Freigeben über


RDP Shortpath für Azure Virtual Desktop

RDP Shortpath richtet einen UDP-basierten Transport zwischen einem lokalen Gerät Windows App oder der Remotedesktop-App auf unterstützten Plattformen und sitzungshost in Azure Virtual Desktop ein. Standardmäßig beginnt das Remotedesktopprotokoll (RDP) einen TCP-basierten Reverse Connect-Transport und versucht dann, eine Remotesitzung mithilfe von UDP einzurichten. Wenn die UDP-Verbindung erfolgreich ist, wird die TCP-Verbindung getrennt, andernfalls wird die TCP-Verbindung als Fallbackverbindungsmechanismus verwendet.

UDP-basierter Transport bietet eine bessere Verbindungssicherheit und eine konsistentere Latenz. Der TCP-basierte Reverse Connect-Transport bietet die beste Kompatibilität mit verschiedenen Netzwerkkonfigurationen und hat eine hohe Erfolgsquote beim Einrichten von RDP-Verbindungen.

RDP Shortpath kann auf zwei Arten verwendet werden:

  1. Verwaltete Netzwerke, in denen eine direkte Konnektivität zwischen dem Client und dem Sitzungshost hergestellt wird, wenn eine private Verbindung verwendet wird, z. B. Azure ExpressRoute oder ein Site-to-Site-VPN (Virtual Private Network). Eine Verbindung mit einem verwalteten Netzwerk wird auf eine der folgenden Arten hergestellt:

    1. Eine direkte UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost, bei der Sie den RDP Shortpath-Listener aktivieren und einem eingehenden Port auf jedem Sitzungshost erlauben müssen, Verbindungen zu akzeptieren.

    2. Eine direkte UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost unter Verwendung des STUN-Protokolls (Simple Traversal Underneath NAT) zwischen einem Client und einem Sitzungshost. Eingehende Ports auf dem Sitzungshost müssen nicht zulässig sein.

  2. Öffentliche Netzwerke, in denen eine direkte Konnektivität zwischen dem Client und dem Sitzungshost hergestellt wird, wenn eine öffentliche Verbindung verwendet wird. Bei Verwendung einer öffentlichen Verbindung gibt es zwei Verbindungstypen, die hier in der bevorzugten Reihenfolge aufgeführt sind:

    1. Eine direkte UDP-Verbindung mit dem STUN-Protokoll (Simple Traversal Underneath NAT) zwischen einem Client und einem Sitzungshost.

    2. Eine weitergeleitete UDP-Verbindung, die das TURN-Protokoll (Traversal Using Relay NAT) zwischen einem Client und einem Sitzungshost verwendet.

Der für RDP Shortpath verwendete Transport basiert auf dem Universal Rate Control Protocol (URCP). URCP verbessert UDP mit aktiver Überwachung der Netzwerkbedingungen und bietet eine faire und vollständige Linknutzung. URCP arbeitet bei Bedarf mit geringen Verzögerungs- und Verluststufen.

Wichtig

  • RDP Shortpath für öffentliche Netzwerke über STUN für Azure Virtual Desktop ist in der öffentlichen Azure-Cloud und Azure Government Cloud verfügbar.
  • RDP Shortpath für öffentliche Netzwerke über TURN für Azure Virtual Desktop ist nur in der öffentlichen Azure-Cloud verfügbar.

Hauptvorteile

Die Verwendung von RDP Shortpath hat die folgenden wichtigsten Vorteile:

  • Die Verwendung von URCP zur Verbesserung von UDP erzielt die beste Leistung durch dynamisches Lernen von Netzwerkparametern und Bereitstellen eines Mechanismus zur Ratensteuerung für das Protokoll.

  • Höherer Durchsatz.

  • Wenn Sie STUN verwenden, reduziert das Entfernen zusätzlicher Relaypunkte die Roundtripzeit und verbessert die Zuverlässigkeit der Verbindung und die Benutzererfahrung mit latenzempfindlichen Anwendungen und Eingabemethoden.

  • Für verwaltete Netzwerke:

    • RDP Shortpath bietet Unterstützung für die Konfiguration der QoS-Priorität (Quality of Service) für RDP-Verbindungen über DSCP-Markierungen (Differenzierte Dienste Code Point).

    • Der RDP Shortpath-Transport ermöglicht das Einschränken des ausgehenden Netzwerkdatenverkehrs durch Angabe einer Drosselungsrate für jede Sitzung.

Funktionsweise von RDP Shortpath

Um zu erfahren, wie RDP Shortpath für verwaltete Netzwerke und öffentliche Netzwerke funktioniert, wählen Sie jede der folgenden Registerkarten aus.

Sie können die direkte Sichtverbindung erreichen, die für die Verwendung von RDP Shortpath mit verwalteten Netzwerken erforderlich ist, indem Sie die folgenden Methoden verwenden.

Eine direkte Sichtverbindung bedeutet, dass der Client eine direkte Verbindung mit dem Sitzungshost herstellen kann, ohne von Firewalls blockiert zu werden.

Hinweis

Wenn Sie andere VPN-Typen verwenden, um eine Verbindung mit Azure herzustellen, empfehlen wir die Verwendung eines UDP-basierten VPN. Obwohl die meisten TCP-basierten VPN-Lösungen geschachteltes UDP unterstützen, fügen sie den geerbten Mehraufwand der TCP-Überlastungssteuerung hinzu, was die RDP-Leistung verlangsamt.

Um RDP Shortpath für verwaltete Netzwerke verwenden zu können, müssen Sie einen UDP-Listener auf Ihren Sitzungshosts aktivieren. Standardmäßig wird Port 3390 verwendet, obwohl Sie einen anderen Port verwenden können.

Das folgende Diagramm bietet eine allgemeine Übersicht über die Netzwerkverbindungen bei Verwendung von RDP Shortpath für verwaltete Netzwerke und Sitzungshosts, die in eine Active Directory-Domäne eingebunden sind.

Diagramm der Netzwerkverbindungen bei Verwendung von RDP Shortpath für verwaltete Netzwerke.

Verbindungssequenz

Alle Verbindungen beginnen mit dem Einrichten eines TCP-basierten Reverse Connect-Transports über das Azure Virtual Desktop-Gateway. Anschließend richten der Client und der Sitzungshost den anfänglichen RDP-Transport ein und beginnen mit dem Austausch ihrer Funktionen. Diese Funktionen werden mithilfe des folgenden Prozesses ausgehandelt:

  1. Der Sitzungshost sendet die Liste seiner IPv4- und IPv6-Adressen an den Client.

  2. Der Client startet den Hintergrundthread, um einen parallelen UDP-basierten Transport direkt zu einer der IP-Adressen des Sitzungshosts einzurichten.

  3. Während der Client die angegebenen IP-Adressen testiert, wird die anfängliche Verbindung über den Reverse Connect-Transport hergestellt, um sicherzustellen, dass die Benutzerverbindung nicht verzögert wird.

  4. Wenn der Client über eine direkte Verbindung mit dem Sitzungshost verfügt, stellt der Client eine sichere Verbindung mithilfe von TLS über zuverlässiges UDP her.

  5. Nach dem Einrichten des RDP Shortpath-Transports werden alle dynamischen virtuellen Kanäle (Dynamic Virtual Channels, DVCs), einschließlich Remotegrafiken, Eingaben und Geräteumleitung, in den neuen Transport verschoben. Wenn jedoch eine Firewall- oder Netzwerktopologie verhindert, dass der Client direkte UDP-Verbindungen herstellt, fährt RDP mit einem Reverse Connect-Transport fort.

Wenn Ihren Benutzern sowohl RDP Shortpath für verwaltete Netzwerke als auch öffentliche Netzwerke zur Verfügung stehen, wird der erste gefundene Algorithmus verwendet. Der Benutzer verwendet die verbindung, die zuerst für diese Sitzung hergestellt wird.

Verbindungssicherheit

RDP Shortpath erweitert RDP-Multitransportfunktionen. Er ersetzt nicht den Reverse Connect-Transport, sondern ergänzt ihn. Das anfängliche Sitzungsbrokering wird über den Azure Virtual Desktop-Dienst und den Reverse Connect-Transport verwaltet. Alle Verbindungsversuche werden ignoriert, es sei denn, sie stimmen zuerst mit der Reverse Connect-Sitzung überein. RDP Shortpath wird nach der Authentifizierung eingerichtet. Nach erfolgreicher Einrichtung wird der Reverse Connect-Transport gelöscht, und der gesamte Datenverkehr fließt über den RDP Shortpath.

RDP Shortpath verwendet eine sichere Verbindung mit TLS über zuverlässiges UDP zwischen dem Client und dem Sitzungshost unter Verwendung der Zertifikate des Sitzungshosts. Standardmäßig wird das für die RDP-Verschlüsselung verwendete Zertifikat während der Bereitstellung vom Betriebssystem selbst generiert. Sie können auch zentral verwaltete Zertifikate bereitstellen, die von einer Unternehmenszertifizierungsstelle ausgestellt wurden. Weitere Informationen zu Zertifikatkonfigurationen finden Sie unter Zertifikatkonfigurationen für Remotedesktoplistener.

Hinweis

Die von RDP Shortpath gebotene Sicherheit ist identisch mit der Sicherheit, die vom TCP-Reverse-Verbindungstransport geboten wird.

Beispielszenarien

Im Folgenden finden Sie einige Beispielszenarien, die zeigen, wie Verbindungen ausgewertet werden, um zu entscheiden, ob RDP Shortpath für verschiedene Netzwerktopologien verwendet wird.

Szenario 1

Eine UDP-Verbindung kann nur zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) hergestellt werden. Eine direkte Verbindung, z. B. ein VPN, ist nicht verfügbar. UDP ist über eine Firewall oder ein NAT-Gerät zulässig.

Diagramm, das zeigt, wie RDP Shortpath für öffentliche Netzwerke STUN verwendet.

Szenario 2

Eine Firewall oder ein NAT-Gerät blockiert eine direkte UDP-Verbindung, aber eine udp-Relayverbindung kann mithilfe von TURN zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) weitergeleitet werden. Eine weitere direkte Verbindung, z. B. ein VPN, ist nicht verfügbar.

Diagramm, das RDP Shortpath für öffentliche Netzwerke zeigt, die TURN verwendet.

Szenario 3

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder über eine direkte VPN-Verbindung hergestellt werden, aber RDP Shortpath für verwaltete Netzwerke ist nicht aktiviert. Wenn der Client die Verbindung initiiert, kann das ICE/STUN-Protokoll mehrere Routen sehen und jede Route auswerten und die Route mit der niedrigsten Latenz auswählen.

In diesem Beispiel wird eine UDP-Verbindung mit RDP Shortpath für öffentliche Netzwerke über die direkte VPN-Verbindung hergestellt, da sie die niedrigste Latenz aufweist, wie die grüne Linie zeigt.

Diagramm, das eine UDP-Verbindung mit RDP Shortpath für öffentliche Netzwerke über die direkte VPN-Verbindung zeigt, wird hergestellt, da sie die niedrigste Latenz aufweist.

Szenario 4

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind aktiviert. Zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder über eine direkte VPN-Verbindung eine UDP-Verbindung hergestellt werden. Wenn der Client die Verbindung initiiert, wird gleichzeitig versucht, eine Verbindung mithilfe von RDP Shortpath für verwaltete Netzwerke über Port 3390 (standardmäßig) und RDP Shortpath für öffentliche Netzwerke über das ICE/STUN-Protokoll herzustellen. Der Algorithmus für die erste Gefundene wird verwendet, und der Benutzer verwendet die verbindung, die zuerst für diese Sitzung hergestellt wird.

Da der Wechsel über ein öffentliches Netzwerk mehr Schritte umfasst, z. B. ein NAT-Gerät, ein Lastenausgleichsmodul oder ein STUN-Server, ist es wahrscheinlich, dass der zuerst gefundene Algorithmus die Verbindung mithilfe von RDP Shortpath für verwaltete Netzwerke auswählt und zuerst hergestellt wird.

Diagramm, das zeigt, dass der zuerst gefundene Algorithmus die Verbindung mithilfe von RDP Shortpath für verwaltete Netzwerke auswählt und zuerst hergestellt wird.

Szenario 5

Eine UDP-Verbindung zwischen dem Clientgerät und dem Sitzungshost kann über ein öffentliches Netzwerk oder über eine direkte VPN-Verbindung hergestellt werden, aber RDP Shortpath für verwaltete Netzwerke ist nicht aktiviert. Um zu verhindern, dass ICE/STUN eine bestimmte Route verwendet, kann ein Administrator eine der Routen für UDP-Datenverkehr blockieren. Das Blockieren einer Route würde sicherstellen, dass der verbleibende Pfad immer verwendet wird.

In diesem Beispiel wird UDP für die direkte VPN-Verbindung blockiert, und das ICE/STUN-Protokoll stellt eine Verbindung über das öffentliche Netzwerk her.

Diagramm, das zeigt, dass UDP für die direkte VPN-Verbindung blockiert ist und das ICE/STUN-Protokoll eine Verbindung über das öffentliche Netzwerk herstellt.

Szenario 6

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind konfiguriert, eine UDP-Verbindung konnte jedoch nicht über eine direkte VPN-Verbindung hergestellt werden. Ein Firewall- oder NAT-Gerät blockiert auch eine direkte UDP-Verbindung über das öffentliche Netzwerk (Internet), aber eine udp-Relayverbindung kann mithilfe von TURN zwischen dem Clientgerät und dem Sitzungshost über ein öffentliches Netzwerk (Internet) weitergeleitet werden.

Diagramm, das zeigt, dass UDP für die direkte VPN-Verbindung blockiert ist und auch eine direkte Verbindung über ein öffentliches Netzwerk fehlschlägt. TURN leitet die Verbindung über das öffentliche Netzwerk weiter.

Szenario 7

Sowohl RDP Shortpath für öffentliche Netzwerke als auch verwaltete Netzwerke sind konfiguriert, es konnte jedoch keine UDP-Verbindung hergestellt werden. In diesem instance schlägt RDP Shortpath fehl, und die Verbindung wird auf den TCP-basierten Reverse Connect-Transport zurückgesetzt.

Diagramm, das zeigt, dass eine UDP-Verbindung nicht hergestellt werden konnte. In diesem instance schlägt RDP Shortpath fehl, und die Verbindung wird auf den TCP-basierten Reverse Connect-Transport zurückgesetzt.

Nächste Schritte