RDP (Uzak Masaüstü) Bağlantısı, Güvenlik ve Yapılandırma Rehberi

RDP (Uzak Masaüstü) Bağlantısı, Güvenlik ve Yapılandırma Rehberi

Windows sunucu yönetiminin omurgası, çoğu admin için tek bir programdır: mstsc.exe. Onun arkasında Microsoft'un on yıllardır geliştirdiği bir protokol var — Remote Desktop Protocol (RDP). Bu rehber RDP'yi yüzeyde bir "bağlan ve çalış" aracı olarak değil; protokol mimarisi, kanal yapısı, transport katmanı, kimlik doğrulama modeli, lisans rejimi ve güvenlik tarihçesiyle birlikte bütüncül bir altyapı olarak ele alıyor. Hedef kitle: Windows VDS / Windows Server kiralayan ya da yöneten sysadmin'ler.

Konuya hızlıca girmek için: RDP, Microsoft'un sahibi olduğu, Windows işletim sistemlerinde varsayılan gelen, TCP 3389 numaralı port üzerinden çalışan ve RDP 8.0 sürümünden itibaren ek UDP transport seçeneği sunan grafik uzak masaüstü protokolüdür. Linux/macOS istemcileri (Microsoft Remote Desktop, FreeRDP, Remmina, KRDC, rdesktop) bu protokole bağlanabilir; ancak protokolün sahibi ve referans uygulayıcısı Microsoft'tur.

RDP nedir? Tarihçe ve mevcut sürümler

RDP'nin kökü ITU-T T.120 standardına dayanır. Microsoft, T.128 application-sharing protokolünü kendi sunucu işletim sistemine adapte ederek Windows NT 4.0 Terminal Server Edition (1998) ile RDP 4.0'ı yayınladı. O günden bugüne protokol birçok büyük revizyon gördü:

• RDP 5.0 / 5.1 — Windows 2000 Server, Windows XP. Clipboard ve printer redirection geldi.
• RDP 5.2 — Windows Server 2003. Console session (/console ya da /admin flag) tanıtıldı.
• RDP 6.0 — Windows Vista / Server 2008. Network Level Authentication (NLA), font smoothing, 32-bit renk.
• RDP 7.0 / 7.1 — Windows 7 / Server 2008 R2. Aero remoting, bidirectional audio, Easy Print.
• RDP 8.0 — Windows 8 / Server 2012. UDP transport (RemoteFX UDP), H.264/AVC codec, adaptive graphics. Performans sıçraması bu sürümle gelir.
• RDP 8.1 — Windows 8.1 / Server 2012 R2.
• RDP 10.x — Windows 10, Windows 11, Server 2016, 2019, 2022, 2025. H.264/AVC 444, autoreconnect iyileştirmeleri, sürekli bandwidth optimizasyonu.

Sürümü bilmek pratik bir mesele: istemci ve sunucu farklı sürümlerde olduğunda en düşük ortak özellik seti devreye girer; örneğin Windows 7 istemcisinden Server 2022 hedefine bağlanırsanız UDP transport, AVC 444 ve modern güvenlik şifreleyici listesi devre dışı kalır.

RDP vs SSH vs VNC: hangisi ne zaman?

Aynı amaca (uzaktan bir bilgisayara erişim) hizmet ettikleri için üç protokol sık karıştırılır; ama mimari olarak çok farklıdırlar.

RDP (Microsoft, grafiksel, Windows-native): Sunucu, ekran içeriğini bitmap/komut akışı olarak istemciye gönderir. Kontrol seviyesinde değil, çizim primitifleri seviyesinde çalışır; "şu dikdörtgeni çiz, şu yazıtipini render et" gibi. Bu, ağ üzerinden çok daha az veri taşınması anlamına gelir. Windows Server için varsayılan yönetim arayüzü.

SSH (RFC 4251, terminal-tabanlı, çapraz-platform): Karakter akışı taşır; grafik yoktur. CPU ve ağ kullanımı minimum, gecikme toleransı çok yüksek. Linux/Unix sunucu yönetiminin standart yolu. X11 forwarding ile grafik mümkündür ama nadiren pratiktir.

VNC (RFC 6143, framebuffer, çapraz-platform): Sunucu ekran framebuffer'ını piksel piksel istemciye akıtır. Düşük seviyeli ve "saf görüntü" sunar; sistem kurtarma, BIOS seviyesi erişim ve OS-agnostic senaryolarda iyidir. Trafik RDP'den genelde daha ağırdır; çünkü RDP gibi "çizim komutu" yerine ham piksel taşır.

Pratik karar: Windows Server → RDP, Linux Server → SSH, KVM hipervizör konsol / bare-metal kurtarma / OS bağımsız uzak ekran → VNC.

RDP protokol mimarisi: katmanlar ve kanallar

RDP, T.124 (Generic Conference Control) üzerine kurulmuş çoklu kanal (virtual channel) mimarisine sahiptir. Tek bir TCP bağlantısı içinde paralel veri akışları taşınır. Bağlantı kurulurken aşağıdaki katmanlar üst üste yığılır:

1. TCP/UDP transport — TCP 3389 zorunlu, UDP 3389 ek (RDP 8.0+ adaptive transport).
2. TLS / CredSSP — TLS 1.0–1.3 arası (Server 2016+ varsayılan TLS 1.2). CredSSP, NLA için kullanılır.
3. Multipoint Communication Service (MCS) — T.125 tabanlı sanal kanal multiplexer.
4. Security layer — Standard RDP Security veya Enhanced (TLS/CredSSP).
5. Virtual channels — RDPDR (sürücüler), RDPSND (ses), CLIPRDR (clipboard), DRDYNVC (dynamic), RDPGFX (graphics pipeline), RAIL (RemoteApp), TSMF (multimedya).

Bu kanallar bağımsız yönetilebilir. Örneğin Group Policy ile sadece clipboard redirection'ı kapatabilir, printer redirection'ı açık bırakabilirsiniz. RDPGFX (RDP Graphics Pipeline) sürümü, modern istemciler için H.264/AVC, AVC 444 ve YUV 4:4:4 kromatik örnekleme desteğini taşır; bu yüzden tasarım/CAD/video iş yüklerinde 8.0 öncesi RDP istemcileri yerine güncel Windows 10/11 istemci tercih edilmelidir.

Bitmap caching ve glyph caching: RDP, sık tekrar eden grafik elemanlarını (pencere kenarlığı, yazıtipi karakterleri, ikon vb.) istemcide önbellekler. Bu, ağ bant genişliğini ciddi şekilde düşürür. %LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache klasöründe biriken .bin dosyalarını görebilirsiniz.

RemoteFX deprecated: RemoteFX vGPU özelliği Windows Server 2019'da kullanım dışı bırakıldı (CVE-2020-1036 ve diğer hyper-v zaafları nedeniyle). Yerine DDA (Discrete Device Assignment) geliyor; ama bu hyperv VM passthrough'tur, klasik RDP grafik akışı değil. GPU iş yükleri için modern alternatif: AVC 444 + sunucu tarafı GPU + RDP 10 oturumu.

mstsc.exe: Windows istemcisi adım adım

Windows üzerinde mstsc ya da uzun adıyla "Remote Desktop Connection" en yaygın istemcidir. Komut satırı kullanım örnekleri:

mstsc                                  # GUI ac
mstsc /v:192.0.2.10                    # Direkt baglan
mstsc /v:192.0.2.10:3390               # Ozel port
mstsc /admin                           # Console session (Server)
mstsc /multimon                        # Cok ekran
mstsc /w:1920 /h:1080                  # Cozunurluk
mstsc /f                               # Tam ekran
mstsc baglanti.rdp                     # Kaydedilmis profil
mstsc /restrictedAdmin                 # Credential bellege yazmadan
mstsc /remoteGuard                     # Remote Credential Guard

.rdp dosya formatı: Düz metin, anahtar=tip:değer satırlarından oluşur. Örnek:

full address:s:vds01.ornek.tr:3389
username:s:Administrator
domain:s:WORKGROUP
desktopwidth:i:1920
desktopheight:i:1080
session bpp:i:32
audiomode:i:0
redirectclipboard:i:1
redirectprinters:i:0
redirectdrives:i:0
redirectsmartcards:i:0
enablecredsspsupport:i:1
authentication level:i:2
prompt for credentials:i:1
negotiate security layer:i:1
gatewayhostname:s:gw.ornek.tr
gatewayusagemethod:i:1

Bu dosyalar imzalanabilir (RDPSign.exe ile) ve kurumsal dağıtımda kullanılır. İmzalanmamış .rdp dosyalarına Windows uyarı verir; çünkü saldırgan fulladdress kısmına kendi sunucusunu yazıp parolayı çalabilir.

Local Resources sekmesi, kanal trafiğini doğrudan etkiler. Clipboard, printer, drive, smart card ve audio redirection seçenekleri vardır. Drive redirection kullanışlıdır ama yerel diskinizi sunucu tarafından erişilebilir hale getirir; güvenilmeyen sunucularda kapatın. Clipboard redirection ofansif güvenlik araştırmacılarının yaygın hedeflerinden biridir (yapıştırırken hassas içerik sızdırma).

Experience sekmesi, bağlantı hızı kategorisine göre görsel kaliteyi ayarlar. Modern istemcilerde "Auto-detect" varsayılan ve genelde doğru kararı verir; manuel ayar gerekirse LAN, broadband, modem gibi profiller eski tarz görsel ayarları tetikler.

macOS, Linux ve mobil istemciler

macOS: App Store'daki Microsoft Remote Desktop uygulaması resmi ve ücretsizdir. Çoklu PC profili, gateway, RemoteApp ve user account yöneticisi içerir. .rdp dosyalarını içe aktarabilir.

Linux:

# Debian/Ubuntu — Remmina (GUI)
sudo apt install remmina remmina-plugin-rdp freerdp2-x11

# RHEL/CentOS Stream — FreeRDP
sudo dnf install freerdp

# Komut satiri (FreeRDP)
xfreerdp /v:192.0.2.10 /u:Administrator /size:1920x1080 /cert:ignore /clipboard
xfreerdp /v:192.0.2.10 /u:Administrator /f /sound:sys:pulse /microphone /drive:home,/home/kullanici
xfreerdp /v:gw.ornek.tr /u:Administrator /g:gw.ornek.tr /gu:gw_user /gp:gw_pass

FreeRDP, RDP 10 protokol uyumluluğu için en güncel açık kaynak istemcidir; AVC 444, H.264 ve RemoteFX (eski sunucularla geriye uyumluluk için) destekler. KRDC, KDE masaüstü için VNC ve RDP'yi tek arayüzde birleştirir; arka planda yine FreeRDP çalışır. rdesktop projesi artık aktif geliştirilmiyor, modern Windows hedefleri için tercih edilmez.

Android / iOS: Microsoft'un Remote Desktop mobil uygulamaları resmi olarak App Store ve Play Store'da bulunur. Touch jest haritalama, sanal mouse modu, harici klavye desteği ve gateway konfigürasyonu sunarlar; ancak uzun süreli yönetim için fiziksel klavye-mouse bağlı tablet veya laptop tercih edilmelidir.

Sunucu tarafı RDP yapılandırma

Windows Server (veya Windows 10/11 Pro) üzerinde RDP açma adımları:

1. System Properties → Remote: SystemPropertiesRemote.exe ya da Control Panel → System → Remote settings.
2. "Allow remote connections to this computer" seçin.
3. "Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)" kutusunu işaretli bırakın. NLA, kimlik doğrulamayı oturum kurulmadan önce yapar ve kritik bir güvenlik katmanıdır.
4. "Select Users..." → varsayılan olarak Administrators grubuna eklenmiş hesaplar bağlanabilir. Ek kullanıcı için Remote Desktop Users yerel grubuna ekleyin.

PowerShell ile:

# RDP'yi etkinlestir
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0

# NLA'yi zorla
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication -Value 1

# Firewall kuralini ac (yerel ag icin)
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# RDP kullaniciyi gruba ekle
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "kullanici_adi"

Group Policy (gpedit.msc → Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host):

• Connections → Allow users to connect remotely: Enabled
• Security → Require user authentication for remote connections by using Network Level Authentication: Enabled
• Security → Set client connection encryption level: High (128-bit) ya da FIPS Compliant
• Connections → Limit number of connections: Pro sürümlerde 1; RDS rollü sunucularda CAL kapasitesi kadar
• Device and Resource Redirection → Do not allow clipboard redirection: ortam politikasına göre Enabled/Disabled
• Session Time Limits → Set time limit for disconnected sessions / idle sessions: önerilen 1-4 saat arası

Çoklu oturum sınırı: Windows 10 ve 11 Pro yalnızca tek bir RDP oturumuna izin verir; aynı kullanıcı yerelde oturum açmışsa o oturum kilitlenir. Windows Server (Standard / Datacenter), 2 admin oturumuna ek lisans olmadan izin verir; 3 ve fazlası için RDS rolü + RDS CAL gereklidir (bkz. lisans bölümü).

Port 3389'u değiştirmek: doğru yöntem

Default port 3389, internet üzerinde sürekli taranır. Port değiştirme tek başına güvenlik sağlamaz (security through obscurity) ama log gürültüsünü azaltır.

Adımlar:

1. Registry düzenle:

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 49389 /f

(49152–65535 arası "dynamic/private" portlar tercih edilir.)

2. Yeni port için firewall kuralı:

New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -LocalPort 49389 -Protocol TCP -Action Allow

3. Hizmeti yeniden başlat:

Restart-Service TermService -Force

4. İstemciden bağlanırken mstsc /v:sunucu:49389.

Önemli uyarı: Port değiştirmek brute-force botnet trafiğini azaltır ama hedefli saldırıyı engellemez. Asıl koruma VPN / RD Gateway / IP whitelist katmanlarıdır.

Güvenlik: RDP'yi internete açık bırakmak neden tehlikeli?

RDP, 3389 numaralı portu varsayılan internete açık tutan sunucularda en sık brute-force hedefi olan servislerden biridir. Shodan / Censys gibi tarama motorlarında "Microsoft Terminal Services" stringi taratıldığında milyonlarca açık sistem listelenir. Saldırı yüzeyi:

• Credential stuffing: Sızdırılmış parola listeleri otomatik denenir.
• Brute-force: Common username (Administrator, admin, support, user, test, sql) + parola kütüphanesi.
• Protocol exploits: BlueKeep gibi pre-auth RCE'ler.
• Man-in-the-middle: Eski Standard RDP Security ve self-signed sertifika kombinasyonu MITM'e açıktır.

BlueKeep — CVE-2019-0708

14 Mayıs 2019: Microsoft, Windows XP / Vista / 7 / Server 2003 / Server 2008 / 2008 R2 sürümlerini etkileyen kritik bir RDP zaafiyetini açıkladı: CVE-2019-0708, kod adı BlueKeep. Özellikleri:

• Pre-authentication: Saldırgan kimlik doğrulamasız tetikleyebilir.
• Wormable: Solucanlaşma potansiyeli — bir kez ele geçirilen makine ağdaki diğer makineleri otomatik enfekte edebilir (WannaCry / NotPetya benzeri).
• CVSS 9.8 Critical.
• Etki: RCE — saldırgan SYSTEM yetkisinde kod çalıştırır.

Microsoft, out-of-band patch yayınladı (destek dışı XP ve 2003 için bile). NSA ayrıca acil bildirim yayınladı. Eylül 2019'da Metasploit modülü public oldu ve gerçek dünya istismarları başladı. Etkilenen sürümleri hâlâ çalıştıran sistemler 2026 itibarıyla mutlaka yamanmış olmalı veya servisten çıkarılmış olmalıdır.

DejaBlue — CVE-2019-1181 / CVE-2019-1182 (+1222 / 1226)

13 Ağustos 2019: Bu kez Windows 7, 8.1, 10 ve Server 2008 R2 / 2012 / 2012 R2 / 2016 / 2019 etkilenen başka bir RDP zaafiyet seti. "DejaBlue" olarak anıldı; BlueKeep'in modern Windows versiyonu gibi. Aynı şekilde wormable ve pre-auth RCE. Patch yayınlandı; Patch Tuesday döngüsünün dışına çıkmadı.

Genel sıkılaştırma listesi

1. 3389 portunu internete asla açık bırakmayın. Asıl koruma budur.
2. VPN tüneli üzerinden RDP: WireGuard, OpenVPN ya da IKEv2 IPsec ile önce ağ tüneli kurun, sonra RDP 3389 yalnızca tünel arayüzüne bind olsun. (Sprint 56 / ID 222 tünelleme rehberimiz konuyu derinlemesine işliyor.)
3. RD Gateway ile 443/HTTPS üzerinden RDP capsule'la (aşağıda detay).
4. Cloud firewall / IP whitelist: 3389'a sadece izin verilen IP'lerden trafik. Statik IP'niz yoksa dinamik DNS + scripted whitelist update.
5. NLA zorunlu: GPO'dan etkinleştirin.
6. TLS 1.2+ ve High encryption level: Eski TLS sürümlerini ve standard RDP security'i kapatın.
7. Hesap kilitleme politikası: 5 başarısız deneme → 15 dakika kilit (secpol.msc → Account Policies → Account Lockout Policy).
8. Administrator hesabını yeniden adlandırın (defaut "Administrator" yerine az tahmin edilebilir bir ad).
9. MFA / 2FA katmanı: Microsoft Authenticator + AD FS, Duo Security ya da Windows Hello for Business ile uzak masaüstüne ek doğrulama. (Burada protokol bağlamından konuşuyoruz; ürün önerisi değil.)
10. Audit logları: Event Viewer → Windows Logs → Security üzerinde Event ID 4624 (logon success), 4625 (logon failure), 4634 (logoff), 4647 (user-initiated logoff), 4778/4779 (session reconnect/disconnect). Bunları SIEM'e gönderin.
11. Session timeout politikası: Boş oturumları 15-60 dakika sonra disconnect, disconnected oturumları 1-4 saat sonra log off.
12. Patch politikası: Patch Tuesday yamalarını ertelemeyin; özellikle RDP veya CredSSP içeren CVE'leri gördüğünüzde 72 saat içinde uygulayın.

RD Gateway: 443/HTTPS üzerinden RDP

RD Gateway (eski adıyla TS Gateway), RDP trafiğini RPC over HTTPS içine kapsülleyerek 443 portu üzerinden tünelliyor. Avantajları:

• Yalnızca 443 dışa açık; 3389 ağ kenarına asla kapsamaz.
• Curporate firewall ve HTTP proxy'lerle uyumlu (443 zaten açık).
• Per-user / per-resource RAP (Resource Authorization Policy) ve CAP (Connection Authorization Policy) ile granül yetki.
• Smart card ve MFA entegrasyonu mümkün.

Tipik mimari: İnternet → RD Gateway (DMZ, public TLS sertifikası) → İç ağdaki RD Session Host / Windows VDS'ler. İstemci tarafında mstsc → Advanced → Connect from anywhere → Settings → Use these RD Gateway server settings ile gateway hostname girilir; bağlantı 443 üzerinden tünellenir ve içerde 3389'a routelanır.

RD Gateway yapılandırması Server Manager → Add Roles → Remote Desktop Services → RD Gateway ile yapılır. TLS sertifikası public CA imzalı olmalıdır; self-signed sertifika istemcilerde uyarı tetikler.

RemoteApp ve RD Web Access

RemoteApp, uzaktaki bir Windows Server'da çalışan uygulamayı sanki yerel makinede çalışıyormuş gibi penceresinde gösterir. Tam masaüstü vermek yerine sadece tek uygulama yayınlanır (örneğin SAP GUI, AutoCAD lite, eski bir muhasebe yazılımı). Trafik yine RDP üzerinden gider; ancak istemci görüntüde sadece o uygulamayı görür.

Yayınlama: Server Manager → Remote Desktop Services → Collections → RemoteApp Programs → Publish RemoteApp Programs. Yayınlanan uygulama .rdp dosyası veya .msi paketi olarak dağıtılır.

RD Web Access ise tarayıcı tabanlı portal — kullanıcı domain hesabıyla web'e login olur, kendisine yayınlanmış RemoteApp ve masaüstü kaynaklarını görür, tıklayınca RDP istemcisi başlatır.

RD Connection Broker: Çok sunuculu RDS farm'larında oturum yük dengeleme ve oturum yeniden bağlanma yöneticisidir. Kullanıcı dakikalar önce çıktığı oturumu tekrar açtığında aynı host'a yönlendirilir.

RDS lisans modeli: CAL nedir?

Windows Server üzerinde 3 ve fazlası eşzamanlı RDP oturumu kullanmak için Remote Desktop Services Client Access License (RDS CAL) gereklidir. Bu lisans, Windows Server'ın satın alma fiyatına dahil değildir; ayrıca satın alınır.

İki CAL türü:

• Per User CAL: Belirli bir kullanıcıya bağlanır; o kullanıcı kaç cihazdan bağlanırsa bağlansın tek lisans yeterlidir. Mobil çalışan personele uygun.
• Per Device CAL: Belirli bir cihaza bağlanır; o cihazdan birden fazla kullanıcı bağlanırsa hepsi tek lisans paylaşır. Vardiyalı çalışılan ortak iş istasyonları için uygun.

Lisans rejimi pratiği:

• Windows Server Standard ve Datacenter, RDS rolü kurulmadan iki admin RDP oturumuna ücretsiz izin verir. Bu "admin mode" yalnızca yönetim amaçlıdır; üretim multi-user senaryolarda hukuki olarak kullanılamaz.
• 3+ kullanıcı için RD Session Host + RD Licensing rollerini kurmak ve CAL satın almak zorunludur.
• RDS CAL'lar Microsoft Volume Licensing programı (Open, Open Value, EA) veya OEM kanalı üzerinden satılır.
• Lisans grace period: RD Session Host kurulduktan sonra 120 gün boyunca lisans sunucusuna bağlanmadan da çalışır; bu süre sonunda RDS lisans sunucusu yapılandırılmamışsa yeni bağlantılar reddedilir.
• Datacenter Azure Edition gibi özel SKU'lar farklı kurallara tabidir; üretim ortamı için her zaman güncel Microsoft Licensing Brief belgesini kontrol edin.

Lisans satın almadan RDS rolünü kurmak yalnızca evaluation ve proof of concept ortamları içindir.

Buyukweb Windows VDS perspektifi

Buyukweb Windows VDS paketlerinde:

• Lisanslı Windows Server dağıtımı ile teslim edilir; OS lisansı Buyukweb tarafından sağlanır. RDS CAL ürünü ayrı bir lisanstır; bunu kullanıcı kendi Microsoft kanalıyla alır.
• KVM tabanlı sanallaştırma sayesinde web konsoldan RDP servisi kapansa bile sunucuya erişebilirsiniz (acil parola sıfırlama, NLA hata kurtarma).
• NVMe SSD storage, Windows page file ve user profile I/O için belirleyici öneme sahiptir; düşük gecikme, RDP oturumlarında pencere açılma hızını doğrudan etkiler.
• Minimum RAM: Tek RDP kullanıcısı için 4 GB, çoklu kullanıcı için her aktif oturum başına 1-2 GB ek planlayın. Server 2022 / 2025 4 GB minimum ile boot eder ama swap'a düşmeden çalışmaz.
• Cloud firewall: Buyukweb panelinden 3389 portunu sadece kendi IP'nize whitelistleyebilirsiniz; internete açık bırakmak yerine bu özellikle başlayın.
• VPN entegrasyonu: Buyukweb VPN paketleri (1/3/5 bağlantı seçenekleri) ile önce VPN tüneline girip ardından RDP yapmak en güvenli senaryodur. WireGuard ya da OpenVPN topolojinizi kendiniz de kurabilirsiniz; KVM root erişimi engelsizdir.
• Boş oturum politikası: VDS'lerde idle disconnect değerlerini agresif tutmak hem güvenlik hem kaynak tasarrufu sağlar.

İhtiyacınıza göre /vds-sunucu, /fiziksel-dedicated ya da /sunucu-barindirma paketlerinden uygun olanı seçin. Paket karşılaştırma için /paket-karsilastirma sayfası kapsamlı tabloyu sunar.

RDP sorun giderme: yaygın hata kodları

"The remote computer that you are trying to connect to requires Network Level Authentication" — İstemciniz çok eski (XP, Vista) ve NLA gerektiren bir Server 2016+ hedefine bağlanıyorsunuz. Çözüm: istemciyi güncelleyin (Windows 7 SP1 sonrası NLA destekler).

"This computer can't connect to the remote computer" — Genelde RDP servisi durmuş ya da firewall engelliyor. Sunucu tarafında Get-Service TermService ile servis durumunu, Get-NetFirewallRule -DisplayGroup "Remote Desktop" ile firewall'u kontrol edin.

"The function requested is not supported" — CredSSP encryption oracle remediation (CVE-2018-0886) yamasından kaynaklanan istemci-sunucu protokol uyumsuzluğu. Çözüm: hem istemci hem sunucu güncel patch seviyesinde olsun. Geçici çözüm: GPO'dan "Encryption Oracle Remediation" → Vulnerable. Bu geçici çözümü production'da bırakmayın.

"Your credentials did not work" — Yanlış parola, NLA tarafından ön doğrulama başarısız, hesap kilitlenmiş ya da hesap "Remote Desktop Users" grubunda değil. Event Viewer → Security → Event ID 4625 detayları gösterir.

"The connection was denied because the user account is not authorized for remote login" — Kullanıcı "Allow log on through Remote Desktop Services" yetkisine sahip değil. secpol.msc → Local Policies → User Rights Assignment üzerinden ekleyin.

SSL chain / sertifika hatası — RDP sunucusu self-signed sertifika kullanıyor ve istemci güvenmiyor. Geçici çözüm: mstsc → Advanced → "Don't ask me again for connections to this computer" işaretle. Kalıcı çözüm: AD CS üzerinden enterprise CA sertifikası dağıtın ya da public CA imzalı sertifika import edin.

Port çakışması — 3389 portunu başka bir servis (örneğin SQL Server Reporting Services özel bir kurulumda) işgal etmiş olabilir. netstat -ano | findstr :3389 ile çakışan PID'i bulun, tasklist | findstr <PID> ile süreci tespit edin.

Black screen / siyah ekran — Genelde GPU sürücüsü veya display setting sorunudur. mstsc /admin ile console session'a düşerek temel masaüstüne erişin ve sürücü/güncelleme problemini çözün. Server 2019+ display driver crash'leri için Microsoft'un Q&A bilgi tabanını izleyin.

Sıkça Sorulan Sorular

RDP varsayılan port numarası nedir ve nasıl değiştirilir?

RDP varsayılan portu 3389/TCP (RDP 8.0+ ile birlikte 3389/UDP isteğe bağlı). Değiştirmek için HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber registry değerini düzenleyip TermService'i yeniden başlatmanız ve yeni port için firewall kuralı eklemeniz gerekir. Port değiştirmek log gürültüsünü azaltır ama VPN, RD Gateway veya IP whitelist gibi katmanlar olmadan tek başına yeterli koruma değildir.

BlueKeep nedir ve hangi sürümleri etkiledi?

BlueKeep (CVE-2019-0708), 14 Mayıs 2019'da açıklanan ve Windows XP, Vista, 7, Server 2003, 2008 ve 2008 R2 sürümlerindeki RDP servisini etkileyen kritik (CVSS 9.8) bir pre-auth RCE zaafiyetidir. Wormable olduğu için bir makinenin ele geçirilmesi ağdaki diğer makineleri otomatik enfekte edebilirdi. Microsoft, XP ve 2003 dahil destek dışı sürümlere bile out-of-band yama yayınladı. Bu sürümleri 2026 itibarıyla çalıştıran ortamlar yamanmış olmalı veya servisten çıkarılmış olmalıdır.

Windows Server'da kaç eşzamanlı RDP oturumu mümkün?

Windows Server Standard ve Datacenter, RDS rolü kurulmadan iki admin RDP oturumuna ücretsiz izin verir; bu oturumlar yalnızca yönetim amaçlıdır. Üçüncü ve sonraki eşzamanlı oturumlar için Remote Desktop Services rolü + RDS CAL (Per User veya Per Device) lisans gereklidir. Windows 10 ve 11 Pro masaüstü sürümleri yalnızca tek oturuma izin verir; yerel kullanıcı oturum açmışsa RDP bağlandığında o oturum kilitlenir.

NLA (Network Level Authentication) nedir ve neden zorunlu olmalı?

NLA, kimlik doğrulamayı tam RDP oturumu açılmadan bağlantı kurulumu aşamasında yapan bir güvenlik katmanıdır. NLA olmadan, sunucu bağlantı kurar, login ekranını gösterir ve yalnızca o aşamada parola sorar — bu, kimlik doğrulamasız bir TCP/TLS oturumun açılması anlamına gelir ve protokol seviyesi zaafiyetlere (BlueKeep gibi) ek saldırı yüzeyi sağlar. NLA ile parola önce CredSSP üzerinden doğrulanır; başarısızsa oturum hiç başlamaz. Daima açık olmalı.

RD Gateway ile VPN arasında ne fark var?

VPN istemci ile ağ arasında genel amaçlı bir tünel kurar; içinden her tür trafik (RDP, SSH, web, dosya paylaşımı) geçebilir. Genelde 51820/udp (WireGuard), 1194/udp (OpenVPN) veya IPsec portları kullanılır. RD Gateway sadece RDP'ye özeldir; RDP trafiğini RPC-over-HTTPS içine kapsülleyerek 443/tcp üzerinden taşır. Avantajı: kurumsal firewall ve HTTP proxy'lerle uyumludur, ek istemci kurulumu istemez (mstsc içinde gateway alanı vardır), per-resource yetkilendirme sunar. VPN daha esnek ama daha geniş bir ağ erişimi açar; RD Gateway yalnızca uzak masaüstü senaryosunu kapsar.

RDS CAL satın almadan üretimde Windows Server kullanabilir miyim?

Hayır. Üretim ortamında 3 ve daha fazla eşzamanlı RDP oturumu için RDS CAL satın almak Microsoft lisans şartlarınca zorunludur. İki admin oturumu yalnızca yönetim içindir; ofis personelinin günlük çalışma için RDP ile bağlandığı her senaryo CAL gerektirir. 120 günlük grace period yalnızca lisans sunucusunu kurma süresi tanır; aşıldığında yeni bağlantılar protokol seviyesinde reddedilir. Audit veya Microsoft uyum incelemesinde CAL eksikliği para cezasıyla sonuçlanabilir.

Linux istemciden Windows Server'a RDP nasıl yapılır?

En yaygın yol FreeRDP veya GUI tabanlı Remmina kullanmaktır. Komut satırında xfreerdp /v:sunucu_ip /u:Administrator /size:1920x1080 /cert:ignore temel bağlantıyı sağlar; /sound:sys:pulse ile ses, /drive:home,/home/kullanici ile yerel klasör paylaşımı eklenir. RD Gateway arkasındaki sunucu için /g:gateway.host /gu:gateway_user /gp:gateway_password parametreleri kullanılır. KDE masaüstünde KRDC ise FreeRDP'yi grafik arayüzde sarmalar.

---

RDP, Windows sunucu yönetiminin en güçlü ve aynı zamanda en sık kötüye kullanılan protokollerinden biridir. Doğru yapılandırıldığında — NLA zorunlu, VPN veya RD Gateway katmanı, IP whitelist, agresif lockout politikası ve güncel patch seviyesi ile — günlük yönetim aracı olarak güvenle çalışır. Yanlış yapılandırıldığında ise (3389 internete açık, NLA yok, zayıf parola, eski Windows sürümü) sistem kompromisi için en kolay yoldan biridir. BlueKeep tarihçesi bu dengenin neden bu kadar kritik olduğunu hatırlatır.

İlgili Buyukweb Hizmetleri

Windows uzak masaüstü ve sunucu yönetimi senaryoları için:

• VDS Sunucu — KVM tabanlı, Windows Server lisanslı, Administrator yetkisi
• Paket Karşılaştırma — VDS, dedicated ve hosting paketlerinin karşılaştırması
• Fiziksel Dedicated Sunucu — Tam donanım kontrolü
• Sunucu Barındırma (Colocation) — Kendi donanımınız Bursa Tier 3 veri merkezinde
• Nested VDS — Sanallaştırma içinde sanallaştırma
• GPU Sunucu — Görsel iş yükleri için GPU destekli VDS

Teknik sorularınız için 0850 302 60 70 veya iletişim sayfası. Bursa Tier 3 veri merkezi, 17 yıllık altyapı tecrübesi, 7/24 Türkçe destek.