RDP Shortpath pour Azure Virtual Desktop

Les connexions à Azure Virtual Desktop utilisent le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). RDP Shortpath est une fonctionnalité d’Azure Virtual Desktop qui établit un transport UDP direct entre un client Bureau à distance Windows pris en charge et un hôte de session. Par défaut, le protocole Remote Desktop Protocol (RDP) utilise un transport de connexion inversée basé sur TCP, car il offre la meilleure compatibilité avec diverses configurations réseau et présente un taux de réussite élevé pour établir des connexions RDP. RDP Shortpath peut néanmoins être utilisé à la place, car ce transport UDP offre une meilleure fiabilité de connexion et une latence plus homogène.

RDP Shortpath peut être utilisé de deux manières :

  • Réseaux managés, où une connectivité directe est établie entre le client et l’hôte de session lors de l’utilisation d’une connexion privée, par exemple un réseau privé virtuel (VPN).

  • Réseaux publics, où la connectivité directe est établie entre le client et l’hôte de session via une passerelle NAT, fournie dans le cadre du service Azure Desktop, lors de l’utilisation d’une connexion publique.

Le transport utilisé pour RDP Shortpath est basé sur le protocole URCP (Universal Rate Control Protocol). Le protocole URCP améliore le protocole UDP avec la surveillance active des conditions du réseau, et assure une utilisation de liens équitable et complète. Le protocole URCP opère à des niveaux faibles de retard et de perte en fonction des besoins.

Principaux avantages

L’utilisation de RDP Shortpath présente les principaux avantages suivants :

  • URCP améliore les performances UDP en apprenant de manière dynamique des paramètres réseau et en fournissant un mécanisme de contrôle de débit.
  • La suppression de points de relais supplémentaires réduit le temps aller-retour, ce qui améliore la fiabilité de la connexion et l’expérience des utilisateurs avec des applications et des méthodes d’entrée sensibles à la latence.
  • En outre, pour les réseaux managés :
    • RDP Shortpath introduit la prise en charge d’une priorité en matière de configuration de la qualité de service (QoS) pour les connexions RDP par le biais de marques DSCP (Differentiated Services Code Point).
    • Le transport RDP Shortpath permet de limiter le trafic réseau sortant en spécifiant un taux de limitation pour chaque session.

Fonctionnement de RDP Shortpath

Pour savoir comment RDP Shortpath fonctionne avec les réseaux managés et les réseaux publics, sélectionnez chacun des onglets suivants.

Vous pouvez obtenir la connectivité avec ligne de vue directe requise pour utiliser RDP Shortpath avec des réseaux managés à l’aide des méthodes suivantes. Le fait de disposer d’une connectivité avec ligne de vue directe signifie que le client peut se connecter directement à l’hôte de session sans être bloqué par les pare-feu.

Notes

  • Si vous utilisez d’autres types de VPN pour vous connecter à Azure, nous vous recommandons d’utiliser un VPN basé sur le protocole UDP. Bien que la plupart des solutions VPN basées sur le protocole TCP prennent en charge le protocole UDP imbriqué, elles ajoutent une surcharge héritée du contrôle de congestion TCP, ce qui ralentit les performances de RDP.

Pour utiliser RDP Shortpath avec des réseaux managés, vous devez activer un écouteur UDP sur vos hôtes de session. Par défaut, le port 3390 est utilisé, mais vous pouvez en utiliser un autre.

Le diagramme suivant fournit une vue d’ensemble des connexions réseau lors de l’utilisation de RDP Shortpath pour les réseaux managés et les hôtes de session joints à un domaine Active Directory.

Diagramme des connexions réseau lors de l’utilisation de RDP Shortpath pour les réseaux managés.

Séquence de connexion

Toutes les connexions commencent par établir un transport de connexion inverse TCP sur la passerelle Azure Virtual Desktop. Le client et l’hôte de session établissent ensuite le transport RDP initial et commencent à échanger leurs fonctionnalités. Ces fonctionnalités sont négociées à l’aide du processus suivant :

  1. L’hôte de la session envoie la liste de ses adresses IPv4 et IPv6 au client.

  2. Le client démarre le thread d’arrière-plan pour établir un transport UDP parallèle directement vers l’une des adresses IP de l’hôte de session.

  3. Pendant que le client sonde les adresses IP fournies, il continue d’établir la connexion initiale sur le transport de connexion inverse pour éviter tout retard dans la connexion utilisateur.

  4. Si le client dispose d’une connexion directe vers l’hôte de la session, le client établit une connexion TLS sécurisée.

  5. Après avoir établi le transport RDP Shortpath, tous les canaux virtuels dynamiques (DVC), y compris les graphiques distants, les entrées et la redirection des appareils, sont déplacés vers le nouveau transport. Mais si un pare-feu ou une topologie de réseau empêche le client d’établir une connexion UDP directe, le protocole RDP continue avec un transport de connexion inverse.

Si vos utilisateurs disposent de RDP Shortpath pour les réseaux managés et les réseaux publics, le premier algorithme trouvé sera utilisé. L’utilisateur utilisera la première connexion établie pour cette session.

Sécurité de la connexion

RDP Shortpath étend les fonctionnalités multitransport du protocole RDP. Il ne remplace pas le transport de connexion inverse mais le complète. La répartition de session initiale est gérée via le service Azure Virtual Desktop et le transport de connexion inverse. Toutes les tentatives de connexion sont ignorées, sauf si elles correspondent d’abord à la session de connexion inverse. RDP Shortpath est établi après authentification, et si l’opération réussit, le transport de connexion inverse est supprimé et tout le trafic s’effectue via RDP Shortpath.

Le port utilisé pour chaque session RDP varie selon que RDP Shortpath est utilisé pour les réseaux managés ou les réseaux publics :

  • Réseaux managés : seul le port UDP spécifié (3390 par défaut) sera utilisé pour le trafic RDP Shortpath entrant.

  • Réseaux publics : chaque session RDP utilise un port UDP attribué dynamiquement à partir d’une plage éphémère de ports (49152-65535 par défaut) qui accepte le trafic RDP Shortpath. Vous pouvez également utiliser une plage de ports plus petite et prévisible. Pour plus d’informations, consultez Limiter la plage de ports utilisée par les clients pour les réseaux publics.

RDP Shortpath utilise une connexion TLS entre le client et l’hôte de session à l’aide des certificats de l’hôte de la session. Par défaut, le certificat utilisé pour le chiffrement RDP est généré automatiquement par le système d’exploitation pendant le déploiement. RDP Shortpath utilise une connexion TLS entre le client et l’hôte de session à l’aide des certificats de l’hôte de la session. Par défaut, le certificat utilisé pour le chiffrement RDP est généré automatiquement par le système d’exploitation pendant le déploiement. Vous pouvez également déployer des certificats gérés de manière centralisée émis par une autorité de certification d’entreprise. Pour plus d’informations sur les configurations de certificat, consultez Configurations de certificat de l’écouteur Bureau à distance.

Notes

La sécurité offerte par RDP Shortpath est identique à celle offerte par le transport de connexion inverse.

Exemples de scénarios

Voici quelques exemples de scénarios montrant comment les connexions sont évaluées afin de déterminer si RDP Shortpath est utilisé sur différentes topologies réseau.

Scénario 1

Une connexion UDP ne peut être établie qu’entre l’appareil client et l’hôte de session via un réseau public (Internet). Une connexion directe, telle qu’un VPN, n’est pas disponible.

Diagramme montrant l’utilisation de RDP Shortpath pour les réseaux publics.

Scénario 2

Une connexion UDP peut être établie entre l’appareil client et l’hôte de session sur un réseau public ou via une connexion VPN directe, mais RDP Shortpath pour les réseaux managés n’est pas activé. Lorsque le client lance la connexion, le protocole ICE/STUN peut voir plusieurs itinéraires et va évaluer chaque itinéraire afin de choisir celui ayant la latence la plus faible.

Dans cet exemple, une connexion UDP utilisant RDP Shortpath pour les réseaux publics via la connexion VPN directe sera établie, car elle présente la latence la plus faible, comme indiqué par la ligne verte.

Diagramme montrant qu’une connexion UDP utilisant RDP Shortpath pour les réseaux publics via la connexion VPN directe sera établie, car elle présente la latence la plus faible.

Scénario 3

RDP Shortpath pour les réseaux publics et les réseaux managés sont activés. Une connexion UDP peut être établie entre l’appareil client et l’hôte de session via un réseau public ou une connexion VPN directe. Lorsque le client lance la connexion, des tentatives simultanées de connexion sont effectuées via RDP Shortpath pour les réseaux managés via le port 3390 (par défaut) et RDP Shortpath pour les réseaux publics via le protocole ICE/STUN. Le premier algorithme trouvé sera utilisé et l’utilisateur utilisera la connexion établie en premier pour cette session.

Étant donné que l’utilisation d’un réseau public comporte des étapes supplémentaires, par exemple un appareil NAT, un équilibreur de charge ou un serveur STUN, il est probable que le premier algorithme trouvé sélectionne la connexion utilisant RDP Shortpath pour les réseaux managés et établie en premier.

Diagramme montrant que le premier algorithme trouvé sélectionne la connexion utilisant RDP Shortpath pour les réseaux managés et établie en premier.

Scénario 4

Une connexion UDP peut être établie entre l’appareil client et l’hôte de session sur un réseau public ou via une connexion VPN directe, mais RDP Shortpath pour les réseaux managés n’est pas activé. Pour empêcher ICE/STUN d’utiliser un itinéraire particulier, un administrateur peut bloquer l’un des itinéraires pour le trafic UDP. Le blocage d’un itinéraire garantit que le chemin d’accès restant est toujours utilisé.

Dans cet exemple, UDP est bloqué sur la connexion VPN directe et le protocole ICE/STUN établit une connexion sur le réseau public.

Diagramme montrant UDP bloqué sur la connexion VPN directe et le protocole ICE/STUN qui établit une connexion sur le réseau public.

Scénario 5

RDP Shortpath pour les réseaux publics et les réseaux managés sont configurés, mais une connexion UDP n’a pas pu être établie. Dans cette instance, RDP Shortpath échoue et la connexion revient au transport de connexion inverse TCP.

Diagramme montrant qu’une connexion UDP n’a pas pu être établie. Dans ce cas, RDP Shortpath échoue et la connexion revient au transport de connexion inverse TCP.

Étapes suivantes