Sdílet prostřednictvím


Krátká cesta RDP pro Azure Virtual Desktop

Důležité

Použití zkratky RDP pro veřejné sítě s turn for Azure Virtual Desktop je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Krátká cesta protokolu RDP vytváří přímý přenos založený na protokolu UDP mezi místní aplikací pro Windows nebo aplikací Vzdálená plocha na podporovaných platformách a hostitelem relací ve službě Azure Virtual Desktop.

Ve výchozím nastavení se protokol RDP (Remote Desktop Protocol) pokusí navázat vzdálenou relaci pomocí protokolu UDP a jako záložní mechanismus připojení používá přenos zpětného připojení založeného na protokolu TCP. Přenos založený na protokolu UDP nabízí lepší spolehlivost připojení a konzistentnější latenci. Přenos zpětného připojení založený na protokolu TCP poskytuje nejlepší kompatibilitu s různými konfiguracemi sítě a má vysokou úspěšnost při vytváření připojení RDP.

Zkratka RDP se dá použít dvěma způsoby:

  1. Spravované sítě, kde se přímé připojení naváže mezi klientem a hostitelem relace při použití privátního připojení, jako je například virtuální privátní síť (VPN). Připojení využívající spravovanou síť se vytváří jedním z následujících způsobů:

    1. Přímé připojení UDP mezi klientským zařízením a hostitelem relace, kde potřebujete povolit naslouchací proces RDP Shortpath a povolit příchozí port na každém hostiteli relace přijímat připojení.

    2. Přímé připojení UDP mezi klientským zařízením a hostitelem relace pomocí protokolu Simple Traversal Under under NAT (STUN) mezi klientem a hostitelem relace. Příchozí porty na hostiteli relace nemusí být povolené.

  2. Veřejné sítě, kde se přímé připojení naváže mezi klientem a hostitelem relace při použití veřejného připojení. Při použití veřejného připojení existují dva typy připojení, které jsou uvedené v pořadí podle preference:

    1. Přímé připojení UDP pomocí protokolu Simple Traversal Under under NAT (STUN) mezi klientem a hostitelem relace.

    2. Nepřímé připojení UDP pomocí protokolu Traversal Using Relay NAT (TURN) s přenosem mezi klientem a hostitelem relace. Toto je ve verzi Preview.

Přenos používaný pro zkratku RDP je založený na URCP (Universal Rate Control Protocol). URCP vylepšuje UDP s aktivním monitorováním podmínek sítě a poskytuje spravedlivé a úplné využití propojení. URCP funguje podle potřeby na nízké úrovni zpoždění a ztráty.

Důležité

  • Během období Preview je funkce TURN dostupná pouze pro připojení k hostitelům relací ve fondu hostitelů ověření. Pokud chcete fond hostitelů nakonfigurovat jako ověřovací prostředí, přečtěte si téma Definování fondu hostitelů jako ověřovacího prostředí.

  • Zkratka RDP pro veřejné sítě s turn je dostupná jenom ve veřejném cloudu Azure.

Klíčové výhody

Použití krátké cesty RDP má následující klíčové výhody:

  • Použití URCP k vylepšení UDP dosáhne nejlepšího výkonu dynamickým učením síťových parametrů a poskytnutím protokolu mechanismus kontroly rychlosti.

  • Odebrání dalších bodů přenosu snižuje dobu odezvy, což zlepšuje spolehlivost připojení a uživatelské prostředí s aplikacemi citlivými na latenci a metodami zadávání.

  • Kromě toho pro spravované sítě:

    • Zkratka RDP přináší podporu konfigurace priority QoS (Quality of Service) pro připojení RDP prostřednictvím značek DSCP (Differentiated Services Code Point).

    • Přenos RDP Shortpath umožňuje omezit odchozí síťový provoz zadáním míry omezení pro každou relaci.

Jak funguje krátká cesta RDP

Pokud chcete zjistit, jak funguje zkratka RDP pro spravované sítě a veřejné sítě, vyberte každou z následujících karet.

Pomocí následujících metod můžete dosáhnout přímého připojení pohledu potřebného k použití krátké cesty RDP se spravovanými sítěmi.

Přímé připojení k dohledu znamená, že se klient může připojit přímo k hostiteli relace, aniž by je zablokovaly brány firewall.

Poznámka:

Pokud pro připojení k Azure používáte jiné typy VPN, doporučujeme použít síť VPN založenou na protokolu UDP. I když většina řešení VPN založených na protokolu TCP podporuje vnořené UDP, přidávají zděděnou režii řízení zahlcení protokolu TCP, což zpomaluje výkon protokolu RDP.

Pokud chcete používat zkratku RDP pro spravované sítě, musíte na hostitelích relací povolit naslouchací proces UDP. Ve výchozím nastavení se používá port 3390 , i když můžete použít jiný port.

Následující diagram poskytuje základní přehled síťových připojení při použití zkratky RDP pro spravované sítě a hostitele relací připojených k doméně služby Active Directory.

Diagram síťových připojení při použití zkratky RDP pro spravované sítě

Sekvence připojení

Všechna připojení začínají vytvořením přenosu zpětného připojení založeného na protokolu TCP přes bránu služby Azure Virtual Desktop. Pak klient a hostitel relace vytvoří počáteční přenos protokolu RDP a začne vyměňovat své schopnosti. Tyto funkce se vyjednávají pomocí následujícího procesu:

  1. Hostitel relace odešle klientovi seznam adres IPv4 a IPv6.

  2. Klient spustí vlákno na pozadí a vytvoří paralelní přenos založený na protokolu UDP přímo na jednu z IP adres hostitele relace.

  3. Zatímco klient provádí sondování zadaných IP adres, pokračuje v navázání počátečního připojení přes přenos zpětného připojení, aby se zajistilo, že nedojde ke zpoždění připojení uživatele.

  4. Pokud má klient přímé připojení k hostiteli relace, klient vytvoří zabezpečené připojení pomocí protokolu TLS přes spolehlivý protokol UDP.

  5. Po vytvoření přenosové cesty RDP se všechny dynamické virtuální kanály (DVC), včetně vzdálené grafiky, vstupu a přesměrování zařízení, přesunou do nového přenosu. Pokud však brána firewall nebo síťová topologie brání klientovi v navazování přímého připojení UDP, protokol RDP pokračuje v přenosu zpětného připojení.

Pokud mají vaši uživatelé k dispozici jak zkratku RDP pro spravovanou síť, tak pro veřejné sítě, použije se první nalezený algoritmus. Uživatel použije jakékoli připojení, které se vytvoří jako první pro danou relaci.

Zabezpečení připojení

Krátká cesta RDP rozšiřuje možnosti vícenásobného přenosu RDP. Nenahrazuje přenos zpětného spojení, ale doplňuje ho. Počáteční zprostředkování relací se spravuje prostřednictvím služby Azure Virtual Desktop a přenosu zpětného připojení. Všechny pokusy o připojení se ignorují, pokud se nejprve neshodují s relací zpětného připojení. Po ověření se vytvoří krátká cesta RDP a pokud se úspěšně naváže, přenos zpětného připojení se zahodí a veškerý provoz prochází přes krátkou cestu RDP.

Krátká cesta RDP používá zabezpečené připojení pomocí protokolu TLS přes spolehlivý protokol UDP mezi klientem a hostitelem relace pomocí certifikátů hostitele relace. Ve výchozím nastavení je certifikát používaný pro šifrování RDP automaticky generován operačním systémem během nasazení. Můžete také nasadit centrálně spravované certifikáty vydané certifikační autoritou organizace. Další informace o konfiguracích certifikátů najdete v tématu Konfigurace certifikátů naslouchacího procesu vzdálené plochy.

Poznámka:

Zabezpečení nabízené krátkou cestou RDP je stejné jako při přenosu zpětného připojení TCP.

Ukázkové scénáře

Tady je několik ukázkových scénářů, které ukazují, jak se připojení vyhodnocují, abyste se rozhodli, jestli se v různých síťových topologiích používá krátká cesta RDP.

Scénář 1

Připojení UDP lze navázat pouze mezi klientským zařízením a hostitelem relace přes veřejnou síť (internet). Přímé připojení, například VPN, není k dispozici. UDP je povolený přes bránu firewall nebo zařízení NAT.

Diagram znázorňující zkratku RDP pro veřejné sítě používá STUN.

Scénář 2

Brána firewall nebo zařízení NAT blokuje přímé připojení UDP, ale nepřímé připojení UDP je možné předávat pomocí funkce TURN mezi klientským zařízením a hostitelem relace přes veřejnou síť (internet). Jiné přímé připojení, například VPN, není k dispozici.

Diagram znázorňující zkratku RDP pro veřejné sítě používá funkci TURN.

Scénář 3

Připojení UDP je možné navázat mezi klientským zařízením a hostitelem relace přes veřejnou síť nebo přes přímé připojení VPN, ale cesta RDP Shortpath pro spravované sítě není povolená. Když klient zahájí připojení, protokol ICE/STUN může zobrazit více tras a vyhodnotí každou trasu a zvolí trasu s nejnižší latencí.

V tomto příkladu se vytvoří připojení UDP využívající zkratku RDP pro veřejné sítě přes přímé připojení VPN, protože má nejnižší latenci, jak ukazuje zelená čára.

Diagram znázorňující připojení UDP využívající zkratku RDP pro veřejné sítě přes přímé připojení VPN se vytvoří, protože má nejnižší latenci.

Scénář 4

Jsou povoleny krátké cesty RDP pro veřejné sítě i spravované sítě. Připojení UDP lze navázat mezi klientským zařízením a hostitelem relace přes veřejnou síť nebo přes přímé připojení VPN. Když klient zahájí připojení, existují souběžné pokusy o připojení pomocí RDP Shortpath pro spravované sítě přes port 3390 (ve výchozím nastavení) a zkratku RDP pro veřejné sítě prostřednictvím protokolu ICE/STUN. Použije se první nalezený algoritmus a uživatel použije připojení, které se vytvoří jako první pro danou relaci.

Vzhledem k tomu, že přechod přes veřejnou síť má další kroky, například zařízení NAT, nástroj pro vyrovnávání zatížení nebo server STUN, je pravděpodobné, že první nalezený algoritmus vybere připojení pomocí RDP Shortpath pro spravované sítě a nejprve se vytvoří.

Diagram znázorňující první nalezený algoritmus vybere připojení pomocí zkratky RDP pro spravované sítě a vytvoří se jako první.

Scénář 5

Připojení UDP je možné navázat mezi klientským zařízením a hostitelem relace přes veřejnou síť nebo přes přímé připojení VPN, ale cesta RDP Shortpath pro spravované sítě není povolená. Pokud chcete zabránit použití konkrétní trasy ICE/STUN, může správce zablokovat jednu z tras provozu UDP. Blokování trasy by zajistilo, že se vždy použije zbývající cesta.

V tomto příkladu je PROTOKOL UDP zablokovaný u přímého připojení VPN a protokol ICE/STUN vytvoří připojení přes veřejnou síť.

Diagram znázorňující blokování UDP u přímého připojení VPN a protokol ICE/STUN vytvoří připojení přes veřejnou síť.

Scénář 6

Pro veřejné sítě i spravované sítě se konfiguruje krátká cesta RDP, ale připojení UDP se nepodařilo navázat pomocí přímého připojení VPN. Brána firewall nebo zařízení NAT také blokuje přímé připojení UDP pomocí veřejné sítě (internetu), ale nepřímé připojení UDP je možné předávat pomocí funkce TURN mezi klientským zařízením a hostitelem relace přes veřejnou síť (internet).

Diagram znázorňující blokování UDP u přímého připojení VPN a přímé připojení pomocí veřejné sítě také selže. TURN předá připojení přes veřejnou síť.

Scénář 7

Pro veřejné sítě i spravované sítě se konfiguruje krátká cesta RDP, ale nepodařilo se navázat připojení UDP. V tomto případě selže krátká cesta RDP a připojení se vrátí zpět do přenosu zpětného připojení založeného na protokolu TCP.

Diagram znázorňující, že se nepodařilo navázat připojení UDP V tomto případě selže krátká cesta RDP a připojení se vrátí zpět do přenosu zpětného připojení založeného na protokolu TCP.

Další kroky

  • Naučte se konfigurovat zkratku protokolu RDP.
  • Další informace o připojení k síti služby Azure Virtual Desktop najdete v tématu Principy připojení k síti služby Azure Virtual Desktop.
  • Seznamte se s poplatky za výchozí síť Azure.
  • Informace o tom, jak odhadnout šířku pásma používanou protokolem RDP, najdete v požadavcích na šířku pásma protokolu RDP.