RDP Shortpath konfigurálása az Azure Virtual Desktophoz
Fontos
Az RDP Shortpath használata nyilvános hálózatokhoz az Azure Virtual Desktop TURN használatával jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az RDP Shortpath az Azure Virtual Desktop egyik funkciója, amely közvetlen UDP-alapú átvitelt hoz létre egy támogatott Windows Remote Desktop-ügyfél és munkamenet-gazdagép között. Ez a cikk bemutatja, hogyan konfigurálhatja az RDP Shortpathot felügyelt hálózatokhoz és nyilvános hálózatokhoz. További információ: RDP Shortpath.
Fontos
Az RDP Shortpath csak az Azure nyilvános felhőben érhető el.
Előfeltételek
Az RDP Shortpath engedélyezése előtt meg kell felelnie az előfeltételeknek. Válasszon az alábbi lapfület a forgatókönyvhöz.
Windows távoli asztali ügyfelet futtató ügyféleszköz, 1.2.3488-es vagy újabb verzió. Jelenleg a nem Windows rendszerű ügyfelek nem támogatottak.
Közvetlen látóvonal-kapcsolat az ügyfél és a munkamenet-gazdagép között. A közvetlen látóvonal-kapcsolat azt jelenti, hogy az ügyfél közvetlenül csatlakozhat a munkamenet-gazdagéphez a 3390-es porton (alapértelmezett) anélkül, hogy tűzfalak (beleértve a Windows tűzfalat) vagy a hálózati biztonsági csoport blokkolják, és egy felügyelt hálózatot használ, például:
Helyek közötti vagy pont–hely VPN (IPsec), például Azure VPN Gateway.
RDP Shortpath engedélyezése
Az RDP Shortpath engedélyezésének lépései eltérnek a munkamenet-gazdagépek esetében attól függően, hogy engedélyezni szeretné-e a felügyelt hálózatokhoz vagy nyilvános hálózatokhoz, de az ügyfelek esetében ugyanazok. Válasszon az alábbi lapfület a forgatókönyvhöz.
Munkamenet-gazdagépek
Az RDP Shortpath felügyelt hálózatokhoz való engedélyezéséhez engedélyeznie kell az RDP Shortpath figyelőt a munkamenet-gazdagépeken. Ezt csoportházirenddel teheti meg, központilag a tartományból az Active Directory (AD) tartományhoz csatlakoztatott munkamenet-gazdagépek esetében, vagy helyileg a Microsoft Entra-azonosítóhoz csatlakoztatott munkamenet-gazdagépek esetében.
Töltse le az Azure Virtual Desktop felügyeleti sablonját , és bontsa ki a .cab fájl és a .zip archívum tartalmát.
Attól függően, hogy központilag szeretné-e konfigurálni a csoportházirendet az AD-tartományból, vagy helyileg az egyes munkamenet-gazdagépekhez:
AD-tartomány: Másolja és illessze be a terminalserver-avd.admx fájlt a tartomány központi tárolójába, például
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
ahol contoso.com a tartomány neve. Ezután másolja az en-us\terminalserver-avd.adml fájlt azen-us
almappába.Nyissa meg a csoportházirend-kezelési konzolt (GPMC), és hozzon létre vagy szerkesszen egy szabályzatot, amely a munkamenet-gazdagépeket célozza.
Helyi: Másolja és illessze be a terminalserver-avd.admx fájlt a fájlba
%windir%\PolicyDefinitions
. Ezután másolja az en-us\terminalserver-avd.adml fájlt azen-us
almappába.Nyissa meg a helyi csoportházirend-szerkesztőt a munkamenet-gazdagépen.
Keresse meg a számítógép konfigurációját> Rendszergazda istrative templates>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Azure Virtual Desktop. Az Azure Virtual Desktop szabályzatbeállításainak az alábbi képernyőképen látható módon kell megjelennie:
Nyissa meg az RDP Shortpath engedélyezése felügyelt hálózatokhoz beállítást, és állítsa engedélyezve értékre. Ha engedélyezi ezt a házirend-beállítást, konfigurálhatja azt a portszámot is, amellyel az Azure Virtual Desktop-munkamenet-gazdagépek figyelni fogják a bejövő kapcsolatokat. Az alapértelmezett port a 3390.
Ha konfigurálnia kell a Windows tűzfalat a 3390-s port engedélyezéséhez, futtassa az alábbi parancsok egyikét attól függően, hogy a Windows tűzfalat központilag szeretné-e konfigurálni az AD-tartományból származó csoportházirend használatával, vagy helyileg az egyes munkamenet-gazdagépekhez:
AD-tartomány: Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa a következő parancsot, és cserélje le az értéket
$domainName
a saját tartománynevére, az értékre$writableDC
egy írható tartományvezérlő gazdagépnevére, az érték pedig$policyName
egy meglévő csoportházirend-objektum nevére:$domainName = "contoso.com" $writableDC = "dc01" $policyName = "RDP Shortpath Policy" $gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession Save-NetGPO -GPOSession $gpoSession
Helyi: Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa a következő parancsot:
New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True
Válassza az OK gombot, és indítsa újra a munkamenet-gazdagépeket a házirend-beállítás alkalmazásához.
Windows-ügyfelek
Az ügyfelek helyes konfigurálásának lépései ugyanazok, függetlenül attól, hogy az RDP Shortpathot szeretné-e használni felügyelt hálózatokhoz vagy nyilvános hálózatokhoz. Ezt az Active Directory-tartományhoz csatlakoztatott felügyelt ügyfelek csoportházirenddel, a Microsoft Entra-azonosítóhoz csatlakoztatott és az Intune-ban regisztrált felügyelt ügyfelek esetében az Intune-ban regisztrált felügyelt ügyfelek esetén az Intune-ban, illetve a nem felügyelt ügyfelek helyi csoportházirenddel teheti meg.
Megjegyzés:
A Windowsban alapértelmezés szerint az RDP-forgalom a TCP és az UDP protokollt is megpróbálja használni. Ezeket a lépéseket csak akkor kell követnie, ha az ügyfél korábban csak TCP használatára lett konfigurálva.
RdP Shortpath engedélyezése felügyelt és nem felügyelt Windows-ügyfeleken csoportházirend használatával
Felügyelt és nem felügyelt Windows-ügyfelek konfigurálása csoportházirenddel:
Attól függően, hogy felügyelt vagy nem felügyelt ügyfeleket szeretne konfigurálni:
Felügyelt ügyfelek esetén nyissa meg a csoportházirend-kezelési konzolt (GPMC), és hozzon létre vagy szerkesszen egy olyan szabályzatot, amely az ügyfeleket célozza.
Nem felügyelt ügyfelek esetén nyissa meg a Helyi csoportházirend-szerkesztőt az ügyfélen.
Keresse meg a számítógép konfigurációját> Rendszergazda a>windowsos>összetevők távoli asztali szolgáltatások>távoli asztali Csatlakozás ion-ügyfelet.
Nyissa meg az UDP kikapcsolása ügyfélen beállítást, és állítsa letiltva értékre.
Válassza az OK gombot, és indítsa újra az ügyfeleket a házirend-beállítás alkalmazásához.
RDP Shortpath engedélyezése Windows-ügyfeleken az Intune használatával
Felügyelt Windows-ügyfelek konfigurálása az Intune-nal:
Jelentkezzen be a Microsoft Intune felügyeleti központjába.
Konfigurációs profil létrehozása vagy szerkesztése Windows 10 és újabb rendszerű eszközökhöz Rendszergazda istrative sablonok használatával.
Tallózással keresse meg a Számítógép konfigurációja>Windows-összetevők>távoli asztali szolgáltatások>távoli asztali Csatlakozás ion-ügyfelet.
Válassza ki az UDP kikapcsolása az ügyfélen beállítást, és állítsa letiltva értékre.
Kattintson az OK gombra, majd a Tovább gombra.
Alkalmazza a konfigurációs profilt, majd indítsa újra az ügyfeleket.
Teredo-támogatás
Bár az RDP Shortpath esetében nem szükséges, a Teredo további NAT-bejárási jelölteket ad hozzá, és növeli a sikeres RDP Shortpath-kapcsolat esélyét az IPv4-alapú hálózatokban. A Teredo engedélyezhető a munkamenet-gazdagépeken és az ügyfeleken is, ha a következő parancsot futtatja egy emelt szintű PowerShell-parancssorból:
Set-NetTeredoConfiguration -Type Enterpriseclient
Ellenőrizze, hogy működik-e az RDP Shortpath
Ezután meg kell győződnie arról, hogy az ügyfelek RDP Shortpath használatával csatlakoznak. Az átvitelt a távoli asztali ügyfél Csatlakozás ioninformációk párbeszédpaneljén vagy a Log Analytics használatával ellenőrizheti.
Csatlakozás ion Information (Információ) párbeszédpanel
Ha ellenőrizni szeretné, hogy a kapcsolatok RDP Shortpath-ot használnak-e, ellenőrizheti az ügyfél kapcsolati adatait. Válasszon az alábbi lapfület a forgatókönyvhöz.
Csatlakozás az Azure Virtual Desktopba.
Nyissa meg a Csatlakozás ion Information párbeszédpanelt a képernyő tetején található Csatlakozás ion eszközsávon, és válassza a jelerősség ikont, ahogyan az alábbi képernyőképen látható:
A kimenetben ellenőrizheti, hogy az átviteli protokoll UDP (Private Network)-e, ahogy az alábbi képernyőképen látható:
Eseménynapló
Ha ellenőrizni szeretné, hogy a kapcsolatok RDP Shortpath-ot használnak-e, ellenőrizheti az eseménynaplókat a munkamenet-gazdagépen:
Csatlakozás az Azure Virtual Desktopba.
Nyissa meg a Eseménynapló a munkamenet-gazdagépen.
Keresse meg a Microsoft>Windows>RemoteDesktopServices-RdpCoreCDV>Operational alkalmazás- és szolgáltatási naplóit.>
Szűrés 135-ös eseményazonosító szerint. Csatlakozás RDP Shortpath használatával az átviteli típus az UDP-t használja az üzenettel A több átviteli kapcsolat az alagút esetében befejeződött: 1, átviteli típusa UDP.
Log Analytics
Az Azure Log Analytics használata esetén a WVD Csatlakozás ions tábla lekérdezésével figyelheti a kapcsolatokat. Az UdpUse nevű oszlop azt jelzi, hogy az Azure Virtual Desktop RDP Stack UDP protokollt használ-e az aktuális felhasználói kapcsolaton. A lehetséges értékek a következők:
1 – A felhasználói kapcsolat RDP Shortpath-ot használ felügyelt hálózatokhoz.
2 – A felhasználói kapcsolat RDP Shortpath-ot használ a nyilvános hálózatokhoz közvetlenül a STUN használatával.
4 – A felhasználói kapcsolat RDP Shortpath-ot használ a nyilvános hálózatokhoz közvetetten a TURN használatával.
Bármely más érték esetén a felhasználói kapcsolat nem RDP Shortpath-ot használ, és TCP használatával csatlakozik.
Az alábbi lekérdezéssel áttekintheti a kapcsolat adatait. Ezt a lekérdezést a Log Analytics lekérdezésszerkesztőjében futtathatja. Minden lekérdezésnél cserélje le user@contoso.com
a keresni kívánt felhasználó egyszerű felhasználónévvel.
let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc
Az alábbi Log Analytics-lekérdezés futtatásával ellenőrizheti, hogy az RDP Shortpath engedélyezve van-e egy adott felhasználói munkamenetben:
WVDCheckpoints
| where Name contains "Shortpath"
Ha többet szeretne megtudni a Log Analyticsben naplózott hibainformációkról,
RDP Shortpath letiltása
Az RDP Shortpath letiltásának lépései a munkamenet-gazdagépek esetében eltérnek attól függően, hogy csak felügyelt hálózatok, csak nyilvános hálózatok vagy mindkettő esetében szeretné-e letiltani. Válasszon az alábbi lapfület a forgatókönyvhöz.
Munkamenet-gazdagépek
Ha le szeretné tiltani az RDP Shortpathot a munkamenet-gazdagépeken lévő felügyelt hálózatokhoz, le kell tiltania az RDP Shortpath figyelőt. Ezt csoportházirenddel teheti meg, központilag a tartományból az AD-tartományhoz csatlakoztatott munkamenet-gazdagépek esetében, vagy helyileg a Microsoft Entra-azonosítóhoz csatlakoztatott munkamenet-gazdagépek esetében.
Másik lehetőségként letilthatja a 3390-s portot (alapértelmezett) a tűzfalon vagy a hálózati biztonsági csoporton található munkamenet-gazdagépeken.
Attól függően, hogy központilag szeretné-e konfigurálni a csoportházirendet a tartományból, vagy helyileg az egyes munkamenet-gazdagépekhez:
AD-tartomány: Nyissa meg a csoportházirend-kezelési konzolt (GPMC), és szerkessze a munkamenet-gazdagépeket célzó meglévő szabályzatot.
Helyi: Nyissa meg a helyi csoportházirend-szerkesztőt a munkamenet-gazdagépen.
Keresse meg a számítógép konfigurációját> Rendszergazda istrative templates>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Azure Virtual Desktop. Látnia kell az Azure Virtual Desktop házirend-beállításait, feltéve, hogy rendelkezik a felügyeleti sablonnal, amikor engedélyezte az RDP Shortpath használatát a felügyelt hálózatokhoz.
Nyissa meg az RDP Shortpath engedélyezése felügyelt hálózatokhoz beállítást, és állítsa be a Nem konfigurált értékre.
Válassza az OK gombot, és indítsa újra a munkamenet-gazdagépeket a házirend-beállítás alkalmazásához.
Windows-ügyfelek
Ügyféleszközökön letilthatja az RDP Shortpathot felügyelt hálózatok és nyilvános hálózatok esetében úgy, hogy az RDP-forgalmat csak TCP használatára konfigurálja. Ezt megteheti az Active Directory-tartományhoz csatlakoztatott felügyelt ügyfelek csoportházirenddel, az Intune-nal az Intune-hoz csatlakoztatott és az Intune-ban regisztrált felügyelt ügyfelek esetén, illetve a nem felügyelt ügyfelek helyi csoportházirenddel.
Fontos
Ha korábban úgy állította be az RDP-forgalmat, hogy a csoportházirend vagy az Intune használatával megkísérli használni a TCP- és UDP-protokollokat is, győződjön meg arról, hogy a beállítások nem ütköznek.
RdP Shortpath letiltása felügyelt és nem felügyelt Windows-ügyfeleken csoportházirend használatával
Felügyelt és nem felügyelt Windows-ügyfelek konfigurálása csoportházirenddel:
Attól függően, hogy felügyelt vagy nem felügyelt ügyfeleket szeretne konfigurálni:
Felügyelt ügyfelek esetén nyissa meg a csoportházirend-kezelési konzolt (GPMC), és hozzon létre vagy szerkesszen egy olyan szabályzatot, amely az ügyfeleket célozza.
Nem felügyelt ügyfelek esetén nyissa meg a Helyi csoportházirend-szerkesztőt az ügyfélen.
Keresse meg a számítógép konfigurációját> Rendszergazda a>windowsos>összetevők távoli asztali szolgáltatások>távoli asztali Csatlakozás ion-ügyfelet.
Nyissa meg az UDP kikapcsolása az ügyfélen beállítást, és állítsa be engedélyezve értékre.
Válassza az OK gombot, és indítsa újra az ügyfeleket a házirend-beállítás alkalmazásához.
RDP Shortpath letiltása Windows-ügyfeleken az Intune használatával
Felügyelt Windows-ügyfelek konfigurálása az Intune-nal:
Jelentkezzen be a Microsoft Intune felügyeleti központjába.
Konfigurációs profil létrehozása vagy szerkesztése Windows 10 és újabb rendszerű eszközökhöz Rendszergazda istrative sablonok használatával.
Keresse meg a Windows-összetevők>távoli asztali szolgáltatások>távoli asztali Csatlakozás ion-ügyfelet.
Válassza ki az UDP kikapcsolása az ügyfélen beállítást, és állítsa be engedélyezve értékre. Kattintson az OK gombra, majd a Tovább gombra.
Alkalmazza a konfigurációs profilt, majd indítsa újra az ügyfeleket.
Következő lépések
- Megtudhatja, hogyan korlátozhatja az ügyfelek által a nyilvános hálózatokhoz készült RDP Shortpath használatával használt porttartományt.
- Ha problémákat tapasztal a nyilvános hálózatok RDP Shortpath-átvitelét használó kapcsolat létrehozásakor, tekintse meg az RDP Shortpath hibaelhárítását.