Configurar o cliente Web da Área de Trabalho Remota para seus usuários
O cliente da Web de Área de Trabalho Remota permite que os usuários acessem a infraestrutura de Área de Trabalho Remota da sua organização por um navegador da Web compatível. Eles poderão interagir com aplicativos remotos ou áreas de trabalho, como fariam com um computador local, independentemente de onde estiverem. Depois que você configurar seu cliente de Web da Área de Trabalho Remota, tudo que seus usuários precisam para começar é a URL pela qual poderão acessar o cliente, as credenciais e um navegador da Web com suporte.
Importante
O cliente Web dá suporte ao uso do Proxy de Aplicativo do Microsoft Entra e não dá suporte ao Proxy de aplicativo Web. Confira Usando o RDS com serviços de proxy de aplicativo para obter detalhes.
O que você precisará para configurar o cliente Web
Antes de começar, tenha o seguinte em mente:
Certifique-se de sua Implantação de Área de Trabalho Remota tenha um Gateway de Área de Trabalho Remota, um Agente de Conexão de Área de Trabalho Remota e acesso à Área de Trabalho Remota pela Web em execução no Windows Server 2016 ou 2019.
Verifique se sua implantação está configurada para licenças de acesso para cliente por usuário (CALs) em vez de por dispositivo, caso contrário, todas as licenças serão consumidas.
Instale a Atualização do Windows 10 KB4025334 no Gateway de Área de Trabalho Remota. Atualizações cumulativas posteriores já podem conter esta KB.
Certifique-se de que certificados confiáveis públicos estejam configurados para as funções de Gateway de Área de Trabalho Remota e Acesso pela Web à Área de Trabalho Remota.
Verifique se todos os computadores aos quais os usuários estão se conectando executam uma das seguintes versões de sistema operacional:
- Windows 10 ou versões mais recentes
- Windows Server 2016 ou posterior
Os usuários terão um melhor desempenho se conectando ao Windows Server 2016 (ou posterior) e Windows 10 (versão 1611 ou posterior).
Importante
Se você usou o cliente da Web durante o período de teste e instalou uma versão anterior à 1.0.0, será necessário primeiro desinstalar o cliente antigo antes de passar para a nova versão. Caso receba um erro com a mensagem "O cliente da Web foi instalado usando uma verão do RDWebClientManagement e precisa ser removido antes da implantação de uma nova versão", siga estas etapas:
- Abra um prompt do PowerShell elevado.
- Execute Uninstall-Module RDWebClientManagement para desinstalar o novo módulo.
- Feche e reabra o prompt do PowerShell com privilégios elevados.
- Execute Install-Module RDWebClientManagement -RequiredVersion <old version> para instalar o módulo antigo.
- Execute Uninstall-RDWebClient para desinstalar o cliente da Web antigo.
- Execute Uninstall-Module RDWebClientManagement para desinstalar o módulo antigo.
- Feche e reabra o prompt do PowerShell com privilégios elevados.
- Continue com as etapas de instalação normais da seguinte maneira.
Como publicar o cliente Web de Área de Trabalho Remota
Para instalar o cliente da Web pela primeira vez, siga estas etapas:
No servidor do Agente de Conexão de Área de Trabalho Remota, obtenha o certificado usado para conexões de Área de Trabalho Remota e exporte-o como um arquivo .cer. Copie o arquivo. cer do Agente de Conexão de Área de Trabalho Remota para o servidor que executa a função Web da Área de Trabalho Remota.
No servidor de acesso via Web RD, abra um prompt elevado do PowerShell.
No Windows Server 2016, atualize o módulo PowerShellGet, pois a versão da caixa de entrada não dá suporte à instalação do módulo de gerenciamento de cliente da Web. Para atualizar o PowerShellGet, execute o seguinte cmdlet:
Install-Module -Name PowerShellGet -Force
Observação
Para acessar a Galeria do PowerShell, é necessário ter o protocolo TLS 1.2 ou superior. Use o seguinte comando para habilitar o TLS 1.2 na sessão do PowerShell:
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
Importante
Você precisará reiniciar o PowerShell para a atualização entrar em vigor, caso contrário, o módulo poderá não funcionar.
Instale o módulo do PowerShell do gerenciamento de cliente da Web de Área de Trabalho Remota da galeria do PowerShell com este cmdlet:
Install-Module -Name RDWebClientManagement
Depois disso, execute o seguinte cmdlet para baixar a versão mais recente do cliente da Web da Área de Trabalho Remota:
Install-RDWebClientPackage
Execute este cmdlet com o valor entre colchetes substituído pelo caminho do arquivo .cer que você copiou do Agente de Área de Trabalho Remota:
Import-RDWebClientBrokerCert <.cer file path>
Por fim, execute este cmdlet para publicar o cliente da Web de Área de Trabalho Remota:
Publish-RDWebClientPackage -Type Production -Latest
Verifique se você pode acessar o cliente da Web na URL de cliente da Web com o nome do servidor, formatado como
https://server_FQDN/RDWeb/webclient/index.html
. É importante usar o nome do servidor que corresponde ao certificado público de Acesso via Web à Área de Trabalho Remota na URL (normalmente o FQDN do servidor).Observação
Ao executar o cmdlet Publish-RDWebClientPackage, você poderá ver um aviso que informa que CALs por dispositivo não são compatíveis, mesmo se a implantação estiver configurada para CALs por usuário. Se sua implantação usa CALs por usuário, você pode ignorar este aviso. Vamos exibi-lo para garantir que você esteja ciente da limitação de configuração.
Quando você estiver pronto para que os usuários acessem o cliente da Web, basta enviar para eles a URL do cliente Web criada por você.
Observação
Para ver uma lista de todos os cmdlets com suporte no módulo RDWebClientManagement, execute o seguinte cmdlet do PowerShell:
Get-Command -Module RDWebClientManagement
Como atualizar o cliente Web de Área de Trabalho Remota
Quando uma nova versão do cliente da Web da Área de Trabalho Remota estiver disponível, siga estas etapas para atualizar a implantação com o novo cliente:
Abra um prompt elevado do PowerShell no servidor de Acesso via Web da Área de Trabalho Remota e execute o seguinte cmdlet para baixar a versão mais recente do cliente da Web:
Install-RDWebClientPackage
Como alternativa, você pode publicar o cliente para teste antes do lançamento oficial executando este cmdlet:
Publish-RDWebClientPackage -Type Test -Latest
O cliente deve aparecer na URL de teste que corresponde à URL do seu cliente Web (por exemplo,
<https://server_FQDN/RDWeb/webclient-test/index.html>
).Publique o cliente para usuários executando o seguinte cmdlet:
Publish-RDWebClientPackage -Type Production -Latest
Isso substituirá o cliente para todos os usuários quando eles reiniciarem a página da Web.
Como desinstalar o cliente Web de Área de Trabalho Remota
Para remover todos os vestígios do cliente da Web, siga estas etapas:
No servidor de acesso via Web RD, abra um prompt elevado do PowerShell.
Cancele a publicação dos clientes de Teste e Produção, desinstale todos os pacotes locais e remova as configurações do cliente da Web:
Uninstall-RDWebClient
Desinstale o módulo do PowerShell do gerenciamento de cliente da Web de Área de Trabalho Remota:
Uninstall-Module -Name RDWebClientManagement
Como instalar o cliente da Web de Área de Trabalho Remota sem uma conexão de internet
Siga estas etapas para implantar o cliente da Web em um servidor de Acesso pela Web à Área de Trabalho Remota que não tem uma conexão de internet.
Observação
A instalação sem uma conexão com a internet está disponível na versão 1.0.1 e posterior do módulo RDWebClientManagement do PowerShell.
Observação
Você ainda precisa de um computador de administrador com acesso à internet para baixar os arquivos necessários antes de transferi-los para o servidor offline.
Observação
O computador do usuário final precisa de uma conexão de internet por enquanto. Isso será corrigido em uma versão futura do cliente para fornecer um cenário offline completo.
De um dispositivo com acesso à internet
Abra um prompt do PowerShell.
Importe o módulo do PowerShell do gerenciamento de cliente da Web de Área de Trabalho Remota da galeria do PowerShell:
Import-Module -Name RDWebClientManagement
Baixe a versão mais recente do cliente da Web de Área de Trabalho Remota para instalação em um dispositivo diferente:
Save-RDWebClientPackage "C:\WebClient\"
Baixe a versão mais recente do módulo RDWebClientManagement do PowerShell:
Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"
Copie o conteúdo de "C:\WebClient" no servidor de acesso via Web à Área de Trabalho Remota.
No servidor de Acesso via Web da Área de Trabalho Remota
Siga as instruções em Como publicar o cliente da Web de Área de Trabalho Remota, substituindo as etapas 4 e 5 pelo seguinte.
Você tem duas opções para recuperar o módulo do PowerShell de gerenciamento de cliente Web mais recente:
- Importe o módulo do PowerShell de gerenciamento de cliente Web de Área de Trabalho Remota:
Import-Module -Name RDWebClientManagement
- Copie a pasta RDWebClientManagement baixada para uma das pastas locais do módulo do PowerShell em $env:psmodulePath ou adicione o caminho para a pasta com os arquivos baixados para o $env:psmodulePath.
- Importe o módulo do PowerShell de gerenciamento de cliente Web de Área de Trabalho Remota:
Implante a versão mais recente do cliente da Web da Área de Trabalho Remota pela pasta local (substituir pelo arquivo zip apropriado):
Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
Conecte-se ao Agente de Área de Trabalho Remota sem o Gateway de Área de Trabalho Remota no Windows Server de 2019
Esta seção descreve como habilitar uma conexão de cliente da Web com um Agente de Área de Trabalho Remota sem um Gateway de Área de Trabalho Remota no Windows Server 2019.
Como configurar o servidor do Agente de Área de Trabalho Remota
Siga estas etapas se não houver nenhum certificado associado ao servidor do Agente de Área de Trabalho Remota
Abra Gerenciador de Servidores>Serviços de Área de Trabalho Remota.
Na seção Visão Geral da Implantação, selecione o menu suspenso Tarefas.
Selecione Editar Propriedades de Implantação, uma nova janela intitulada Propriedades de Implantação será aberta.
Na janela Propriedades de Implantação, selecione Certificados no menu à esquerda.
Na lista de Níveis de Certificado, selecione Agente de Conexão de Área de Trabalho Remota – Habilitar Logon Único. Você tem duas opções: (1) crie um novo certificado ou (2) um certificado existente.
Siga estas etapas se houver um certificado anteriormente associado ao servidor do Agente de Área de Trabalho Remota
Abra o certificado associado ao Agente e copie o valor de Impressão Digital.
Para associar esse certificado à porta segura 3392, abra uma janela do PowerShell com privilégios elevados e execute o seguinte comando, substituindo "< thumbprint >" pelo valor copiado na etapa anterior:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"
Observação
Para verificar se o certificado foi associado corretamente, execute o seguinte comando:
netsh http show sslcert
Na lista de associações do certificado SSL, certifique-se de que o certificado correto está associado à porta 3392.
Abra o Registro do Windows (REGEDIT), acesse
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
e localize a chave WebSocketURI. Em seguida, defina o valor comohttps://+:3392/rdp/
.
Como configurar o Host de Sessão de Área de Trabalho Remota
Siga estas etapas se o servidor de Host da Sessão de Área de Trabalho Remota for diferente do servidor do Agente de Área de Trabalho Remota:
Crie um certificado para a máquina do Host de Sessão de Área de Trabalho Remota, abra e copie o valor de Impressão Digital.
Para associar esse certificado à porta segura 3392, abra uma janela do PowerShell com privilégios elevados e execute o seguinte comando, substituindo "< thumbprint >" pelo valor copiado na etapa anterior:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"
Observação
Para verificar se o certificado foi associado corretamente, execute o seguinte comando:
netsh http show sslcert
Na lista de associações do certificado SSL, certifique-se de que o certificado correto está associado à porta 3392.
Abra o Registro do Windows (REGEDIT), acesse
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
e localize a chave WebSocketURI. O valor deve ser definido comohttps://+:3392/rdp/
.
Observações gerais
Certifique-se de que o Host de Sessão de Área de Trabalho Remota e o servidor do Agente de Área de Trabalho Remota estejam executando o Windows Server 2019.
Certifique-se de que certificados públicos confiáveis estejam configurados tanto no Host de Sessão de Área de Trabalho Remota quanto no servidor do Agente de Área de Trabalho Remota.
Observação
Caso o Host de Sessão de Área de Trabalho Remota e o servidor de Agente Área de Trabalho Remota compartilhem a mesma máquina, defina apenas o certificado do servidor do Agente de Área de Trabalho Remota. Se o Host da Sessão de Área de Trabalho Remota e o servidor do Agente de Área de Trabalho Remota usarem máquinas diferentes, ambos precisam ser configurados com certificados exclusivos.
O Nome Alternativo da Entidade (SAN) para cada certificado deve ser definido para o Nome de Domínio Totalmente Qualificado (FQDN) da máquina. O Nome Comum (CN) precisa corresponder ao SAN de cada certificado.
Como predefinir as configurações para usuários de cliente da Web da Área de Trabalho Remota
Esta seção explica como usar o PowerShell para definir configurações da implantação do cliente da Web da Área de Trabalho Remota. Esses cmdlets do PowerShell controlam a capacidade do usuário de alterar as configurações com base em questões de segurança da organização ou ao fluxo de trabalho pretendido. As configurações a seguir estão todas localizadas no painel lateral Configurações cliente da Web.
Suprimir a telemetria
Por padrão, os usuários podem optar por habilitar ou desabilitar a coleta de dados de telemetria que são enviados à Microsoft. Para saber mais sobre os dados telemétricos coletados pela Microsoft, confira a Política de Privacidade no link no painel lateral Sobre.
Como administrador, você pode escolher suprimir a coleta de telemetria para sua implantação usando o seguinte cmdlet do PowerShell:
Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true
Por padrão, o usuário pode optar por habilitar ou desabilitar a telemetria. Um valor booliano $false corresponderá ao comportamento do cliente padrão. Um valor booliano $true desabilita a telemetria e restringe a habilitação da telemetria por parte do usuário.
Método de inicialização do recurso remoto
Observação
No momento, essa configuração só funciona com o cliente Web RDS, e não com o cliente Web da Área de Trabalho Virtual do Azure.
Por padrão, os usuários podem optar por iniciar recursos remotos (1) no navegador ou (2) baixando um arquivo .rdp
para lidar com outro cliente instalado no computador. Como administrador, você pode optar por restringir o método de inicialização do recurso remoto para sua implantação com o seguinte comando do PowerShell:
Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)
Por padrão, o usuário pode selecionar qualquer um dos métodos de inicialização. Um valor booliano $true forçará o usuário a iniciar os recursos no navegador. Um valor booliano igual a $false força o usuário a iniciar os recursos baixando um arquivo .rdp
para lidar com um cliente RDP instalado localmente.
Redefinir configurações de RDWebClientDeploymentSetting para o padrão
Para redefinir uma configuração de cliente Web no nível de implantação para a configuração padrão, execute o seguinte cmdlet do PowerShell e use o parâmetro -name para especificar a configuração que você deseja redefinir:
Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"
Solução de problemas
Se um usuário relatar qualquer um dos seguintes problemas ao abrir o cliente Web pela primeira vez, as seções a seguir informarão o que fazer para corrigi-los.
O que fazer se o navegador do usuário mostra um aviso de segurança quando ele tenta acessar o cliente da Web
A função Acesso via Web à Área de Trabalho Remota talvez não esteja usando um certificado confiável. Verifique se a função Acesso via Web à Área de Trabalho Remota está configurada com um certificado confiável publicamente.
Se isso não funcionar, o nome do servidor na URL do cliente da Web pode não corresponder ao nome fornecido pelo certificado da Web da Área de Trabalho Remota. Verifique se que a URL usa o FQDN do servidor que hospeda a função Web da Área de Trabalho Remota.
O que fazer se o usuário não conseguir se conectar a um recurso com o cliente da Web, mesmo que consigam ver os itens em Todos os Recursos
Se o usuário relata que não consegue se conectar ao cliente da Web, mesmo que consiga ver os recursos listados, verifique os seguintes itens:
- A função do Gateway de Área de Trabalho Remota está configurada corretamente para usar um certificado público confiável?
- O servidor de Gateway de Área de Trabalho Remota tem as atualizações necessárias instaladas? Certifique-se de que o servidor tem a atualização KB4025334 instalada.
Se o usuário receber um erro "certificado de autenticação de servidor inesperado recebido" ao tentar se conectar, a mensagem mostrará a impressão digital do certificado. Pesquise o gerenciador de certificados do servidor do agente de Área de Trabalho Remota usando essa impressão digital para localizar o certificado correto. Verifique se o certificado está configurado para ser usado para a função de Agente de Área de Trabalho Remota na página de propriedades da implantação de Área de Trabalho Remota. Depois de verificar se o certificado não expirou, copie o certificado no formato de arquivo .cer para o servidor de Acesso via Web à Área de Trabalho Remota e execute o seguinte comando no servidor de Acesso via Web RD à Área de Trabalho Remota com o valor entre colchetes substituído pelo caminho do arquivo do certificado:
Import-RDWebClientBrokerCert <certificate file path>
Diagnosticar problemas com o log de console
Se não conseguir resolver o problema com base nas instruções de solução de problemas neste artigo, você pode tentar diagnosticar a origem do problema observando o log do console no navegador. O cliente da Web fornece um método para registrar a atividade de log de console do navegador ao usar o cliente da Web para ajudar a diagnosticar problemas.
- Selecione as reticências no canto superior direito e navegue até a página Sobre no menu suspenso.
- Em Capturar informações de suporte, selecione o botão Iniciar gravação.
- No cliente web, execute as operações que produziram o problema que você está tentando diagnosticar.
- Navegue até a página Sobre e selecione Parar gravação.
- O navegador baixará automaticamente um arquivo .txt intitulado RD Console Logs.txt. Esse arquivo contém a atividade de log completa do console gerada ao reproduzir o problema em questão.
O console também pode ser acessado diretamente pelo navegador. O console geralmente está localizado nas ferramentas de desenvolvedor. Por exemplo, você pode acessar o log no Microsoft Edge pressionando a tecla F12 ou selecionando as reticências e navegando até Mais ferramentas>Ferramentas de Desenvolvedor.
Obter ajuda com o cliente Web
Caso tenha encontrado um problema que não possa ser resolvido com as informações descritas neste artigo, relate-o no fórum da Área de Trabalho Virtual do Azure da Microsoft Tech Community.