共用方式為

針對在連線至 Azure 虛擬桌面時,使用適用於 Windows 的遠端桌面用戶端進行疑難排解

  • 發行項

本文說明在連線至 Azure 虛擬桌面時,您使用適用於適用於 Windows 的遠端桌面用戶端時可能遇到的問題,以及如何修正這些問題。

一般

在本節中,您會找到遠端桌面用戶端一般問題的疑難排解指引。

您不會看到預期的資源

如果您看不到預期在應用程式中看到的遠端資源,請檢查正在使用的帳戶。 如果您已使用不同於原先要用於 Azure 虛擬桌面的帳戶登入,請先登出,再以正確的帳戶重新登入。 如果您使用遠端桌面 Web 用戶端,您可使用 InPrivate 瀏覽器視窗以嘗試不同帳戶。

如果您使用正確的帳戶,請確定您的應用程式群組與工作區相互關聯。

您的帳戶已設定為防止您使用此裝置

如果您遇到顯示您的帳戶已設定為防止您使用此裝置。如需詳細資訊,請連絡您的系統管理員的錯誤,請確保使用者帳戶已取得 VMs 上的虛擬機器使用者登入角色

使用者名稱或密碼不正確

如果您無法登入並持續收到錯誤訊息,指出您的登入資訊不正確,請先確定您使用正確的登入資訊。 如果您持續看到錯誤訊息,請檢查您是否已完成下列需求:

  • 您是否已將虛擬機器使用者登入角色型存取控制 (RBAC) 權限指派給每位使用者的虛擬機器 (VM) 或資源群組?
  • 您的條件式存取原則是否排除適用於 Azure Windows VM 登入雲端應用程式的多重要素驗證需求?

如有任一答案為「否」,您就必須重新設定多重要素驗證。 若要重新設定多重要素驗證,請遵循使用條件式存取來強制執行適用於 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示操作。

重要

VM 登入不支援針對個別使用者啟用或強制執行 Microsoft Entra 多重要素驗證。 如果您嘗試在 VM 上使用多重要素驗證登入,將會無法登入,而且會收到錯誤訊息。

如果您已整合 Microsoft Entra 和 Azure 監視器的記錄,以透過 Log Analytics 存取您的 Microsoft Entra 登入記錄,則可查看是否已啟用多重要素驗證,以及觸發事件的條件式存取原則為何。 所顯示的事件是 VM 的非互動式使用者登入事件,這表示 IP 位址會看似來自 VM 存取 Microsoft Entra ID 的外部 IP 位址。

您可以執行下列 Kusto 查詢來存取登入記錄:

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

擷取和開啟用戶端記錄

在調查問題時,您可能需要用戶端記錄。

若要擷取用戶端記錄:

  1. 以滑鼠右鍵按一下系統匣中的 [遠端桌面] 圖示,然後選取 [中斷所有工作階段的連線],以確定沒有作用中的工作階段,且用戶端處理序並未在背景中執行。
  2. 開啟 [檔案總管]
  3. 導覽至 %temp%\DiagOutputDir\RdClientAutoTrace 資料夾。

記錄為 .ETL 檔案格式。 您可以使用 tracerpt 命令將這些記錄轉換為 .CSV 或 .XML,使其更容易閱讀。 尋找您要轉換的檔案名稱,並記下它。

  • 若要將 .ETL 檔案轉換為 .CSV,請開啟 PowerShell 並執行下列動作,將 $filename 的值取代為您想要轉換的檔案名稱 (沒有副檔名),以及將 $outputFolder 取代為要在其中建立 .CSV 檔案的目錄。

    $filename = "<filename>"
$outputFolder = "C:\Temp"
cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
tracerpt "$filename.etl" -o "$outputFolder\$filename.csv" -of csv

  • 若要將 .ETL 檔案轉換為 .XML,請開啟命令提示字元或 PowerShell 並執行下列動作,將 <filename> 取代為您想要轉換的檔案名稱,以及將 $outputFolder 取代為要在其中建立 .XML 檔案的目錄。

    $filename = "<filename>"
$outputFolder = "C:\Temp"
cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
tracerpt "$filename.etl" -o "$outputFolder\$filename.xml"

用戶端停止回應或無法開啟

如果適用於 Windows 的遠端桌面用戶端或適用於 Windows 的 Azure 虛擬桌面市集應用程式停止回應或無法開啟,您可能需要重設使用者資料。 如果您可以開啟用戶端,則您可以從 [關於] 功能表重設使用者資料,或者如果您無法開啟用戶端,則您可以從命令列重設使用者資料。 用戶端的預設設定將會還原,而且您會從所有工作區取消訂閱。

若要從用戶端重設使用者資料:

  1. 在您的裝置上開啟遠端桌面應用程式。

  2. 選取右上角的三個點以顯示功能表,然後選取 [關於]

  3. 在 [重設使用者資料] 區段中,選取 [重設]。 若要確認您想要重設使用者資料,請選取 [繼續]

若要從命令列重設使用者資料:

  1. 開啟 PowerShell。

  2. 將目錄變更為安裝遠端桌面用戶端的所在位置,預設為 C:\Program Files\Remote Desktop

  3. 執行下列命令來重設使用者資料。 系統會提示您確認您想要重設使用者資料。

    .\msrdcw.exe /reset

    您也可以新增 /f 選項,不需確認即可重設使用者資料:

    .\msrdcw.exe /reset /f

您的系統管理員可能已結束您的工作階段

您看到錯誤訊息您的系統管理員可能已結束您的工作階段。請嘗試重新連線。如果沒有作用,請向您的系統管理員或技術支援人員要求協助,前提是原則設定 [允許使用者使用遠端桌面服務進行遠端連線] 設定為已停用。

若要設定原則,根據工作階段主機是透過群組原則或 Intune 進行管理,讓使用者重新連線。

針對群組原則:

  1. 針對使用 Active Directory 或本機群組原則編輯器主控台管理的工作階段主機開啟群組原則管理主控台 (GPMC),並編輯以工作階段主機為目標的原則。

  2. 瀏覽至:電腦設定 > 系統管理範本 > Windows 元件 > 遠端桌面服務 > 遠端桌面工作階段主機 > 連線

  3. 將原則設定 [允許使用者使用遠端桌面服務進行遠端連線] 設定為 [已啟用]

針對 Intune:

  1. 開啟設定目錄

  2. 瀏覽至:電腦設定 > 系統管理範本 > Windows 元件 > 遠端桌面服務 > 遠端桌面工作階段主機 > 連線

  3. 將原則設定 [允許使用者使用遠端桌面服務進行遠端連線] 設定為 [已啟用]

驗證和身分識別

在本節中,您將找到遠端桌面用戶端驗證和識別問題的疑難排解指導。

登入嘗試失敗

如果您遇到錯誤,指出 Windows 安全性認證提示上的登入嘗試失敗,請確認下列事項:

不允許您嘗試使用的登入方法

如果您遇到錯誤,指出不允許您嘗試使用的登入方法。請嘗試其他登入方法或連絡您的系統管理員,您具有會限制存取的條件式存取原則。 遵循使用條件式存取使用條件式存取來強制執行 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示,為您的已加入 Microsoft Entra 的 VM 強制執行 Microsoft Entra 多重要素驗證。

指定的登入工作階段不存在。 可能已遭到終止。

如果您遇到錯誤,指出發生驗證錯誤。指定的登入工作階段不存在。可能已終止,請驗證您在設定單一登入時,已適當地建立和設定 Kerberos 伺服器物件。

使用 Windows 的 N SKU 時的驗證問題

由於您在本機裝置上正在使用的 Windows N SKU 沒有媒體功能套件,可能會發生驗證問題。 如需詳細資訊以及若要了解如何安裝媒體功能套件,請參閱適用於 Windows N 版本的媒體功能套件清單

未啟用 TLS 1.2 時的驗證問題

當您的本機 Windows 裝置未啟用 TLS 1.2 時,就可能會發生驗證問題。 若要啟用 TLS 1.2,您需要設定下列登錄值:

  • 金鑰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

    值名稱 類型 數值資料
    DisabledByDefault 下載 0
    啟用 下載 1

  • 金鑰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

    值名稱 類型 數值資料
    DisabledByDefault 下載 0
    啟用 下載 1

  • 金鑰HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    值名稱 類型 數值資料
    SystemDefaultTlsVersions 下載 1
    SchUseStrongCrypto 下載 1

您可以藉由以系統管理員身分開啟 PowerShell 並執行下列命令,來設定這些登錄值:

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWORD' -Force

問題並未在此列出

如果您的問題並未在此列出,請參閱 Azure 虛擬桌面的疑難排解概觀、意見反應和支援,以取得如何開啟 Azure 虛擬桌面的 Azure 支援案例相關資訊。