Azure ARM VM 配置管理系列（PART 1）

我们推荐利用站点到站点***或点到站点***进行远程访问端口访问管理（RDP，SQL主机等）。或配置网络安全组，划分DMZ区域

另外一种方法是将默认端口更改为更大范围的端口。这不是很好的安全性，因为该端口仍然完全暴露在互联网中，但是比直接使用3389更好。

以下过程将更新RDP端口，创建入站Windows防火墙规则并更新Azure网络安全组（NSG）。

注意：与任何更改一样，在生产中执行此更改之前，请确保您完全了解要进行的更改内容，并且有回滚计划。

Windows注册表和防火墙更改的 #PS代码：

# Write-host "What Port would you like to set for RDP: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host

 

#  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort

 

New-NetFirewallRule -DisplayName "RDP HighPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow Write-host "port number is $RDPPORT" -ForegroundColor MagentaWrite-host "Launch RDP with IP:$RDPORT or cmdline MSTSC /V [ip]:$RDPORT"

操作步骤：

＃使用Powershell 更新VM端口

1. 管理员运行Powershell命令行

2. 粘贴命令行，输入VM主机将要使用的高端端口

3.配置Windows防火墙策略

RDP和Windows防火墙 使用新端口进行了配置更新

4. 重新启动VM主机

＃通过GUI图形界面更新网络安全组（NSG）。

1.选择修改VM主机，点击网络接口名称

2.网络安全组

3.点击网络组名称

4.选择default-allow-rdp

5.点击高级

6.更新端口范围选择我们需要自定义的端口。

7. 单击对话框外，“保存”

8. 等待NSG更新，可以通过Powershell TNC确认端口正在侦听：{ TNC IPAddress -Port PORT}  确认为true。

启动RDP，输入{IPAddress：Port}，验证配置新高位端口访问