Solucionar problemas do cliente da Área de Trabalho Remota para Windows ao se conectar à Área de Trabalho Virtual do Azure
Este artigo descreve os problemas que você pode enfrentar com o cliente da Área de Trabalho Remota para Windows ao se conectar à Área de Trabalho Virtual do Azure e como corrigi-los.
Geral
Nesta seção, você encontrará diretrizes de solução de problemas gerais com o cliente da Área de Trabalho Remota.
Você não vê os recursos esperados
Se você não vir os recursos remotos que espera ver no aplicativo, verifique a conta que está usando. Se você já tiver entrado com uma conta diferente daquela que deseja usar para a Área de Trabalho Virtual do Azure, primeiro saia e entre novamente com a conta correta. Se você estiver usando o cliente Web da Área de Trabalho Remota, poderá usar uma janela do navegador InPrivate para tentar uma conta diferente.
Se você estiver usando a conta correta, verifique se o grupo de aplicativos está associado a um espaço de trabalho.
Sua conta está configurada para impedir que você use esse dispositivo
Se você vir um erro dizendo que Sua conta está configurada para impedir que você use este dispositivo. Para saber mais, entre em contato com o administrador do sistema, verifique se a conta de usuário recebeu a função de logon de usuário da máquina virtual nas VMs.
O nome de usuário ou a senha está incorreta
Se você não conseguir entrar e continuar recebendo uma mensagem de erro informando que suas credenciais estão incorretas, primeiro certifique-se de que você está usando as credenciais corretas. Se você continuar vendo mensagens de erro, verifique se cumpriu os seguintes requisitos:
- Atribuiu a permissão do RBAC (controle de acesso baseado em função) de Logon de Usuário da Máquina Virtual à VM (máquina virtual) ou ao grupo de recursos para cada usuário?
- Sua política de Acesso Condicional exclui os requisitos de autenticação multifator para o aplicativo de nuvem entrada na VM do Windows do Azure?
Se você respondeu não a qualquer uma dessas perguntas, precisará reconfigurar a autenticação multifator. Para reconfigurar sua autenticação multifator, siga as instruções em Impor autenticação multifator do Microsoft Entra para Área de Trabalho Virtual do Azure usando o acesso condicional.
Importante
As entradas de VM não oferecem suporte à autenticação multifator do Microsoft Entra habilitada ou imposta por usuário. Se você tentar entrar com a autenticação multifator em uma VM, não poderá entrar e receberá uma mensagem de erro.
Se você integrou os logs do Microsoft Entra com os logs do Azure Monitor para acessar os logs de entrada do Microsoft Entra por meio do Log Analytics, poderá ver se habilitou a autenticação multifator e política de Acesso Condicional está disparando o evento. Os eventos mostrados são eventos de logon de usuários não interativos para a VM, o que significa que o endereço IP parecerá vir do endereço IP externo a partir do qual sua VM acessa o Microsoft Entra ID.
Você pode acessar os logs de entrada executando a seguinte consulta kusto:
let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc
Recuperar e abrir logs do cliente
Talvez você precise dos logs do cliente ao investigar um problema.
Para recuperar os logs do cliente:
- Garanta que nenhuma sessão esteja ativa e que o processo do cliente não esteja em execução em segundo plano clicando com o botão direito do mouse no ícone de Área de Trabalho Remota na bandeja do sistema e selecionando Desconectar todas as sessões.
- Abra o Explorador de Arquivos.
- Navegue até a pasta %temp%\DiagOutputDir\RdClientAutoTrace.
Os logs estão no formato de arquivo .ETL. Você pode convertê-los em .CSV ou .XML para torná-los facilmente legíveis usando o comando tracerpt
. Localize o nome do arquivo que você deseja converter e anote-o.
Para converter o arquivo .ETL em .CSV, abra o PowerShell e execute o seguinte, substituindo o valor de
$filename
pelo nome do arquivo que você deseja converter (sem a extensão) e$outputFolder
pelo diretório no qual o arquivo .CSV deve ser criado.$filename = "<filename>" $outputFolder = "C:\Temp" cd $env:TEMP\DiagOutputDir\RdClientAutoTrace tracerpt "$filename.etl" -o "$outputFolder\$filename.csv" -of csv
Para converter o arquivo .ETL em .XML, abra o Prompt de Comando ou o PowerShell e execute o seguinte, substituindo
<filename>
pelo nome do arquivo que você deseja converter e$outputFolder
pelo diretório no qual o arquivo .XML deve ser criado.$filename = "<filename>" $outputFolder = "C:\Temp" cd $env:TEMP\DiagOutputDir\RdClientAutoTrace tracerpt "$filename.etl" -o "$outputFolder\$filename.xml"
O cliente para de responder ou não pode ser aberto
Se o cliente da Área de Trabalho Remota para Windows ou o aplicativo da Área de Trabalho Virtual do Azure para Windows parar de responder ou não puder ser aberto, talvez seja necessário redefinir os dados do usuário. Se você puder abrir o cliente, poderá redefinir os dados do usuário no menu Sobre ou, se não conseguir abrir o cliente, poderá redefinir os dados do usuário na linha de comando. As configurações padrão para o cliente serão restauradas e a sua inscrição será cancelada em todos os workspaces.
Para redefinir os dados do usuário do cliente:
Abra o aplicativo Área de Trabalho Remota no dispositivo.
Selecione os três pontos no canto superior direito para mostrar o menu e selecione Sobre.
Na seção Redefinir dados do usuário, selecione Redefinir. Para confirmar que você deseja redefinir os dados do usuário, selecione Continuar.
Para redefinir os dados do usuário na linha de comando:
Abra o PowerShell.
Altere o diretório para o local em que o cliente da Área de Trabalho Remota está instalado, por padrão, é
C:\Program Files\Remote Desktop
.Execute o comando a seguir para redefinir os dados do usuário. Você será solicitado a confirmar se deseja redefinir os dados do usuário.
.\msrdcw.exe /reset
Você também pode adicionar a opção
/f
, em que os dados do usuário serão redefinidos sem confirmação:.\msrdcw.exe /reset /f
O administrador pode ter encerrado sua sessão
Você vê a mensagem de erro Seu administrador pode ter encerrado sua sessão. Tente se conectar novamente. Se isso não funcionar, peça ajuda ao administrador ou ao suporte técnico, quando a configuração de política Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota estiver definida como desativada.
Para configurar a política para permitir que os usuários se conectem novamente, dependendo se seus hosts de sessão são gerenciados com a Política de Grupo ou o Intune.
Para a Política de Grupo:
Abra o Console de Gerenciamento de Política de Grupo (GPMC) para hosts de sessão gerenciados com o Active Directory ou o Console do Editor da Política de Grupo Local e edite a política que tem como destino seus hosts de sessão.
Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host da Sessão da Área de Trabalho Remota > Conexões
Defina a configuração da política Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota como Habilitado.
Para o Intune:
Abra o Catálogo de configurações.
Navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host da Sessão da Área de Trabalho Remota > Conexões
Defina a configuração da política Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota como Habilitado.
Autenticação e identidade
Nesta seção, você encontrará diretrizes de solução de problemas de autenticação e identidade com o cliente da Área de Trabalho Remota.
Falha na tentativa de logon
Se você vir um erro dizendo que A tentativa de logon falhou no prompt de credenciais de Segurança do Windows, verifique o seguinte:
- Você está usando um dispositivo que é ingressado no Microsoft Entra ou o Microsoft Entra híbrido associado ao mesmo locatário do Microsoft Entra que o host da sessão.
- O protocolo PKU2U está habilitado no PC local e no host da sessão.
- A autenticação multifator por usuário está desabilitada para a conta de usuário, pois não tem suporte para VMs ingressadas no Microsoft Entra.
O método de entrada que você está tentando usar não é permitido
Se você vir um erro informando que O método de entrada que você está tentando usar não é permitido. Tente um método de entrada diferente ou contate o administrador do sistema, você tem políticas de acesso condicional restringindo o acesso. Siga as instruções em Impor a autenticação multifator do Microsoft Entra para a Área de Trabalho Virtual do Azure usando o acesso condicional para impor a autenticação multifator do Microsoft Entra para suas VMs ingressadas no Microsoft Entra.
Uma sessão de logon especificada não existe. Talvez ela já tenha sido finalizada.
Se você se deparar com um erro Ocorreu um erro de autenticação. Uma sessão de logon especificada não existe. Ela pode já ter sido encerrada, verifique se você criou e configurou corretamente o objeto servidor Kerberos quando configurou o logon único.
Problemas de autenticação ao usar um SKU N do Windows
Problemas de autenticação podem acontecer porque você está usando um SKU N do Windows no dispositivo local, sem o Media Feature Pack. Para obter mais informações e saber como instalar o Media Feature Pack, confira Lista de Media Feature Pack para edições N do Windows.
Problemas de autenticação quando o TLS 1.2 não está habilitado
Problemas de autenticação podem ocorrer quando o dispositivo local do Windows não tiver o TLS 1.2 habilitado. Para habilitar o TLS 1.2, você precisa definir os seguintes valores do registro:
Chave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Nome do valor Type Dados do valor DisabledByDefault DWORD 0 habilitado DWORD 1 Chave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
Nome do valor Type Dados do valor DisabledByDefault DWORD 0 habilitado DWORD 1 Chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Nome do valor Type Dados do valor SystemDefaultTlsVersions DWORD 1 SchUseStrongCrypto DWORD 1
Você pode configurar esses valores do Registro abrindo o PowerShell como administrador e executando os seguintes comandos:
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force
New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWORD' -Force
O problema não está listado aqui
Se o problema não estiver listado aqui, consulte Solução de problemas de visão geral, comentários e suporte para a Área de Trabalho Virtual do Azure, para obter informações sobre como abrir um caso de Suporte do Azure para a Área de Trabalho Virtual do Azure.