RDP Shortpath für Azure Virtual Desktop

RDP Shortpath richtet einen UDP-basierten Transport zwischen einem lokalen Gerät Windows App oder der Remotedesktop-App auf unterstützten Plattformen und sitzungshost in Azure Virtual Desktop ein. Standardmäßig beginnt das Remotedesktopprotokoll (RDP) einen TCP-basierten Reverse Connect-Transport und versucht dann, eine Remotesitzung mithilfe von UDP einzurichten. Wenn die UDP-Verbindung erfolgreich ist, wird die TCP-Verbindung getrennt, andernfalls wird die TCP-Verbindung als Fallbackverbindungsmechanismus verwendet.

UDP-basierter Transport bietet eine bessere Verbindungssicherheit und eine konsistentere Latenz. Der TCP-basierte Reverse Connect-Transport bietet die beste Kompatibilität mit verschiedenen Netzwerkkonfigurationen und hat eine hohe Erfolgsquote beim Einrichten von RDP-Verbindungen.

RDP Shortpath kann auf zwei Arten verwendet werden:

1. Verwaltete Netzwerke, in denen eine direkte Konnektivität zwischen dem Client und dem Sitzungshost hergestellt wird, wenn eine private Verbindung verwendet wird, z. B. Azure ExpressRoute oder ein Site-to-Site-VPN (Virtual Private Network). Eine Verbindung mit einem verwalteten Netzwerk wird auf eine der folgenden Arten hergestellt:

   1. Eine direkte UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost, bei der Sie den RDP Shortpath-Listener aktivieren und einem eingehenden Port auf jedem Sitzungshost erlauben müssen, Verbindungen zu akzeptieren.

   2. Eine direkte UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost unter Verwendung des STUN-Protokolls (Simple Traversal Underneath NAT) zwischen einem Client und einem Sitzungshost. Eingehende Ports auf dem Sitzungshost müssen nicht zulässig sein.

2. Öffentliche Netzwerke, in denen eine direkte Konnektivität zwischen dem Client und dem Sitzungshost hergestellt wird, wenn eine öffentliche Verbindung verwendet wird. Bei Verwendung einer öffentlichen Verbindung gibt es zwei Verbindungstypen, die hier in der bevorzugten Reihenfolge aufgeführt sind:

   1. Eine direkte UDP-Verbindung mit dem STUN-Protokoll (Simple Traversal Underneath NAT) zwischen einem Client und einem Sitzungshost.

   2. Eine weitergeleitete UDP-Verbindung, die das TURN-Protokoll (Traversal Using Relay NAT) zwischen einem Client und einem Sitzungshost verwendet.

Der für RDP Shortpath verwendete Transport basiert auf dem Universal Rate Control Protocol (URCP). URCP verbessert UDP mit aktiver Überwachung der Netzwerkbedingungen und bietet eine faire und vollständige Linknutzung. URCP arbeitet bei Bedarf mit geringen Verzögerungs- und Verluststufen.

Wichtig

• RDP Shortpath für öffentliche Netzwerke über STUN für Azure Virtual Desktop ist in der öffentlichen Azure-Cloud und Azure Government Cloud verfügbar.
• RDP Shortpath für öffentliche Netzwerke über TURN für Azure Virtual Desktop ist nur in der öffentlichen Azure-Cloud verfügbar.

Hauptvorteile

Die Verwendung von RDP Shortpath hat die folgenden wichtigsten Vorteile:

• Die Verwendung von URCP zur Verbesserung von UDP erzielt die beste Leistung durch dynamisches Lernen von Netzwerkparametern und Bereitstellen eines Mechanismus zur Ratensteuerung für das Protokoll.

• Höherer Durchsatz.

• Wenn Sie STUN verwenden, reduziert das Entfernen zusätzlicher Relaypunkte die Roundtripzeit und verbessert die Zuverlässigkeit der Verbindung und die Benutzererfahrung mit latenzempfindlichen Anwendungen und Eingabemethoden.

• Für verwaltete Netzwerke:

  • RDP Shortpath bietet Unterstützung für die Konfiguration der QoS-Priorität (Quality of Service) für RDP-Verbindungen über DSCP-Markierungen (Differenzierte Dienste Code Point).

  • Der RDP Shortpath-Transport ermöglicht das Einschränken des ausgehenden Netzwerkdatenverkehrs durch Angabe einer Drosselungsrate für jede Sitzung.

Funktionsweise von RDP Shortpath

Um zu erfahren, wie RDP Shortpath für verwaltete Netzwerke und öffentliche Netzwerke funktioniert, wählen Sie jede der folgenden Registerkarten aus.

Verwaltete Netzwerke

Sie können die direkte Sichtverbindung erreichen, die für die Verwendung von RDP Shortpath mit verwalteten Netzwerken erforderlich ist, indem Sie die folgenden Methoden verwenden.

• Privates ExpressRoute-Peering

• Site-to-Site- oder Point-to-Site-VPN (IPsec), z. B. Azure VPN Gateway

Eine direkte Sichtverbindung bedeutet, dass der Client eine direkte Verbindung mit dem Sitzungshost herstellen kann, ohne von Firewalls blockiert zu werden.

Hinweis

Wenn Sie andere VPN-Typen verwenden, um eine Verbindung mit Azure herzustellen, empfehlen wir die Verwendung eines UDP-basierten VPN. Obwohl die meisten TCP-basierten VPN-Lösungen geschachteltes UDP unterstützen, fügen sie den geerbten Mehraufwand der TCP-Überlastungssteuerung hinzu, was die RDP-Leistung verlangsamt.

Um RDP Shortpath für verwaltete Netzwerke verwenden zu können, müssen Sie einen UDP-Listener auf Ihren Sitzungshosts aktivieren. Standardmäßig wird Port 3390 verwendet, obwohl Sie einen anderen Port verwenden können.

Das folgende Diagramm bietet eine allgemeine Übersicht über die Netzwerkverbindungen bei Verwendung von RDP Shortpath für verwaltete Netzwerke und Sitzungshosts, die in eine Active Directory-Domäne eingebunden sind.

Verbindungssequenz

Alle Verbindungen beginnen mit dem Einrichten eines TCP-basierten Reverse Connect-Transports über das Azure Virtual Desktop-Gateway. Anschließend richten der Client und der Sitzungshost den anfänglichen RDP-Transport ein und beginnen mit dem Austausch ihrer Funktionen. Diese Funktionen werden mithilfe des folgenden Prozesses ausgehandelt:

1. Der Sitzungshost sendet die Liste seiner IPv4- und IPv6-Adressen an den Client.

2. Der Client startet den Hintergrundthread, um einen parallelen UDP-basierten Transport direkt zu einer der IP-Adressen des Sitzungshosts einzurichten.

3. Während der Client die angegebenen IP-Adressen testiert, wird die anfängliche Verbindung über den Reverse Connect-Transport hergestellt, um sicherzustellen, dass die Benutzerverbindung nicht verzögert wird.

4. Wenn der Client über eine direkte Verbindung mit dem Sitzungshost verfügt, stellt der Client eine sichere Verbindung mithilfe von TLS über zuverlässiges UDP her.

5. Nach dem Einrichten des RDP Shortpath-Transports werden alle dynamischen virtuellen Kanäle (Dynamic Virtual Channels, DVCs), einschließlich Remotegrafiken, Eingaben und Geräteumleitung, in den neuen Transport verschoben. Wenn jedoch eine Firewall- oder Netzwerktopologie verhindert, dass der Client direkte UDP-Verbindungen herstellt, fährt RDP mit einem Reverse Connect-Transport fort.

Wenn Ihren Benutzern sowohl RDP Shortpath für verwaltete Netzwerke als auch öffentliche Netzwerke zur Verfügung stehen, wird der erste gefundene Algorithmus verwendet. Der Benutzer verwendet die verbindung, die zuerst für diese Sitzung hergestellt wird.

Öffentliche Netzwerke

Um die beste Chance zu bieten, dass eine UDP-Verbindung erfolgreich ist, wenn eine öffentliche Verbindung verwendet wird, gibt es die Verbindungstypen direct und relayed :

• Direkte Verbindung: STUN wird verwendet, um eine direkte UDP-Verbindung zwischen einem Client und einem Sitzungshost herzustellen. Um diese Verbindung herzustellen, müssen Der Client und der Sitzungshost über eine öffentliche IP-Adresse und einen ausgehandelten Port eine Verbindung miteinander herstellen können. Die meisten Clients kennen jedoch ihre eigene öffentliche IP-Adresse nicht, da sie sich hinter einem NAT-Gatewaygerät (Network Address Translation) befinden. STUN ist ein Protokoll für die Selbstermittlung einer öffentlichen IP-Adresse hinter einem NAT-Gatewaygerät und dem Client, um seine eigene öffentliche IP-Adresse zu bestimmen.

  Damit ein Client STUN verwenden kann, muss sein Netzwerk UDP-Datenverkehr zulassen. Unter der Annahme, dass sowohl der Client als auch der Sitzungshost direkt an die ermittelte IP-Adresse und den Port des anderen weitergeleitet werden können, wird die Kommunikation mit direct UDP über das WebSocket-Protokoll hergestellt. Wenn Firewalls oder andere Netzwerkgeräte direkte Verbindungen blockieren, wird versucht, eine UDP-Relayverbindung herzustellen.

• Relayverbindung: TURN wird verwendet, um eine Verbindung herzustellen und Datenverkehr über einen Zwischenserver zwischen einem Client und einem Sitzungshost weiterzuleiten, wenn eine direkte Verbindung nicht möglich ist. TURN ist eine Erweiterung von STUN. Die Verwendung von TURN bedeutet, dass die öffentliche IP-Adresse und der Port im Voraus bekannt sind, was über Firewalls und andere Netzwerkgeräte zugelassen werden kann.

  Wenn Firewalls oder andere Netzwerkgeräte UDP-Datenverkehr blockieren, wird die Verbindung auf einen TCP-basierten Reverse Connect-Transport zurückgesetzt.

Wenn eine Verbindung hergestellt wird, koordiniert Interactive Connectivity Establishment (ICE) die Verwaltung von STUN und TURN, um die Wahrscheinlichkeit des Verbindungsaufbaus zu optimieren und sicherzustellen, dass bevorzugte Netzwerkkommunikationsprotokolle Vorrang haben.

Jede RDP-Sitzung verwendet einen dynamisch zugewiesenen UDP-Port aus einem kurzlebigen Portbereich (standardmäßig 49152 bis 65535 ), der den RDP Shortpath-Datenverkehr akzeptiert. Port 65330 wird aus diesem Bereich ignoriert, da er für die interne Verwendung durch Azure reserviert ist. Sie können auch einen kleineren, vorhersagbaren Portbereich verwenden. Weitere Informationen finden Sie unter Einschränken des Portbereichs, der von Clients für öffentliche Netzwerke verwendet wird.

Tipp

RDP Shortpath für öffentliche Netzwerke funktioniert automatisch ohne zusätzliche Konfiguration, sofern Netzwerke und Firewalls den Datenverkehr durch zulassen und RDP-Transporteinstellungen im Windows-Betriebssystem für Sitzungshosts und Clients ihre Standardwerte verwenden.

Das folgende Diagramm bietet eine allgemeine Übersicht über die Netzwerkverbindungen bei Verwendung von RDP Shortpath für öffentliche Netzwerke, in denen Sitzungshosts Microsoft Entra ID.

VERFÜGBARKEIT DES TURN-Relays

TURN Relay ist in den folgenden Azure-Regionen mit ACS TURN Relay (20.202.0.0/16) verfügbar:

• Australien (Südosten)
• Indien, Mitte
• USA (Osten)
• USA (Osten) 2
• Frankreich, Mitte
• Japan Westen
• Nordeuropa

• USA (Süden, Mitte)
• Südostasien
• Vereinigtes Königreich (Süden)
• Vereinigtes Königreich (Westen)
• Westeuropa
• USA (Westen)
• USA (Westen) 2

Ein TURN-Relay wird basierend auf der physischen Position des Clientgeräts ausgewählt. Wenn sich beispielsweise ein Clientgerät in Großbritannien befindet, wird das TURN-Relay in der Region "Vereinigtes Königreich, Süden" oder "Vereinigtes Königreich, Westen" ausgewählt. Wenn ein Clientgerät weit von einem TURN-Relay entfernt ist, kann die UDP-Verbindung auf TCP zurückfallen.

Netzwerkadressenübersetzung und Firewalls

Die meisten Azure Virtual Desktop-Clients werden auf Computern im privaten Netzwerk ausgeführt. Der Internetzugriff wird über ein NAT-Gatewaygerät (Network Address Translation) bereitgestellt. Daher ändert das NAT-Gateway alle Netzwerkanforderungen aus dem privaten Netzwerk und für das Internet. Mit dieser Änderung soll eine einzige öffentliche IP-Adresse für alle Computer im privaten Netzwerk gemeinsam genutzt werden.

Aufgrund der Änderung des IP-Pakets wird dem Empfänger des Datenverkehrs die öffentliche IP-Adresse des NAT-Gateways anstelle des tatsächlichen Absenders angezeigt. Wenn der Datenverkehr an das NAT-Gateway zurückgeht, wird er ohne Wissen des Absenders an den vorgesehenen Empfänger weitergeleitet. In den meisten Szenarien wissen die Hinter einer solchen NAT verborgenen Geräte nicht, dass die Übersetzung stattfindet und die Netzwerkadresse des NAT-Gateways nicht kennen.

NAT gilt für die virtuellen Azure-Netzwerke, in denen sich alle Sitzungshosts befinden. Wenn ein Sitzungshost versucht, die Netzwerkadresse im Internet zu erreichen, führt das NAT-Gateway (entweder ihr eigenes oder standardmäßig von Azure bereitgestelltes) oder Azure Load Balancer die Adressübersetzung durch. Weitere Informationen zu verschiedenen Arten der Quellnetzwerkadressenübersetzung finden Sie unter Verwenden der Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT) für ausgehende Verbindungen.

Die meisten Netzwerke enthalten in der Regel Firewalls, die Datenverkehr überprüfen und basierend auf Regeln blockieren. Die meisten Kunden konfigurieren ihre Firewalls so, dass eingehende Verbindungen (d. a. nicht angeforderte Pakete, die ohne Anforderung aus dem Internet gesendet werden) verhindert werden. Firewalls verwenden verschiedene Techniken zum Nachverfolgen des Datenflusses, um zwischen angefordertem und nicht angefordertem Datenverkehr zu unterscheiden. Im Kontext von TCP verfolgt die Firewall SYN- und ACK-Pakete nach, und der Prozess ist einfach. UDP-Firewalls verwenden in der Regel Heuristiken, die auf Paketadressen basieren, um Datenverkehr udp-Flows zuzuordnen und ihn zuzulassen oder zu blockieren. Es sind viele verschiedene NAT-Implementierungen verfügbar.

Verbindungssequenz

Alle Verbindungen beginnen mit dem Einrichten eines TCP-basierten Reverse Connect-Transports über das Azure Virtual Desktop-Gateway. Anschließend richten der Client und der Sitzungshost den anfänglichen RDP-Transport ein und beginnen mit dem Austausch ihrer Funktionen. Wenn RDP Shortpath für öffentliche Netzwerke auf dem Sitzungshost aktiviert ist, initiiert der Sitzungshost einen Prozess namens Candidate Gathering:

1. Der Sitzungshost listet alle Netzwerkschnittstellen auf, die einem Sitzungshost zugewiesen sind, einschließlich virtueller Schnittstellen wie VPN und Teredo.

2. Der Windows-Dienst Remotedesktopdienste (TermService) weist UDP-Sockets auf jeder Schnittstelle zu und speichert das IP:Port-Paar in der Kandidatentabelle als lokaler Kandidat.

3. Der Remotedesktopdienstedienst verwendet jeden udp-Socket, der im vorherigen Schritt zugeordnet wurde, um zu versuchen, den Azure Virtual Desktop STUN-Server im öffentlichen Internet zu erreichen. Die Kommunikation erfolgt durch Senden eines kleinen UDP-Pakets an Port 3478.

4. Wenn das Paket den STUN-Server erreicht, antwortet der STUN-Server mit der öffentlichen IP-Adresse und dem Port. Diese Informationen werden in der Kandidatentabelle als reflexiver Kandidat gespeichert.

5. Nachdem der Sitzungshost alle Kandidaten erfasst hat, verwendet der Sitzungshost den eingerichteten Reverse Connect-Transport, um die Kandidatenliste an den Client zu übergeben.

6. Wenn der Client die Liste der Kandidaten vom Sitzungshost empfängt, führt der Client auch die Kandidatensammlung auf seiner Seite aus. Anschließend sendet der Client seine Kandidatenliste an den Sitzungshost.

7. Nachdem der Sitzungshost und der Client ihre Kandidatenliste ausgetauscht haben, versuchen beide Parteien, sich unter Verwendung aller gesammelten Kandidaten miteinander zu verbinden. Dieser Verbindungsversuch erfolgt auf beiden Seiten gleichzeitig. Viele NAT-Gateways sind so konfiguriert, dass der eingehende Datenverkehr an den Socket zugelassen wird, sobald die ausgehende Datenübertragung ihn initialisiert. Dieses Verhalten von NAT-Gateways ist der Grund, warum die gleichzeitige Verbindung wichtig ist. Wenn STUN fehlschlägt, weil es blockiert ist, wird mithilfe von TURN eine Relayverbindung versucht.

8. Nach dem ersten Paketaustausch können der Client und der Sitzungshost einen oder mehrere Datenflüsse einrichten. Aus diesen Datenflüssen wählt RDP den schnellsten Netzwerkpfad aus. Der Client stellt dann eine sichere Verbindung mithilfe von TLS über reliable UDP mit dem Sitzungshost her und initiiert den RDP Shortpath-Transport.

9. Nachdem RDP den RDP Shortpath-Transport eingerichtet hat, werden alle dynamischen virtuellen Kanäle (Dynamic Virtual Channels, DVCs), einschließlich Remotegrafiken, Eingaben und Geräteumleitung, in den neuen Transport verschoben.

Wenn Ihren Benutzern sowohl RDP Shortpath für verwaltete Netzwerke als auch öffentliche Netzwerke zur Verfügung stehen, wird der zuerst gefundene Algorithmus verwendet. Dies bedeutet, dass der Benutzer die zuerst hergestellte Verbindung für diese Sitzung verwendet. Weitere Informationen finden Sie unter Beispielszenario 4.

Netzwerkkonfiguration

Um RDP Shortpath für öffentliche Netzwerke zu unterstützen, benötigen Sie in der Regel keine bestimmte Konfiguration. Der Sitzungshost und der Client ermitteln automatisch den direkten Datenfluss, wenn dies in Ihrer Netzwerkkonfiguration möglich ist. Jede Umgebung ist jedoch eindeutig, und einige Netzwerkkonfigurationen können sich negativ auf die Erfolgsrate der direkten Verbindung auswirken. Befolgen Sie die Empfehlungen , um die Wahrscheinlichkeit eines direkten Datenflusses zu erhöhen.

Da RDP Shortpath UDP zum Einrichten eines Datenflusses verwendet, schlägt RDP Shortpath fehl, wenn eine Firewall in Ihrem Netzwerk UDP-Datenverkehr blockiert, und die Verbindung wird auf den TCP-basierten Reverse Connect-Transport zurückgesetzt. Azure Virtual Desktop verwendet STUN-Server, die von Azure Communication Services und Microsoft Teams bereitgestellt werden. Aufgrund der Art des Features ist eine ausgehende Konnektivität zwischen den Sitzungshosts und dem Client erforderlich. Leider können Sie in den meisten Fällen nicht vorhersagen, wo sich Ihre Benutzer befinden. Daher wird empfohlen, ausgehende UDP-Verbindungen von Ihren Sitzungshosts mit dem Internet zuzulassen. Um die Anzahl der erforderlichen Ports zu reduzieren, können Sie den Portbereich einschränken, der von Clients für den UDP-Fluss verwendet wird. Verwenden Sie die folgenden Tabellen als Referenz beim Konfigurieren von Firewalls für RDP Shortpath.

Wenn Ihre Umgebung symmetrische NAT verwendet, d. h. die Zuordnung einer einzelnen privaten Quell-IP:Port zu einer eindeutigen öffentlichen Ziel-IP:Port, können Sie eine Relayverbindung mit TURN verwenden. Dies ist der Fall, wenn Sie Azure Firewall und Azure NAT Gateway verwenden. Weitere Informationen zu NAT mit virtuellen Azure-Netzwerken finden Sie unter Quellnetzwerkadressenübersetzung mit virtuellen Netzwerken.

Wir haben einige allgemeine Empfehlungen für erfolgreiche Verbindungen mit RDP Shortpath für öffentliche Netzwerke. Weitere Informationen finden Sie unter Allgemeine Empfehlungen.

Wenn Benutzern RDP Shortpath sowohl für verwaltete Netzwerke als auch für öffentliche Netzwerke zur Verfügung steht, wird der erste gefundene Algorithmus verwendet. Der Benutzer verwendet die verbindung, die zuerst für diese Sitzung hergestellt wird. Weitere Informationen finden Sie unter Beispielszenarien.

Die folgenden Abschnitte enthalten die Quell-, Ziel- und Protokollanforderungen für Ihre Sitzungshosts und Clientgeräte, die zulässig sein müssen, damit RDP Shortpath funktioniert.

Hinweis

Ab dem 15. Juni wird Microsoft mit der Einführung eines neuen TURN-Relay-IP-Bereichs ( 51.5.0.0/16) in 40 Azure-Regionen beginnen. Dieser neue Bereich ist ausschließlich für Azure Virtual Desktop und Windows 365 vorgesehen und markiert einen Übergang vom zuvor freigegebenen Subnetz 20.202.0.0/16, das von Azure Communication Services verwendet wird. Das Upgrade wurde entwickelt, um RDP Shortpath für öffentliche Netzwerke (über TURN/Relay) zu verbessern und benutzern eine schnellere und zuverlässigere Konnektivität zu bieten.

Virtuelles Netzwerk des Sitzungshosts

In der folgenden Tabelle sind die Quell-, Ziel- und Protokollanforderungen für RDP Shortpath für Ihr virtuelles Netzwerk des Sitzungshosts aufgeführt.

Name	Quelle	Quellport	Ziel	Zielport	Protokoll	Aktion
Direkte STUN-Verbindung	VM-Subnetz	Any	Any	1024 – 65535 (Standardwert 49152-65535)	UDP	Zulassen
STUN/TURN-Relay	VM-Subnetz	Any	20.202.0.0/16	3478	UDP	Zulassen
STUN/TURN-Relay	VM-Subnetz	Any	51.5.0.0/16	3478	UDP	Zulassen

Clientnetzwerk

In der folgenden Tabelle sind die Quell-, Ziel- und Protokollanforderungen für Ihre Clientgeräte aufgeführt.

Name	Quelle	Quellport	Ziel	Zielport	Protokoll	Aktion
Direkte STUN-Verbindung	Clientnetzwerk	Any	Öffentliche IP-Adressen, die NAT Gateway oder Azure Firewall zugewiesen sind (vom STUN-Endpunkt bereitgestellt)	1024 – 65535 (Standardwert 49152-65535)	UDP	Zulassen
STUN/TURN-Relay	Clientnetzwerk	Any	20.202.0.0/16	3478	UDP	Zulassen
STUN/TURN-Relay	Clientnetzwerk	Any	51.5.0.0/16	3478	UDP	Zulassen

Hinweis

Ab dem 15. Juni wird der Datenverkehr schrittweise vom aktuellen TURN Relay-Bereich () von Azure Communication Service (20.202.0.0/16ACS) an das neu festgelegte Subnetz 51.5.0.0/16umgeleitet. Diese Verschiebung ist zwar so konzipiert, dass sie nahtlos erfolgt, es ist jedoch wichtig, dass Kunden vorab Umgehungsregeln für den neuen Bereich konfigurieren, um einen unterbrechungsfreien Dienst aufrechtzuerhalten. Wenn beide IP-Adressbereiche ordnungsgemäß umgangen werden, sollten Endbenutzer keine Verbindungsprobleme haben.

Teredo-Unterstützung

Teredo ist für RDP Shortpath zwar nicht erforderlich, fügt aber zusätzliche NAT-Traversalkandidaten hinzu und erhöht die Wahrscheinlichkeit einer erfolgreichen RDP Shortpath-Verbindung in reinen IPv4-Netzwerken. Informationen zum Aktivieren von Teredo auf Sitzungshosts und Clients finden Sie unter Aktivieren der Teredo-Unterstützung.

UPnP-Unterstützung

Um die Wahrscheinlichkeit einer direkten Verbindung zu verbessern, kann RDP Shortpath auf der Seite des Remotedesktopclients UPnP verwenden, um eine Portzuordnung auf dem NAT-Router zu konfigurieren. UPnP ist eine Standardtechnologie, die von verschiedenen Anwendungen wie Xbox, Übermittlungsoptimierung und Teredo verwendet wird. UPnP ist allgemein auf Routern verfügbar, die in der Regel in einem Heimnetzwerk zu finden sind. UPnP ist auf den meisten Heimroutern und Zugriffspunkten standardmäßig aktiviert, in Unternehmensnetzwerken jedoch häufig deaktiviert.

Allgemeine Empfehlungen

Hier sind einige allgemeine Empfehlungen für die Verwendung von RDP Shortpath für öffentliche Netzwerke:

• Vermeiden Sie die Verwendung von Tunnelerzwingungskonfigurationen, wenn Ihre Benutzer über das Internet auf Azure Virtual Desktop zugreifen.

• Stellen Sie sicher, dass Sie keine doppelten NAT- oder Carrier-Grade-NAT-Konfigurationen (CGN) verwenden.

• Empfehlen Sie Ihren Benutzern, UPnP nicht auf ihren Heimroutern zu deaktivieren.

• Vermeiden Sie die Verwendung von Cloudpaketüberprüfungsdiensten.

• Vermeiden Sie tcpbasierte VPN-Lösungen.

• Aktivieren Sie IPv6-Konnektivität oder Teredo.

Verbindungssicherheit

RDP Shortpath erweitert RDP-Multitransportfunktionen. Er ersetzt nicht den Reverse Connect-Transport, sondern ergänzt ihn. Das anfängliche Sitzungsbrokering wird über den Azure Virtual Desktop-Dienst und den Reverse Connect-Transport verwaltet. Alle Verbindungsversuche werden ignoriert, es sei denn, sie stimmen zuerst mit der Reverse Connect-Sitzung überein. RDP Shortpath wird nach der Authentifizierung eingerichtet. Nach erfolgreicher Einrichtung wird der Reverse Connect-Transport gelöscht, und der gesamte Datenverkehr fließt über den RDP Shortpath.

RDP Shortpath verwendet eine sichere Verbindung mit TLS über zuverlässiges UDP zwischen dem Client und dem Sitzungshost unter Verwendung der Zertifikate des Sitzungshosts. Standardmäßig wird das für die RDP-Verschlüsselung verwendete Zertifikat während der Bereitstellung vom Betriebssystem selbst generiert. Sie können auch zentral verwaltete Zertifikate bereitstellen, die von einer Unternehmenszertifizierungsstelle ausgestellt wurden. Weitere Informationen zu Zertifikatkonfigurationen finden Sie unter Zertifikatkonfigurationen für Remotedesktoplistener.

Hinweis

Die von RDP Shortpath gebotene Sicherheit ist identisch mit der Sicherheit, die vom TCP-Reverse-Verbindungstransport geboten wird.

Beispielszenarien

Im Folgenden finden Sie einige Beispielszenarien, die zeigen, wie Verbindungen ausgewertet werden, um zu entscheiden, ob RDP Shortpath für verschiedene Netzwerktopologien verwendet wird.

Szenario 1

Eine UDP-Verbindung kann nur zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) hergestellt werden. Eine direkte Verbindung, z. B. ein VPN, ist nicht verfügbar. UDP ist über eine Firewall oder ein NAT-Gerät zulässig.

Szenario 2

Eine Firewall oder ein NAT-Gerät blockiert eine direkte UDP-Verbindung, aber eine udp-Relayverbindung kann mithilfe von TURN zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) weitergeleitet werden. Eine weitere direkte Verbindung, z. B. ein VPN, ist nicht verfügbar.

Szenario 3

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder über eine direkte VPN-Verbindung hergestellt werden, aber RDP Shortpath für verwaltete Netzwerke ist nicht aktiviert. Wenn der Client die Verbindung initiiert, kann das ICE/STUN-Protokoll mehrere Routen sehen und jede Route auswerten und die Route mit der niedrigsten Latenz auswählen.

In diesem Beispiel wird eine UDP-Verbindung mit RDP Shortpath für öffentliche Netzwerke über die direkte VPN-Verbindung hergestellt, da sie die niedrigste Latenz aufweist, wie die grüne Linie zeigt.

Szenario 4

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind aktiviert. Zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder über eine direkte VPN-Verbindung eine UDP-Verbindung hergestellt werden. Wenn der Client die Verbindung initiiert, wird gleichzeitig versucht, eine Verbindung mithilfe von RDP Shortpath für verwaltete Netzwerke über Port 3390 (standardmäßig) und RDP Shortpath für öffentliche Netzwerke über das ICE/STUN-Protokoll herzustellen. Der Algorithmus für die erste Gefundene wird verwendet, und der Benutzer verwendet die verbindung, die zuerst für diese Sitzung hergestellt wird.

Da der Wechsel über ein öffentliches Netzwerk mehr Schritte umfasst, z. B. ein NAT-Gerät, ein Lastenausgleichsmodul oder ein STUN-Server, ist es wahrscheinlich, dass der zuerst gefundene Algorithmus die Verbindung mithilfe von RDP Shortpath für verwaltete Netzwerke auswählt und zuerst hergestellt wird.

Szenario 5

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder über eine direkte VPN-Verbindung hergestellt werden, aber RDP Shortpath für verwaltete Netzwerke ist nicht aktiviert. Um zu verhindern, dass ICE/STUN eine bestimmte Route verwendet, kann ein Administrator eine der Routen für UDP-Datenverkehr blockieren. Das Blockieren einer Route würde sicherstellen, dass der verbleibende Pfad immer verwendet wird.

In diesem Beispiel wird UDP für die direkte VPN-Verbindung blockiert, und das ICE/STUN-Protokoll stellt eine Verbindung über das öffentliche Netzwerk her.

Szenario 6

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind konfiguriert, eine UDP-Verbindung konnte jedoch nicht über eine direkte VPN-Verbindung hergestellt werden. Ein Firewall- oder NAT-Gerät blockiert auch eine direkte UDP-Verbindung über das öffentliche Netzwerk (Internet), aber eine udp-Relayverbindung kann mithilfe von TURN zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) weitergeleitet werden.

Szenario 7

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind konfiguriert, es konnte jedoch keine UDP-Verbindung hergestellt werden. In diesem instance schlägt RDP Shortpath fehl, und die Verbindung wird auf den TCP-basierten Reverse Connect-Transport zurückgesetzt.

Nächste Schritte

• Erfahren Sie, wie Sie RDP Shortpath konfigurieren.
• Weitere Informationen zur Netzwerkkonnektivität von Azure Virtual Desktop finden Sie unter Grundlegendes zur Netzwerkkonnektivität von Azure Virtual Desktop.
• Grundlegendes zu Netzwerkgebühren für ausgehenden Azure-Datenverkehr.
• Informationen zum Schätzen der von RDP verwendeten Bandbreite finden Sie unter RDP-Bandbreitenanforderungen.