Az RDP Shortpath használata nyilvános hálózatokhoz az Azure Virtual Desktop TURN használatával jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az RDP Shortpath közvetlen UDP-alapú átvitelt hoz létre egy helyi eszköz, a Windows-alkalmazás vagy a Távoli asztal alkalmazás között a támogatott platformokon és az Azure Virtual Desktop munkamenet-gazdagépén.
Alapértelmezés szerint a Távoli asztali protokoll (RDP) megpróbál létrehozni egy távoli munkamenetet az UDP használatával, és a TCP-alapú fordított kapcsolat átvitelét használja tartalék kapcsolati mechanizmusként. Az UDP-alapú átvitel jobb kapcsolati megbízhatóságot és konzisztensebb késést biztosít. A TCP-alapú fordított kapcsolat átvitele biztosítja a legjobb kompatibilitást a különböző hálózati konfigurációkkal, és nagy sikert aratott az RDP-kapcsolatok létrehozásához.
Az RDP Shortpath kétféleképpen használható:
Felügyelt hálózatok, ahol közvetlen kapcsolat jön létre az ügyfél és a munkamenet-gazdagép között privát kapcsolat, például virtuális magánhálózat (VPN) használatakor. A felügyelt hálózatot használó kapcsolat az alábbi módok egyikével jön létre:
Közvetlen UDP-kapcsolat az ügyféleszköz és a munkamenet-gazdagép között, ahol engedélyeznie kell az RDP Shortpath figyelőt, és engedélyeznie kell egy bejövő portot az egyes munkamenet-gazdagépeken a kapcsolatok elfogadásához.
Közvetlen UDP-kapcsolat az ügyféleszköz és a munkamenet-gazdagép között az egyszerű bejárási nat (STUN) protokoll használatával az ügyfél és a munkamenet-gazdagép között. A munkamenet-gazdagép bejövő portjainak engedélyezése nem kötelező.
Nyilvános hálózatok, amelyek nyilvános kapcsolat használatakor közvetlen kapcsolatot létesítenek az ügyfél és a munkamenet-gazdagép között. Nyilvános kapcsolat használatakor két kapcsolattípus létezik, amelyek az itt felsorolt beállítások szerint vannak felsorolva:
Közvetlen UDP-kapcsolat az egyszerű bejárási nat (STUN) protokoll használatával az ügyfél és a munkamenet-gazdagép között.
Közvetett UDP-kapcsolat a Traversal Using Relay NAT (TURN) protokollal, az ügyfél és a munkamenet-gazdagép közötti továbbítással. Ez előzetes verzióban érhető el.
Az RDP Shortpathhoz használt átvitel az Universal Rate Control Protocol (URCP) protokollon alapul. Az URCP javítja az UDP-t a hálózati feltételek aktív monitorozásával, és tisztességes és teljes kapcsolatkihasználtságot biztosít. Az URCP szükség szerint alacsony késleltetési és veszteségszinten működik.
Fontos
Az előzetes verzióban a TURN csak az érvényesítési gazdagépkészlet munkamenet-gazdagépeinek kapcsolataihoz érhető el. A gazdagépkészlet érvényesítési környezetként való konfigurálásához tekintse meg a gazdagépkészlet ellenőrzési környezetként való definiálását.
A TURN-et tartalmazó nyilvános hálózatokhoz készült RDP Shortpath csak az Azure nyilvános felhőben érhető el.
Fő előnyök
Az RDP Shortpath használata a következő fő előnyökkel jár:
Az URCP használata az UDP továbbfejlesztéséhez a legjobb teljesítményt nyújtja a hálózati paraméterek dinamikus tanulásával és a protokoll sebesség-vezérlési mechanizmussal való biztosításával.
Az extra továbbítási pontok eltávolítása csökkenti az oda-vissza menetidőt, ami javítja a kapcsolat megbízhatóságát és a felhasználói élményt a késésre érzékeny alkalmazások és beviteli módszerek használatával.
Emellett felügyelt hálózatok esetén:
Az RDP Shortpath támogatja az RDP-kapcsolatok szolgáltatásminőségi (QoS) prioritásának konfigurálását a differenciált szolgáltatások kódpontjai (DSCP) jeleken keresztül.
Az RDP Shortpath átvitele lehetővé teszi a kimenő hálózati forgalom korlátozását az egyes munkamenetek szabályozási sebességének megadásával.
Az RDP Shortpath működése
Ha meg szeretné tudni, hogyan működik az RDP Shortpath felügyelt hálózatokhoz és nyilvános hálózatokhoz, válassza az alábbi lapok mindegyikét.
Helyek közötti vagy pont–hely VPN (IPsec), például Azure VPN Gateway
A közvetlen látóvonal-kapcsolat azt jelenti, hogy az ügyfél közvetlenül csatlakozhat a munkamenet-gazdagéphez anélkül, hogy tűzfalak blokkolják.
Feljegyzés
Ha más VPN-típusokat használ az Azure-hoz való csatlakozáshoz, javasoljuk, hogy UDP-alapú VPN-t használjon. Bár a legtöbb TCP-alapú VPN-megoldás támogatja a beágyazott UDP-t, örökölt többletterhelést adnak hozzá a TCP-torlódás-vezérléshez, ami lelassítja az RDP teljesítményét.
Az RDP Shortpath felügyelt hálózatokhoz való használatához engedélyeznie kell egy UDP-figyelőt a munkamenet-gazdagépeken. Alapértelmezés szerint a 3390-s portot használja a rendszer, bár más portot is használhat.
Az alábbi ábra magas szintű áttekintést nyújt a hálózati kapcsolatokról az RDP Shortpath active Directory-tartományhoz csatlakoztatott felügyelt hálózatokhoz és munkamenet-gazdagépekhez való használatakor.
Kapcsolatütemezés
Minden kapcsolat egy TCP-alapú fordított kapcsolat átvitelének létrehozásával kezdődik az Azure Virtual Desktop Gatewayen keresztül. Ezután az ügyfél és a munkamenet-gazdagép létrehozza a kezdeti RDP-átvitelt, és megkezdi a képességeik cseréjét. Ezeket a képességeket a következő eljárással tárgyaljuk meg:
A munkamenet-gazdagép elküldi az IPv4- és IPv6-címeinek listáját az ügyfélnek.
Az ügyfél elindítja a háttérszálat, hogy egy párhuzamos UDP-alapú átvitelt hozzon létre közvetlenül a munkamenet-gazdagép IP-címére.
Bár az ügyfél a megadott IP-címeket űzi, továbbra is létrehozza a kezdeti kapcsolatot a fordított kapcsolat átvitelén keresztül, hogy ne legyen késés a felhasználói kapcsolatban.
Ha az ügyfél közvetlen kapcsolatban áll a munkamenet-gazdagéppel, az ügyfél biztonságos kapcsolatot létesít tLS használatával megbízható UDP-kapcsolaton keresztül.
Az RDP Shortpath-átvitel létrehozása után a rendszer az összes dinamikus virtuális csatornát (DVC-t) áthelyezi az új átvitelbe, beleértve a távoli grafikus elemeket, a bemenetet és az eszközátirányítást. Ha azonban egy tűzfal vagy hálózati topológia megakadályozza, hogy az ügyfél közvetlen UDP-kapcsolatot létesítsen, az RDP fordított kapcsolatú átvitelsel folytatódik.
Ha a felhasználók rdp shortpath-tal rendelkeznek a felügyelt hálózatokhoz és a nyilvános hálózatokhoz, akkor a rendszer az elsőként talált algoritmust fogja használni. A felhasználó azt fogja használni, amelyik először létrejön az adott munkamenethez.
Annak érdekében, hogy az UDP-kapcsolat sikeres legyen a nyilvános kapcsolat használatakor, a közvetlen és közvetett kapcsolattípusok a következők:
Közvetlen kapcsolat: A STUN használatával közvetlen UDP-kapcsolatot hozhat létre az ügyfél és a munkamenet-gazdagép között. A kapcsolat létrehozásához az ügyfélnek és a munkamenet-gazdagépnek képesnek kell lennie arra, hogy nyilvános IP-címen és egyeztetett porton keresztül csatlakozzon egymáshoz. A legtöbb ügyfél azonban nem ismeri a saját nyilvános IP-címét, mivel egy hálózati címfordítási (NAT) átjáróeszköz mögött ül. A STUN egy protokoll egy nyilvános IP-cím NAT-átjáróeszköz és az ügyfél mögötti önfelderítéséhez, amely meghatározza a saját nyilvános IP-címét.
Ahhoz, hogy egy ügyfél használhassa az STUN-t, a hálózatának engedélyeznie kell az UDP-forgalmat. Feltéve, hogy az ügyfél és a munkamenet-gazdagép közvetlenül a másik felderített IP-címére és portjára tud irányítani, a kommunikáció a WebSocket protokollon keresztül közvetlen UDP-vel jön létre. Ha tűzfalak vagy más hálózati eszközök blokkolják a közvetlen kapcsolatokat, a rendszer közvetett UDP-kapcsolatot próbál ki.
Közvetett kapcsolat: A TURN egy közvetett kapcsolat létrehozására szolgál, amely a forgalmat egy köztes kiszolgálón keresztül irányítja át egy ügyfél és a munkamenet-gazdagép között, ha közvetlen kapcsolat nem lehetséges. A TURN a STUN kiterjesztése. A TURN használata azt jelenti, hogy a nyilvános IP-cím és a port előre ismert, amely tűzfalakon és más hálózati eszközökön keresztül engedélyezhető.
A TURN általában felhasználónévvel/jelszóval engedélyezi a kiszolgálóhoz való hozzáférést, és elsődleges működési módja az UDP-szoftvercsatornák használata. Ha tűzfalak vagy más hálózati eszközök blokkolják az UDP-forgalmat, a kapcsolat visszaesik egy TCP-alapú fordított kapcsolati átvitelre.
A kapcsolat létrehozásakor az Interaktív kapcsolatlétrehozás (ICE) koordinálja a STUN és a TURN kezelését a kapcsolat létrehozásának valószínűségének optimalizálása érdekében, és biztosítja, hogy az előnyben részesített hálózati kommunikációs protokollok elsőbbséget élvezhessenek.
Minden RDP-munkamenet dinamikusan hozzárendelt UDP-portot használ egy rövid élettartamú porttartományból (alapértelmezés szerint 49152és 65535 között), amely elfogadja az RDP Shortpath-forgalmat. A 65330-as port figyelmen kívül lesz hagyva ebből a tartományból, mivel az Azure belső használatra van fenntartva. Kisebb, kiszámítható porttartományt is használhat. További információ: Az ügyfelek által a nyilvános hálózatokhoz használt porttartomány korlátozása.
Tipp.
A nyilvános hálózatokhoz készült RDP Shortpath automatikusan, további konfigurációk nélkül működik, mivel a hálózatok és tűzfalak lehetővé teszik a windowsos operációs rendszer adatforgalmát és RDP átviteli beállításait a munkamenet-gazdagépek számára, és az ügyfelek az alapértelmezett értékeiket használják.
Az alábbi ábra magas szintű áttekintést nyújt a hálózati kapcsolatokról az RDP Shortpath nyilvános hálózatokhoz való használatakor, ahol a munkamenet-gazdagépek csatlakoztak a Microsoft Entra-azonosítóhoz.
Hálózati címfordítás és tűzfalak
A legtöbb Azure Virtual Desktop-ügyfél a magánhálózaton lévő számítógépeken fut. Az internet-hozzáférést hálózati címfordítási (NAT) átjáróeszköz biztosítja. Ezért a NAT-átjáró módosítja a magánhálózattól érkező és az internetre irányuló összes hálózati kérést. Az ilyen módosítás egyetlen nyilvános IP-címet kíván megosztani a magánhálózat összes számítógépén.
Az IP-csomag módosítása miatt a forgalom címzettje a NAT-átjáró nyilvános IP-címét fogja látni a tényleges feladó helyett. Amikor a forgalom visszakerül a NAT-átjáróra, gondoskodni fog róla, hogy a feladó tudta nélkül továbbítsa azt a címzettnek. A legtöbb esetben az ilyen NAT mögött elrejtett eszközök nem tudják, hogy a fordítás történik, és nem ismerik a NAT-átjáró hálózati címét.
A NAT azon Azure-beli virtuális hálózatokra vonatkozik, ahol az összes munkamenet-állomás található. Amikor egy munkamenet-gazdagép megpróbálja elérni a hálózati címet az interneten, a NAT Gateway (az Azure által biztosított saját vagy alapértelmezett) vagy az Azure Load Balancer elvégzi a címfordítást. A forráshálózati címfordítás különböző típusairól további információt a Kimenő kapcsolatok forráshálózati címfordítás (SNAT) használata című témakörben talál.
A legtöbb hálózat általában tűzfalakat tartalmaz, amelyek ellenőrzik a forgalmat, és szabályok alapján blokkolják azt. A legtöbb ügyfél úgy konfigurálja a tűzfalakat, hogy megakadályozza a bejövő kapcsolatokat (azaz kérés nélkül küldött, kéretlen csomagokat az internetről). A tűzfalak különböző technikákat alkalmaznak az adatfolyam nyomon követésére a kért és a kéretlen forgalom megkülönböztetése érdekében. A TCP kontextusában a tűzfal nyomon követi a SYN- és ACK-csomagokat, és a folyamat egyszerű. Az UDP-tűzfalak általában csomagcímeken alapuló heurisztikus megoldásokat használnak a forgalom UDP-folyamatokhoz való társításához és engedélyezéséhez vagy letiltásához.
Számos különböző NAT-implementáció érhető el. A legtöbb esetben a NAT-átjáró és a tűzfal ugyanannak a fizikai vagy virtuális eszköznek a funkciói.
Kapcsolatütemezés
Minden kapcsolat egy TCP-alapú fordított kapcsolat átvitelének létrehozásával kezdődik az Azure Virtual Desktop Gatewayen keresztül. Ezután az ügyfél és a munkamenet-gazdagép létrehozza a kezdeti RDP-átvitelt, és megkezdi a képességeik cseréjét. Ha a nyilvános hálózatokhoz készült RDP Shortpath engedélyezve van a munkamenet-gazdagépen, a munkamenet-gazdagép elindít egy jelöltgyűjtés nevű folyamatot:
A munkamenet-gazdagép felsorolja a munkamenet-gazdagéphez rendelt összes hálózati adaptert, beleértve az olyan virtuális adaptereket is, mint a VPN és a Teredo.
A Windows-szolgáltatás távoli asztali szolgáltatásai (TermService) minden felületen lefoglalják az UDP-szoftvercsatornákat, és az IP:portpárt helyi jelöltként tárolják a jelölt táblában.
A Távoli asztali szolgáltatások szolgáltatás az előző lépésben lefoglalt UDP-szoftvercsatornák használatával próbálja elérni az Azure Virtual Desktop STUN-kiszolgálót a nyilvános interneten. A kommunikáció úgy történik, hogy egy kis UDP-csomagot küld a 3478-as portra.
Ha a csomag eléri a STUN-kiszolgálót, a STUN-kiszolgáló a nyilvános IP-címmel és porttal válaszol. Ezeket az információkat a rendszer reflexív jelöltként tárolja a jelölttáblában.
Miután a munkamenet-gazdagép összegyűjti az összes jelöltet, a munkamenet-gazdagép a létrehozott fordított kapcsolat átvitelével továbbítja a jelöltlistát az ügyfélnek.
Amikor az ügyfél megkapja a jelöltek listáját a munkamenet-gazdagéptől, az ügyfél a maga oldalán is végrehajtja a jelöltek gyűjtését. Ezután az ügyfél elküldi a jelöltlistáját a munkamenet-gazdagépnek.
Miután a munkamenetgazda és az ügyfél kicserélte a jelöltlistáikat, mindkét fél megpróbál csatlakozni egymással az összes összegyűjtött jelölt használatával. Ez a kapcsolati kísérlet mindkét oldalon egyidejű. Számos NAT-átjáró úgy van konfigurálva, hogy engedélyezze a bejövő forgalmat a szoftvercsatornába, amint a kimenő adatátvitel inicializálja azt. A NAT-átjárók ezen viselkedése az oka annak, hogy az egyidejű kapcsolat elengedhetetlen. Ha a STUN meghiúsul, mert le van tiltva, a közvetett kapcsolati kísérlet a TURN használatával történik.
A kezdeti csomagcsere után az ügyfél és a munkamenet-gazdagép egy vagy több adatfolyamot hozhat létre. Ezekből az adatfolyamokból az RDP a leggyorsabb hálózati útvonalat választja ki. Az ügyfél ezután biztonságos kapcsolatot létesít TLS használatával megbízható UDP-vel a munkamenet-gazdagéppel, és kezdeményezi az RDP Shortpath átvitelét.
Miután az RDP létrehozza az RDP Shortpath-átvitelt, az összes dinamikus virtuális csatorna (DVC), beleértve a távoli grafikus elemeket, a bemenetet és az eszközátirányítást, az új átvitelre kerül.
Ha a felhasználók rdp Shortpath for managed network és nyilvános hálózatok számára is elérhetők, akkor a rendszer az első megtalált algoritmust fogja használni, ami azt jelenti, hogy a felhasználó az adott munkamenethez először létrehozott kapcsolatot fogja használni. További információ: 4. példaforgatókönyv.
Fontos
TCP-alapú átvitel használatakor a munkamenet-gazdagépről az ügyfélre irányuló kimenő forgalom az Azure Virtual Desktop Gatewayen keresztül történik. A nyilvános hálózatokhoz készült RDP Shortpath STUN használatával a kimenő forgalom közvetlenül a munkamenet-gazdagép és az ügyfél között jön létre az interneten keresztül. Ez eltávolít egy ugrást, amely javítja a késést és a végfelhasználói élményt. A munkamenet-gazdagép és az ügyfél közötti adatfolyam változásai miatt azonban, ahol az átjáró már nincs használatban, a felhasznált internetes sávszélességért előfizetésenként is fizetni kell az Azure-beli kimenő hálózati díjakat . Ha többet szeretne megtudni az RDP által használt sávszélesség becsléséről, tekintse meg az RDP sávszélességére vonatkozó követelményeket.
Hálózati konfiguráció
Az RDP Shortpath nyilvános hálózatokhoz való támogatásához általában nincs szükség konkrét konfigurációra. A munkamenetgazda és az ügyfél automatikusan felderíti a közvetlen adatfolyamot, ha ez lehetséges a hálózati konfigurációban. Azonban minden környezet egyedi, és egyes hálózati konfigurációk negatívan befolyásolhatják a közvetlen kapcsolat sikerességét. Kövesse az ajánlásokat a közvetlen adatfolyamok valószínűségének növeléséhez.
Mivel az RDP Shortpath UDP használatával hoz létre egy adatfolyamot, ha a hálózaton található tűzfal blokkolja az UDP-forgalmat, az RDP Shortpath sikertelen lesz, és a kapcsolat visszaesik a TCP-alapú fordított kapcsolat átvitelére. Az Azure Virtual Desktop az Azure Communication Services és a Microsoft Teams által biztosított STUN-kiszolgálókat használja. A szolgáltatás jellegéből adódóan a munkamenet-gazdagépekről az ügyfél felé irányuló kimenő kapcsolatra van szükség. Sajnos nem tudja megjósolni, hogy a felhasználók hol találhatók a legtöbb esetben. Ezért azt javasoljuk, hogy engedélyezi a kimenő UDP-kapcsolatot a munkamenet-gazdagépekről az internetre. A szükséges portok számának csökkentése érdekében korlátozhatja az ügyfelek által az UDP-folyamathoz használt porttartományt. Az RDP Shortpath tűzfalainak konfigurálásához használja az alábbi táblázatokat.
Ha a környezet szimmetrikus NAT-ot használ, amely egyetlen magánforrás IP :portjának leképezése egy egyedi nyilvános cél IP:Portra, akkor használhat közvetett kapcsolatot a TURN-vel. Ez a helyzet az Azure Firewall és az Azure NAT Gateway használata esetén. További információ az Azure-beli virtuális hálózatokkal rendelkező NAT-ról: Forráshálózati címfordítás virtuális hálózatokkal.
Ha a felhasználók rdp shortpath-tal rendelkeznek a felügyelt és a nyilvános hálózatokhoz is, akkor a rendszer az első talált algoritmust fogja használni. A felhasználó azt fogja használni, amelyik először létrejön az adott munkamenethez. További információ: Példaforgatókönyvek.
TURN rendelkezésre állás (előzetes verzió)
A TURN az alábbi Azure-régiókban érhető el:
Délkelet-Ausztrália
Közép-India
USA keleti régiója
USA 2. keleti régiója
Közép-Franciaország
Nyugat-Japán
Észak-Európa
USA déli középső régiója
Délkelet-Ázsia
Az Egyesült Királyság déli régiója
Az Egyesült Királyság nyugati régiója
Nyugat-Európa
USA nyugati régiója
USA 2. nyugati régiója
Munkamenet-gazdagép virtuális hálózata
Név
Forrás
Forrásport
Cél
Célport
Protokoll
Művelet
RDP shortpath kiszolgálóvégpont
Virtuálisgép-alhálózat
Bármelyik
Bármelyik
1024-65535 (alapértelmezett 49152-65535)
UDP
Engedélyezés
STUN/TURN UDP
Virtuálisgép-alhálózat
Bármely
20.202.0.0/16
3478
UDP
Engedélyezés
STUN/TURN TCP
Virtuálisgép-alhálózat
Bármely
20.202.0.0/16
443
TCP
Engedélyezés
Ügyfélhálózat
Név
Forrás
Forrásport
Cél
Célport
Protokoll
Művelet
RDP shortpath kiszolgálóvégpont
Ügyfélhálózat
Bármely
A NAT-átjáróhoz vagy az Azure Firewallhoz rendelt nyilvános IP-címek (amelyeket a STUN-végpont biztosít)
1024-65535 (alapértelmezett 49152-65535)
UDP
Engedélyezés
STUN/TURN UDP
Ügyfélhálózat
Bármely
20.202.0.0/16
3478
UDP
Engedélyezés
STUN/TURN TCP
Ügyfélhálózat
Bármely
20.202.0.0/16
443
TCP
Engedélyezés
Teredo-támogatás
Bár az RDP Shortpath esetében nem szükséges, a Teredo további NAT-bejárási jelölteket ad hozzá, és növeli a sikeres RDP Shortpath-kapcsolat esélyét az IPv4-alapú hálózatokban. A Teredo munkamenet-gazdagépeken és -ügyfeleken való engedélyezéséről további információt a Teredo támogatásának engedélyezése című témakörben talál.
UPnP-támogatás
A közvetlen kapcsolat esélyének javítása érdekében a Távoli asztali ügyfél oldalán az RDP Shortpath UPnP használatával konfigurálhat egy portleképezést a NAT-útválasztón. Az UPnP egy szabványos technológia, amelyet különböző alkalmazások, például az Xbox, a Kézbesítésoptimalizálás és a Teredo használnak. Az UPnP általában az otthoni hálózaton található útválasztókon érhető el. Az UPnP alapértelmezés szerint engedélyezve van a legtöbb otthoni útválasztón és hozzáférési ponton, de gyakran le van tiltva a vállalati hálózatkezelésben.
Általános javaslatok
Íme néhány általános javaslat az RDP Shortpath nyilvános hálózatokhoz való használatakor:
Ne használjon kényszerített bújtatási konfigurációkat, ha a felhasználók az Interneten keresztül férnek hozzá az Azure Virtual Desktophoz.
Győződjön meg arról, hogy nem használ kettős NAT- vagy Carrier-Grade-NAT-(CGN-) konfigurációkat.
Javasoljuk a felhasználóknak, hogy ne tiltsák le az UPnP-t az otthoni útválasztóikon.
Kerülje a felhőbeli csomagvizsgálati szolgáltatások használatát.
Kerülje a TCP-alapú VPN-megoldások használatát.
IPv6-kapcsolat vagy Teredo engedélyezése.
Kapcsolatbiztonság
Az RDP Shortpath kibővíti az RDP többátviteli képességeit. Nem helyettesíti a fordított csatlakozású átvitelt, hanem kiegészíti azt. A kezdeti munkamenet-közvetítést az Azure Virtual Desktop szolgáltatás és a fordított kapcsolat átvitele kezeli. A rendszer az összes csatlakozási kísérletet figyelmen kívül hagyja, kivéve, ha azok először a fordított csatlakozási munkamenetnek felelnek meg. Az RDP Shortpath a hitelesítés után jön létre, és ha sikeresen létrejött, a fordított kapcsolat átvitele megszakad, és az összes forgalom az RDP Shortpathon halad át.
Az RDP Shortpath biztonságos kapcsolatot használ TLS használatával megbízható UDP-vel az ügyfél és a munkamenet-gazdagép között a munkamenetgazda tanúsítványai használatával. Alapértelmezés szerint az RDP-titkosításhoz használt tanúsítványt az operációs rendszer saját maga hozza létre az üzembe helyezés során. Központilag felügyelt tanúsítványokat is üzembe helyezhet, amelyeket egy vállalati hitelesítésszolgáltató állít ki. A tanúsítványkonfigurációkról további információt a Távoli asztali figyelő tanúsítványkonfigurációi című témakörben talál.
Feljegyzés
Az RDP Shortpath által kínált biztonság megegyezik a TCP fordított kapcsolat átvitelével.
Példaforgatókönyvek
Íme néhány példaforgatókönyv, amely bemutatja, hogyan történik a kapcsolatok kiértékelése annak eldöntésére, hogy az RDP Shortpathot használják-e különböző hálózati topológiákban.
1. eset
UDP-kapcsolat csak nyilvános hálózaton (interneten) keresztül létesíthető az ügyféleszköz és a munkamenet-gazdagép között. Közvetlen kapcsolat, például VPN nem érhető el. Az UDP tűzfalon vagy NAT-eszközön keresztül engedélyezett.
2. eset
Egy tűzfal vagy NAT-eszköz blokkolja a közvetlen UDP-kapcsolatot, de közvetett UDP-kapcsolat továbbítható a TURN használatával az ügyféleszköz és a munkamenet-gazdagép között egy nyilvános hálózaton (interneten). Egy másik közvetlen kapcsolat, például a VPN nem érhető el.
3. eset
UDP-kapcsolat létesíthető az ügyféleszköz és a munkamenet-gazdagép között nyilvános hálózaton keresztül vagy közvetlen VPN-kapcsolaton keresztül, de a felügyelt hálózatok RDP Shortpath szolgáltatása nincs engedélyezve. Amikor az ügyfél kezdeményezi a kapcsolatot, az ICE/STUN protokoll több útvonalat is lát, és kiértékeli az egyes útvonalakat, és kiválasztja azt, amelyik a legkisebb késéssel rendelkezik.
Ebben a példában a közvetlen VPN-kapcsolaton keresztüli nyilvános hálózatokhoz RDP Shortpathot használó UDP-kapcsolat jön létre, mivel a legkisebb késéssel rendelkezik, ahogyan azt a zöld vonal is mutatja.
4\. példa
A nyilvános hálózatokhoz és a felügyelt hálózatokhoz készült RDP Shortpath is engedélyezve van. UDP-kapcsolat létesíthető az ügyféleszköz és a munkamenet-gazdagép között nyilvános hálózaton vagy közvetlen VPN-kapcsolaton keresztül. Amikor az ügyfél kezdeményezi a kapcsolatot, egyidejűleg megkísérel csatlakozni rdp Shortpath használatával a felügyelt hálózatokhoz a 3390-s porton (alapértelmezés szerint) és az RDP Shortpathon keresztül a nyilvános hálózatokhoz az ICE/STUN protokollon keresztül. A rendszer az elsőként talált algoritmust használja, és a felhasználó azt használja, amelyik először létrejön az adott munkamenethez.
Mivel a nyilvános hálózaton való átvétel több lépést is tartalmaz, például NAT-eszközt, terheléselosztót vagy STUN-kiszolgálót, valószínű, hogy az elsőként megtalált algoritmus rdP Shortpath használatával választja ki a kapcsolatot a felügyelt hálózatokhoz, és először létrejön.
5. forgatókönyv
UDP-kapcsolat létesíthető az ügyféleszköz és a munkamenet-gazdagép között nyilvános hálózaton keresztül vagy közvetlen VPN-kapcsolaton keresztül, de a felügyelt hálózatok RDP Shortpath szolgáltatása nincs engedélyezve. Ha meg szeretné akadályozni, hogy az ICE/STUN egy adott útvonalat használjon, a rendszergazda letilthatja az UDP-forgalom egyik útvonalát. Az útvonal blokkolásával biztosítható, hogy a fennmaradó útvonal mindig használható legyen.
Ebben a példában az UDP le van tiltva a közvetlen VPN-kapcsolaton, és az ICE/STUN protokoll kapcsolatot létesít a nyilvános hálózaton keresztül.
6. forgatókönyv
A nyilvános hálózatokhoz és a felügyelt hálózatokhoz készült RDP Shortpath is konfigurálva van, de közvetlen VPN-kapcsolattal nem hozható létre UDP-kapcsolat. A tűzfal vagy NAT-eszköz a nyilvános hálózat (internet) használatával is blokkolja a közvetlen UDP-kapcsolatot, de közvetett UDP-kapcsolat továbbítható a TURN használatával az ügyféleszköz és a munkamenet-gazdagép között egy nyilvános hálózaton (interneten) keresztül.
7. forgatókönyv
A nyilvános hálózatokhoz és a felügyelt hálózatokhoz készült RDP Shortpath is konfigurálva van, de UDP-kapcsolat nem hozható létre. Ebben a példában az RDP Shortpath sikertelen lesz, és a kapcsolat visszaesik a TCP-alapú fordított kapcsolat átvitelére.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz:
