RDwebclient через Azure Application Proxy

Вопрос или проблема

Мы следовали этому руководству Microsoft, чтобы защитить RDwebclient, который мы настроили на Windows 2022 с помощью Azure Application Proxy: https://learn.microsoft.com/en-us/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services

Это работает идеально, когда мы используем RDwebclient и начинаем соединение в браузере. Но при загрузке RDP-файла мы получаем ошибку при подключении: “Ваш компьютер не может подключиться к удаленному компьютеру, потому что аутентификация на брандмауэре не удалась из-за отсутствия учетных данных”.

Мы прочитали почти все посты в интернете по этой теме и попробовали всё, что упоминалось, но без успеха. Мы пробовали изменить приложение-прокси с предварительной аутентификации на пропуск. Пробовали 2 корпоративных приложения: одно для /RDweb, другое для /RPC. Мы также пробовали интернет-режим в Edge, но снова без успеха.

Документация устарела/ошибочна? У кого-то это работало? Как?

Ответ или решение

Для решения проблемы с подключением к удаленному рабочему столу через Azure Application Proxy для RD Web Client, которая проявляется в виде ошибки "Ваш компьютер не может подключиться к удаленному компьютеру, потому что аутентификация в брандмауэр не удалась из-за отсутствия учетных данных", рассмотрим несколько возможных причин и решений.

Настройка RDP файла:
Проверьте, правильно ли сформирован RDP файл. Важно, чтобы он содержал все необходимые параметры для подключения, включая настройки аутентификации. В некоторых случаях, необходимо вручную изменить параметр authentication в RDP файле.
Аутентификация на стороне Azure Application Proxy:
Попробуйте использовать метод предварительной аутентификации. Если вы переключили приложение на режим "Passthrough", это может привести к проблемам с передачей идентификационных данных.
- Убедитесь, что в настройках Azure Application Proxy для приложения установлена предварительная аутентификация и настроены необходимые параметры для передачи учетных данных пользователя к рабочему столу.
Настройка предостережений и исключений в брандмауэре:
Проверьте настройки брандмауэра на сервере, на который вы пытаетесь подключиться. Убедитесь, что порты, необходимые для RDP (обычно TCP 3389), открыты и нет блокировок, предотвращающих внешние подключения.
Параметры браузера:
Если вы используете Microsoft Edge в режиме InPrivate, попробуйте другие браузеры или протестируйте в обычном режиме без режимов анонимности. Иногда расширения или настройки конфиденциальности могут блокировать передачу необходимых токенов аутентификации.
Многофакторная аутентификация (MFA):
Если на вашем аккаунте настроена многофакторная аутентификация, убедитесь, что она корректно работает с Azure Application Proxy. Иногда стоит временно отключить MFA для тестирования соединения.
Логи и диагностика:
Проверьте логи на сервере RD Web и на Azure Application Proxy. Они могут содержать полезную информацию об ошибках аутентификации или других проблемах, мешающих успешному подключению.
Обновление документации:
Если все вышеперечисленные рекомендации не помогли, это может свидетельствовать о том, что документация устарела или применима не ко всем сценариям. Рекомендуется обратиться в техническую поддержку Microsoft для получения актуальной информации.
Тестирование с различными клиентами:
Попробуйте подключаться с разных клиентских машин и операционных систем. Это поможет понять, возможно ли воспроизвести проблему в различных условиях.

Если ни одно из предложенных решений не помогло, рекомендую создать детальный технический отчет с описанием всех применённых вами шагов и действий, а также запросить квалифицированную помощь у специалистов Microsoft.