Настройка веб-клиента удаленного рабочего стола для пользователей

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Веб-клиент удаленного рабочего стола позволяет пользователям получать доступ к инфраструктуре удаленного рабочего стола организации через совместимый веб-браузер. Они смогут взаимодействовать с удаленными приложениями или рабочими столами, как они будут работать с локальным компьютером независимо от того, где они находятся. После настройки веб-клиента удаленного рабочего стола все пользователи должны приступить к работе с URL-адресом, где они могут получить доступ к клиенту, своим учетным данным и поддерживаемом веб-браузере.

Важно

Веб-клиент поддерживает использование прокси приложения Microsoft Entra, но не поддерживает прокси веб-приложения вообще. Подробности см. в разделе о использовании RDS с прокси-сервисами приложений.

Что потребуется для настройки веб-клиента

Прежде чем приступить к работе, помните следующее:

• Убедитесь, что развертывание службы удаленных рабочих столов имеет шлюз удаленных рабочих столов, брокер подключений к удаленным рабочим столам и веб-доступ по удаленным рабочим столам, работающего на ОС Windows Server 2016 или 2019.

• Убедитесь, что развертывание настроено для пользовательских клиентских лицензий (ПКЛ) вместо лицензий на каждое устройство, в противном случае все лицензии будут использоваться.

• Установите обновление Windows 10 KB4025334 на шлюз удаленного рабочего стола. Более поздние накопительные обновления могут содержать эту базу знаний.

• Убедитесь, что общедоступные доверенные сертификаты настроены для ролей шлюза удалённых рабочих столов (RD Gateway) и веб-доступа удалённых рабочих столов (RD Web Access).

• Убедитесь, что все компьютеры, к которым подключены пользователи, работают в одной из следующих версий ОС:

  • Windows 10 или более поздней версии
  • Windows Server 2016 или более поздней версии

Пользователи увидят более высокую производительность подключения к Windows Server 2016 (или более поздней версии) и Windows 10 (версия 1611 или более поздняя).

Важный

Если вы использовали веб-клиент в период предварительной версии и установили версию до версии 1.0.0, перед переходом на новую версию необходимо сначала удалить старый клиент. Если появится сообщение об ошибке "Веб-клиент был установлен с помощью более старой версии RDWebClientManagement и сначала необходимо удалить перед развертыванием новой версии", выполните следующие действия:

1. Откройте окно PowerShell с повышенными привилегиями.
2. Запустите Uninstall-Module RDWebClientManagement, чтобы удалить новый модуль.
3. Закройте и снова откройте запрос PowerShell с повышенными привилегиями.
4. Запустите Install-Module RDWebClientManagement -RequiredVersion <старой версии>, чтобы установить старый модуль.
5. Запустите Uninstall-RDWebClient, чтобы удалить старый веб-клиент.
6. Запустите Uninstall-Module RDWebClientManagement, чтобы удалить старый модуль.
7. Закройте окно PowerShell с повышенными привилегиями и снова откройте его.
8. Выполните обычные действия по установке, как показано ниже.

Как опубликовать веб-клиент удаленного рабочего стола

Чтобы установить веб-клиент в первый раз, выполните следующие действия.

1. На сервере брокера подключений к удаленным рабочим столам получите сертификат, используемый для подключений к удаленному рабочему столу, и экспортируйте его в виде файла .cer. Скопируйте файл .cer из брокера подключений RD на сервер с ролью RD Web.

2. На сервере RD Web Access откройте консоль PowerShell с повышенными административными привилегиями.

3. В Windows Server 2016 обновите модуль PowerShellGet, так как версия папки "Входящие" не поддерживает установку модуля управления веб-клиентами. Чтобы обновить PowerShellGet, выполните следующий командлет:

   Install-Module -Name PowerShellGet -Force
   

   Заметка

   Для доступа к коллекции PowerShell требуется протокол TLS 1.2 или более поздней версии. Используйте следующую команду, чтобы включить TLS 1.2 в сеансе PowerShell:

   [Net.ServicePointManager]::SecurityProtocol =
   [Net.ServicePointManager]::SecurityProtocol -bor
   [Net.SecurityProtocolType]::Tls12
   

   Важный

   Перед началом действия обновления необходимо перезапустить PowerShell, в противном случае модуль может не работать.

4. Установите модуль Управления веб-клиентом Удаленного рабочего стола PowerShell из коллекции PowerShell с помощью этого командлета:

   Install-Module -Name RDWebClientManagement
   

5. После этого выполните следующий командлет, чтобы скачать последнюю версию веб-клиента удаленного рабочего стола:

   Install-RDWebClientPackage
   

6. Затем запустите этот командлет, заменив значение в скобках путем к файлу .cer, скопированному из брокера удаленных рабочих столов.

   Import-RDWebClientBrokerCert <.cer file path>
   

7. Наконец, запустите этот командлет, чтобы опубликовать веб-клиент удаленного рабочего стола:

   Publish-RDWebClientPackage -Type Production -Latest
   

   Убедитесь, что вы можете получить доступ к веб-клиенту по URL-адресу веб-клиента с именем сервера, отформатированным как https://server_FQDN/RDWeb/webclient/index.html. Важно использовать имя сервера, соответствующее общедоступному сертификату RD Web Access в URL-адресе (обычно полное доменное имя сервера).

   Заметка

   При выполнении командлета Publish-RDWebClientPackage может возникнуть предупреждение о том, что клиентские лицензии для каждого устройства не поддерживаются, даже если развертывание настроено для клиентских лицензий для каждого пользователя. Если в развертывании используются клиентские лицензии для каждого пользователя, это предупреждение можно игнорировать. Мы отображаем его, чтобы убедиться, что вы знаете об ограничении конфигурации.

8. Когда вы будете готовы к доступу к веб-клиенту, просто отправьте им созданный URL-адрес веб-клиента.

Заметка

Чтобы просмотреть список всех поддерживаемых командлетов для модуля RDWebClientManagement, выполните следующий командлет в PowerShell:

Get-Command -Module RDWebClientManagement

Обновление веб-клиента удаленного рабочего стола

Когда доступна новая версия веб-клиента удаленного рабочего стола, выполните следующие действия, чтобы обновить развертывание с помощью нового клиента:

1. Откройте консоль PowerShell с повышенными привилегиями на сервере RD Web Access и выполните следующий командлет, чтобы загрузить самую последнюю версию веб-клиента.

   Install-RDWebClientPackage
   

2. При необходимости можно опубликовать клиент для тестирования до официального выпуска, выполнив этот командлет:

   Publish-RDWebClientPackage -Type Test -Latest
   

   Клиент должен отображаться на тестовом URL-адресе, соответствующем URL-адресу веб-клиента (например, <https://server_FQDN/RDWeb/webclient-test/index.html>).

3. Опубликуйте клиент для пользователей, выполнив следующий командлет:

   Publish-RDWebClientPackage -Type Production -Latest
   

   Это заменяет клиент для всех пользователей при повторном запуске веб-страницы.

Как удалить веб-клиент удаленного рабочего стола

Чтобы удалить все следы веб-клиента, выполните следующие действия.

1. На сервере RD Web Access откройте окно PowerShell с повышенными привилегиями.

2. Отмените публикацию клиентов Test и Production, удалите все локальные пакеты и удалите параметры веб-клиента:

   Uninstall-RDWebClient
   

3. Удалите модуль управления веб-клиентами удаленного рабочего стола PowerShell:

   Uninstall-Module -Name RDWebClientManagement
   

Установка веб-клиента удаленного рабочего стола без подключения к Интернету

Выполните следующие действия, чтобы развернуть веб-клиент на сервере RD Web Access, которому нет подключения к Интернету.

Заметка

Установка без подключения к Интернету доступна в модуле RDWebClientManagement PowerShell версии 1.0.1 и выше.

Заметка

Вам по-прежнему нужен компьютер администратора с доступом к Интернету, чтобы скачать необходимые файлы, прежде чем передавать их на автономный сервер.

Заметка

На компьютере конечного пользователя сейчас требуется подключение к Интернету. Это будет решено в будущем выпуске клиента, чтобы обеспечить полный автономный сценарий.

С устройства с доступом к Интернету

1. Откройте запрос PowerShell.

2. Импорт модуля PowerShell для управления веб-клиентами удаленного рабочего стола из коллекции PowerShell:

   Import-Module -Name RDWebClientManagement
   

3. Скачайте последнюю версию веб-клиента удаленного рабочего стола для установки на другом устройстве:

   Save-RDWebClientPackage "C:\WebClient\"
   

4. Скачайте последнюю версию модуля PowerShell RDWebClientManagement:

   Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"
   

5. Скопируйте содержимое "C:\WebClient" на сервер RD Web Access.

С сервера RD Web Access

Следуйте инструкциям в разделе Как опубликовать веб-клиент удаленного рабочего стола, заменив шаги 4 и 5 следующими инструкциями.

4. У вас есть два варианта получения последнего модуля управления веб-клиентами PowerShell:

   • Импорт модуля управления веб-клиентами удаленного рабочего стола PowerShell:

     Import-Module -Name RDWebClientManagement
     

   • Скопируйте загруженную папку RDWebClientManagement в одну из локальных папок модуля PowerShell, перечисленных в разделе $env:psmodulePath, или добавьте путь к папке с скачанными файлами в $env:psmodulePath.

5. Разверните последнюю версию веб-клиента удаленного рабочего стола из локальной папки (замените соответствующим ZIP-файлом):

   Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
   

Подключение к брокеру RD без шлюза RD в Windows Server 2019

В этом разделе описывается, как включить подключение веб-клиента к брокеру удаленных рабочих столов без шлюза удаленных рабочих столов в Windows Server 2019.

Настройка сервера брокера удаленного рабочего стола

Выполните следующие действия, если сертификат не привязан к серверу брокера служб удаленных рабочих столов.

1. Откройте Диспетчер серверов>Службы удалённых рабочих столов.

2. В разделе Обзор развертывания выберите раскрывающееся меню "Задачи".

3. Выберите Изменить свойства развертывания, откроется новое окно с заголовком Свойства развертывания.

4. В окне "Свойства развертывания" выберите "Сертификаты" в меню слева.

5. В списке уровней сертификатов выберите брокер подключений к удаленным рабочим столам. Включите единый вход. У вас есть два варианта: (1) создайте новый сертификат или (2) существующий сертификат.

Выполните следующие действия, если сертификат, ранее привязанный к серверу брокера удаленных рабочих столов.

1. Откройте сертификат, привязанный к брокеру, и скопируйте значение отпечатка с номером .

2. Чтобы привязать этот сертификат к защищенному порту 3392, откройте окно PowerShell с повышенными привилегиями и выполните следующую команду, заменив "< отпечатка >" значением, скопированным на предыдущем шаге:

   netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"
   

   Заметка

   Чтобы проверить правильность привязки сертификата, выполните следующую команду:

   netsh http show sslcert
   

   В списке привязок SSL-сертификата убедитесь, что правильный сертификат привязан к порту 3392.

3. Откройте реестр Windows (regedit), перейдите к HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и найдите ключ WebSocketURI. Затем задайте значение https://+:3392/rdp/.

Настройка хоста сеанса удалённого рабочего стола

Выполните следующие действия, если сервер узла сеанса удаленных рабочих стола отличается от сервера брокера удаленных рабочих стола:

1. Создайте сертификат для сервера узла сеансов удалённого рабочего стола, откройте его и скопируйте значение отпечатка .

2. Чтобы привязать этот сертификат к защищенному порту 3392, откройте окно PowerShell с повышенными привилегиями и выполните следующую команду, заменив "< отпечаток >" значением, скопированным на предыдущем шаге:

   netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"
   

   Заметка

   Чтобы проверить правильность привязки сертификата, выполните следующую команду:

   netsh http show sslcert
   

   В списке привязок SSL-сертификата убедитесь, что правильный сертификат привязан к порту 3392.

3. Откройте реестр Windows (regedit) и перейдите к HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и найдите ключ WebSocketURI. Значение должно быть установлено на https://+:3392/rdp/.

Общие наблюдения

• Убедитесь, что сервер узла сеансов удаленных рабочих столов и сервер брокера удаленных рабочих столов работают под управлением операционной системы Windows Server 2019.

• Убедитесь, что общедоступные доверенные сертификаты настроены для узла сеансов удаленных рабочих столов и сервера брокера удаленных рабочих столов.

  Заметка

  Если узел сеансов удаленных рабочих столов и сервер брокера удаленных рабочих столов совместно используют один и тот же компьютер, задайте только сертификат сервера брокера удаленных рабочих столов. Если узел сеансов удаленных рабочих стола и сервер брокера удаленных рабочих стола используют разные компьютеры, необходимо настроить их с уникальными сертификатами.

• альтернативного имени субъекта для каждого сертификата необходимо задать полное доменное имя компьютера (FQDN). Общее имя (CN) должно соответствовать SAN для каждого сертификата.

Настройка параметров для пользователей веб-клиента удаленного рабочего стола

В этом разделе описывается, как использовать PowerShell для настройки параметров для развертывания веб-клиента удаленного рабочего стола. Эти командлеты PowerShell управляют возможностью пользователя изменять параметры на основе проблем безопасности вашей организации или предполагаемого рабочего процесса. Следующие параметры находятся в боковой панели Настройки веб-клиента.

Подавление телеметрии

По умолчанию пользователи могут включить или отключить сбор данных телеметрии, отправляемых корпорации Майкрософт. Чтобы получить информацию о данных телеметрии, собираемых Microsoft, см. наше Заявление о конфиденциальности по ссылке на боковой панели «О программе».

Как администратор, вы можете отключить сбор данных телеметрии для вашего развертывания с помощью следующего командлета PowerShell:

 Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true

По умолчанию пользователь может включить или отключить данные телеметрии. Логическое значение $false будет по умолчанию соответствовать поведению клиента. Логическое значение $true отключает телеметрию и не позволяет пользователю включить телеметрию.

Метод удаленного запуска ресурсов

Заметка

Этот параметр в настоящее время работает только с веб-клиентом RDS, а не веб-клиентом Виртуального рабочего стола Azure.

По умолчанию пользователи могут запускать удаленные ресурсы (1) в браузере или (2), скачав файл .rdp для обработки с другим клиентом, установленным на своем компьютере. Администратор может ограничить метод запуска удаленного ресурса для развертывания с помощью следующей команды PowerShell:

 Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)

По умолчанию пользователь может выбрать любой метод запуска. Логическое значение $true заставит пользователя открывать ресурсы в браузере. Логическое значение $false заставляет пользователя запускать ресурсы, скачивая файл .rdp для обработки с помощью локально установленного клиента RDP.

Сброс конфигураций RDWebClientDeploymentSetting к значениям по умолчанию

Чтобы сбросить параметр веб-клиента уровня развертывания в конфигурацию по умолчанию, выполните следующий командлет PowerShell и используйте параметр -name, чтобы указать параметры, которые требуется сбросить:

 Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
 Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"

Устранение неполадок

Если пользователь сообщает о каких-либо из следующих проблем при первом открытии веб-клиента, в следующих разделах вы узнаете, что делать, чтобы исправить их.

Что делать, если в браузере пользователя отображается предупреждение системы безопасности при попытке доступа к веб-клиенту

Роль веб-доступа к удаленным рабочим столам может не использовать доверенный сертификат. Убедитесь, что роль RD Web Access настроена с общедоступным доверенным сертификатом.

Если это не работает, имя сервера в URL-адресе веб-клиента может не совпадать с именем, предоставленным веб-сертификатом RD. Убедитесь, что URL-адрес использует полное доменное имя сервера, на котором размещена веб-роль RD.

Что делать, если пользователь не может подключиться к ресурсу с веб-клиентом, несмотря на то, что они могут видеть элементы в разделе "Все ресурсы"

Если пользователь сообщает, что он не может подключиться к веб-клиенту, несмотря на то, что они могут видеть перечисленные ресурсы, проверьте следующее:

• Правильно ли настроена роль шлюза удаленных рабочих столов для использования доверенного общедоступного сертификата?
• Установлены ли на сервере шлюза удаленных рабочих столов необходимые обновления? Убедитесь, что сервер установленного KB4025334 обновления.

Если пользователь получает сообщение об ошибке "неожиданный сертификат проверки подлинности сервера" при попытке подключиться, сообщение отобразит отпечаток сертификата. Выполните поиск в диспетчере сертификатов сервера RD Broker, используя этот отпечаток, чтобы найти нужный сертификат. Убедитесь, что сертификат настроен для использования в роли брокера RD на странице свойств развертывания удаленных рабочих столов. Убедившись, что срок действия сертификата не истек, скопируйте сертификат в формате файла .cer на сервер веб-доступа к удаленным рабочим столам и выполните следующую команду на сервере веб-доступа к удаленным рабочим столам, заменив содержимое в скобках путем к файлу сертификата:

Import-RDWebClientBrokerCert <certificate file path>

Диагностика проблем с журналом консоли

Если вы не можете решить проблему на основе инструкций по устранению неполадок в этой статье, вы можете попытаться диагностировать источник проблемы самостоятельно, просмотрев журнал консоли в браузере. Веб-клиент предоставляет метод записи действия журнала консоли браузера при использовании веб-клиента для диагностики проблем.

• Выберите многоточие в правом верхнем углу и перейдите на страницу "О" в раскрывающемся меню.
• В разделе Сведения о поддержке записи нажмите кнопку "Начать запись".
• Выполните операции в веб-клиенте, которые привели к возникновению проблемы, которую вы пытаетесь диагностировать.
• Перейдите на страницу о и выберите Остановить запись.
• Ваш браузер автоматически скачает файл .txt под названием Консоль удаленного рабочего стола Logs.txt. Этот файл содержит весь журнал консольных сообщений, созданный при воспроизведении исследуемой проблемы.

Консоль также может быть доступна напрямую через браузер. Консоль обычно находится под средствами разработчика. Например, вы можете получить доступ к журналу в Microsoft Edge, посредством нажатия клавиши F12 или выбрав многоточие и затем перейдите к Дополнительные средства>Инструменты для разработчиков.

Получите помощь с веб-клиентом

Если вы столкнулись с проблемой, которая не может быть решена информацией в этой статье, вы можете сообщить об этом на форуме виртуального рабочего стола Azure в Microsoft Tech Community.