Configuración de RDP Shortpath para Azure Virtual Desktop

Importante

El uso de RDP Shortpath para redes públicas con TURN para Azure Virtual Desktop se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

RDP Shortpath es una característica de Azure Virtual Desktop que establece un transporte basado en UDP directo entre un cliente de Escritorio remoto de Windows admitido y el host de sesión. En este artículo se muestra cómo configurar RDP Shortpath para redes administradas y públicas. Para obtener más información, consulte RDP Shortpath.

Importante

RDP Shortpath solo está disponible en la nube pública de Azure.

Requisitos previos

Para poder habilitar RDP Shortpath, deberá cumplir los requisitos previos. Seleccione una pestaña para su escenario.

Redes administradas

• Un dispositivo cliente que ejecuta el cliente de Escritorio remoto para Windows, versión 1.2.3488 o posterior. Actualmente, no se admiten clientes que no sean Windows.

• Conectividad directa de línea de visión entre el cliente y el host de sesión. Tener conectividad directa de línea de visión significa que el cliente puede conectarse directamente al host de sesión en el puerto 3390 (valor predeterminado) sin que los bloqueen los firewalls (incluido el Firewall de Windows) o el grupo de seguridad de red, además de usar una red administrada como:

  • Emparejamiento privado de ExpressRoute.

  • VPN de sitio a sitio o de punto a sitio (IPsec), como Azure VPN Gateway.

Redes públicas

Sugerencia

RDP Shortpath para redes públicas con STUN o TURN funcionará automáticamente, sin ninguna configuración adicional, siempre que las redes y los firewalls permitan el tráfico y que la configuración de transporte de RDP en el sistema operativo Windows para los hosts de sesión y los clientes usen sus valores predeterminados. Los pasos de la configuración de RDP Shortpath en redes públicas se proporcionan a los hosts de sesión y a los clientes en caso de que se hayan cambiado estos valores predeterminados.

• Un dispositivo cliente que ejecuta el cliente de Escritorio remoto para Windows, versión 1.2.3488 o posterior. Actualmente, no se admiten clientes que no sean Windows.

• Acceso a Internet para los clientes y los hosts de sesión. Los hosts de sesión requieren conectividad UDP saliente desde los hosts de sesión a Internet o conexiones a servidores STUN y TURN. Para reducir el número de puertos necesarios, puede limitar el rango de puertos que usan los clientes para las redes públicas.

  Si el entorno usa un NAT simétrico, se puede usar una conexión indirecta con TURN. Para más información para configurar firewalls y grupos de seguridad de red, consulte Configuraciones de red para RDP Shortpath.

• Compruebe que el cliente puede conectarse a los puntos de conexión de STUN y TURN, y que la funcionalidad básica de UDP funcione mediante la ejecución del archivo ejecutable avdnettest.exe. Para ver cómo hacerlo, consulte Comprobación de la conectividad del servidor STUN/TURN y el tipo NAT.

• Para usar TURN, la conexión desde el cliente debe estar dentro de una ubicación compatible. Para obtener una lista de las regiones de Azure en que TURN está disponible, consulte regiones de Azure admitidas con disponibilidad TURN.

Importante

• Durante la versión preliminar, TURN solo está disponible para las conexiones a los hosts de sesión de un grupo de hosts de validación. Para configurar el grupo de hosts como entorno de validación, consulte Definición del grupo de hosts como entorno de validación.

• RDP Shortpath para redes públicas con TURN solo está disponible en la nube pública de Azure.

Habilitación de RDP Shortpath

Los pasos para habilitar RDP Shortpath difieren para los hosts de sesión dependiendo de si desea habilitarlo en redes administradas o redes públicas, pero son los mismos para los clientes. Seleccione una pestaña para su escenario.

Hosts de sesión

Redes administradas

Si quiere habilitar RDP Shortpath para redes administradas, debe habilitar el agente de escucha de RDP Shortpath en el host de sesión. Puede hacerlo con una directiva de grupo, ya sea de manera centralizada desde su dominio o localmente. La primera opción es para los hosts de sesión que están unidos a un dominio de Active Directory (AD) y la segunda para los que están unidos a Microsoft Entra ID.

1. Descargue el plantilla administrativa de Azure Virtual Desktop y extraiga el contenido de los archivos .cab y .zip.

2. En función de si desea configurar una directiva de grupo de forma centralizada desde el dominio de AD o localmente para cada host de sesión:

   1. Dominio de AD: copie y pegue el archivo terminalserver-avd.admx en el almacén central del dominio, por ejemplo \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions, en el que contoso.com es el nombre de dominio. A continuación, copie el archivo en-us\terminalserver-avd.adml en la subcarpeta en-us.

   2. Abra la consola de administración de la directiva de grupo (GPMC) y cree o edite una directiva destinada a los hosts de sesión.

   3. Localmente: copie y pegue el archivo terminalserver-avd.admx en %windir%\PolicyDefinitions. A continuación, copie el archivo en-us\terminalserver-avd.adml en la subcarpeta en-us.

   4. Abra el Editor de la directiva de grupo local en el host de sesión.

3. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Servicios de escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop. Debería ver la configuración de directiva de Azure Virtual Desktop, como se muestra en la captura de pantalla siguiente:

   

4. Abra la configuración de directiva Habilitar RDP Shortpath para redes administradas y establézcala en Habilitada. Si habilita esta configuración de directiva, también puede configurar el número de puerto que el host de sesión de Azure Virtual Desktop usará para escuchar las conexiones entrantes. El puerto predeterminado es 3390.

5. Si debe configurar el Firewall de Windows para permitir el puerto 3390, ejecute uno de los siguientes comandos, en función de si desea configurar el Firewall de Windows mediante la directiva de grupo centralmente desde el dominio de AD o localmente para cada host de sesión:

   1. Dominio de AD: abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando, reemplazando el valor de $domainName por su propio nombre de dominio, el valor de $writableDC por el nombre de host de un controlador de dominio en el que se pueda escribir y el valor de $policyName por el nombre de un objeto de directiva de grupo existente:

      $domainName = "contoso.com"
      $writableDC = "dc01"
      $policyName = "RDP Shortpath Policy"
      $gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC
      
      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession
      
      Save-NetGPO -GPOSession $gpoSession
      

   2. Localmente: abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True
      

6. Seleccione Aceptar y reinicie los hosts de sesión para aplicar la configuración de directiva.

Redes públicas

Si necesita configurar los hosts de sesión y los clientes con el fin de habilitar RDP Shortpath para redes públicas porque se cambiaron sus valores predeterminados, siga estos pasos. Puede hacerlo con una directiva de grupo, ya sea de manera centralizada desde su dominio o localmente. La primera opción es para los hosts de sesión que están unidos a un dominio de Active Directory (AD) y la segunda para los que están unidos a Microsoft Entra ID.

1. En función de si desea configurar una directiva de grupo de forma centralizada desde el dominio de AD o localmente para cada host de sesión:

   1. Dominio de AD: abra la consola de administración de la directiva de grupo (GPMC) y cree o edite una directiva destinada a los hosts de sesión.

   2. Localmente: abra el editor de la directiva de grupo local en el host de sesión.

2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Servicios de escritorio remoto>Host de sesión de Escritorio remoto>Conexiones.

3. Abra la configuración de directiva Seleccionar protocolos de transporte RDP. Establézcalo en Habilitado y, a continuación, en Seleccionar tipo de transporte, seleccione Usar UDP y TCP.

4. Seleccione Aceptar y reinicie los hosts de sesión para aplicar la configuración de directiva.

Clientes Windows

Los pasos para asegurarse de que los clientes están configurados correctamente son los mismos, independientemente de si desea usar RDP Shortpath para redes administradas o públicas. Puede hacerlo mediante la directiva de grupo para clientes administrados unidos a un dominio de Active Directory, Intune para clientes administrados unidos a Microsoft Entra ID e inscritos en Intune o la directiva de grupo local para los clientes que no estén administrados.

Nota:

De manera predeterminada en Windows, el tráfico RDP intentará usar protocolos TCP y UDP. Solo tendrá que seguir estos pasos si el cliente se ha configurado previamente para usar solo TCP.

Habilitación de RDP Shortpath en clientes Windows administrados y no administrados mediante una directiva de grupo

Para configurar clientes Windows administrados y no administrados mediante una directiva de grupo:

1. En función de si desea configurar clientes administrados o no administrados:

   1. Para los clientes administrados, abra la consola de administración de la directiva de grupo (GPMC) y cree o edite una directiva destinada a los clientes.

   2. En el caso de los clientes no administrados, abra Editor de directivas de grupo local en el cliente.

2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Cliente de conexión a Escritorio remoto.

3. Abra la configuración de directiva Desactivar UDP en el cliente y establézcala en Deshabilitado.

4. Seleccione Aceptar y reinicie los clientes para aplicar la configuración de directiva.

Habilitación de RDP Shortpath en clientes Windows mediante Intune

Para configurar clientes Windows administrados mediante Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 o versiones posteriores mediante plantillas administrativas.

3. Vaya a Configuración del equipo>Componentes de Windows>Servicios de Escritorio remoto>Cliente de conexión al Escritorio remoto.

4. Seleccione la opción Desactivar UDP en el cliente y establézcalo en Deshabilitado.

5. Seleccione Aceptar y, a continuación, Siguiente.

6. Aplique el perfil de configuración y reinicie los clientes.

Compatibilidad con Teredo

Aunque no es necesario para RDP Shortpath, Teredo agrega candidatos de recorrido NAT adicionales y aumenta la posibilidad de que la conexión RDP Shortpath sea correcta en redes de solo IPv4. Puede habilitar Teredo en los hosts de sesión y los clientes si ejecuta el siguiente comando desde un símbolo del sistema de PowerShell con privilegios elevados:

Set-NetTeredoConfiguration -Type Enterpriseclient

Comprobación de que RDP Shortpath funciona

A continuación, deberá asegurarse de que los clientes se conectan mediante RDP Shortpath. Puede comprobar el transporte con el cuadro de diálogo Información de conexión desde el cliente de Escritorio remoto o mediante Log Analytics.

Cuadro de diálogo Información de conexión

Para asegurarse de que las conexiones usan RDP Shortpath, puede comprobar la información de conexión en el cliente. Seleccione una pestaña para su escenario.

Redes administradas

1. Conexión a Azure Virtual Desktop.

2. Abra el cuadro de diálogo Información de conexión. Para ello, vaya a la barra de herramientas Conexión de la parte superior de la pantalla y seleccione el icono de intensidad de la señal, como se muestra en la captura de pantalla siguiente:

   

3. Puede comprobar en la salida que el protocolo de transporte sea UDP (red privada), como se muestra en la captura de pantalla siguiente:

   

Redes públicas

1. Conexión a Azure Virtual Desktop.

2. Abra el cuadro de diálogo Información de conexión. Para ello, vaya a la barra de herramientas Conexión de la parte superior de la pantalla y seleccione el icono de intensidad de la señal, como se muestra en la captura de pantalla siguiente:

   

3. Puede comprobar en la salida que UDP esté habilitado, como se muestra en la captura de pantalla siguiente.

   1. Si se usa STUN, el protocolo de transporte es UDP:

      

   2. Si se usa TURN, el protocolo de transporte es UDP (Retransmisión):

      

Visor de eventos

Para asegurarse de que las conexiones usan RDP Shortpath, puede comprobar los registros de eventos en el host de sesión:

1. Conexión a Azure Virtual Desktop.

2. En el host de sesión, abra Visor de eventos.

3. Vaya a Registros de aplicaciones y servicios>Microsoft>Windows>RemoteDesktopServices-RdpCoreCDV>Operativo.

4. Filtrado por el id. evento 135. Las conexiones que usan RDP Shortpath indicarán que el tipo de transporte usa UDP con el mensaje La conexión multitransporte finalizada para el túnel: 1, su tipo de transporte establecido en UDP.

Log Analytics

Si usa Azure Log Analytics, puede supervisar las conexiones al consultar la tabla WVDConnections. Una columna denominada UdpUse indica si la pila de RDP de Azure Virtual Desktop usa el protocolo UDP en la conexión de usuario actual. Los valores posibles son:

• 1: la conexión de usuario usa RDP Shortpath para redes administradas.

• 2: La conexión de usuario usa RDP Shortpath para redes administradas usando STUN directamente.

• 4: La conexión de usuario usa RDP Shortpath para redes administradas usando TURN indirectamente.

• Para cualquier otro valor, la conexión de usuario no usa RDP Shortpath y está conectada mediante TCP.

La siguiente consulta le permite examinar la información de conexión. Puede ejecutar esta consulta en el editor de consultas de Log Analytics. En todas las consultas, reemplace user@contoso.com por el UPN del usuario que desee buscar.

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

Puede comprobar si RDP Shortpath está habilitado para una sesión de usuario específica mediante la ejecución de la siguiente consulta de Log Analytics:

WVDCheckpoints 
| where Name contains "Shortpath"

Para saber más sobre la información de error que puede ver en Log Analytics,

Deshabilitación de RDP Shortpath

Los pasos para deshabilitar RDP Shortpath difieren para los hosts de sesión dependiendo de si desea deshabilitarlo solo en redes administradas, solo en redes públicas o ambas. Seleccione una pestaña para su escenario.

Hosts de sesión

Redes administradas

Si quiere deshabilitar RDP Shortpath para redes administradas, en el host de sesión, debe deshabilitar el agente de escucha de RDP Shortpath. Puede hacerlo con una directiva de grupo, ya sea de manera centralizada desde el dominio o localmente. La primera opción es para los hosts de sesión que están unidos a un dominio de AD y la segunda para los que están unidos a Microsoft Entra ID.

Como alternativa, puede bloquear el puerto 3390 (valor predeterminado) en los hosts de sesión de un firewall o grupo de seguridad de red.

1. En función de si desea configurar una directiva de grupo de forma centralizada desde el dominio o localmente para cada host de sesión:

   1. Dominio de AD: abra la consola de administración de la directiva de grupo (GPMC) y edite la directiva existente destinada a los hosts de sesión.

   2. Localmente: abra el editor de la directiva de grupo local en el host de sesión.

2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Servicios de escritorio remoto>Host de sesión de Escritorio remoto>Azure Virtual Desktop. Debería ver la configuración de directiva de Azure Virtual Desktop, siempre que tenga la plantilla administrativa desde la que habilitó RDP Shortpath para redes administradas.

3. Abra la configuración de directiva Habilitar RDP Shortpath para redes administradas y establézcala en No configurada.

4. Seleccione Aceptar y reinicie los hosts de sesión para aplicar la configuración de directiva.

Redes públicas

Para deshabilitar RDP Shortpath para redes públicas en los hosts de sesión, puede establecer protocolos de transporte RDP para permitir solo TCP. Puede hacerlo con una directiva de grupo, ya sea de manera centralizada desde el dominio o localmente. La primera opción es para los hosts de sesión que están unidos a un dominio de AD y la segunda para los que están unidos a Microsoft Entra ID.

Precaución

Esto también deshabilitará RDP Shortpath para redes administradas.

Como alternativa, si desea deshabilitar RDP Shortpath solo para las redes públicas, deberá bloquear el acceso a los puntos de conexión de STUN en un firewall o un grupo de seguridad de red. Las direcciones IP de los puntos de conexión de STUN se pueden encontrar en la tabla de la red virtual del host de sesión.

1. En función de si desea configurar una directiva de grupo de forma centralizada desde el dominio o localmente para cada host de sesión:

   1. Dominio de AD: abra la consola de administración de la directiva de grupo (GPMC) y edite la directiva existente destinada a los hosts de sesión.

   2. Localmente: abra el editor de la directiva de grupo local en el host de sesión.

2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Servicios de escritorio remoto>Host de sesión de Escritorio remoto>Conexiones.

3. Abra la configuración de directiva Seleccionar protocolos de transporte RDP. Establézcalo en Habilitado y, a continuación, en Seleccionar tipo de transporte, seleccione Usar solo TCP.

4. Seleccione Aceptar y reinicie los hosts de sesión para aplicar la configuración de directiva.

Clientes Windows

En los dispositivos cliente, puede deshabilitar RDP Shortpath para las redes administradas y públicas si configura el tráfico RDP para que solo use TCP. Puede hacerlo mediante la directiva de grupo para clientes administrados unidos a un dominio de Active Directory, Intune para clientes administrados unidos a Microsoft Entra ID e inscritos en Intune o la directiva de grupo local para los clientes que no estén administrados.

Importante

Si ha establecido previamente el tráfico RDP para intentar usar protocolos TCP y UDP mediante la directiva de grupo o Intune, asegúrese de que la configuración no entre en conflicto.

Deshabilitación de RDP Shortpath en clientes Windows administrados y no administrados mediante una directiva de grupo

Para configurar clientes Windows administrados y no administrados mediante una directiva de grupo:

1. En función de si desea configurar clientes administrados o no administrados:

   1. Para los clientes administrados, abra la consola de administración de la directiva de grupo (GPMC) y cree o edite una directiva destinada a los clientes.

   2. En el caso de los clientes no administrados, abra Editor de directivas de grupo local en el cliente.

2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Cliente de conexión a Escritorio remoto.

3. Abra la configuración de directiva Desactivar UDP en el cliente y establézcala en Habilitado.

4. Seleccione Aceptar y reinicie los clientes para aplicar la configuración de directiva.

Deshabilitación de RDP Shortpath en clientes Windows mediante Intune

Para configurar clientes Windows administrados mediante Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 o versiones posteriores mediante plantillas administrativas.

3. Vaya a Componentes de Windows>Servicios de Escritorio remoto >Cliente de conexión a Escritorio remoto.

4. Seleccione la opción Desactivar UDP en el cliente y establézcalo en Habilitado. Seleccione Aceptar y, a continuación, Siguiente.

5. Aplique el perfil de configuración y reinicie los clientes.

Pasos siguientes

• Obtenga información sobre cómo limitar el intervalo de puertos que usan los clientes mediante RDP Shortpath para redes públicas.
• Si tiene problemas para establecer una conexión mediante el transporte de RDP Shortpath para redes públicas, consulte Solución de problemas de RDP Shortpath.