共用方式為

針對在連線至 Azure 虛擬桌面時,使用適用於 Windows 的遠端桌面用戶端進行疑難排解

  • 發行項

本文說明在連線至 Azure 虛擬桌面時,您使用適用於適用於 Windows 的遠端桌面用戶端時可能遇到的問題,以及如何修正這些問題。

一般

在本節中,您將找到遠端桌面用戶端一般問題的疑難排解指引。

您看不到預期的資源

如果您看不到要預期在應用程式中看到的遠端資源,請檢查使用的帳戶。 如果您已使用不同於您想要用於 Azure 虛擬桌面的帳戶登入,您應先登出,然後使用正確的帳戶再次登入。 如果您使用遠端桌面 Web 用戶端,您可使用 InPrivate 瀏覽器視窗以嘗試不同帳戶。

如果您使用正確的帳戶,請確定您的應用程式群組與工作區相關聯。

您的帳戶已設定為防止您使用此裝置

如果您遇到錯誤,指出「您的帳戶已設定為防止您使用此裝置。如需詳細資訊,請連絡您的系統管理員」,請確保使用者帳戶已在 VM 上授與虛擬機器使用者登入角色

使用者名稱或密碼不正確

如果您無法登入並持續收到錯誤訊息,指出您的登入資訊不正確,請先確定您使用正確的登入資訊。 如果您持續看到錯誤訊息,請檢查您是否已完成下列需求:

  • 您是否已將虛擬機器使用者登入角色型存取控制 (RBAC) 權限指派給每位使用者的虛擬機器 (VM) 或資源群組?
  • 您的條件式存取原則是否排除 Azure Windows VM 登入雲端應用程式的多重要素驗證需求?

如有任一答案為「否」,您就必須重新設定多重要素驗證。 若要重新設定多重要素驗證,請遵循使用條件式存取來強制執行 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示操作。

重要

VM 登入不支援針對個別使用者啟用或強制執行 Microsoft Entra 多重要素驗證。 如果您嘗試在 VM 上使用多重要素驗證登入,將會無法登入,而且會收到錯誤訊息。

如果您已整合 Microsoft Entra 和 Azure 監視器記錄以透過 Log Analytics 存取您的 Microsoft Entra 登入記錄,則可查看是否已啟用多重要素驗證,以及觸發事件的條件式存取原則為何。 所顯示的事件是 VM 的非互動式使用者登入事件,這表示 IP 位址會看似來自 VM 存取 Microsoft Entra ID 的外部 IP 位址。

您可以執行下列 Kusto 查詢來存取登入記錄:

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

擷取和開啟用戶端記錄

在調查問題時,您可能需要用戶端記錄。

若要擷取用戶端記錄:

  1. 以滑鼠右鍵按一下系統匣中的 [遠端桌面] 圖示,然後選取 [中斷所有工作階段的連線],以確定沒有作用中的工作階段,且用戶端處理序並未在背景中執行。
  2. 開啟 [檔案總管]
  3. 導覽至 %temp%\DiagOutputDir\RdClientAutoTrace 資料夾。

記錄為 .ETL 檔案格式。 您可以使用 tracerpt 命令將這些記錄轉換為 .CSV 或 .XML,使其更容易閱讀。 尋找您要轉換的檔案名稱,並記下它。

  • 若要將 .ETL 檔案轉換為 .CSV,請開啟 PowerShell 並執行下列動作,將 $filename 的值取代為您想要轉換的檔案名稱 (沒有副檔名),以及將 $outputFolder 取代為要在其中建立 .CSV 檔案的目錄。

    $filename = "<filename>"
$outputFolder = "C:\Temp"
cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
tracerpt "$filename.etl" -o "$outputFolder\$filename.csv" -of csv

  • 若要將 .ETL 檔案轉換為 .XML,請開啟命令提示字元或 PowerShell 並執行下列動作,將 <filename> 取代為您想要轉換的檔案名稱,以及將 $outputFolder 取代為要在其中建立 .XML 檔案的目錄。

    $filename = "<filename>"
$outputFolder = "C:\Temp"
cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
tracerpt "$filename.etl" -o "$outputFolder\$filename.xml"

用戶端停止回應或無法開啟

如果適用於 Windows 的遠端桌面用戶端或適用於 Windows 的 Azure 虛擬桌面市集應用程式停止回應或無法開啟,您可能需要重設使用者資料。 如果您可以開啟用戶端,則您可以從 [關於] 功能表重設使用者資料,或者如果您無法開啟用戶端,則您可以從命令列重設使用者資料。 用戶端的預設設定將會還原,而且您會從所有工作區取消訂閱。

若要從用戶端重設使用者資料:

  1. 在您的裝置上開啟遠端桌面應用程式。

  2. 選取右上角的三個點以顯示功能表,然後選取 [關於]

  3. 在 [重設使用者資料] 區段中,選取 [重設]。 若要確認您想要重設使用者資料,請選取 [繼續]

若要從命令列重設使用者資料:

  1. 開啟 PowerShell。

  2. 將目錄變更為安裝遠端桌面用戶端的所在位置,預設為 C:\Program Files\Remote Desktop

  3. 執行下列命令來重設使用者資料。 系統會提示您確認您想要重設使用者資料。

    .\msrdcw.exe /reset

    您也可以新增 /f 選項,不需確認即可重設使用者資料:

    .\msrdcw.exe /reset /f

您的管理員可能已經結束您的工作階段

您看到錯誤訊息「您的管理員可能已經結束您的工作階段。請嘗試重新連線。如果無法運作,請向您的管理員或技術支援要求協助」,原則設定 [允許使用者使用遠端桌面服務進行遠端連線] 已設定為停用。

若要設定原則,根據工作階段主機是透過群組原則或 Intune 進行管理,讓使用者重新連線。

針對群組原則:

  1. 針對透過 Active Directory 進行管理的工作階段主機開啟 [群組原則管理主控台] (GPMC),或開啟 [本機群組原則編輯器主控台],然後編輯以您的工作階段主機為目標的原則。

  2. 瀏覽至:電腦設定 > 系統管理範本 > Windows 元件 > 遠端桌面服務 > 遠端桌面工作階段主機 > 連線

  3. 將原則設定 [允許使用者使用遠端桌面服務進行遠端連線] 設定為 [啟用]

針對 Intune:

  1. 開啟設定目錄

  2. 瀏覽至:電腦設定 > 系統管理範本 > Windows 元件 > 遠端桌面服務 > 遠端桌面工作階段主機 > 連線

  3. 將原則設定 [允許使用者使用遠端桌面服務進行遠端連線] 設定為 [啟用]

驗證和身分識別

在本節中,您將找到遠端桌面用戶端驗證和識別問題的疑難排解指引。

登入嘗試失敗

如果您遇到錯誤,指出 Windows 安全性認證提示上的登入嘗試失敗,請確認下列事項:

不允許您嘗試使用的登入方法

如果您遇到錯誤,指出「不允許您嘗試使用的登入方法。請嘗試其他登入方法或連絡您的系統管理員」,您具有條件式存取原則限制存取。 遵循使用條件式存取來強制執行 Azure 虛擬桌面的 Microsoft Entra 多重要素驗證中的指示,強制執行 Microsoft Entra 已加入 VM 的 Microsoft Entra 多重要素驗證。

指定的登入工作階段不存在。 可能已遭到終止。

如果您遇到錯誤,指出「發生驗證錯誤。指定的登入工作階段不存在。可能已終止」,請確認您在設定單一登入時,已適當地建立和設定 Kerberos 伺服器物件。

使用 Windows 的 N SKU 時的驗證問題

由於您在本機裝置上正在使用的 Windows N SKU 沒有媒體功能套件,因此可能會發生驗證問題。 如需詳細資訊以及了解如何安裝媒體功能套件,請參閱適用於 Windows N 版本的媒體功能套件清單

未啟用 TLS 1.2 時的驗證問題

當您的本機 Windows 裝置未啟用 TLS 1.2 時,就可能會發生驗證問題。 若要啟用 TLS 1.2,您需要設定下列登錄值:

  • 金鑰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

    值名稱 類型 數值資料
    DisabledByDefault 下載 0
    啟用 下載 1

  • 金鑰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

    值名稱 類型 數值資料
    DisabledByDefault 下載 0
    啟用 下載 1

  • 金鑰HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    值名稱 類型 數值資料
    SystemDefaultTlsVersions 下載 1
    SchUseStrongCrypto 下載 1

您可以藉由以系統管理員身分開啟 PowerShell 並執行下列命令,來設定這些登錄值:

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWORD' -Force

問題並未在此列出

如果您的問題並未在此列出,請參閱 Azure 虛擬桌面的疑難排解概觀、意見反應和支援,以取得如何開啟 Azure 虛擬桌面的 Azure 支員案例相關訊息。