Konfigurace krátké cesty RDP pro Azure Virtual Desktop

Důležité

Zkratka RDP pro veřejné sítě prostřednictvím turn for Azure Virtual Desktop je k dispozici ve veřejném cloudu Azure a v cloudu Azure Government.

Uživatelé se můžou připojit ke vzdálené relaci z Azure Virtual Desktopu pomocí protokolu RDP (Remote Desktop Protocol) s přenosem UDP nebo TCP. Krátká cesta RDP vytváří přenos založený na protokolu UDP mezi aplikací pro Windows místního zařízení nebo aplikací Vzdálená plocha na podporovaných platformách a hostiteli relací.

Přenos založený na protokolu UDP nabízí lepší spolehlivost připojení a konzistentnější latenci. Přenos zpětného připojení založený na protokolu TCP poskytuje nejlepší kompatibilitu s různými konfiguracemi sítě a má vysokou úspěšnost při vytváření připojení RDP. Pokud nelze navázat připojení UDP, použije se jako záložní metoda připojení přenos zpětného připojení založený na protokolu TCP.

Existují čtyři možnosti pro zkratku RDP, které poskytují flexibilitu pro to, jak chcete, aby klientská zařízení vzdálená relace používala UDP:

• Krátká cesta RDP pro spravované sítě: Přímé připojení UDP mezi klientským zařízením a hostitelem relace pomocí privátního připojení, jako je privátní partnerský vztah ExpressRoute nebo virtuální privátní síť (VPN). Na hostitelích relací povolíte naslouchací proces RDP Shortpath a povolíte příchozímu portu přijímat připojení.

• Krátká cesta RDP pro spravované sítě s ICE/STUN: Přímé připojení UDP mezi klientským zařízením a hostitelem relace pomocí privátního připojení, jako je privátní partnerský vztah ExpressRoute nebo virtuální privátní síť (VPN). Pokud na hostitelích relací není povolený naslouchací proces RDP Shortpath a příchozí port není povolený, použije se ICE/STUN ke zjišťování dostupných IP adres a dynamického portu, který se dá použít pro připojení. Rozsah portů je konfigurovatelný.

• Krátká cesta RDP pro veřejné sítě s ICE/STUN: Přímé připojení UDP mezi klientským zařízením a hostitelem relace pomocí veřejného připojení. ICE/STUN slouží ke zjišťování dostupných IP adres a dynamického portu, který se dá použít pro připojení. Naslouchací proces RDP Shortpath a příchozí port se nevyžadují. Rozsah portů je konfigurovatelný.

• Krátká cesta RDP pro veřejné sítě prostřednictvím TURN: Předávané připojení UDP mezi klientským zařízením a hostitelem relace pomocí veřejného připojení, kde TURN přenáší provoz přes zprostředkující server mezi klientem a hostitelem relace. Příkladem použití této možnosti je, když připojení používá symetrický překlad adres (NAT). Pro připojení se používá dynamický port; rozsah portů je konfigurovatelný. Seznam dostupných oblastí Azure, které jsou k dispozici, najdete v podporovaných oblastech Azure s dostupností TURN. Připojení z klientského zařízení musí být také v podporovaném umístění. Naslouchací proces RDP Shortpath a příchozí port se nevyžadují.

Která ze čtyř možností, které můžou klientská zařízení používat, závisí také na konfiguraci sítě. Další informace o tom, jak RDP Shortpath funguje společně s některými ukázkovými scénáři, najdete v tématu Krátká cesta RDP.

Tento článek uvádí výchozí konfiguraci pro každou ze čtyř možností a způsob jejich konfigurace. Poskytuje také kroky k ověření, že krátká cesta RDP funguje a jak ji v případě potřeby zakázat.

Tip

Krátká cesta RDP pro veřejné sítě s STUN nebo TURN bude fungovat automaticky bez jakékoli další konfigurace, pokud sítě a brány firewall umožňují provoz prostřednictvím a nastavení přenosu protokolu RDP v operačním systému Windows pro hostitele relací a klienty používají výchozí hodnoty.

Výchozí konfigurace

Hostitelé relací, nastavení sítě souvisejícího fondu hostitelů a klientská zařízení musí být nakonfigurovaná pro zkratku RDP. To, co potřebujete nakonfigurovat, závisí na tom, na které ze čtyř možností zkratky RDP, které chcete použít, a také na síťové topologii a konfiguraci klientských zařízení.

Tady jsou výchozí chování pro každou možnost a to, co potřebujete nakonfigurovat:

Možnost Zkratka protokolu RDP	Nastavení hostitele relace	Nastavení sítě fondu hostitelů	Nastavení klientského zařízení
Krátká cesta RDP pro spravované sítě	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows. Na hostitelích relací musíte povolit naslouchací proces RDP Shortpath pomocí Microsoft Intune nebo zásad skupiny a povolit příchozímu portu přijímat připojení.	Výchozí (povoleno)	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows.
Krátká cesta RDP pro spravované sítě pomocí ICE/STUN	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows. Nepotřebujete žádnou další konfiguraci, ale můžete omezit použitý rozsah portů.	Výchozí (povoleno)	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows.
Krátká cesta RDP pro veřejné sítě s ICE/STUN	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows. Nepotřebujete žádnou další konfiguraci, ale můžete omezit použitý rozsah portů.	Výchozí (povoleno)	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows.
Krátká cesta RDP pro veřejné sítě přes TURN	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows. Nepotřebujete žádnou další konfiguraci, ale můžete omezit použitý rozsah portů.	Výchozí (povoleno)	Udp a TCP jsou ve Výchozím nastavení povoleny ve Windows.

Požadavky

Před povolením krátké cesty RDP potřebujete:

• Klientské zařízení, na kterém běží jedna z následujících aplikací:

  • Aplikace pro Windows na následujících platformách:

    • Windows
    • macOS
    • iOS/iPadOS
    • Android/Chrome OS (Preview)

  • Aplikace Vzdálená plocha na následujících platformách:

    • Windows verze 1.2.3488 nebo novější
    • macOS
    • iOS/iPadOS
    • Operační systém Android/Chrome

• Pro zkratku RDP pro spravované sítě potřebujete přímé připojení mezi klientem a hostitelem relace. To znamená, že se klient může připojit přímo k hostiteli relace na portu 3390 (výchozí) a není blokován branami firewall (včetně brány Windows Firewall) nebo skupinou zabezpečení sítě. Příkladem spravované sítě je privátní partnerský vztah ExpressRoute nebo vpn typu site-to-site nebo vpn typu point-to-site (IPsec), například Azure VPN Gateway.

• V případě zkratky RDP pro veřejné sítě potřebujete:

  • Přístup k internetu pro klienty i hostitele relací. Hostitelé relací vyžadují odchozí připojení UDP z hostitelů relací k internetu nebo připojení k serverům STUN a TURN. Pokud chcete snížit požadovaný počet portů, můžete omezit rozsah portů používaný s STUN a TURN.

  • Ujistěte se, že se hostitelé relací a klienti mohou připojit k serverům STUN a TURN. Podrobnosti o podsítích PROTOKOLU IP, portech a protokolech používaných servery STUN a TURN najdete v konfiguraci sítě.

• Pokud chcete azure PowerShell používat místně, přečtěte si téma Použití Azure CLI a Azure PowerShellu s Azure Virtual Desktopem a ujistěte se, že máte nainstalovaný modul PowerShellu az.DesktopVirtualization . Alternativně použijte Azure Cloud Shell.

• Parametry pro konfiguraci krátké cesty RDP pomocí Azure PowerShellu se přidávají ve verzi 5.2.1 modulu Az.DesktopVirtualization. Můžete si ho stáhnout a nainstalovat z Galerie prostředí PowerShell.

Povolení naslouchacího procesu RDP Shortpath pro spravované sítě

U možnosti RDP Shortpath pro spravované sítě musíte povolit na hostitelích relací naslouchací proces RDP Shortpath a otevřít příchozí port pro příjem připojení. Můžete to udělat pomocí Microsoft Intune nebo zásad skupiny v doméně služby Active Directory.

Důležité

Pro další tři možnosti krátké cesty RDP nemusíte povolit naslouchací proces RDP, protože používají ICE/STUN nebo TURN ke zjišťování dostupných IP adres a dynamického portu, který se používá pro připojení.

Vyberte příslušnou kartu pro váš scénář.

Microsoft Intune

Povolení naslouchacího procesu RDP Shortpath na hostitelích relací pomocí Microsoft Intune:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

3. V nástroji pro výběr nastavení přejděte do šablon pro>správu komponent>vzdálené plochy Vzdálená>plocha služby Vzdálená plocha hostitelem služby>Azure Virtual Desktop.

   

4. Zaškrtněte políčko Povolit zkratku protokolu RDP pro spravované sítě a pak zavřete výběr nastavení.

5. Rozbalte kategorii Šablony pro správu a přepněte přepínač Pro povolení krátké cesty RDP pro spravované sítě na Povoleno.

6. Vyberte Další.

7. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

8. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

9. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

10. Ujistěte se, že brána Windows Firewall a všechny ostatní brány firewall, které máte, umožňují port, který jste nakonfigurovali příchozím hostitelům relací. Postupujte podle kroků v zásadách brány firewall pro zabezpečení koncových bodů v Intune.

11. Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

Zásady skupiny

Povolení naslouchacího procesu krátké cesty RDP na hostitelích relací pomocí zásad skupiny v doméně služby Active Directory:

1. Pomocí postupu použití šablony pro správu pro Azure Virtual Desktop pro Azure Virtual Desktop proveďte kroky uvedené v tématu Použití šablony pro správu pro Azure Virtual Desktop.

2. Na zařízení, které používáte ke správě domény služby Active Directory, otevřete konzolu pro správu zásad skupiny.

3. Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

4. Přejděte do části Zásady>konfigurace>počítače – Šablony pro>správu součástí>vzdálené plochy Vzdálené plochy – Vzdálená plocha>– Hostitel>relace Vzdálené plochy Azure.

   

5. Poklikejte na nastavení zásad Povolit krátkou cestu RDP pro spravované sítě , aby se otevřela.

6. Vyberte Povoleno. Můžete také nakonfigurovat číslo portu, které hostitelé relací služby Azure Virtual Desktop používají k naslouchání příchozím připojením. Výchozí port je 3390. Po dokončení vyberte OK.

7. Ujistěte se, že brána Windows Firewall a všechny ostatní brány firewall, které máte, umožňují port, který jste nakonfigurovali příchozím hostitelům relací. Postupujte podle kroků v části Konfigurace pravidel pomocí zásad skupiny.

8. Ujistěte se, že se zásady použijí u hostitelů relací, a potom je restartujte, aby se nastavení projevilo.

Zkontrolujte, jestli je na hostitelích relací povolený protokol UDP.

U hostitelů relací je ve Windows ve výchozím nastavení povolený protokol UDP. Pokud chcete zkontrolovat nastavení přenosových protokolů RDP v registru Systému Windows a ověřit, že je povolený protokol UDP:

1. Na hostiteli relace otevřete příkazový řádek PowerShellu.

2. Spusťte následující příkazy, které zkontrolují registr a vypíše aktuální nastavení přenosových protokolů RDP:

   $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
   
   If ($regKey.PSObject.Properties.name -contains "SelectTransport" -eq "True") {
       If (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 1) {
           Write-Output "The RDP transport protocols setting has changed. Its value is: Use only TCP."
       } elseif (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 2) {
           Write-Output "The default RDP transport protocols setting has changed. Its value is: Use either UDP or TCP."
       }
   } else {
       Write-Output "The RDP transport protocols setting hasn't been changed from its default value. UDP is enabled."
   }
   

   Výstup by měl být podobný následujícímu příkladu:

   The RDP transport protocols setting hasn't been changed from its default value.
   

   Pokud výstup uvádí, že hodnota je Použít pouze TCP , je pravděpodobné, že hodnota byla změněna službou Microsoft Intune nebo zásadami skupiny v doméně služby Active Directory. Udp je potřeba povolit jedním z následujících způsobů:

   1. Upravte stávající zásady Microsoft Intune nebo zásady skupiny služby Active Directory, které cílí na hostitele relací. Nastavení zásad je na jednom z těchto umístění:

      • Zásady Intune: Šablony pro>správu součásti>služby Vzdálená plocha Vzdálená plocha Vzdálená plocha>Připojení hostitelů>>vyberte přenosové protokoly RDP.

      • Zásady skupiny: Šablony pro správu šablon zásad>>konfigurace>počítače: Součásti>vzdálené plochy Vzdálená>plocha Vzdálená plocha Připojení>hostitelů>relace Vyberte přenosové protokoly RDP.

   2. Buď nastavte nastavení na Nenakonfigurováno, nebo ho nastavte na Povoleno a pak vyberte Typ přenosu, vyberte Použít UDP i TCP.

   3. Aktualizujte zásady na hostitelích relací a restartujte je, aby se nastavení projevilo.

Konfigurace nastavení sítě fondu hostitelů

Způsob použití krátké cesty RDP můžete detailně řídit konfigurací nastavení sítě fondu hostitelů pomocí webu Azure Portal nebo Azure PowerShellu. Konfigurace krátké cesty RDP ve fondu hostitelů umožňuje volitelně nastavit, které ze čtyř možností zkratky RDP, které chcete použít, a používá se spolu s konfigurací hostitele relace.

V případě konfliktu mezi fondem hostitelů a konfigurací hostitele relace se použije nejvíce omezující nastavení. Pokud je například nakonfigurovaná zkratka RDP pro správu sítí, kde je na hostiteli relace povolená naslouchací proces a fond hostitelů je nastavený na zakázáno, nebude fungovat zkratka protokolu RDP pro spravované sítě.

Vyberte příslušnou kartu pro váš scénář.

Azure Portal

Tady je postup konfigurace krátké cesty RDP v nastavení sítě fondu hostitelů pomocí webu Azure Portal:

1. Přihlaste se k portálu Azure.

2. Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.

3. Vyberte fondy hostitelů a pak vyberte fond hostitelů, který chcete nakonfigurovat.

4. Vyberte Sítě a pak vyberte Krátkou cestu RDP.

   

5. Pro každou možnost vyberte hodnotu z rozevíracího seznamu podle vašich požadavků. Výchozí hodnota odpovídá povolenou pro každou možnost.

6. Zvolte Uložit.

Azure PowerShell

Tady je postup konfigurace krátké cesty RDP v nastavení sítě fondu hostitelů pomocí modulu Az.DesktopVirtualization PowerShell. Nezapomeňte změnit <placeholder> hodnoty pro vlastní.

Tip

Nezapomeňte použít verzi 5.2.1 preview modulu Az.DesktopVirtualization.

1. Otevřete Azure Cloud Shell na webu Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShellu a ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

2. Spuštěním následujících příkazů získejte aktuální nastavení krátké cesty RDP pro fond hostitelů:

   $parameters = @{
       HostPoolName = "<HostPoolName>"
       ResourceGroupName = "<ResourceGroupName>"
   }
   
   Get-AzWvdHostPool @parameters | FL ManagedPrivateUdp, DirectUdp, PublicUdp, RelayUdp
   

   Výstup by měl být podobný následujícímu příkladu:

   ManagedPrivateUdp : Default
   DirectUdp         : Default
   PublicUdp         : Default
   RelayUdp          : Default
   

   Dostupné parametry PowerShellu pro mapování zkratek protokolu RDP na následující možnosti. Platné hodnoty pro každý z těchto parametrů jsou Výchozí, Povoleno nebo Zakázáno. Výchozí hodnota odpovídá tomu, na co ho Microsoft nastaví, v tomto případě povoleno pro každou možnost.

   Parametr PowerShellu	Možnost Zkratka protokolu RDP	"Výchozí" význam
   ManagedPrivateUdp	Krátká cesta RDP pro spravované sítě	Povoleno
   DirectUdp	Krátká cesta RDP pro spravované sítě pomocí ICE/STUN	Povoleno
   PublicUdp	Krátká cesta RDP pro veřejné sítě s ICE/STUN	Povoleno
   RelayUdp	Krátká cesta RDP pro veřejné sítě přes TURN	Povoleno

3. Pomocí rutiny Update-AzWvdHostPool s následujícími příklady nakonfigurujte zkratku protokolu RDP.

   • Pokud chcete ponechat zkratku RDP pro spravované sítě jako výchozí, ale zakažte všechny možnosti, které používají STUN nebo TURN, spusťte následující příkazy:

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Default"
            DirectUdp = "Disabled"
            PublicUdp = "Disabled"
            RelayUdp = "Disabled"
     }
     
     Update-AzWvdHostPool @parameters
     

   • Pokud chcete povolit dvě možnosti pro zkratku RDP pro veřejné sítě a zakázat ostatní možnosti, spusťte následující příkazy:

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Disabled"
            DirectUdp = "Disabled"
            PublicUdp = "Enabled"
            RelayUdp = "Enabled"
     }
     
     Update-AzWvdHostPool @parameters
     

   • Pokud chcete používat pouze zkratku RDP pro veřejné sítě přes TURN a zakázat ostatní možnosti, spusťte následující příkazy.

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Disabled"
            DirectUdp = "Disabled"
            PublicUdp = "Disabled"
            RelayUdp = "Enabled"
     }
     
     Update-AzWvdHostPool @parameters
     

4. Jakmile provedete změny, spusťte příkazy v kroku 2 znovu a ověřte, že se nastavení použije podle očekávání.

Zkontrolujte, jestli je na klientských zařízeních s Windows povolený protokol UDP.

U klientských zařízení s Windows je ve výchozím nastavení povolený protokol UDP. Vrácení registru systému Windows se změnami a ověření, že je povolený protokol UDP:

1. Na klientském zařízení s Windows otevřete příkazový řádek PowerShellu.

2. Spusťte následující příkazy, které zkontrolují registr a vypíše aktuální nastavení:

   $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client"
   
   If ($regKey.PSObject.Properties.name -contains "fClientDisableUDP" -eq "True") {
       If (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 1) {
           Write-Output "The default setting has changed. UDP is disabled."
       } elseif (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 0) {
           Write-Output "The default setting has changed, but UDP is enabled."
       }
   } else {
       Write-Output "The default setting hasn't been changed from its default value. UDP is enabled."
   }
   

   Výstup by měl být podobný následujícímu příkladu:

   The default setting hasn't been changed from its default value. UDP is enabled.
   

   Pokud výstup uvádí, že je UDP zakázaný, pravděpodobně se hodnota změnila pomocí Microsoft Intune nebo zásad skupiny v doméně služby Active Directory. Udp je potřeba povolit jedním z následujících způsobů:

   1. Upravte stávající zásady Microsoft Intune nebo zásady skupiny služby Active Directory, které cílí na hostitele relací. Nastavení zásad je na jednom z těchto umístění:

      • Pro zásady Intune: Klient připojení ke vzdálené ploše vypněte>udp na klientovi součásti pro správu komponent>systému Windows Pro vzdálenou plochu.>>

      • Zásady skupiny: Šablony pro správu šablon>zásad>konfigurace>počítače: Klient>připojení>ke vzdálené ploše služby Vzdálená plocha>vypněte udp na klientovi.

   2. Buď nastavte nastavení Nenakonfigurováno, nebo ho nastavte na Zakázáno.

   3. Aktualizujte zásady na klientských zařízeních a restartujte je, aby se nastavení projevilo.

Kontrola připojení klientského zařízení STUN/TURN server a typ PŘEKLADU adres

Můžete ověřit, jestli se klientské zařízení může připojit ke koncovým bodům STUN/TURN, jestli se používá překlad adres (NAT) a jeho typ, a ověřit, že základní funkce UDP funguje spuštěním spustitelného souboru avdnettest.exe. Tady je odkaz ke stažení nejnovější verze avdnettest.exe.

Soubor můžete spustit avdnettest.exe poklikáním nebo jeho spuštěním z příkazového řádku. Výstup vypadá podobně jako tento výstup, pokud je připojení úspěšné:

Checking DNS service ... OK
Checking TURN support ... OK
Checking ACS server 20.202.68.109:3478 ... OK
Checking ACS server 20.202.21.66:3478 ... OK

You have access to TURN servers and your NAT type appears to be 'cone shaped'.
Shortpath for public networks is very likely to work on this host.

Pokud vaše prostředí používá symetrický překlad adres (NAT), můžete použít předávané připojení pomocí funkce TURN. Další informace, které můžete použít ke konfiguraci bran firewall a skupin zabezpečení sítě, naleznete v tématu Konfigurace sítě pro zkratku protokolu RDP.

Volitelné: Povolení podpory Teredo

Teredo sice nevyžaduje krátkou cestu RDP, ale přidá další kandidáty na procházení NAT a zvyšuje šanci úspěšného připojení RDP Shortpath v sítích jen s protokolem IPv4. Teredo můžete povolit na hostitelích relací i klientech pomocí PowerShellu:

1. Otevřete příkazový řádek PowerShellu jako správce.

2. Spusťte následující příkaz:

   Set-NetTeredoConfiguration -Type Enterpriseclient
   

3. Restartujte hostitele relace a klientská zařízení, aby se nastavení projevilo.

Omezení rozsahu portů používaného s STUN a TURN

Ve výchozím nastavení možnosti krátké cesty RDP, které používají STUN nebo TURN, používají dočasný rozsah portů 49152 až 65535 k navázání přímé cesty mezi serverem a klientem. Možná ale budete chtít hostitele relací nakonfigurovat tak, aby používali menší předvídatelný rozsah portů.

Můžete nastavit menší výchozí rozsah portů 38300 na 39299 nebo zadat vlastní rozsah portů, který se má použít. Když povolíte hostitele relací, aplikace pro Windows nebo aplikaci Vzdálená plocha náhodně vyberou port z rozsahu, který zadáte pro každé připojení. Pokud je tento rozsah vyčerpán, připojení se vrátí do výchozího rozsahu portů (49152–65535).

Při výběru základní velikosti a velikosti fondu zvažte počet portů, které potřebujete. Rozsah musí být mezi 1024 a 49151, po kterém začíná dočasný rozsah portů.

Rozsah portů můžete omezit pomocí Microsoft Intune nebo zásad skupiny v doméně služby Active Directory. Vyberte příslušnou kartu pro váš scénář.

Microsoft Intune

Omezení rozsahu portů používaného s STUN a TURN pomocí Microsoft Intune:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

3. V nástroji pro výběr nastavení přejděte do šablon pro>správu komponent>vzdálené plochy Vzdálená>plocha služby Vzdálená plocha hostitelem služby>Azure Virtual Desktop.

   

4. Zaškrtněte políčko Použít rozsah portů pro zkratku RDP pro nespravované sítě a pak zavřete výběr nastavení.

5. Rozbalte kategorii Šablony pro správu a přepněte přepínač Pro použití rozsahu portů pro zkratku RDP pro nespravované sítě na Povoleno.

6. Zadejte hodnoty pro velikost fondu portů (zařízení) a základní port UDP (zařízení). Výchozí hodnoty jsou 1000 a 38300 .

7. Vyberte Další.

8. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

9. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

11. Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

Zásady skupiny

Omezení rozsahu portů používaného s STUN a TURN pomocí zásad skupiny v doméně služby Active Directory:

1. Pomocí postupu použití šablony pro správu pro Azure Virtual Desktop pro Azure Virtual Desktop proveďte kroky uvedené v tématu Použití šablony pro správu pro Azure Virtual Desktop.

2. Na zařízení, které používáte ke správě domény služby Active Directory, otevřete konzolu pro správu zásad skupiny.

3. Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

4. Přejděte do části Zásady>konfigurace>počítače – Šablony pro>správu součástí>vzdálené plochy Vzdálené plochy – Vzdálená plocha>– Hostitel>relace Vzdálené plochy Azure.

   

5. Poklikejte na nastavení zásad Použít rozsah portů pro krátkou cestu RDP pro nespravované sítě a otevřete ho.

6. Vyberte Povoleno. Zadejte hodnoty pro základní port UDP (zařízení) a velikost fondu portů (zařízení). Výchozí hodnoty jsou 38300 a 1000 . Po dokončení vyberte OK.

7. Ujistěte se, že se zásady použijí u hostitelů relací, a potom je restartujte, aby se nastavení projevilo.

Ověření fungování krátké cesty RDP

Jakmile nakonfigurujete zkratku RDP, připojte se ke vzdálené relaci z klientského zařízení a zkontrolujte, jestli připojení používá UDP. Přenos, který se používá, můžete ověřit pomocí dialogového okna Informace o připojení z aplikace pro Windows nebo aplikace Vzdálená plocha, Prohlížeč událostí protokoly na klientském zařízení nebo pomocí Log Analytics na webu Azure Portal.

Vyberte příslušnou kartu pro váš scénář.

Informace o připojení

Pokud chcete zajistit, aby připojení používala zkratku RDP, můžete zkontrolovat informace o připojení v klientovi:

1. Připojte se ke vzdálené relaci.

2. Otevřete dialogové okno Informace o připojení tak, že přejdete na panel nástrojů Připojení v horní části obrazovky a vyberete ikonu síly signálu, jak je znázorněno na následujícím snímku obrazovky:

   

3. Ve výstupu můžete ověřit, že je povolený udp, jak je znázorněno na následujících snímcích obrazovky:

   • Pokud se použije přímé připojení s protokolem RDP Shortpath pro spravované sítě, má přenosový protokol hodnotu UDP (Privátní síť):

     

   • Pokud se použije STUN, má přenosový protokol hodnotu UDP:

     

   • Pokud se použije funkce TURN, má přenosový protokol hodnotu UDP (Relay):

     

Prohlížeč událostí

Pokud chcete zajistit, aby připojení používala zkratku RDP, můžete zkontrolovat protokoly událostí na hostiteli relace:

1. Připojte se ke vzdálené relaci.

2. Na hostiteli relace otevřete Prohlížeč událostí.

3. Přejděte do protokolů>aplikací a služeb microsoft>Windows>RemoteDesktopServices-RdpCoreCDV.>

4. Filtrovat podle ID události 135. Připojení používající stav krátké cesty RDP, typ přenosu používá UDP se zprávou , že připojení s více přenosy bylo dokončeno pro tunel: 1, jeho typ přenosu nastavený na UDP.

Log Analytics

Pokud používáte Azure Log Analytics, můžete monitorovat připojení pomocí dotazu na tabulku WVDConnections. Sloupec s názvem UdpUse označuje, jestli se udp používá pro připojení.

Možné hodnoty:

• 1 – Připojení používá pro spravované sítě zkratku RDP.

• 2 – Připojení používá zkratku RDP pro veřejné sítě přímo pomocí STUN.

• 4 . Připojení používá zkratku RDP pro veřejné sítě a přenáší se pomocí funkce TURN.

Pro jakoukoli jinou hodnotu připojení nepoužívá udp a je připojen pomocí protokolu TCP.

Následující dotaz umožňuje zkontrolovat informace o připojení. Tento dotaz můžete spustit v editoru dotazů Log Analytics. Když spustíte tento dotaz, nahraďte user@contoso.com hlavní název uživatele, kterého chcete vyhledat:

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

Seznam všech relací, které používají UDP, můžete zobrazit spuštěním následujícího dotazu Log Analytics:

WVDCheckpoints 
| where Name contains "Shortpath"

Související obsah

Pokud máte potíže s navazováním připojení pomocí přenosu RDP Shortpath pro veřejné sítě, přečtěte si téma Řešení potíží s krátkými cestami protokolu RDP.