为 Windows Server 2012 R2 环境
重命名Administrator
运行 gpedit.msc,在【计算机配置→window设置→安全设置→本地策略→安全选项:重命名系统管理员账号】,将默认的Administrator更改,避免被网络探测尝试登录。
远程桌面端口修改
如果安装OpenSSH-WIN64,跳过这一步,因为不需要开放公网端口。
启动注册表编辑器regedit.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp以上两位置都有字符串 PortNumber,值以十进制的3389改为13389。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules以上两位置,都有4个字符串
{79E6F83C-DD64-41B3-B441-A51A3D08871F}
{CEF91FAE-334E-4D6D-B6B4-798329F25ACF}
RemoteDesktop-UserMode-In-TCP
RemoteDesktop-UserMode-In-UDP 值中包含|LPort=3389|,改为|LPort=13389|。
改完成之后,在”高级防火墙”的配置中可看到端口已修改。
防火墙配置:Windows与云服务器安全组
配置时,要注意先后顺序:先配置服务器安全组,再配置Windows防火墙,后启用Windows防火墙。
需要是启用状态
搭配SSH服务之后的配置:利用SSH隧道访问RDP与DB
利用SSH隧道访问RDP与DB,是以localhost地址,所以Windows防火墙里,也不需要开放对应端口。
域名解析与邮箱
- 邮箱一般有免费的,按照要求对应的域名解析记录,配置使用就是了。
- 提前准备一个noreply@xxx.xxx邮箱,开启SMTP,用于后面应用自动发送邮件。
- 在域名管理中,配置其他应用的解析记录。
- 为了解决垃圾邮件,SPF、DMARC、DKIM变为必配置项了。
发表回复