Mengonfigurasi RDP Shortpath untuk Azure Virtual Desktop

Penting

Menggunakan RDP Shortpath untuk jaringan publik dengan TURN untuk Azure Virtual Desktop saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

RDP Shortpath adalah fitur Azure Virtual Desktop yang menetapkan transportasi berbasis UDP langsung antara klien Desktop Jauh Windows dan host sesi yang didukung. Artikel ini menunjukkan cara mengonfigurasi RDP Shortpath untuk jaringan terkelola dan jaringan publik. Untuk informasi lebih lanjut, lihat RDP Shortpath.

Penting

RDP Shortpath hanya tersedia di cloud publik Azure.

Prasyarat

Sebelum Anda dapat mengaktifkan RDP Shortpath, Anda harus memenuhi prasyarat. Pilih tab di bawah untuk skenario Anda.

Jaringan terkelola

• Perangkat klien yang menjalankan klien Desktop Jauh untuk Windows, versi 1.2.3488 atau yang lebih baru. Saat ini, klien non-Windows tidak didukung.

• Konektivitas garis pandang langsung antara klien dan host sesi. Memiliki konektivitas garis pandang langsung berarti bahwa klien dapat tersambung langsung ke host sesi pada port 3390 (default) tanpa diblokir oleh firewall (termasuk Windows Firewall) atau Grup Keamanan Jaringan, dan menggunakan jaringan terkelola seperti:

  • Peering privat ExpressRoute.

  • VPN situs-ke-situs atau Titik-ke-situs (IPsec), seperti Azure VPN Gateway.

Jaringan publik

Tip

RDP Shortpath untuk jaringan publik dengan STUN atau TURN akan bekerja secara otomatis tanpa konfigurasi tambahan, menyediakan jaringan dan firewall yang memungkinkan lalu lintas melalui dan pengaturan transportasi RDP di sistem operasi Windows untuk host sesi dan klien menggunakan nilai default mereka. Langkah-langkah untuk mengonfigurasi RDP Shortpath untuk jaringan publik disediakan untuk host sesi dan klien jika default ini telah diubah.

• Perangkat klien yang menjalankan klien Desktop Jauh untuk Windows, versi 1.2.3488 atau yang lebih baru. Saat ini, klien non-Windows tidak didukung.

• Akses internet untuk klien dan host sesi. Host sesi memerlukan konektivitas UDP keluar dari host sesi Anda ke internet atau koneksi ke server STUN dan TURN. Untuk mengurangi jumlah port yang diperlukan, Anda dapat membatasi rentang port yang digunakan oleh klien untuk jaringan publik.

  Jika lingkungan Anda menggunakan NAT Simetris, maka Anda dapat menggunakan koneksi tidak langsung dengan TURN. Untuk informasi selengkapnya yang dapat Anda gunakan untuk mengonfigurasi firewall dan Kelompok Keamanan Jaringan, lihat Konfigurasi jaringan untuk RDP Shortpath.

• Periksa klien Anda dapat terhubung ke titik akhir STUN dan TURN dan memverifikasi bahwa fungsionalitas UDP dasar berfungsi dengan menjalankan yang dapat avdnettest.exedieksekusi . Untuk langkah-langkah cara melakukannya, lihat Memverifikasi konektivitas server STUN/TURN dan jenis NAT.

• Untuk menggunakan TURN, koneksi dari klien harus berada dalam lokasi yang didukung. Untuk daftar wilayah Azure yang tersedia TURN, lihat wilayah Azure yang didukung dengan ketersediaan TURN.

Penting

• Selama pratinjau, TURN hanya tersedia untuk koneksi ke host sesi di kumpulan host validasi. Untuk mengonfigurasi kumpulan host Anda sebagai lingkungan validasi, lihat Menentukan kumpulan host Anda sebagai lingkungan validasi.

• RDP Shortpath untuk jaringan publik dengan TURN hanya tersedia di cloud publik Azure.

Mengaktifkan RDP Shortpath

Langkah-langkah untuk mengaktifkan RDP Shortpath berbeda untuk host sesi tergantung pada apakah Anda ingin mengaktifkannya untuk jaringan terkelola atau jaringan publik, tetapi sama untuk klien. Pilih tab di bawah untuk skenario Anda.

Host sesi

Jaringan terkelola

Untuk mengaktifkan RDP Shortpath untuk jaringan terkelola, Anda harus mengaktifkan pendengar RDP Shortpath di host sesi Anda. Anda dapat melakukan ini menggunakan Kebijakan Grup, baik secara terpusat dari domain Anda untuk host sesi yang bergabung ke domain Direktori Aktif (AD), atau secara lokal untuk host sesi yang bergabung ke ID Microsoft Entra.

1. Unduh templat administratif Azure Virtual Desktop dan ekstrak konten file .cab dan arsip .zip.

2. Bergantung pada apakah Anda ingin mengonfigurasi Kebijakan Grup secara terpusat dari domain AD Anda, atau secara lokal untuk setiap host sesi:

   1. Domain AD: Salin dan tempel file terminalserver-avd.admx ke Central Store untuk domain Anda, misalnya \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions, di mana contoso.com adalah nama domain Anda. Kemudian salin file en-us\terminalserver-avd.adml ke subfolder en-us.

   2. Buka Konsol Manajemen Kebijakan Grup (GPMC) dan buat atau edit kebijakan yang menargetkan host sesi Anda.

   3. Secara lokal: Salin dan tempel file terminalserver-avd.admx ke %windir%\PolicyDefinitions. Kemudian salin file en-us\terminalserver-avd.adml ke subfolder en-us.

   4. Buka Editor Kebijakan Grup Lokal pada host sesi.

3. Jelajahi Konfigurasi Komputer>Templat Administratif>Komponen Windows>Layanan Desktop Jauh> Host Sesi Desktop Jauh>Azure Virtual Desktop. Anda akan melihat pengaturan kebijakan untuk Azure Virtual Desktop, seperti yang ditunjukkan pada cuplikan layar berikut:

   

4. Buka pengaturan kebijakan Aktifkan RDP Shortpath untuk jaringan terkelola dan atur ke Diaktifkan. Jika Anda mengaktifkan pengaturan kebijakan ini, Anda juga dapat mengonfigurasi nomor port yang akan digunakan host sesi Azure Virtual Desktop untuk mendengarkan koneksi yang masuk. Port defaultnya adalah 3390.

5. Jika Anda perlu mengonfigurasi Windows Firewall untuk mengizinkan port 3390, jalankan salah satu perintah berikut, bergantung pada apakah Anda ingin mengonfigurasi Windows Firewall menggunakan Kebijakan Grup secara terpusat dari domain AD Anda, atau secara lokal untuk setiap host sesi:

   1. Domain AD: Buka perintah PowerShell yang ditingkatkan dan jalankan perintah berikut, ganti nilai untuk $domainName dengan nama domain Anda sendiri, nilai untuk $writableDC dengan nama host pengontrol domain yang dapat ditulis, dan nilai untuk $policyName dengan nama Objek Kebijakan Grup yang ada:

      $domainName = "contoso.com"
      $writableDC = "dc01"
      $policyName = "RDP Shortpath Policy"
      $gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC
      
      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession
      
      Save-NetGPO -GPOSession $gpoSession
      

   2. Secara lokal: Buka prompt PowerShell yang ditingkatkan dan jalankan perintah berikut:

      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True
      

6. Pilih OK dan hidupkan ulang host sesi Anda untuk menerapkan pengaturan kebijakan.

Jaringan publik

Jika Anda perlu mengonfigurasi host sesi dan klien untuk mengaktifkan RDP Shortpath untuk jaringan publik karena pengaturan defaultnya telah diubah, ikuti langkah-langkah berikut. Anda dapat melakukan ini menggunakan Kebijakan Grup, baik secara terpusat dari domain Anda untuk host sesi yang bergabung ke domain Direktori Aktif (AD), atau secara lokal untuk host sesi yang bergabung ke ID Microsoft Entra.

1. Bergantung pada apakah Anda ingin mengonfigurasi Kebijakan Grup secara terpusat dari domain AD Anda, atau secara lokal untuk setiap host sesi:

   1. Domain AD: Buka Konsol Manajemen Kebijakan Grup (GPMC) dan buat atau edit kebijakan yang menargetkan host sesi Anda.

   2. Secara lokal: Buka Editor Kebijakan Grup Lokal pada host sesi.

2. Jelajahi Konfigurasi Komputer>Templat Administratif>Komponen Windows>Layanan Desktop Jauh> Host Sesi Desktop Jauh>Koneksi.

3. Buka pengaturan kebijakan Pilih protokol transportasi RDP. Atur ke Diaktifkan, lalu untuk Pilih Jenis Transportasi, pilih Gunakan UDP dan TCP.

4. Pilih OK dan hidupkan ulang host sesi Anda untuk menerapkan pengaturan kebijakan.

Klien Windows

Langkah-langkah untuk memastikan klien Anda dikonfigurasi dengan benar adalah sama terlepas dari apakah Anda ingin menggunakan RDP Shortpath untuk jaringan terkelola atau jaringan publik. Anda dapat melakukan ini menggunakan Kebijakan Grup untuk klien terkelola yang bergabung ke domain Direktori Aktif, Intune untuk klien terkelola yang bergabung ke MICROSOFT Entra ID dan terdaftar di Intune, atau Kebijakan Grup lokal untuk klien yang tidak dikelola.

Catatan

Secara default di Windows, lalu lintas RDP akan mencoba menggunakan protokol TCP dan UDP. Anda hanya perlu mengikuti langkah-langkah ini jika klien sebelumnya telah dikonfigurasi untuk menggunakan TCP saja.

Aktifkan RDP Shortpath pada klien Windows yang dikelola dan tidak dikelola menggunakan Kebijakan Grup

Untuk mengonfigurasi klien Windows yang dikelola dan tidak dikelola menggunakan Kebijakan Grup:

1. Bergantung pada apakah Anda ingin mengonfigurasi klien terkelola atau tidak terkelola:

   1. Untuk klien terkelola, buka Konsol Manajemen Kebijakan Grup (GPMC) dan buat atau edit kebijakan yang menargetkan klien Anda.

   2. Untuk klien yang tidak dikelola, buka Editor Kebijakan Grup Lokal pada klien.

2. Telusuri ke Konfigurasi Komputer>Templat Administratif>Komponen Windows>Layanan Desktop Jauh> Klien Koneksi Desktop Jauh.

3. Buka pengaturan kebijakan Nonaktifkan UDP Pada Klien dan atur ke Dinonaktifkan.

4. Pilih OK dan hidupkan ulang klien Anda untuk menerapkan pengaturan kebijakan.

Aktifkan RDP Shortpath pada klien Windows menggunakan Intune

Untuk mengonfigurasi klien Windows terkelola menggunakan Intune:

1. Masuk ke pusat admin Microsoft Intune.

2. Buat atau edit profil konfigurasi untuk perangkat Windows 10 dan yang lebih baru , menggunakan templat Administratif.

3. Telusuri konfigurasi komputer>Windows Komponen>Desktop Jauh Layanan>Desktop Jauh Koneksi Klien.

4. Pilih pengaturan Nonaktifkan UDP Pada Klien dan atur ke Dinonaktifkan.

5. Pilih Oke, lalu pilih Berikutnya.

6. Terapkan profil konfigurasi, lalu hidupkan ulang klien Anda.

Dukungan Teredo

Meskipun tidak diperlukan untuk RDP Shortpath, Teredo menambahkan kandidat traversal NAT tambahan dan meningkatkan peluang keberhasilan koneksi RDP Shortpath di jaringan khusus IPv4. Anda dapat mengaktifkan Teredo pada host sesi dan klien dengan menjalankan perintah berikut dari permintaan PowerShell yang ditingkatkan:

Set-NetTeredoConfiguration -Type Enterpriseclient

Verifikasi bahwa RDP Shortpath berfungsi

Selanjutnya, Anda harus memastikan klien Anda tersambung menggunakan RDP Shortpath. Anda dapat memverifikasi transportasi dengan dialog Informasi Koneksi dari klien Desktop Jauh, atau dengan menggunakan Log Analytics.

Dialog Informasi Koneksi

Untuk memastikan koneksi menggunakan RDP Shortpath, Anda dapat memeriksa informasi koneksi pada klien. Pilih tab di bawah untuk skenario Anda.

Jaringan terkelola

1. Menyambungkan ke Azure Virtual Desktop.

2. Buka dialog Informasi Koneksi dengan membuka bilah alat Koneksi di bagian atas layar dan pilih ikon kekuatan sinyal, seperti yang ditunjukkan pada cuplikan layar berikut:

   

3. Anda dapat memverifikasi dalam output bahwa protokol transportasi adalah UDP (Private Network), seperti yang ditunjukkan pada cuplikan layar berikut:

   

Jaringan publik

1. Menyambungkan ke Azure Virtual Desktop.

2. Buka dialog Informasi Koneksi dengan membuka bilah alat Koneksi di bagian atas layar dan pilih ikon kekuatan sinyal, seperti yang ditunjukkan pada cuplikan layar berikut:

   

3. Anda dapat memverifikasi dalam output bahwa UDP diaktifkan, seperti yang ditunjukkan pada cuplikan layar berikut.

   1. Jika STUN digunakan, protokol transportasi adalah UDP:

      

   2. Jika TURN digunakan, protokol transportasi adalah UDP (Relay):

      

Penampil Aktivitas

Untuk memastikan koneksi menggunakan RDP Shortpath, Anda dapat memeriksa log peristiwa di host sesi:

1. Menyambungkan ke Azure Virtual Desktop.

2. Pada host sesi, buka Pemantau Peristiwa.

3. Telusuri Log Aplikasi dan Layanan>Microsoft>Windows>RemoteDesktopServices-RdpCoreCDV> Operasional.

4. Memfilter menurut ID Peristiwa 135. Koneksi menggunakan RDP Shortpath akan menyatakan jenis transportasi menggunakan UDP dengan pesan Koneksi multi-transportasi selesai untuk terowongan: 1, jenis transportasinya diatur ke UDP.

Analitik Log

Jika Anda menggunakan Azure Log Analytics, Anda dapat memantau koneksi dengan menanyakan tabel WVDConnections. Kolom bernama UdpUse menunjukkan apakah Azure Virtual Desktop RDP Stack menggunakan protokol UDP pada koneksi pengguna saat ini. Nilai yang mungkin adalah:

• 1 - Koneksi pengguna menggunakan RDP Shortpath untuk jaringan terkelola.

• 2 - Koneksi pengguna menggunakan RDP Shortpath untuk jaringan publik secara langsung menggunakan STUN.

• 4 - Koneksi pengguna menggunakan RDP Shortpath untuk jaringan publik secara tidak langsung menggunakan TURN.

• Untuk nilai lain, koneksi pengguna tidak menggunakan RDP Shortpath dan terhubung menggunakan TCP.

Kueri berikut ini memungkinkan Anda meninjau informasi koneksi. Anda dapat menjalankan kueri ini di editor kueri Analitik Log. Untuk setiap kueri, ganti user@contoso.com dengan UPN pengguna yang ingin Anda cari.

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

Anda dapat memverifikasi apakah RDP Shortpath diaktifkan untuk sesi pengguna tertentu dengan menjalankan kueri Analitik Log berikut:

WVDCheckpoints 
| where Name contains "Shortpath"

Untuk mempelajari selengkapnya tentang informasi kesalahan, Anda mungkin melihat log di Analitik Log,

Menonaktifkan RDP Shortpath

Langkah-langkah untuk menonaktifkan RDP Shortpath berbeda untuk host sesi tergantung pada apakah Anda ingin menonaktifkannya hanya untuk jaringan terkelola, hanya jaringan publik, atau keduanya. Pilih tab di bawah untuk skenario Anda.

Host sesi

Jaringan terkelola

Untuk menonaktifkan RDP Shortpath untuk jaringan terkelola di host sesi, Anda harus menonaktifkan pendengar RDP Shortpath. Anda dapat melakukan ini menggunakan Kebijakan Grup, baik secara terpusat dari domain Anda untuk host sesi yang bergabung ke domain AD, atau secara lokal untuk host sesi yang bergabung ke ID Microsoft Entra.

Atau, Anda dapat memblokir port 3390 (default) ke host sesi Anda di firewall atau Grup Keamanan Jaringan.

1. Bergantung pada apakah Anda ingin mengonfigurasi Kebijakan Grup secara terpusat dari domain Anda, atau secara lokal untuk setiap host sesi:

   1. Domain AD: Buka Konsol Manajemen Kebijakan Grup (GPMC) dan edit kebijakan yang ada yang menargetkan host sesi Anda.

   2. Secara lokal: Buka Editor Kebijakan Grup Lokal pada host sesi.

2. Jelajahi Konfigurasi Komputer>Templat Administratif>Komponen Windows>Layanan Desktop Jauh> Host Sesi Desktop Jauh>Azure Virtual Desktop. Anda akan melihat pengaturan kebijakan untuk Azure Virtual Desktop memberi Anda templat administratif dari saat Anda mengaktifkan RDP Shortpath untuk jaringan terkelola.

3. Buka pengaturan kebijakan Aktifkan RDP Shortpath untuk jaringan terkelola dan atur ke Tidak Dikonfigurasi.

4. Pilih OK dan hidupkan ulang host sesi Anda untuk menerapkan pengaturan kebijakan.

Jaringan publik

Untuk menonaktifkan RDP Shortpath untuk jaringan publik di host sesi Anda, Anda dapat mengatur protokol transportasi RDP agar hanya mengizinkan TCP. Anda dapat melakukan ini menggunakan Kebijakan Grup, baik secara terpusat dari domain Anda untuk host sesi yang bergabung ke domain AD, atau secara lokal untuk host sesi yang bergabung ke ID Microsoft Entra.

Perhatian

Ini juga akan menonaktifkan RDP Shortpath untuk jaringan terkelola.

Atau, jika Anda ingin menonaktifkan RDP Shortpath hanya untuk jaringan publik, Anda harus memblokir akses ke titik akhir STUN di firewall atau Grup Keamanan Jaringan. Alamat IP untuk titik akhir STUN dapat ditemukan di tabel Jaringan virtual host sesi.

1. Bergantung pada apakah Anda ingin mengonfigurasi Kebijakan Grup secara terpusat dari domain Anda, atau secara lokal untuk setiap host sesi:

   1. Domain AD: Buka Konsol Manajemen Kebijakan Grup (GPMC) dan edit kebijakan yang ada yang menargetkan host sesi Anda.

   2. Secara lokal: Buka Editor Kebijakan Grup Lokal pada host sesi.

2. Jelajahi Konfigurasi Komputer>Templat Administratif>Komponen Windows>Layanan Desktop Jauh> Host Sesi Desktop Jauh>Koneksi.

3. Buka pengaturan kebijakan Pilih protokol transportasi RDP. Atur ke Diaktifkan, lalu untuk Pilih Jenis Transportasi, pilih Hanya gunakan TCP.

4. Pilih OK dan hidupkan ulang host sesi Anda untuk menerapkan pengaturan kebijakan.

Klien Windows

Pada perangkat klien, Anda dapat menonaktifkan RDP Shortpath untuk jaringan terkelola dan jaringan publik dengan mengonfigurasi lalu lintas RDP agar hanya menggunakan TCP. Anda dapat melakukan ini menggunakan Kebijakan Grup untuk klien terkelola yang bergabung ke domain Direktori Aktif, Intune untuk klien terkelola yang bergabung ke (MICROSOFT Entra ID) dan terdaftar di Intune, atau Kebijakan Grup lokal untuk klien yang tidak dikelola.

Penting

Jika sebelumnya Anda telah mengatur lalu lintas RDP untuk mencoba menggunakan protokol TCP dan UDP menggunakan Kebijakan Grup atau Intune, pastikan pengaturan tidak bertentangan.

Nonaktifkan RDP Shortpath pada klien Windows yang dikelola dan tidak dikelola menggunakan Kebijakan Grup

Untuk mengonfigurasi klien Windows yang dikelola dan tidak dikelola menggunakan Kebijakan Grup:

1. Bergantung pada apakah Anda ingin mengonfigurasi klien terkelola atau tidak terkelola:

   1. Untuk klien terkelola, buka Konsol Manajemen Kebijakan Grup (GPMC) dan buat atau edit kebijakan yang menargetkan klien Anda.

   2. Untuk klien yang tidak dikelola, buka Editor Kebijakan Grup Lokal pada klien.

2. Telusuri ke Konfigurasi Komputer>Templat Administratif>Komponen Windows>Layanan Desktop Jauh> Klien Koneksi Desktop Jauh.

3. Buka pengaturan kebijakan Matikan UDP Pada Klien dan atur ke Diaktifkan.

4. Pilih OK dan hidupkan ulang klien Anda untuk menerapkan pengaturan kebijakan.

Nonaktifkan RDP Shortpath pada klien Windows menggunakan Intune

Untuk mengonfigurasi klien Windows terkelola menggunakan Intune:

1. Masuk ke pusat admin Microsoft Intune.

2. Buat atau edit profil konfigurasi untuk perangkat Windows 10 dan yang lebih baru , menggunakan templat Administratif.

3. Jelajahi Komponen Windows>Layanan Desktop Jauh>Klien Koneksi Desktop Jauh.

4. Pilih pengaturan Matikan UDP Pada Klien dan atur ke Diaktifkan. Pilih Oke, lalu pilih Berikutnya.

5. Terapkan profil konfigurasi, lalu hidupkan ulang klien Anda.

Langkah berikutnya

• Pelajari cara membatasi jangkauan port yang digunakan oleh klien menggunakan RDP Shortpath untuk jaringan publik.
• Jika Anda mengalami masalah saat membuat koneksi menggunakan transportasi RDP Shortpath untuk jaringan publik, lihat Memecahkan masalah RDP Shortpath.