Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Webový klient Vzdálená plocha umožňuje uživatelům přistupovat k infrastruktuře Vzdálená plocha vaší organizace prostřednictvím kompatibilního webového prohlížeče. Budou moci pracovat se vzdálenými aplikacemi nebo přímo s plochou stejně jako s místním počítačem, bez ohledu na to, kde se nacházejí. Jakmile nastavíte webového klienta Vzdálená plocha, všichni vaši uživatelé budou k zahájení potřebovat pouze adresu URL, kde se mohou připojit ke klientovi, své přihlašovací údaje a podporovaný webový prohlížeč.
Important
Webový klient podporuje použití Microsoft Entra application proxy, ale nepodporuje webové proxy aplikací vůbec. Podrobnosti najdete v tématu Použití RDS se službami proxy aplikací.
Co budete potřebovat k nastavení webového klienta
Než začnete, mějte na paměti následující věci:
Ujistěte se, že vaše nasazení Vzdálená plocha má Bránu RD, Zprostředkovatele připojení RD a Webový přístup RD, které běží na Windows Serveru 2016 nebo 2019.
Ujistěte se, že je vaše nasazení nakonfigurované pro licence klientského přístupu (CAL) pro jednotlivé uživatele , nikoli pro licence pro jednotlivé zařízení, jinak se spotřebují všechny licence.
Nainstalujte aktualizaci Windows 10 KB4025334 do brány VP. Pozdější kumulativní aktualizace mohou již obsahovat tuto část.
Ujistěte se, že jsou veřejné důvěryhodné certifikáty nakonfigurované pro role RD Gateway a RD Web Access.
Ujistěte se, že všechny počítače, ke kterým se uživatelé připojují, používají jednu z následujících verzí operačního systému:
- Windows 10 nebo novější
- Windows Server 2016 nebo novější
Uvidíte lepší výkon připojení k Windows Server 2016 (nebo novějším) a Windows 10 (verze 1611 nebo novější).
Pokud jste webového klienta používali během období náhledu a nainstalovali jste verzi 1.0.0 nebo starší, musíte před přechodem na novou verzi nejprve odinstalovat starého klienta. Pokud se zobrazí chyba "Webový klient byl nainstalován pomocí starší verze RDWebClientManagement a před nasazením nové verze musí být nejprve odebrán", postupujte takto:
- Otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.
- SpuštěnímUninstall-Module RDWebClientManagement odinstalujte nový modul.
- Zavřete a znovu otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.
- Spuštěním Install-Module RDWebClientManagement -RequiredVersion <staré verzi> nainstalujte starý modul.
- Spusťte Uninstall-RDWebClient a odinstalujte starého webového klienta.
- SpuštěnímUninstall-Module RDWebClientManagement odinstalujte starý modul.
- Zavřete a znovu otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.
- Pokračujte běžnými kroky instalace následujícím způsobem.
Publikování webového klienta Vzdálená plocha
Chcete-li webového klienta nainstalovat poprvé, postupujte takto:
Na serveru zprostředkovatele připojení k Vzdálené ploše získejte certifikát použitý pro připojení k Vzdálené ploše a exportujte ho jako soubor
.cer. Zkopírujte.cersoubor ze služby Zprostředkovatel připojení k VP na server, na kterém je spuštěna webová role VP.Na serveru RD Web Access otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.
V Windows Server 2016 aktualizujte modul PowerShellGet, protože verze doručené pošty nepodporuje instalaci modulu pro správu webového klienta. Pokud chcete aktualizovat PowerShellGet, spusťte následující příkaz cmdlet:
Install-Module -Name PowerShellGet -ForceNote
Pro přístup k Galerie prostředí PowerShell se vyžaduje protokol TLS (Transport Layer Security) 1.2 nebo vyšší. K povolení protokolu TLS 1.2 v relaci PowerShellu použijte následující příkaz:
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12Important
Než se aktualizace projeví, budete muset restartovat PowerShell, jinak modul nemusí fungovat.
Pomocí tohoto cmdletu nainstalujte modul pro správu webového klienta Vzdálená plocha z galerie PowerShell.
Install-Module -Name RDWebClientManagementPotom spuštěním následující rutiny stáhněte nejnovější verzi webového klienta Vzdálená plocha:
Install-RDWebClientPackageDále spusťte tento cmdlet s hodnotou v závorkách nahrazenou na cestu
.cerk souboru, který jste zkopírovali z RD Broker.Import-RDWebClientBrokerCert <.cer file path>Important
Tuto rutinu musíte znovu spustit při každé aktualizaci nebo obnovení certifikátu zprostředkovatele VP. Pokud certifikát obnovíte a nenecháte znovu proběhnout tento příkaz, zobrazí se uživatelům při pokusu o připojení chyba "Neočekávaný ověřovací certifikát serveru byl přijat".
Nakonec spuštěním této rutiny publikujte webového klienta Vzdálená plocha:
Publish-RDWebClientPackage -Type Production -LatestUjistěte se, že máte přístup k webovému klientovi na adrese URL webového klienta s názvem serveru formátovaným jako
https://server_FQDN/RDWeb/webclient/index.html. Je důležité použít název serveru, který se shoduje s veřejným certifikátem RD Web Access v adrese URL (obvykle plně kvalifikovaný název domény serveru).Note
Při spuštění rutiny Publish-RDWebClientPackage se může zobrazit upozornění, že licence CAL pro jednotlivé zařízení nejsou podporované, i když je vaše nasazení nakonfigurované pro licence CAL pro jednotlivé uživatele. Pokud vaše nasazení používá licence CAL pro jednotlivé uživatele, můžete toto upozornění ignorovat. Zobrazíme ho, abyste měli jistotu, že znáte omezení konfigurace.
Až budete připraveni, aby uživatelé měli přístup k webovému klientovi, stačí jim poslat adresu URL webového klienta, kterou jste vytvořili.
Note
Pokud chcete zobrazit seznam všech podporovaných rutin pro modul RDWebClientManagement, spusťte v PowerShellu následující rutinu:
Get-Command -Module RDWebClientManagement
Postup aktualizace webového klienta Vzdálená plocha
Pokud je k dispozici nová verze webového klienta Vzdálená plocha, aktualizujte nasazení pomocí nového klienta následujícím postupem:
Otevřete zvýšený příkazový řádek PowerShellu na serveru RD Web Access a spusťte následující rutinu, aby se stáhla nejnovější dostupná verze webového klienta:
Install-RDWebClientPackageVolitelně můžete klienta publikovat pro testování před oficiálním vydáním spuštěním tohoto příkazového modulu:
Publish-RDWebClientPackage -Type Test -LatestKlient by se měl zobrazit na testovací adrese URL odpovídající adrese URL webového klienta (například
<https://server_FQDN/RDWeb/webclient-test/index.html>).Publikujte klienta pro uživatele spuštěním následující rutiny:
Publish-RDWebClientPackage -Type Production -LatestTím se klient nahradí pro všechny uživatele při opětovném spuštění webové stránky.
Aktualizace certifikátu zprostředkovatele VP
Když prodloužíte nebo nahradíte certifikát zprostředkovatele VP, aktualizujte webového klienta novým certifikátem. Pokud tento krok přeskočíte, při pokusu o připojení se uživatelům zobrazí chyba "Byl přijat neočekávaný ověřovací certifikát serveru".
Na serveru zprostředkovatele připojení k RD exportujte aktualizovaný certifikát jako
.cersoubor a zkopírujte ho na serveru RD Web Access.Na serveru RD Web Access otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.
Spusťte následující příkaz a nahraďte hodnotu uvnitř závorek cestou k novému
.cersouboru:Import-RDWebClientBrokerCert <.cer file path>Publikujte aktualizovanou konfiguraci pro uživatele:
Publish-RDWebClientPackage -Type Production -Latest
Postup odinstalace webového klienta Vzdálená plocha
Pro odstranění všech stop webového klienta postupujte následovně:
Na serveru RD Web Access otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.
Zrušte publikování klientů Test a Production, odinstalujte všechny místní balíčky a odeberte nastavení webového klienta:
Uninstall-RDWebClientOdinstalujte modul PowerShellu pro správu webového klienta Vzdálená plocha:
Uninstall-Module -Name RDWebClientManagement
Postup instalace webového klienta Vzdálená plocha bez připojení k internetu
Tímto postupem nasadíte webového klienta na server VP Web Access, který nemá připojení k internetu.
Note
Instalace bez připojení k internetu je k dispozici ve verzi 1.0.1 a vyšší modulu PowerShellu RDWebClientManagement. Před přenosem souborů do offline serveru stále potřebujete počítač správce s přístupem k internetu. Počítač koncového uživatele potřebuje prozatím připojení k internetu. Tento problém bude vyřešen v budoucí verzi klienta, aby poskytoval kompletní offline scénář.
Ze zařízení s přístupem k internetu
Otevřete okno PowerShellu.
Importujte modul pro správu webového klienta Vzdálená plocha v PowerShell z Galerie PowerShell.
Import-Module -Name RDWebClientManagementStáhněte si nejnovější verzi webového klienta Vzdálená plocha pro instalaci na jiném zařízení:
Save-RDWebClientPackage "C:\WebClient\"Stáhněte si nejnovější verzi modulu PowerShellu RDWebClientManagement:
Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"Zkopírujte obsah C:\WebClient na server RD Web Access.
Ze serveru RD Web Access
Postupujte podle pokynů v části Jak publikovat webového klienta Vzdálená plocha a nahraďte kroky 4 a 5 následujícími kroky.
Máte dvě možnosti načtení nejnovějšího modulu PowerShellu pro správu webových klientů:
Import modulu PowerShellu pro správu webového klienta Vzdálená plocha:
Import-Module -Name RDWebClientManagementZkopírujte staženou složku RDWebClientManagement do jedné z místních složek modulu PowerShellu uvedených v části $env:psmodulePath nebo přidejte cestu ke složce se staženými soubory do $env:psmodulePath.
Nasaďte nejnovější verzi webového klienta Vzdálená plocha z místní složky (nahraďte příslušným souborem ZIP):
Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
Připojení ke zprostředkovateli VP bez brány VP v Windows Server 2019
Tato část popisuje, jak povolit připojení webového klienta ke zprostředkovateli VP bez brány VP v Windows Server 2019.
Nastavení serveru RD Broker
Pokud není žádný certifikát svázaný se serverem zprostředkovatele VP, postupujte podle těchto kroků.
Otevřete Správce serveru>Vzdálená plocha Services.
V části Přehled nasazení vyberte rozevírací nabídku Úkoly .
Vyberte Upravit vlastnosti rozmístění a otevře se nové okno s názvem Vlastnosti rozmístění .
V okně Vlastnosti nasazení vyberte v nabídce vlevo certifikáty .
V seznamu úrovní certifikátů vyberte Zprostředkovatel připojení RD – Povolit jednotné přihlašování. Máte dvě možnosti: (1) vytvořte nový certifikát nebo (2) existující certifikát.
Pokud je certifikát dříve svázaný se serverem zprostředkovatele VP, postupujte podle těchto kroků.
Otevřete certifikát vázaný na zprostředkovatele a zkopírujte hodnotu kryptografického otisku .
Pokud chcete tento certifikát svázat se zabezpečeným portem 3392, otevřete okno PowerShellu se zvýšenými oprávněními a spusťte následující příkaz a nahraďte "< kryptografický otisk >" hodnotou zkopírovanou z předchozího kroku:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"Note
Chcete-li zkontrolovat, zda je certifikát správně svázán, spusťte následující příkaz:
netsh http show sslcertV seznamu vazeb certifikátu SSL se ujistěte, že je správný certifikát vázán na port 3392.
Otevřete registr Windows (regedit), přejděte na
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpa vyhledejte klíč WebSocketURI. Dále nastavte hodnotu nahttps://+:3392/rdp/.
Nastavení hostitele relace RD
Pokud se server hostitele relace VP liší od serveru zprostředkovatele VP, postupujte takto:
Vytvořte certifikát pro hostitele relace RD, otevřete ho a zkopírujte hodnotu kryptografického otisku.
Pokud chcete tento certifikát svázat se zabezpečeným portem 3392, otevřete okno PowerShellu se zvýšenými oprávněními a spusťte následující příkaz a nahraďte "< kryptografický otisk >" hodnotou zkopírovanou z předchozího kroku:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"Note
Chcete-li zkontrolovat, zda je certifikát správně svázán, spusťte následující příkaz:
netsh http show sslcertV seznamu vazeb certifikátu SSL se ujistěte, že je správný certifikát vázán na port 3392.
Otevřete registr Windows (regedit) a přejděte na
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpa vyhledejte klíč WebSocketURI. Hodnota musí být nastavena nahttps://+:3392/rdp/.
Obecné pozorování
Ujistěte se, že na hostiteli relace VP i na serveru zprostředkovatele VP běží Windows Server 2019.
Ujistěte se, že jsou veřejné důvěryhodné certifikáty nakonfigurované pro hostitele relace VP i pro server zprostředkovatele VP.
Note
Pokud hostitel relace VP i server zprostředkovatele VP sdílejí stejný počítač, nastavte pouze certifikát serveru zprostředkovatele VP. Pokud hostitel relace VP a server zprostředkovatele VP používají různé počítače, musí být oba nakonfigurované s jedinečnými certifikáty.
Alternativní název subjektu (SAN) pro každý certifikát musí být nastaven na plně kvalifikovaný název domény (FQDN) počítače. běžný název (CN) musí odpovídat SAN pro každý certifikát.
Jak předkonfigurovat nastavení pro uživatele webového klienta Vzdálená plocha
V této části se dozvíte, jak pomocí PowerShellu nakonfigurovat nastavení pro nasazení webového klienta Vzdálená plocha. Tyto rutiny PowerShellu řídí schopnost uživatele měnit nastavení na základě obav o zabezpečení nebo zamýšleného pracovního postupu vaší organizace. Všechna následující nastavení jsou umístěná na bočním panelu Nastavení webového klienta.
Potlačení telemetrie
Ve výchozím nastavení se uživatelé můžou rozhodnout povolit nebo zakázat shromažďování telemetrických dat odesílaných do Microsoft. Informace o telemetrických datech, která Microsoft shromažďuje, najdete v našem prohlášení o zásadách ochrany osobních údajů prostřednictvím odkazu na bočním panelu About.
Jako správce můžete pomocí následující rutiny PowerShellu potlačit shromažďování telemetrie pro vaše nasazení:
Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true
Ve výchozím nastavení může uživatel povolit nebo zakázat telemetrii. Logická hodnota $false bude odpovídat výchozímu chování klienta. Logická hodnota $true zakáže telemetrii a omezí uživatele v povolení telemetrie.
Metoda vzdáleného spuštění prostředku
Note
Toto nastavení aktuálně funguje jenom s webovým klientem RDS, nikoli s webovým klientem Azure Virtual Desktop.
Ve výchozím nastavení se uživatelé mohou rozhodnout spustit vzdálené prostředky (1) v prohlížeči, nebo (2) stažením souboru .rdp, který lze zpracovat jiným klientem nainstalovaným na jejich počítači. Jako správce můžete pomocí následujícího příkazu PowerShellu omezit metodu vzdáleného spuštění prostředku pro vaše nasazení:
Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)
Ve výchozím nastavení může uživatel vybrat jednu ze metod spuštění. Logická hodnota $true přinutí uživatele spustit prostředky v prohlížeči. Logická hodnota $false vynutí, aby uživatel spustil prostředky tak, že stáhne soubor .rdp a zpracuje ho pomocí místně nainstalovaného klienta RDP.
Resetování konfigurace RDWebClientDeploymentSetting na výchozí
Pokud chcete resetovat nastavení webového klienta na úrovni nasazení na výchozí konfiguraci, spusťte následující rutinu PowerShellu a pomocí parametru -name určete nastavení, které chcete resetovat:
Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"
Troubleshooting
Pokud uživatel při prvním otevření webového klienta nahlásí některý z následujících problémů, v následujících částech je vysvětleno, jak je opravit.
Co dělat, když se v prohlížeči uživatele při pokusu o přístup k webovému klientovi zobrazí upozornění zabezpečení
Role RD Web Access nemusí používat důvěryhodný certifikát. Ujistěte se, že je role RD Web Access nakonfigurovaná s důvěryhodným veřejným certifikátem.
Pokud to nepomůže, název vašeho serveru v adrese URL webového klienta se nemusí shodovat s názvem zadaným webovým certifikátem RD Web. Ujistěte se, že vaše adresa URL používá plně kvalifikovaný název domény serveru hostujícího roli RD Web.
Co dělat, když se uživatel nemůže připojit k prostředku pomocí webového klienta, i když vidí položky v části Všechny prostředky
Pokud uživatel hlásí, že se nemůže připojit k webovému klientovi, i když uvidí uvedené prostředky, zkontrolujte následující věci:
- Je role brány VP správně nakonfigurovaná tak, aby používala důvěryhodný veřejný certifikát?
- Má server brány VP nainstalované požadované aktualizace? Ujistěte se, že je na serveru nainstalovaná aktualizace KB4025334.
Pokud se uživateli při pokusu o připojení zobrazí chybová zpráva "Byl přijat neočekávaný certifikát ověření serveru", zobrazí se ve zprávě kryptografický otisk certifikátu. Vyhledejte správný certifikát ve správci certifikátů serveru RD Broker pomocí daného otisku. Ověřte, že je certifikát nakonfigurovaný tak, aby se používal pro roli zprostředkovatele VP na stránce vlastností nasazení Vzdálená plocha. Poté, co se ujistíte, že platnost certifikátu nevypršela, zkopírujte certifikát ve .cer formátu souboru na server VP Web Access a spusťte na serveru VP Web Access následující příkaz s hodnotou v závorkách nahrazenou cestou k souboru certifikátu:
Import-RDWebClientBrokerCert <certificate file path>
Diagnostika problémů s protokolem konzoly
Pokud se vám nedaří problém vyřešit na základě pokynů pro odstraňování problémů v tomto článku, můžete se pokusit diagnostikovat zdroj problému sami sledováním přihlášení konzole v prohlížeči. Webový klient poskytuje metodu pro zaznamenávání aktivity protokolu konzoly prohlížeče při použití webového klienta k diagnostice problémů.
- Vyberte ikonu tří teček v pravém horním rohu a v rozevírací nabídce přejděte na stránku O.
- V části Zaznamenat informace o podpoře vyberte tlačítko Spustit záznam.
- Proveďte jednu nebo více operací ve webovém klientovi, které způsobily problém, který se pokoušíte diagnostikovat.
- Přejděte na stránku O aplikaci a vyberte Zastavit nahrávání.
- Váš prohlížeč automaticky stáhne soubor .txt s názvem RD Console Logs.txt. Tento soubor obsahuje úplnou aktivitu protokolu konzoly vygenerovanou při reprodukci cílového problému.
Ke konzoli lze přistupovat také přímo prostřednictvím prohlížeče. Konzola se nachází pod vývojářskými nástroji. K přihlášení v Microsoft Edge se dostanete například tak, že stisknete klávesu F12 nebo vyberete ikonu Více a pak přejdete na Více nástrojů>Nástroje pro vývojáře.
Získání nápovědy k webovému klientovi
Pokud jste narazili na problém, který nelze vyřešit informacemi v tomto článku, můžete je nahlásit na fóru Azure Virtual Desktop fóru Microsoft Tech Community.