Le bureau à distance
Que vous souhaitiez utiliser le PC de votre bureau le soir ou le week-end depuis chez vous pour terminer un travail (c'est bien !) ou votre PC à la maison depuis votre lieu de travail pour surveiller l'état de vos téléchargements sur eMule (c'est mal !), Windows met votre disposition une application peu connue mais pourtant bien utile : "le bureau à distance". Notez qu'il ne faut pas confondre le bureau à distance avec l'assistance à distance. Si l'assistance à distance permet également de prendre le contrôle d'un autre PC, elle offre d'une part moins d'options, et d'autre part elle laisse voir sur le PC distant toutes vos manipulations. Ainsi quelqu'un regardant l'écran verra la souris bouger, les textes que vous saisissez, etc.. Elle est donc plutôt appropriée pour montrer à quelqu'un comment faire telle ou telle action, d'où son nom "assistance", c'est qu'ils sont forts chez Microsoft quand même… Alors que le bureau à distance permet d'ouvrir réellement une nouvelle session de travail sur le PC distant, mais sans que rien n'y soit visible. Le moniteur du PC distant continuera d'afficher l'écran de login alors que vous serez en train d'y travailler. Vous disposerez de tous les droits attribués au compte avec lequel vous aurez ouvert une session. Cela implique de prendre certaines précautions pour un PC contrôlé par internet, comme nous le verrons plus bas.
Le bureau à distance c'est bien, donc tout le monde n'y aura pas droit
Logique Microsoftienne oblige… Le bureau à distance est en fait composé de deux parties distinctes : un serveur (sur le PC dont vous prenez le contrôle) et un client, aussi nommé terminal (sur le PC qui vous sert à prendre le contrôle). Le client est disponible sur toutes les versions de Windows et également pour Mac. Le serveur n'est disponible que sur les versions de Windows à vocation "pro" :
CLIENTS SERVEURS Seven Famille/Pro/Intégrale Vista Familiale Seven Pro/Intégrale Vista Pro/Intégrale prise de Vista Pro/Intégrale XP Pro =================> Vista/XP Media Center XP Familiale contrôle XP Pro Mac
En clair il est possible d'ouvrir une session à distance depuis n'importe quelle version de Windows ou de Mac, mais on ne peut prendre le contrôle que de PC équipés de Windows version Pro, Intégrale, ou Media Center.
Comment faire ?
La première chose à faire est d'autoriser la prise de contrôle à distance sur le PC qui devra être contrôlé (le "serveur" donc). Pour cela faites un clic droit sur le Poste de travail, puis choisissez "Propriétés" ou "Paramètres systèmes avancés" selon si vous êtes avec XP ou avec Vista/7. Choisissez enfin l'onglet "Utilisation à distance". Vous devriez alors avoir cet écran. Si les clients et le serveur sont tous équipés de Vista/7 vous pouvez choisir la connexion "Bureau à distance avec authentification". Sinon choisissez "ordinateurs exécutant n'importe quelle version de Bureau à distance". Si vous ne savez pas ou s'il y a un problème avec l'authentification faites le deuxième choix, qui fonctionnera toujours. Il faut ensuite vérifier que le Pare-feu du PC serveur ne rejette pas les demandes de prise de contrôle. Si vous utilisez le Pare-feu intégré à Windows cela devrait être fait automatiquement lorsque vous autoriser la prise de contrôle à distance. Pour le vérifier, cliquez sur "Pare-feu Windows" dans le panneau de configuration, puis choisissez l'onglet "Exceptions". Le Bureau à distance devrait être activé.
Si ce n'est pas le cas, comme sur la capture d'écran, cochez le et appliquez les modifications. Si vous utilisez un autre Pare-feu, créez une règle autorisant les entrées sur le port 3389 avec le protocole TCP. Il s'agit du port par défaut. Comme nous le verrons plus bas ce port peut être changé, n'oubliez pas alors de modifier également les règles de votre pare-feu.
Tester le bureau à distance sur le réseau local
Pourquoi tester d'abord sur le réseau local ? Parce que si vous testez directement avec 2 PC distants de 30 km et qu'il y a un problème, cela risque de ne pas être très pratique de le régler… Si vous avez d'autres questions stupides, merci de les garder pour vous.
Sur le réseau local, donc… Installez vous sur un autre PC, le client, et lancez la "Connexion Bureau à distance" (dans le menu "Accessoires"). Saisissez l'adresse IP du PC dont vous voulez prendre le contrôle sans donner le nom d'utilisateur, puis cliquez sur "Connexion". Si tout se passe correctement une nouvelle fenêtre s'ouvira dans laquelle vous verrez l'écran de login du PC distant. Entrez votre nom d'utilisateur et votre mot de passe sur le PC distant et ouvrez la session. Ça y est, vous y êtes connecté. En principe l'affichage du bureau distant devrait être assez "laid" par défaut… Pas de fond d'écran, des polices non lissées, etc. Nous allons voir comment paramétrer cela.
Paramétrer la connexion distante
Dans la fenêtre de connexion à distance que vous venons de voir, plusieurs onglets sont disponibles. Si vous ne les voyez pas, cliquez sur "Options >>" pour les faire apparaître.
Le premier permet d'affiner l'affichage. Rien de bien compliqué à ce niveau, vous pouvez choisir la taille d'affichage du bureau distant et la profondeur des couleurs. Plus vous choisirez des réglages élevés, meilleur sera l'affichage, mais plus la bande passante nécessaire sera importante. Tant que vous restez sur un réseau local cela ne présente pas beaucoup d'importance. Mais si vous utilisez le bureau à distance via internet il faut faire attention à ne pas saturer la bande passante montante du PC distant, sans quoi l'affichage sera saccadé et il sera impossible de travailler dans des conditions satisfaisantes. Faites des essais… L'onglet des ressources locales comporte certaines options très intéressantes. 
Si vous souhaitez entendre les sons émis par l'ordinateur distant, choisissez "Émettre sur cet ordinateur". Si vous êtes un peu juste au niveau de la bande passante choisissez "Ne pas jouer". Pour faire peur à votre grand-mère ne lui faisant croire que son PC est hanté choisissez "Conserver sur l'ordinateur distant". La partie "Ressources et périphériques locaux" est plus importante. Elle va vous permettre de partager le matériel local avec le PC distant. Cochez "Imprimantes" si vous souhaitez que le PC distant puisse imprimer sur l'imprimante reliée au PC sur lequel vous vous trouvez. Cochez "Presse-papiers" si vous souhaitez pouvoir faire des copier/coller de documents entre les deux PC. Indispensable… Enfin "Autres" vous permettra de choisir les disques durs de votre PC client que vous souhaitez voir reconnus sur le PC distant pour échanger des fichiers. Ils apparaitront sur le PC distant sous forme de lecteurs réseaux. 
Enfin l'onglet "Avancé" permet d'améliorer l'affichage du bureau, ou de le dégrader pour gagner de la bande passante. Là encore rien de bien compliqué… Le seul paramètre avec lequel il faut être un peu prudent est : "Arrière-plan du Bureau", qui permet d'afficher ou non le fond d'écran (très consommateur de bande passante !!) Là encore, faites des essais… Veillez à bien avoir coché l'option "Rétablir la connexion si elle est interrompue". À ce stade vous devriez avoir une connexion "Bureau à distance" fonctionnelle sur votre réseau local. Vous allez pouvoir passer à l'étape "internet".
Le bureau à distance via internet
Attention, si vous décidez de faire du bureau à distance par internet, lisez bien la dernière partie de ce tutorial qui vous permettra de vous protéger contre les tentatives de piratage. Les principes d'utilisation sont exactement les mêmes si ce n'est qu'il vous faudra probablement être un peu moins exigeant au niveau de la qualité de l'affichage du bureau distant, comme nous l'avons vu plus haut, afin de ne pas saturer la bande passante montante du PC distant. Deux difficultés supplémentaires vont se présenter :
- donner l'adresse IP publique (adresse sur internet) du PC distant,
- paramétrer le routeur pour qu'il redirige la demande de connexion vers le PC distant.
Pour ce qui est de l'IP publique, deux cas sont possibles. Soit l'adresse IP est fixe, soit elle est dynamique.
- Si elle fixe, c'est à dire qu'elle ne change jamais, c'est l'idéal. En effet il suffit de la saisir dans le champ "Ordinateur" de la fenêtre de connexion.
- Si elle est dynamique elle change régulièrement, vous ne pouvez donc pas saisir directement une adresse IP. Vous allez devoir utiliser des services (gratuits) tel que DynDNS ou No-IP pour créer une adresse du type "monordichezmoi.is-a-geek.org" qui redirigera vers votre addresse IP du moment. Au lieu de saisir une adresse IP dans le champ "Ordinateur", vous saisiriez donc monordichezmoi.is-a-geek.org pour cet exemple.
Enfin pour le paramétrage du routeur vous allez devoir faire un "port forward", c'est à dire indiquer au routeur vers quel PC du réseau local il doit transmettre les connexions entrantes sur un certain port. Les interfaces changent selon les modèles de routeur, à vous de vous y retrouver… Vous devez créer une règle qui va rediriger toutes les connexions TCP entrantes sur le port 3389 vers l'adresse IP privée (sur votre réseau local) correspondante à votre PC (le serveur). Pour faire cela sur votre réseau domestique il n'y a pas de gros soucis. Par contre pour le faire sur le réseau de votre entreprise, prévoyez un gros chèque pour soudoyer l'administrateur de domaine. Vous êtes arrivé jusqu'ici ? Félicitations vous savez donc faires des connexions "Bureau à distance" entre les PC de votre réseau domestique, avec le PC de votre grand-mère, et avec votre PC au bureau pour continuer à travailler même la nuit. Mais il reste une dernière chose…
Ne pas se faire hacker
Dès que le routeur a été configuré pour accepter et rediriger les connexions entrantes sur le port 3389, votre PC est devenu visible et accessible depuis internet. Veillez à faire toutes les mises à jour de sécurité via Windows Update sur ce poste. En effet des failles permettant de prendre le contrôle d'un PC sans connaitre les identifiants et les mots de passe ont déjà été découvertes, et corrigées par Microsoft. Mais encore faut-il faire les mises à jour pour être à l'abri. Ne pas laisser la porte grande ouverte c'est bien. Mais ne pas donner les clés aux voleurs c'est mieux. Par défaut, lors de l'installation de Windows un compte administrateur est créé sans mot de passe. Veillez à bien lui en avoir attribué un ainsi qu'à tous les autres comptes utilisateurs, et qui soit un peu plus complexe que "1234".
Enfin, dernière précaution, il est plus prudent de modifier le port utilisé pour le bureau à distance. Vous échapperez ainsi à tous les scans en ligne réalisés sur le port par défaut. Seule une tentative d'attaque vous ciblant particulièrement (en scannant les 65536 ports) pourra le découvrir. Pour cela, sur le PC serveur, exécutez l'éditeur du registre "regedit" et ouvrez :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-TcpCherchez la clé "PortNumber", double cliquez pour la modifier, passez en base "Décimale". Normalement vous devriez voir 3389 qui est le port par défaut. Changer cette valeur par une autre, 48525 par exemple, et validez. Le PC serveur ne répondra plus aux demandes de connexions sur le port par défaut. Pensez à modifier les règles du pare-feu et du routeur pour qu'ils traitent correctement le nouveau port, dans les paramètres du pare-feu modifiez le port 3389 en 48525 pour cet exemple. Lorsque vous tenterez de faire une connexion à distance il faudra dorénavant également indiquer le port à utiliser en tapant ":xxxx" en plus de l'adresse, où xxxx est le numéro du port. Ainsi en reprenant l'exemple que vous avons plus haut, il ne faudra plus juste saisir monordichezmoi.is-a-geek.org comme adresse de connexion, mais monordichezmoi.is-a-geek.org:48525.
Billets en relation avec ce sujet :
{ 4 comments… read them below or add one }
Bonjour,
Moi ça ne marche pas.
J’ai un PC Vista familiale à la maison, j’ai installé un VPN Client Cisco (comme sur mon PC portable), j’essaye de me connecter a distance à mon serveur d’entreprise = ça marche pas (le serveur est sous WIN 2003).
Si je prend mon PC portable qui est sous XP = aucun problème. Je fais la connexion avec le VPN client, puis je lance la connexion bureau a distance et ça roule.
Je n’arrive pas a me connecter à mon bureau avec VISTA, que faire ?
J’ai essayé avec le lien ci-dessous, mais sans succès.
http://support.microsoft.com/kb/928233
Darkounet, vous avez l’air de vous y connaitre, donc vous pourrez peut-être m’aider, mais attention, ne soyez pas trop compliqué dans votre retour, car je suis un utilisateur Lembda donc je n’ai pas de compétence particulière en la matière.
Merci
JPS
Bonjour.
Même problème en gros :
J’ai dans mon entreprise un PC sous W7Pro où la connection RDP fonctionne.
Un portable sous XP Pro où la même connection RDP (que j’ai intégré dessus avec ma clé USB) fonctionne également.
Jusque là tout va bien…
A la maison, PC sous Vista familial (le même que celui du travail sous W7, mais bon…) sur lequel il est impossible de se connecter.
Toujours à la maison, la version « portable » de ma fille de ce PC sous le même Vista familial sur lequel… ça fonctionne !
Pourtant, paramétrages identiques, firewall configuré à l’identique également, etc…
Sous regedit/HKey Local Machine/microsoft/MSLicensing : suppression des deux clés. Rien.
Suppression également du registre de la clé policies (HKey Local Machine/windows/policies)… Rien n’y fait.
A chaque tentative de connection en RDP, une première fenêtre vient toujours me demander un nom et un mot de passe où je rentre n’importe quelle ânerie et ensuite je me retrouve sur la fenêtre d’accueil de ma connection RDP me demandant le mot de passe. Or il n’est pas reconnu et me botte en touche en me faisant tourner en boucle cette demande de mot de passe…
Je retente le coup avec le portable de ma gamine (connecté à la même box…) et ça fonctionne… Grrr!!!
Que faire ?? je le brûle ce p….. de vista ??
Merci de vos conseils avisés.
PC’istement, Franck.
Bonjour Franck,
Après suppression de tes deux clés, fais un clic droit sur l’icône « Connexion Bureau à distance » et clic sur « Exécuter en tant qu’administrateur ». Ensuite tout devrait rentré dans l’ordre
Bonjour,
je n’arrive plus à afficher les lecteurs reseaux de mon PC local , sur le PC distant
j’ai essayé de me connecter avec différents PC, en cochant correctement l’option partage de ressources, mais impossible de les afficher sur le PC distant
???