Condividi tramite

Configurare il client Web Desktop remoto per gli utenti

Il client Web Desktop remoto consente agli utenti di accedere all'infrastruttura Desktop remoto dell'organizzazione tramite un Web browser compatibile. Saranno in grado di interagire con app remote o desktop come se fossero con un PC locale, indipendentemente dalla posizione in cui si trovano. Dopo aver configurato il client web di Desktop remoto, tutto ciò di cui gli utenti hanno bisogno per iniziare è l'URL per accedere al client, le loro credenziali e un browser web supportato.

Important

Il client Web supporta l'uso di Microsoft Entra application proxy, ma non supporta affatto Application Proxy Web. Per informazioni dettagliate, vedere Utilizzo di RDS con i servizi proxy di applicazione.

Elementi necessari per configurare il client Web

Prima di iniziare, tenere presente quanto segue:

  • Assicurarsi che la distribuzione Desktop remoto abbia un Gateway Desktop Remoto, un Gestore Connessione Desktop Remoto e Accesso Web Desktop Remoto in esecuzione su Windows Server 2016 o 2019.

  • Assicurarsi che la distribuzione sia configurata per le licenze CAL (Client Access License) per utente anziché per dispositivo, altrimenti tutte le licenze vengono utilizzate.

  • Installare l'aggiornamento Windows 10 KB4025334 sul Gateway Desktop remoto. Gli aggiornamenti cumulativi successivi potrebbero già contenere questo KB.

  • Assicurarsi che i certificati attendibili pubblici siano configurati per i ruoli RD Gateway e RD Web Access.

  • Assicurarsi che tutti i computer a cui gli utenti si connettono eseguano una delle versioni del sistema operativo seguenti:

    • Windows 10 o versioni successive
    • Windows Server 2016 o versioni successive

Verranno visualizzate prestazioni migliori per la connessione a Windows Server 2016 (o versioni successive) e Windows 10 (versione 1611 o successiva).

Se il client Web è stato utilizzato durante il periodo di anteprima e la versione 1.0.0 o precedente è stata installata, è necessario disinstallare il client precedente prima di passare alla nuova versione. Se viene visualizzato un messaggio di errore che indica che il client Web è stato installato utilizzando una versione precedente di RDWebClientManagement e deve essere rimosso prima di distribuire la nuova versione, attenersi alla seguente procedura:

  1. Aprire un prompt di PowerShell con privilegi elevati.
  2. Eseguire Uninstall-Module RDWebClientManagement per disinstallare il nuovo modulo.
  3. Chiudere e riaprire il prompt di PowerShell con privilegi elevati.
  4. Eseguire Install-Module RDWebClientManagement -RequiredVersion <versione> precedente per installare il modulo precedente.
  5. Eseguire Uninstall-RDWebClient per disinstallare il client Web precedente.
  6. Eseguire Uninstall-Module RDWebClientManagement per disinstallare il modulo precedente.
  7. Chiudere e riaprire il prompt di PowerShell con privilegi elevati.
  8. Procedere con i passaggi di installazione normali come indicato di seguito.

Come pubblicare il client Web Desktop remoto

Per installare il client Web per la prima volta, seguire questa procedura:

  1. Nel server di Gestione connessione Desktop remoto, ottenere il certificato usato per le connessioni Desktop remoto ed esportarlo come file .cer. Copiare il .cer file da Gestore connessione Desktop remoto al server che esegue il ruolo Web Desktop remoto.

  2. Sul server di accesso Web Desktop remoto, apri un prompt di PowerShell con privilegi elevati.

  3. In Windows Server 2016 aggiornare il modulo PowerShellGet perché la versione della posta in arrivo non supporta l'installazione del modulo di gestione client Web. Per aggiornare PowerShellGet, eseguire il cmdlet seguente:

    Install-Module -Name PowerShellGet -Force

    Note

    Per accedere alla PowerShell Gallery, è necessario Transport Layer Security (TLS) 1.2 o versione successiva. Usare il comando seguente per abilitare TLS 1.2 nella sessione di PowerShell:

    [Net.ServicePointManager]::SecurityProtocol =
[Net.ServicePointManager]::SecurityProtocol -bor
[Net.SecurityProtocolType]::Tls12

    Important

    Sarà necessario riavviare PowerShell prima che l'aggiornamento possa avere effetto, altrimenti il modulo potrebbe non funzionare.

  4. Installare il modulo PowerShell di gestione del client web Desktop remoto dalla raccolta di PowerShell con questo cmdlet:

    Install-Module -Name RDWebClientManagement

  5. Eseguire quindi il cmdlet seguente per scaricare la versione più recente del client Web Desktop remoto:

    Install-RDWebClientPackage

  6. Eseguire quindi questo cmdlet con il valore tra parentesi quadre sostituito con il percorso del file .cer copiato dal Broker RD:

    Import-RDWebClientBrokerCert <.cer file path>

    Important

    È necessario eseguire nuovamente questo cmdlet ogni volta che il certificato del RD Broker viene aggiornato o rinnovato. Se si rinnova il certificato e non si esegue nuovamente questo comando, gli utenti riceveranno un errore "È stato ricevuto un certificato di autenticazione del server inaspettato" quando tentano di connettersi.

  7. Eseguire infine questo cmdlet per pubblicare il client Web Desktop remoto:

    Publish-RDWebClientPackage -Type Production -Latest

    Assicurati di poter accedere al client Web all'URL indicato con il nome del server, formattato come https://server_FQDN/RDWeb/webclient/index.html. È importante usare il nome del server che corrisponde al certificato pubblico di Accesso Web di Desktop Remoto nell'URL (in genere il FQDN del server).

    Note

    Quando si esegue il cmdlet Publish-RDWebClientPackage , potrebbe essere visualizzato un avviso che indica che le licenze CAL per dispositivo non sono supportate, anche se la distribuzione è configurata per le licenze CAL per utente. Se la distribuzione usa licenze CAL per utente, è possibile ignorare questo avviso. Viene visualizzato per assicurarti che tu sia consapevole della limitazione della configurazione.

  8. Quando si è pronti per consentire agli utenti di accedere al client Web, è sufficiente inviare loro l'URL del client Web creato.

Note

Per visualizzare un elenco di tutti i cmdlet supportati per il modulo RDWebClientManagement, eseguire il cmdlet seguente in PowerShell:

Get-Command -Module RDWebClientManagement

Come aggiornare il client Web Desktop remoto

Quando è disponibile una nuova versione del client Web Desktop remoto, seguire questa procedura per aggiornare la distribuzione con il nuovo client:

  1. Aprire un prompt di PowerShell con privilegi elevati sul server RD Web Access ed eseguire il cmdlet seguente per scaricare la versione più recente disponibile del client web:

    Install-RDWebClientPackage

  2. Facoltativamente, è possibile pubblicare il client per i test prima del rilascio ufficiale eseguendo questo cmdlet:

    Publish-RDWebClientPackage -Type Test -Latest

    Il client deve essere visualizzato nell'URL di test che corrisponde all'URL del client Web, ad esempio <https://server_FQDN/RDWeb/webclient-test/index.html>.

  3. Pubblicare il client per gli utenti eseguendo il cmdlet seguente:

    Publish-RDWebClientPackage -Type Production -Latest

    Questo sostituisce il client per tutti gli utenti quando riavviano la pagina Web.

Aggiornare il certificato di Gestore Desktop remoto

Quando si rinnova o si sostituisce il certificato del Broker RD, è necessario aggiornare il client Web con il nuovo certificato. Se ignori questo passaggio, gli utenti riceveranno un errore: "è stato ricevuto un certificato di autenticazione del server inaspettato" quando tentano di connettersi.

  1. Nel server Broker connessione RD, esporta il certificato aggiornato come file .cer e copialo nel server RD Web Access.

  2. Sul server di accesso Web Desktop remoto, apri un prompt di PowerShell con privilegi elevati.

  3. Eseguire il cmdlet seguente con il valore tra parentesi quadre sostituito con il percorso del nuovo .cer file:

    Import-RDWebClientBrokerCert <.cer file path>

  4. Pubblicare la configurazione aggiornata agli utenti:

    Publish-RDWebClientPackage -Type Production -Latest

Come disinstallare il client Web Desktop remoto

Per rimuovere tutte le tracce del client Web, seguire questa procedura:

  1. Sul server di accesso Web Desktop remoto, apri un prompt di PowerShell con privilegi elevati.

  2. Annullare la pubblicazione dei client di test e produzione, disinstallare tutti i pacchetti locali e rimuovere le impostazioni del client Web:

    Uninstall-RDWebClient

  3. Disinstallare il modulo PowerShell di gestione client web di Desktop remoto.

    Uninstall-Module -Name RDWebClientManagement

Come installare il client Web Desktop remoto senza connessione Internet

Segui questi passaggi per distribuire il client web a un server Accesso Web RD che non dispone di una connessione Internet.

Note

L'installazione senza connessione Internet è disponibile nella versione 1.0.1 e successive del modulo PowerShell RDWebClientManagement. È comunque necessario un PC amministratore con accesso a Internet per scaricare i file necessari prima di trasferirli al server offline. Il PC dell'utente finale necessita di una connessione Internet per il momento. Questo problema verrà risolto in una versione futura del client per fornire uno scenario offline completo.

Da un dispositivo con accesso a Internet

  1. Aprire una finestra di PowerShell.

  2. Importare il modulo PowerShell di gestione del client Web di Desktop remoto dalla galleria di PowerShell.

    Import-Module -Name RDWebClientManagement

  3. Scaricare la versione più recente del client Web Desktop remoto per l'installazione in un dispositivo diverso:

    Save-RDWebClientPackage "C:\WebClient\"

  4. Scaricare la versione più recente del modulo PowerShell RDWebClientManagement:

    Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"

  5. Copiare il contenuto di "C:\WebClient" nel server Accesso Web RD.

Dal server Accesso Web Desktop remoto

Seguire le istruzioni riportate in Come pubblicare il client Web Desktop remoto, sostituendo i passaggi 4 e 5 con quanto segue.

  1. Sono disponibili due opzioni per recuperare il modulo PowerShell di gestione client Web più recente:

    1. Importare il modulo PowerShell per la gestione del client Web di Desktop Remoto:

      Import-Module -Name RDWebClientManagement

    2. Copiare la cartella RDWebClientManagement scaricata in una delle cartelle del modulo di PowerShell locali elencate in $env:psmodulePath oppure aggiungere il percorso alla cartella con i file scaricati nel $env:psmodulePath.

  2. Distribuire la versione più recente del client Web Desktop remoto dalla cartella locale (sostituire con il file ZIP appropriato):

    Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"

Connessione a Gestore Desktop remoto senza Gateway Desktop remoto in Windows Server 2019

Questa sezione descrive come abilitare una connessione client web a un Broker RDP senza Gateway RDP in Windows Server 2019.

Configurazione del server Broker Desktop remoto

Seguire questi passaggi se non è presente alcun certificato associato al server Broker RD

  1. Aprire Server Manager>Desktop remoto Services.

  2. Nella sezione Panoramica della distribuzione selezionare il menu a discesa Attività .

  3. Selezionare Modifica proprietà di distribuzione, viene visualizzata una nuova finestra intitolata Proprietà di distribuzione .

  4. Nella finestra Proprietà distribuzione selezionare Certificati nel menu a sinistra.

  5. Nell'elenco dei livelli di certificato selezionare Gestore connessione Desktop remoto - Abilita Single Sign-On. Sono disponibili due opzioni: (1) creare un nuovo certificato o (2) un certificato esistente.

Seguire questi passaggi se è presente un certificato precedentemente associato al server Broker RD

  1. Apri il certificato associato al Broker e copia il valore dell'impronta digitale.

  2. Per associare questo certificato alla porta protetta 3392, aprire una finestra di PowerShell con privilegi elevati ed eseguire il comando seguente, sostituendo "< identificazione personale >" con il valore copiato dal passaggio precedente:

    netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"

    Note

    Per verificare se il certificato è associato correttamente, eseguire il comando seguente:

    netsh http show sslcert

    Nell'elenco delle associazioni di certificati SSL verificare che il certificato corretto sia associato alla porta 3392.

  3. Aprire il Registro di sistema Windows (regedit), passare a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp e individuare la chiave WebSocketURI. Impostare quindi il valore su https://+:3392/rdp/.

Configurazione dell'Host sessione RD

Seguire questa procedura se il server Host sessione RD è diverso dal server Broker RD:

  1. Creare un certificato per la macchina Host sessione desktop remoto, aprirlo e copiare il valore impronta digitale.

  2. Per associare questo certificato alla porta protetta 3392, aprire una finestra di PowerShell con privilegi elevati ed eseguire il comando seguente, sostituendo "< identificazione personale >" con il valore copiato dal passaggio precedente:

    netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"

    Note

    Per verificare se il certificato è associato correttamente, eseguire il comando seguente:

    netsh http show sslcert

    Nell'elenco delle associazioni di certificati SSL verificare che il certificato corretto sia associato alla porta 3392.

  3. Aprire il Registro di sistema Windows (regedit) e passare a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp e individuare la chiave WebSocketURI. Il valore deve essere impostato su https://+:3392/rdp/.

Osservazioni generali

Assicurarsi che sia l'Host sessione Desktop remoto che il server Gestore Desktop remoto siano in esecuzione su Windows Server 2019.

Assicurarsi che i certificati attendibili pubblici siano configurati sia per l'Host sessione Desktop remoto che per il server Broker Desktop remoto.

Note

Se sia l'host della sessione Desktop Remoto che il server Broker Desktop Remoto condividono lo stesso computer, impostare solo il certificato del server Broker Desktop Remoto. Se l'Host sessione RD e il server Broker RD utilizzano computer diversi, entrambi devono essere configurati con certificati univoci.

Il nome alternativo soggetto (SAN) per ogni certificato deve essere impostato sul nome di dominio completamente qualificato (FQDN) della macchina. Il nome comune (CN) deve corrispondere al SAN per ogni certificato.

Come preconfigurare le impostazioni per gli utenti del client Web di Desktop remoto

Questa sezione illustra come usare PowerShell per configurare le impostazioni per la distribuzione del client Web Desktop remoto. Questi cmdlet di PowerShell controllano la capacità di un utente di modificare le impostazioni in base ai problemi di sicurezza dell'organizzazione o al flusso di lavoro previsto. Le impostazioni seguenti si trovano tutte nel pannello laterale Impostazioni del client Web.

Eliminare i dati di telemetria

Per impostazione predefinita, gli utenti potrebbero scegliere di abilitare o disabilitare la raccolta di dati di telemetria inviati a Microsoft. Per informazioni sui dati di telemetria Microsoft raccolti, fare riferimento all'Informativa sulla privacy tramite il collegamento nel pannello laterale About.

Gli amministratori possono scegliere di eliminare la raccolta di dati di telemetria per la distribuzione usando il cmdlet di PowerShell seguente:

Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true

Per impostazione predefinita, l'utente può scegliere di abilitare o disabilitare i dati di telemetria. Un valore booleano $false corrisponderà al comportamento del client predefinito. Un valore booleano $true disabilita i dati di telemetria e impedisce all'utente di abilitare i dati di telemetria.

Metodo di avvio delle risorse remote

Note

Questa impostazione attualmente funziona solo con il client Web RDS, non con il client Web Desktop virtuale Azure.

Per impostazione predefinita, gli utenti possono scegliere di avviare le risorse remote (1) nel browser o (2) scaricando un .rdp file da gestire con un altro client installato nel computer. Gli amministratori possono scegliere di limitare il metodo di avvio delle risorse remote per la distribuzione con il comando di PowerShell seguente:

Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)

Per impostazione predefinita, l'utente può selezionare uno dei due metodi di avvio. Un valore booleano $true forza l'utente ad avviare le risorse nel browser. Un valore booleano $false forza l'utente ad avviare le risorse scaricando un .rdp file da gestire con un client RDP installato localmente.

Reimpostare le configurazioni RDWebClientDeploymentSetting sul valore predefinito

Per ripristinare la configurazione predefinita di un client Web a livello di distribuzione, eseguire il cmdlet di PowerShell seguente e usare il parametro -name per specificare l'impostazione da reimpostare:

Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"

Troubleshooting

Se un utente segnala uno dei seguenti problemi quando apre il client Web per la prima volta, le sezioni seguenti spiegano cosa fare per risolverli.

Cosa fare se il browser dell'utente visualizza un avviso di sicurezza quando tenta di accedere al client Web

Il ruolo Accesso Web RD potrebbe non usare un certificato attendibile. Assicurarsi che il ruolo Accesso Web RD sia configurato con un certificato di un'autorità di certificazione pubblica.

Se ciò non funziona, il nome del server nell'URL del client web potrebbe non corrispondere al nome fornito dal certificato RD Web. Assicurati che l'URL usi il nome di dominio completo (FQDN) del server che ospita il ruolo RD Web.

Cosa fare se l'utente non riesce a connettersi a una risorsa con il client Web anche se può visualizzare gli elementi in Tutte le risorse

Se l'utente segnala che non riesce a connettersi con il client Web anche se può visualizzare le risorse elencate, verificare quanto segue:

  • Il ruolo Gateway RD è configurato correttamente per utilizzare un certificato pubblico attendibile?
  • Nel server Gateway Desktop remoto sono installati gli aggiornamenti necessari? Assicurarsi che il server abbia l'aggiornamento KB4025334 installato.

Se l'utente riceve un messaggio di errore "è stato ricevuto un certificato di autenticazione server imprevisto" quando tenta di connettersi, il messaggio mostra l'impronta digitale del certificato. Cercare nel gestore dei certificati del server Broker Desktop remoto usando l'impronta digitale per trovare il certificato corretto. Verificare che il certificato sia configurato per essere usato per il ruolo Gestore Desktop remoto nella pagina delle proprietà di distribuzione Desktop remoto. Dopo aver verificato che il certificato non sia scaduto, copiarlo in .cer formato file nel server Accesso Web Desktop remoto ed eseguire il comando seguente nel server Accesso Web Desktop remoto con il valore tra parentesi quadre sostituito dal percorso del file del certificato:

Import-RDWebClientBrokerCert <certificate file path>

Diagnosticare i problemi relativi al log della console

Se non riesci a risolvere il problema in base alle istruzioni per la risoluzione dei problemi riportate in questo articolo, puoi provare a diagnosticare tu stesso l'origine del problema osservando il segnale della console nel browser. Il client Web fornisce un metodo per registrare l'attività del log della console del browser durante l'uso del client Web per diagnosticare i problemi.

  • Selezionare l'icona dei tre puntini nell'angolo superiore destro e passare alla pagina Informazioni nel menu a discesa.
  • In Acquisisci informazioni di supporto selezionare il pulsante Avvia Registrazione.
  • Eseguire una o più operazioni nel client Web che ha generato il problema che si sta tentando di diagnosticare.
  • Passare alla pagina Informazioni e selezionare Arresta registrazione.
  • Il tuo browser scaricherà automaticamente un file .txt intitolato RD Console Logs.txt. Questo file contiene l'attività completa del log della console generata durante la riproduzione del problema obiettivo.

È possibile accedere alla console anche direttamente tramite il browser. La console si trova sotto gli strumenti di sviluppo. Ad esempio, è possibile accedere all'accesso in Microsoft Edge premendo il tasto F12 oppure selezionando il menu con i puntini di sospensione, quindi passando a Strumenti aggiuntivi>Strumenti di sviluppo.

Ottenere assistenza con il client Web

Se si è verificato un problema che non può essere risolto dalle informazioni contenute in questo articolo, è possibile segnalarlo nel forum Desktop virtuale Azure di Microsoft Tech Community.

  • Last updated on