Krátká cesta protokolu RDP vytváří přímý přenos založený na protokolu UDP mezi místní aplikací pro Windows nebo aplikací Vzdálená plocha na podporovaných platformách a hostitelem relací ve službě Azure Virtual Desktop.
Ve výchozím nastavení se protokol RDP (Remote Desktop Protocol) pokusí navázat vzdálenou relaci pomocí protokolu UDP a jako záložní mechanismus připojení používá přenos zpětného připojení založeného na protokolu TCP. Přenos založený na protokolu UDP nabízí lepší spolehlivost připojení a konzistentnější latenci. Přenos zpětného připojení založený na protokolu TCP poskytuje nejlepší kompatibilitu s různými konfiguracemi sítě a má vysokou úspěšnost při vytváření připojení RDP.
Zkratka RDP se dá použít dvěma způsoby:
Spravované sítě, kde se přímé připojení naváže mezi klientem a hostitelem relace při použití privátního připojení, jako je například virtuální privátní síť (VPN). Připojení využívající spravovanou síť se vytváří jedním z následujících způsobů:
Přímé připojení UDP mezi klientským zařízením a hostitelem relace, kde potřebujete povolit naslouchací proces RDP Shortpath a povolit příchozí port na každém hostiteli relace přijímat připojení.
Přímé připojení UDP mezi klientským zařízením a hostitelem relace pomocí protokolu Simple Traversal Under under NAT (STUN) mezi klientem a hostitelem relace. Příchozí porty na hostiteli relace nemusí být povolené.
Veřejné sítě, kde se přímé připojení naváže mezi klientem a hostitelem relace při použití veřejného připojení. Při použití veřejného připojení existují dva typy připojení, které jsou uvedené v pořadí podle preference:
Přímé připojení UDP pomocí protokolu Simple Traversal Under under NAT (STUN) mezi klientem a hostitelem relace.
Nepřímé připojení UDP pomocí protokolu Traversal Using Relay NAT (TURN) s přenosem mezi klientem a hostitelem relace.
Přenos používaný pro zkratku RDP je založený na URCP (Universal Rate Control Protocol). URCP vylepšuje UDP s aktivním monitorováním podmínek sítě a poskytuje spravedlivé a úplné využití propojení. URCP funguje podle potřeby na nízké úrovni zpoždění a ztráty.
Důležité
Zkratka RDP pro veřejné sítě s turn je dostupná jenom ve veřejném cloudu Azure.
Klíčové výhody
Použití krátké cesty RDP má následující klíčové výhody:
Použití URCP k vylepšení UDP dosáhne nejlepšího výkonu dynamickým učením síťových parametrů a poskytnutím protokolu mechanismus kontroly rychlosti.
Odebrání dalších bodů přenosu snižuje dobu odezvy, což zlepšuje spolehlivost připojení a uživatelské prostředí s aplikacemi citlivými na latenci a metodami zadávání.
Kromě toho pro spravované sítě:
Zkratka RDP přináší podporu konfigurace priority QoS (Quality of Service) pro připojení RDP prostřednictvím značek DSCP (Differentiated Services Code Point).
Přenos RDP Shortpath umožňuje omezit odchozí síťový provoz zadáním míry omezení pro každou relaci.
Jak funguje krátká cesta RDP
Pokud chcete zjistit, jak funguje zkratka RDP pro spravované sítě a veřejné sítě, vyberte každou z následujících karet.
Přímé připojení k dohledu znamená, že se klient může připojit přímo k hostiteli relace, aniž by je zablokovaly brány firewall.
Poznámka:
Pokud pro připojení k Azure používáte jiné typy VPN, doporučujeme použít síť VPN založenou na protokolu UDP. I když většina řešení VPN založených na protokolu TCP podporuje vnořené UDP, přidávají zděděnou režii řízení zahlcení protokolu TCP, což zpomaluje výkon protokolu RDP.
Pokud chcete používat zkratku RDP pro spravované sítě, musíte na hostitelích relací povolit naslouchací proces UDP. Ve výchozím nastavení se používá port 3390 , i když můžete použít jiný port.
Následující diagram poskytuje základní přehled síťových připojení při použití zkratky RDP pro spravované sítě a hostitele relací připojených k doméně služby Active Directory.
Sekvence připojení
Všechna připojení začínají vytvořením přenosu zpětného připojení založeného na protokolu TCP přes bránu služby Azure Virtual Desktop. Pak klient a hostitel relace vytvoří počáteční přenos protokolu RDP a začne vyměňovat své schopnosti. Tyto funkce se vyjednávají pomocí následujícího procesu:
Hostitel relace odešle klientovi seznam adres IPv4 a IPv6.
Klient spustí vlákno na pozadí a vytvoří paralelní přenos založený na protokolu UDP přímo na jednu z IP adres hostitele relace.
Zatímco klient provádí sondování zadaných IP adres, pokračuje v navázání počátečního připojení přes přenos zpětného připojení, aby se zajistilo, že nedojde ke zpoždění připojení uživatele.
Pokud má klient přímé připojení k hostiteli relace, klient vytvoří zabezpečené připojení pomocí protokolu TLS přes spolehlivý protokol UDP.
Po vytvoření přenosové cesty RDP se všechny dynamické virtuální kanály (DVC), včetně vzdálené grafiky, vstupu a přesměrování zařízení, přesunou do nového přenosu. Pokud však brána firewall nebo síťová topologie brání klientovi v navazování přímého připojení UDP, protokol RDP pokračuje v přenosu zpětného připojení.
Pokud mají vaši uživatelé k dispozici jak zkratku RDP pro spravovanou síť, tak pro veřejné sítě, použije se první nalezený algoritmus. Uživatel použije jakékoli připojení, které se vytvoří jako první pro danou relaci.
Pokud chcete zajistit nejlepší šanci na úspěšné připojení UDP při použití veřejného připojení, existují přímé a nepřímé typy připojení:
Přímé připojení: STUN slouží k navázání přímého připojení UDP mezi klientem a hostitelem relace. Aby bylo možné navázat toto připojení, musí být klient a hostitel relace schopni se vzájemně připojit přes veřejnou IP adresu a vyjednaný port. Většina klientů ale nezná svou vlastní veřejnou IP adresu, protože se nacházejí za zařízením brány překladu adres (NAT). STUN je protokol pro samoobslužné zjišťování veřejné IP adresy ze zařízení služby NAT Gateway a klienta k určení vlastní veřejné IP adresy.
Aby klient mohl používat STUN, musí jeho síť povolit provoz UDP. Za předpokladu, že klient i hostitel relace mohou směrovat přímo na zjištěnou IP adresu a port druhého klienta, je komunikace navázána s přímým udp přes protokol WebSocket. Pokud brány firewall nebo jiná síťová zařízení blokují přímá připojení, zkusí se nepřímé připojení UDP.
Nepřímé připojení: FUNKCE TURN se používá k navázání nepřímého připojení, předávání provozu přes zprostředkující server mezi klientem a hostitelem relace, pokud přímé připojení není možné. TURN je rozšíření STUN. Použití funkce TURN znamená, že veřejná IP adresa a port jsou známé předem, což je možné povolit prostřednictvím bran firewall a dalších síťových zařízení.
FUNKCE TURN obvykle autorizuje přístup k serveru prostřednictvím uživatelského jména a hesla a jeho upřednostňovaný režim provozu je použití soketů UDP. Pokud brány firewall nebo jiná síťová zařízení blokují přenosy UDP, připojení se vrátí zpět do přenosu zpětného připojení založeného na protokolu TCP.
Při vytváření připojení koordinuje interaktivní připojení (ICE) správu STUN a TURN, aby se optimalizovala pravděpodobnost navázání připojení a zajistilo, že přednost mají upřednostňované komunikační protokoly sítě.
Každá relace protokolu RDP používá dynamicky přiřazený port UDP z dočasného rozsahu portů (ve výchozím nastavení 49152 až 65535 ), který přijímá přenosy protokolu RDP Shortpath. Port 65330 se z tohoto rozsahu ignoruje, protože je vyhrazený pro interní použití v Azure. Můžete také použít menší předvídatelný rozsah portů. Další informace najdete v tématu Omezení rozsahu portů používaných klienty pro veřejné sítě.
Tip
Krátká cesta RDP pro veřejné sítě bude fungovat automaticky bez jakékoli další konfigurace, takže sítě a brány firewall umožňují provoz prostřednictvím nastavení přenosu protokolu RDP v operačním systému Windows pro hostitele relací a klienty používají výchozí hodnoty.
Následující diagram poskytuje základní přehled síťových připojení při použití zkratky RDP pro veřejné sítě, kde jsou hostitelé relací připojení k Microsoft Entra ID.
Překlad síťových adres a brány firewall
Většina klientů Služby Azure Virtual Desktop běží na počítačích v privátní síti. Přístup k internetu je poskytován prostřednictvím zařízení brány překladu adres (NAT). Proto brána NAT upraví všechny síťové požadavky z privátní sítě a určené na internet. Tato úprava hodlá sdílet jednu veřejnou IP adresu napříč všemi počítači v privátní síti.
Kvůli úpravě paketů PROTOKOLU IP se příjemci provozu místo skutečného odesílatele zobrazí veřejná IP adresa brány NAT. Když se provoz vrátí do služby NAT Gateway, bude se muset předat zamýšlenému příjemci bez znalosti odesílatele. Ve většině scénářů se zařízení skrytá za takovým překladem adres (NAT) nedozví a nezná síťovou adresu služby NAT Gateway.
Překlad adres (NAT) se vztahuje na virtuální sítě Azure, kde se nacházejí všichni hostitelé relací. Když se hostitel relace pokusí připojit k síťové adrese na internetu, služba NAT Gateway (vlastní nebo výchozí nastavení poskytovaná Azure) nebo Azure Load Balancer provede překlad adres. Další informace o různých typech překladu zdrojových síťových adres najdete v tématu Použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.
Většina sítí obvykle zahrnuje brány firewall, které kontrolují provoz a blokují ho na základě pravidel. Většina zákazníků konfiguruje své brány firewall tak, aby zabránila příchozím připojením (to znamená nevyžádané pakety z internetu odesílané bez požadavku). Brány firewall používají různé techniky ke sledování toku dat, aby bylo možné rozlišovat mezi nevyžádaným a nevyžádaným provozem. V kontextu protokolu TCP brána firewall sleduje pakety SYN a ACK a proces je jednoduchý. Brány firewall UDP obvykle používají heuristiku založenou na adresách paketů k přidružení provozu k tokům UDP a jejich povolení nebo blokování.
K dispozici je mnoho různých implementací překladu adres (NAT). Ve většině případů jsou brány NAT Gateway a brána firewall funkce stejného fyzického nebo virtuálního zařízení.
Sekvence připojení
Všechna připojení začínají vytvořením přenosu zpětného připojení založeného na protokolu TCP přes bránu služby Azure Virtual Desktop. Pak klient a hostitel relace vytvoří počáteční přenos protokolu RDP a začne vyměňovat své schopnosti. Pokud je na hostiteli relace povolená krátká cesta RDP pro veřejné sítě, zahájí hostitel relace proces označovaný jako kandidátská shromáždění:
Hostitel relace vytvoří výčet všech síťových rozhraní přiřazených k hostiteli relace, včetně virtuálních rozhraní, jako jsou VPN a Teredo.
Služba Vzdálená plocha systému Windows (TermService) přiděluje sokety UDP v každém rozhraní a uloží dvojici IP:Port v kandidátské tabulce jako místní kandidát.
Služba Vzdálená plocha používá každý soket UDP přidělený v předchozím kroku k pokusu o dosažení serveru STUN služby Azure Virtual Desktop na veřejném internetu. Komunikace se provádí odesláním malého paketu UDP na port 3478.
Pokud paket dosáhne serveru STUN, server STUN odpoví veřejnou IP adresou a portem. Tyto informace jsou uloženy v kandidátské tabulce jako reflexní kandidát.
Jakmile hostitel relace shromáždí všechny kandidáty, hostitel relace použije zavedený přenos zpětného připojení k předání seznamu kandidátů klientovi.
Když klient obdrží seznam kandidátů z hostitele relace, klient také provede shromáždění kandidátů na jeho straně. Potom klient odešle svůj kandidátní seznam hostiteli relace.
Jakmile hostitel relace a klient vyměňují své kandidátské seznamy, obě strany se pokusí vzájemně spojit pomocí všech shromážděných kandidátů. Tento pokus o připojení je současně na obou stranách. Mnoho bran NAT je nakonfigurovaných tak, aby umožňovalo příchozí provoz do soketu hned po inicializaci odchozího přenosu dat. Toto chování bran NAT je důvodem, proč je současné připojení nezbytné. Pokud STUN selže, protože je zablokovaný, provede se pokus o nepřímé připojení pomocí funkce TURN.
Po počáteční výměně paketů může klient a hostitel relace vytvořit jeden nebo mnoho toků dat. Z těchto toků dat zvolí protokol RDP nejrychlejší síťovou cestu. Klient pak vytvoří zabezpečené připojení pomocí protokolu TLS přes spolehlivý protokol UDP s hostitelem relace a zahájí přenos protokolu RDP Shortpath.
Jakmile protokol RDP vytvoří přenos krátké cesty RDP, všechny dynamické virtuální kanály (DVC), včetně vzdálené grafiky, vstupu a přesměrování zařízení, přesunou do nového přenosu.
Pokud mají uživatelé k dispozici jak zkratku RDP pro spravovanou síť, tak pro veřejné sítě, použije se první nalezený algoritmus, což znamená, že uživatel použije jakékoli připojení, které se pro danou relaci vytvoří jako první. Další informace najdete v ukázkové situaci 4.
Důležité
Při použití přenosu založeného na protokolu TCP je odchozí provoz z hostitele relace do klienta přes bránu služby Azure Virtual Desktop. Pomocí krátké cesty RDP pro veřejné sítě pomocí STUN se odchozí provoz vytváří přímo mezi hostitelem relace a klientem přes internet. Tím se odebere segment směrování, který zlepšuje latenci a prostředí koncového uživatele. Vzhledem ke změnám toku dat mezi hostitelem relace a klientem, u kterého se brána už nepoužívá, se budou účtovat standardní poplatky za odchozí síť Azure navíc za využití šířky pásma internetu. Další informace o odhadu šířky pásma používané protokolem RDP najdete v požadavcích na šířku pásma protokolu RDP.
Konfigurace sítě
Pokud chcete podporovat zkratku RDP pro veřejné sítě, obvykle nepotřebujete žádnou konkrétní konfiguraci. Pokud je to možné v konfiguraci sítě, hostitel relace a klient automaticky zjistí přímý tok dat. Každé prostředí je však jedinečné a některé konfigurace sítě můžou negativně ovlivnit úspěšnost přímého připojení. Pokud chcete zvýšit pravděpodobnost přímého toku dat, postupujte podle doporučení.
Vzhledem k tomu, že protokol RDP Shortpath používá udp k navázání toku dat, pokud brána firewall ve vaší síti blokuje provoz UDP, krátká cesta protokolu RDP selže a připojení se vrátí zpět do přenosu zpětného připojení založeného na protokolu TCP. Azure Virtual Desktop používá servery STUN poskytované službami Azure Communication Services a Microsoft Teams. Podle povahy funkce se vyžaduje odchozí připojení z hostitelů relací k klientovi. Ve většině případů bohužel nemůžete předpovědět, kde se vaši uživatelé nacházejí. Proto doporučujeme povolit odchozí připojení UDP z hostitelů relací k internetu. Pokud chcete snížit požadovaný počet portů, můžete omezit rozsah portů používaný klienty pro tok UDP. Při konfiguraci bran firewall pro zkratku RDP použijte následující tabulky.
Pokud vaše prostředí používá symetrický překlad adres (NAT), což je mapování jedné privátní zdrojové IP adresy:Port na jedinečnou veřejnou cílovou IP adresu:Port, můžete použít nepřímé připojení pomocí funkce TURN. To bude případ, kdy použijete Azure Firewall a Azure NAT Gateway. Další informace o překladu adres (NAT) s virtuálními sítěmi Azure najdete v tématu Překlad adres zdrojové sítě s virtuálními sítěmi.
Pokud mají uživatelé k dispozici zkratku RDP pro spravovanou síť i veřejné sítě, použije se první nalezený algoritmus. Uživatel použije jakékoli připojení, které se vytvoří jako první pro danou relaci. Další informace najdete v tématu Příklady scénářů.
TURN availability
Funkce TURN je dostupná v následujících oblastech Azure:
Austrálie – jihovýchod
Indie – střed
East US
USA – východ 2
Francie – střed
Japonsko – západ
Severní Evropa
Středojižní USA
Southeast Asia
Spojené království – jih
Spojené království – západ
West Europe
USA – západ
Západní USA 2
Virtuální síť hostitele relace
Název
Zdroj
Zdrojový port
Cíl
Cílový port
Protokol
Akce
Koncový bod serveru s krátkou cestou RDP
Podsíť virtuálního počítače
Všechny
Všechny
1024-65535 (výchozí 49152-65535)
UDP
Povolit
STUN/TURN UDP
Podsíť virtuálního počítače
Všechny
20.202.0.0/16
3478
UDP
Povolit
STUN/TURN TCP
Podsíť virtuálního počítače
Všechny
20.202.0.0/16
443
TCP
Povolit
Klientská síť
Název
Zdroj
Zdrojový port
Cíl
Cílový port
Protokol
Akce
Koncový bod serveru s krátkou cestou RDP
Klientská síť
Všechny
Veřejné IP adresy přiřazené službě NAT Gateway nebo bráně Azure Firewall (poskytnuté koncovým bodem STUN)
1024-65535 (výchozí 49152-65535)
UDP
Povolit
STUN/TURN UDP
Klientská síť
Všechny
20.202.0.0/16
3478
UDP
Povolit
STUN/TURN TCP
Klientská síť
Všechny
20.202.0.0/16
443
TCP
Povolit
Podpora teredo
Teredo sice nevyžaduje krátkou cestu RDP, ale přidá další kandidáty na procházení NAT a zvyšuje šanci úspěšného připojení RDP Shortpath v sítích jen s protokolem IPv4. Informace o povolení Teredo na hostitelích a klientech relací najdete v tématu Povolení podpory Teredo.
Podpora UPnP
Pokud chcete zlepšit pravděpodobnost přímého připojení, může na straně klienta vzdálené plochy použít zkratku RDP Shortpath ke konfiguraci mapování portů na směrovači NAT. UPnP je standardní technologie používaná různými aplikacemi, jako jsou Xbox, Optimalizace doručení a Teredo. UPnP je obvykle k dispozici na směrovačích, které se obvykle nacházejí v domácí síti. UPnP je ve výchozím nastavení povolená u většiny domácích směrovačů a přístupových bodů, ale často je zakázaná v podnikových sítích.
Obecná doporučení
Tady je několik obecných doporučení při použití zkratky RDP pro veřejné sítě:
Nepoužívejte vynucené konfigurace tunelování, pokud vaši uživatelé přistupují k Azure Virtual Desktopu přes internet.
Ujistěte se, že nepoužíváte dvojité konfigurace PŘEKLADU adres (NAT) nebo CGN (Carrier-Grade-NAT).
Doporučujeme uživatelům, aby u svých domácích směrovačů nezakazovali UPnP.
Nepoužívejte cloudové služby kontroly paketů.
Vyhněte se používání řešení VPN založených na protokolu TCP.
Povolte připojení IPv6 nebo Teredo.
Zabezpečení připojení
Krátká cesta RDP rozšiřuje možnosti vícenásobného přenosu RDP. Nenahrazuje přenos zpětného spojení, ale doplňuje ho. Počáteční zprostředkování relací se spravuje prostřednictvím služby Azure Virtual Desktop a přenosu zpětného připojení. Všechny pokusy o připojení se ignorují, pokud se nejprve neshodují s relací zpětného připojení. Po ověření se vytvoří krátká cesta RDP a pokud se úspěšně naváže, přenos zpětného připojení se zahodí a veškerý provoz prochází přes krátkou cestu RDP.
Krátká cesta RDP používá zabezpečené připojení pomocí protokolu TLS přes spolehlivý protokol UDP mezi klientem a hostitelem relace pomocí certifikátů hostitele relace. Ve výchozím nastavení je certifikát používaný pro šifrování RDP automaticky generován operačním systémem během nasazení. Můžete také nasadit centrálně spravované certifikáty vydané certifikační autoritou organizace. Další informace o konfiguracích certifikátů najdete v tématu Konfigurace certifikátů naslouchacího procesu vzdálené plochy.
Poznámka:
Zabezpečení nabízené krátkou cestou RDP je stejné jako při přenosu zpětného připojení TCP.
Ukázkové scénáře
Tady je několik ukázkových scénářů, které ukazují, jak se připojení vyhodnocují, abyste se rozhodli, jestli se v různých síťových topologiích používá krátká cesta RDP.
Scénář 1
Připojení UDP lze navázat pouze mezi klientským zařízením a hostitelem relace přes veřejnou síť (internet). Přímé připojení, například VPN, není k dispozici. UDP je povolený přes bránu firewall nebo zařízení NAT.
Scénář 2
Brána firewall nebo zařízení NAT blokuje přímé připojení UDP, ale nepřímé připojení UDP je možné předávat pomocí funkce TURN mezi klientským zařízením a hostitelem relace přes veřejnou síť (internet). Jiné přímé připojení, například VPN, není k dispozici.
Scénář 3
Připojení UDP je možné navázat mezi klientským zařízením a hostitelem relace přes veřejnou síť nebo přes přímé připojení VPN, ale cesta RDP Shortpath pro spravované sítě není povolená. Když klient zahájí připojení, protokol ICE/STUN může zobrazit více tras a vyhodnotí každou trasu a zvolí trasu s nejnižší latencí.
V tomto příkladu se vytvoří připojení UDP využívající zkratku RDP pro veřejné sítě přes přímé připojení VPN, protože má nejnižší latenci, jak ukazuje zelená čára.
Scénář 4
Jsou povoleny krátké cesty RDP pro veřejné sítě i spravované sítě. Připojení UDP lze navázat mezi klientským zařízením a hostitelem relace přes veřejnou síť nebo přes přímé připojení VPN. Když klient zahájí připojení, existují souběžné pokusy o připojení pomocí RDP Shortpath pro spravované sítě přes port 3390 (ve výchozím nastavení) a zkratku RDP pro veřejné sítě prostřednictvím protokolu ICE/STUN. Použije se první nalezený algoritmus a uživatel použije připojení, které se vytvoří jako první pro danou relaci.
Vzhledem k tomu, že přechod přes veřejnou síť má další kroky, například zařízení NAT, nástroj pro vyrovnávání zatížení nebo server STUN, je pravděpodobné, že první nalezený algoritmus vybere připojení pomocí RDP Shortpath pro spravované sítě a nejprve se vytvoří.
Scénář 5
Připojení UDP je možné navázat mezi klientským zařízením a hostitelem relace přes veřejnou síť nebo přes přímé připojení VPN, ale cesta RDP Shortpath pro spravované sítě není povolená. Pokud chcete zabránit použití konkrétní trasy ICE/STUN, může správce zablokovat jednu z tras provozu UDP. Blokování trasy by zajistilo, že se vždy použije zbývající cesta.
V tomto příkladu je PROTOKOL UDP zablokovaný u přímého připojení VPN a protokol ICE/STUN vytvoří připojení přes veřejnou síť.
Scénář 6
Pro veřejné sítě i spravované sítě se konfiguruje krátká cesta RDP, ale připojení UDP se nepodařilo navázat pomocí přímého připojení VPN. Brána firewall nebo zařízení NAT také blokuje přímé připojení UDP pomocí veřejné sítě (internetu), ale nepřímé připojení UDP je možné předávat pomocí funkce TURN mezi klientským zařízením a hostitelem relace přes veřejnou síť (internet).
Scénář 7
Pro veřejné sítě i spravované sítě se konfiguruje krátká cesta RDP, ale nepodařilo se navázat připojení UDP. V tomto případě selže krátká cesta RDP a připojení se vrátí zpět do přenosu zpětného připojení založeného na protokolu TCP.