Directrices del servidor proxy en Azure Virtual Desktop
En este artículo se muestra cómo usar un servidor proxy con Azure Virtual Desktop. Las recomendaciones de este artículo solo se aplican a las conexiones entre los agentes de host de sesión, el cliente y la infraestructura de Azure Virtual Desktop. En este artículo no se explica la conectividad de red para Office, Windows 10, FSLogix u otras aplicaciones de Microsoft.
¿Qué son los servidores proxy?
Se recomienda omitir los servidores proxy para el tráfico de Azure Virtual Desktop. Los servidores proxy no aumentan la seguridad de Azure Virtual Desktop. Esto se debe a que el tráfico ya está cifrado. Para obtener más información sobre la seguridad de conexión, consulte Seguridad de conexión.
La mayoría de los servidores proxy no están diseñados para admitir conexiones WebSocket de larga duración y pueden afectar a la estabilidad de las conexiones. La escalabilidad del servidor proxy también provoca problemas porque Azure Virtual Desktop usa varias conexiones a largo plazo. Si usa servidores proxy, deben tener el tamaño adecuado para ejecutar estas conexiones.
Si la zona geográfica del servidor proxy está lejos del host, esta distancia provocará más latencia en las conexiones de los usuarios. Una mayor latencia significa un tiempo de conexión más lento y una experiencia del usuario deficiente, especialmente en escenarios que necesitan elementos gráficos, audio o interacciones de baja latencia con dispositivos de entrada. Si debe usar un servidor proxy, tenga en cuenta que debe colocar el servidor en la misma ubicación geográfica que el agente y el cliente de Azure Virtual Desktop.
Si configura el servidor proxy como la única ruta de acceso que debe tomar el tráfico de Azure Virtual Desktop, los datos del protocolo de escritorio remoto (RDP) se forzarán mediante el protocolo de control de transmisión (TCP) en lugar del protocolo de datagramas de usuario (UDP). Este movimiento reduce la calidad visual y la capacidad de respuesta de la conexión remota.
En resumen, no se recomienda usar servidores proxy en Azure Virtual Desktop porque provoca problemas relacionados con el rendimiento debido a la degradación de la latencia y a la pérdida de paquetes.
Omisión de un servidor proxy
Si las directivas de red y seguridad de la organización requieren servidores proxy para el tráfico web, puede configurar el entorno para omitir las conexiones de Azure Virtual Desktop mientras sigue enrutando el tráfico a través del servidor proxy. Sin embargo, las directivas de cada organización son únicas, por lo que algunos métodos pueden funcionar mejor para la implementación que otros. Estos son algunos métodos de configuración que puede intentar para evitar la pérdida de rendimiento y confiabilidad en el entorno:
- Etiquetas de servicio de Azure con Azure Firewall
- Omisión del servidor proxy mediante los archivos de configuración automática de proxy (
.PAC) - Lista de omisión en la configuración del proxy local
- Uso de servidores proxy para la configuración por usuario
- Uso de RDP Shortpath para la conexión RDP mientras se mantiene el tráfico de servicio a través del proxy
Recomendaciones para usar servidores proxy
Algunas organizaciones requieren que todo el tráfico de usuario pase a través de un servidor proxy para el seguimiento o la inspección de paquetes. En esta sección se describe cómo se recomienda configurar el entorno en estos casos.
Uso de servidores proxy en la misma ubicación geográfica de Azure
Cuando se usa un servidor proxy, se controla toda la comunicación con la infraestructura de Azure Virtual Desktop y se realiza la resolución DNS y el enrutamiento Anycast a la red de Azure Front Door. Si los servidores proxy están distantes o distribuidos en una zona geográfica de Azure, la resolución geográfica será menos precisa. Una resolución geográfica menos precisa significa que las conexiones se enrutarán a un clúster de Azure Virtual Desktop remoto. Para evitar este problema, use solo servidores proxy que estén geográficamente cerca de su clúster de Azure Virtual Desktop.
Uso de RDP Shortpath para redes administradas para la conectividad de escritorio
Al habilitar RDP Shortpath para redes administradas, los datos RDP omitirán el servidor proxy, si es posible. Omitir el servidor proxy garantiza un enrutamiento óptimo al usar el transporte UDP. Otro tipo de tráfico de Azure Virtual Desktop, como la intermediación, la orquestación y el diagnóstico seguirán pasando por el servidor proxy.
No use la terminación SSL en el servidor proxy
El protocolo Capa de sockets seguros terminación (SSL) reemplaza los certificados de seguridad de los componentes de Azure Virtual Desktop por certificados generados por el servidor proxy. Esta característica de servidor proxy permite la inspección de paquetes para el tráfico HTTPS en el servidor proxy. Sin embargo, la inspección de paquetes también aumenta el tiempo de respuesta del servicio, lo que provoca que los usuarios tarden más tiempo en iniciar sesión. En escenarios de conexión inversa, la inspección de paquetes de tráfico RDP no es necesaria porque el tráfico RDP de conexión inversa es binario y usa niveles adicionales de cifrado.
Si configura el servidor proxy para que use la inspección SSL, recuerde que no puede revertir el servidor a su estado original después de que la inspección de SSL realice cambios. Si algo en el entorno de Azure Virtual Desktop deja de funcionar mientras tiene habilitada la inspección SSL, debe deshabilitar la inspección SSL e intentarlo de nuevo antes de abrir un caso de soporte técnico. La inspección SSL también puede hacer que el agente de Azure Virtual Desktop deje de funcionar porque interfiere en las conexiones de confianza entre el agente y el servicio.
No use servidores proxy que necesiten autenticación
Los componentes de Azure Virtual Desktop en el host de sesión se ejecutan en el contexto del sistema operativo, por lo que no admiten servidores proxy que requieran autenticación. Si el servidor proxy requiere autenticación, se producirá un error en la conexión.
Planeación de la capacidad de red de los servidores proxy
Los servidores proxy tienen límites de capacidad. A diferencia del tráfico HTTP normal, el tráfico RDP tiene conexiones conversacionales de larga duración que son bidireccionales y consumen gran cantidad de ancho de banda. Antes de configurar un servidor proxy, póngase en contacto con el proveedor del servidor proxy e indíquele la capacidad de proceso que tiene el servidor. Asegúrese también de preguntar cuántas sesiones de proxy puede ejecutar a la vez. Después de implementar el servidor proxy, supervise cuidadosamente su uso de recursos en busca de cuellos de botella en el tráfico de Azure Virtual Desktop.
Optimización de los servidores proxy y elementos multimedia de Microsoft Teams
Azure Virtual Desktop no admite servidores proxy con optimización de elementos multimedia para Microsoft Teams.
Recomendaciones de configuración del host de sesión
Para configurar un servidor proxy de nivel de host de sesión, debe habilitar un proxy para todo el sistema. Recuerde que la configuración para todo el sistema afecta a todos los componentes y aplicaciones del sistema operativo que se ejecutan en el host de sesión. En las secciones siguientes se ofrecen recomendaciones para configurar servidores proxy para todo el sistema.
Uso del protocolo de detección automática de proxy web (WPAD)
El agente de Azure Virtual Desktop intenta localizar automáticamente un servidor proxy en la red mediante el protocolo de detección automática de proxy web (WPAD). Durante un intento de ubicación, el agente busca en el servidor de nombres de dominio (DNS) un archivo denominado wpad.domainsuffix. Si el agente encuentra el archivo en el servidor DNS, realiza una solicitud HTTP para un archivo denominado wpad.dat. La respuesta se convierte en el script de configuración de proxy que elige el servidor proxy de salida.
Para configurar la red con el fin de que use la resolución DNS para WPAD, siga las instrucciones de Detección automática de la configuración Internet Explorer 11. Asegúrese de que la lista de bloques de consultas globales del servidor DNS permite la resolución WPAD siguiendo las instrucciones de Set-DnsServerGlobalQueryBlockList.
Establecimiento manual de un proxy de todo el dispositivo para los servicios de Windows
Si especifica manualmente un servidor proxy, como mínimo deberá establecer un proxy para los servicios de Windows RDAgent y Servicios de Escritorio remoto en sus hosts de sesión. RDAgent se ejecuta con la cuenta Sistema local y los servicios de Escritorio remoto se ejecutan con la cuenta Servicio de red. Puede establecer un proxy para estas cuentas mediante la herramienta línea de comandos bitsadmin.
En el ejemplo siguiente se configuran las cuentas de sistema local y servicio de red para usar un archivo de proxy .pac. Tendrá que ejecutar estos comandos desde un símbolo del sistema con privilegios elevados y cambiar el valor del marcador de posición de <server> con su propia dirección:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Para obtener una referencia completa y otros ejemplos, consulte bitsadmin util y setieproxy.
También puede establecer un proxy para todo el dispositivo o un archivo de configuración automática de proxy (.PAC) que se aplique a todos los usuarios interactivos, de sistema local y de servicio de red. Si sus hosts de sesión están inscritos con Intune, puede establecer un proxy con el CSP de proxy de red, sin embargo, los sistemas operativos cliente de varias sesiones de Windows no admiten directivas CSP, ya que solo admiten el catálogo de configuración. Como alternativa, puede configurar un proxy para todo el dispositivo mediante el comando netsh winhttp. Para obtener una referencia completa y ejemplos, consulte Comandos netsh para el protocolo de transferencia de hipertexto de Windows (WINHTTP)
Compatibilidad con el proxy del lado cliente
El cliente de Azure Virtual Desktop admite servidores proxy configurados con la configuración del sistema o un CSP de proxy de red.
Compatibilidad con el cliente de Azure Virtual Desktop
En la tabla siguiente se muestra qué clientes de Azure Virtual Desktop admiten servidores proxy:
| Nombre del cliente | Compatibilidad de servidor proxy |
|---|---|
| Escritorio de Windows | Yes |
| Cliente web | Yes |
| Android | No |
| iOS | Sí |
| macOS | Sí |
| Tienda Windows | Yes |
Para obtener más información sobre la compatibilidad con proxy en clientes ligeros basados en Linux, consulte Compatibilidad con clientes ligeros.
Limitaciones de compatibilidad
Hay muchos servicios y aplicaciones de terceros que actúan como servidor proxy. Estos servicios de terceros incluyen firewalls distribuidos de próxima generación, sistemas de seguridad web y servidores proxy básicos. No podemos garantizar que todas las configuraciones sean compatibles con Azure Virtual Desktop. Microsoft solo proporciona compatibilidad limitada para las conexiones establecidas a través de un servidor proxy. Si tiene problemas de conectividad al usar un servidor proxy, el equipo de soporte técnico de Microsoft recomienda configurar una omisión de proxy y, a continuación, intentar reproducir el problema.
Pasos siguientes
Para obtener más información sobre cómo proteger la implementación de Azure Virtual Desktop, consulte nuestra guía de seguridad.