Remote desktop: extern bureaublad voor Windows 10

Het op afstand besturen van een Windows-pc via remote toegang is zeker niet alleen handig voor een beheerder. Je kunt op die manier op je tablet ook software gebruiken die op je pc staat. Dat kan thuis op de bank, maar kan ook als je onderweg bent. We laten zien hoe je Extern bureaublad en het Remote Desktop Protocol (RDP) instelt en gebruikt.

De externe toegang via het Remote Desktop Protocol (RDP) zit al sinds Windows XP in Windows gebouwd. Via RDP krijg je de grafische interface te zien alsof het om een gewone lokale sessie gaat. In dit artikel gaan we in op de basis en de mogelijkheden in Windows 10 Professional, Enterprise en Education. Home-gebruikers hebben helaas geen optie om hun eigen pc op deze manier toegankelijk te maken, maar ze kunnen wel verbinding maken met een andere pc. Op het inrichten van een Terminal-server voor meerdere gebruikers gaan we een andere keer in.

Er zijn allerlei scenario’s waarom je remote toegang tot een Windows-pc wilt hebben. Het is gewoon ontzettend praktisch om echte Windows-toepassingen te kunnen gebruiken met je gebruikelijke instellingen, maar dan op een notebook, Android- of iOS-tablet of een Mac, en dan zowel op de bank thuis als tijdens een zakenreis.

Ontwikkelaars kunnen hun systeem met een verzameling virtuele machines bijvoorbeeld remote toegankelijk maken en hebben dan onderweg op een eenvoudig notebook de beschikking over alle mogelijkheden van hun workstation.

Als je thuis of op een klein kantoor bepaalde software wilt gebruiken waar geen goede of betaalbare multi-user-versie van is, kun je ook je voordeel doen met een remote-desktop-pc. Je hoeft dan niet te rommelen met databasebestanden in netwerkmappen die door meerdere gebruikers worden benaderd. Dat leidt vroeg of laat sowieso altijd tot gegevensverlies. Installeer de software eenvoudigweg op een pc die via RDP toegankelijk is. Populaire programma’s voor dat scenario zijn boekhoudprogramma’s, database­systemen en bijvoorbeeld de administratie van je voetbalclub. Met een enkel gebruikersaccount voor alle gebruikers kunnen collega’s en familieleden hooguit elkaar uit het programma gooien, maar de data van anderen niet per ongeluk overschrijven.

Als je van buitenaf toegang wilt krijgen tot een Windows-pc, kun je een VPN opzetten voor het lokale netwerk en dan bijvoorbeeld mobiel met een tablet inloggen. RDP kan ook toe met weinig bandbreedte en werkt via een 4G-verbinding meestal probleemloos. Omwille van de veiligheid raadt Microsoft niet aan om een port-forward op de router in te stellen (poort 3389 voor RDP). Je kunt eventueel met een enkele muisklik een VPN-verbinding en een remote-desktopverbinding tot stand brengen. Voor games, videostreaming en het bewerken van films is het RDP-protocol overigens niet ontworpen, maar daar zijn andere oplossingen voor, zoals clouddiensten.

RDP wordt wel eens verward met VNC of TeamViewer, waarmee een pc ook op afstand bestuurd kan worden. Maar de werking is heel anders. Bij dergelijke verbindingen wordt de inhoud van een actieve gebruikerssessie via het netwerk gespiegeld, waarbij de muis en toetsenbord­invoer van de externe pc worden ontvangen.

Als het beeldscherm van de lokale pc ingeschakeld is, zie je daarop de muisaanwijzer bewegen alsof die door een geest bestuurd wordt. Beheerders kunnen op die manier bijvoorbeeld software installeren op een externe pc en een gebruiker telefonisch begeleiden bij het zelf uitvoeren van bepaalde stappen.

Bij een RDP-verbinding wordt een lokale sessie normaal gezien beëindigd zodra een gebruiker zich remote aanmeldt. Hetzelfde gebruikersaccount kan op een Windows-pc namelijk maar één enkele sessie hebben, lokaal óf remote. Als je extern inlogt met een gebruikersaccount dat op dat moment nog aangemeld is, krijg je de laatste lokale sessie op je scherm, inclusief alle geopende programma­vensters, en kun je naadloos verder werken.

Windows 10 staat bovendien slechts één enkele gelijktijdige sessie toe. Log je in met een ander account dan op dat moment aangemeld is, dan krijg je een nieuwe sessie. Op de lokale pc is alleen het aanmeldscherm te zien.

Je kunt de RDP-toegang (‘Extern bureaublad’) inschakelen via het klassieke Configuratiescherm (control.exe). Bij het onderdeel Systeem (snel tevoorschijn te halen met de toetscombinatie Windows+Pause) staat links ‘Instellingen voor externe verbindingen’. De route via de moderne Instellingen-app van Windows 10 levert minder op. Daar ontbreken belangrijke opties, zoals wel vaker bij die interface.

De remote-desktopverbinding activeer je bij de Systeemeigenschappen. De Windows-editie moet dan wel Professional of hoger zijn.

De enige mogelijkheid om via RDP een gespiegelde sessie te zien, zoals bij VNC, is met de ingebouwde functie ‘Hulp op afstand’. Als je die geactiveerd hebt, kan een lokale gebruiker het programma msra.exe uitvoeren (de zoekfunctie van Windows vindt dat niet altijd betrouwbaar) en ‘E-mail gebruiken om een uitnodiging te verzenden’.

Die uitnodiging moet dan gestuurd worden naar degene die op afstand hulp wil bieden. De helper kan het uitnodigingsbestand in de bijlage dan weer openen met mrsa.exe en verbinding maken. Echt gebruikersvriendelijk is dat echter niet – andere programma’s zoals bijvoorbeeld TeamViewer werken intuïtiever en hebben we eerder met elkaar vergeleken in het magazine.

Clients voor RDP zijn er niet alleen voor Windows, maar voor bijna elk besturingssysteem. Het mooie daarvan is dat als je eenmaal doorhebt hoe het in Windows werkt, de alternatieven voor andere besturingssystemen eigenlijk voor zich spreken.

Voor macOS biedt Microsoft zelf een client in de App Store, Linux-gebruikers kunnen bijvoorbeeld rdesktop of FreeRDP gebruiken. Maar ook de smartphone- en tablet­gebruikers kunnen via RDP verbinding maken met een Windows-pc. Voor iOS en Android biedt Microsoft zelf gratis apps aan in de desbetreffende app-stores. Die hebben standaard een ongebruikelijke maar erg praktische muismodus: het hele touchscreen werkt als het trackpad van een notebook. Je beweegt de muisaanwijzer dus naar de gewenste positie en tikt dan ergens op het touchscreen, wat makkelijker werkt dan op een klein scherm op nog kleinere bedieningselementen proberen te tikken die niet zijn ontworpen voor touchbediening.

Voor de eerste experimenten met een remote-desktopverbinding heb je genoeg aan twee Windows-pc’s in een lokaal netwerk. Activeer bij de Systeemeigenschappen de optie ‘Externe verbindingen met deze computer toestaan’. Laat het vinkje staan bij ‘Alleen verbindingen toestaan met computers waarop …’.

Die optie zorgt ervoor dat gebruikers niet het aanmeldscherm van Windows te zien krijgen, maar daarvoor al gebruikersnaam en wachtwoord moeten invoeren. Als je wilt inloggen vanaf een Linux-client, moet je dat vinkje wel verwijderen. Bij die clients ontbreken de bibliotheken die nodig zijn voor dat type aanmelding. Interactief inloggen via het aanmeldscherm kost wat meer systeembronnen, maar dat is binnen een lokaal netwerk verwaarloosbaar.

Tot slot moet je ervoor zorgen dat alle gebruikersaccounts die zich mogen aanmelden zijn voorzien van een wachtwoord. Standaard mogen niet zomaar alle gebruikers zich remote aanmelden. Dat recht wordt alleen automatisch toegekend aan leden van de groep Administrators en ‘Externe bureaubladgebruikers’.

Om daar gebruikers aan toe te voegen, open je het Computerbeheer (compmgmt.msc). De moderne Instellingen-app is ook daar niet voor te gebruiken. In de boomstructuur links staan onder ‘Systeemwerkset \ Lokale gebruikers en groepen \ Groepen’ de lokale groepen. Met een dubbelklik kun je daar gebruikers aan toevoegen.

Alleen leden van de groepen Administrators en ‘Externe bureaubladgebruikers’ mogen verbinding maken. Via Computerbeheer voeg je gebruikers toe.

Start op de tweede pc in het lokale netwerk dan de remote-desktopclient (mstsc.exe). De clients en apps voor andere besturingssystemen werken op een vergelijkbare manier en de knoppen en invoervakken hebben soortgelijke namen. Typ in het vak ‘Computer’ het IP-adres of de bij Systeemeigenschappen toegewezen computernaam van het externe systeem in. Het wachtwoord kun je laten bewaren of bij elke keer aanmelden opnieuw invoeren. Klik je op Verbinden, dan zal eerst een certificaatwaarschuwing verschijnen omdat de tegenpartij een eigen certificaat gebruikt dat nog niet als vertrouwd bekend is.

Voor thuisgebruik op het lokale netwerk is dat niet zo’n punt en kun je de melding gewoon wegklikken en aangeven dat die niet meer hoeft te verschijnen. Beheerders die daar niet mee kunnen leven, moeten op het externe systeem het certificaatbeheer openen (certlm.msc) en via ‘Extern bureaublad / Certificaten’ het certificaat exporteren en bij de client importeren bij ‘Vertrouwde apparaten’.

Het is voor iedereen de moeite waard om eens een blik te werpen op de geavanceerde instellingen van de remote-desktopclient (verstopt onder de knop ‘Opties weergeven’. Daar kun je bijvoorbeeld het externe geluid en de lokale printers en het klembord integreren in de remote sessie – die zijn standaard geactiveerd. Het klembord is volledig functioneel, je kunt er zelfs bestanden en mappen mee overzetten. Ga je naar ‘Lokale bronnen / Meer’, dan staan daar nog meer opties, zoals toegang krijgen tot lokale stations tijdens de externe sessie. Voor gebruikers met meerdere schermen kan het interessant zijn om bij Weergave alle beeldschermen te activeren. Om ervoor te zorgen dat je alle instellingen voor een verbinding niet elke keer hoeft aan te passen, kun je de instellingen per verbinding opslaan. Op het tabblad Algemeen staan daar knoppen voor.

In de remote-desktopclient geef je IP-adres of computernaam op en kun je instellingen aanpassen.

Via ‘Opslaan als’ maak je een rdp-bestand aan, dat je bijvoorbeeld op het bureaublad bewaart. Met een dubbelklik start je de verbinding. Als je de gebruikersnaam en het wachtwoord hebt opgeslagen, komen die niet terecht in het bestand maar in Windows’ database voor aanmeldgegevens.

Dat kan lastig zijn als je een verkeerd wachtwoord hebt opgeslagen. Het dialoogvenster om die gegevens te wissen vind je via het dialoogvenster dat je krijgt door te zoeken naar Referentiebeheer.

Standaard kun je bij de remote sessie de Windows-toets alleen gebruiken in volledige-schermweergave, waarbij je niet het startmenu van de client-pc krijgt. Je kunt dat aanpassen op het tabblad ‘Lokale bronnen’ onder ‘Toetsenbord’.

Als je met meer dan één enkele gebruiker tegelijkertijd toegang tot dezelfde Windows-computer wilt regelen, loopt een desktopversie van Windows tegen zijn grenzen aan. Gelijktijdige sessies worden alleen ondersteund door Windows Server met de rol ‘Remote Desktop Services’ en de bijbehorende licenties. Dat is een kunstmatig door Microsoft opgelegde beperking en geen technische limiet.

Dat laten projecten als ‘rdpwrap’ zien, dat bij GitHub wordt ontwikkeld als opensource. Die software voert het systeembestand ‘termsrv.dll’ meermalen uit met verschillende para­meters en biedt zo tot 15 gelijktijdige sessies met Windows 10. Als je dat productief gebruikt is het echter in strijd met de licentievoorwaarden van Microsoft. Je hoeft dus niet op support te rekenen, ook niet als je het uit nieuwsgierigheid uitprobeert in een testomgeving.

(Jan Mahn, c’t magazine)