Partager via


RDP Shortpath pour Azure Virtual Desktop

RDP Shortpath établit un transport UDP direct entre l’application Windows ou l’application Bureau à distance d’un appareil local sur les plateformes prises en charge et un hôte de session dans Azure Virtual Desktop.

Par défaut, le protocole RDP (Remote Desktop Protocol) tente d’établir une session à distance à l’aide d’UDP et utilise un transport de connexion inverse TCP comme mécanisme de connexion de secours. Le transport UDP offre une meilleure fiabilité de connexion et une latence plus homogène. Le transport de connexion inverse TCP offre la meilleure compatibilité avec diverses configurations réseau et présente un taux de réussite élevé pour établir des connexions RDP.

RDP Shortpath peut être utilisé de deux manières :

  1. Réseaux managés, où une connectivité directe est établie entre le client et l’hôte de session lors de l’utilisation d’une connexion privée, par exemple un réseau privé virtuel (VPN). Une connexion à l’aide d’un réseau managé est établie de l’une des manières suivantes :

    1. Une connexion UDP directe entre l’appareil client et l’hôte de session, où vous devez activer l’écouteur RDP Shortpath et autoriser un port entrant sur chaque hôte de session pour accepter les connexions.

    2. Une connexion UDP directe entre l’appareil client et l’hôte de session en utilisant le protocole STUN (Simple Traversal Underneath NAT) entre un client et un hôte de session. Les ports entrants sur l’hôte de session ne doivent pas nécessairement être autorisés.

  2. Réseaux publics, où une connectivité directe est établie entre le client et l’hôte de session lors de l’utilisation d’une connexion publique. Il existe deux types de connexion lors de l’utilisation d’une connexion publique, qui sont listés ici par ordre de préférence :

    1. Connexion UDP directe utilisant le protocole STUN (Simple Traversal Under NAT) entre un client et un hôte de session.

    2. Connexion UDP indirecte utilisant le protocole TURN (Traversal Using Relay NAT) avec un relais entre un client et un hôte de session.

Le transport utilisé pour RDP Shortpath est basé sur le protocole URCP (Universal Rate Control Protocol). Le protocole URCP améliore le protocole UDP avec la surveillance active des conditions du réseau, et assure une utilisation de liens équitable et complète. Le protocole URCP opère à des niveaux faibles de retard et de perte en fonction des besoins.

Important

RDP Shortpath pour les réseaux publics avec TURN est uniquement disponible dans le cloud public Azure.

Principaux avantages

L’utilisation de RDP Shortpath présente les principaux avantages suivants :

  • URCP améliore les performances UDP en apprenant de manière dynamique des paramètres réseau et en fournissant un mécanisme de contrôle de débit.

  • La suppression de points de relais supplémentaires réduit le temps aller-retour, ce qui améliore la fiabilité de la connexion et l’expérience des utilisateurs avec des applications et des méthodes d’entrée sensibles à la latence.

  • En outre, pour les réseaux managés :

    • RDP Shortpath introduit la prise en charge d’une priorité en matière de configuration de la qualité de service (QoS) pour les connexions RDP par le biais de marques DSCP (Differentiated Services Code Point).

    • Le transport RDP Shortpath permet de limiter le trafic réseau sortant en spécifiant un taux de limitation pour chaque session.

Fonctionnement de RDP Shortpath

Pour savoir comment RDP Shortpath fonctionne avec les réseaux managés et les réseaux publics, sélectionnez chacun des onglets suivants.

Vous pouvez obtenir la connectivité avec ligne de vue directe requise pour utiliser RDP Shortpath avec des réseaux managés à l’aide des méthodes suivantes.

Le fait de disposer d’une connectivité avec ligne de vue directe signifie que le client peut se connecter directement à l’hôte de session sans être bloqué par les pare-feu.

Notes

Si vous utilisez d’autres types de VPN pour vous connecter à Azure, nous vous recommandons d’utiliser un VPN basé sur le protocole UDP. Bien que la plupart des solutions VPN basées sur le protocole TCP prennent en charge le protocole UDP imbriqué, elles ajoutent une surcharge héritée du contrôle de congestion TCP, ce qui ralentit les performances de RDP.

Pour utiliser RDP Shortpath avec des réseaux managés, vous devez activer un écouteur UDP sur vos hôtes de session. Par défaut, le port 3390 est utilisé, mais vous pouvez en utiliser un autre.

Le diagramme suivant fournit une vue d’ensemble des connexions réseau lors de l’utilisation de RDP Shortpath pour les réseaux managés et les hôtes de session joints à un domaine Active Directory.

Diagramme des connexions réseau lors de l’utilisation de RDP Shortpath pour les réseaux managés.

Séquence de connexion

Toutes les connexions commencent par établir un transport de connexion inverse TCP sur la passerelle Azure Virtual Desktop. Le client et l’hôte de session établissent ensuite le transport RDP initial et commencent à échanger leurs fonctionnalités. Ces fonctionnalités sont négociées à l’aide du processus suivant :

  1. L’hôte de la session envoie la liste de ses adresses IPv4 et IPv6 au client.

  2. Le client démarre le thread d’arrière-plan pour établir un transport UDP parallèle directement vers l’une des adresses IP de l’hôte de session.

  3. Pendant que le client sonde les adresses IP fournies, il continue d’établir la connexion initiale sur le transport de connexion inverse pour éviter tout retard dans la connexion utilisateur.

  4. Si le client dispose d’une connexion directe vers l’hôte de la session, le client établit une connexion sécurisée utilisant TLS sur un protocole UDP fiable.

  5. Après avoir établi le transport RDP Shortpath, tous les canaux virtuels dynamiques (DVC), y compris les graphiques distants, les entrées et la redirection des appareils, sont déplacés vers le nouveau transport. Mais si un pare-feu ou une topologie de réseau empêche le client d’établir une connexion UDP directe, le protocole RDP continue avec un transport de connexion inverse.

Si vos utilisateurs disposent de RDP Shortpath pour les réseaux managés et les réseaux publics, le premier algorithme trouvé sera utilisé. L’utilisateur utilisera la première connexion établie pour cette session.

Sécurité de la connexion

RDP Shortpath étend les fonctionnalités multitransport du protocole RDP. Il ne remplace pas le transport de connexion inverse mais le complète. La répartition de session initiale est gérée via le service Azure Virtual Desktop et le transport de connexion inverse. Toutes les tentatives de connexion sont ignorées, sauf si elles correspondent d’abord à la session de connexion inverse. RDP Shortpath est établi après authentification, et si l’opération réussit, le transport de connexion inverse est supprimé et tout le trafic s’effectue via RDP Shortpath.

RDP Shortpath utilise une connexion sécurisée utilisant TLS sur un protocole UDP fiable entre le client et l’hôte de session à l’aide des certificats de l’hôte de la session. Par défaut, le certificat utilisé pour le chiffrement RDP est généré automatiquement par le système d’exploitation pendant le déploiement. Vous pouvez également déployer des certificats gérés de manière centralisée émis par une autorité de certification d’entreprise. Pour plus d’informations sur les configurations de certificat, consultez Configurations de certificat de l’écouteur Bureau à distance.

Notes

La sécurité offerte par RDP Shortpath est identique à celle offerte par le transport de connexion inverse TCP.

Exemples de scénarios

Voici quelques exemples de scénarios montrant comment les connexions sont évaluées afin de déterminer si RDP Shortpath est utilisé sur différentes topologies réseau.

Scénario 1

Une connexion UDP ne peut être établie qu’entre l’appareil client et l’hôte de session via un réseau public (Internet). Une connexion directe, telle qu’un VPN, n’est pas disponible. UDP est autorisé via un pare-feu ou un appareil NAT.

Diagramme montrant l’utilisation de STUN par RDP Shortpath pour les réseaux publics.

Scénario 2

Un pare-feu ou un appareil NAT bloque une connexion UDP directe, mais il est possible de relayer une connexion UDP indirecte en utilisant TURN entre l’appareil client et l’hôte de session sur un réseau public (Internet). Une autre connexion directe, telle qu’un VPN, n’est pas disponible.

Diagramme montrant l’utilisation de TURN par RDP Shortpath pour les réseaux publics.

Scénario 3

Une connexion UDP peut être établie entre l’appareil client et l’hôte de session sur un réseau public ou via une connexion VPN directe, mais RDP Shortpath pour les réseaux managés n’est pas activé. Lorsque le client lance la connexion, le protocole ICE/STUN peut voir plusieurs itinéraires et va évaluer chaque itinéraire afin de choisir celui ayant la latence la plus faible.

Dans cet exemple, une connexion UDP utilisant RDP Shortpath pour les réseaux publics via la connexion VPN directe sera établie, car elle présente la latence la plus faible, comme indiqué par la ligne verte.

Diagramme montrant qu’une connexion UDP utilisant RDP Shortpath pour les réseaux publics via la connexion VPN directe sera établie, car elle présente la latence la plus faible.

Scénario 4

RDP Shortpath pour les réseaux publics et les réseaux managés sont activés. Une connexion UDP peut être établie entre l’appareil client et l’hôte de session via un réseau public ou une connexion VPN directe. Lorsque le client lance la connexion, des tentatives simultanées de connexion sont effectuées via RDP Shortpath pour les réseaux managés via le port 3390 (par défaut) et RDP Shortpath pour les réseaux publics via le protocole ICE/STUN. Le premier algorithme trouvé sera utilisé et l’utilisateur utilisera la connexion établie en premier pour cette session.

Étant donné que l’utilisation d’un réseau public comporte plus d’étapes, par exemple un appareil NAT, un équilibreur de charge ou un serveur STUN, il est probable que le premier algorithme trouvé sélectionne la connexion utilisant RDP Shortpath pour les réseaux managés et établie en premier.

Diagramme montrant que le premier algorithme trouvé sélectionne la connexion utilisant RDP Shortpath pour les réseaux managés et établie en premier.

Scénario 5

Une connexion UDP peut être établie entre l’appareil client et l’hôte de session sur un réseau public ou via une connexion VPN directe, mais RDP Shortpath pour les réseaux managés n’est pas activé. Pour empêcher ICE/STUN d’utiliser un itinéraire particulier, un administrateur peut bloquer l’un des itinéraires pour le trafic UDP. Le blocage d’un itinéraire garantit que le chemin d’accès restant est toujours utilisé.

Dans cet exemple, UDP est bloqué sur la connexion VPN directe et le protocole ICE/STUN établit une connexion sur le réseau public.

Diagramme montrant UDP bloqué sur la connexion VPN directe et le protocole ICE/STUN qui établit une connexion sur le réseau public.

Scénario 6

RDP Shortpath pour les réseaux publics et les réseaux managés sont configurés, mais une connexion UDP n’a pas pu être établie en tirant parti de la connexion VPN. Un pare-feu ou un appareil NAT bloque également une connexion UDP directe en utilisant le réseau public (Internet), mais il est possible de relayer une connexion UDP indirecte en utilisant TURN entre l’appareil client et l’hôte de session sur un réseau public (Internet).

Diagramme montrant le blocage d’UDP sur la connexion VPN directe, ainsi que la défaillance d’une connexion directe utilisant un réseau public. TURN relaie la connexion sur le réseau public.

Scénario 7

RDP Shortpath pour les réseaux publics et les réseaux managés sont configurés, mais une connexion UDP n’a pas pu être établie. Dans cette instance, RDP Shortpath échoue et la connexion revient au transport de connexion inverse TCP.

Diagramme montrant qu’une connexion UDP n’a pas pu être établie. Dans ce cas, RDP Shortpath échoue et la connexion revient au transport de connexion inverse TCP.

Étapes suivantes