Compartir vía


RDP Shortpath para Azure Virtual Desktop

RDP Shortpath establece un transporte basado en UDP entre una aplicación de Windows de dispositivo local o la aplicación de Escritorio remoto en plataformas admitidas y host de sesión en Azure Virtual Desktop. De forma predeterminada, el Protocolo de escritorio remoto (RDP) inicia un transporte de conexión inversa basado en TCP y luego intenta establecer una sesión remota mediante UDP. Si la conexión UDP se realiza correctamente, se quita la conexión TCP; de lo contrario, la conexión TCP se usa como mecanismo de conexión de reserva.

El transporte basado en UDP ofrece una mejor fiabilidad de conexión y una latencia más coherente. Este transporte proporciona la mejor compatibilidad con varias configuraciones de red y tiene una alta tasa de éxito para establecer conexiones RDP.

RDP Shortpath se puede usar de dos maneras:

  1. Redes administradas, donde se establece la conectividad directa entre el cliente y el host de sesión cuando se usa una conexión privada, como una Azure ExpressRoute o una red privada virtual (VPN) de sitio a sitio. Una conexión mediante una red administrada se establece de una de las maneras siguientes:

    1. Una conexión UDP directa entre el dispositivo cliente y el host de sesión, donde debe habilitar el agente de escucha RDP Shortpath y permitir que un puerto de entrada en cada host de sesión acepte conexiones.

    2. Una conexión UDP directa entre el dispositivo cliente y el host de sesión mediante el protocolo Simple Traversal Under NAT (STUN) entre un cliente y un host de sesión. No es necesario permitir los puertos de entrada en el host de sesión.

  2. Redes públicas, donde se establece la conectividad directa entre el cliente y el host de sesión cuando se usa una conexión pública. Hay dos tipos de conexión al usar una conexión pública, que se enumeran aquí en orden de preferencia:

    1. Una conexión UDP directa mediante el protocolo Simple Traversal Underneath NAT (STUN) entre un cliente y un host de sesión.

    2. Una conexión UDP retransmitida mediante el protocolo Traversal Using Relay NAT (TURN) entre un cliente y un host de sesión.

El transporte que se usa para RDP Shortpath se basa en el protocolo de control de velocidad universal (URCP). URCP mejora UDP con la supervisión activa de las condiciones de la red y proporciona un uso equitativo y completo de los vínculos. URCP funciona con niveles de retraso y pérdida bajos, según sea necesario.

Importante

  • RDP Shortpath para redes públicas mediante STUN para Azure Virtual Desktop está disponible en la nube pública de Azure y en la nube de Azure Government.
  • RDP Shortpath para redes públicas a través de TURN para Azure Virtual Desktop solo está disponible en la nube pública de Azure.

Ventajas principales

El uso de RDP Shortpath tiene las siguientes ventajas clave:

  • Mediante URCP para mejorar UDP, se consigue el mayor rendimiento al aprender dinámicamente los parámetros de red y proporcionar un protocolo con un mecanismo de control de velocidad.

  • Mayor rendimiento.

  • Al usar STUN, la eliminación de los puntos de retransmisión adicional reduce el tiempo de ida y vuelta, mejora la fiabilidad de la conexión y la experiencia del usuario con aplicaciones y métodos de entrada sensibles a la latencia.

  • Además, para redes administradas:

    • RDP Shortpath permite configurar la prioridad de la calidad de servicio (QoS) para las conexiones RDP mediante marcas de punto de código de servicios diferenciados (DSCP).

    • El transporte de RDP Shortpath permite limitar el tráfico de red saliente mediante la especificación de una tasa de limitación para cada sesión.

Funcionamiento de RDP Shortpath

Para obtener información sobre cómo funciona RDP Shortpath para redes administradas y redes públicas, seleccione cada una de las pestañas siguientes.

Puede lograr la conectividad directa de línea de visión necesaria para usar RDP Shortpath con redes administradas mediante los métodos siguientes.

Tener una conectividad de línea de visión directa significa que el cliente pueda conectarse directamente al host de sesión, sin bloqueo por parte de los firewalls.

Nota:

Si usa otros tipos de red privada virtual para conectarse a Azure, se recomienda usar una VPN basada en UDP. Aunque la mayoría de las soluciones de red privada virtual basadas en TCP admiten el protocolo UDP anidado, agregan una sobrecarga heredada del control de congestión TCP, lo que ralentiza el rendimiento de RDP.

Para usar RDP Shortpath para redes administradas, debe habilitar un agente de escucha UDP en los hosts de sesión. De manera predeterminada, se usa el puerto 3390, aunque puede usar otro puerto.

En el diagrama siguiente se proporciona información general de alto nivel de las conexiones de red al usar RDP Shortpath para redes administradas y hosts de sesión unidos a un dominio de Active Directory.

Diagrama de conexiones de red al usar RDP Shortpath para redes administradas.

Secuencia de la conexión

Todas las conexiones comienzan estableciendo un transporte de conexión inversa basado en TCP a través de la puerta de enlace de Azure Virtual Desktop. A continuación, el cliente y el host de sesión establecen el transporte RDP inicial y comienzan a intercambiar sus funcionalidades. Estas funcionalidades se negocian mediante el siguiente proceso:

  1. El host de sesión envía la lista de sus direcciones IPv4 e IPv6 al cliente.

  2. El cliente inicia el subproceso en segundo plano para establecer un transporte paralelo basado en UDP directamente en una de las direcciones IP del host de sesión.

  3. Mientras el cliente está sondeando las direcciones IP proporcionadas, este continúa estableciendo la conexión inicial a través del transporte de conexión inversa para garantizar que no haya ningún retraso en la conexión del usuario.

  4. Si el cliente tiene una conexión directa con el host de sesión, establece una conexión segura con TLS sobre una conexión UDP confiable.

  5. Después de establecer el transporte de RDP Shortpath, todos los canales virtuales dinámicos (DVCs) se mueven al nuevo transporte, incluidos los gráficos remotos, la entrada y el redireccionamiento del dispositivo. Sin embargo, si un firewall o una topología de red impide que el cliente establezca conectividad UDP directa, RDP continúa con un transporte de conexión inversa.

Si los usuarios tienen RDP Shortpath para una red administrada y las redes públicas disponibles para ellos, se usará el primer algoritmo que se encuentre. El usuario empleará la conexión que se establezca primero para esa sesión.

Seguridad de conexión

RDP Shortpath amplía las capacidades multitransporte de RDP. No reemplaza el transporte de conexión inversa, sino que lo complementa. El agente de sesión inicial se administra mediante el servicio Azure Virtual Desktop y el transporte de conexión inversa. Todos los intentos de conexión se ignorarán a menos que primero coincidan con la sesión de conexión inversa. RDP Shortpath se establece después de la autenticación y, si se ha establecido correctamente, se quita el transporte de conexión inversa y todo el tráfico fluye a través de RDP Shortpath.

RDP Shortpath usa una conexión segura con TLS sobre UDP confiable entre el cliente y el host de sesión mediante los certificados del host de sesión. De manera predeterminada, el certificado usado para el cifrado RDP lo genera automáticamente el sistema operativo durante la implementación. También puede implementar certificados administrados centralmente emitidos por una entidad de certificación de empresa. Para obtener más información sobre las configuraciones de certificados, consulte Configuraciones de certificados del agente de escucha de Escritorio remoto.

Nota:

La seguridad que ofrece RDP Shortpath es la misma que la que ofrece el transporte de conexión inversa de TCP.

Escenarios de ejemplo

Estos son algunos escenarios de ejemplo que muestran cómo se evalúan las conexiones para decidir si RDP Shortpath se usa en distintas topologías de red.

Escenario 1

Una conexión UDP solo se puede establecer entre el dispositivo cliente y el host de sesión a través de una red pública (Internet). No está disponible ninguna conexión directa, como una VPN. UDP se permite a través del firewall o el dispositivo NAT.

Diagrama que muestra RDP Shortpath para redes públicas que usan STUN.

Escenario 2

Un firewall o dispositivo NAT bloquean una conexión UDP directa, pero se puede retransmitir una conexión UDP retransmitida mediante TURN entre el dispositivo de cliente y el host de sesión a través de una red pública (Internet). No está disponible ninguna conexión directa, como una VPN.

Diagrama que muestra RDP Shortpath para redes públicas que usan TURN.

Escenario 3

Se puede establecer una conexión UDP entre el dispositivo cliente y el host de sesión a través de una red pública o de una conexión VPN directa, pero RDP Shortpath para redes administradas no está habilitado. Cuando el cliente inicia la conexión, el protocolo ICE/STUN puede ver varias rutas y evaluará cada ruta y elegirá la que tiene la menor latencia.

En este ejemplo, se realizará una conexión UDP mediante RDP Shortpath para redes públicas a través de la conexión VPN directa, ya que tiene la menor latencia, como muestra la línea verde.

Diagrama que muestra una conexión UDP mediante RDP Shortpath para redes públicas a través de la conexión VPN directa, ya que tiene la menor latencia.

Escenario 4

Está habilitado RDP Shortpath tanto para redes públicas como para redes administradas. Se puede establecer una conexión UDP entre el dispositivo cliente y el host de sesión a través de una red pública o de una conexión VPN directa. Cuando el cliente inicia la conexión, hay varios intentos simultáneos de conectarse mediante RDP Shortpath para redes administradas a través del puerto 3390 (de forma predeterminada) y RDP Shortpath para redes públicas a través del protocolo ICE/STUN. Se usará el primer algoritmo encontrado y el usuario empleará la conexión establecida primero para esa sesión.

Dado que atravesar una red pública tiene pasos adicionales, por ejemplo, un dispositivo NAT, un equilibrador de carga o un servidor STUN, es probable que el primer algoritmo encontrado seleccione la conexión mediante RDP Shortpath para redes administradas y se establezca primero.

Diagrama que muestra que el primer algoritmo encontrado seleccionará la conexión mediante RDP Shortpath para redes administradas y se establecerá primero.

Escenario 5

Se puede establecer una conexión UDP entre el dispositivo cliente y el host de sesión a través de una red pública o de una conexión VPN directa, pero RDP Shortpath para redes administradas no está habilitado. Para evitar que ICE/STUN use una ruta determinada, un administrador puede bloquear una de las rutas para el tráfico UDP. Este bloqueo garantizaría que siempre se use la ruta de acceso que queda.

En este ejemplo, UDP está bloqueado en la conexión VPN directa y el protocolo ICE/STUN establece una conexión a través de la red pública.

 Diagrama que muestra que UDP está bloqueado en la conexión VPN directa y que el protocolo ICE/STUN establece una conexión a través de la red pública.

Escenario 6

Está configurado RDP Shortpath tanto para redes públicas como para redes administradas, pero no se pudo establecer una conexión UDP usando una conexión VPN directa. Un firewall o un dispositivo NAT también bloquea una conexión UDP directa mediante la red pública (Internet), pero se puede retransmitir una conexión UDP retransmitida mediante TURN entre el dispositivo de cliente y el host de sesión a través de una red pública (Internet).

Diagrama que muestra que UDP está bloqueado en la conexión VPN directa y también se produce un error en una conexión directa mediante una red pública. TURN retransmite la conexión a través de la red pública.

Escenario 7

Está configurado RDP Shortpath tanto para redes públicas como para redes administradas, pero no se pudo establecer una conexión UDP. En esta instancia, RDP Shortpath producirá un error y la conexión volverá al transporte de conexión inversa basado en TCP.

Diagrama que muestra que no se pudo establecer una conexión UDP. En este caso, RDP Shortpath producirá un error y la conexión volverá al transporte de conexión inversa basado en TCP.

Pasos siguientes