Remotedesktop So funktioniert die Fernsteuerung für Windows 10

Per Remotedesktop-Verbindung kann man Windows-Software auch auf Tablet, Mac und anderen Rechnern nutzen. Das Computermagazin "c't" erklärt, wie das geht.
Von Jan Mahn
PC-Nutzer (Symbolbild)

PC-Nutzer (Symbolbild)

Foto: ct

Die sogenannte Remotedesktopverbindung über das Remote Desktop Protocol (RDP) gibt es in Windows schon seit Windows XP. Die Software zeigt dem Nutzer die grafische Oberfläche eines entfernten PC auf seinem Gerät so an, als säße er direkt davor.

In diesem Artikel geht es um die Grundlagen und Möglichkeiten dieser Technik, die Windows 10 Professional, Enterprise und Education mitbringen. Nutzer der Home-Version bleiben außen vor, das Feature zum Freigeben einer Remotedesktopverbindung fehlt in ihrer Version. Sie können aber von Windows Home aus auf andere Rechner zugreifen.

Der Windows-PC auf dem iPad

Szenarien für Remote-Zugriffe auf einen Windows-Desktop gibt es viele: Nicht zu unterschätzen ist zunächst der Komfortgewinn, mit dem Notebook, Android-Tablet, iPad oder einem Mac an Windows-Anwendungen in der gewohnten Umgebung des Desktop-PCs mit allen Dateien weiterarbeiten zu können - auf dem Sofa oder auf Dienstreise.

Entwickler können zum Beispiel ein System mit ihrer Sammlung an virtuellen Maschinen für den Fernzugriff freigeben und haben so mit einem Billig-Notebook auch unterwegs Zugriff auf die volle Leistung ihrer Workstation.

Ein Programm für mehrere Nutzer

Wer zu Hause oder in einem kleinen Büro eine Software mit mehreren Nutzern einsetzen möchte, für die es keine brauch- oder bezahlbare Mehrbenutzer-Ausgabe gibt, kann sich mit einem Remotedesktop-PC helfen: Man spart sich das undankbare Gefummel mit Datenbankdateien auf Netzlaufwerken, auf die mehrere Nutzer zugreifen können - eine Idee, die früher oder später meist zu Datenverlust führt - und installiert das Programm einmalig auf einer per RDP erreichbaren Maschine.

Beliebte Programmkategorien für dieses Szenario sind Buchhaltungsprogramme, Adressdatenbanken oder Vereinsverwaltungen. Gibt es nur einen Benutzeraccount, den alle nutzen, können sich die Kollegen oder Verwandten zwar gegenseitig aus dem Programm werfen, aber nicht versehentlich die Daten des anderen überschreiben.

Wer von unterwegs auf einen Windows-Rechner zugreifen möchte, kann ein VPN ins lokale Netz einrichten und sich mobil zum Beispiel über das Tablet verbinden. RDP kommt auch mit kleineren Bandbreiten gut zurecht und funktioniert über eine LTE-Verbindung meist ruckelfrei. Eine Portfreigabe im Router von Port 3389 (der Port für RDP) auf den PC empfiehlt Microsoft aus Sicherheitsgründen nicht. Eine Ein-Klick-Lösung für den Aufbau einer VPN-Verbindung mit Aufbau einer Remotedesktopverbindung in einem Rutsch haben wir in der "c't" bereits vorgestellt .

Zum Spielen, für Video-Streaming oder Videoschnitt ist das Protokoll RDP definitiv nicht gemacht - passende Lösungen, die hardwarebeschleunigte Techniken einsetzen, haben wir in der letzten Ausgabe von c't vorgestellt .

Bitte nicht verwechseln

RDP wird oft mit VNC oder TeamViewer durcheinander gebracht, die ebenfalls Fernzugriffe auf einen Rechner erlauben. Das Funktionsprinzip ist aber ein anderes: Solche Sitzungen spiegeln den Inhalt einer aktiven Benutzersitzung über das Netzwerk und empfangen die Maus- und Tastaturbefehle des entfernten Benutzers. Ist an den gespiegelten Rechner ein Bildschirm angeschlossen, bewegt sich der Mauszeiger wie von Geisterhand. Der Administrator kann so zum Beispiel ein Programm aus der Ferne installieren und nebenbei mit dem Nutzer telefonieren und ihm Bedienschritte erklären.

Eine RDP-Verbindung trennt üblicherweise die lokale Sitzung, sobald sich ein Benutzer aus der Ferne anmeldet, denn dasselbe Benutzerkonto kann auf einer Windows-Maschine immer nur eine Sitzung haben - entweder lokal oder remote. Greift man mit dem gerade angemeldeten Benutzerkonto aus der Ferne zu, bekommt man den letzten lokalen Zustand auf den Schirm - also alle geöffneten Programmfenster - und kann nahtlos weiterarbeiten.

Windows 10 erlaubt außerdem immer nur eine Benutzersitzung. Meldet man sich per RDP mit einem anderen als dem gerade angemeldeten Konto an, wird eine neue Benutzersitzung gestartet und der lokale Nutzer sieht den Anmeldeschirm. Aktiviert wird der Remote-Zugriff über die klassische Systemsteuerung (control.exe). Im Menüpunkt "System" (am schnellsten zu erreichen, wenn Sie Windows und Pause drücken) finden Sie links "Remoteeinstellungen". Der Weg über die moderne "Einstellungen"-App von Windows 10 ist dagegen ernüchternd. Hier fehlen - wie so oft in dieser Oberfläche - wesentliche Optionen.

Im Remotedesktop-Client (mstsc.exe) gibt man die IP-Adresse oder den Computernamen an und startet die Verbindung

Im Remotedesktop-Client (mstsc.exe) gibt man die IP-Adresse oder den Computernamen an und startet die Verbindung

Foto: ct

Die einzige Möglichkeit, über RDP eine gespiegelte Sitzung wie mit VNC zu sehen, ist die Windows-Funktion Remoteunterstützung. Wenn Sie die diese aktiviert haben, kann der Hilfesuchende das Programm "msra.exe" ausführen (die Windows-Suche findet es nicht zuverlässig), eine sogenannte Einladungsdatei erstellen, diese per Mail an denjenigen verschicken, der die Unterstützung anbietet. Auf der Gegenseite kann der Helfer die Einladungsdatei mit msra.exe öffnen und sich verbinden. Wirklich endanwendersicher ist das nicht, Programme wie TeamViewer funktionieren wesentlich intuitiver .

Auf den Schirm

Clients für RDP gibt es nicht nur für Windows, sondern für fast alle Betriebssysteme. Das Schöne an allen ist: Hat man das Grundprinzip unter Windows einmal verstanden, sind die Pendants für die anderen Betriebssysteme selbsterklärend. Für macOS bietet Microsoft sogar selbst einen Client im App-Store an, Linux-Nutzer setzen auf rdesktop oder FreeRDP.

Aber auch Handy- und Tablet-Nutzer können sich per RDP mit Windows-Rechnern verbinden. Für iOS und Android bietet Microsoft kostenlose Apps an. Sie haben standardmäßig einen ungewöhnlichen, aber sehr funktionalen Mausmodus: Der gesamte Touch-Bildschirm funktioniert wie das Trackpad eines Notebooks. Man bewegt also die Maus an die richtige Stelle und tippt dann irgendwo auf das Display, anstatt zu versuchen, auf einem zu kleinen Bildschirm noch kleinere Bedienelemente zu treffen, die nicht für den Touch-Einsatz gemacht sind.

Für die ersten Experimente mit der Remotedesktopverbindung reichen zwei Windows-PC im lokalen Netzwerk. Schalten Sie im Systemsteuerungs-Menü Verbindungen mit diesem Computer zulassen ein. Den Haken vor Verbindungen nur von Computern zulassen, auf denen sollten Sie aktiviert lassen. Die Einstellung stellt sicher, dass der Nutzer nicht gleich den Windows-Anmeldebildschirm zu Gesicht bekommt, sondern schon vorher Benutzername und Kennwort eingeben muss. Wer über einen Linux-Client zugreifen will, muss den Haken entfernen. Dem Client fehlen Bibliotheken, um diese Art der Anmeldung durchzuführen. Das interaktive Verfahren über den Anmeldebildschirm kostet etwas mehr Ressourcen - im lokalen Netz ist das zu verschmerzen.

Spätestens jetzt müssen Sie ein Kennwort für alle lokalen Konten vergeben, die sich anmelden sollen. Aber nicht alle Benutzerkonten dürfen sich automatisch aus der Ferne anmelden. Dieses Recht haben standardmäßig nur Mitglieder der Gruppen "Administratoren" und "Remotedesktopbenutzer". Um hier Benutzer hinzuzufügen, öffnen Sie die Computerverwaltung (compmgmt.msc) - die moderne Einstellungen-App ist mal wieder ungeeignet. Links im Menübaum unter System/Lokale Benutzer und Gruppen/Gruppen finden Sie die lokalen Gruppen und können mit einem Doppelklick Mitglieder hinzufügen.

Die Remotedesktopverbindung wird in der Systemsteuerung aktiviert

Die Remotedesktopverbindung wird in der Systemsteuerung aktiviert

Foto: ct

Starten Sie nun auf dem zweiten PC im lokalen Netz den Remotedesktop-Client (mstsc.exe). Die Programme und Apps für andere Betriebssysteme funktionieren sehr ähnlich. Im Feld "Computer" geben Sie die IP-Adresse oder den in der Systemsteuerung vergebenen "Computernamen" des anderen Computers an. Das Kennwort können Sie speichern lassen oder bei jedem Verbindungsaufbau eintippen. Nach einem Klick auf "Verbinden" erscheint eine Zertifikats-Fehlermeldung - die Gegenstelle weist sich mit einem selbst ausgestellten Zertifikat aus, das auf dem Client nicht als vertrauenswürdig bekannt ist.

Für den Heimgebrauch im lokalen Netzwerk können Sie damit leben und die Meldung wegklicken. Administratoren, die damit nicht leben möchten, können auf der Gegenstelle die Zertifikatsverwaltung öffnen (certlm.msc), unter Remotedesktop/Zertifikate das Zertifikat exportieren und dem Client unter Vertrauenswürdige Geräte hinzufügen.

Anpassen

Für alle Nutzer lohnt ein Blick in die erweiterten Einstellungen des Remotedesktop-Clients (versteckt hinter Optionen einblenden). Hier kann man zum Beispiel Ton, lokale Drucker und die Zwischenablage umleiten. Die Zwischenablage funktioniert vollwertig, es lassen sich also sogar Dateien und Ordner kopieren.

Unter Lokale Ressourcen/Weitere versteckt sich ein Dialog, um lokale Laufwerke in der Remote-Sitzung verfügbar zu machen. Für Nutzer mit mehreren Bildschirmen kann es nützlich sein, unter Anzeige alle Monitore für die Sitzung zu nutzen. Damit Sie all diese Einstellungen nicht vor jeder Verbindung erneut zusammenklicken müssen, gibt es im Reiter Allgemein Schaltflächen zum Exportieren.

Mit Speichern unter erzeugen Sie eine rdp-Datei, die Sie zum Beispiel auf dem Desktop für den schnellen Zugriff ablegen können: Mit einem Doppelklick darauf öffnet sich die Sitzung. Sollten Sie sich dafür entschieden haben, Benutzername und Kennwort zu speichern, landen diese Informationen nicht in der Verbindungsdatei, sondern im Speicher für Anmeldeinformationen von Windows. Ein einmal dort abgespeichertes falsches Kennwort kann später lästig werden. Den Dialog zum Löschen finden Sie über den Suchbegriff Anmeldeinformationsverwaltung in der Windows-Suche.

Nur Mitglieder der Gruppen "Administratoren" und "Remotedesktopbenutzer" dürfen eine Verbindung herstellen.

Nur Mitglieder der Gruppen "Administratoren" und "Remotedesktopbenutzer" dürfen eine Verbindung herstellen.

Foto: ct

Standardmäßig wirkt die Windows-Taste in der Remote-Sitzung, wenn das Fenster im Vollbild aktiv ist und Sie sehen nicht das Startmenü des darunterliegenden PC. Wenn Sie das nicht möchten, finden Sie die Option zum Abschalten im Reiter Lokale Ressourcen.

Grenzerfahrung

Soll mehr als ein Nutzer zur Zeit auf eine Windows-Maschine zugreifen, kommt ein Desktop-Windows an seine Grenzen. Gleichzeitige Sitzungen unterstützt nur Windows Server mit der Rolle "Remote Desktop Services" und einer entsprechenden Lizenzierung.

Diese Grenze ist von Microsoft aber künstlich eingezogen und nicht technisch begründet. Das beweisen Projekte wie die Open-Source-Software rdpwrap . Das Programm führt die Systemdatei "termsrv.dll" mehrfach mit unterschiedlichen Parametern aus und erlaubt so bis zu 15 gleichzeitige Sitzungen mit Windows 10. Dieser Trick verstößt bei produktivem Einsatz gegen die Lizenzbestimmungen von Microsoft - mit Support darf man nicht rechnen, wenn man ihn aus Neugier in einer Testumgebung ausprobiert.