c't 2/2019
S. 144
Praxis
Remotedesktopverbindung
Aufmacherbild

Ferne Fenster

Remotedesktopverbindung: Der praktische Fernzugriff auf Windows 10

Die Fernsteuerung von Windows-PCs per Remotedesktopverbindung hilft nicht nur Administratoren. Man kann damit zum Beispiel mit dem Tablet die Software auf dem PC nutzen – unterwegs oder auf der Wohnzimmercouch.

Von Jan Mahn

Die Remotedesktopverbindung über das Remote Desktop Protocol (RDP) bringt Windows schon seit Windows XP mit. Über RDP bekommt der Nutzer die grafische Oberfläche wie in einer lokalen Sitzung. In diesem Artikel geht es um die Grundlagen und die Möglichkeiten, die Windows 10 Professional, Enterprise und Education mitbringen. Home-Nutzer bleiben außen vor, das Feature zum Freigeben einer Remotedesktopverbindung fehlt in ihrer Version. Sie können aber mit Home auf andere Rechner zugreifen. Das Einrichten eines Terminalservers für mehrere Benutzer mit Windows Server werden wir in einer der nächsten Ausgaben vorstellen.

Im Alltag

Szenarien für Remote-Zugriffe auf einen Windows-Desktop gibt es viele: Nicht zu unterschätzen ist zunächst der Komfortgewinn, mit dem Notebook, Android- oder iOS-Tablet oder dem Mac an reinen Windows-Anwendungen in der gewohnten Umgebung des Desktop-PCs mit allen Dateien weiterarbeiten zu können – auf dem Sofa oder auf Dienstreise.

Entwickler können zum Beispiel ein System mit ihrer Sammlung an virtuellen Maschinen für den Fernzugriff freigeben und haben so mit einem Billig-Notebook auch unterwegs Zugriff auf die volle Leistung ihrer Workstation.

Wer zu Hause oder in einem kleinen Büro eine Software mit mehreren Nutzern einsetzen möchte, für die es keine brauch- oder bezahlbare Mehrbenutzer-Ausgabe gibt, kann sich mit einem Remotedesktop-PC helfen: Man spart sich das undankbare Gefummel mit Datenbankdateien in Netzlaufwerken, auf die mehrere Nutzer zugreifen können – eine Idee, die früher oder später meist zu Datenverlust führt – und installiert das Programm einmalig auf einer per RDP erreichbaren Maschine. Beliebte Programmkategorien für dieses Szenario sind Buchhaltungsprogramme, Adressdatenbanken oder Vereinsverwaltungen. Gibt es nur einen Benutzeraccount, den alle nutzen, können sich die Kollegen oder Verwandten zwar gegenseitig aus dem Programm werfen, aber nicht versehentlich die Daten des anderen überschreiben.

Wer von unterwegs auf einen Windows-Rechner zugreifen möchte, kann ein VPN ins lokale Netz einrichten und sich mobil zum Beispiel über das Tablet verbinden. RDP kommt auch mit kleineren Bandbreiten gut zurecht und funktioniert über eine LTE-Verbindung meist ruckelfrei. Eine Portfreigabe im Router von Port 3389 (der Port für RDP) auf den PC empfiehlt Microsoft aus Sicherheitsgründen nicht. Eine Ein-Klick-Lösung für den Aufbau einer VPN-Verbindung mit Aufbau einer Remotedesktopverbindung in einem Rutsch haben wir bereits vorgestellt [1].

Zum Spielen, für Video-Streaming oder Videoschnitt ist das Protokoll RDP definitiv nicht gemacht – passende Lösungen, die hardwarebeschleunigte Techniken einsetzen, haben wir in der letzten Ausgabe von c’t vorgestellt [2].

Verwechslungsgefahr

Die Remotedesktopverbindung wird in der Systemsteuerung aktiviert. Eine Windows-Version ab Professional ist dafür erforderlich.

RDP gerät leicht mit VNC oder TeamViewer durcheinander, die ebenfalls Fernzugriffe auf einen Rechner erlauben. Das Funktionsprinzip ist aber ein anderes: Solche Sitzungen spiegeln den Inhalt einer aktiven Benutzersitzung über das Netzwerk und empfangen die Maus- und Tastaturbefehle des entfernten Benutzers. Ist an den gespiegelten Rechner ein Bildschirm angeschlossen, bewegt sich der Mauszeiger wie von Geisterhand. Der Administrator kann so zum Beispiel ein Programm aus der Ferne installieren und nebenbei mit dem Nutzer telefonieren und ihm Bedienschritte erklären.

Eine RDP-Verbindung trennt üblicherweise die lokale Sitzung, sobald sich ein Benutzer aus der Ferne anmeldet, denn dasselbe Benutzerkonto kann auf einer Windows-Maschine immer nur eine Sitzung haben – entweder lokal oder remote. Greift man mit dem gerade angemeldeten Benutzerkonto aus der Ferne zu, bekommt man den letzten lokalen Zustand auf den Schirm – also alle geöffneten Programmfenster – und kann nahtlos weiterarbeiten.

Windows 10 erlaubt außerdem insgesamt nur eine gleichzeitige Benutzersitzung. Nimmt man ein anderes Konto als das gerade angemeldete, bekommt man eine neue Benutzersitzung, der lokale Nutzer sieht den Anmeldeschirm. Aktiviert wird der Remote-Zugriff über die klassische Systemsteuerung (control.exe). Im Menüpunkt „System“ (am schnellsten zu erreichen, wenn Sie Windows+Pause drücken) finden Sie links „Remoteeinstellungen“. Der Weg über die moderne „Einstellungen“-App von Windows 10 ist dagegen ernüchternd. Hier fehlen – wie so oft in dieser Oberfläche – wesentliche Optionen.

Die einzige Möglichkeit, über RDP eine gespiegelte Sitzung wie mit VNC zu sehen, ist die Windows-Funktion Remoteunterstützung. Wenn Sie die diese aktiviert haben, kann der Hilfesuchende das Programm „msra.exe“ ausführen (die Windows-Suche findet es nicht zuverlässig), eine sogenannte Einladungsdatei erstellen, diese per Mail an denjenigen verschicken, der die Unterstützung anbietet. Auf der Gegenseite kann der Helfer die Einladungsdatei mit msra.exe öffnen und sich verbinden. Wirklich endanwendersicher ist das nicht und andere Programme wie TeamViewer funktionieren wesentlich intuitiver [3].

Auf den Schirm

Im Remotedesktop-Client (mstsc.exe) gibt man die IP-Adresse oder den Computernamen an und startet die Verbindung.

Clients für RDP gibt es nicht nur für Windows, sondern für fast alle Betriebssysteme, und das Schöne an allen ist: Haben Sie das Grundprinzip unter Windows einmal verstanden, sind die Pendants für die anderen Betriebssysteme selbsterklärend. Für macOS bietet Microsoft sogar selbst einen Client im App-Store, Linux-Nutzer setzen auf rdesktop oder FreeRDP. Aber auch Handy- und Tablet-Nutzer können sich per RDP mit Windows-Rechnern verbinden. Auch für iOS und Android bringt Microsoft kostenlose Apps in die Stores. Sie haben standardmäßig einen ungewöhnlichen, aber sehr funktionalen Mausmodus: Der gesamte Touch-Bildschirm funktioniert wie das Trackpad eines Notebooks. Man bewegt also die Maus an die richtige Stelle und tippt dann irgendwo auf das Display, anstatt zu versuchen, auf einem zu kleinen Bildschirm noch kleinere Bedienelemente zu treffen, die nicht für den Touch-Einsatz gemacht sind.

Für die ersten Experimente mit der Remotedesktopverbindung reichen zwei Windows-PCs im lokalen Netzwerk. Schalten Sie im Systemsteuerungs-Menü „Verbindungen mit diesem Computer zulassen“ ein. Den Haken vor „Verbindungen nur von Computern zulassen, auf denen …“ sollten Sie aktiviert lassen. Die Einstellung stellt sicher, dass der Nutzer nicht das Bild des Windows-Anmeldeschirms zu Gesicht bekommt, sondern schon vorher Benutzername und Kennwort eingeben muss. Wer über einen Linux-Client zugreifen will, muss den Haken entfernen. Dem Client fehlen Bibliotheken, um diese Art der Anmeldung durchzuführen. Das interaktive Verfahren über den Anmeldebildschirm kostet etwas mehr Ressourcen – im lokalen Netz zu verschmerzen.

Spätestens jetzt müssen Sie ein Kennwort für alle lokalen Konten vergeben, die sich anmelden sollen. Aber nicht alle Benutzerkonten dürfen sich automatisch aus der Ferne anmelden. Dieses Recht haben standardmäßig nur Mitglieder der Gruppen „Administratoren“ und „Remotedesktopbenutzer“. Um hier Benutzer hinzuzufügen, öffnen Sie die Computerverwaltung (compmgmt.msc) – die moderne Einstellungen-App ist mal wieder ungeeignet. Links im Menübaum unter „System/Lokale Benutzer und Gruppen/Gruppen“ finden Sie die lokalen Gruppen und können mit einem Doppelklick Mitglieder hinzufügen.

Starten Sie nun auf dem zweiten PC im lokalen Netz den Remotedesktop-Client (mstsc.exe). Die Programme und Apps für andere Betriebssysteme funktionieren sehr ähnlich, und die Schalter und Eingabefelder heißen ähnlich. Im Feld „Computer“ geben Sie die IP-Adresse oder den in der Systemsteuerung vergebenen „Computernamen“ des anderen Computers an. Das Kennwort können Sie speichern lassen oder bei jedem Verbindungsaufbau eintippen. Nach einem Klick auf „Verbinden“ erscheint eine Zertifikats-Fehlermeldung – die Gegenstelle weist sich mit einem selbstausgestellten Zertifikat aus, das auf dem Client nicht als vertrauenswürdig bekannt ist.

Für den Heimgebrauch im lokalen Netzwerk können Sie damit leben und die Meldung wegklicken und auswählen, dass sie nicht wieder erscheinen soll. Administratoren, die damit nicht leben möchten, können auf der Gegenstelle die Zertifikatsverwaltung öffnen (certlm.msc), unter „Remotedesktop/Zertifikate“ das Zertifikat exportieren und dem Client unter „Vertrauenswürdige Geräte“ hinzufügen.

Anpassen

Nur Mitglieder der Gruppen „Administratoren“ und „Remotedesktopbenutzer“ dürfen eine Verbindung herstellen. In der Computerverwaltung fügen Sie Mitglieder hinzu.

Für alle Nutzer lohnt ein Blick in die erweiterten Einstellungen des Remotedesktop-Clients (versteckt hinter „Optionen einblenden“). Hier kann man zum Beispiel Ton, lokale Drucker und die Zwischenablage umleiten. Die Zwischenablage funktioniert vollwertig, es lassen sich also damit sogar Dateien und Ordner kopieren. Unter „Lokale Ressourcen/Weitere“ versteckt sich ein Dialog, um lokale Laufwerke in der Remote-Sitzung verfügbar zu machen. Für Nutzer mit mehreren Bildschirmen kann es nützlich sein, unter „Anzeige“ alle Monitore für die Sitzung zu nutzen. Damit Sie all diese Einstellungen nicht vor jeder Verbindung erneut zusammenklicken müssen, gibt es im Reiter „Allgemein“ Schaltflächen zum Exportieren. Mit „Speichern unter“ erzeugen Sie eine rdp-Datei, die Sie zum Beispiel auf dem Desktop für den schnellen Zugriff ablegen können: Mit einem Doppelklick darauf öffnet sich die Sitzung. Sollten Sie sich dafür entschieden haben, Benutzername und Kennwort zu speichern, landen diese Informationen nicht in der Verbindungsdatei, sondern im Speicher für Anmeldeinformationen von Windows. Ein einmal dort abgespeichertes falsches Kennwort kann später lästig werden. Den Dialog zum Löschen finden Sie über den Suchbegriff „Anmeldeinformationsverwaltung“ in der Windows-Suche.

Standardmäßig wirkt die Windows-Taste in der Remote-Sitzung, wenn das Fenster im Vollbild aktiv ist und Sie sehen nicht das Startmenü des darunterliegenden PCs. Wenn Sie das nicht möchten,finden Sie die Option zum Abschalten im Reiter „Lokale Ressourcen“.

Grenzerfahrung

Soll mehr als ein Nutzer gleichzeitig auf eine Windows-Maschine zugreifen, kommt ein Desktop-Windows an seine Grenzen. Gleichzeitige Sitzungen unterstützt nur Windows Server mit der Rolle „Remote Desktop Services“ und einer entsprechenden Lizenzierung. Diese Grenze ist von Microsoft aber künstlich eingezogen und nicht technisch begründet. Das beweisen Projekte wie „rdpwrap“, das bei GitHub als Open-Source-Software entwickelt wird (zu finden über ct.de/yc3h). Das Programm führt die Systemdatei „termsrv.dll“ mehrfach mit unterschiedlichen Parametern aus und erlaubt so bis zu 15 gleichzeitige Sitzungen mit Windows 10. Dieser Trick verstößt bei produktivem Einsatz gegen die Lizenzbestimmungen von Microsoft – mit Support darf man nicht rechnen, wenn man ihn aus Neugier in einer Testumgebung ausprobiert. (jam@ct.de)

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen