Zum Inhalt springen
sw
en

Tippe um zu suchen

Netzwerk

Remote Desktop (RDP) – Einrichtung & Nutzung

RDP erlaubt die grafische Fernsteuerung von Windows-PCs. Lerne, wie du es sicher aktivierst, richtig nutzt und typische Probleme löst.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist RDP und wann brauchst du es?

RDP (Remote Desktop Protocol) ist Microsofts eigenes Protokoll zur grafischen Fernsteuerung von Windows-Rechnern. Du siehst den Desktop des Zielrechners in einem Fenster auf deinem eigenen Gerät – Maus, Tastatur und Zwischenablage werden transparent weitergeleitet, als würdest du direkt vor dem Gerät sitzen.

Typische Einsatzszenarien im KMU-Alltag:

  • Mitarbeitende im Homeoffice greifen auf ihren Büro-PC zu
  • IT-Support arbeitet remote an einem Endgerät (ohne physisch hinzugehen)
  • Administrieren von Windows Servern ohne KVM-Konsole
  • Zugriff auf eine Applikation, die nur auf einem bestimmten Server läuft (z.B. ERP-Client, CAD-Software)

RDP ist auf Port 3389 TCP (und UDP für optimierte Grafikübertragung) unterwegs. Das Protokoll ist in Windows seit XP integriert und kostenlos – kein zusätzlicher Agent, kein Dritt-Abo.


RDP auf dem Zielrechner aktivieren

Variante 1: Über die Einstellungen (Windows 10 / 11)

  1. Win+ISystemRemotedesktop
  2. Schalter „Remotedesktop aktivieren” auf Ein stellen
  3. Bestätigungsdialog mit „Bestätigen” abschliessen
  4. Optional: „Remotedesktopbenutzer” öffnen und zusätzliche Konten eintragen (Admins sind automatisch berechtigt)

Variante 2: Über die Systemsteuerung (klassisch)

Win+Rsysdm.cpl → Tab „Remote”„Remoteverbindungen mit diesem Computer zulassen” aktivieren.

Variante 3: PowerShell (ideal für Remote-Aktivierung oder Scripting)

# RDP aktivieren
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
  -Name "fDenyTSConnections" -Value 0

# Windows-Firewall-Regel für RDP freischalten
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# NLA (Network Level Authentication) erzwingen – empfohlen!
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
  -Name "UserAuthentication" -Value 1

Variante 4: Per Registry (z.B. via GPO oder Remote-Registry)

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Verbinden mit mstsc

Der eingebaute Windows-Client heisst Remote Desktop Connection (mstsc.exe). Starte ihn mit Win+Rmstsc.

Wichtige Kommandozeilenparameter

REM Verbindung zu IP oder Hostname
mstsc /v:192.168.1.100

REM Mit explizitem Port (falls nicht Standard 3389)
mstsc /v:192.168.1.100:3390

REM Admin-Sitzung (Konsole, Session 0 – wichtig auf Servern)
mstsc /v:SERVER01 /admin

REM Vollbild sofort
mstsc /v:192.168.1.100 /f

REM Bestimmte Auflösung
mstsc /v:192.168.1.100 /w:1920 /h:1080

REM Über RD-Gateway verbinden
mstsc /v:intern-pc01 /g:rdgateway.firma.ch

REM Gespeicherte .rdp-Datei öffnen
mstsc "C:\Users\admin\Desktop\server01.rdp"

.rdp-Dateien erstellen und speichern

Im mstsc-Dialog unter „Optionen einblenden” lassen sich alle Einstellungen (Auflösung, Geräte-Weiterleitung, Gateway usw.) konfigurieren und als .rdp-Datei speichern. Praktisch, wenn du viele Ziele regelmässig verbindest. Die Dateien lassen sich auch auf einem Netzlaufwerk ablegen, damit das ganze Team sie nutzt.

# Alle gespeicherten RDP-Dateien im Benutzerprofil finden
Get-ChildItem "$env:USERPROFILE\Documents" -Filter "*.rdp" -Recurse

Benutzer für RDP freischalten

Nur Mitglieder der Gruppe „Administratoren” und „Remotedesktopbenutzer” dürfen sich per RDP verbinden. Normalen Usern gibst du Zugriff so:

# Lokal (auf dem Zielrechner)
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "mmuster"

# Im Active Directory (AD-Umgebung): Sicherheitsgruppe "RDP-Benutzer" erstellen
# und diese Gruppe via GPO in die lokale Gruppe "Remote Desktop Users" einpflegen
Add-ADGroupMember -Identity "RDP-Benutzer" -Members "mmuster"

Per GPO (Computer Configuration → Windows Settings → Security Settings → Restricted Groups oder Local Users and Groups) lässt sich die Mitgliedschaft domänenweit zentral steuern – deutlich sauberer als jede Workstation manuell anzufassen.


Sicherheit: Das Wichtigste zuerst

RDP ist eines der häufigsten Angriffsziele im Internet. Jeden Tag versuchen automatisierte Scanner, Port 3389 auf Firmenfirewalls zu finden und sich mit Brute-Force einzuhacken.

NLA (Network Level Authentication)

NLA erzwingt, dass der Benutzer sich vor dem Aufbau der grafischen Sitzung authentifiziert. Ohne NLA wird zuerst der Windows-Anmeldebildschirm gerendert und übertragen – das kostet Ressourcen und ist ein Angriffspunkt.

NLA prüfen und aktivieren:

# Aktuellen Wert lesen (1 = NLA aktiv)
Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
  -Name UserAuthentication | Select-Object UserAuthentication

NLA ist auf Windows 10/11 und Windows Server 2016+ standardmässig aktiv. Deaktiviere es nur, wenn ältere Clients (z.B. Windows XP, alte Linux-RDP-Clients) sich verbinden müssen – und stell es danach sofort wieder an.

Sicherheits-Checkliste für RDP im KMU

MassnahmeWarum
NLA aktiviertAuthentifizierung vor Sitzungsaufbau
Starke Passwörter auf allen RDP-KontenBrute-Force-Schutz
RDP-Zugang nur für notwendige UserLeast Privilege
Zugang nur via VPN oder RD-GatewayKein direkter Internetzugang
Firewall blockiert 3389 externAngriffsfläche minimieren
Windows Updates aktuellRDP-Sicherheitslücken (z.B. BlueKeep 2019) patchen
Konto-Sperrung nach Fehlversuchen (GPO)Brute-Force abbremsen
Logging aktivieren (Event ID 4624/4625)Verbindungsversuche nachvollziehen

RDP sicher von aussen: VPN vs. RD-Gateway

Es gibt zwei saubere Wege, RDP über das Internet zu nutzen:

Option A: VPN + RDP (empfohlen für kleinere KMUs)

Der User baut zuerst eine VPN-Verbindung zum Firmennetz auf (z.B. mit WireGuard, OpenVPN oder Windows Built-in VPN). Danach verhält sich RDP genauso wie im lokalen Netz. Kein Port auf dem Router öffnen, kein spezieller Server nötig.

Mehr dazu auf der Seite VPN – Grundlagen.

Option B: RD-Gateway (Remote Desktop Gateway)

Ein RD-Gateway ist ein Windows Server, der als Proxy zwischen Internet und internen RDP-Hosts sitzt. Clients verbinden sich per HTTPS (Port 443) zum Gateway – der Gateway leitet die Verbindung intern weiter.

Vorteile:

  • Kein VPN-Client nötig auf dem Endgerät
  • Zugriff mit normalem mstsc möglich (/g:rdgateway.firma.ch)
  • Zentrales Logging aller Verbindungen
  • Connection Authorization Policies (CAP) und Resource Authorization Policies (RAP) steuern genau, wer auf was zugreifen darf

Voraussetzung: Windows Server mit der Rolle Remote Desktop Services → RD Gateway. Dazu ein gültiges SSL-Zertifikat (Let’s Encrypt geht, oder ein internes CA-Zertifikat).

# RD-Gateway-Rolle auf Windows Server installieren
Install-WindowsFeature RDS-Gateway -IncludeManagementTools

Mehrere Sitzungen auf Windows Server

Auf einem normalen Windows 10/11 PC lässt RDP standardmässig nur eine gleichzeitige Sitzung zu. Meldet sich jemand per RDP an und der lokale User war eingeloggt, wird dieser abgemeldet.

Windows Server verhält sich anders: Mit einer RDS-CAL (Client Access License) können mehrere User gleichzeitig per RDP arbeiten. Das ist der normale Server-Betrieb in KMUs – z.B. wenn 10 User gleichzeitig auf einem Terminal Server arbeiten.

# Aktive RDP-Sessions auf einem Server anzeigen
query session /server:SERVER01

# Session trennen (ohne Abmeldung)
tsdiscon 2 /server:SERVER01

# Session zwangsweise beenden
logoff 2 /server:SERVER01

Troubleshooting: Häufige Probleme

Verbindung wird abgelehnt (Fehler: „Verbindung nicht möglich”)

# 1. Ist RDP aktiv?
Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections
# 0 = aktiv, 1 = deaktiviert

# 2. Lauscht der RDP-Dienst auf Port 3389?
netstat -ano | findstr ":3389"
# oder PowerShell:
Test-NetConnection -ComputerName 192.168.1.100 -Port 3389

# 3. Firewall-Regel aktiv?
Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Select DisplayName, Enabled

Häufige Fehlerursachen im Überblick

SymptomWahrscheinliche UrsacheLösung
„Verbindung konnte nicht hergestellt werden”RDP deaktiviert oder Firewall blocktRDP aktivieren, Firewall-Regel prüfen
„Sicherheitszertifikat nicht verifizierbar”Selbstsigniertes ZertifikatZertifikat einmalig bestätigen oder korrektes Cert hinterlegen
„Anmeldeinformationen funktionieren nicht”Falsche Credentials, NLA aktiv, Konto gesperrtPasswort prüfen, net user USERNAME /domain
Schwarzer Bildschirm nach LoginGPU-Treiberproblem, GruppenrichtlinieRDP-Session in Grundauflösung versuchen (/w:800 /h:600)
Sehr langsame VerbindungNetzwerklatenz, zu hohe FarbtiefeVerbindungsqualität in mstsc-Optionen reduzieren
Sitzung friert ein / trennt sichMTU-Problem, VPN-TimeoutMTU auf 1400 setzen, Keepalive konfigurieren
„Zu viele Verbindungen” (Server)RDS-CAL-Limit oder Session-Limitquery session prüfen, ggf. alte Sessions beenden

Diagnosebefehle

# RDP-Dienst (TermService) prüfen und neu starten
Get-Service TermService | Select Name, Status, StartType
Restart-Service TermService

# Event Log nach RDP-Fehlern durchsuchen (Event IDs 1149, 4624, 4625)
Get-WinEvent -LogName "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" `
  -MaxEvents 20 | Select TimeCreated, Id, Message

# Wer ist aktuell eingeloggt?
query user

RDP-Port geändert – und jetzt?

Manchmal findet man Systeme, bei denen der RDP-Port auf einen anderen Wert geändert wurde (Security through Obscurity – kein guter Ersatz für echte Sicherheit, aber manchmal vorgefunden).

# Aktuellen RDP-Port auslesen
Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
  -Name PortNumber | Select-Object PortNumber

Wenn der Port geändert ist, musst du ihn beim Verbinden explizit angeben: mstsc /v:192.168.1.100:3390.


Alternativen zu RDP

RDP ist nicht immer die beste Wahl. Hier ein Überblick:

ToolBeste fürBesonderheit
mstsc (RDP)Windows → Windows, Server-AdminIntegriert, kein Abo, schnell im LAN
TeamViewerExterner Support, NAT-DurchquerungKein VPN nötig, kostenpflichtig für Firmen
AnyDeskExterner Support, leichtgewichtigGünstiger als TeamViewer
Windows Admin CenterWindows Server ManagementBrowser-basiert, modernes Interface
SSHLinux-Server, headless WindowsNur Kommandozeile, sehr sicher
Intune / MEMFlächendeckende Endpoint-VerwaltungMehr als Remote-Control, MDM-Ansatz
Microsoft Remote Desktop (Windows App) Gratis windows mac

Moderner RDP-Client von Microsoft – ersetzt den alten mstsc auf neuen Windows-Versionen und ist auch fuer macOS/iOS/Android verfuegbar.

apps.microsoft.com


Weiterlernen

Verwandte Seiten:

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben