Настройка веб-клиента удаленного рабочего стола для пользователей
Веб-клиент удаленного рабочего стола позволяет пользователям обращаться к инфраструктуре удаленных рабочих столов организации через совместимый браузер. Они смогут взаимодействовать с удаленными приложениями или рабочими столами, как с локальным компьютером, независимо от того, где они находятся. После настройки веб-клиента удаленного рабочего стола все, что нужно будет пользователям, чтобы приступить к работе — это URL-адрес, по которому они смогут обратиться к клиенту, а также учетные данные и поддерживаемый веб-браузер.
Внимание
Веб-клиент поддерживает использование прокси приложения Microsoft Entra, но не поддерживает прокси веб-приложения вообще. Дополнительные сведения см. в разделе С помощью служб удаленных рабочих столов с помощью служб прокси-сервера приложений.
Что потребуется для настройки веб-клиента
Перед началом работы необходимо помнить следующее.
Убедитесь, что в вашем развертывании Удаленного рабочего стола есть шлюз удаленных рабочих столов, посредник подключений к удаленному рабочему столу и служба веб-доступа к удаленным рабочим столам на платформе Windows Server 2016 или Windows Server 2019.
Убедитесь, что развертывание настроено для использования клиентских лицензий "на пользователя", а не клиентских лицензий "на устройство". В противном случае будут использованы все лицензии.
Установите обновление KB4025334 для Windows 10 на шлюзе удаленных рабочих столов. Более поздние накопительные обновления могут содержать эти КБ.
Убедитесь, что общедоступные доверенные сертификаты настроены для ролей шлюза удаленных рабочих столов и веб-доступа к удаленным рабочим столам.
Убедитесь, что все компьютеры, к которым подключены пользователи, работают в одной из следующих версий ОС:
- Windows 10 или более поздняя версия
- Windows Server 2016 или более поздней версии.
Пользователи ощутят более высокую производительность подключения к Windows Server 2016 (или более поздней версии) и Windows 10 (версии 1611 или более поздней версии).
Внимание
Если вы использовали веб-клиент во время действия предварительной версии и установили версию, предшествующую версии 1.0.0, то сначала необходимо удалить более ранний клиент, а затем перейти на новую версию. Если появится сообщение об ошибке: "The web client was installed using an older version of RDWebClientManagement and must first be removed before deploying the new version" (Веб-клиент был установлен с помощью более ранней версии RDWebClientManagement и должен быть удален перед развертыванием новой версии), выполните следующие действия.
- Откройте командную строку с повышенными привилегиями PowerShell.
- Выполните командлет RDWebClientManagement Uninstall-Module, чтобы удалить новый модуль.
- Закройте и снова откройте командную строку с повышенными привилегиями PowerShell.
- Выполните командлет RDWebClientManagement Install-Module - RequiredVersion <более_ранняя_версия>, чтобы установить более ранний модуль.
- Выполните командлет RDWebClient удаления, чтобы удалить более ранний веб-клиент.
- Выполните командлет RDWebClientManagement Uninstall-Module, чтобы удалить более ранний модуль.
- Закройте и снова откройте командную строку с повышенными привилегиями PowerShell.
- Выполните шаги обычной установки, как описано ниже.
Как опубликовать веб-клиент удаленного рабочего стола
Чтобы впервые установить веб-клиент, выполните следующие действия.
На сервере посредника подключений к удаленному рабочему столу получите сертификат, используемый для подключений к удаленному рабочему столу, и экспортируйте его как CER-файл. Скопируйте CER-файл из посредника подключений к удаленному рабочему столу на сервер, которому назначена роль веб-доступа к удаленным рабочим столам.
На сервере веб-доступа к удаленным рабочим столам откройте командную строку с повышенными привилегиями PowerShell.
В Windows Server 2016 обновите модуль PowerShellGet, так как версия папки "Входящие" не поддерживает установку модуля управления веб-клиентом. Чтобы обновить PowerShellGet, выполните следующий командлет.
Install-Module -Name PowerShellGet -Force
Примечание.
Для доступа к коллекция PowerShell требуется протокол TLS 1.2 или более поздней версии. Используйте следующую команду, чтобы включить TLS 1.2 в сеансе PowerShell:
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
Внимание
Необходимо будет перезапустить PowerShell, чтобы обновление вступило в силу, в противном случае модуль может не работать.
Установите модуль PowerShell управления веб-клиентом удаленного рабочего стола из коллекции PowerShell с помощью следующего командлета.
Install-Module -Name RDWebClientManagement
После этого выполните приведенный ниже командлет, чтобы скачать последнюю версию веб-клиента удаленного рабочего стола.
Install-RDWebClientPackage
Затем выполните этот командлет, заменив значение в квадратных скобках путем к CER-файлу, который был скопирован из посредника подключений к удаленному рабочему столу.
Import-RDWebClientBrokerCert <.cer file path>
Наконец, выполните следующий командлет, чтобы опубликовать веб-клиент удаленного рабочего стола.
Publish-RDWebClientPackage -Type Production -Latest
Убедитесь, что можете получить доступ к веб-клиенту по его URL-адресу с именем вашего сервера в следующем формате:
https://server_FQDN/RDWeb/webclient/index.html
. В URL-адресе важно использовать имя сервера, которое соответствует общедоступному сертификату для веб-доступа к удаленным рабочим столам (обычно это полное доменное имя сервера).Примечание.
При выполнении командлета Publish-RDWebClientPackage может появиться предупреждение о том, что клиентские лицензии "на устройство" не поддерживаются, даже если развертывание настроено для использования клиентских лицензий "на пользователя". Если в развертывании используются клиентские лицензии "на пользователя", это предупреждение можно игнорировать. Мы отображаем его, чтобы убедиться, что вам известно об ограничении конфигурации.
Когда все будет готово для предоставления пользователям доступа к веб-клиенту, просто отправьте им созданный вами URL-адрес веб-клиента.
Примечание.
Чтобы просмотреть список всех поддерживаемых командлетов модуля RDWebClientManagement, выполните следующий командлет PowerShell.
Get-Command -Module RDWebClientManagement
Как обновить веб-клиент удаленного рабочего стола
Если доступна новая версия веб-клиента удаленного рабочего стола, выполните следующие действия, чтобы обновить развертывание, установив новый клиент.
Откройте командную строку с повышенными привилегиями PowerShell на сервере веб-доступа к удаленным рабочим столам и выполните следующий командлет, чтобы скачать последнюю доступную версию веб-клиента.
Install-RDWebClientPackage
При необходимости вы можете опубликовать клиент для тестирования перед официальным выпуском, выполнив следующий командлет.
Publish-RDWebClientPackage -Type Test -Latest
Клиент должен быть доступен по тестовому URL-адресу, который соответствует URL-адресу вашего веб-клиента (например,
<https://server_FQDN/RDWeb/webclient-test/index.html>
).Опубликуйте клиент для пользователей, выполнив следующий командлет.
Publish-RDWebClientPackage -Type Production -Latest
Это заменяет клиент для всех пользователей при повторном запуске веб-страницы.
Как удалить веб-клиент удаленного рабочего стола
Чтобы удалить все следы веб-клиента, выполните следующие действия.
На сервере веб-доступа к удаленным рабочим столам откройте командную строку с повышенными привилегиями PowerShell.
Отмените публикацию тестового и рабочего клиентов, удалите все локальные пакеты, а затем удалите параметры веб-клиента.
Uninstall-RDWebClient
Удалите модуль PowerShell управления веб-клиентом удаленного рабочего стола.
Uninstall-Module -Name RDWebClientManagement
Как установить веб-клиент удаленного рабочего стола без подключения к Интернету
Выполните следующие действия, чтобы развернуть веб-клиент на сервере веб-доступа к удаленным рабочим столам, который не подключен к Интернету.
Примечание.
Установка без подключения к Интернету доступна для версии 1.0.1 и более поздних версий модуля PowerShell RDWebClientManagement.
Примечание.
По-прежнему требуется компьютер администратора с доступом к Интернету, чтобы скачать необходимые файлы перед их передачей на автономный сервер.
Примечание.
Пока что на компьютере пользователя требуется подключение к Интернету. Это будет устранено в будущем выпуске клиента, чтобы обеспечить сценарий полностью автономного режима.
На устройстве с доступом к Интернету
Откройте командную строку PowerShell.
Импортируйте модуль PowerShell управления веб-клиентом удаленного рабочего стола из коллекции PowerShell.
Import-Module -Name RDWebClientManagement
Скачайте последнюю версию веб-клиента удаленного рабочего стола для установки на другом устройстве.
Save-RDWebClientPackage "C:\WebClient\"
Скачайте последнюю версию модуля PowerShell RDWebClientManagement.
Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"
Скопируйте содержимое C:\WebClient на сервер веб-доступа к удаленным рабочим столам.
На сервере веб-доступа к удаленным рабочим столам
Следуйте инструкциям в разделе Как опубликовать веб-клиент удаленного рабочего стола, но вместо шагов 4 и 5 выполните следующее.
Получить последнюю версию модуля PowerShell для управления веб-клиентом можно двумя способами:
- Импорт модуля управления веб-клиентами удаленного рабочего стола PowerShell:
Import-Module -Name RDWebClientManagement
- Скопировать скачанную папку RDWebClientManagement в одну из локальных папок модуля PowerShell, перечисленных в разделе $env:psmodulePath, или добавить путь к папке со скачанными файлами в $env:psmodulePath.
- Импорт модуля управления веб-клиентами удаленного рабочего стола PowerShell:
Разверните последнюю версию веб-клиента удаленного рабочего стола в локальной папке (замените соответствующий ZIP-файл).
Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
Подключение к посреднику подключений к удаленному рабочему столу без шлюза удаленных рабочих столов в Windows Server 2019
В этом разделе описывается, как обеспечить подключение веб-клиента к посреднику подключений к удаленному рабочему столу без шлюза удаленных рабочих столов в Windows Server 2019.
Настройка сервера посредника подключений к удаленному рабочему столу
Выполните следующие действия, если сертификат не привязан к серверу брокера удаленных рабочих столах
Выберите Диспетчер серверов>Службы удаленных рабочих столов.
В разделе Обзор развертывания выберите раскрывающееся меню Задачи.
Выберите Edit Deployment Properties (Изменить свойства развертывания), откроется новое окно Свойства развертывания будет открыт.
В окне Свойства развертывания в меню слева выберите Сертификаты.
Из списка "Уровни сертификатов" выберите Посредник подключений к удаленному рабочему столу: включение единого входа в систему. У вас есть два варианта: (1) создайте новый сертификат или (2) существующий сертификат.
Выполните следующие действия, если сертификат, ранее привязанный к серверу брокера удаленных рабочих столах
Откройте сертификат, привязанный к посреднику, и скопируйте значение Thumbprint.
Чтобы привязать этот сертификат к защищенному порту 3392, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, заменив "< thumbprint >" значением, скопированным на предыдущем шаге.
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"
Примечание.
Чтобы проверить, был ли сертификат привязан правильно, выполните следующую команду.
netsh http show sslcert
В списке привязок SSL-сертификатов убедитесь, что правильный сертификат привязан к порту 3392.
Откройте реестр Windows (regedit), перейдите к ветви
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
, найдите раздел WebSocketURI и установите для него значениеhttps://+:3392/rdp/
.
Настройка узла сеансов удаленных рабочих столов
Если сервер узла сеансов удаленных рабочих столов отличается от сервера посредника подключений к удаленному рабочему столу, выполните следующие действия.
Создайте сертификат для компьютера узла сеансов удаленных рабочих столов, откройте его и скопируйте значение Thumbprint.
Чтобы привязать этот сертификат к защищенному порту 3392, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, заменив "< thumbprint >" значением, скопированным на предыдущем шаге.
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"
Примечание.
Чтобы проверить, был ли сертификат привязан правильно, выполните следующую команду.
netsh http show sslcert
В списке привязок SSL-сертификатов убедитесь, что правильный сертификат привязан к порту 3392.
Откройте реестр Windows (regedit), перейдите к ветви
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
и найдите раздел WebSocketURI. Необходимо установить значениеhttps://+:3392/rdp/
.
Общие наблюдения
Убедитесь, что узел сеансов удаленных рабочих столов и сервер посредника подключений к удаленному рабочему столу выполняются в Windows Server 2019.
Убедитесь, что для узла сеансов удаленных рабочих столов и сервера посредника подключений к удаленному рабочему столу настроены общедоступные доверенные сертификаты.
Примечание.
Если узел сеансов удаленных рабочих столов и сервер посредника подключений к удаленному рабочему столу работают на одном компьютере, необходимо настроить только сертификат сервера посредника подключений к удаленному рабочему столу. Если узел сеансов удаленных рабочих столов и сервер посредника подключений к удаленному рабочему столу используют разные компьютеры, то для них должны быть настроены уникальные сертификаты.
В качестве альтернативного имени субъекта (SAN) для каждого сертификата нужно задать полное доменное имя (FQDN) компьютера. Общее имя (CN) должно соответствовать имени SAN для каждого сертификата.
Как предварительно настроить параметры для пользователей веб-клиента удаленного рабочего стола
В этом разделе описывается, как использовать PowerShell для настройки параметров для развертывания веб-клиента удаленного рабочего стола. Эти командлеты PowerShell позволяют управлять возможностями пользователя изменять параметры в соответствии с требованиями безопасности или рабочим процессом вашей организации. Следующие параметры находятся на боковой панели Параметры веб-клиента.
"Suppress telemetry" (Отключение телеметрии)
По умолчанию пользователь может включить или отключить сбор данных телеметрии, которые отправляются в корпорацию Майкрософт. Сведения о собираемых данных телеметрии майкрософт см. в нашем заявлении о конфиденциальности по ссылке на боковой панели "Сведения ".
Будучи администратором, вы можете отключить сбор данных телеметрии для развертывания с помощью следующего командлета PowerShell.
Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true
По умолчанию пользователь может включить или отключить сбор данных телеметрии. Логическое значение $false будет соответствовать поведению клиента по умолчанию. Логическое значение $true отключает телеметрию и запрещает включение телеметрии пользователем.
"Remote resource launch method" (Метод запуска удаленного ресурса)
Примечание.
В настоящее время этот параметр работает только с веб-клиентом RDS, а не с веб-клиентом Виртуального рабочего стола Azure.
По умолчанию пользователи могут запускать удаленные ресурсы (1) в браузере или (2), скачав .rdp
файл для обработки с другим клиентом, установленным на своем компьютере. Если вы администратор, вы можете задать для своего развертывания строго определенный способ запуска удаленных ресурсов с помощью следующей команды PowerShell:
Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)
По умолчанию пользователь может выбрать любой из методов запуска. Логическое значение $true вынудит пользователя запускать ресурсы в браузере. Логическое значение $false заставляет пользователя запускать ресурсы, скачивая .rdp
файл для обработки с помощью локально установленного клиента RDP.
Сброс конфигурации RDWebClientDeploymentSetting до значений по умолчанию
Чтобы сбросить параметр веб-клиента на уровне развертывания до конфигурации по умолчанию, выполните следующий командлет PowerShell и укажите имя сбрасываемого параметра, используя параметр -name.
Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"
Устранение неполадок
Если пользователь сообщает о следующих проблемах при первом запуске веб-клиента, в разделах ниже описывается, как устранить эти проблемы.
Что делать, если в браузере пользователя отображается предупреждение о безопасности при попытке получения доступа к веб-клиенту
Возможно, роль веб-доступа к удаленным рабочим столам не использует доверенный сертификат. Убедитесь, что для роли веб-доступа к удаленным рабочим столам настроен общедоступный доверенный сертификат.
Если это не помогло, возможно, имя сервера в URL-адресе клиента отличается от имени, указанного в сертификате для веб-доступа к удаленным рабочим столам. Убедитесь, что в URL-адресе используется полное доменное имя сервера, на котором размещена роль веб-доступа к удаленным рабочим столам.
Что делать, если пользователь не может подключиться к ресурсу с помощью веб-клиента, хотя и видит соответствующий элемент в разделе "Все ресурсы"
Если пользователь сообщил, что он не может подключиться к ресурсам с помощью веб-клиента, хотя видит их в списке, проверьте следующее.
- Правильно ли настроена роль шлюза удаленных рабочих столов для использования общедоступного доверенного сертификата?
- Установлены ли необходимые обновления на сервер шлюза удаленных рабочих столов? Убедитесь, что на сервере установлено обновление KB4025334.
Если пользователь при попытке подключения получает сообщение об ошибке "unexpected server authentication certificate was received" (был получен непредвиденный сертификат аутентификации), то в нем будет отображен отпечаток сертификата. Выполните поиск в диспетчере сертификатов на сервере посредника подключений к удаленному рабочему столу с помощью этого отпечатка, чтобы найти соответствующий сертификат. Убедитесь, что сертификат настроен для использования для роли посредника подключений к удаленному рабочему столу на странице свойств развертывания Удаленного рабочего стола. Убедившись, что срок действия сертификата еще не истек, скопируйте сертификат в виде CER-файла на сервер веб-доступа к удаленным рабочим столам и выполните следующую команду на сервере веб-доступа к удаленным рабочим столам, заменив значение в квадратных скобках путем к файлу сертификата.
Import-RDWebClientBrokerCert <certificate file path>
Диагностика проблем с помощью журнал консоли
Если не удается устранить проблему, следуя инструкциям по устранению неполадок в этой статье, попробуйте самостоятельно диагностировать источник проблемы, просмотрев журнал консоли в браузере. Веб-клиент предоставляет метод для записи действий из журнала консоли браузера при использовании веб-клиента для диагностики проблем.
- Щелкните многоточие в правом верхнем углу и перейдите на страницу About (О программе) с помощью раскрывающегося меню.
- В разделе Capture support information (Запись сведения для поддержки) нажмите кнопку Start recording (Начать запись).
- Выполните операции в веб-клиенте, создав проблему, которую вы пытаетесь диагностировать.
- Перейдите на страницу About (О программе) и нажмите кнопку Stop recording (Остановить запись).
- Браузер автоматически скачает TXT-файл RD Console Logs.txt. Этот файл содержит полное действие журнала консоли, созданное при воспроизведении целевой проблемы.
В консоль также можно перейти непосредственно через браузер. Консоль обычно находится в разделе средств разработчика. Например, можно открыть журнал в Microsoft Edge, нажав клавишу F12 или щелкнув многоточие, а затем открыв меню Дополнительные средства>Средства разработчика.
Помощь в работе с веб-клиентом
Если возникла проблема, которую не удается устранить с помощью инструкций из этой статьи, сообщите нам о ней на форуме, посвященном Виртуальному рабочему столу Azure, на портале сообщества Microsoft Tech Community.