Teilen über


RDP Shortpath für Azure Virtual Desktop

RDP Shortpath richtet einen UDP-basierten Transport zwischen einer Windows-App auf einem lokalen Gerät bzw. der Remotedesktop-App auf unterstützten Plattformen und den Sitzungshosts in Azure Virtual Desktop ein. Standardmäßig beginnt das Remotedesktopprotokoll (RDP) mit einem TCP-basierten Reverse Connect-Transport und versucht dann, eine Remotesitzung mithilfe des UDP herzustellen. Wenn die UDP-Verbindung erfolgreich ist, wird die TCP-Verbindung getrennt, andernfalls wird die TCP-Verbindung als Fallbackverbindungsmechanismus verwendet.

Der UDP-basierte Transport bietet bessere Verbindungszuverlässigkeit und konsistentere Latenz. Der TCP-basierte Reverse Connect-Transport bietet die beste Kompatibilität mit verschiedenen Netzwerkkonfigurationen und eine hohe Erfolgsrate für die Einrichtung von RDP-Verbindungen.

RDP-Shortpath kann auf zwei Arten verwendet werden:

  1. Verwaltete Netzwerke, bei denen eine direkte Verbindung zwischen dem Client und dem Sitzungshost hergestellt wird, wenn eine private Verbindung verwendet wird, z. B. Azure ExpressRoute oder ein Site-to-Site-VPN (virtuelles privates Netzwerk). Eine Verbindung mithilfe eines verwalteten Netzwerks wird auf eine der folgenden Arten hergestellt:

    1. Es wird eine direkte UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost hergestellt, wobei Sie den RDP Shortpath-Listener aktivieren und einen eingehenden Port auf jedem Sitzungshost zulassen müssen, um Verbindungen zu akzeptieren.

    2. Es wird eine direkte UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost hergestellt, wobei das STUN-Protokoll (Simple Traversal Underneath NAT) zwischen einem Client und einem Sitzungshost verwendet wird. Eingehende Ports auf dem Sitzungshost müssen nicht zulässig sein.

  2. Öffentliche Netzwerke, bei denen eine direkte Verbindung zwischen dem Client und dem Sitzungshost hergestellt wird, wenn eine öffentliche Verbindung verwendet wird. Bei Verwendung einer öffentlichen Verbindung gibt es zwei Verbindungstypen, die hier in der Reihenfolge ihrer Bevorzugung aufgeführt werden:

    1. Eine direkte UDP-Verbindung mithilfe des STUN-Protokolls (Simple Traversal Underneath NAT) zwischen einem Client und einem Sitzungshost.

    2. Eine UDP-Verbindung mittels Relay mithilfe des TURN-Protokolls (Traversal Using Relay NAT) zwischen einem Client und einem Sitzungshost.

Der für RDP Shortpath verwendete Transport basiert auf dem Universal Rate Control Protocol (URCP). URCP ergänzt UDP um die aktive Überwachung der Netzwerkbedingungen und gewährleistet eine angemessene und vollständige Verbindungsnutzung. URCP arbeitet bei Bedarf mit niedrigen Verzögerungs- und Verlustpegeln.

Wichtig

  • RDP Shortpath für öffentliche Netzwerke über STUN für Azure Virtual Desktop ist in der öffentlichen Azure-Cloud und in der Azure Government-Cloud verfügbar.
  • RDP Shortpath für öffentliche Netzwerke über TURN für Azure Virtual Desktop ist nur in der öffentlichen Azure-Cloud verfügbar.

Hauptvorteile

Die Verwendung von RDP Shortpath hat die folgenden Hauptvorteile:

  • Die Verwendung von URCP zur Verbesserung von UDP erzielt die beste Leistung durch dynamisches Lernen von Netzwerkparametern und Bereitstellen des Protokolls mit einem Ratensteuerungsmechanismus.

  • Höherer Durchsatz.

  • Bei Verwendung von STUN reduziert das Entfernen zusätzlicher Relay-Punkte die Roundtrip-Zeit (Round-Trip Time, RTT), was die Verbindungszuverlässigkeit und das Benutzererlebnis mit latenzempfindlichen Anwendungen und Eingabemethoden verbessert.

  • Zusätzlich für verwaltete Netzwerke:

    • RDP Shortpath unterstützt durch DCSP-Markierungen (Differentiated Services Code Point) die Konfiguration der Quality of Service-Priorität (QoS) für RDP-Verbindungen.

    • Der RDP-Shortpath-Transport ermöglicht die Begrenzung des ausgehenden Netzwerkverkehrs, indem für jede Sitzung eine Drosselungsrate angegeben wird.

Wie RDP-Shortpath funktioniert

Um zu erfahren, wie RDP Shortpath für verwaltete Netzwerke und öffentliche Netzwerke funktioniert, wählen Sie jede der folgenden Registerkarten aus.

Mit den folgenden Methoden können Sie die für die Verwendung von RDP Shortpath mit verwalteten Netzwerken erforderliche direkte Sichtverbindung erreichen.

Eine direkte Sichtverbindung bedeutet, dass der Client eine direkte Verbindung zum Sitzungshost herstellen kann, ohne von Firewalls blockiert zu werden.

Hinweis

Wenn Sie andere VPN-Typen zum Herstellen einer Verbindung mit Azure verwenden, empfehlen wir die Verwendung eines UDP-basierten VPN. Während die meisten TCP-basierten VPN-Lösungen verschachteltes UDP unterstützen, fügen sie einen vererbten Overhead der TCP-Überlastungssteuerung hinzu, was die RDP-Leistung verlangsamt.

Um RDP Shortpath für verwaltete Netzwerke zu verwenden, müssen Sie einen UDP-Listener auf Ihren Sitzungshosts aktivieren. Standardmäßig wird Port 3390 verwendet, Sie können jedoch auch einen anderen Port verwenden.

Das folgende Diagramm bietet eine allgemeine Übersicht über die Netzwerkverbindungen bei Verwendung von RDP Shortpath für verwaltete Netzwerke und Sitzungshosts, die in eine Active Directory-Domäne eingebunden sind.

Diagramm: Netzwerkverbindungen bei Verwendung von RDP Shortpath für verwaltete Netzwerke

Verbindungssequenz

Alle Verbindungen beginnen mit dem Aufbau eines TCP-basierten Reverse Connect-Transport über das Azure Virtual Desktop Gateway. Dann richten der Client und der Sitzungshost den anfänglichen RDP-Transport ein und beginnen mit dem Austausch ihrer Fähigkeiten. Diese Fähigkeiten werden mithilfe des folgenden Prozesses ausgehandelt:

  1. Der Sitzungshost sendet die Liste seiner IPv4- und IPv6-Adressen an den Client.

  2. Der Client startet den Hintergrundthread, um einen parallelen UDP-basierten Transport direkt zu einer der IP-Adressen des Sitzungshosts einzurichten.

  3. Während der Client die bereitgestellten IP-Adressen prüft, baut er weiterhin die anfängliche Verbindung über den Reverse-Connect-Transport auf, um sicherzustellen, dass es keine Verzögerung bei der Benutzerverbindung gibt.

  4. Wenn der Client eine direkte Verbindung zum Sitzungshost hat, baut der Client eine sichere TLS-Verbindung über Reliable UDP auf.

  5. Nach dem Einrichten des RDP-Shortpath-Transports werden alle Dynamic Virtual Channels (DVCs), einschließlich Remotegrafiken, Eingaben und Geräteumleitung, auf den neuen Transport verschoben. Wenn jedoch eine Firewall oder Netzwerktopologie den Client daran hindert, eine direkte UDP-Verbindung herzustellen, fährt RDP mit einem Reverse-Connect-Transport fort.

Wenn Ihren Benutzern sowohl RDP Shortpath für verwaltete Netzwerke als auch öffentliche Netzwerke zur Verfügung stehen, wird der erste gefundene Algorithmus verwendet. Die zuerst hergestellte Verbindung wird der Benutzer für diese Sitzung verwenden.

Verbindungssicherheit

RDP-Shortpath erweitert die Multi-Transport-Funktionen von RDP. Es soll den Reverse Connection-Transport nicht ersetzen, sondern ergänzen. Die Erstsitzungsvermittlung wird über den Azure Virtual Desktop-Dienst und den Reverse Connect-Transport verwaltet. Alle Verbindungsversuche werden ignoriert, es sei denn, sie stimmen zuerst mit der Reverse-Connect-Sitzung überein. RDP-Shortpath wird nach der Authentifizierung eingerichtet, und bei erfolgreicher Einrichtung wird der Reverse Connect-Transport verworfen und der gesamte Datenverkehr fließt über den RDP Shortpath.

RDP Shortpath verwendet eine sichere TLS-Verbindung über Reliable UDP zwischen Client und Sitzungshost und nutzt dafür die Zertifikate des Sitzungshosts. Standardmäßig wird das für die RDP-Verschlüsselung verwendete Zertifikat während der Bereitstellung vom Betriebssystem selbst generiert. Sie können auch zentral verwaltete Zertifikate bereitstellen, die von einer Unternehmenszertifizierungsstelle ausgestellt wurden. Weitere Informationen zu Zertifikatskonfigurationen finden Sie unter Remotedesktop-Listener-Zertifikatskonfigurationen.

Hinweis

Die Sicherheit, die RDP Shortpath bietet, ist die gleiche wie die, die der TCP Reverse Connect-Transport bietet.

Beispielszenarien

Im Folgenden finden Sie einige Beispielszenarien, die zeigen, wie Verbindungen ausgewertet werden, um zu entscheiden, ob RDP Shortpath verschiedene Netzwerktopologien übergreifend verwendet wird.

Szenario 1

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann nur über ein öffentliches Netzwerk (Internet) hergestellt werden. Eine direkte Verbindung, z. B. ein VPN, ist nicht verfügbar. UDP ist über eine Firewall oder ein NAT-Gerät zulässig.

Diagramm, das zeigt, dass RDP Shortpath für öffentliche Netzwerke STUN verwendet.

Szenario 2

Eine Firewall oder ein NAT-Gerät blockiert eine direkte UDP-Verbindung, aber eine UDP-Verbindung mittels Relay kann mit TURN zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) weitergeleitet werden. Eine weitere direkte Verbindung, z. B. ein VPN, ist nicht verfügbar.

Diagramm, das zeigt, dass RDP Shortpath für öffentliche Netzwerke TURN verwendet.

Szenario 3

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder eine direkte VPN-Verbindung hergestellt werden, aber RDP Shortpath für verwaltete Netzwerke ist nicht aktiviert. Wenn der Client die Verbindung initiiert, kann das ICE/STUN-Protokoll mehrere Routen anzeigen, wertet jede Route aus und wählt die Route mit der geringsten Latenz aus.

In diesem Beispiel wird eine UDP-Verbindung mit RDP Shortpath für öffentliche Netzwerke über die direkte VPN-Verbindung hergestellt, da sie die niedrigste Latenz aufweist, wie die grüne Linie zeigt.

Diagramm: Eine UDP-Verbindung mit RDP Shortpath für öffentliche Netzwerke wird über die direkte VPN-Verbindung hergestellt, da sie die niedrigste Latenz aufweist.

Szenario 4

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind aktiviert. Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder eine direkte VPN-Verbindung hergestellt werden. Wenn der Client die Verbindung initiiert, wird gleichzeitig versucht, eine Verbindung mit RDP Shortpath für verwaltete Netzwerke über Port 3390 (standardmäßig) und RDP Shortpath für öffentliche Netzwerke über das ICE/STUN-Protokoll herzustellen. Der zuerst gefundene Algorithmus wird verwendet, und der Benutzer verwendet die zuerst hergestellte Verbindung für diese Sitzung.

Da der Weg über ein öffentliches Netzwerk weitere Schritte umfasst, z. B. ein NAT-Gerät, einen Lastenausgleich oder einen STUN-Server, ist es wahrscheinlich, dass der zuerst gefundene Algorithmus die Verbindung mit RDP Shortpath für verwaltete Netzwerke auswählt und diese zuerst hergestellt wird.

Diagramm: Der zuerst gefundene Algorithmus wählt die Verbindung mit RDP Shortpath für verwaltete Netzwerke aus, und sie wird zuerst hergestellt.

Szenario 5

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder eine direkte VPN-Verbindung hergestellt werden, aber RDP Shortpath für verwaltete Netzwerke ist nicht aktiviert. Um zu verhindern, dass ICE/STUN eine bestimmte Route verwendet, kann ein Administrator eine der Routen für UDP-Datenverkehr blockieren. Das Blockieren einer Route würde sicherstellen, dass der verbleibende Pfad immer verwendet wird.

In diesem Beispiel wird UDP für die direkte VPN-Verbindung blockiert, und das ICE/STUN-Protokoll stellt eine Verbindung über das öffentliche Netzwerk her.

Diagramm: UDP wird für die direkte VPN-Verbindung blockiert, und das ICE/STUN-Protokoll stellt eine Verbindung über das öffentliche Netzwerk her.

Szenario 6

RDP Shortpath ist sowohl für öffentliche Netzwerke als auch verwaltete Netzwerke konfiguriert, doch konnte keine UDP-Verbindung über eine direkte VPN-Verbindung hergestellt werden. Eine Firewall oder ein NAT-Gerät blockiert auch eine direkte UDP-Verbindung über das öffentliche Netzwerk (Internet), aber eine UDP-Verbindung mittels Relay kann mit TURN zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) weitergeleitet werden.

Diagramm, das zeigt, dass UDP für die direkte VPN-Verbindung blockiert ist und auch eine Direktverbindung über ein öffentliches Netzwerk fehlschlägt. TURN leitet die Verbindung über das öffentliche Netzwerk weiter.

Szenario 7

RDP Shortpath ist sowohl für öffentliche Netzwerke als auch verwaltete Netzwerke konfiguriert, doch konnte keine UDP-Verbindung hergestellt werden. In diesem Fall tritt bei RDP Shortpath ein Fehler auf, und die Verbindung wird auf den TCP-basierten Reverse Connect-Datentransport zurückgesetzt.

Abbildung: Eine UDP-Verbindung konnte nicht hergestellt werden. In diesem Fall tritt in RDP Shortpath ein Fehler auf, und die Verbindung wird auf TCP-basierten Reverse Connect-Datentransport zurückgesetzt.

Nächste Schritte