Azure ARM 配置管理系列（PART 1）

将Azure Windows ARM VM上的默认RDP端口（3389）更改为高范围端口

我们推荐利用站点到站点VPN或点到站点VPN进行管理端口访问（RDP，SQL主机等）。或配置网络安全组，划分DMZ区域

另外一种方法是将默认端口更改为更大范围的端口。这不是很好的安全性，因为该端口仍然完全暴露在互联网中，但是比直接使用3389更好。

以下过程将更新RDP端口，创建入站Windows防火墙规则并更新Azure网络安全组（NSG）。

注意：与任何更改一样，在生产中执行此更改之前，请确保您完全了解要进行的更改内容，并且有回滚计划。

Windows注册表和防火墙更改的#PS代码：

<P>
<P># Paste this line firstWrite-host "What Port would you like to set for RDP: " 
-ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host # Paste these two lines 
nextSet-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal 
Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPortNew-NetFirewallRule 
-DisplayName "RDP HighPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP 
-Action Allow Write-host "port number is $RDPPORT" -ForegroundColor 
MagentaWrite-host "Launch RDP with IP:$RDPORT or cmdline MSTSC /V 
[ip]:$RDPORT"</P>

程序

＃使用Powershell 更新VM端口

1. 管理员运行Powershell命令行

2. 粘贴命令行，输入VM主机将要使用的高端端口

3.配置Windows防火墙策略

RDP和Windows防火墙 使用新端口进行了配置更新

4. 重新启动VM主机

＃通过GUI图形界面更新网络安全组（NSG）。

1.选择修改VM主机，点击网络接口名称

2.网络安全组

3.点击网络组名称

4.选择default-allow-rdp

5.点击高级

6.更新端口范围选择我们需要自定义的端口。

7. 单击对话框外，“保存”

8. 等待NSG更新，可以通过Powershell TNC确认端口正在侦听：{ TNC IPAddress -Port PORT}  确认为true。

启动RDP，输入{IPAddress：Port}，验证配置新高位端口访问