مشاركة عبر

فهم اتصال شبكة Azure Virtual Desktop

  • مقالة

يستضيف Azure Virtual Desktop جلسات عمل العميل على مضيفي الجلسة الذين يعملون على Azure. تدير Microsoft أجزاء من الخدمات نيابة عن العميل وتوفر نقاط نهاية آمنة للاتصال بالعملاء ومضيفي جلسات العمل. يقدم الرسم التخطيطي التالي نظرة عامة عالية المستوى على اتصالات الشبكة المستخدمة من قبل Azure Virtual Desktop.

رسم تخطيطي لاتصالات شبكة Azure Virtual Desktop

اتصال جلسة العمل

يستخدم Azure Virtual Desktop بروتوكول سطح المكتب البعيد (RDP) لتوفير إمكانات العرض والمدخلات عن بعد عبر اتصالات الشبكة. أصدر RDP في البداية مع إصدار Terminal Server Windows NT 4.0 وكان يتطور علي نحو مستمر مع كل إصدار من Microsoft Windows وWindows Server. منذ البداية، تم تطوير RDP ليكون مستقلاً عن مكدس النقل الأساسي، وهو يدعم اليوم أنواعًا متعددة من النقل.

نقل الاتصال العكسي

يستخدم Azure Virtual Desktop النقل العكسي للاتصال لإنشاء جلسة العمل البعيدة ولحمل نقل بيانات RDP. بعكس عمليات توزيع خدمات سطح المكتب البعيد المحلية، لا يستخدم النقل العكسي للاتصال مستمع TCP لتلقي اتصالات RDP الواردة. بدلا من ذلك، يستخدم الاتصال الصادر بالبنية الأساسية ل Azure Virtual Desktop عبر اتصال HTTPS.

قناة اتصال مضيف جلسة عمل

عند بدء تشغيل مضيف جلسة عمل Azure Virtual Desktop، تقوم خدمة "أداة تحميل عامل سطح المكتب البعيد" بتأسيس قناة الاتصال المستمرة لوسيط Azure Virtual Desktop. تم وضع قناة الاتصال هذه أعلى اتصال بروتوكول أمان طبقة النقل (TLS) الآمن وتعمل كناقل لتبادل رسائل الخدمة بين مضيف جلسة العمل والبنية الأساسية لـ Azure Virtual Desktop.

تسلسل اتصال العميل

تسلسل اتصال العميل كما يلي:

  1. باستخدام عميل Azure Virtual Desktop المدعوم، يشترك المستخدم في مساحة عمل Azure Virtual Desktop.

  2. يقوم Microsoft Entra بمصادقة المستخدم وإرجاع الرمز المميز المستخدم لتعداد الموارد المتوفرة للمستخدم.

  3. يمرر العميل الرمز المميز لخدمة الاشتراك في موجز Azure Virtual Desktop.

  4. تتحقق خدمة الاشتراك في موجز Azure Virtual Desktop من صحة الرمز المميز.

  5. تمرر خدمة الاشتراك في موجز Azure Virtual Desktop قائمة أسطح المكتب والتطبيقات المتوفرة مرة أخرى إلى العميل في شكل تكوين اتصال موقع رقميا.

  6. يخزن العميل تكوين الاتصال لكل مورد متوفر في مجموعة من الملفات .rdp .

  7. عندما يحدد مستخدم المورد للاتصال، يستخدم العميل الملف المقترن .rdp وينشئ اتصال TLS 1.2 آمنا بمثيل بوابة Azure Virtual Desktop بمساعدة Azure Front Door ويمرر معلومات الاتصال. يتم تقييم زمن الانتقال من جميع البوابات، ويتم وضع البوابات في مجموعات من 10 مللي ثانية. يتم اختيار البوابة ذات أقل زمن انتقال ثم أقل عدد من الاتصالات الموجودة.

  8. تتحقق بوابة Azure Virtual Desktop من صحة الطلب وتطلب وسيط Azure Virtual Desktop لتنسيق الاتصال.

  9. يعرّف وسيط Azure Virtual Desktop مضيف جلسة العمل ويستخدم قناة الاتصال المستمرة التي تم إنشاؤها مسبقًا لتهيئة الاتصال.

  10. يبدأ مكدس سطح المكتب البعيد اتصال TLS 1.2 بنفس مثيل بوابة Azure Virtual Desktop كما يستخدمه العميل.

  11. بعد اتصال كل من العميل ومضيف الجلسة بالبوابة، تبدأ البوابة في ترحيل البيانات بين نقطتي النهاية. ينشئ هذا الاتصال نقل الاتصال العكسي الأساسي لاتصال RDP من خلال نفق متداخل، باستخدام إصدار TLS المتفق عليه والممكن بين العميل ومضيف الجلسة، حتى TLS 1.3.

  12. بعد تعيين النقل الأساسي، يبدأ العميل في تأكيد اتصال RDP.

أمان الاتصال

يتم استخدام TLS لجميع الاتصالات. يعتمد الإصدار المستخدم على الاتصال الذي يتم إجراؤه وقدرات العميل ومضيف الجلسة:

  • بالنسبة لجميع الاتصالات التي تم بدؤها من العملاء ومضيفي الجلسة إلى مكونات البنية الأساسية ل Azure Virtual Desktop، يتم استخدام TLS 1.2. يستخدم Azure Virtual Desktop نفس شفرات TLS 1.2 مثل Azure Front Door. من المهم التأكد من إمكانية استخدام أجهزة الكمبيوتر العميلة ومضيفي الجلسة لهذه الشفرات.

  • لنقل الاتصال العكسي، يتصل كل من العميل ومضيف الجلسة ببوابة Azure Virtual Desktop. بعد تأسيس اتصال TCP للنقل الأساسي، يتحقق العميل أو مضيف الجلسة من صحة شهادة بوابة Azure Virtual Desktop. يقوم RDP بعد ذلك بإنشاء اتصال TLS متداخل بين العميل ومضيف الجلسة باستخدام شهادات مضيف الجلسة. يستخدم إصدار TLS إصدار TLS المتفق عليه بشكل متبادل المدعوم والممكن بين العميل ومضيف الجلسة، حتى TLS 1.3. يتم دعم TLS 1.3 بدءا من Windows 11 (21H2) وفي Windows Server 2022. لمعرفة المزيد، راجع دعم TLS ل Windows 11. بالنسبة لأنظمة التشغيل الأخرى، تحقق مع مورد نظام التشغيل للحصول على دعم TLS 1.3.

بشكل افتراضي، الشهادة المستخدمة لتشفير RDP يتم إنشاؤها ذاتيًا بواسطة نظام التشغيل أثناء التوزيع. يمكنك أيضا نشر الشهادات المدارة مركزيا الصادرة عن مرجع شهادة المؤسسة. لمزيد من المعلومات حول تكوين الشهادات، راجع تكوينات شهادة وحدة استماع سطح المكتب البعيد.

الخطوات التالية