Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja, hogyan használhat proxykiszolgálót az Azure Virtual Desktoppal. A cikkben szereplő javaslatok csak az Azure Virtual Desktop-infrastruktúra, -ügyfél- és munkamenetgazda-ügynökök közötti kapcsolatokra vonatkoznak. Ez a cikk nem foglalkozik az Office, a Windows 10, az FSLogix és más Microsoft-alkalmazások hálózati kapcsolatával.
Mik azok a proxykiszolgálók?
Javasoljuk, hogy megkerülje a proxykat az Azure Virtual Desktop-forgalomhoz. A proxyk nem teszik biztonságosabbá az Azure Virtual Desktopot, mert a forgalom már titkosítva van. További információ a kapcsolatbiztonságról: Kapcsolatbiztonság.
A legtöbb proxykiszolgálót nem a websocketi kapcsolatok hosszú távú támogatására tervezték, és ez befolyásolhatja a kapcsolat stabilitását. A proxykiszolgáló méretezhetősége is problémákat okoz, mivel az Azure Virtual Desktop több hosszú távú kapcsolatot használ. Ha proxykiszolgálókat használ, ezeknek a kapcsolatoknak a megfelelő méretűnek kell lenniük.
Ha a proxykiszolgáló földrajzi elhelyezkedése messze van a gazdagéptől, akkor ez a távolság nagyobb késést okoz a felhasználói kapcsolatokban. A nagyobb késés lassabb csatlakozási időt és rosszabb felhasználói élményt jelent, különösen olyan helyzetekben, amelyek grafikus, hang- vagy kis késleltetésű interakciókat igényelnek a bemeneti eszközökkel. Ha proxykiszolgálót kell használnia, ne feledje, hogy a kiszolgálót ugyanabban a földrajzi helyen kell elhelyeznie, mint az Azure Virtual Desktop-ügynököt és -ügyfelet.
Ha a proxykiszolgálót konfigurálja az Azure Virtual Desktop forgalmának egyetlen elérési útjaként, a Rendszer a User Datagram Protocol (UDP) helyett a Tcp protokollon (TCP) keresztül kényszeríti az RDP-adatokat. Ez a lépés csökkenti a távoli kapcsolat vizuális minőségét és válaszképességét.
Összefoglalva, nem javasoljuk a proxykiszolgálók használatát az Azure Virtual Desktopon, mert teljesítményproblémákat okoznak a késés romlása és a csomagvesztés miatt.
Proxykiszolgáló megkerülése
Ha a szervezet hálózati és biztonsági szabályzatai proxykiszolgálókat igényelnek a webes forgalomhoz, konfigurálhatja a környezetet úgy, hogy megkerülje az Azure Virtual Desktop-kapcsolatokat, miközben továbbra is a proxykiszolgálón keresztül irányítja a forgalmat. Az egyes szervezetek házirendjei azonban egyediek, így egyes módszerek jobban működhetnek az üzembe helyezéshez, mint mások. Íme néhány konfigurációs módszer, a teljesítmény és a megbízhatóság elvesztésének megelőzésére a környezetben:
- Azure-szolgáltatáscímkék Azure Firewall
- Proxykiszolgáló megkerülése proxy automatikus konfigurációs (
.PAC) fájlokkal - Megkerülő lista a helyi proxykonfigurációban
- Proxykiszolgálók használata felhasználónkénti konfigurációhoz
- RdP shortpath használata az RDP-kapcsolathoz, miközben a szolgáltatás forgalmát a proxyn keresztül tartja
Javaslatok proxykiszolgálók használatához
Egyes szervezetek megkövetelik, hogy az összes felhasználói forgalom egy proxykiszolgálón haladjon végig a nyomkövetéshez vagy csomagvizsgálathoz. Ez a szakasz ismerteti, hogyan javasoljuk a környezet konfigurálását ezekben az esetekben.
Azonos Azure-beli földrajzi helyen található proxykiszolgálók használata
Ha proxykiszolgálót használ, az kezeli az Azure Virtual Desktop infrastruktúrájával folytatott összes kommunikációt, és DNS-feloldást és Anycast-útválasztást hajt végre a legközelebbi Azure Front Doorhoz. Ha a proxykiszolgálók távoliak vagy el vannak osztva egy Azure-beli földrajzi helyen, a földrajzi feloldás kevésbé lesz pontos. A kevésbé pontos földrajzi feloldás azt jelenti, hogy a kapcsolatok egy távolibb Azure Virtual Desktop-fürthöz lesznek irányítva. A probléma elkerülése érdekében csak olyan proxykiszolgálókat használjon, amelyek földrajzilag közel vannak az Azure Virtual Desktop-fürthöz.
RdP-rövidútvonal használata felügyelt hálózatokhoz asztali kapcsolathoz
Ha engedélyezi az RDP shortpath használatát a felügyelt hálózatokhoz, az RDP-adatok lehetőség szerint megkerülik a proxykiszolgálót. A proxykiszolgáló megkerülése biztosítja az optimális útválasztást az UDP-átvitel használata közben. Az Egyéb Azure Virtual Desktop-forgalom, például a közvetítő, a vezénylés és a diagnosztika továbbra is áthalad a proxykiszolgálón.
Ne használjon SSL-leállítást a proxykiszolgálón
A Secure Sockets Layer (SSL) leállítása lecseréli az Azure Virtual Desktop összetevőinek biztonsági tanúsítványait a proxykiszolgáló által létrehozott tanúsítványokra. Ez a proxykiszolgálói funkció lehetővé teszi a https-forgalom csomagvizsgálatát a proxykiszolgálón. A csomagvizsgálat azonban megnöveli a szolgáltatás válaszideét is, így a felhasználók több időt vesznek igénybe a bejelentkezéshez. Fordított kapcsolatú forgatókönyvek esetén az RDP-forgalom csomagvizsgálatára nincs szükség, mert a fordított kapcsolatú RDP-forgalom bináris, és további titkosítási szinteket használ.
Ha úgy konfigurálja a proxykiszolgálót, hogy SSL-ellenőrzést használjon, ne feledje, hogy az SSL-ellenőrzés után nem állíthatja vissza a kiszolgálót az eredeti állapotára. Ha az Azure Virtual Desktop-környezetben valami nem működik, miközben az SSL-vizsgálat engedélyezve van, le kell tiltania az SSL-ellenőrzést, és újra kell próbálkoznia, mielőtt támogatási esetet nyit. Az SSL-vizsgálat azt is okozhatja, hogy az Azure Virtual Desktop-ügynök működése leáll, mert zavarja az ügynök és a szolgáltatás közötti megbízható kapcsolatokat.
Ne használjon hitelesítést igénylő proxykiszolgálót
A munkamenetgazda Azure Virtual Desktop-összetevői az operációs rendszerük környezetében futnak, így nem támogatják a hitelesítést igénylő proxykiszolgálókat. Ha a proxykiszolgáló hitelesítést igényel, a kapcsolat sikertelen lesz.
A proxykiszolgáló hálózati kapacitásának megtervezése
A proxykiszolgálók kapacitáskorlátokkal rendelkeznek. A normál HTTP-forgalomtól eltérően az RDP-forgalom hosszú ideig fut, forgalmas kapcsolatok, amelyek kétirányúak, és nagy sávszélességet fogyasztanak. A proxykiszolgáló beállítása előtt beszéljen a proxykiszolgáló gyártójával arról, hogy a kiszolgáló mekkora átviteli sebességgel rendelkezik. Azt is kérdezze meg tőlük, hogy egyszerre hány proxymunkamenet futtatható. A proxykiszolgáló üzembe helyezése után gondosan monitorozza az erőforrás-használatát az Azure Virtual Desktop-forgalom szűk keresztmetszetei esetén.
Proxykiszolgálók és a Microsoft Teams médiaoptimalizálása
Az Azure Virtual Desktop nem támogatja a Microsoft Teams médiaoptimalizálással rendelkező proxykiszolgálóit.
Munkamenet-gazdagép konfigurációs javaslatai
Munkamenetgazdaszintű proxykiszolgáló konfigurálásához engedélyeznie kell egy rendszerszintű proxyt. Ne feledje, hogy a rendszerszintű konfiguráció a munkamenet-gazdagépen futó összes operációsrendszer-összetevőre és alkalmazásra hatással van. Az alábbi szakaszok a rendszerszintű proxyk konfigurálására vonatkozó javaslatokat ismertetik.
A webproxy automatikus felderítési (WPAD) protokolljának használata
Az Azure Virtual Desktop-ügynök automatikusan megpróbál megkeresni egy proxykiszolgálót a hálózaton a webproxy automatikus felderítési (WPAD) protokolljával. Egy helymeghatározó kísérlet során az ügynök a tartománynév-kiszolgálón (DNS) keres egy wpad.domainsuffix nevű fájlt. Ha az ügynök megtalálja a fájlt a DNS-ben, http-kérést küld egy wpad.dat nevű fájlhoz. A válasz lesz a kimenő proxykiszolgálót kiválasztó proxykonfigurációs szkript.
Ha úgy szeretné konfigurálni a hálózatot, hogy a WPAD DNS-feloldását használja, kövesse az Internet Explorer 11 automatikus észlelési beállításainak utasításait. A Set-DnsServerGlobalQueryBlockList útmutatásait követve győződjön meg arról, hogy a DNS-kiszolgáló globális lekérdezési blokklistája lehetővé teszi a WPAD feloldását.
Eszközszintű proxy manuális beállítása Windows-szolgáltatásokhoz
Ha manuálisan ad meg proxykiszolgálót, legalább be kell állítania egy proxyt a Windows-szolgáltatások RDAgent és távoli asztali szolgáltatásai számára a munkamenetgazdákon. Az RDAgent a Helyi rendszer fiókkal, a Távoli asztali szolgáltatások pedig a Hálózati szolgáltatás fiókkal fut. Ezekhez a fiókokhoz bitsadmin a parancssori eszközzel állíthat be proxyt.
Az alábbi példa a helyi rendszer- és hálózati szolgáltatásfiókokat proxyfájl .pac használatára konfigurálja. Ezeket a parancsokat rendszergazda jogú parancssorból kell futtatnia, és a helyőrző értékét <server> a saját címével kell módosítania:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
További információt és egyéb példákat a bitsadmin util és a setieproxy című témakörben talál.
Eszközszintű proxyt vagy automatikus proxykonfigurációt () is beállíthat. PAC) fájl, amely az összes interaktív, helyi rendszer- és hálózati szolgáltatásfelhasználóra vonatkozik. Ha a munkamenetgazdák regisztrálva vannak az Intune, beállíthat egy proxyt a hálózati proxy CSP-vel, a Windows több munkamenetes ügyféloldali operációs rendszerei azonban nem támogatják a házirend-CSP-t, mivel csak a beállításkatalógust támogatják. Másik lehetőségként konfigurálhat egy eszközszintű proxyt a netsh winhttp paranccsal. Teljes körű referencia és példák: Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP)
Ügyféloldali proxytámogatás
Az Azure Virtual Desktop-ügyfél támogatja a rendszerbeállításokkal vagy hálózati proxy CSP-vel konfigurált proxykiszolgálók használatát.
Az Azure Virtual Desktop ügyféltámogatása
Az alábbi táblázat azt mutatja be, hogy mely Azure Virtual Desktop-ügyfelek támogatják a proxykiszolgálók használatát:
| Ügyfél neve | Proxykiszolgáló támogatása |
|---|---|
| Asztali Windows | Igen |
| Webes ügyfél | Igen |
| Android | Nem |
| iOS | Igen |
| macOS | Igen |
| Windows Áruház | Igen |
A Linux-alapú vékony ügyfelek proxytámogatásával kapcsolatos további információkért lásd: Vékony ügyféltámogatás.
Támogatási korlátozások
Számos külső szolgáltatás és alkalmazás működik proxykiszolgálóként. Ezek a külső szolgáltatások közé tartoznak az elosztott következő generációs tűzfalak, a webes biztonsági rendszerek és az alapszintű proxykiszolgálók. Nem tudjuk garantálni, hogy minden konfiguráció kompatibilis az Azure Virtual Desktoppal. A Microsoft csak korlátozott támogatást nyújt a proxykiszolgálón létesített kapcsolatokhoz. Ha csatlakozási problémákat tapasztal proxykiszolgáló használata közben, a Microsoft ügyfélszolgálata azt javasolja, hogy konfiguráljon proxy-megkerülést, majd próbálja meg reprodukálni a problémát.
Következő lépések
Az Azure Virtual Desktop üzembe helyezésének biztonságossá tételével kapcsolatos további információkért tekintse meg biztonsági útmutatónkat.