Next Terminal v3.3.6:RDP 代理服务器,让远程桌面回到本地客户端
亲爱的用户,
Next Terminal v3.3.6 已经发布。
这个版本的重点是 RDP 代理服务器。它让用户可以通过本地远程桌面客户端访问 Next Terminal 中已授权的 RDP 资产,同时继续保留 Next Terminal 的统一资产管理、权限控制、会话审计和录像能力。
过去,如果你在浏览器里操作 RDP 会话,优势是开箱即用,不需要本地客户端;但在一些高频操作场景下,本地远程桌面客户端仍然有不可替代的体验优势。
v3.3.6 要解决的就是这个问题:既保留 Next Terminal 的安全管控能力,又把 RDP 操作体验交还给更流畅的本地远程桌面客户端。
1. 为什么需要 RDP 代理服务器
RDP 是一个非常依赖交互体验的协议。
在浏览器里访问 RDP 资产已经足够方便,但如果你需要长时间操作 Windows 桌面、频繁切换窗口、使用组合键、复制文件或运行图形化工具,本地远程桌面客户端通常会更顺手。
RDP 代理服务器带来的变化很直接:
- 可以使用 Windows 远程桌面、Microsoft Remote Desktop 等本地 RDP 客户端
- 鼠标、键盘、窗口缩放等交互更接近原生远程桌面
- 操作更加流畅,延迟和渲染体验通常更好
- 减少浏览器快捷键和远程桌面快捷键之间的按键冲突
- 支持剪贴板、磁盘重定向等本地 RDP 客户端能力
- 仍然可以进入 Next Terminal 的会话记录、审计和录像体系
对于需要经常操作 Windows 服务器、远程办公桌面、堡垒机内网 RDP 资产的团队来说,这个能力会明显提升日常使用体验。
2. 本地体验更好,但权限仍然由 Next Terminal 管
RDP 代理服务器不是让用户绕过 Next Terminal 直接连接 Windows 主机。
它的核心设计是:本地客户端负责操作体验,Next Terminal 负责安全入口。
连接过程大致是这样:
- 用户在 Next Terminal 中选择自己已授权的 RDP 资产
- Next Terminal 生成短期临时凭据
- 本地 RDP 客户端连接 Next Terminal 的 RDP 代理入口
- RDP 代理服务器校验临时凭据和用户权限
- Next Terminal 使用资产中保存的账号密码连接真实 Windows 主机
- 会话进入 Next Terminal 的审计和录像流程
也就是说,用户拿到的不是目标 Windows 主机的真实账号密码,而是一段短期票据。
这既保留了本地远程桌面的操作体验,也避免了把 Windows 凭据散落到用户电脑、聊天工具或个人笔记里。
3. 支持录像,审计能力不丢
很多团队使用堡垒机,不只是为了“能连上”,更重要的是要知道:
- 谁连接了哪台资产
- 什么时候连接
- 操作持续了多久
- 出现问题时能否回看过程
- 是否满足内部审计和合规要求
RDP 代理服务器支持会话记录和录像能力。
这意味着,即使用户使用的是本地远程桌面客户端,连接仍然经过 Next Terminal 的 RDP 代理入口,管理员依然可以在 Next Terminal 中查看对应的会话记录,并按策略保留录像。
相比“直接开放 Windows RDP 端口给用户”,这种方式更适合团队管理:
- 权限可以统一分配和回收
- 访问入口可以统一控制
- 会话过程可以留痕
- 资产真实凭据不需要交给最终用户
4. 原始使用方式:生成临时凭据并下载 .rdp 文件
RDP 代理服务器的基础使用方式是通过 .rdp 文件完成连接。
用户在 Web 页面中选择 RDP 资产后,Next Terminal 会生成一个短期票据,并下载 .rdp 文件。本地 RDP 客户端打开这个文件后,会连接到 Next Terminal 的 RDP 代理地址。
.rdp 文件里使用的不是 Windows 真实账号,而是类似下面的临时身份:
NTICKET:<ticketId>:<secret>这个票据具备几个特性:
- 默认有效期为 300 秒
- 成功解析一次后立即失效
- 绑定当前用户和目标资产
- 由 Next Terminal 在服务端解析真实连接信息
这个方式已经能满足安全访问需求,但从使用体验上看,每次都要去网页里生成票据、下载 .rdp 文件、再打开文件,流程还是偏长。
5. Termark 简化了 RDP 代理访问流程
v3.3.6 中,Termark 对 RDP 代理访问做了进一步封装。
用户不需要每次手动进入 Web 页面下载 .rdp 文件。Termark 可以同步当前账号已授权的 RDP 资产,并在用户点击资产时自动完成临时凭据生成和本地连接流程。
对用户来说,操作会更接近:
- 打开 Termark
- 选择 Next Terminal 实例
- 点击已授权的 RDP 资产
- 使用本地远程桌面客户端开始操作
背后的票据生成、权限校验、代理连接仍然存在,只是被 Termark 隐藏在更顺滑的操作流程里。
这对高频用户很重要。因为真正影响效率的,往往不是某一步能不能做,而是每天重复几十次时够不够顺手。
6. WebSocket 隧道:不暴露 RDP 代理端口也能访问
直接暴露 RDP 代理端口并不总是理想选择。
在一些部署环境中,管理员希望尽量减少公网开放端口,只暴露 Next Terminal 的 Web 服务地址;或者 Next Terminal 已经部署在 HTTPS 反向代理、网关、内网穿透之后,不希望额外开放 3390 这类 RDP 代理端口。
Termark 支持通过 WebSocket 隧道 访问 RDP 代理服务。
这种方式下,用户侧只需要能访问 Next Terminal 的 Web 地址,Termark 会通过 WebSocket 建立隧道,并把远端 RDP 代理转发到本地进行访问。
它带来的好处很明确:
- 不需要额外暴露 RDP 代理端口
- 更适合反向代理、HTTPS 网关、内网穿透等部署方式
- 外部访问面更小,安全边界更清晰
- 用户仍然使用本地远程桌面客户端操作
- 本地连接体验和 Next Terminal 安全管控可以同时保留
对于安全要求更高的团队,推荐优先使用 WebSocket 隧道方式,让 RDP 代理服务不直接暴露到公网。
7. 适合哪些场景
这个功能特别适合下面这些场景:
- 运维人员需要长时间操作 Windows 服务器
- 团队希望使用本地远程桌面客户端获得更流畅的操作体验
- 浏览器 RDP 中存在快捷键冲突、窗口切换不顺手等问题
- 不希望把 Windows 主机账号密码直接发给用户
- 希望 RDP 会话可以录像、审计和追踪
- 不希望额外暴露 RDP 代理端口,倾向通过 WebSocket 隧道访问
- 已经用 Next Terminal 管理 SSH/RDP 资产,希望本地客户端也能统一接入
8. 如何开始使用
使用 RDP 代理能力需要满足以下条件:
- Next Terminal 版本大于等于
v3.3.6 - Next Terminal 中已经添加 RDP 资产,并完成用户授权
- 已开启 RDP 代理服务器
- 如果使用端口直连,需要在
docker-compose.yaml中映射 RDP 代理端口 - 如果使用 Termark WebSocket 隧道,需要确保 Termark 能访问 Next Terminal 的 Web 服务地址
相关文档:
总结
v3.3.6 的 RDP 代理服务器,让 Next Terminal 的 RDP 访问方式更加完整。
你可以继续使用浏览器访问 RDP 资产,也可以在需要更好交互体验时切换到本地远程桌面客户端。通过短期凭据、统一权限、会话审计和录像,Next Terminal 仍然是安全入口;通过 Termark 和 WebSocket 隧道,又可以减少手动下载 .rdp 文件和暴露代理端口带来的使用与安全成本。
简单来说,这个版本让 RDP 资产访问同时具备了两件事:
- 本地远程桌面的流畅体验
- Next Terminal 的统一管控和审计能力
如果你的团队经常使用 Windows 远程桌面资产,v3.3.6 值得升级体验。