استخدام RDP Shortpath للشبكات العامة مع TURN ل Azure Virtual Desktop قيد المعاينة حاليا. للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
تستخدم الاتصالات بـ Azure Virtual Desktop بروتوكول التحكم في الإرسال (TCP) أو بروتوكول مخطط بيانات المستخدم (UDP). RDP Shortpath هي إحدى ميزات Azure Virtual Desktop التي تنشئ نقلًا مباشرًا يستند إلى UDP بين عميل Windows Remote Desktop مدعوم ومضيف الجلسة. بشكل افتراضي، يحاول بروتوكول سطح المكتب البعيد (RDP) إنشاء اتصال باستخدام UDP ويستخدم نقل الاتصال العكسي المستند إلى TCP كآلية اتصال احتياطية. يوفر نقل الاتصال العكسي المستند إلى TCP أفضل توافق مع تكوينات الشبكات المختلفة ولديه معدل نجاح عال لإنشاء اتصالات RDP. يوفر النقل المستند إلى UDP موثوقية اتصال أفضل وزمن انتقال أكثر اتساقا.
يمكن استخدام RDP Shortpath بطريقتين:
الشبكات المدارة، حيث يتم إنشاء اتصال مباشر بين العميل ومضيف الجلسة عند استخدام اتصال خاص، مثل شبكة ظاهرية خاصة (VPN).
الشبكات العامة، حيث يتم إنشاء اتصال مباشر بين العميل ومضيف الجلسة عند استخدام اتصال عام. هناك نوعان من الاتصال عند استخدام اتصال عام، وهما مدرجان هنا بترتيب التفضيل:
اتصال UDP مباشر باستخدام بروتوكول Simple Traversal تحت NAT (STUN) بين عميل ومضيف جلسة عمل.
اتصال UDP غير مباشر باستخدام بروتوكول Traversal Using Relay NAT (TURN) مع ترحيل بين عميل ومضيف جلسة عمل. هذا قيد المعاينة.
يعتمد النقل المستخدم لـ RDP Shortpath على Universal Rate Control Protocol (URCP). بروتوكول URCP يعزز UDP من خلال المراقبة النشطة لظروف الشبكة، ويوفر استخداماً عادلاً وكاملاً للارتباط. يعمل URCP بمستويات تأخير وخسارة منخفضة حسب الحاجة.
هام
أثناء المعاينة، تتوفر TURN فقط للاتصالات بمضيفي جلسة العمل في تجمع مضيف التحقق من الصحة. لتكوين تجمع المضيف كبيئة تحقق من الصحة، راجع تعريف تجمع المضيف كبيئة تحقق من الصحة.
RDP Shortpath للشبكات العامة مع TURN متاح فقط في سحابة Azure العامة.
المزايا الرئيسية
استخدام RDP Shortpath له الفوائد الرئيسية التالية:
يؤدي استخدام URCP لتحسين UDP إلى تحقيق أفضل أداء من خلال التعلم الديناميكي لمعلمات الشبكة وتزويد البروتوكول بآلية للتحكم في المعدل.
تعمل إزالة نقاط الترحيل الإضافية على تقليل وقت الذهاب والإياب، مما يحسن موثوقية الاتصال وتجربة المستخدم مع التطبيقات وأساليب الإدخال الحساسة لوقت الاستجابة.
بالإضافة إلى ذلك، بالنسبة للشبكات المدارة:
توفر RDP Shortpath الدعم لتكوين أولوية جودة الخدمة (QoS) لاتصالات RDP من خلال علامات نقطة رمز الخدمات المميزة (DSCP).
يسمح نقل RDP Shortpath بالحد من نسبة استخدام الشبكة الصادرة عن طريق تحديد معدل تقييد لكل جلسة عمل.
كيف يعمل RDP Shortpath
لمعرفة كيفية عمل RDP Shortpath للشبكات المدارة والشبكات العامة، حدد كل علامة تبويب من علامات التبويب التالية.
VPN من موقع إلى موقع أو من نقطة إلى موقع (IPsec)، مثل بوابة Azure VPN
يعني وجود اتصال مباشر في مجال الرؤية أنه يمكن للعميل الاتصال مباشرة بمضيف الجلسة دون أن يتم حظره بواسطة جدران الحماية.
إشعار
إذا كنت تستخدم أنواع VPN أخرى للاتصال بـ Azure، فإننا نوصي باستخدام VPN المستندة إلى UDP. بينما تدعم معظم حلول VPN المستندة إلى TCP بروتوكول UDP المتداخل، فإنها تضيف عبئًا موروثًا للتحكم في ازدحام بروتوكول TCP، مما يؤدي إلى إبطاء أداء RDP.
لاستخدام RDP Shortpath للشبكات المدارة، يجب تمكين وحدة إصغاء UDP على مضيفي الجلسة. بشكل افتراضي، يتم استخدام المنفذ 3390، على الرغم من أنه يمكنك استخدام منفذ مختلف.
يقدم الرسم التخطيطي التالي نظرة عامة عالية المستوى على اتصالات الشبكة عند استخدام RDP Shortpath للشبكات المدارة ومضيفي الجلسة المنضمين إلى مجال Active Directory.
تسلسل الاتصال
تبدأ جميع الاتصالات بإنشاء نقل اتصال عكسي يستند إلى TCP عبر بوابة Azure Virtual Desktop. بعد ذلك، يقوم العميل ومضيف الجلسة بتأسيس النقل الأولي لـ RDP، والبدء في تبادل قدراتهما. يتم التفاوض على هذه القدرات باستخدام العملية التالية:
يرسل مضيف الجلسة قائمة عناوين IPv4 وIPv6 الخاصة به إلى العميل.
يبدأ العميل مؤشر ترابط الخلفية لإنشاء نقل متوازي يستند إلى UDP مباشرة إلى أحد عناوين IP لمضيف الجلسة.
في أثناء قيام العميل بالتحقيق في عناوين IP المقدمة، فإنه يستمر في إنشاء الاتصال الأولي عبر نقل الاتصال العكسي لضمان عدم وجود تأخير في اتصال المستخدم.
إذا كان لدى العميل اتصال مباشر بمضيف الجلسة، ينشئ العميل اتصالا آمنا باستخدام TLS عبر UDP موثوق به.
بعد إنشاء نقل RDP Shortpath، يتم نقل جميع القنوات الافتراضية الديناميكية (DVC)، بما في ذلك الرسومات البعيدة والمدخلات وإعادة توجيه الجهاز، إلى النقل الجديد. مع ذلك، إذا كان جدار الحماية أو مخطط الشبكة يمنع العميل من إنشاء اتصال UDP مباشر، يستمر RDP مع نقل اتصال عكسي.
إذا كان لدى المستخدمين كل من RDP Shortpath للشبكة المدارة والشبكات العامة المتاحة لهم، فسيتم استخدام الخوارزمية التي تم العثور عليها أولا. سيستخدم المستخدم أي اتصال يتم تأسيسه أولا لجلسة العمل هذه.
لتوفير أفضل فرصة لنجاح اتصال UDP عند استخدام اتصال عام، هناك أنواع الاتصال المباشرة وغير المباشرة :
الاتصال المباشر: يتم استخدام STUN لإنشاء اتصال UDP مباشر بين عميل ومضيف جلسة عمل. لتأسيس هذا الاتصال، يجب أن يكون العميل ومضيف الجلسة قادرين على الاتصال ببعضهما البعض من خلال عنوان IP عام ومنفذ تم التفاوض عليه. ومع ذلك، لا يعرف معظم العملاء عنوان IP العام الخاص بهم لأنهم يجلسون خلف جهاز بوابة ترجمة عناوين الشبكة (NAT). STUN هو بروتوكول للاكتشاف الذاتي لعنوان IP عام من خلف جهاز بوابة NAT والعميل لتحديد عنوان IP الخاص به العام.
لكي يستخدم العميل STUN، يجب أن تسمح شبكته بحركة مرور UDP. بافتراض أن كل من العميل ومضيف الجلسة يمكنه التوجيه إلى عنوان IP والمنفذ المكتشفين للآخر مباشرة، يتم تأسيس الاتصال مع UDP المباشر عبر بروتوكول WebSocket. إذا كانت جدران الحماية أو أجهزة الشبكة الأخرى تمنع الاتصالات المباشرة، فسيتم تجربة اتصال UDP غير مباشر.
الاتصال غير المباشر: يتم استخدام TURN لإنشاء اتصال غير مباشر، وترحيل نسبة استخدام الشبكة عبر خادم وسيط بين عميل ومضيف جلسة عمل عندما لا يكون الاتصال المباشر ممكنا. TURN هو امتداد STUN. يعني استخدام TURN أن عنوان IP العام والمنفذ معروفان مسبقا، والذي يمكن السماح به من خلال جدران الحماية وأجهزة الشبكة الأخرى.
تخول TURN عادة الوصول إلى الخادم عبر اسم المستخدم/كلمة المرور ووضع التشغيل المفضل لديها هو استخدام مآخذ UDP. إذا كانت جدران الحماية أو أجهزة الشبكة الأخرى تمنع حركة مرور UDP، فسيعود الاتصال مرة أخرى إلى نقل الاتصال العكسي المستند إلى TCP.
عند إنشاء اتصال، تنسق مؤسسة الاتصال ivity (ICE) التفاعلية إدارة STUN و TURN لتحسين احتمالية إنشاء اتصال، وضمان إعطاء الأسبقية لبروتوكولات اتصال الشبكة المفضلة.
تستخدم كل جلسة RDP منفذ UDP معين ديناميكيا من نطاق منفذ سريع الزوال (49152 إلى 65535 بشكل افتراضي) يقبل حركة مرور RDP Shortpath. يتم تجاهل المنفذ 65330 من هذا النطاق لأنه محجوز للاستخدام داخليا بواسطة Azure. يمكنك أيضًا استخدام نطاق منفذ أصغر يمكن التنبؤ به. لمزيد من المعلومات، راجع تحديد نطاق المنفذ المستخدم من قبل العملاء للشبكات العامة.
تلميح
سيعمل RDP Shortpath للشبكات العامة تلقائيًا دون أي تكوين إضافي، ما يوفر الشبكات وجدران الحماية التي تسمح بنسبة استخدام الشبكة من خلال إعدادات نقل RDP في نظام تشغيل Windows لمضيفي الجلسة والعملاء الذين يستخدمون قيمهم الافتراضية.
يقدم الرسم التخطيطي التالي نظرة عامة عالية المستوى على اتصالات الشبكة عند استخدام RDP Shortpath للشبكات العامة حيث انضم مضيفو الجلسة إلى معرف Microsoft Entra.
ترجمة عنوان الشبكة والجدران النارية
يعمل معظم عملاء Azure Virtual Desktop على أجهزة الكمبيوتر الموجودة على الشبكة الخاصة. يتم توفير الوصول إلى الإنترنت من خلال جهاز بوابة ترجمة عنوان الشبكة (NAT). لذلك، تقوم بوابة NAT بتعديل جميع طلبات الشبكة من الشبكة الخاصة والموجهة إلى الإنترنت. يهدف هذا التعديل إلى مشاركة عنوان IP عام واحد عبر جميع أجهزة الكمبيوتر الموجودة على الشبكة الخاصة.
بسبب تعديل حزمة IP، سيرى متلقي نسبة استخدام الشبكة عنوان IP العام لبوابة NAT بدلاً من المرسل الفعلي. عندما تعود نسبة استخدام الشبكة إلى بوابة NAT، فإنها ستحرص على إعادة توجيهها إلى المستلم المقصود دون علم المرسل. في معظم السيناريوهات، لا تدرك الأجهزة المخفية خلف NAT أن الترجمة تحدث ولا تعرف عنوان الشبكة لبوابة NAT.
ينطبق NAT على شبكات Azure الظاهرية، حيث يقيم جميع مضيفي الجلسات. عندما يحاول مضيف الجلسة الوصول إلى عنوان الشبكة على الإنترنت، تقوم بوابة NAT (إما الخاصة بك أو الافتراضية التي يوفرها Azure) أو Azure Load Balancer بتنفيذ نقل العنوان. لمزيد من المعلومات حول أنواع مختلفة من ترجمة عناوين الشبكة المصدر، راجع استخدام ترجمة عناوين الشبكة المصدر (SNAT) للاتصالات الصادرة.
تتضمن معظم الشبكات عادةً جدران حماية تقوم بفحص نسبة استخدام الشبكة وتحظرها بناءً على القواعد. يقوم معظم العملاء بتكوين جدران الحماية الخاصة بهم لمنع الاتصالات الواردة (أي الحزم غير المرغوب فيها من الإنترنت المرسلة دون طلب). تستخدم جدران الحماية تقنيات مختلفة لتتبع تدفق البيانات للتمييز بين نسبة استخدام الشبكة المطلوبة وغير المرغوب فيها. في سياق TCP، يتتبع جدار الحماية حزم SYN وACK، وتكون العملية مباشرة. عادةً ما تستخدم جدران حماية UDP أساليب الاستدلال بناءً على عناوين الحزمة لربط نسبة استخدام الشبكة بتدفقات UDP والسماح بها أو حظرها.
يوجد العديد من تطبيقات NAT المختلفة المتاحة. في معظم الحالات، تعد بوابة NAT وجدار الحماية وظائف نفس الجهاز الفعلي أو الظاهري.
تسلسل الاتصال
تبدأ جميع الاتصالات بإنشاء نقل اتصال عكسي يستند إلى TCP عبر بوابة Azure Virtual Desktop. بعد ذلك، يقوم العميل ومضيف الجلسة بتأسيس النقل الأولي لـ RDP، والبدء في تبادل قدراتهما. إذا تم تمكين RDP Shortpath للشبكات العامة على مضيف الجلسة، فسيبدأ مضيف الجلسة عملية تسمى تجمع المرشحين:
يعدد مضيف الجلسة جميع واجهات الشبكة المعينة لمضيف الجلسة، بما في ذلك الواجهات الافتراضية مثل VPN وTeredo.
تخصص خدمات سطح المكتب البعيد (TermService) في Windows مآخذ توصيل UDP على كل واجهة وتخزن زوج IP:Port في الجدول المرشح كمرشح محلي.
تستخدم خدمة خدمات سطح المكتب البعيد كل مأخذ توصيل UDP مخصص في الخطوة السابقة لمحاولة الوصول إلى خادم Azure Virtual Desktop STUN على الإنترنت العام. يتم الاتصال عن طريق إرسال حزمة UDP صغيرة إلى المنفذ 3478.
إذا وصلت الحزمة إلى خادم STUN، يستجيب خادم STUN مع IP العام والمنفذ. يتم تخزين هذه المعلومات في الجدول عامل التصفية كـ عامل تصفية انعكاسي.
بعد أن يجمع مضيف الجلسة جميع عمال التصفية، يستخدم مضيف الجلسة وسيلة نقل الاتصال العكسي المحددة لتمرير قائمة عمال التصفية إلى العميل.
عندما يتلقى العميل قائمة المرشحين من مضيف الجلسة، يقوم العميل أيضًا بجمع المرشحين من جانبه. ثم يرسل العميل قائمة عمال التصفية الخاصة به إلى مضيف الجلسة.
بعد أن يتبادل مضيف الجلسة والعميل قوائم عمال التصفية، يحاول كلا الطرفين التواصل مع بعضهما البعض باستخدام جميع عمال التصفية المجمعين. محاولة الاتصال هذه متزامنة من كلا الجانبين. يتم تكوين العديد من بوابات NAT للسماح بنسبة استخدام الشبكة الواردة إلى مأخذ التوصيل بمجرد أن يقوم نقل البيانات الصادرة بتهيئته. هذا السلوك لبوابات NAT هو سبب أهمية الاتصال المتزامن. إذا فشل STUN لأنه تم حظره، يتم إجراء محاولة اتصال غير مباشرة باستخدام TURN.
بعد تبادل الحزمة الأولي، يمكن للعميل ومضيف الجلسة إنشاء تدفق بيانات واحد أو أكثر. من تدفقات البيانات هذه، يختار RDP أسرع مسار شبكة. ثم ينشئ العميل اتصالا آمنا باستخدام TLS عبر UDP موثوق به مع مضيف الجلسة ويبدأ نقل RDP Shortpath.
بعد أن ينشئ RDP نقل RDP Shortpath، تنتقل جميع القنوات الظاهرية الديناميكية (DVC)، بما في ذلك الرسومات البعيدة والمدخلات وإعادة توجيه الجهاز إلى النقل الجديد.
إذا كان لدى المستخدمين كل من RDP Shortpath للشبكة المدارة والشبكات العامة المتاحة لهم، فسيتم استخدام الخوارزمية التي تم العثور عليها أولا، ما يعني أن المستخدم سيستخدم أي اتصال يتم تأسيسه أولا لتلك الجلسة. لمزيد من المعلومات، راجع مثال السيناريو 4.
هام
عند استخدام النقل المستند إلى TCP، تكون نسبة استخدام الشبكة الصادرة من مضيف جلسة العمل إلى العميل من خلال بوابة Azure Virtual Desktop Gateway. مع RDP Shortpath للشبكات العامة باستخدام STUN، يتم إنشاء حركة المرور الصادرة مباشرة بين مضيف الجلسة والعميل عبر الإنترنت. يؤدي ذلك إلى إزالة القفزة التي تحسن زمن الانتقال وتجربة المستخدم النهائي. ومع ذلك، نظرًا للتغييرات في تدفق البيانات بين مضيف جلسة العمل والعميل حيث لم تعد البوابة مستخدمة، ستكون هناك رسوم شبكة خروج Azure قياسية تتم فوترتها بالإضافة إلى كل اشتراك للنطاق الترددي للإنترنت المستهلك. لمعرفة المزيد حول تقدير النطاق الترددي المستخدم من قبل RDP، راجع متطلبات النطاق الترددي لـ RDP.
تكوين الشبكة
لدعم RDP Shortpath للشبكات العامة، لا تحتاج عادةً إلى أي تكوين معين. سيكتشف مضيف الجلسة والعميل تلقائيًا تدفق البيانات المباشر إذا كان ذلك ممكنًا في تكوين الشبكة. ومع ذلك، تعتبر كل بيئة فريدة، وقد تؤثر بعض تكوينات الشبكة سلباً على معدل نجاح الاتصال المباشر. اتبع التوصيات لزيادة احتمال تدفق البيانات المباشر.
نظرًا لأن RDP Shortpath يستخدم UDP لإنشاء تدفق بيانات، إذا كان جدار الحماية على شبكتك يحظر نسبة استخدام شبكة UDP، فسوف يفشل RDP Shortpath وسيعود الاتصال إلى نقل الاتصال العكسي المستند إلى TCP. يستخدم Azure Virtual Desktop خوادم STUN التي توفرها خدمات اتصالات Azure وMicrosoft Teams. حسب طبيعة الميزة، يلزم وجود اتصال خارجي من مضيفي الجلسة إلى العميل. لسوء الحظ، لا يمكنك التنبؤ بمكان وجود المستخدمين في معظم الحالات. لذلك، نوصي بالسماح باتصال UDP الصادر من مضيفي الجلسات إلى الإنترنت. لتقليل عدد المنافذ المطلوبة، يمكنك تحديد نطاق المنفذ المستخدم من قبل العملاء لتدفق UDP. استخدم الجداول التالية كمرجع عند تكوين جدران الحماية لـ RDP Shortpath.
إذا كانت بيئتك تستخدم NAT متماثلا، وهو تعيين IP مصدر خاص واحد:منفذ إلى IP:منفذ وجهة عامة فريدة، فيمكنك استخدام اتصال غير مباشر مع TURN. سيكون هذا هو الحال إذا كنت تستخدم Azure Firewall وAzure NAT Gateway. لمزيد من المعلومات حول NAT مع شبكات Azure الظاهرية، راجع ترجمة عنوان الشبكة المصدر مع الشبكات الظاهرية.
حيث يتوفر للمستخدمين RDP Shortpath لكل من الشبكة المدارة والشبكات العامة لهم، فسيتم استخدام الخوارزمية الأولى التي تم العثور عليها. سيستخدم المستخدم أي اتصال يتم تأسيسه أولا لجلسة العمل هذه. لمزيد من المعلومات، راجع سيناريوهات المثال.
توفر TURN (معاينة)
تتوفر TURN في مناطق Azure التالية:
جنوب شرق أستراليا
وسط الهند
شرق الولايات المتحدة
East US 2
وسط فرنسا
غرب اليابان
أوروبا الشمالية
South Central US
جنوب شرق آسيا
جنوب المملكة المتحدة
غرب المملكة المتحدة
أوروبا الغربية
غرب الولايات المتحدة
West US 2
شبكة ظاهرية لمضيف الجلسة
الاسم
Source
منفذ المصدر
الوجهة
منفذ الوجهة
بروتوكول
الإجراء
نقطة نهاية خادم RDP Shortpath
شبكة VM الفرعية
Any
Any
1024-65535 (الافتراضي 49152-65535)
بروتوكول مخطط بيانات المستخدم
السماح
STUN/TURN UDP
شبكة VM الفرعية
Any
20.202.0.0/16
3478
بروتوكول مخطط بيانات المستخدم
السماح
STUN/TURN TCP
شبكة VM الفرعية
Any
20.202.0.0/16
443
TCP
السماح
شبكة العميل
الاسم
Source
منفذ المصدر
الوجهة
منفذ الوجهة
بروتوكول
الإجراء
نقطة نهاية خادم RDP Shortpath
شبكة العميل
Any
عناوين IP العامة المعينة لبوابة NAT أو جدار حماية Azure (التي توفرها نقطة نهاية STUN)
1024-65535 (الافتراضي 49152-65535)
بروتوكول مخطط بيانات المستخدم
السماح
STUN/TURN UDP
شبكة العميل
Any
20.202.0.0/16
3478
بروتوكول مخطط بيانات المستخدم
السماح
STUN/TURN TCP
شبكة العميل
Any
20.202.0.0/16
443
TCP
السماح
دعم Teredo
رغم أنه ليس مطلوباً لـ RDP Shortpath، فإن Teredo يضيف عامل التصفية إضافيين لاجتياز NAT ويزيد من فرصة اتصال RDP Shortpath الناجح في شبكات IPv4 فقط. لمعرفة كيفية تمكين Teredo على مضيفي الجلسة والعملاء، راجع دعم Teredo.
دعم UPnP
لتحسين فرص الاتصال المباشر، على جانب عميل سطح المكتب البعيد، قد يستخدم RDP Shortpath UPnP لتكوين تعيين منفذ على موجه NAT. UPnP هي تقنية قياسية تستخدمها العديد من التطبيقات، مثل Xbox وDelivery Optimization وTeredo. يتوفر UPnP بشكل عام على أجهزة التوجيه الموجودة عادةً على شبكة منزلية. يتم تمكين UPnP بشكل افتراضي على معظم أجهزة التوجيه المنزلية ونقاط الوصول، ولكن غالبًا ما يتم تعطيلها على شبكة الشركة.
التوصيات العامة
فيما يلي بعض التوصيات العامة عند استخدام RDP Shortpath للشبكات العامة:
تجنب استخدام تكوينات النفق الإجباري إذا قام المستخدمون بالوصول إلى Azure Virtual Desktop عبر الإنترنت.
تأكد من أنك لا تستخدم تكوينات مزدوجة NAT أو Carrier-Grade-NAT (CGN).
نوصي المستخدمين بعدم تعطيل UPnP على أجهزة التوجيه المنزلية الخاصة بهم.
تجنب استخدام خدمات فحص الحزم السحابية.
تجنب استخدام حلول VPN المستندة إلى بروتوكول TCP.
قم بتمكين اتصال IPv6 أو Teredo.
أمان الاتصال
يعمل RDP Shortpath على توسيع قدرات النقل المتعدد لـ RDP. لا يحل محل النقل العكسي ولكنه يكمله. تتم إدارة الوساطة الأولية للجلسة من خلال خدمة Azure Virtual Desktop ونقل الاتصال العكسي. يتم تجاهل جميع محاولات الاتصال ما لم تتطابق مع جلسة الاتصال العكسي أولاً. يتم إنشاء RDP Shortpath بعد المصادقة، وإذا تم تأسيسه بنجاح، يتم إسقاط نقل الاتصال العكسي وجميع تدفقات نسبة استخدام الشبكة عبر RDP Shortpath.
يستخدم RDP Shortpath اتصالا آمنا باستخدام TLS عبر UDP موثوق به بين العميل ومضيف الجلسة باستخدام شهادات مضيف الجلسة. بشكل افتراضي، الشهادة المستخدمة لتشفير RDP يتم إنشاؤها ذاتياً بواسطة نظام التشغيل في أثناء التوزيع. يمكنك أيضًا نشر الشهادات المُدارة مركزيًا والصادرة عن مرجع مصدق للمؤسسة. لمزيد من المعلومات حول تكوينات الشهادة، راجع تكوينات شهادة مستمع سطح المكتب البعيد.
إشعار
الأمان الذي يقدمه RDP Shortpath هو نفسه الذي يقدمه نقل الاتصال العكسي TCP.
سيناريوهات مقدمة كمثال
فيما يلي بعض أمثلة السيناريوهات لإظهار كيفية تقييم الاتصالات لتحديد ما إذا كان RDP Shortpath يستخدم عبر طبولوجيا شبكة مختلفة.
السيناريو 1
لا يمكن إنشاء اتصال UDP إلا بين جهاز العميل ومضيف الجلسة عبر شبكة عامة (إنترنت). لا يتوفر اتصال مباشر، مثل VPN. يسمح ب UDP من خلال جدار الحماية أو جهاز NAT.
السيناريو 2
يقوم جدار الحماية أو جهاز NAT بحظر اتصال UDP مباشر، ولكن يمكن ترحيل اتصال UDP غير المباشر باستخدام TURN بين جهاز العميل ومضيف الجلسة عبر شبكة عامة (إنترنت). لا يتوفر اتصال مباشر آخر، مثل VPN.
السيناريو 3
يمكن إنشاء اتصال UDP بين جهاز العميل ومضيف الجلسة عبر شبكة عامة أو عبر اتصال VPN مباشر، ولكن لم يتم تمكين RDP Shortpath للشبكات المدارة. عندما يبدأ العميل الاتصال، يمكن أن يرى بروتوكول ICE/STUN مسارات متعددة وسيقيم كل مسار ويختار المسار الذي يحتوي على أقل زمن انتقال.
في هذا المثال، سيتم إجراء اتصال UDP باستخدام RDP Shortpath للشبكات العامة عبر اتصال VPN المباشر لأنه يحتوي على أقل زمن انتقال، كما هو موضح في الخط الأخضر.
السيناريو 4
يتم تمكين كل من RDP Shortpath للشبكات العامة والشبكات المدارة. يمكن إنشاء اتصال UDP بين جهاز العميل ومضيف الجلسة عبر شبكة عامة أو عبر اتصال VPN مباشر. عندما يبدأ العميل الاتصال، هناك محاولات متزامنة للاتصال باستخدام RDP Shortpath للشبكات المدارة من خلال المنفذ 3390 (افتراضيا) وRDP Shortpath للشبكات العامة من خلال بروتوكول ICE/STUN. سيتم استخدام الخوارزمية التي تم العثور عليها الأولى وسيستخدم المستخدم أي اتصال يتم تأسيسه أولا لتلك الجلسة.
نظرا لأن الانتقال عبر شبكة عامة له المزيد من الخطوات، على سبيل المثال جهاز NAT أو موازن تحميل أو خادم STUN، فمن المحتمل أن تحدد الخوارزمية التي تم العثور عليها الأولى الاتصال باستخدام RDP Shortpath للشبكات المدارة وأن يتم إنشاؤها أولا.
السيناريو 5
يمكن إنشاء اتصال UDP بين جهاز العميل ومضيف الجلسة عبر شبكة عامة أو عبر اتصال VPN مباشر، ولكن لم يتم تمكين RDP Shortpath للشبكات المدارة. لمنع ICE/STUN من استخدام مسار معين، يمكن للمسؤول حظر أحد المسارات لحركة مرور UDP. سيؤدي حظر المسار إلى ضمان استخدام المسار المتبقي دائما.
في هذا المثال، يتم حظر UDP على اتصال VPN المباشر وينشئ بروتوكول ICE/STUN اتصالا عبر الشبكة العامة.
السيناريو 6
يتم تكوين كل من RDP Shortpath للشبكات العامة والشبكات المدارة، ولكن تعذر إنشاء اتصال UDP باستخدام اتصال VPN المباشر. يقوم جدار الحماية أو جهاز NAT أيضا بحظر اتصال UDP مباشر باستخدام الشبكة العامة (الإنترنت)، ولكن يمكن ترحيل اتصال UDP غير المباشر باستخدام TURN بين جهاز العميل ومضيف الجلسة عبر شبكة عامة (الإنترنت).
السيناريو 7
يتم تكوين كل من RDP Shortpath للشبكات العامة والشبكات المدارة، ولكن تعذر إنشاء اتصال UDP. في هذه الحالة، سيفشل RDP Shortpath وسيعود الاتصال مرة أخرى إلى نقل الاتصال العكسي المستند إلى TCP.