Compartilhar via


Solucionar problemas do cliente da Área de Trabalho Remota para Windows ao se conectar à Área de Trabalho Virtual do Azure

Este artigo descreve os problemas que você pode enfrentar com o cliente da Área de Trabalho Remota para Windows ao se conectar à Área de Trabalho Virtual do Azure e como corrigi-los.

Geral

Nesta seção, você encontrará diretrizes de solução de problemas gerais com o cliente da Área de Trabalho Remota.

Você não vê os recursos esperados

Se você não vir os recursos remotos que espera ver no aplicativo, verifique a conta que está usando. Se você já tiver entrado com uma conta diferente daquela que deseja usar para a Área de Trabalho Virtual do Azure, primeiro saia e entre novamente com a conta correta. Se você estiver usando o cliente Web da Área de Trabalho Remota, poderá usar uma janela do navegador InPrivate para tentar uma conta diferente.

Se você estiver usando a conta correta, verifique se o grupo de aplicativos está associado a um espaço de trabalho.

Sua conta está configurada para impedir que você use esse dispositivo

Se você vir um erro dizendo que Sua conta está configurada para impedir que você use este dispositivo. Para saber mais, entre em contato com o administrador do sistema, verifique se a conta de usuário recebeu a função de logon de usuário da máquina virtual nas VMs.

O nome de usuário ou a senha está incorreta

Se você não conseguir entrar e continuar recebendo uma mensagem de erro informando que suas credenciais estão incorretas, primeiro certifique-se de que você está usando as credenciais corretas. Se você continuar vendo mensagens de erro, verifique se cumpriu os seguintes requisitos:

  • Atribuiu a permissão do RBAC (controle de acesso baseado em função) de Logon de Usuário da Máquina Virtual à VM (máquina virtual) ou ao grupo de recursos para cada usuário?
  • Sua política de Acesso Condicional exclui os requisitos de autenticação multifator para o aplicativo de nuvem entrada na VM do Windows do Azure?

Se você respondeu não a qualquer uma dessas perguntas, precisará reconfigurar a autenticação multifator. Para reconfigurar sua autenticação multifator, siga as instruções em Impor autenticação multifator do Microsoft Entra para Área de Trabalho Virtual do Azure usando o acesso condicional.

Importante

As entradas de VM não oferecem suporte à autenticação multifator do Microsoft Entra habilitada ou imposta por usuário. Se você tentar entrar com a autenticação multifator em uma VM, não poderá entrar e receberá uma mensagem de erro.

Se você integrou os logs do Microsoft Entra com os logs do Azure Monitor para acessar os logs de entrada do Microsoft Entra por meio do Log Analytics, poderá ver se habilitou a autenticação multifator e política de Acesso Condicional está disparando o evento. Os eventos mostrados são eventos de logon de usuários não interativos para a VM, o que significa que o endereço IP parecerá vir do endereço IP externo a partir do qual sua VM acessa o Microsoft Entra ID.

Você pode acessar os logs de entrada executando a seguinte consulta kusto:

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

Recuperar e abrir logs do cliente

Talvez você precise dos logs do cliente ao investigar um problema.

Para recuperar os logs do cliente:

  1. Garanta que nenhuma sessão esteja ativa e que o processo do cliente não esteja em execução em segundo plano clicando com o botão direito do mouse no ícone de Área de Trabalho Remota na bandeja do sistema e selecionando Desconectar todas as sessões.
  2. Abra o Explorador de Arquivos.
  3. Navegue até a pasta %temp%\DiagOutputDir\RdClientAutoTrace.

Os logs estão no formato de arquivo .ETL. Você pode convertê-los em .CSV ou .XML para torná-los facilmente legíveis usando o comando tracerpt. Localize o nome do arquivo que você deseja converter e anote-o.

  • Para converter o arquivo .ETL em .CSV, abra o PowerShell e execute o seguinte, substituindo o valor de $filename pelo nome do arquivo que você deseja converter (sem a extensão) e $outputFolder pelo diretório no qual o arquivo .CSV deve ser criado.

    $filename = "<filename>"
    $outputFolder = "C:\Temp"
    cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
    tracerpt "$filename.etl" -o "$outputFolder\$filename.csv" -of csv
    
  • Para converter o arquivo .ETL em .XML, abra o Prompt de Comando ou o PowerShell e execute o seguinte, substituindo <filename> pelo nome do arquivo que você deseja converter e $outputFolder pelo diretório no qual o arquivo .XML deve ser criado.

    $filename = "<filename>"
    $outputFolder = "C:\Temp"
    cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
    tracerpt "$filename.etl" -o "$outputFolder\$filename.xml"
    

O cliente para de responder ou não pode ser aberto

Se o cliente da Área de Trabalho Remota para Windows ou o aplicativo da Área de Trabalho Virtual do Azure para Windows parar de responder ou não puder ser aberto, talvez seja necessário redefinir os dados do usuário. Se você puder abrir o cliente, poderá redefinir os dados do usuário no menu Sobre ou, se não conseguir abrir o cliente, poderá redefinir os dados do usuário na linha de comando. As configurações padrão para o cliente serão restauradas e a sua inscrição será cancelada em todos os workspaces.

Para redefinir os dados do usuário do cliente:

  1. Abra o aplicativo Área de Trabalho Remota no dispositivo.

  2. Selecione os três pontos no canto superior direito para mostrar o menu e selecione Sobre.

  3. Na seção Redefinir dados do usuário, selecione Redefinir. Para confirmar que você deseja redefinir os dados do usuário, selecione Continuar.

Para redefinir os dados do usuário na linha de comando:

  1. Abra o PowerShell.

  2. Altere o diretório para o local em que o cliente da Área de Trabalho Remota está instalado, por padrão, é C:\Program Files\Remote Desktop.

  3. Execute o comando a seguir para redefinir os dados do usuário. Você será solicitado a confirmar se deseja redefinir os dados do usuário.

    .\msrdcw.exe /reset
    

    Você também pode adicionar a opção /f, em que os dados do usuário serão redefinidos sem confirmação:

    .\msrdcw.exe /reset /f
    

O administrador pode ter encerrado sua sessão

Você vê a mensagem de erro Seu administrador pode ter encerrado sua sessão. Tente se conectar novamente. Se isso não funcionar, peça ajuda ao administrador ou ao suporte técnico, quando a configuração de política Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota estiver definida como desativada.

Para configurar a política para permitir que os usuários se conectem novamente, dependendo se seus hosts de sessão são gerenciados com a Política de Grupo ou o Intune.

Para a Política de Grupo:

  1. Abra o Console de Gerenciamento de Política de Grupo (GPMC) para hosts de sessão gerenciados com o Active Directory ou o Console do Editor da Política de Grupo Local e edite a política que tem como destino seus hosts de sessão.

  2. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host da Sessão da Área de Trabalho Remota > Conexões

  3. Defina a configuração da política Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota como Habilitado.

Para o Intune:

  1. Abra o Catálogo de configurações.

  2. Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host da Sessão da Área de Trabalho Remota > Conexões

  3. Defina a configuração da política Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota como Habilitado.

Autenticação e identidade

Nesta seção, você encontrará diretrizes de solução de problemas de autenticação e identidade com o cliente da Área de Trabalho Remota.

Falha na tentativa de logon

Se você vir um erro dizendo que A tentativa de logon falhou no prompt de credenciais de Segurança do Windows, verifique o seguinte:

O método de entrada que você está tentando usar não é permitido

Se você vir um erro informando que O método de entrada que você está tentando usar não é permitido. Tente um método de entrada diferente ou contate o administrador do sistema, você tem políticas de acesso condicional restringindo o acesso. Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o acesso condicional para impor a autenticação multifator do Microsoft Entra para suas VMs ingressadas no Microsoft Entra.

Uma sessão de logon especificada não existe. Talvez ela já tenha sido finalizada.

Se você se deparar com um erro Ocorreu um erro de autenticação. Uma sessão de logon especificada não existe. Ela pode já ter sido encerrada, verifique se você criou e configurou corretamente o objeto servidor Kerberos quando configurou o logon único.

Problemas de autenticação ao usar um SKU N do Windows

Problemas de autenticação podem acontecer porque você está usando um SKU N do Windows no dispositivo local, sem o Media Feature Pack. Para obter mais informações e saber como instalar o Media Feature Pack, confira Lista de Media Feature Pack para edições N do Windows.

Problemas de autenticação quando o TLS 1.2 não está habilitado

Problemas de autenticação podem ocorrer quando o dispositivo local do Windows não tiver o TLS 1.2 habilitado. Para habilitar o TLS 1.2, você precisa definir os seguintes valores do registro:

  • Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

    Nome do valor Type Dados do valor
    DisabledByDefault DWORD 0
    habilitado DWORD 1
  • Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

    Nome do valor Type Dados do valor
    DisabledByDefault DWORD 0
    habilitado DWORD 1
  • Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    Nome do valor Type Dados do valor
    SystemDefaultTlsVersions DWORD 1
    SchUseStrongCrypto DWORD 1

Você pode configurar esses valores do Registro abrindo o PowerShell como administrador e executando os seguintes comandos:

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWORD' -Force

O problema não está listado aqui

Se o problema não estiver listado aqui, consulte Solução de problemas de visão geral, comentários e suporte para a Área de Trabalho Virtual do Azure, para obter informações sobre como abrir um caso de Suporte do Azure para a Área de Trabalho Virtual do Azure.