RDP Shortpath لـ Azure Virtual Desktop

ينشئ RDP Shortpath نقلا يستند إلى UDP بين تطبيق Windows محلي أو تطبيق سطح المكتب البعيد على الأنظمة الأساسية المدعومة ومضيف الجلسة في Azure Virtual Desktop. بشكل افتراضي، يبدأ بروتوكول سطح المكتب البعيد (RDP) نقل الاتصال العكسي المستند إلى TCP، ثم يحاول إنشاء جلسة عمل بعيدة باستخدام UDP. إذا نجح اتصال UDP في انخفاض اتصال TCP، وإلا يتم استخدام اتصال TCP كآلية اتصال احتياطية.

يوفر النقل المستند إلى UDP موثوقية اتصال أفضل وزمن انتقال أكثر اتساقا. يوفر نقل الاتصال العكسي المستند إلى TCP أفضل توافق مع تكوينات الشبكات المختلفة ولديه معدل نجاح عال لإنشاء اتصالات RDP.

يمكن استخدام RDP Shortpath بطريقتين:

1. الشبكات المدارة، حيث يتم إنشاء اتصال مباشر بين العميل ومضيف الجلسة عند استخدام اتصال خاص، مثل Azure ExpressRoute أو شبكة خاصة ظاهرية من موقع إلى موقع (VPN). يتم إنشاء اتصال باستخدام شبكة مدارة بإحدى الطرق التالية:

   1. اتصال UDP مباشر بين جهاز العميل ومضيف الجلسة، حيث تحتاج إلى تمكين وحدة استماع RDP Shortpath والسماح لمنفذ وارد على كل مضيف جلسة لقبول الاتصالات.

   2. اتصال UDP مباشر بين جهاز العميل ومضيف الجلسة، باستخدام بروتوكول Simple Traversal تحت NAT (STUN) بين العميل ومضيف الجلسة. لا يلزم السماح بالمنافذ الواردة على مضيف الجلسة.

2. الشبكات العامة، حيث يتم إنشاء اتصال مباشر بين العميل ومضيف الجلسة عند استخدام اتصال عام. هناك نوعان من الاتصال عند استخدام اتصال عام، وهما مدرجان هنا بترتيب التفضيل:

   1. اتصال UDP مباشر باستخدام بروتوكول Simple Traversal تحت NAT (STUN) بين عميل ومضيف جلسة عمل.

   2. اتصال UDP مرحل باستخدام بروتوكول Traversal Using Relay NAT (TURN) بين عميل ومضيف جلسة عمل.

يعتمد النقل المستخدم لـ RDP Shortpath على Universal Rate Control Protocol (URCP). بروتوكول URCP يعزز UDP من خلال المراقبة النشطة لظروف الشبكة، ويوفر استخداماً عادلاً وكاملاً للارتباط. يعمل URCP بمستويات تأخير وخسارة منخفضة حسب الحاجة.

هام

• يتوفر RDP Shortpath للشبكات العامة عبر STUN ل Azure Virtual Desktop في سحابة Azure العامة وسحابة Azure Government.
• RDP Shortpath للشبكات العامة عبر TURN ل Azure Virtual Desktop متاح فقط في سحابة Azure العامة.

المزايا الرئيسية

استخدام RDP Shortpath له الفوائد الرئيسية التالية:

• يؤدي استخدام URCP لتحسين UDP إلى تحقيق أفضل أداء من خلال التعلم الديناميكي لمعلمات الشبكة وتزويد البروتوكول بآلية للتحكم في المعدل.

• معدل نقل أعلى.

• عند استخدام STUN، تقلل إزالة نقاط الترحيل الإضافية من وقت الإرسال ذهابا وإيابا من تحسين موثوقية الاتصال وتجربة المستخدم مع التطبيقات الحساسة لزمن الانتقال وأساليب الإدخال.

• بالإضافة إلى ذلك، بالنسبة للشبكات المدارة:

  • توفر RDP Shortpath الدعم لتكوين أولوية جودة الخدمة (QoS) لاتصالات RDP من خلال علامات نقطة رمز الخدمات المميزة (DSCP).

  • يسمح نقل RDP Shortpath بالحد من نسبة استخدام الشبكة الصادرة عن طريق تحديد معدل تقييد لكل جلسة عمل.

كيف يعمل RDP Shortpath

لمعرفة كيفية عمل RDP Shortpath للشبكات المدارة والشبكات العامة، حدد كل علامة تبويب من علامات التبويب التالية.

الشبكات المدارة

يمكنك تحقيق اتصال خط الرؤية المباشر المطلوب لاستخدام RDP Shortpath مع الشبكات المدارة باستخدام الطرق التالية.

• ExpressRoute التناظر الخاص

• VPN من موقع إلى موقع أو من نقطة إلى موقع (IPsec)، مثل بوابة Azure VPN

يعني وجود اتصال مباشر في مجال الرؤية أنه يمكن للعميل الاتصال مباشرة بمضيف الجلسة دون أن يتم حظره بواسطة جدران الحماية.

إشعار

إذا كنت تستخدم أنواع VPN أخرى للاتصال بـ Azure، فإننا نوصي باستخدام VPN المستندة إلى UDP. بينما تدعم معظم حلول VPN المستندة إلى TCP بروتوكول UDP المتداخل، فإنها تضيف عبئًا موروثًا للتحكم في ازدحام بروتوكول TCP، مما يؤدي إلى إبطاء أداء RDP.

لاستخدام RDP Shortpath للشبكات المدارة، يجب تمكين وحدة إصغاء UDP على مضيفي الجلسة. بشكل افتراضي، يتم استخدام المنفذ 3390، على الرغم من أنه يمكنك استخدام منفذ مختلف.

يقدم الرسم التخطيطي التالي نظرة عامة عالية المستوى على اتصالات الشبكة عند استخدام RDP Shortpath للشبكات المدارة ومضيفي الجلسة المنضمين إلى مجال Active Directory.

تسلسل الاتصال

تبدأ جميع الاتصالات بإنشاء نقل اتصال عكسي يستند إلى TCP عبر بوابة Azure Virtual Desktop. بعد ذلك، يقوم العميل ومضيف الجلسة بتأسيس النقل الأولي لـ RDP، والبدء في تبادل قدراتهما. يتم التفاوض على هذه القدرات باستخدام العملية التالية:

1. يرسل مضيف الجلسة قائمة عناوين IPv4 وIPv6 الخاصة به إلى العميل.

2. يبدأ العميل مؤشر ترابط الخلفية لإنشاء نقل متوازي يستند إلى UDP مباشرة إلى أحد عناوين IP لمضيف الجلسة.

3. في أثناء قيام العميل بالتحقيق في عناوين IP المقدمة، فإنه يستمر في إنشاء الاتصال الأولي عبر نقل الاتصال العكسي لضمان عدم وجود تأخير في اتصال المستخدم.

4. إذا كان لدى العميل اتصال مباشر بمضيف الجلسة، ينشئ العميل اتصالا آمنا باستخدام TLS عبر UDP موثوق به.

5. بعد إنشاء نقل RDP Shortpath، يتم نقل جميع القنوات الافتراضية الديناميكية (DVC)، بما في ذلك الرسومات البعيدة والمدخلات وإعادة توجيه الجهاز، إلى النقل الجديد. مع ذلك، إذا كان جدار الحماية أو مخطط الشبكة يمنع العميل من إنشاء اتصال UDP مباشر، يستمر RDP مع نقل اتصال عكسي.

إذا كان لدى المستخدمين كل من RDP Shortpath للشبكة المدارة والشبكات العامة المتاحة لهم، استخدام الخوارزمية التي تم العثور عليها أولا. سيستخدم المستخدم أي اتصال يتم تأسيسه أولا لجلسة العمل هذه.

الشبكات العامة

لتوفير أفضل فرصة لنجاح اتصال UDP عند استخدام اتصال عام، هناك أنواع الاتصال المباشرة والمرحلة:

• الاتصال المباشر: يتم استخدام STUN لإنشاء اتصال UDP مباشر بين عميل ومضيف جلسة عمل. لتأسيس هذا الاتصال، يجب أن يكون العميل ومضيف الجلسة قادرين على الاتصال ببعضهما البعض من خلال عنوان IP عام ومنفذ تم التفاوض عليه. ومع ذلك، لا يعرف معظم العملاء عنوان IP العام الخاص بهم لأنهم يجلسون خلف جهاز بوابة ترجمة عناوين الشبكة (NAT ). STUN هو بروتوكول للاكتشاف الذاتي لعنوان IP عام من خلف جهاز بوابة NAT والعميل لتحديد عنوان IP الخاص به العام.

  لكي يستخدم العميل STUN، يجب أن تسمح شبكته بحركة مرور UDP. بافتراض أن كل من العميل ومضيف الجلسة يمكنه التوجيه إلى عنوان IP والمنفذ المكتشفين للآخر مباشرة، يتم تأسيس الاتصال مع UDP المباشر عبر بروتوكول WebSocket. إذا كانت جدران الحماية أو أجهزة الشبكة الأخرى تحظر الاتصالات المباشرة، يتم تجربة اتصال UDP مرحل.

• الاتصال المرحل: يتم استخدام TURN لإنشاء اتصال، وترحيل نسبة استخدام الشبكة من خلال خادم وسيط بين عميل ومضيف جلسة عمل عندما لا يكون الاتصال المباشر ممكنا. TURN هو امتداد STUN. يعني استخدام TURN أن عنوان IP العام والمنفذ معروفان مسبقا، والذي يمكن السماح به من خلال جدران الحماية وأجهزة الشبكة الأخرى.

  إذا كانت جدران الحماية أو أجهزة الشبكة الأخرى تمنع حركة مرور UDP، فسيعود الاتصال مرة أخرى إلى نقل الاتصال العكسي المستند إلى TCP.

عند إنشاء اتصال، تقوم مؤسسة الاتصال التفاعلي (ICE) بتنسيق إدارة STUN و TURN لتحسين احتمال إنشاء اتصال، والتأكد من إعطاء الأسبقية لبروتوكولات اتصال الشبكة المفضلة.

تستخدم كل جلسة RDP منفذ UDP معين ديناميكيا من نطاق منفذ سريع الزوال (49152 إلى 65535 بشكل افتراضي) يقبل حركة مرور RDP Shortpath. يتم تجاهل المنفذ 65330 من هذا النطاق لأنه محجوز للاستخدام داخليا بواسطة Azure. يمكنك أيضًا استخدام نطاق منفذ أصغر يمكن التنبؤ به. لمزيد من المعلومات، راجع تحديد نطاق المنفذ المستخدم من قبل العملاء للشبكات العامة.

تلميح

سيعمل RDP Shortpath للشبكات العامة تلقائيًا دون أي تكوين إضافي، ما يوفر الشبكات وجدران الحماية التي تسمح بنسبة استخدام الشبكة من خلال إعدادات نقل RDP في نظام تشغيل Windows لمضيفي الجلسة والعملاء الذين يستخدمون قيمهم الافتراضية.

يقدم الرسم التخطيطي التالي نظرة عامة عالية المستوى على اتصالات الشبكة عند استخدام RDP Shortpath للشبكات العامة حيث انضم مضيفو الجلسة إلى معرف Microsoft Entra.

توفر ترحيل TURN

يتوفر ترحيل TURN في مناطق Azure التالية:

• جنوب شرق أستراليا
• وسط الهند‬
• شرق الولايات المتحدة
• East US 2
• وسط فرنسا
• غرب اليابان
• أوروبا الشمالية

• South Central US
• جنوب شرق آسيا
• جنوب المملكة المتحدة
• غرب المملكة المتحدة
• أوروبا الغربية
• غرب الولايات المتحدة
• West US 2

يتم تحديد ترحيل TURN استنادا إلى الموقع الفعلي لجهاز العميل. على سبيل المثال، إذا كان جهاز العميل في المملكة المتحدة، يتم تحديد ترحيل TURN في منطقة جنوب المملكة المتحدة أو غرب المملكة المتحدة. إذا كان جهاز العميل بعيدا عن ترحيل TURN، فقد يعود اتصال UDP إلى TCP.

ترجمة عنوان الشبكة والجدران النارية

يعمل معظم عملاء Azure Virtual Desktop على أجهزة الكمبيوتر الموجودة على الشبكة الخاصة. يتم توفير الوصول إلى الإنترنت من خلال جهاز بوابة ترجمة عنوان الشبكة (NAT). لذلك، تقوم بوابة NAT بتعديل جميع طلبات الشبكة من الشبكة الخاصة والموجهة إلى الإنترنت. يهدف هذا التعديل إلى مشاركة عنوان IP عام واحد عبر جميع أجهزة الكمبيوتر الموجودة على الشبكة الخاصة.

بسبب تعديل حزمة IP، سيرى متلقي نسبة استخدام الشبكة عنوان IP العام لبوابة NAT بدلاً من المرسل الفعلي. عندما تعود نسبة استخدام الشبكة إلى بوابة NAT، فإنها ستحرص على إعادة توجيهها إلى المستلم المقصود دون علم المرسل. في معظم السيناريوهات، لا تدرك الأجهزة المخفية خلف NAT أن الترجمة تحدث ولا تعرف عنوان الشبكة لبوابة NAT.

ينطبق NAT على شبكات Azure الظاهرية، حيث يقيم جميع مضيفي الجلسات. عندما يحاول مضيف الجلسة الوصول إلى عنوان الشبكة على الإنترنت، تقوم بوابة NAT (إما الخاصة بك أو الافتراضية التي يوفرها Azure) أو Azure Load Balancer بتنفيذ نقل العنوان. لمزيد من المعلومات حول أنواع مختلفة من ترجمة عناوين الشبكة المصدر، راجع استخدام ترجمة عناوين الشبكة المصدر (SNAT) للاتصالات الصادرة.

تتضمن معظم الشبكات عادةً جدران حماية تقوم بفحص نسبة استخدام الشبكة وتحظرها بناءً على القواعد. يقوم معظم العملاء بتكوين جدران الحماية الخاصة بهم لمنع الاتصالات الواردة (أي الحزم غير المرغوب فيها من الإنترنت المرسلة دون طلب). تستخدم جدران الحماية تقنيات مختلفة لتتبع تدفق البيانات للتمييز بين نسبة استخدام الشبكة المطلوبة وغير المرغوب فيها. في سياق TCP، يتتبع جدار الحماية حزم SYN وACK، وتكون العملية مباشرة. عادةً ما تستخدم جدران حماية UDP أساليب الاستدلال بناءً على عناوين الحزمة لربط نسبة استخدام الشبكة بتدفقات UDP والسماح بها أو حظرها. يوجد العديد من تطبيقات NAT المختلفة المتاحة.

تسلسل الاتصال

تبدأ جميع الاتصالات بإنشاء نقل اتصال عكسي يستند إلى TCP عبر بوابة Azure Virtual Desktop. بعد ذلك، يقوم العميل ومضيف الجلسة بتأسيس النقل الأولي لـ RDP، والبدء في تبادل قدراتهما. إذا تم تمكين RDP Shortpath للشبكات العامة على مضيف الجلسة، فسيبدأ مضيف الجلسة عملية تسمى تجمع المرشحين:

1. يعدد مضيف الجلسة جميع واجهات الشبكة المعينة لمضيف الجلسة، بما في ذلك الواجهات الافتراضية مثل VPN وTeredo.

2. تخصص خدمات سطح المكتب البعيد (TermService) في Windows مآخذ توصيل UDP على كل واجهة وتخزن زوج IP:Port في الجدول المرشح كمرشح محلي.

3. تستخدم خدمة خدمات سطح المكتب البعيد كل مأخذ توصيل UDP مخصص في الخطوة السابقة لمحاولة الوصول إلى خادم Azure Virtual Desktop STUN على الإنترنت العام. يتم الاتصال عن طريق إرسال حزمة UDP صغيرة إلى المنفذ 3478.

4. إذا وصلت الحزمة إلى خادم STUN، يستجيب خادم STUN مع IP العام والمنفذ. يتم تخزين هذه المعلومات في الجدول عامل التصفية كـ عامل تصفية انعكاسي.

5. بعد أن يجمع مضيف الجلسة جميع عمال التصفية، يستخدم مضيف الجلسة وسيلة نقل الاتصال العكسي المحددة لتمرير قائمة عمال التصفية إلى العميل.

6. عندما يتلقى العميل قائمة المرشحين من مضيف الجلسة، يقوم العميل أيضًا بجمع المرشحين من جانبه. ثم يرسل العميل قائمة عمال التصفية الخاصة به إلى مضيف الجلسة.

7. بعد أن يتبادل مضيف الجلسة والعميل قوائم عمال التصفية، يحاول كلا الطرفين التواصل مع بعضهما البعض باستخدام جميع عمال التصفية المجمعين. محاولة الاتصال هذه متزامنة من كلا الجانبين. يتم تكوين العديد من بوابات NAT للسماح بنسبة استخدام الشبكة الواردة إلى مأخذ التوصيل بمجرد أن يقوم نقل البيانات الصادرة بتهيئته. هذا السلوك لبوابات NAT هو سبب أهمية الاتصال المتزامن. إذا فشل STUN بسبب حظره، يتم إجراء محاولة اتصال مرحل باستخدام TURN.

8. بعد تبادل الحزمة الأولي، يمكن للعميل ومضيف الجلسة إنشاء تدفق بيانات واحد أو أكثر. من تدفقات البيانات هذه، يختار RDP أسرع مسار شبكة. ثم ينشئ العميل اتصالا آمنا باستخدام TLS عبر UDP موثوق به مع مضيف الجلسة ويبدأ نقل RDP Shortpath.

9. بعد أن ينشئ RDP نقل RDP Shortpath، تنتقل جميع القنوات الظاهرية الديناميكية (DVC)، بما في ذلك الرسومات البعيدة والمدخلات وإعادة توجيه الجهاز إلى النقل الجديد.

إذا كان لدى المستخدمين كل من RDP Shortpath للشبكة المدارة والشبكات العامة المتاحة لهم، استخدام الخوارزمية التي تم العثور عليها أولا، ما يعني أن المستخدم سيستخدم أي اتصال يتم تأسيسه أولا لتلك الجلسة. لمزيد من المعلومات، راجع مثال السيناريو 4.

تكوين الشبكة

لدعم RDP Shortpath للشبكات العامة، لا تحتاج عادةً إلى أي تكوين معين. سيكتشف مضيف الجلسة والعميل تلقائيًا تدفق البيانات المباشر إذا كان ذلك ممكنًا في تكوين الشبكة. ومع ذلك، تعتبر كل بيئة فريدة، وقد تؤثر بعض تكوينات الشبكة سلباً على معدل نجاح الاتصال المباشر. اتبع التوصيات لزيادة احتمال تدفق البيانات المباشر.

نظرًا لأن RDP Shortpath يستخدم UDP لإنشاء تدفق بيانات، إذا كان جدار الحماية على شبكتك يحظر نسبة استخدام شبكة UDP، فسوف يفشل RDP Shortpath وسيعود الاتصال إلى نقل الاتصال العكسي المستند إلى TCP. يستخدم Azure Virtual Desktop خوادم STUN التي توفرها خدمات اتصالات Azure وMicrosoft Teams. حسب طبيعة الميزة، يلزم وجود اتصال خارجي من مضيفي الجلسة إلى العميل. لسوء الحظ، لا يمكنك التنبؤ بمكان وجود المستخدمين في معظم الحالات. لذلك، نوصي بالسماح باتصال UDP الصادر من مضيفي الجلسات إلى الإنترنت. لتقليل عدد المنافذ المطلوبة، يمكنك تحديد نطاق المنفذ المستخدم من قبل العملاء لتدفق UDP. استخدم الجداول التالية كمرجع عند تكوين جدران الحماية لـ RDP Shortpath.

إذا كانت بيئتك تستخدم NAT متماثلا، وهو تعيين IP مصدر خاص واحد:منفذ إلى IP:منفذ وجهة عامة فريدة، فيمكنك استخدام اتصال مرحل مع TURN. سيكون هذا هو الحال إذا كنت تستخدم Azure Firewall وAzure NAT Gateway. لمزيد من المعلومات حول NAT مع شبكات Azure الظاهرية، راجع ترجمة عنوان الشبكة المصدر مع الشبكات الظاهرية.

لدينا بعض التوصيات العامة للاتصالات الناجحة باستخدام RDP Shortpath للشبكات العامة. لمزيد من المعلومات، راجع التوصيات العامة.

حيث يتوفر للمستخدمين RDP Shortpath لكل من الشبكة المدارة والشبكات العامة لهم، استخدام الخوارزمية الأولى التي تم العثور عليها. سيستخدم المستخدم أي اتصال يتم تأسيسه أولا لجلسة العمل هذه. لمزيد من المعلومات، راجع سيناريوهات المثال.

تحتوي الأقسام التالية على متطلبات المصدر والوجهة والبروتوكول لمضيفي الجلسة وأجهزة العميل التي يجب السماح بها ل RDP Shortpath للعمل.

إشعار

للاتصال المرحل مع TURN، تتم مشاركة الشبكة 20.202.0.0/16 الفرعية IP مع Azure Communication Services. ومع ذلك، سينتقل Azure Virtual Desktop وWindows 365 إلى 51.5.0.0/16، المخصص حصريا لهذه الخدمات. نوصي بتكوين كلا النطاقين في بيئة الشبكة الآن لضمان انتقال سلس.

إذا كنت تريد الانتظار لاستخدام الشبكة الفرعية المخصصة، فالرجاء اتباع الخطوات الواردة في تكوين إعدادات شبكة تجمع المضيف وتعيين RDP Shortpath للشبكة العامة (عبر TURN/relay) إلى معطل. بدلا من ذلك، يمكنك تعطيل UDP على الجهاز المحلي، ولكن سيؤدي ذلك إلى تعطيل UDP لجميع الاتصالات. لتعطيل UDP على الجهاز المحلي، اتبع الخطوات الواردة في التحقق من تمكين UDP على أجهزة عميل Windows، ولكن قم بتعيين إيقاف تشغيل UDP على العميل إلى ممكن. إذا قمت بحظر نطاق 20.202.0.0/16 IP على شبكتك وكنت تستخدم تطبيقات VPN، فقد يتسبب ذلك في حدوث مشكلات في قطع الاتصال.

شبكة ظاهرية لمضيف الجلسة

يوضح الجدول التالي تفاصيل متطلبات المصدر والوجهة والبروتوكول ل RDP Shortpath للشبكة الظاهرية لمضيف جلسة العمل.

الاسم	المصدر	منفذ المصدر	الوجهة	منفذ الوجهة	البروتوكول	الإجراء
اتصال STUN المباشر	شبكة VM الفرعية	أي	أي	1024-65535 (الافتراضي 49152-65535)	بروتوكول مخطط بيانات المستخدم	السماح
STUN infrastructure/TURN	شبكة VM الفرعية	أي	20.202.0.0/16	3478	بروتوكول مخطط بيانات المستخدم	السماح
ترحيل TURN	شبكة VM الفرعية	أي	51.5.0.0/16	3478	بروتوكول مخطط بيانات المستخدم	السماح

شبكة العميل

يوضح الجدول التالي تفاصيل متطلبات المصدر والوجهة والبروتوكول لأجهزة العميل.

الاسم	المصدر	منفذ المصدر	الوجهة	منفذ الوجهة	البروتوكول	الإجراء
اتصال STUN المباشر	شبكة العميل	أي	عناوين IP العامة المعينة لبوابة NAT أو جدار حماية Azure (التي توفرها نقطة نهاية STUN)	1024-65535 (الافتراضي 49152-65535)	بروتوكول مخطط بيانات المستخدم	السماح
STUN infrastructure/TURN relay	شبكة العميل	أي	20.202.0.0/16	3478	بروتوكول مخطط بيانات المستخدم	السماح
ترحيل TURN	شبكة العميل	أي	51.5.0.0/16	3478	بروتوكول مخطط بيانات المستخدم	السماح

دعم Teredo

رغم أنه ليس مطلوباً لـ RDP Shortpath، فإن Teredo يضيف عامل التصفية إضافيين لاجتياز NAT ويزيد من فرصة اتصال RDP Shortpath الناجح في شبكات IPv4 فقط. لمعرفة كيفية تمكين Teredo على مضيفي الجلسة والعملاء، راجع تمكين دعم Teredo.

دعم UPnP

لتحسين فرص الاتصال المباشر، على جانب عميل سطح المكتب البعيد، قد يستخدم RDP Shortpath UPnP لتكوين تعيين منفذ على موجه NAT. UPnP هي تقنية قياسية تستخدمها العديد من التطبيقات، مثل Xbox وDelivery Optimization وTeredo. يتوفر UPnP بشكل عام على أجهزة التوجيه الموجودة عادةً على شبكة منزلية. يتم تمكين UPnP بشكل افتراضي على معظم أجهزة التوجيه المنزلية ونقاط الوصول، ولكن غالبًا ما يتم تعطيلها على شبكة الشركة.

التوصيات العامة

فيما يلي بعض التوصيات العامة عند استخدام RDP Shortpath للشبكات العامة:

• تجنب استخدام تكوينات النفق الإجباري إذا قام المستخدمون بالوصول إلى Azure Virtual Desktop عبر الإنترنت.

• تأكد من أنك لا تستخدم تكوينات مزدوجة NAT أو Carrier-Grade-NAT (CGN).

• نوصي المستخدمين بعدم تعطيل UPnP على أجهزة التوجيه المنزلية الخاصة بهم.

• تجنب استخدام خدمات فحص الحزم السحابية.

• تجنب استخدام حلول VPN المستندة إلى بروتوكول TCP.

• قم بتمكين اتصال IPv6 أو Teredo.

أمان الاتصال

يعمل RDP Shortpath على توسيع قدرات النقل المتعدد لـ RDP. لا يحل محل النقل العكسي ولكنه يكمله. تتم إدارة الوساطة الأولية للجلسة من خلال خدمة Azure Virtual Desktop ونقل الاتصال العكسي. يتم تجاهل جميع محاولات الاتصال ما لم تتطابق مع جلسة الاتصال العكسي أولاً. يتم إنشاء RDP Shortpath بعد المصادقة، وإذا تم تأسيسه بنجاح، يتم إسقاط نقل الاتصال العكسي وجميع تدفقات نسبة استخدام الشبكة عبر RDP Shortpath.

يستخدم RDP Shortpath اتصالا آمنا باستخدام TLS عبر UDP موثوق به بين العميل ومضيف الجلسة باستخدام شهادات مضيف الجلسة. بشكل افتراضي، الشهادة المستخدمة لتشفير RDP يتم إنشاؤها ذاتياً بواسطة نظام التشغيل في أثناء التوزيع. يمكنك أيضًا نشر الشهادات المُدارة مركزيًا والصادرة عن مرجع مصدق للمؤسسة. لمزيد من المعلومات حول تكوينات الشهادة، راجع تكوينات شهادة مستمع سطح المكتب البعيد.

إشعار

الأمان الذي يقدمه RDP Shortpath هو نفسه الذي يقدمه نقل الاتصال العكسي TCP.

سيناريوهات مقدمة كمثال

فيما يلي بعض أمثلة السيناريوهات لإظهار كيفية تقييم الاتصالات لتحديد ما إذا كان RDP Shortpath يستخدم عبر طبولوجيا شبكة مختلفة.

السيناريو 1

لا يمكن إنشاء اتصال UDP إلا بين جهاز العميل ومضيف الجلسة عبر شبكة عامة (إنترنت). لا يتوفر اتصال مباشر، مثل VPN. يسمح ب UDP من خلال جدار الحماية أو جهاز NAT.

السيناريو 2

يقوم جدار الحماية أو جهاز NAT بحظر اتصال UDP مباشر، ولكن يمكن ترحيل اتصال UDP مرحل باستخدام TURN بين جهاز العميل ومضيف الجلسة عبر شبكة عامة (إنترنت). لا يتوفر اتصال مباشر آخر، مثل VPN.

السيناريو 3

يمكن إنشاء اتصال UDP بين جهاز العميل ومضيف الجلسة عبر شبكة عامة أو عبر اتصال VPN مباشر، ولكن لم يتم تمكين RDP Shortpath للشبكات المدارة. عندما يبدأ العميل الاتصال، يمكن أن يرى بروتوكول ICE/STUN مسارات متعددة وسيقيم كل مسار ويختار المسار الذي يحتوي على أقل زمن انتقال.

في هذا المثال، سيتم إجراء اتصال UDP باستخدام RDP Shortpath للشبكات العامة عبر اتصال VPN المباشر لأنه يحتوي على أقل زمن انتقال، كما هو موضح في الخط الأخضر.

السيناريو 4

يتم تمكين كل من RDP Shortpath للشبكات العامة والشبكات المدارة. يمكن إنشاء اتصال UDP بين جهاز العميل ومضيف الجلسة عبر شبكة عامة أو عبر اتصال VPN مباشر. عندما يبدأ العميل الاتصال، هناك محاولات متزامنة للاتصال باستخدام RDP Shortpath للشبكات المدارة من خلال المنفذ 3390 (افتراضيا) وRDP Shortpath للشبكات العامة من خلال بروتوكول ICE/STUN. سيتم استخدام الخوارزمية التي تم العثور عليها الأولى وسيستخدم المستخدم أي اتصال يتم تأسيسه أولا لتلك الجلسة.

نظرا لأن الانتقال عبر شبكة عامة له المزيد من الخطوات، على سبيل المثال جهاز NAT أو موازن تحميل أو خادم STUN، فمن المحتمل أن تحدد الخوارزمية التي تم العثور عليها الأولى الاتصال باستخدام RDP Shortpath للشبكات المدارة وأن يتم إنشاؤها أولا.

السيناريو 5

يمكن إنشاء اتصال UDP بين جهاز العميل ومضيف الجلسة عبر شبكة عامة أو عبر اتصال VPN مباشر، ولكن لم يتم تمكين RDP Shortpath للشبكات المدارة. لمنع ICE/STUN من استخدام مسار معين، يمكن للمسؤول حظر أحد المسارات لحركة مرور UDP. سيؤدي حظر المسار إلى ضمان استخدام المسار المتبقي دائما.

في هذا المثال، يتم حظر UDP على اتصال VPN المباشر وينشئ بروتوكول ICE/STUN اتصالا عبر الشبكة العامة.

السيناريو 6

يتم تكوين كل من RDP Shortpath للشبكات العامة والشبكات المدارة، ولكن تعذر إنشاء اتصال UDP باستخدام اتصال VPN المباشر. يقوم جدار الحماية أو جهاز NAT أيضا بحظر اتصال UDP مباشر باستخدام الشبكة العامة (الإنترنت)، ولكن يمكن ترحيل اتصال UDP المرحل باستخدام TURN بين جهاز العميل ومضيف الجلسة عبر شبكة عامة (الإنترنت).

السيناريو 7

يتم تكوين كل من RDP Shortpath للشبكات العامة والشبكات المدارة، ولكن تعذر إنشاء اتصال UDP. في هذه الحالة، سيفشل RDP Shortpath وسيعود الاتصال مرة أخرى إلى نقل الاتصال العكسي المستند إلى TCP.

الخطوات التالية

• تعرف على كيفية تكوين RDP Shortpath.
• للتعرف على المزيد بشأن اتصال شبكة Azure Virtual Desktop في فهم اتصال شبكة Azure Virtual Desktop.
• فهم رسوم شبكة الخروج من Azure.
• لفهم كيفية تقدير النطاق الترددي المستخدم من قبل RDP، راجع متطلبات النطاق الترددي لـ RDP.