Delen via

De extern bureaublad-webclient instellen voor uw gebruikers

Met de externe bureaublad-webclient kunnen gebruikers toegang krijgen tot de Remote Desktop-infrastructuur van uw organisatie via een compatibele webbrowser. Ze kunnen communiceren met externe apps of desktops, zoals ze ook met een lokale pc zouden doen, ongeacht waar ze zich bevinden. Zodra u uw extern bureaublad-webclient hebt ingesteld, hebben al uw gebruikers nodig om aan de slag te gaan de URL waar ze toegang hebben tot de client, hun inloggegevens en een ondersteunde webbrowser.

Belangrijk

De webclient biedt wel ondersteuning voor het gebruik van de Microsoft Entra-toepassingsproxy, maar biedt helemaal geen ondersteuning voor webtoepassingsproxy. Zie RDS gebruiken met toepassingsproxyservices voor meer informatie.

Wat u nodig hebt om de webclient in te stellen

Voordat u aan de slag gaat, moet u rekening houden met het volgende:

  • Zorg ervoor dat uw extern bureaublad-implementatie een RD-gateway, een RD Connection Broker en RD-webtoegang heeft die wordt uitgevoerd op Windows Server 2016 of 2019.

  • Zorg ervoor dat uw implementatie is geconfigureerd voor licenties voor clienttoegang per gebruiker (CAL's) in plaats van per apparaat, anders worden alle licenties verbruikt.

  • Installeer de Windows 10-update KB4025334 op de RD-gateway. Latere cumulatieve updates kunnen deze KB al bevatten.

  • Zorg ervoor dat openbare vertrouwde certificaten zijn geconfigureerd voor de rollen RD Gateway en RD Web Access.

  • Zorg ervoor dat op computers waarmee uw gebruikers verbinding maken een van de volgende versies van het besturingssysteem worden uitgevoerd:

    • Windows 10 of hoger
    • Windows Server 2016 of hoger

Uw gebruikers zien betere prestaties bij het maken van verbinding met Windows Server 2016 (of hoger) en Windows 10 (versie 1611 of hoger).

Belangrijk

Als u de webclient hebt gebruikt tijdens de preview-periode en een versie vóór 1.0.0 hebt geïnstalleerd, moet u eerst de oude client verwijderen voordat u naar de nieuwe versie overstapt. Als u een foutbericht krijgt met de tekst 'De webclient is geïnstalleerd met een oudere versie van RDWebClientManagement en eerst moet worden verwijderd voordat de nieuwe versie wordt geïmplementeerd', voert u de volgende stappen uit:

  1. Open een PowerShell-prompt met verhoogde bevoegdheid.
  2. Voer Uninstall-Module RDWebClientManagement- uit om de nieuwe module te verwijderen.
  3. Sluit de PowerShell-prompt met verhoogde bevoegdheid en open deze opnieuw.
  4. Voer oude versie Install-Module RDWebClientManagement -RequiredVersion <uit> om de oude module te installeren.
  5. Voer Uninstall-RDWebClient- uit om de oude webclient te verwijderen.
  6. Voer Uninstall-Module RDWebClientManagement- uit om de oude module te verwijderen.
  7. Sluit de PowerShell-prompt met verhoogde bevoegdheid en open deze opnieuw.
  8. Ga als volgt verder met de normale installatiestappen.

De extern bureaublad-webclient publiceren

Voer de volgende stappen uit om de webclient voor het eerst te installeren:

  1. Haal op de RD Connection Broker-server het certificaat op dat wordt gebruikt voor verbindingen met extern bureaublad en exporteer het als een .cer-bestand. Kopieer het .cer-bestand van de RD Connection Broker naar de server waarop de RD-webrol wordt uitgevoerd.

  2. Open op de RD Web Access-server een PowerShell-prompt met verhoogde bevoegdheid.

  3. Werk in Windows Server 2016 de PowerShellGet-module bij, omdat de standaard versie geen ondersteuning biedt voor het installeren van de webclient-beheermodule. Voer de volgende cmdlet uit om PowerShellGet bij te werken:

    Install-Module -Name PowerShellGet -Force

    Notitie

    Voor toegang tot de PowerShell Gallery is Transport Layer Security (TLS) 1.2 of hoger vereist. Gebruik de volgende opdracht om TLS 1.2 in te schakelen in uw PowerShell-sessie:

    [Net.ServicePointManager]::SecurityProtocol =
[Net.ServicePointManager]::SecurityProtocol -bor
[Net.SecurityProtocolType]::Tls12

    Belangrijk

    U moet PowerShell opnieuw starten voordat de update van kracht kan worden, anders werkt de module mogelijk niet.

  4. Installeer de PowerShell-module extern bureaublad-webclientbeheer vanuit de PowerShell-galerie met deze cmdlet:

    Install-Module -Name RDWebClientManagement

  5. Voer daarna de volgende cmdlet uit om de nieuwste versie van de extern bureaublad-webclient te downloaden:

    Install-RDWebClientPackage

  6. Voer vervolgens deze cmdlet uit met de waarde tussen haakjes vervangen door het pad van het .cer-bestand dat u hebt gekopieerd uit de RD Broker:

    Import-RDWebClientBrokerCert <.cer file path>

  7. Voer ten slotte deze cmdlet uit om de extern bureaublad-webclient te publiceren:

    Publish-RDWebClientPackage -Type Production -Latest

    Zorg ervoor dat u toegang hebt tot de webclient op de webclient-URL, gebruikmakend van uw servernaam, geformatteerd als https://server_FQDN/RDWeb/webclient/index.html. Het is belangrijk om de servernaam te gebruiken die overeenkomt met het openbare RD Web Access-certificaat in de URL (meestal de server-FQDN).

    Notitie

    Wanneer u de cmdlet Publish-RDWebClientPackage uitvoert, ziet u mogelijk een waarschuwing met de melding dat CA's per apparaat niet worden ondersteund, zelfs als uw implementatie is geconfigureerd voor CAL's per gebruiker. Als uw implementatie gebruikmaakt van CA's per gebruiker, kunt u deze waarschuwing negeren. We geven deze weer om ervoor te zorgen dat u op de hoogte bent van de configuratiebeperking.

  8. Wanneer u klaar bent om gebruikers toegang te geven tot de webclient, stuurt u ze gewoon de URL van de webclient die u hebt gemaakt.

Notitie

Als u een lijst met alle ondersteunde cmdlets voor de RDWebClientManagement-module wilt zien, voert u de volgende cmdlet uit in PowerShell:

Get-Command -Module RDWebClientManagement

Hoe de extern bureaublad-webclient bij te werken

Wanneer er een nieuwe versie van de extern bureaublad-webclient beschikbaar is, volgt u deze stappen om de implementatie bij te werken met de nieuwe client:

  1. Open een PowerShell-prompt met verhoogde bevoegdheid op de RD Web Access-server en voer de volgende cmdlet uit om de meest recente beschikbare versie van de webclient te downloaden:

    Install-RDWebClientPackage

  2. U kunt de client desgewenst publiceren voor testen vóór de officiële release door deze cmdlet uit te voeren:

    Publish-RDWebClientPackage -Type Test -Latest

    De client moet worden weergegeven op de test-URL die overeenkomt met de URL van uw webclient (bijvoorbeeld <https://server_FQDN/RDWeb/webclient-test/index.html>).

  3. Publiceer de client voor gebruikers door de volgende cmdlet uit te voeren:

    Publish-RDWebClientPackage -Type Production -Latest

    Hiermee wordt de client voor alle gebruikers vervangen wanneer ze de webpagina opnieuw starten.

Hoe de extern bureaublad-webclient te verwijderen

Als u alle traceringen van de webclient wilt verwijderen, voert u de volgende stappen uit:

  1. Open op de RD Web Access-server een PowerShell-prompt met verhoogde bevoegdheid.

  2. Maak de publicatie van de test- en productieclients ongedaan, verwijder alle lokale pakketten en verwijder de webclientinstellingen:

    Uninstall-RDWebClient

  3. Verwijder de PowerShell-module extern bureaublad-webclientbeheer:

    Uninstall-Module -Name RDWebClientManagement

De extern bureaublad-webclient installeren zonder internetverbinding

Volg deze stappen om de webclient te implementeren op een RD Web Access-server die geen internetverbinding heeft.

Notitie

Installeren zonder internetverbinding is beschikbaar in versie 1.0.1 en hoger van de RDWebClientManagement PowerShell-module.

Notitie

U hebt nog steeds een pc met beheerderstoegang nodig om de benodigde bestanden te downloaden voordat u ze overdraagt naar de offlineserver.

Notitie

De pc van de eindgebruiker heeft voorlopig een internetverbinding nodig. Dit wordt opgelost in een toekomstige release van de client om een volledig offlinescenario te bieden.

Vanaf een apparaat met internettoegang

  1. Open een PowerShell-prompt.

  2. Importeer de PowerShell-module voor het beheer van de externe bureaublad-webclient uit de PowerShell-galerie.

    Import-Module -Name RDWebClientManagement

  3. Download de nieuwste versie van de extern bureaublad-webclient voor installatie op een ander apparaat:

    Save-RDWebClientPackage "C:\WebClient\"

  4. Download de nieuwste versie van de POWERShell-module RDWebClientManagement:

    Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"

  5. Kopieer de inhoud van C:\WebClient naar de RD Web Access-server.

Vanaf de RD Web Access-server

Volg de instructies onder Hoe de extern bureaublad-webclient te publiceren, waarbij u de stappen 4 en 5 vervangt door de volgende.

  1. U hebt twee opties om de nieuwste PowerShell-module voor webclientbeheer op te halen:

    • Importeer de PowerShell-module voor extern bureaublad-webclientbeheer: 
      Import-Module -Name RDWebClientManagement
    • Kopieer de gedownloade map RDWebClientManagement naar een van de lokale PowerShell-modulemappen die worden vermeld onder $env:psmodulePath, of voeg het pad naar de map met de gedownloade bestanden toe aan de $env:psmodulePath.

  2. Implementeer de nieuwste versie van de extern bureaublad-webclient uit de lokale map (vervang door het juiste zip-bestand):

    Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"

Verbinding maken met RD Broker zonder RD Gateway in Windows Server 2019

In deze sectie wordt beschreven hoe u een webclientverbinding met een RD Broker inschakelt zonder een RD-gateway in Windows Server 2019.

De RD Broker-server instellen

Volg deze stappen als er geen certificaat is gebonden aan de RD Broker-server

  1. Open Serverbeheer>Externe bureaubladservices.

  2. Selecteer in sectie Implementatieoverzicht de vervolgkeuzelijst Taken.

  3. Selecteer Implementatie-eigenschappen bewerken, een nieuw venster met de titel Implementatie-eigenschappen wordt geopend.

  4. Selecteer in het venster Implementatie-eigenschappen in het linker menu Certificaten.

  5. Selecteer in de lijst met certificaatniveaus RD Connection Broker - Eenmalige aanmelding inschakelen. U hebt twee opties: (1) maak een nieuw certificaat of (2) een bestaand certificaat.

Volg deze stappen als er eerder een certificaat is gekoppeld aan de RD Broker-server

  1. Open het certificaat dat is gebonden aan de Broker en kopieer de vingerafdruk waarde.

  2. Als u dit certificaat aan de beveiligde poort 3392 wilt binden, opent u een PowerShell-venster met verhoogde bevoegdheid en voert u de volgende opdracht uit, waarbij u '< vingerafdruk >' vervangt door de waarde die u uit de vorige stap hebt gekopieerd:

    netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"

    Notitie

    Voer de volgende opdracht uit om te controleren of het certificaat juist is gebonden:

    netsh http show sslcert

    Zorg ervoor dat in de lijst met SSL-certificaatbindingen het juiste certificaat is gebonden aan poort 3392.

  3. Open het Windows-register (regedit), ga naar HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp en zoek de sleutel WebSocketURI. Stel vervolgens de waarde in op https://+:3392/rdp/.

Het instellen van de RD Session Host

Volg deze stappen als de RD Session Host-server verschilt van de RD Broker-server:

  1. Maak een certificaat voor de RD Session Host-machine, open het en kopieer de vingerafdrukwaarde.

  2. Als u dit certificaat aan de beveiligde poort 3392 wilt binden, opent u een PowerShell-venster met verhoogde bevoegdheid en voert u de volgende opdracht uit, waarbij u '< vingerafdruk >' vervangt door de waarde die u uit de vorige stap hebt gekopieerd:

    netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"

    Notitie

    Voer de volgende opdracht uit om te controleren of het certificaat juist is gebonden:

    netsh http show sslcert

    Zorg ervoor dat in de lijst met SSL-certificaatbindingen het juiste certificaat is gebonden aan poort 3392.

  3. Open het Windows-register (regedit) en navigeer naar HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp en zoek de sleutel WebSocketURI. De waarde moet worden ingesteld op https://+:3392/rdp/.

Algemene waarnemingen

  • Zorg ervoor dat zowel de RD Session Host als de RD Broker-server Windows Server 2019 uitvoeren.

  • Zorg ervoor dat openbare vertrouwde certificaten zijn geconfigureerd voor zowel de RD Session Host als de RD Broker-server.

    Notitie

    Als zowel de RD Session Host als de RD Broker-server dezelfde computer delen, stelt u alleen het RD Broker-servercertificaat in. Als de RD Session Host en RD Broker-server verschillende computers gebruiken, moeten beide worden geconfigureerd met unieke certificaten.

  • De Subject Alternative Name (SAN) voor elk certificaat moet worden ingesteld op de Fully Qualified Domain Name (FQDN)van de machine. De algemene naam (CN) moet overeenkomen met het SAN voor elk certificaat.

Instellingen vooraf configureren voor gebruikers van extern bureaublad-webclients

In deze sectie wordt uitgelegd hoe u PowerShell gebruikt voor het configureren van instellingen voor de implementatie van uw extern bureaublad-webclient. Deze PowerShell-cmdlets bepalen de mogelijkheid van een gebruiker om instellingen te wijzigen op basis van de beveiligingsproblemen van uw organisatie of de beoogde werkstroom. De volgende instellingen bevinden zich allemaal in het Instellingen zijpaneel van de webclient.

Telemetrie onderdrukken

Standaard kunnen gebruikers ervoor kiezen om het verzamelen van telemetriegegevens die naar Microsoft worden verzonden, in of uit te schakelen. Raadpleeg onze privacyverklaring via de koppeling in het Over zijpaneel voor informatie over de telemetriegegevens die Microsoft verzamelt.

Als beheerder kunt u ervoor kiezen om telemetrieverzameling voor uw implementatie te onderdrukken met behulp van de volgende PowerShell-cmdlet:

 Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true

Standaard kan de gebruiker ervoor kiezen om telemetrie in of uit te schakelen. Een Booleaanse waarde $false komt overeen met het standaardgedrag van de client. Een Booleaanse waarde $true telemetrie uitschakelt en beperkt de gebruiker om telemetrie in te schakelen.

Methode voor starten van externe bronnen

Notitie

Deze instelling werkt momenteel alleen met de RDS-webclient, niet met de Azure Virtual Desktop-webclient.

Standaard kunnen gebruikers ervoor kiezen om externe resources te starten (1) in de browser of (2) door een .rdp-bestand te downloaden om te verwerken met een andere client die op hun computer is geïnstalleerd. Als beheerder kunt u ervoor kiezen om de externe methode voor het starten van resources voor uw implementatie te beperken met de volgende PowerShell-opdracht:

 Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)

Standaard kan de gebruiker een van beide startmethoden selecteren. Een Booleaanse waarde $true dwingt de gebruiker om resources in de browser te starten. Een Booleaanse waarde $false dwingt de gebruiker om resources te starten door een .rdp-bestand te downloaden dat moet worden verwerkt met een lokaal geïnstalleerde RDP-client.

RDWebClientDeploymentSetting-configuraties opnieuw instellen op standaard

Als u een webclientinstelling op implementatieniveau opnieuw wilt instellen op de standaardconfiguratie, voert u de volgende PowerShell-cmdlet uit en gebruikt u de parameter -name om de instelling op te geven die u opnieuw wilt instellen:

 Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
 Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"

Probleemoplossing

Als een gebruiker een van de volgende problemen meldt bij het openen van de webclient voor de eerste keer, wordt in de volgende secties uitgelegd wat u moet doen om deze op te lossen.

Wat u moet doen als de browser van de gebruiker een beveiligingswaarschuwing weergeeft wanneer deze toegang probeert te krijgen tot de webclient

De rol RD Web Access maakt mogelijk geen gebruik van een vertrouwd certificaat. Zorg ervoor dat de rd-webtoegangsrol is geconfigureerd met een openbaar vertrouwd certificaat.

Als dat niet werkt, komt de servernaam in de URL van de webclient mogelijk niet overeen met de naam die is opgegeven door het RD-webcertificaat. Zorg ervoor dat uw URL gebruikmaakt van de FQDN van de server die als host fungeert voor de RD-webrol.

Wat moet u doen als de gebruiker geen verbinding kan maken met een resource met de webclient, ook al kunnen ze de items onder Alle resources zien

Als de gebruiker rapporteert dat ze geen verbinding kunnen maken met de webclient, ook al kunnen ze de vermelde resources zien, controleert u het volgende:

  • Is de rd-gatewayrol juist geconfigureerd voor het gebruik van een vertrouwd openbaar certificaat?
  • Is op de RD Gateway-server de vereiste updates geïnstalleerd? Zorg ervoor dat de KB4025334-update is geïnstalleerd op de server.

Als de gebruiker een foutbericht 'onverwacht serververificatiecertificaat is ontvangen' krijgt wanneer deze verbinding probeert te maken, wordt in het bericht de vingerafdruk van het certificaat weergegeven. Zoek in de certificaatbeheerder van de RD Broker-server met behulp van die vingerafdruk om het juiste certificaat te vinden. Controleer of het certificaat is geconfigureerd voor gebruik met de RD Broker-rol op de eigenschapspagina van de Remote Desktop-implementatie. Nadat u hebt gecontroleerd of het certificaat niet is verlopen, kopieert u het certificaat in .cer bestandsindeling naar de RD Web Access-server en voert u de volgende opdracht uit op de RD Web Access-server door de waarde tussen haakjes vervangen door het bestandspad van het certificaat:

Import-RDWebClientBrokerCert <certificate file path>

Problemen met het consolelogboek vaststellen

Als u het probleem niet kunt oplossen op basis van de instructies voor probleemoplossing in dit artikel, kunt u proberen de oorzaak van het probleem zelf te diagnosticeren door het consolelogboek in de browser te bekijken. De webclient biedt een methode voor het vastleggen van de browserconsolelogboekactiviteit tijdens het gebruik van de webclient om problemen vast te stellen.

  • Selecteer het beletselteken in de rechterbovenhoek en navigeer naar de pagina Over in de vervolgkeuzelijst.
  • Selecteer onder Capture-ondersteuningsinformatie de knop Start opname.
  • Voer de bewerking(en) uit in de webclient die het probleem heeft geproduceerd dat u probeert te diagnosticeren.
  • Ga naar de pagina Over en selecteer Stoppen met opnemen.
  • In uw browser wordt automatisch een .txt bestand met de titel RD Console Logs.txtgedownload. Dit bestand bevat de volledige console-logboekactiviteit die is gegenereerd tijdens het reproduceren van het probleem.

De console kan ook rechtstreeks via uw browser worden geopend. De console bevindt zich in het algemeen onder de ontwikkelhulpprogramma's. U hebt bijvoorbeeld toegang tot het logboek in Microsoft Edge door op de toets F12 te drukken of door het beletselteken te selecteren en vervolgens naar Meer hulpprogramma's te gaan>Ontwikkelhulpprogramma's.

Hulp krijgen bij de webclient

Als er een probleem is opgetreden dat niet kan worden opgelost door de informatie in dit artikel, kunt u dit melden op het Azure Virtual Desktop-forum van Microsoft Tech Community.