Remote Desktop (RDP) – Einrichtung & Nutzung
RDP erlaubt die grafische Fernsteuerung von Windows-PCs. Lerne, wie du es sicher aktivierst, richtig nutzt und typische Probleme löst.
Was ist RDP und wann brauchst du es?
RDP (Remote Desktop Protocol) ist Microsofts eigenes Protokoll zur grafischen Fernsteuerung von Windows-Rechnern. Du siehst den Desktop des Zielrechners in einem Fenster auf deinem eigenen Gerät – Maus, Tastatur und Zwischenablage werden transparent weitergeleitet, als würdest du direkt vor dem Gerät sitzen.
Typische Einsatzszenarien im KMU-Alltag:
- Mitarbeitende im Homeoffice greifen auf ihren Büro-PC zu
- IT-Support arbeitet remote an einem Endgerät (ohne physisch hinzugehen)
- Administrieren von Windows Servern ohne KVM-Konsole
- Zugriff auf eine Applikation, die nur auf einem bestimmten Server läuft (z.B. ERP-Client, CAD-Software)
RDP ist auf Port 3389 TCP (und UDP für optimierte Grafikübertragung) unterwegs. Das Protokoll ist in Windows seit XP integriert und kostenlos – kein zusätzlicher Agent, kein Dritt-Abo.
RDP auf dem Zielrechner aktivieren
Variante 1: Über die Einstellungen (Windows 10 / 11)
- Win+I → System → Remotedesktop
- Schalter „Remotedesktop aktivieren” auf Ein stellen
- Bestätigungsdialog mit „Bestätigen” abschliessen
- Optional: „Remotedesktopbenutzer” öffnen und zusätzliche Konten eintragen (Admins sind automatisch berechtigt)
Variante 2: Über die Systemsteuerung (klassisch)
Win+R → sysdm.cpl → Tab „Remote” → „Remoteverbindungen mit diesem Computer zulassen” aktivieren.
Variante 3: PowerShell (ideal für Remote-Aktivierung oder Scripting)
# RDP aktivieren
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
-Name "fDenyTSConnections" -Value 0
# Windows-Firewall-Regel für RDP freischalten
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
# NLA (Network Level Authentication) erzwingen – empfohlen!
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
-Name "UserAuthentication" -Value 1
Variante 4: Per Registry (z.B. via GPO oder Remote-Registry)
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
Verbinden mit mstsc
Der eingebaute Windows-Client heisst Remote Desktop Connection (mstsc.exe). Starte ihn mit Win+R → mstsc.
Wichtige Kommandozeilenparameter
REM Verbindung zu IP oder Hostname
mstsc /v:192.168.1.100
REM Mit explizitem Port (falls nicht Standard 3389)
mstsc /v:192.168.1.100:3390
REM Admin-Sitzung (Konsole, Session 0 – wichtig auf Servern)
mstsc /v:SERVER01 /admin
REM Vollbild sofort
mstsc /v:192.168.1.100 /f
REM Bestimmte Auflösung
mstsc /v:192.168.1.100 /w:1920 /h:1080
REM Über RD-Gateway verbinden
mstsc /v:intern-pc01 /g:rdgateway.firma.ch
REM Gespeicherte .rdp-Datei öffnen
mstsc "C:\Users\admin\Desktop\server01.rdp"
.rdp-Dateien erstellen und speichern
Im mstsc-Dialog unter „Optionen einblenden” lassen sich alle Einstellungen (Auflösung, Geräte-Weiterleitung, Gateway usw.) konfigurieren und als .rdp-Datei speichern. Praktisch, wenn du viele Ziele regelmässig verbindest. Die Dateien lassen sich auch auf einem Netzlaufwerk ablegen, damit das ganze Team sie nutzt.
# Alle gespeicherten RDP-Dateien im Benutzerprofil finden
Get-ChildItem "$env:USERPROFILE\Documents" -Filter "*.rdp" -Recurse
Benutzer für RDP freischalten
Nur Mitglieder der Gruppe „Administratoren” und „Remotedesktopbenutzer” dürfen sich per RDP verbinden. Normalen Usern gibst du Zugriff so:
# Lokal (auf dem Zielrechner)
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "mmuster"
# Im Active Directory (AD-Umgebung): Sicherheitsgruppe "RDP-Benutzer" erstellen
# und diese Gruppe via GPO in die lokale Gruppe "Remote Desktop Users" einpflegen
Add-ADGroupMember -Identity "RDP-Benutzer" -Members "mmuster"
Per GPO (Computer Configuration → Windows Settings → Security Settings → Restricted Groups oder Local Users and Groups) lässt sich die Mitgliedschaft domänenweit zentral steuern – deutlich sauberer als jede Workstation manuell anzufassen.
Sicherheit: Das Wichtigste zuerst
RDP ist eines der häufigsten Angriffsziele im Internet. Jeden Tag versuchen automatisierte Scanner, Port 3389 auf Firmenfirewalls zu finden und sich mit Brute-Force einzuhacken.
NLA (Network Level Authentication)
NLA erzwingt, dass der Benutzer sich vor dem Aufbau der grafischen Sitzung authentifiziert. Ohne NLA wird zuerst der Windows-Anmeldebildschirm gerendert und übertragen – das kostet Ressourcen und ist ein Angriffspunkt.
NLA prüfen und aktivieren:
# Aktuellen Wert lesen (1 = NLA aktiv)
Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
-Name UserAuthentication | Select-Object UserAuthentication
NLA ist auf Windows 10/11 und Windows Server 2016+ standardmässig aktiv. Deaktiviere es nur, wenn ältere Clients (z.B. Windows XP, alte Linux-RDP-Clients) sich verbinden müssen – und stell es danach sofort wieder an.
Sicherheits-Checkliste für RDP im KMU
| Massnahme | Warum |
|---|---|
| NLA aktiviert | Authentifizierung vor Sitzungsaufbau |
| Starke Passwörter auf allen RDP-Konten | Brute-Force-Schutz |
| RDP-Zugang nur für notwendige User | Least Privilege |
| Zugang nur via VPN oder RD-Gateway | Kein direkter Internetzugang |
| Firewall blockiert 3389 extern | Angriffsfläche minimieren |
| Windows Updates aktuell | RDP-Sicherheitslücken (z.B. BlueKeep 2019) patchen |
| Konto-Sperrung nach Fehlversuchen (GPO) | Brute-Force abbremsen |
| Logging aktivieren (Event ID 4624/4625) | Verbindungsversuche nachvollziehen |
RDP sicher von aussen: VPN vs. RD-Gateway
Es gibt zwei saubere Wege, RDP über das Internet zu nutzen:
Option A: VPN + RDP (empfohlen für kleinere KMUs)
Der User baut zuerst eine VPN-Verbindung zum Firmennetz auf (z.B. mit WireGuard, OpenVPN oder Windows Built-in VPN). Danach verhält sich RDP genauso wie im lokalen Netz. Kein Port auf dem Router öffnen, kein spezieller Server nötig.
Mehr dazu auf der Seite VPN – Grundlagen.
Option B: RD-Gateway (Remote Desktop Gateway)
Ein RD-Gateway ist ein Windows Server, der als Proxy zwischen Internet und internen RDP-Hosts sitzt. Clients verbinden sich per HTTPS (Port 443) zum Gateway – der Gateway leitet die Verbindung intern weiter.
Vorteile:
- Kein VPN-Client nötig auf dem Endgerät
- Zugriff mit normalem mstsc möglich (
/g:rdgateway.firma.ch) - Zentrales Logging aller Verbindungen
- Connection Authorization Policies (CAP) und Resource Authorization Policies (RAP) steuern genau, wer auf was zugreifen darf
Voraussetzung: Windows Server mit der Rolle Remote Desktop Services → RD Gateway. Dazu ein gültiges SSL-Zertifikat (Let’s Encrypt geht, oder ein internes CA-Zertifikat).
# RD-Gateway-Rolle auf Windows Server installieren
Install-WindowsFeature RDS-Gateway -IncludeManagementTools
Mehrere Sitzungen auf Windows Server
Auf einem normalen Windows 10/11 PC lässt RDP standardmässig nur eine gleichzeitige Sitzung zu. Meldet sich jemand per RDP an und der lokale User war eingeloggt, wird dieser abgemeldet.
Windows Server verhält sich anders: Mit einer RDS-CAL (Client Access License) können mehrere User gleichzeitig per RDP arbeiten. Das ist der normale Server-Betrieb in KMUs – z.B. wenn 10 User gleichzeitig auf einem Terminal Server arbeiten.
# Aktive RDP-Sessions auf einem Server anzeigen
query session /server:SERVER01
# Session trennen (ohne Abmeldung)
tsdiscon 2 /server:SERVER01
# Session zwangsweise beenden
logoff 2 /server:SERVER01
Troubleshooting: Häufige Probleme
Verbindung wird abgelehnt (Fehler: „Verbindung nicht möglich”)
# 1. Ist RDP aktiv?
Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections
# 0 = aktiv, 1 = deaktiviert
# 2. Lauscht der RDP-Dienst auf Port 3389?
netstat -ano | findstr ":3389"
# oder PowerShell:
Test-NetConnection -ComputerName 192.168.1.100 -Port 3389
# 3. Firewall-Regel aktiv?
Get-NetFirewallRule -DisplayGroup "Remote Desktop" | Select DisplayName, Enabled
Häufige Fehlerursachen im Überblick
| Symptom | Wahrscheinliche Ursache | Lösung |
|---|---|---|
| „Verbindung konnte nicht hergestellt werden” | RDP deaktiviert oder Firewall blockt | RDP aktivieren, Firewall-Regel prüfen |
| „Sicherheitszertifikat nicht verifizierbar” | Selbstsigniertes Zertifikat | Zertifikat einmalig bestätigen oder korrektes Cert hinterlegen |
| „Anmeldeinformationen funktionieren nicht” | Falsche Credentials, NLA aktiv, Konto gesperrt | Passwort prüfen, net user USERNAME /domain |
| Schwarzer Bildschirm nach Login | GPU-Treiberproblem, Gruppenrichtlinie | RDP-Session in Grundauflösung versuchen (/w:800 /h:600) |
| Sehr langsame Verbindung | Netzwerklatenz, zu hohe Farbtiefe | Verbindungsqualität in mstsc-Optionen reduzieren |
| Sitzung friert ein / trennt sich | MTU-Problem, VPN-Timeout | MTU auf 1400 setzen, Keepalive konfigurieren |
| „Zu viele Verbindungen” (Server) | RDS-CAL-Limit oder Session-Limit | query session prüfen, ggf. alte Sessions beenden |
Diagnosebefehle
# RDP-Dienst (TermService) prüfen und neu starten
Get-Service TermService | Select Name, Status, StartType
Restart-Service TermService
# Event Log nach RDP-Fehlern durchsuchen (Event IDs 1149, 4624, 4625)
Get-WinEvent -LogName "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" `
-MaxEvents 20 | Select TimeCreated, Id, Message
# Wer ist aktuell eingeloggt?
query user
RDP-Port geändert – und jetzt?
Manchmal findet man Systeme, bei denen der RDP-Port auf einen anderen Wert geändert wurde (Security through Obscurity – kein guter Ersatz für echte Sicherheit, aber manchmal vorgefunden).
# Aktuellen RDP-Port auslesen
Get-ItemProperty 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
-Name PortNumber | Select-Object PortNumber
Wenn der Port geändert ist, musst du ihn beim Verbinden explizit angeben: mstsc /v:192.168.1.100:3390.
Alternativen zu RDP
RDP ist nicht immer die beste Wahl. Hier ein Überblick:
| Tool | Beste für | Besonderheit |
|---|---|---|
| mstsc (RDP) | Windows → Windows, Server-Admin | Integriert, kein Abo, schnell im LAN |
| TeamViewer | Externer Support, NAT-Durchquerung | Kein VPN nötig, kostenpflichtig für Firmen |
| AnyDesk | Externer Support, leichtgewichtig | Günstiger als TeamViewer |
| Windows Admin Center | Windows Server Management | Browser-basiert, modernes Interface |
| SSH | Linux-Server, headless Windows | Nur Kommandozeile, sehr sicher |
| Intune / MEM | Flächendeckende Endpoint-Verwaltung | Mehr als Remote-Control, MDM-Ansatz |
Moderner RDP-Client von Microsoft – ersetzt den alten mstsc auf neuen Windows-Versionen und ist auch fuer macOS/iOS/Android verfuegbar.
apps.microsoft.com
Weiterlernen
- Aktivieren von Remotedesktop auf Ihrem PC – Microsoft Learn
- mstsc-Befehlsreferenz – Microsoft Learn
- RD-Gateway-Rolle bereitstellen – Microsoft Learn
- Unterstützte RDP-Dateieigenschaften – Microsoft Learn
- 10 Tipps zur Absicherung von RDP-Verbindungen – Computer Weekly
- RDP-Verbindungen unter Windows richtig schuetzen – Computer Weekly
Verwandte Seiten:
- VPN – Grundlagen – RDP sicher von aussen via VPN-Tunnel
- GPO – Grundlagen – RDP-Zugriff und Einstellungen per Gruppenrichtlinie steuern
- AD – User & Gruppen – Remotedesktopbenutzer-Gruppe im AD verwalten
- IT-Security Grundlagen KMU – Warum RDP direkt im Internet keine Option ist
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …