Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku se dozvíte, jak používat proxy server se službou Azure Virtual Desktop. Doporučení v tomto článku platí jenom pro připojení mezi infrastrukturou služby Azure Virtual Desktop, klientem a agenty hostitele relace. Tento článek se nezabývá síťovým připojením k Office, Windows 10, FSLogix ani jiným aplikacím Microsoftu.
Co jsou proxy servery?
Pro provoz služby Azure Virtual Desktop doporučujeme obejít proxy servery. Proxy servery nešifrují službu Azure Virtual Desktop, protože provoz je už šifrovaný. Další informace o zabezpečení připojení najdete v tématu Zabezpečení připojení.
Většina proxy serverů není navržená pro podporu dlouhotrvajících připojení WebSocket a můžou mít vliv na stabilitu připojení. Problémy způsobuje také škálovatelnost proxy serveru, protože Azure Virtual Desktop používá několik dlouhodobých připojení. Pokud používáte proxy servery, musí mít správnou velikost pro spouštění těchto připojení.
Pokud je zeměpisná poloha proxy serveru daleko od hostitele, způsobí tato vzdálenost vyšší latenci uživatelských připojení. Vyšší latence znamená pomalejší dobu připojení a horší uživatelské prostředí, zejména ve scénářích, které vyžadují grafické, zvukové nebo nízké latence interakce se vstupními zařízeními. Pokud musíte použít proxy server, mějte na paměti, že server musíte umístit do stejné zeměpisné oblasti jako agent a klient Služby Azure Virtual Desktop.
Pokud nakonfigurujete proxy server jako jedinou cestu pro provoz služby Azure Virtual Desktop, budou data protokolu RDP (Remote Desktop Protocol) vynucena přes protokol TCP (Transmission Control Protocol) místo protokolu UDP (User Datagram Protocol). Tento přesun snižuje vizuální kvalitu a odezvu vzdáleného připojení.
Stručně řečeno, nedoporučujeme používat proxy servery ve službě Azure Virtual Desktop, protože způsobují problémy související s výkonem v důsledku snížení latence a ztráty paketů.
Obejití proxy serveru
Pokud zásady sítě a zabezpečení vaší organizace vyžadují proxy servery pro webový provoz, můžete nakonfigurovat prostředí tak, aby obešla připojení k Azure Virtual Desktopu a zároveň směruje provoz přes proxy server. Zásady každé organizace jsou ale jedinečné, takže některé metody můžou pro vaše nasazení fungovat lépe než jiné. Tady jsou některé metody konfigurace, které se můžete pokusit zabránit ztrátě výkonu a spolehlivosti ve vašem prostředí:
- Značky služeb Azure s Azure Firewall
- Obejití proxy serveru pomocí souborů automatické konfigurace proxy serveru (
.PAC) - Seznam vynechat v konfiguraci místního proxy serveru
- Použití proxy serverů pro konfiguraci jednotlivých uživatelů
- Použití protokolu RDP Shortpath pro připojení RDP při zachování provozu služby přes proxy server
Doporučení pro používání proxy serverů
Některé organizace vyžadují, aby veškerý uživatelský provoz procházel přes proxy server kvůli sledování nebo kontrole paketů. Tato část popisuje, jak v těchto případech doporučujeme nakonfigurovat vaše prostředí.
Použití proxy serverů ve stejné geografické oblasti Azure
Když používáte proxy server, zpracovává veškerou komunikaci s infrastrukturou služby Azure Virtual Desktop a provádí překlad DNS a směrování anycast do nejbližší služby Azure Front Door. Pokud jsou vaše proxy servery vzdálené nebo distribuované napříč geografickou oblastí Azure, bude vaše geografické rozlišení méně přesné. Méně přesné geografické rozlišení znamená, že připojení budou směrována do vzdálenějšího clusteru Služby Azure Virtual Desktop. Abyste se tomuto problému vyhnuli, používejte pouze proxy servery, které jsou geograficky blízko vašeho clusteru Služby Azure Virtual Desktop.
Použití funkce RDP Shortpath pro spravované sítě pro připojení ke stolním počítačům
Když povolíte funkci RDP Shortpath pro spravované sítě, data protokolu RDP obejdou proxy server, pokud je to možné. Obejití proxy serveru zajistí optimální směrování při použití přenosu UDP. Ostatní přenosy služby Azure Virtual Desktop, jako je zprostředkování, orchestrace a diagnostika, budou dál procházet přes proxy server.
Nepoužívejte ukončení protokolu SSL na proxy serveru.
Ukončení protokolu SSL (Secure Sockets Layer) nahrazuje certifikáty zabezpečení součástí služby Azure Virtual Desktop certifikáty vygenerovanými proxy serverem. Tato funkce proxy serveru umožňuje kontrolu paketů pro provoz HTTPS na proxy serveru. Kontrola paketů ale také prodlužuje dobu odezvy služby, takže přihlášení uživatelů trvá déle. Ve scénářích zpětného připojení není kontrola paketů provozu protokolu RDP nutná, protože provoz RDP s reverzním připojením je binární a používá další úrovně šifrování.
Pokud proxy server nakonfigurujete tak, aby používal kontrolu PROTOKOLU SSL, nezapomeňte, že po provedení kontroly SSL nemůžete server vrátit do původního stavu. Pokud něco ve vašem prostředí Služby Azure Virtual Desktop přestane fungovat, když máte povolenou kontrolu PROTOKOLU SSL, musíte kontrolu SSL zakázat a zkusit to znovu před otevřením případu podpory. Kontrola PROTOKOLU SSL může také způsobit, že agent Služby Azure Virtual Desktop přestane fungovat, protože narušuje důvěryhodná připojení mezi agentem a službou.
Nepoužívejte proxy servery, které potřebují ověřování
Komponenty služby Azure Virtual Desktop na hostiteli relace běží v kontextu jejich operačního systému, takže nepodporují proxy servery, které vyžadují ověřování. Pokud proxy server vyžaduje ověření, připojení selže.
Plánování síťové kapacity proxy serveru
Proxy servery mají omezení kapacity. Na rozdíl od běžných přenosů HTTP má provoz protokolu RDP dlouhotrvající a chatrná připojení, která jsou obousměrná a spotřebovávají velkou šířku pásma. Před nastavením proxy serveru se poraďte s dodavatelem proxy serveru o tom, jakou propustnost má váš server. Nezapomeňte se také zeptat, kolik relací proxy serveru můžete spustit najednou. Po nasazení proxy serveru pečlivě monitorujte jeho využití prostředků z hlediska kritických bodů v provozu služby Azure Virtual Desktop.
Proxy servery a optimalizace médií v Microsoft Teams
Azure Virtual Desktop nepodporuje proxy servery s optimalizací médií pro Microsoft Teams.
Doporučení ke konfiguraci hostitele relace
Pokud chcete nakonfigurovat proxy server na úrovni hostitele relace, musíte povolit proxy server pro celosystémový server. Mějte na paměti, že konfigurace pro celý systém ovlivňuje všechny součásti operačního systému a aplikace spuštěné na hostiteli relace. V následujících částech najdete doporučení pro konfiguraci proxy serverů pro celé systémy.
Použití protokolu WPAD (Web Proxy Auto-Discovery)
Agent Služby Azure Virtual Desktop se automaticky pokusí vyhledat proxy server v síti pomocí protokolu WPAD (Web Proxy Auto-Discovery). Během pokusu o umístění vyhledá agent na serveru DNS soubor s názvem wpad.domainsuffix. Pokud agent najde soubor v DNS, vytvoří požadavek HTTP na soubor s názvem wpad.dat. Odpověď se stane konfiguračním skriptem proxy serveru, který zvolí odchozí proxy server.
Pokud chcete síť nakonfigurovat tak, aby používala překlad DNS pro WPAD, postupujte podle pokynů v tématu Automatické zjišťování nastavení Internet Exploreru 11. Ujistěte se, že globální seznam blokovaných dotazů serveru DNS umožňuje překlad WPAD, a to podle pokynů v tématu Set-DnsServerGlobalQueryBlockList.
Ruční nastavení proxy serveru pro celé zařízení pro služby Windows
Pokud zadáváte proxy server ručně, musíte na hostitelích relací nastavit minimálně proxy server pro služby Windows RDAgent a Vzdálená plocha . Agent RDAgent běží s účtem Místní systém a Vzdálená plocha běží s účtem Síťová služba. Proxy pro tyto účty můžete nastavit pomocí nástroje příkazového bitsadmin řádku.
Následující příklad konfiguruje účty místního systému a síťové služby tak, aby používaly soubor proxy .pac serveru . Tyto příkazy budete muset spustit z příkazového řádku se zvýšenými oprávněními a změnit hodnotu zástupného symbolu na <server> vlastní adresu:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Úplné referenční informace a další příklady najdete v tématu bitsadmin util a setieproxy.
Můžete také nastavit proxy server pro celé zařízení nebo automatickou konfiguraci proxy serveru (. PAC), který se vztahuje na všechny uživatele interaktivních, místních systémů a síťových služeb. Pokud jsou hostitelé relací zaregistrovaní pomocí Intune, můžete nastavit proxy server pomocí poskytovatele CSP síťového proxy serveru, ale klientské operační systémy Windows s více relacemi nepodporují CSP zásad, protože podporují pouze katalog nastavení. Případně můžete nakonfigurovat proxy server pro celé zařízení pomocí netsh winhttp příkazu . Úplné referenční informace a příklady najdete v tématu Příkazy Netsh pro windows winhttp (Hypertext Transfer Protocol).
Podpora proxy serveru na straně klienta
Klient Služby Azure Virtual Desktop podporuje proxy servery nakonfigurované s nastavením systému nebo poskytovateleM CSP síťového proxy serveru.
Podpora klientů služby Azure Virtual Desktop
Následující tabulka ukazuje, kteří klienti Azure Virtual Desktopu podporují proxy servery:
| Název klienta | Podpora proxy serverů |
|---|---|
| Plocha Windows | Ano |
| Webový klient | Ano |
| Android | Ne |
| iOS | Ano |
| macOS | Ano |
| Windows Store | Ano |
Další informace o podpoře proxy serveru u tenkých klientů založených na Linuxu najdete v tématu Podpora tenkých klientů.
Omezení podpory
Existuje mnoho služeb a aplikací třetích stran, které fungují jako proxy server. Tyto služby třetích stran zahrnují distribuované brány firewall nové generace, systémy webového zabezpečení a základní proxy servery. Nemůžeme zaručit, že každá konfigurace bude kompatibilní se službou Azure Virtual Desktop. Microsoft poskytuje pouze omezenou podporu pro připojení navázaná přes proxy server. Pokud při používání proxy serveru dochází k problémům s připojením, podpora Microsoftu doporučuje nakonfigurovat obejití proxy serveru a pokusit se problém reprodukovat.
Další kroky
Další informace o zabezpečení nasazení služby Azure Virtual Desktop najdete v našem průvodci zabezpečením.