為您的使用者設定遠端桌面 Web 用戶端
遠端桌面 Web 用戶端可讓使用者透過相容的網頁瀏覽器存取您組織的遠端桌面基礎結構。 無論身在何處,他們都能與遠端應用程式或桌面互動,就像與本機計算機一樣。 設定遠端桌面 Web 用戶端後,所有使用者需要的只是存取用戶端的 URL、憑證,以及支援的網頁瀏覽器即可開始使用。
重要
Web 用戶端支援使用 Microsoft Entra 應用程式 Proxy,但完全不支援 Web 應用程式 Proxy。 如需詳細資訊,請參閱 使用 RDS 搭配應用程式代理服務。
您需要準備的網頁客戶端設定項目
開始之前,請記住下列事項:
請確定您的 遠端桌面部署 具有在 Windows Server 2016 或 2019 上執行的 RD 閘道、RD 連線代理人和 RD Web 存取。
請確定您的部署已設定為使用 每用戶客戶端存取授權 (CAL),而非每個裝置,以免所有授權被耗盡。
在 RD 閘道上安裝 Windows 10 KB4025334 更新。 稍後的累積更新可能已經包含此 KB。
確定已針對 RD 閘道和 RD Web 存取角色設定公用信任憑證。
請確定使用者所連線的任何電腦都執行下列其中一個作系統版本:
- Windows 10 或更新版本
- Windows Server 2016 或更新版本
您的使用者在連接至 Windows Server 2016(或更新版本)及 Windows 10(版本 1611 或更新版本)時,會看到較佳的效能。
重要
如果您在預覽期間使用 Web 用戶端,並安裝 1.0.0 之前的版本,您必須先卸載舊用戶端,再移至新版本。 如果您收到錯誤,指出「Web 用戶端是使用舊版 RDWebClientManagement 安裝,且必須先移除才能部署新版本」,請遵循下列步驟:
- 開啟提升許可權的 PowerShell 提示字元。
- 執行 Uninstall-Module RDWebClientManagement 卸載新模組。
- 關閉並重新開啟以提升許可權模式執行的 PowerShell 指令提示字元。
- 執行 Install-Module RDWebClientManagement -RequiredVersion <舊版> 來安裝舊模組。
- 執行 Uninstall-RDWebClient 卸載舊的 Web 用戶端。
- 執行 Uninstall-Module RDWebClientManagement 卸載舊模組。
- 關閉並重新開啟提升許可權的 PowerShell 視窗。
- 依照下列方式繼續進行一般安裝步驟。
如何發佈遠端桌面 Web 用戶端
若要第一次安裝 Web 用戶端,請遵循下列步驟:
在 RD 連線代理人伺服器上,取得用於遠端桌面連線的憑證,並將其匯出為.cer檔案。 將.cer檔案從 RD 連線代理人複製到執行 RD Web 角色的伺服器。
在 RD Web 存取伺服器上,開啟提升權限的 PowerShell 視窗。
在 Windows Server 2016 上,更新 PowerShellGet 模組,因為收件匣版本不支援安裝 Web 用戶端管理模組。 若要更新 PowerShellGet,請執行下列 Cmdlet:
Install-Module -Name PowerShellGet -Force注意
若要存取 PowerShell 資源庫,需要傳輸層安全性 (TLS) 1.2 或更高版本。 使用下列命令,在您的 PowerShell 工作階段中啟用 TLS 1.2:
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12重要
您必須重新啟動 PowerShell,更新才會生效,否則模組可能無法運作。
使用下列 Cmdlet,從 PowerShell 資源庫安裝遠端桌面 Web 用戶端管理 PowerShell 模組:
Install-Module -Name RDWebClientManagement之後,請執行下列 Cmdlet 以下載最新版本的遠端桌面 Web 用戶端:
Install-RDWebClientPackage接下來,執行此 Cmdlet,並將括號中的值替換為從 RD Broker 複製的 .cer 檔案的路徑:
Import-RDWebClientBrokerCert <.cer file path>最後,執行此 Cmdlet 以發佈遠端桌面 Web 用戶端:
Publish-RDWebClientPackage -Type Production -Latest請確保您可以在 Web 用戶端 URL 上使用您的伺服器名稱存取 Web 用戶端,並將其格式化為
https://server_FQDN/RDWeb/webclient/index.html。 請務必使用符合 URL 中 RD Web 存取公用憑證的伺服器名稱(通常是伺服器 FQDN)。注意
執行 Publish-RDWebClientPackage Cmdlet 時,您可能會看到警告,指出不支援個別裝置 CAL,即使您的部署已針對每個使用者 CAL 進行設定也一樣。 如果您的部署使用每個使用者客戶端存取授權(CAL),您可以忽略此警告。 我們會顯示它,以確保您知道設定限制。
當您準備好讓使用者存取 Web 用戶端時,只要將您建立的 Web 用戶端 URL 傳送給他們即可。
注意
若要查看 RDWebClientManagement 模組所有支援的 Cmdlet 列表,請在 PowerShell 中執行下列 Cmdlet:
Get-Command -Module RDWebClientManagement
如何更新遠端桌面 Web 用戶端
當有新版本的遠端桌面 Web 用戶端可用時,請遵循下列步驟以新用戶端更新部署:
在 RD Web 存取伺服器上開啟提升許可權的 PowerShell 提示字元,然後執行下列 Cmdlet 以下載最新可用的 Web 用戶端版本:
Install-RDWebClientPackage您可以選擇性地執行此 Cmdlet,在正式發行之前發佈客戶端進行測試:
Publish-RDWebClientPackage -Type Test -Latest客戶端應該會出現在對應至 Web 用戶端 URL 的測試 URL 上(例如,
<https://server_FQDN/RDWeb/webclient-test/index.html>)。執行下列 Cmdlet 為使用者發佈用戶端:
Publish-RDWebClientPackage -Type Production -Latest這會在使用者重新啟動網頁時取代所有使用者的用戶端。
如何卸載遠端桌面 Web 用戶端
若要移除 Web 用戶端的所有追蹤,請遵循下列步驟:
在 RD Web 存取伺服器上,開啟提升許可權的 PowerShell 提示字元。
取消發佈測試和生產用戶端、卸載所有本機套件,並移除Web客戶端設定:
Uninstall-RDWebClient卸載遠端桌面 Web 用戶端管理 PowerShell 模組:
Uninstall-Module -Name RDWebClientManagement
如何安裝沒有因特網連線的遠端桌面 Web 用戶端
請遵循下列步驟,將 Web 用戶端部署至沒有因特網連線的 RD Web 存取伺服器。
注意
沒有因特網連線的安裝可在 RDWebClientManagement PowerShell 模組的 1.0.1 版和更新版本中取得。
注意
您仍然需要具有因特網存取權的系統管理計算機,才能下載必要的檔案,再將其傳輸至離線伺服器。
注意
用戶計算機現在需要因特網連線。 這將會在未來的用戶端版本中解決,以提供完整的離線案例。
從具有因特網存取權的裝置
開啟 PowerShell 命令提示字元。
從 PowerShell 函式庫導入管理遠端桌面 Web 用戶端的 PowerShell 模組:
Import-Module -Name RDWebClientManagement下載最新版本的遠端桌面 Web 用戶端,以在不同的裝置上安裝:
Save-RDWebClientPackage "C:\WebClient\"下載最新版的 RDWebClientManagement PowerShell 模組:
Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"將 「C:\WebClient」 的內容複製到 RD Web 存取伺服器。
從 RD Web 存取伺服器
依照 如何發佈遠端桌面 Web 用戶端下的指示,以下列方式取代步驟 4 和 5。
您有兩個選項可擷取最新的 Web 用戶端管理 PowerShell 模組:
- 匯入遠端桌面 Web 用戶端管理 PowerShell 模組:
Import-Module -Name RDWebClientManagement - 將下載的 RDWebClientManagement 資料夾複製到 $env:psmodulePath下所列的其中一個本機 PowerShell 模組資料夾,或將下載檔案的路徑新增至 $env:psmodulePath。
- 匯入遠端桌面 Web 用戶端管理 PowerShell 模組:
從本機資料夾部署最新版本的遠端桌面 Web 用戶端(以適當的 zip 檔案取代):
Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
在 Windows Server 2019 中連線到沒有 RD 閘道的 RD Broker
本節說明如何在 Windows Server 2019 中,在沒有 RD 閘道的情況下啟用與 RD Broker 的 Web 用戶端連線。
設定 RD Broker 伺服器
如果沒有系結至 RD Broker 伺服器的憑證,請遵循下列步驟
開啟 Server Manager>遠端桌面服務。
在 [部署概觀] 區段中,選取 [工作] 下拉選單。
選取 [編輯部署屬性] ,隨即開啟標題為 [部署屬性] 的新視窗。
在 [部署屬性] 視窗中,選取左側功能表中的 [憑證]。
在 [憑證層級] 清單中,選取 [RD 連線代理人 - 啟用單一登錄。 您有兩個選項:(1)建立新的憑證或現有憑證(2)。
如果有先前系結至 RD Broker 伺服器的憑證,請遵循下列步驟
開啟系結至 Broker 的憑證,並複製 指紋 值。
若要將此憑證系結至安全埠 3392,請開啟提升許可權的 PowerShell 視窗,然後執行下列命令,將 “< 指紋 >” 取代為從上一個步驟複製的值:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"注意
若要檢查憑證是否已正確系結,請執行下列命令:
netsh http show sslcert在 SSL 憑證系結清單中,確定正確的憑證系結至埠 3392。
開啟 Windows 登錄(regedit),然後移至 [
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],找出名為 WebSocketURI的鍵。 接下來,將值設定為https://+:3392/rdp/。
設定 RD 工作階段主機
如果 RD 工作階段主機伺服器與 RD 代理伺服器不同,請遵循下列步驟:
建立 RD 工作階段主機伺服器的憑證,並開啟它,然後複製 指紋 值。
若要將此憑證系結至安全埠 3392,請開啟提升許可權的 PowerShell 視窗,然後執行下列命令,將 “< 指紋 >” 取代為從上一個步驟複製的值:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"注意
若要檢查憑證是否已正確系結,請執行下列命令:
netsh http show sslcert在 SSL 憑證系結清單中,確定正確的憑證系結至埠 3392。
開啟 Windows 登錄 (regedit),然後流覽至 [
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],並找出 WebSocketURI的機碼。 值必須設定為https://+:3392/rdp/。
一般觀察
確定 RD 作業階段主機和 RD Broker 伺服器都執行 Windows Server 2019。
確定已針對 RD 工作階段主機和 RD Broker 伺服器設定公用信任憑證。
注意
如果 RD 工作階段主機和 RD Broker 伺服器共用相同的電腦,請只設定 RD Broker 伺服器證書。 如果 RD 作業階段主機和 RD Broker 伺服器使用不同的機器,則必須使用唯一憑證來設定這兩部電腦。
每個憑證的 主體別名 (SAN) 必須設定為計算機的 完整功能變數名稱 (FQDN)。 通用名稱 (CN) 必須符合每個憑證的 SAN。
如何預先設定遠端桌面 Web 用戶端用戶的設定
本節說明如何使用 PowerShell 來設定遠端桌面 Web 用戶端部署的設定。 這些 PowerShell Cmdlet 會根據貴組織的安全性考慮或預定工作流程來控制用戶變更設定的能力。 下列設定全都位於 Web 用戶端 [設定] 側面板中。
隱藏遙測
根據預設,用戶可以選擇啟用或停用傳送至Microsoft的遙測數據收集。 如需了解Microsoft所收集的遙測資料,請參閱我們的隱私聲明,相關連結位於 關於 側面板中。
身為系統管理員,您可以選擇使用下列 PowerShell Cmdlet 來隱藏部署的遙測集合:
Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true
根據預設,用戶可以選取來啟用或停用遙測。 布爾值 $false 會符合預設客戶端行為。 布爾值 $true 會停用遙測,並限制使用者啟用遙測。
遠端資源啟動方法
注意
此設定目前僅適用於 RDS Web 用戶端,而非 Azure 虛擬桌面 Web 用戶端。
根據預設,使用者可以選擇在瀏覽器中開啟遠端資源(1),或藉由下載 .rdp 檔案由其電腦上安裝的另一個客戶端處理(2)。 身為系統管理員,您可以選擇使用下列 PowerShell 命令來限制部署的遠端資源啟動方法:
Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)
根據預設,用戶可以選取任一啟動方法。 布爾值 $true 會強制用戶在瀏覽器中啟動資源。 布爾值 $false 強制使用者透過下載 .rdp 檔案並以本機安裝的 RDP 用戶端,啟動資源。
將 RDWebClientDeploymentSetting 組態重設為預設值
若要將部署層級 Web 用戶端設定重設為預設組態,請執行下列 PowerShell Cmdlet,並使用 -name 參數來指定您想要重設的設定:
Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"
故障排除
如果使用者第一次開啟 Web 用戶端時回報下列任一問題,下列各節會告訴您要如何修正這些問題。
如果使用者的瀏覽器嘗試存取 Web 用戶端時顯示安全性警告,該怎麼辦
RD Web 存取角色可能未使用受信任的憑證。 請確定 RD Web 存取角色已設定為公開信任的憑證。
如果無法運作,Web 用戶端 URL 中的伺服器名稱可能不符合 RD Web 憑證所提供的名稱。 請確保您的 URL 使用裝載 RD Web 角色的伺服器的完整網域名稱 (FQDN)。
如果用戶無法透過 Web 用戶端連線到某個資源,但他們能看到「所有資源」下的項目,該怎麼辦
如果使用者報告他們無法與 Web 用戶端連線,即使他們可以看到列出的資源,請檢查下列事項:
- RD 閘道角色是否已正確設定為使用受信任的公用憑證?
- RD 閘道伺服器是否已安裝必要的更新? 請確定您的伺服器已安裝 更新 KB4025334。
如果使用者嘗試連線時收到伺服器驗證憑證的未預期錯誤訊息,則訊息會顯示憑證的指紋編號。 使用該指紋搜尋 RD Broker 伺服器的憑證管理員,以尋找正確的憑證。 確認憑證已設定為用於遠端桌面部署屬性頁面中的 RD Broker 角色。 確定憑證尚未過期之後,請將.cer檔格式的憑證複製到 RD Web 存取伺服器,並在 RD Web 存取伺服器上執行下列命令,並以憑證檔案路徑取代的括號值執行下列命令:
Import-RDWebClientBrokerCert <certificate file path>
診斷控制台日誌的問題
如果您無法根據本文中的疑難解答指示解決問題,您可以藉由在瀏覽器中觀看控制台記錄,嘗試自行診斷問題的來源。 Web 用戶端提供一種方法來記錄瀏覽器控制台記錄活動,同時使用 Web 用戶端來協助診斷問題。
- 選取右上角的省略號,然後在下拉功能表中流覽至 [關於] 頁面。
- 在 擷取支持資訊 下選取 [開始錄製] 按鈕。
- 在 Web 用戶端中執行操作,以重現您嘗試診斷的問題。
- 瀏覽至 [關於] 頁面,然後選取 [停止錄製]。
- 您的瀏覽器會自動下載標題為 RD 控制台 Logs.txt的 .txt 檔案。 此檔案包含重現目標問題時所產生的完整控制台記錄活動。
您也可以透過瀏覽器直接存取主控台。 主控台通常位於開發人員工具底下。 例如,您可以按 F12 鍵,或選取省略號,然後流覽至 [其他工具],>[開發人員工具]來存取 Microsoft Edge 中的記錄。
尋求網頁版客戶端的幫助
如果您遇到本文中的資訊無法解決的問題,您可以在 Microsoft Tech Community Azure 虛擬桌面論壇上回報。