Konfigurieren von RDP Shortpath für Azure Virtual Desktop

Wichtig

• RDP Shortpath für öffentliche Netzwerke über STUN für Azure Virtual Desktop ist in der öffentlichen Azure-Cloud und Azure Government Cloud verfügbar.
• RDP Shortpath für öffentliche Netzwerke über TURN für Azure Virtual Desktop ist nur in der öffentlichen Azure-Cloud verfügbar.

Benutzer können eine Verbindung mit einer Remotesitzung von Azure Virtual Desktop mithilfe des Remotedesktopprotokolls (RDP) mit einem UDP- oder TCP-basierten Transport herstellen. RDP Shortpath richtet einen UDP-basierten Transport zwischen einem lokalen Gerät Windows App oder der Remotedesktop-App auf unterstützten Plattformen und Sitzungshost ein.

UDP-basierter Transport bietet eine bessere Verbindungssicherheit und eine konsistentere Latenz. Der TCP-basierte Reverse Connect-Transport bietet die beste Kompatibilität mit verschiedenen Netzwerkkonfigurationen und hat eine hohe Erfolgsquote beim Einrichten von RDP-Verbindungen. Wenn keine UDP-Verbindung hergestellt werden kann, wird ein TCP-basierter Reverse Connect-Transport als Fallbackverbindungsmethode verwendet.

Es gibt vier Optionen für RDP Shortpath, die Flexibilität bieten, wie Clientgeräte eine Remotesitzung mithilfe von UDP verwenden möchten:

• RDP Shortpath für verwaltete Netzwerke: Eine direkte UDP-Verbindung zwischen einem Clientgerät und einem Sitzungshost, die eine private Verbindung verwendet, z. B. privates ExpressRoute-Peering oder ein virtuelles privates Netzwerk (VPN). Sie aktivieren den RDP Shortpath-Listener auf Sitzungshosts und erlauben es einem eingehenden Port, Verbindungen zu akzeptieren.

• RDP Shortpath für verwaltete Netzwerke mit ICE/STUN: Eine direkte UDP-Verbindung zwischen einem Clientgerät und einem Sitzungshost, die eine private Verbindung verwendet, z. B. privates ExpressRoute-Peering oder ein virtuelles privates Netzwerk (VPN). Wenn der RDP Shortpath-Listener auf Sitzungshosts nicht aktiviert ist und ein eingehender Port nicht zulässig ist, wird ICE/STUN verwendet, um verfügbare IP-Adressen und einen dynamischen Port zu ermitteln, der für eine Verbindung verwendet werden kann. Der Portbereich ist konfigurierbar.

• RDP Shortpath für öffentliche Netzwerke mit ICE/STUN: Eine direkte UDP-Verbindung zwischen einem Clientgerät und einem Sitzungshost, die eine öffentliche Verbindung verwendet. ICE/STUN wird verwendet, um verfügbare IP-Adressen und einen dynamischen Port zu ermitteln, der für eine Verbindung verwendet werden kann. Der RDP Shortpath-Listener und ein eingehender Port sind nicht erforderlich. Der Portbereich ist konfigurierbar.

• RDP Shortpath für öffentliche Netzwerke über TURN: Eine weitergeleitete UDP-Verbindung zwischen einem Clientgerät und einem Sitzungshost, die eine öffentliche Verbindung verwendet, bei der TURN Datenverkehr über einen Zwischenserver zwischen einem Client und einem Sitzungshost weitergibt. Ein Beispiel für diese Option ist, wenn eine Verbindung symmetrische NAT verwendet. Für eine Verbindung wird ein dynamischer Port verwendet. Der Portbereich ist konfigurierbar. Eine Liste der Azure-Regionen, in denen TURN verfügbar ist, finden Sie unter Unterstützte Azure-Regionen mit TURN-Verfügbarkeit. Die Verbindung vom Clientgerät muss sich auch an einem unterstützten Standort befinden. Der RDP Shortpath-Listener und ein eingehender Port sind nicht erforderlich.

Welche der vier Optionen Ihre Clientgeräte verwenden können, hängt auch von der Netzwerkkonfiguration ab. Weitere Informationen zur Funktionsweise von RDP Shortpath sowie einige Beispielszenarien finden Sie unter RDP Shortpath.

In diesem Artikel werden die Standardkonfiguration für jede der vier Optionen und deren Konfiguration aufgeführt. Außerdem werden Schritte beschrieben, um zu überprüfen, ob RDP Shortpath funktioniert und wie sie bei Bedarf deaktiviert werden können.

Tipp

RDP Shortpath für öffentliche Netzwerke mit STUN oder TURN funktioniert automatisch ohne zusätzliche Konfiguration, wenn Netzwerke und Firewalls den Datenverkehr durch zulassen und RDP-Transporteinstellungen im Windows-Betriebssystem für Sitzungshosts und Clients ihre Standardwerte verwenden.

Standardkonfiguration

Ihre Sitzungshosts, die Netzwerkeinstellungen des zugehörigen Hostpools und Clientgeräte müssen für RDP Shortpath konfiguriert werden. Was Sie konfigurieren müssen, hängt davon ab, welche der vier RDP Shortpath-Optionen Sie verwenden möchten, sowie von der Netzwerktopologie und Konfiguration von Clientgeräten.

Dies sind die Standardverhaltensweisen für jede Option und die erforderlichen Konfigurationen:

RDP Shortpath-Option	Einstellungen des Sitzungshosts	Netzwerkeinstellungen für Hostpools	Clientgeräteeinstellungen
RDP Shortpath für verwaltete Netzwerke	UDP und TCP sind in Windows standardmäßig aktiviert. Sie müssen den RDP Shortpath-Listener auf Sitzungshosts mithilfe von Microsoft Intune oder Gruppenrichtlinie aktivieren und einem eingehenden Port erlauben, Verbindungen zu akzeptieren.	Standard (aktiviert)	UDP und TCP sind in Windows standardmäßig aktiviert.
RDP Shortpath für verwaltete Netzwerke mit ICE/STUN	UDP und TCP sind in Windows standardmäßig aktiviert. Sie benötigen keine zusätzliche Konfiguration, aber Sie können den verwendeten Portbereich einschränken.	Standard (aktiviert)	UDP und TCP sind in Windows standardmäßig aktiviert.
RDP Shortpath für öffentliche Netzwerke mit ICE/STUN	UDP und TCP sind in Windows standardmäßig aktiviert. Sie benötigen keine zusätzliche Konfiguration, aber Sie können den verwendeten Portbereich einschränken.	Standard (aktiviert)	UDP und TCP sind in Windows standardmäßig aktiviert.
RDP Shortpath für öffentliche Netzwerke über TURN	UDP und TCP sind in Windows standardmäßig aktiviert. Sie benötigen keine zusätzliche Konfiguration, aber Sie können den verwendeten Portbereich einschränken.	Standard (aktiviert)	UDP und TCP sind in Windows standardmäßig aktiviert.

Voraussetzungen

Bevor Sie RDP Shortpath aktivieren, benötigen Sie Folgendes:

• Ein Clientgerät, auf dem eine der folgenden Apps ausgeführt wird:

  • Windows App auf den folgenden Plattformen:

    • Windows
    • macOS
    • iOS/iPadOS
    • Android/Chrome OS (Vorschau)

  • Remotedesktop-App auf den folgenden Plattformen:

    • Windows, Version 1.2.3488 oder höher
    • macOS
    • iOS/iPadOS
    • Android/Chrome OS

• Für RDP Shortpath für verwaltete Netzwerke benötigen Sie eine direkte Konnektivität zwischen dem Client und dem Sitzungshost. Dies bedeutet, dass der Client eine direkte Verbindung mit dem Sitzungshost an Port 3390 (Standard) herstellen kann und nicht durch Firewalls (einschließlich der Windows-Firewall) oder eine Netzwerksicherheitsgruppe blockiert wird. Beispiele für ein verwaltetes Netzwerk sind privates ExpressRoute-Peering oder ein Site-to-Site- oder Point-to-Site-VPN (IPsec), z. B. Azure VPN Gateway.

• Für RDP Shortpath für öffentliche Netzwerke benötigen Sie Folgendes:

  • Internetzugriff sowohl für Clients als auch für Sitzungshosts. Sitzungshosts erfordern ausgehende UDP-Konnektivität von Ihren Sitzungshosts mit dem Internet oder Verbindungen mit STUN- und TURN-Servern. Um die Anzahl der erforderlichen Ports zu reduzieren, können Sie den Portbereich begrenzen, der mit STUN und TURN verwendet wird.

  • Stellen Sie sicher, dass Sitzungshosts und Clients eine Verbindung mit den STUN- und TURN-Servern herstellen können. Details zu den IP-Subnetzen, Ports und Protokollen, die von den STUN- und TURN-Servern verwendet werden, finden Sie unter Netzwerkkonfiguration.

• Wenn Sie Azure PowerShell lokal verwenden möchten, lesen Sie Verwenden der Azure CLI und Azure PowerShell mit Azure Virtual Desktop, um sicherzustellen, dass das PowerShell-Modul Az.DesktopVirtualization installiert ist. Alternativ können Sie die Azure-Cloud Shell verwenden.

• Parameter zum Konfigurieren von RDP Shortpath mit Azure PowerShell werden in Der Vorschauversion 5.2.1 des Moduls Az.DesktopVirtualization hinzugefügt. Sie können es aus dem PowerShell-Katalog herunterladen und installieren.

Aktivieren des RDP Shortpath-Listeners für RDP Shortpath für verwaltete Netzwerke

Für die Option RDP Shortpath für verwaltete Netzwerke müssen Sie den RDP Shortpath-Listener auf Ihren Sitzungshosts aktivieren und einen eingehenden Port öffnen, um Verbindungen zu akzeptieren. Dazu können Sie Microsoft Intune oder Gruppenrichtlinie in einer Active Directory-Domäne verwenden.

Wichtig

Sie müssen den RDP Shortpath-Listener für die anderen drei RDP Shortpath-Optionen nicht aktivieren, da sie ICE/STUN oder TURN verwenden, um verfügbare IP-Adressen und einen dynamischen Port zu ermitteln, der für eine Verbindung verwendet wird.

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So aktivieren Sie den RDP Shortpath-Listener auf Ihren Sitzungshosts mithilfe von Microsoft Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

4. Aktivieren Sie das Kontrollkästchen RDP Shortpath für verwaltete Netzwerke aktivieren, und schließen Sie dann die Einstellungsauswahl.

5. Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für RDP Shortpath für verwaltete Netzwerke aktivieren auf Aktiviert um.

6. Wählen Sie Weiter aus.

7. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

8. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

9. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

10. Stellen Sie sicher, dass die Windows-Firewall und alle anderen Firewalls, die Sie haben, den port zulassen, den Sie für den eingehenden Datenverkehr für Ihre Sitzungshosts konfiguriert haben. Führen Sie die Schritte unter Firewallrichtlinie für Endpunktsicherheit in Intune aus.

11. Sobald die Richtlinie für die Computer gilt, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So aktivieren Sie den RDP Shortpath-Listener auf Ihren Sitzungshosts mithilfe von Gruppenrichtlinie in einer Active Directory-Domäne:

1. Stellen Sie die administrative Vorlage für Azure Virtual Desktop in Ihrer Domäne zur Verfügung, indem Sie die Schritte unter Verwenden der administrativen Vorlage für Azure Virtual Desktop ausführen.

2. Öffnen Sie die Gruppenrichtlinie-Verwaltungskonsole auf einem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer abzielt, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten.

4. Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

5. Doppelklicken Sie auf die Richtlinieneinstellung RDP Shortpath für verwaltete Netzwerke aktivieren, um ihn zu öffnen.

6. Wählen Sie Aktiviert aus. Sie können auch die Portnummer konfigurieren, die Azure Virtual Desktop-Sitzungshosts verwenden, um auf eingehende Verbindungen zu lauschen. Der Standardport ist 3390. Wenn Sie fertig sind, wählen Sie OK aus.

7. Stellen Sie sicher, dass die Windows-Firewall und alle anderen Firewalls, die Sie haben, den port zulassen, den Sie für den eingehenden Datenverkehr für Ihre Sitzungshosts konfiguriert haben. Führen Sie die Schritte unter Konfigurieren von Regeln mit Gruppenrichtlinie aus.

8. Stellen Sie sicher, dass die Richtlinie auf die Sitzungshosts angewendet wird, und starten Sie sie dann neu, damit die Einstellungen wirksam werden.

Überprüfen, ob UDP auf Sitzungshosts aktiviert ist

Für Sitzungshosts ist UDP in Windows standardmäßig aktiviert. So überprüfen Sie die Einstellung für RDP-Transportprotokolle in der Windows-Registrierung, um zu überprüfen, ob UDP aktiviert ist:

1. Öffnen Sie eine PowerShell-Eingabeaufforderung auf einem Sitzungshost.

2. Führen Sie die folgenden Befehle aus, die die Registrierung überprüfen und die aktuelle Einstellung für RDP-Transportprotokolle ausgeben:

   $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
   
   If ($regKey.PSObject.Properties.name -contains "SelectTransport" -eq "True") {
       If (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 1) {
           Write-Output "The RDP transport protocols setting has changed. Its value is: Use only TCP."
       } elseif (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 2) {
           Write-Output "The default RDP transport protocols setting has changed. Its value is: Use either UDP or TCP."
       }
   } else {
       Write-Output "The RDP transport protocols setting hasn't been changed from its default value. UDP is enabled."
   }
   

   Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

   The RDP transport protocols setting hasn't been changed from its default value.
   

   Wenn die Ausgabe angibt, dass der Wert Nur TCP verwenden lautet, ist es wahrscheinlich, dass der Wert von Microsoft Intune oder Gruppenrichtlinie in einer Active Directory-Domäne geändert wurde. Sie müssen UDP auf eine der folgenden Arten aktivieren:

   1. Bearbeiten Sie die vorhandene Microsoft Intune-Richtlinie oder Active Directory-Gruppenrichtlinie, die auf Ihre Sitzungshosts ausgerichtet ist. Die Richtlinieneinstellung befindet sich an einem der folgenden Speicherorte:

      • Für Intune Richtlinie: Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Connections>RdP-Transportprotokolle auswählen.

      • Für Gruppenrichtlinie: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Connections>RdP-Transportprotokolle auswählen.

   2. Legen Sie entweder die Einstellung auf Nicht konfiguriert fest, oder legen Sie sie auf Aktiviert fest. Wählen Sie dann für Transporttyp auswählendie Option UDP und TCP verwenden aus.

   3. Aktualisieren Sie die Richtlinie auf den Sitzungshosts, und starten Sie sie dann neu, damit die Einstellungen wirksam werden.

Konfigurieren der Netzwerkeinstellungen des Hostpools

Sie können die Verwendung von RDP Shortpath präzise steuern, indem Sie die Netzwerkeinstellungen eines Hostpools mithilfe des Azure-Portal oder Azure PowerShell konfigurieren. Wenn Sie RDP Shortpath für den Hostpool konfigurieren, können Sie optional festlegen, welche der vier RDP Shortpath-Optionen Sie verwenden möchten und zusammen mit der Sitzungshostkonfiguration verwendet wird.

Wenn ein Konflikt zwischen dem Hostpool und der Sitzungshostkonfiguration besteht, wird die restriktivste Einstellung verwendet. Wenn beispielsweise RDP Shortpath für verwaltete Netzwerke konfiguriert ist und der Listener auf dem Sitzungshost aktiviert ist und der Hostpool auf deaktiviert festgelegt ist, funktioniert RDP Shortpath für verwaltete Netzwerke nicht.

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Azure-Portal

Hier erfahren Sie, wie Sie RDP Shortpath in den Netzwerkeinstellungen des Hostpools mithilfe der Azure-Portal konfigurieren:

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in der Suchleiste Azure Virtual Desktop ein, und wählen Sie den entsprechenden Diensteintrag aus.

3. Wählen Sie Hostpools und dann den Hostpool aus, den Sie konfigurieren möchten.

4. Wählen Sie unter Einstellungen die Option Netzwerk und dann RDP Shortpath aus.

   

5. Wählen Sie für jede Option je nach Ihren Anforderungen einen Wert aus der Dropdownliste aus. Der Standardwert entspricht Aktiviert für jede Option.

6. Klicken Sie auf Speichern.

Azure PowerShell

Hier erfahren Sie, wie Sie RDP Shortpath in den Netzwerkeinstellungen des Hostpools mithilfe des PowerShell-Moduls Az.DesktopVirtualization konfigurieren. Achten Sie darauf, die <placeholder> Werte für Ihre eigenen Werte zu ändern.

Tipp

Achten Sie darauf, version 5.2.1 preview des Az.DesktopVirtualization-Moduls zu verwenden.

1. Öffnen Sie Azure Cloud Shell im Azure-Portal mit dem PowerShell-Terminaltyp, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

   • Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   • Wenn Sie PowerShell lokal verwenden, melden Sie sich zuerst mit Azure PowerShell an, und stellen Sie dann sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Rufen Sie die aktuellen RDP Shortpath-Einstellungen für einen Hostpool ab, indem Sie die folgenden Befehle ausführen:

   $parameters = @{
       HostPoolName = "<HostPoolName>"
       ResourceGroupName = "<ResourceGroupName>"
   }
   
   Get-AzWvdHostPool @parameters | FL ManagedPrivateUdp, DirectUdp, PublicUdp, RelayUdp
   

   Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

   ManagedPrivateUdp : Default
   DirectUdp         : Default
   PublicUdp         : Default
   RelayUdp          : Default
   

   Die verfügbaren PowerShell-Parameter für RDP Shortpath werden den Optionen wie folgt zugeordnet. Gültige Werte für jeden dieser Parameter sind Default, Enabled oder Disabled. Die Standardeinstellung entspricht dem, auf den Microsoft festgelegt wird, in diesem Fall Für jede Option aktiviert .

   PowerShell-Parameter	RDP Shortpath-Option	"Standard" bedeutet
   ManagedPrivateUdp	RDP Shortpath für verwaltete Netzwerke	Aktiviert
   DirectUdp	RDP Shortpath für verwaltete Netzwerke mit ICE/STUN	Aktiviert
   PublicUdp	RDP Shortpath für öffentliche Netzwerke mit ICE/STUN	Aktiviert
   RelayUdp	RDP Shortpath für öffentliche Netzwerke über TURN	Aktiviert

3. Verwenden Sie das Update-AzWvdHostPool Cmdlet mit den folgenden Beispielen, um RDP Shortpath zu konfigurieren.

   • Führen Sie die folgenden Befehle aus, um RDP Shortpath für verwaltete Netzwerke als Standard zu übernehmen, aber alle Optionen zu deaktivieren, die STUN oder TURN verwenden:

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Default"
            DirectUdp = "Disabled"
            PublicUdp = "Disabled"
            RelayUdp = "Disabled"
     }
     
     Update-AzWvdHostPool @parameters
     

   • Führen Sie die folgenden Befehle aus, um die beiden Optionen für RDP Shortpath für öffentliche Netzwerke zu aktivieren und die anderen Optionen zu deaktivieren:

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Disabled"
            DirectUdp = "Disabled"
            PublicUdp = "Enabled"
            RelayUdp = "Enabled"
     }
     
     Update-AzWvdHostPool @parameters
     

   • Führen Sie die folgenden Befehle aus, um RDP Shortpath nur für öffentliche Netzwerke über TURN zu verwenden und die anderen Optionen zu deaktivieren.

     $parameters = @{
            Name = "<HostPoolName>"
            ResourceGroupName = "<ResourceGroupName>"
            ManagedPrivateUdp = "Disabled"
            DirectUdp = "Disabled"
            PublicUdp = "Disabled"
            RelayUdp = "Enabled"
     }
     
     Update-AzWvdHostPool @parameters
     

4. Nachdem Sie Änderungen vorgenommen haben, führen Sie die Befehle in Schritt 2 erneut aus, um zu überprüfen, ob die Einstellungen wie erwartet angewendet werden.

Überprüfen, ob UDP auf Windows-Clientgeräten aktiviert ist

Für Windows-Clientgeräte ist UDP standardmäßig aktiviert. So überprüfen Sie die Windows-Registrierung, um zu überprüfen, ob UDP aktiviert ist:

1. Öffnen Sie eine PowerShell-Eingabeaufforderung auf einem Windows-Clientgerät.

2. Führen Sie die folgenden Befehle aus, die die Registrierung überprüfen und die aktuelle Einstellung ausgeben:

   $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client"
   
   If ($regKey.PSObject.Properties.name -contains "fClientDisableUDP" -eq "True") {
       If (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 1) {
           Write-Output "The default setting has changed. UDP is disabled."
       } elseif (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 0) {
           Write-Output "The default setting has changed, but UDP is enabled."
       }
   } else {
       Write-Output "The default setting hasn't been changed from its default value. UDP is enabled."
   }
   

   Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:

   The default setting hasn't been changed from its default value. UDP is enabled.
   

   Wenn die Ausgabe angibt, dass UDP deaktiviert ist, wurde der Wert wahrscheinlich von Microsoft Intune oder Gruppenrichtlinie in einer Active Directory-Domäne geändert. Sie müssen UDP auf eine der folgenden Arten aktivieren:

   1. Bearbeiten Sie die vorhandene Microsoft Intune-Richtlinie oder Active Directory-Gruppenrichtlinie, die auf Ihre Sitzungshosts ausgerichtet ist. Die Richtlinieneinstellung befindet sich an einem der folgenden Speicherorte:

      • Für Intune Richtlinie: Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktopverbindungsclient>: UDP auf Client deaktivieren.

      • Für Gruppenrichtlinie: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktopverbindung Client>deaktivieren UDP auf Client.

   2. Legen Sie entweder die Einstellung auf Nicht konfiguriert fest, oder legen Sie sie auf Deaktiviert fest.

   3. Aktualisieren Sie die Richtlinie auf den Clientgeräten, und starten Sie sie dann neu, damit die Einstellungen wirksam werden.

Überprüfen der STUN/TURN-Serverkonnektivität und des NAT-Typs des Clientgeräts

Sie können überprüfen, ob ein Clientgerät eine Verbindung mit den STUN/TURN-Endpunkten herstellen kann, ob NAT verwendet wird und ob ihr Typ verwendet wird, und überprüfen, ob die grundlegende UDP-Funktionalität funktioniert, indem Sie die ausführbare avdnettest.exeDatei ausführen. Hier ist ein Downloadlink zur neuesten Version von avdnettest.exe.

Sie können ausführen avdnettest.exe , indem Sie auf die Datei doppelklicken oder sie über die Befehlszeile ausführen. Die Ausgabe ähnelt dieser Ausgabe, wenn die Konnektivität erfolgreich ist:

Checking DNS service ... OK
Checking TURN support ... OK
Checking ACS server 20.202.68.109:3478 ... OK
Checking ACS server 20.202.21.66:3478 ... OK

You have access to TURN servers and your NAT type appears to be 'cone shaped'.
Shortpath for public networks is very likely to work on this host.

Wenn Ihre Umgebung symmetrische NAT verwendet, können Sie eine Relayverbindung mit TURN verwenden. Weitere Informationen zum Konfigurieren von Firewalls und Netzwerksicherheitsgruppen finden Sie unter Netzwerkkonfigurationen für RDP Shortpath.

Optional: Aktivieren der Teredo-Unterstützung

Teredo ist für RDP Shortpath zwar nicht erforderlich, fügt aber zusätzliche NAT-Traversalkandidaten hinzu und erhöht die Wahrscheinlichkeit einer erfolgreichen RDP Shortpath-Verbindung in reinen IPv4-Netzwerken. Sie können Teredo sowohl auf Sitzungshosts als auch auf Clients mit PowerShell aktivieren:

1. Öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator.

2. Führen Sie den folgenden Befehl aus:

   Set-NetTeredoConfiguration -Type Enterpriseclient
   

3. Starten Sie die Sitzungshosts und Clientgeräte neu, damit die Einstellungen wirksam werden.

Einschränken des Portbereichs, der mit STUN und TURN verwendet wird

Standardmäßig verwenden RDP Shortpath-Optionen, die STUN oder TURN verwenden, einen kurzlebigen Portbereich von 49152 bis 65535 , um einen direkten Pfad zwischen Server und Client einzurichten. Möglicherweise möchten Sie ihre Sitzungshosts jedoch so konfigurieren, dass sie einen kleineren, vorhersagbaren Portbereich verwenden.

Sie können einen kleineren Standardbereich von Ports 38300 bis 39299 festlegen oder Einen eigenen Portbereich angeben, der verwendet werden soll. Wenn sie auf Ihren Sitzungshosts aktiviert sind, wählt Windows App oder die Remotedesktop-App nach dem Zufallsprinzip den Port aus dem Bereich aus, den Sie für jede Verbindung angeben. Wenn dieser Bereich erschöpft ist, werden Verbindungen auf den Standardportbereich (49152-65535) zurückgesetzt.

Berücksichtigen Sie bei der Auswahl der Basis- und Poolgröße die Anzahl der ports, die Sie benötigen. Der Bereich muss zwischen 1024 und 49151 liegen, danach beginnt der kurzlebige Portbereich.

Sie können den Portbereich mit Microsoft Intune oder Gruppenrichtlinie in einer Active Directory-Domäne einschränken. Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So begrenzen Sie den Portbereich, der mit STUN und TURN verwendet wird, indem Sie Microsoft Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

4. Aktivieren Sie das Kontrollkästchen Portbereich für RDP Shortpath für nicht verwaltete Netzwerke verwenden, und schließen Sie dann die Einstellungsauswahl.

5. Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für Portbereich für RDP Shortpath für nicht verwaltete Netzwerke verwenden aufAktiviert um.

6. Geben Sie Werte für Portpoolgröße (Gerät) und UDP-Basisport (Gerät) ein. Die Standardwerte sind 1000 bzw . 38300 .

7. Wählen Sie Weiter aus.

8. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.

9. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

10. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.

11. Sobald die Richtlinie für die Computer gilt, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So beschränken Sie den Portbereich, der mit STUN und TURN verwendet wird, indem Sie Gruppenrichtlinie in einer Active Directory-Domäne verwenden:

1. Stellen Sie die administrative Vorlage für Azure Virtual Desktop in Ihrer Domäne zur Verfügung, indem Sie die Schritte unter Verwenden der administrativen Vorlage für Azure Virtual Desktop ausführen.

2. Öffnen Sie die Gruppenrichtlinie-Verwaltungskonsole auf einem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

3. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer abzielt, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten.

4. Navigieren Sie zu Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Azure Virtual Desktop.

   

5. Doppelklicken Sie auf die Richtlinieneinstellung Portbereich für RDP Shortpath für nicht verwaltete Netzwerke verwenden, um sie zu öffnen.

6. Wählen Sie Aktiviert aus. Geben Sie Werte für UDP-Basisport (Gerät) und Portpoolgröße (Gerät) ein. Die Standardwerte sind 38300 bzw . 1000 . Wenn Sie fertig sind, wählen Sie OK aus.

7. Stellen Sie sicher, dass die Richtlinie auf die Sitzungshosts angewendet wird, und starten Sie sie dann neu, damit die Einstellungen wirksam werden.

Überprüfen, ob RDP Shortpath funktioniert

Stellen Sie nach dem Konfigurieren von RDP Shortpath von einem Clientgerät aus eine Verbindung mit einer Remotesitzung her, und überprüfen Sie, ob die Verbindung UDP verwendet. Sie können den verwendeten Transport entweder mit dem Dialogfeld Verbindungsinformationen aus Windows App oder der Remotedesktop-App überprüfen, Ereignisanzeige Protokollen auf dem Clientgerät oder mithilfe von Log Analytics im Azure-Portal.

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Verbindungsinformationen

Um sicherzustellen, dass Verbindungen RDP Shortpath verwenden, können Sie die Verbindungsinformationen auf dem Client überprüfen:

1. Stellen Sie eine Verbindung mit einer Remotesitzung her.

2. Öffnen Sie das Dialogfeld Verbindungsinformationen , indem Sie oben auf dem Bildschirm zur Symbolleiste Verbindung wechseln und das Symbol für die Signalstärke auswählen, wie im folgenden Screenshot gezeigt:

   

3. Sie können in der Ausgabe überprüfen, ob UDP aktiviert ist, wie in den folgenden Screenshots gezeigt:

   • Wenn eine direkte Verbindung mit RDP Shortpath für verwaltete Netzwerke verwendet wird, hat das Transportprotokoll den Wert UDP (Privates Netzwerk):

     

   • Wenn STUN verwendet wird, hat das Transportprotokoll den Wert UDP:

     

   • Wenn TURN verwendet wird, weist das Transportprotokoll den Wert UDP (Relay) auf:

     

Ereignisanzeige

Um sicherzustellen, dass Verbindungen RDP Shortpath verwenden, können Sie die Ereignisprotokolle auf dem Sitzungshost überprüfen:

1. Stellen Sie eine Verbindung mit einer Remotesitzung her.

2. Öffnen Sie auf dem Sitzungshost Ereignisanzeige.

3. Navigieren Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>RemoteDesktopServices-RdpCoreCDV>Operational.

4. Filtern Sie nach Ereignis-ID 135. Connections verwendung des RDP Shortpath-Zustands, den der Transporttyp UDP verwendet, mit der Meldung The multi-transport connection finished for tunnel: 1, its transport type set to UDP.

Log Analytics

Wenn Sie Azure Log Analytics verwenden, können Sie Verbindungen überwachen, indem Sie die Tabelle WVDConnections abfragen. Eine Spalte mit dem Namen UdpUse gibt an, ob UDP für eine Verbindung verwendet wird.

Die folgenden Werte sind möglich:

• 1 – Die Verbindung verwendet RDP Shortpath für verwaltete Netzwerke.

• 2 – Die Verbindung verwendet RDP Shortpath für öffentliche Netzwerke direkt mithilfe von STUN.

• 4 – Die Verbindung verwendet RDP Shortpath für öffentliche Netzwerke und wird mit TURN weitergeleitet.

Bei jedem anderen Wert verwendet die Verbindung nicht UDP und wird stattdessen über TCP verbunden.

Mit der folgenden Abfrage können Sie Verbindungsinformationen überprüfen. Sie können diese Abfrage im Log Analytics-Abfrage-Editor ausführen. Ersetzen Sie beim Ausführen dieser Abfrage durch den UPN des Benutzers, user@contoso.com den Sie suchen möchten:

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

Sie können alle Sitzungen auflisten, die UDP verwenden, indem Sie die folgende Log Analytics-Abfrage ausführen:

WVDCheckpoints 
| where Name contains "Shortpath"

Verwandte Inhalte

Wenn Sie Probleme beim Herstellen einer Verbindung mit dem RDP Shortpath-Transport für öffentliche Netzwerke haben, lesen Sie Problembehandlung bei RDP Shortpath.