Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie einen Proxyserver mit Azure Virtual Desktop verwenden. Die Empfehlungen in diesem Artikel gelten nur für Verbindungen zwischen Azure Virtual Desktop-Infrastruktur-, Client- und Sitzungshost-Agents. In diesem Artikel wird die Netzwerkkonnektivität für Office, Windows 10, FSLogix oder andere Microsoft-Anwendungen nicht behandelt.
Was sind Proxyserver?
Es wird empfohlen, Proxys für Azure Virtual Desktop-Datenverkehr zu umgehen. Proxys machen Azure Virtual Desktop nicht sicherer, da der Datenverkehr bereits verschlüsselt ist. Weitere Informationen zur Verbindungssicherheit finden Sie unter Verbindungssicherheit.
Die meisten Proxyserver sind nicht für die Unterstützung von WebSocket-Verbindungen mit langer Ausführungszeit konzipiert und können sich auf die Verbindungsstabilität auswirken. Die Skalierbarkeit von Proxyservern verursacht auch Probleme, da Azure Virtual Desktop mehrere langfristige Verbindungen verwendet. Wenn Sie Proxyserver verwenden, müssen diese die richtige Größe aufweisen, um diese Verbindungen auszuführen.
Wenn die Geografie des Proxyservers weit vom Host entfernt ist, führt diese Entfernung zu einer größeren Latenz bei Ihren Benutzerverbindungen. Mehr Latenz bedeutet eine langsamere Verbindungszeit und eine schlechtere Benutzererfahrung, insbesondere in Szenarien, in denen Grafik-, Audio- oder Latenzinteraktionen mit Eingabegeräten erforderlich sind. Wenn Sie einen Proxyserver verwenden müssen, denken Sie daran, dass Sie den Server in derselben Geografischen Region wie der Azure Virtual Desktop-Agent und -Client platzieren müssen.
Wenn Sie Ihren Proxyserver als einzigen Pfad für azure Virtual Desktop-Datenverkehr konfigurieren, werden die RDP-Daten (RemoteDesktopprotokoll) über TCP (Transmission Control Protocol) und nicht über UDP (User Datagram Protocol) erzwungen. Diese Verschiebung verringert die visuelle Qualität und Reaktionsfähigkeit der Remoteverbindung.
Zusammenfassend wird davon abgeraten, Proxyserver in Azure Virtual Desktop zu verwenden, da sie leistungsbezogene Probleme aufgrund von Latenzverlusten und Paketverlusten verursachen.
Umgehen eines Proxyservers
Wenn die Netzwerk- und Sicherheitsrichtlinien Ihres organization Proxyserver für Webdatenverkehr erfordern, können Sie Ihre Umgebung so konfigurieren, dass Azure Virtual Desktop-Verbindungen umgangen werden, während der Datenverkehr weiterhin über den Proxyserver weitergeleitet wird. Die Richtlinien jeder organization sind jedoch eindeutig, sodass einige Methoden möglicherweise besser für Ihre Bereitstellung funktionieren als andere. Hier sind einige Konfigurationsmethoden, die Sie versuchen können, Leistungs- und Zuverlässigkeitsverluste in Ihrer Umgebung zu verhindern:
- Azure-Diensttags mit Azure Firewall
- Proxyserverumgehung mithilfe von Proxy-Autokonfigurationsdateien (
.PAC) - Umgehungsliste in der lokalen Proxykonfiguration
- Verwenden von Proxyservern für die Benutzerkonfiguration
- Verwenden von RDP Shortpath für die RDP-Verbindung unter Beibehaltung des Dienstdatenverkehrs über den Proxy
Empfehlungen für die Verwendung von Proxyservern
Einige Organisationen erfordern, dass der gesamte Benutzerdatenverkehr für die Nachverfolgung oder Paketüberprüfung über einen Proxyserver geleitet wird. In diesem Abschnitt wird beschrieben, wie wir Die Konfiguration Ihrer Umgebung in diesen Fällen empfehlen.
Verwenden von Proxyservern in derselben Azure-Geografie
Wenn Sie einen Proxyserver verwenden, übernimmt er die gesamte Kommunikation mit der Azure Virtual Desktop-Infrastruktur und führt die DNS-Auflösung und das Anycast-Routing an die nächstgelegene Azure Front Door-Instanz durch. Wenn Ihre Proxyserver entfernt oder über eine Azure-Region verteilt sind, ist Ihre geografische Auflösung weniger genau. Eine weniger genaue geografische Auflösung bedeutet, dass Verbindungen an einen weiter entfernten Azure Virtual Desktop-Cluster weitergeleitet werden. Um dieses Problem zu vermeiden, verwenden Sie nur Proxyserver, die sich geografisch in der Nähe Ihres Azure Virtual Desktop-Clusters befinden.
Verwenden von RDP Shortpath für verwaltete Netzwerke für Desktopkonnektivität
Wenn Sie RDP Shortpath für verwaltete Netzwerke aktivieren, umgehen RDP-Daten den Proxyserver nach Möglichkeit. Das Umgehen des Proxyservers stellt ein optimales Routing bei Verwendung des UDP-Transports sicher. Anderer Azure Virtual Desktop-Datenverkehr wie Brokering, Orchestrierung und Diagnose wird weiterhin über den Proxyserver geleitet.
Verwenden Sie keine SSL-Terminierung auf dem Proxyserver.
Die SSL-Beendigung (Secure Sockets Layer) ersetzt Sicherheitszertifikate der Azure Virtual Desktop-Komponenten durch Zertifikate, die vom Proxyserver generiert werden. Dieses Proxyserverfeature ermöglicht die Paketüberprüfung für HTTPS-Datenverkehr auf dem Proxyserver. Die Paketüberprüfung verlängert jedoch auch die Antwortzeit des Diensts, sodass die Anmeldung von Benutzern länger dauert. In Szenarien mit reverse connect ist die Überprüfung von RDP-Datenverkehrspaketen nicht erforderlich, da der RDP-Datenverkehr mit reverse-Connect binär ist und zusätzliche Verschlüsselungsebenen verwendet.
Wenn Sie Ihren Proxyserver für die Verwendung der SSL-Überprüfung konfigurieren, denken Sie daran, dass Sie Ihren Server nicht in den ursprünglichen Zustand rückgängig machen können, nachdem die SSL-Überprüfung Änderungen vorgenommen hat. Wenn etwas in Ihrer Azure Virtual Desktop-Umgebung nicht mehr funktioniert, während die SSL-Überprüfung aktiviert ist, müssen Sie die SSL-Überprüfung deaktivieren und es erneut versuchen, bevor Sie eine Supportanfrage öffnen. Die SSL-Überprüfung kann auch dazu führen, dass der Azure Virtual Desktop-Agent nicht mehr funktioniert, da sie vertrauenswürdige Verbindungen zwischen dem Agent und dem Dienst beeinträchtigt.
Verwenden Sie keine Proxyserver, die eine Authentifizierung benötigen.
Azure Virtual Desktop-Komponenten auf dem Sitzungshost werden im Kontext ihres Betriebssystems ausgeführt, sodass sie keine Proxyserver unterstützen, die eine Authentifizierung erfordern. Wenn der Proxyserver eine Authentifizierung erfordert, tritt bei der Verbindung ein Fehler auf.
Planen der Netzwerkkapazität des Proxyservers
Für Proxyserver gelten Kapazitätsgrenzen. Im Gegensatz zu regulärem HTTP-Datenverkehr verfügt RDP-Datenverkehr über verbindungen mit langer Ausführungsdauer, die bidirektional sind und viel Bandbreite beanspruchen. Bevor Sie einen Proxyserver einrichten, sprechen Sie mit dem Anbieter ihres Proxyservers darüber, wie viel Durchsatz Ihr Server hat. Stellen Sie außerdem sicher, dass Sie sie fragen, wie viele Proxysitzungen gleichzeitig ausgeführt werden können. Nachdem Sie den Proxyserver bereitgestellt haben, überwachen Sie die Ressourcennutzung sorgfältig auf Engpässe im Azure Virtual Desktop-Datenverkehr.
Proxyserver und Microsoft Teams-Medienoptimierung
Azure Virtual Desktop unterstützt keine Proxyserver mit Medienoptimierung für Microsoft Teams.
Empfehlungen zur Sitzungshostkonfiguration
Zum Konfigurieren eines Proxyservers auf Sitzungshostebene müssen Sie einen systemweiten Proxy aktivieren. Beachten Sie, dass sich die systemweite Konfiguration auf alle Betriebssystemkomponenten und Anwendungen auswirkt, die auf dem Sitzungshost ausgeführt werden. Die folgenden Abschnitte enthalten Empfehlungen zum Konfigurieren von systemweiten Proxys.
Verwenden des WPAD-Protokolls (Web Proxy Auto-Discovery)
Der Azure Virtual Desktop-Agent versucht automatisch, mithilfe des WPAD-Protokolls (Web Proxy Auto-Discovery) einen Proxyserver im Netzwerk zu suchen. Während eines Speicherortversuchs durchsucht der Agent den Domänennamenserver (DNS) nach einer Datei namens wpad.domainsuffix. Wenn der Agent die Datei im DNS findet, sendet er eine HTTP-Anforderung für eine Datei namens wpad.dat. Die Antwort wird zum Proxykonfigurationsskript, das den ausgehenden Proxyserver auswähnt.
Um Ihr Netzwerk für die Verwendung der DNS-Auflösung für WPAD zu konfigurieren, befolgen Sie die Anweisungen unter Einstellungen für die automatische Erkennung internet Explorer 11. Stellen Sie sicher, dass die globale Abfrageblockliste des DNS-Servers die WPAD-Auflösung zulässt, indem Sie die Anweisungen in Set-DnsServerGlobalQueryBlockList befolgen.
Manuelles Festlegen eines geräteweiten Proxys für Windows-Dienste
Wenn Sie einen Proxyserver manuell angeben, müssen Sie mindestens einen Proxy für die Windows-Dienste RDAgent und Remotedesktopdienste auf Ihren Sitzungshosts festlegen. RDAgent wird mit dem Konto Lokales System und Remotedesktopdienste mit dem Konto Netzwerkdienst ausgeführt. Sie können einen Proxy für diese Konten mithilfe des bitsadmin Befehlszeilentools festlegen.
Im folgenden Beispiel werden die Konten "Lokales System" und "Netzwerkdienst" so konfiguriert, dass eine Proxydatei .pac verwendet wird. Sie müssen diese Befehle an einer Eingabeaufforderung mit erhöhten Rechten ausführen und dabei den Platzhalterwert für <server> mit Ihrer eigenen Adresse ändern:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Eine vollständige Referenz und weitere Beispiele finden Sie unter bitsadmin util und setieproxy.
Sie können auch einen geräteweiten Proxy oder eine automatische Proxykonfiguration () festlegen. PAC-Datei, die für alle interaktiven Benutzer, lokales System und Netzwerkdienst-Benutzer gilt. Wenn Ihre Sitzungshosts bei Intune registriert sind, können Sie einen Proxy mit dem Netzwerkproxy-CSP festlegen. Windows-Clientbetriebssysteme mit mehreren Sitzungen unterstützen jedoch keine Richtlinien-CSP, da sie nur den Einstellungskatalog unterstützen. Alternativ können Sie einen geräteweiten Proxy mit dem netsh winhttp Befehl konfigurieren. Eine vollständige Referenz und Beispiele finden Sie unter Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP).
Clientseitige Proxyunterstützung
Der Azure Virtual Desktop-Client unterstützt Proxyserver, die mit Systemeinstellungen oder einem Netzwerkproxy-CSP konfiguriert sind.
Azure Virtual Desktop-Clientunterstützung
Die folgende Tabelle zeigt, welche Azure Virtual Desktop-Clients Proxyserver unterstützen:
| Clientname | Proxyserversupport |
|---|---|
| Windows Desktop | Ja |
| Webclient | Ja |
| Android | Nein |
| iOS | Ja |
| macOS | Ja |
| Windows Store | Ja |
Weitere Informationen zur Proxyunterstützung auf Linux-basierten Thin Clients finden Sie unter Thin Client-Unterstützung.
Supportbeschränkungen
Es gibt viele Dienste und Anwendungen von Drittanbietern, die als Proxyserver fungieren. Zu diesen Drittanbieterdiensten gehören verteilte Firewalls der nächsten Generation, Websicherheitssysteme und grundlegende Proxyserver. Es kann nicht garantiert werden, dass jede Konfiguration mit Azure Virtual Desktop kompatibel ist. Microsoft bietet nur eingeschränkte Unterstützung für Verbindungen, die über einen Proxyserver hergestellt werden. Wenn bei der Verwendung eines Proxyservers Konnektivitätsprobleme auftreten, empfiehlt der Microsoft-Support, dass Sie eine Proxyumgehung konfigurieren und dann versuchen, das Problem zu reproduzieren.
Nächste Schritte
Weitere Informationen zum Schutz Ihrer Azure Virtual Desktop-Bereitstellung finden Sie in unserem Sicherheitsleitfaden.