузки сервер начнёт принимать множество одновременных подключений. Но есть один неприятный нюанс — без лицензий через 120 дней всё встанет.

Лицензирование RDS

Microsoft даёт 120-дневный пробный период для RDS. Дальше — либо покупаете лицензии, либо сервер режет подключения до двух административных. Никаких предупреждений за неделю. Просто — бац — и бухгалтерия не может зайти в 1С утром первого числа. Мы такое видели не раз.

Нужны два типа лицензий:

CAL бывают двух видов:

Настройка лицензирования:

# Указываем сервер лицензирования
$obj = Get-WmiObject -Namespace "Root/CIMV2/TerminalServices" `
    -Class Win32_TerminalServiceSetting
$obj.SetSpecifiedLicenseServerList("SERVER-NAME")
$obj.ChangeMode(4)  # 4 = Per User, 2 = Per Device

# Проверяем настройки
Get-WmiObject -Namespace "Root/CIMV2/TerminalServices" `
    -Class Win32_TerminalServiceSetting |
    Select-Object LicensingType, LicenseServers
Не забудьте: Активируйте сервер лицензирования через Remote Desktop Licensing Manager (licmgr.exe) и установите приобретённые CAL. Если этого не сделать, через 120 дней после установки роли RDSH подключения будут отклоняться. Мы видели эту ситуацию у клиентов — неприятный сюрприз в самый неподходящий момент.

Несколько одновременных RDP-сессий в Windows 10/11 (без покупки сервера)

Клиенты регулярно спрашивают: «Можно сделать так, чтобы к одному компьютеру на Windows 10 подключались два-три человека одновременно?». Официальная позиция Microsoft — нет. Windows 10/11 Pro допускает только одну активную сессию. Подключился второй пользователь — первого выбросило, без вариантов.

На практике есть обходное решение — утилита RDP Wrapper Library. Open-source проект, который модифицирует библиотеку termsrv.dll и снимает ограничение на количество сессий. После установки к обычной «десятке» могут подключаться несколько пользователей одновременно, каждый в своём сеансе.

Вот как это выглядит:

  1. Скачайте последнюю версию RDP Wrapper с GitHub (RDPWrap)
  2. Запустите install.bat от имени администратора
  3. Проверьте статус через RDPConf.exe — все индикаторы должны гореть зелёным
  4. Если статус «not supported» — обновите файл rdpwrap.ini с актуальными сигнатурами под вашу версию Windows
Важно понимать: RDP Wrapper — это неофициальное решение. После обновлений Windows он может перестать работать (и перестаёт — регулярно). Microsoft не поддерживает и не одобряет такое использование. Мы рекомендуем его только для тестовых сред, домашнего использования или совсем небольших офисов на 2-3 человека, где покупка серверной лицензии экономически нецелесообразна. Для бизнеса с 5+ пользователями — берите Windows Server. Серьёзно.

Есть ещё один вариант для малого бизнеса, который мы иногда рекомендуем: купить подержанный сервер — Dell PowerEdge T340, например, на Авито уходит от 35 тысяч — поставить Windows Server 2022 Standard и 5 RDS CAL. Итого выходит 80–100 тысяч рублей. Зато легально, стабильно и с запасом на несколько лет вперёд.

Безопасность RDP: 7 правил, которые спасут ваш сервер

Если честно, RDP — одна из главных целей для хакеров. По данным Kaspersky, количество брутфорс-атак на RDP в России выросло на 400% после начала массовой удалёнки. За 15 лет работы мы сами разбирали десятки взломов через открытый RDP — шифровальщики, майнеры, утечки данных. Каждый такой случай — это дни простоя и убытки от 200 тысяч рублей минимум.

Ниже — семь правил, которые мы внедряем у каждого клиента. Без исключений и без «ну у нас маленькая компания, нам не надо».

1. Смените стандартный порт 3389

Панацеей это не назову, но автоматические сканеры отсеивает процентов на 90 точно. Выберите любой порт в диапазоне 10000–65535:

# Меняем порт RDP на 54321 (подставьте свой)
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
    -Name "PortNumber" -Value 54321

# Создаём новое правило брандмауэра
New-NetFirewallRule -DisplayName "RDP Custom Port" `
    -Direction Inbound -Protocol TCP `
    -LocalPort 54321 -Action Allow

# Удаляем старое правило для порта 3389 (опционально)
# Disable-NetFirewallRule -DisplayGroup "Remote Desktop"

# Перезапускаем службу RDP
Restart-Service -Name TermService -Force

После смены порта подключаться нужно так: mstsc /v:192.168.1.100:54321.

2. Включите NLA (Network Level Authentication)

NLA требует ввести логин и пароль ещё до того, как сервер создаст сессию. Без него Windows честно поднимает полноценную RDP-сессию для любого, кто постучался, — хоть для вашего бухгалтера, хоть для сканера из Нидерландов. Это прямой путь к DoS-атакам и эксплуатации дыр вроде BlueKeep.

# Проверяем статус NLA
(Get-WmiObject -Class "Win32_TSGeneralSetting" `
    -Namespace root\cimv2\terminalservices `
    -Filter "TerminalName='RDP-tcp'").UserAuthenticationRequired

# Должно быть 1 (включён). Если 0 — включаем:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
    -Name "UserAuthentication" -Value 1

3. Используйте SSL-сертификаты

Из коробки RDP работает с самоподписанным сертификатом. Пользователи видят предупреждение, неделю кликают «Да», потом перестают вообще читать. И не заметят, если кто-то подсунет свой сертификат и тихо пишет весь трафик — классический MITM. Мы это видели в реальных инцидентах. Поставьте нормальный сертификат — от внутреннего CA или Let's Encrypt:

# Привязка сертификата к RDP (укажите отпечаток вашего сертификата)
$thumbprint = "AA1122BB3344CC5566DD7788EE99FF0011223344"
$path = (Get-WmiObject -Class "Win32_TSGeneralSetting" `
    -Namespace root\cimv2\terminalservices `
    -Filter "TerminalName='RDP-tcp'")
$path.SetSSLCertificateSHA1Hash($thumbprint)

4. Настройте брандмауэр — ограничьте доступ по IP

Открытый на весь мир порт RDP — это не настройка, это приглашение. Разрешите подключение только с конкретных IP-адресов или подсетей, которым вы доверяете:

# Разрешаем RDP только с конкретных IP
New-NetFirewallRule -DisplayName "RDP Trusted Only" `
    -Direction Inbound -Protocol TCP `
    -LocalPort 54321 -Action Allow `
    -RemoteAddress @("10.0.0.0/8", "192.168.1.0/24", "203.0.113.50")

5. Account Lockout Policy — блокировка при переборе паролей

Брутфорс RDP — один из самых распространённых векторов атак. Настройте политику блокировки через GPO или локально через secpol.msc. Там три параметра:

# Через командную строку (локальная политика)
net accounts /lockoutthreshold:5
net accounts /lockoutduration:30
net accounts /lockoutwindow:30

На Linux с xrdp под эту задачу ставят fail2ban. На Windows — Account Lockout Policy. Просто работает.

6. VPN перед RDP

Если честно — это лучшее из всего, что здесь написано. RDP в интернет не торчит вообще. Вот варианты:

Схема выглядит так: Пользователь → VPN-подключение → Внутренняя сеть → RDP к серверу. Порт 3389 наружу не открывается вообще.

7. Двухфакторная аутентификация (2FA)

Пароль утёк — бывает. Но без второго фактора злоумышленник всё равно не войдёт. Что можно использовать:

Из нашей практики: У одного клиента — строительной компании на 45 человек — мы обнаружили 12 000 попыток подбора пароля к RDP за одну ночь. Порт 3389 торчал наружу, пароль администратора был «Admin123». Чудом не взломали. Мы закрыли порт, поставили VPN и 2FA — за полгода после этого ноль инцидентов.

Remote Desktop Gateway — безопасный доступ извне

Клиенты нередко говорят: VPN — это лишняя программа, люди забывают подключаться, служба поддержки захлёбывается в звонках. Знакомая картина. В таких случаях мы рекомендуем RD Gateway (Remote Desktop Gateway).

RD Gateway — это роль Windows Server, которая заворачивает RDP-трафик в HTTPS на порт 443. Пользователь открывает стандартный клиент «Подключение к удалённому рабочему столу», прописывает адрес шлюза — и всё. Никаких лишних программ. Порт 3389 снаружи закрыт.

Как это работает:

  1. Пользователь подключается к RD Gateway по HTTPS (443)
  2. Gateway проверяет учётные данные и политики доступа
  3. Если всё ок — Gateway устанавливает RDP-соединение с внутренним сервером от имени пользователя
  4. Трафик между пользователем и Gateway зашифрован TLS

Установка:

# Установка роли RD Gateway
Install-WindowsFeature -Name RDS-Gateway -IncludeManagementTools

# После установки — настройка через Remote Desktop Gateway Manager (tsgateway.msc)

Основные шаги настройки в tsgateway.msc:

  1. Установите SSL-сертификат — обязательно от доверенного CA (Let's Encrypt подходит). Без валидного сертификата клиенты просто не смогут подключиться, и вы проведёте час в переписке со службой поддержки
  2. Создайте Connection Authorization Policy (CAP) — кто может подключаться (группы AD)
  3. Создайте Resource Authorization Policy (RAP) — к каким серверам разрешён доступ
  4. Откройте порт 443 на внешнем файрволе и направьте на сервер RD Gateway

На стороне клиента в настройках RDP-подключения («Дополнительно» → «Подключение из любого места»):

Когда выбрать RD Gateway вместо VPN? Если пользователи — обычные офисные сотрудники, не айтишники. Им не нужно ставить VPN-клиент, не нужно помнить про подключение. Открыл стандартный RDP — и работаешь. Мы ставим RD Gateway в 60% проектов по удалённому доступу. Просто потому, что люди реально им пользуются, а VPN часто забывают включить.

Типичные проблемы и решения

За 15 лет работы с клиентами мы видели одни и те же грабли снова и снова. Собрали тройку самых частых проблем с RDP — и как их решать.

«Не удалось подключиться к удалённому компьютеру»

Эта ошибка встречается чаще всего. Причин — штук десять, не меньше. Идём по порядку:

  1. Включён ли RDP на целевой машине? Проверяем: Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections". Значение должно быть 0
  2. Работает ли служба? Get-Service TermService — статус должен быть Running
  3. Пропускает ли файрвол? Test-NetConnection -ComputerName 192.168.1.100 -Port 3389 — если TcpTestSucceeded = False, порт закрыт. Дальше можно не гадать
  4. Находится ли пользователь в группе «Пользователи удалённого рабочего стола»? Проверяем: Get-LocalGroupMember -Group "Remote Desktop Users". Про это забывают в половине случаев
  5. Не блокирует ли антивирус или корпоративный файрвол? Временно отключите и попробуйте снова. Если заработало — причина найдена
  6. Правильный ли IP/имя компьютера? Банально, но по нашей практике примерно в 30% случаев проблема именно здесь. Опечатка в одной цифре — и час потерян
# Быстрая диагностика подключения к удалённому ПК
$target = "192.168.1.100"
$port = 3389

Write-Host "=== Диагностика RDP для $target ===" -ForegroundColor Cyan

# Проверяем доступность по сети
Test-NetConnection -ComputerName $target -Port $port |
    Select-Object ComputerName, TcpTestSucceeded, PingSucceeded

# Проверяем DNS-разрешение (если используется имя)
# Resolve-DnsName -Name "PC-BUHGALTER" -Type A

Чёрный экран при подключении

Подключились, экран почернел — и тишина. Ничего не происходит. Это случается в двух ситуациях, и обе решаемы за пять минут:

Быстрый фикс: нажмите Ctrl + Alt + End (это аналог Ctrl + Alt + Delete внутри удалённой сессии), выберите «Диспетчер задач», затем Файл → Запустить новую задачу → explorer.exe. В 80% случаев экран оживает.

Если и это не помогло:

# На удалённой машине (через PowerShell Remoting или другое подключение)
# Убиваем зависшую сессию
query session
reset session <ID сессии>

Медленная работа RDP

Картинка дёргается, мышь отстаёт, текст набирается с задержкой. Знакомая картина. Обычно дело не в сервере — дело в настройках подключения, которые никто не трогал со дня установки:

На стороне клиента (в настройках mstsc.exe):

На стороне сервера:

# Проверяем загрузку процессора и памяти
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 Name, CPU, WorkingSet64

# Проверяем, не закончилось ли место на диске
Get-PSDrive -PSProvider FileSystem | Select-Object Name, @{N='FreeGB';E={[math]::Round($_.Free/1GB,1)}}

# Включаем UDP-транспорт для RDP (быстрее на нестабильных каналах)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services' `
    -Name "SelectTransport" -Value 0  # 0 = UDP и TCP, 1 = только TCP
Лайфхак: Если пользователи работают с 1С через RDP и жалуются на тормоза — проверьте, не запущены ли у них на удалённом рабочем столе браузеры с 30 вкладками. Серьёзно, в 40% случаев «медленный RDP» = Chrome съел всю оперативку на сервере. Мы ставим GPO с ограничением RAM на пользовательскую сессию — помогает.

Настройка QoS для RDP-трафика:

Если в сети много трафика и RDP конкурирует с файловыми загрузками — RDP проигрывает. QoS решает это приоритизацией:

# Создаём политику QoS для RDP (приоритет трафика)
New-NetQosPolicy -Name "RDP Priority" `
    -AppPathNameMatchCondition "svchost.exe" `
    -IPProtocolMatchCondition TCP `
    -IPDstPortStartMatchCondition 3389 `
    -IPDstPortEndMatchCondition 3389 `
    -DSCPAction 46 `
    -NetworkProfile All

FAQ

Можно ли подключиться по RDP к Windows 10 Home?

Нет, встроенный RDP-сервер есть только в Pro, Enterprise и Education. На Home можно лишь подключаться к другим машинам как клиент, но принимать подключения — нельзя. Существует неофициальный RDP Wrapper, но для рабочих задач мы не советуем на него опираться. Обновите редакцию до Pro — это порядка 5–6 тысяч рублей, и вопрос закрыт навсегда.

Какой порт использует RDP и нужно ли его менять?

По умолчанию — TCP 3389. Менять имеет смысл, если сервер торчит в интернет напрямую. Полноценной защитой смену порта не назову, но 90% автоматических сканеров она отсеивает. Берите любой порт от 10000 до 65535 и не забудьте обновить правило файрвола.

Сколько человек могут одновременно подключиться к Windows 10/11?

Штатно — одно. Второй пользователь выбивает первого. Для нескольких одновременных сессий нужен Windows Server с ролью RDS и лицензиями CAL. Есть неофициальный RDP Wrapper для обхода этого ограничения, но он стабильно ломается после очередного обновления Windows — мы на такое не полагаемся.

Безопасно ли открывать RDP в интернет?

Нет. Категорически нет. Открытый порт 3389 — первое, что проверяет любой сканер в интернете. У одного нашего клиента мы зафиксировали 12 000 попыток подбора пароля за одну ночь. За одну ночь. Используйте VPN или RD Gateway. Абсолютный минимум: смена порта + NLA + блокировка учётных записей + ограничение по IP.

Чем RDP лучше TeamViewer?

RDP бесплатен, работает без промежуточных серверов, быстрее и безопаснее при правильной настройке. TeamViewer берёт своё простотой — никакой настройки сети, запустил и подключился. Если нужна постоянная работа — RDP. Если разово помочь кому-то настроить принтер — TeamViewer.

Нужны ли лицензии для RDP?

Для подключения к обычному ПК с Windows Pro — нет, лицензия Windows уже это покрывает. Для терминального сервера на Windows Server с несколькими пользователями — да, нужны RDS CAL: по одной на пользователя (Per User) или на устройство (Per Device). Без них сервер проработает 120 дней, а потом просто перестанет принимать подключения. Без предупреждений.

Заключение

RDP — одна из тех технологий, которая просто работает. Никаких подписок, никакой облачной зависимости, никаких звонков бухгалтеру с вопросом «а где скачать?». Включил — подключился — работаешь.

Пробежимся по главному. Что сделать прямо сейчас:

  1. Убедитесь, что на рабочих машинах стоит Windows Pro, а не Home — иначе RDP просто не включить
  2. Включите RDP и NLA на тех компьютерах, к которым нужен удалённый доступ
  3. Закройте порт 3389 на внешнем файрволе. Доступ снаружи нужен — настройте VPN или RD Gateway, но не открывайте RDP в интернет напрямую
  4. Настройте Account Lockout Policy: 5 попыток ввода пароля — и 30 минут блокировки. Это отсекает большинство брутфорс-атак ещё на старте
  5. Для терминального сервера — установите роль RDS и сразу разберитесь с лицензиями, потом это больнее

Если что-то из перечисленного вызвало вопросы — это абсолютно нормально. Мы в АйТи Фреш настраиваем удалённый доступ каждый день: от банального включения RDP на двух-трёх машинах до развёртывания терминальных ферм на несколько сотен пользователей. Позвоните или оставьте заявку — разберёмся с вашей конкретной задачей.

Читайте также

Официальная документация: Microsoft Learn — Remote Desktop Services, Microsoft Learn — RDP-клиенты

Нужна помощь с настройкой RDP?

ООО «АйТи Фреш» настроит удалённый доступ за вас

Не хотите разбираться с портами, сертификатами и политиками безопасности? Мы настроим RDP, VPN или RD Gateway под ключ — с гарантией безопасности и стабильности. Работаем с юридическими лицами в Москве и регионах. Поддержка 24/7.

15+лет опыта
25+клиентов
40Gсвоя сеть
24/7поддержка
Оставить заявку на ITfresh.ru → +7 903 729-62-41