RDP Shortpath untuk Azure Virtual Desktop

Koneksi ke Azure Virtual Desktop menggunakan Protokol Kendali Transmisi (TCP) atau Protokol Datagram Pengguna (UDP). RDP Shortpath adalah fitur Azure Virtual Desktop yang menetapkan transportasi berbasis UDP langsung antara klien Desktop Jauh Windows dan host sesi yang didukung. Protokol Desktop Jauh (RDP) secara default menggunakan transportasi koneksi terbaik berbasis TCP karena menyediakan kompatibilitas terbaik dengan berbagai konfigurasi jaringan dan memiliki tingkat keberhasilan yang tinggi untuk membuat koneksi RDP. Namun, jika RDP Shortpath dapat digunakan sebagai gantinya, transport berbasis UDP ini menawarkan keandalan koneksi yang lebih baik dan latensi yang lebih konsisten.

RDP Shortpath dapat digunakan dengan dua cara:

  • Jaringan terkelola, di mana konektivitas langsung dibuat antara klien dan host sesi saat menggunakan koneksi privat, seperti jaringan privat Maya (VPN).

  • Jaringan publik, di mana konektivitas langsung dibuat antara klien dan host sesi melalui NAT gateway, yang disediakan sebagai bagian dari layanan Azure Desktop, saat menggunakan koneksi publik.

Transportasi yang digunakan untuk RDP Shortpath didasarkan pada Universal Rate Control Protocol (URCP). URCP meningkatkan UDP dengan pemantauan aktif pada kondisi jaringan dan memberikan pemanfaatan tautan yang adil dan lengkap. URCP beroperasi pada tingkat penundaan dan kehilangan yang rendah sesuai kebutuhan.

Keuntungan utama

Menggunakan RDP Shortpath memiliki keuntungan utama sebagai berikut:

  • Menggunakan URCP untuk meningkatkan UDP mencapai performa terbaik dengan mempelajari parameter jaringan secara dinamis dan menyediakan protokol dengan mekanisme kontrol kecepatan.
  • Penghapusan titik relai tambahan mengurangi waktu komunikasi dua arah, yang meningkatkan keandalan koneksi dan pengalaman pengguna dengan aplikasi dan metode input yang sensitif terhadap latensi.
  • Selain itu, untuk jaringan terkelola:
    • RDP Shortpath memberikan dukungan untuk mengonfigurasi prioritas Kualitas Layanan (QoS) untuk koneksi RDP melalui tanda Titik Kode Layanan Berbeda (DSCP).
    • Transportasi RDP Shortpath memungkinkan pembatasan lalu lintas jaringan keluar dengan menentukan kecepatan pembatasan untuk setiap sesi.

Cara kerja RDP Shortpath

Untuk mempelajari cara kerja RDP Shortpath untuk jaringan terkelola dan jaringan publik, pilih setiap tab berikut.

Anda dapat mencapai konektivitas garis pandang langsung yang diperlukan untuk menggunakan RDP Shortpath dengan jaringan terkelola menggunakan metode berikut. Memiliki konektivitas garis pandang langsung berarti bahwa klien dapat tersambung langsung ke host sesi tanpa diblokir oleh firewall.

Catatan

  • Jika Anda menggunakan jenis VPN lain untuk tersambung ke Azure, sebaiknya gunakan VPN berbasis UDP. Sementara sebagian besar solusi VPN berbasis TCP mendukung UDP berlapis, mereka menambahkan overhead bawaan dari kontrol kemacetan TCP, yang memperlambat performa RDP.

Untuk menggunakan RDP Shortpath untuk jaringan terkelola, Anda harus mengaktifkan pendengar UDP di host sesi Anda. Secara default, port 3390 digunakan, meskipun Anda dapat menggunakan port yang berbeda.

Diagram berikut memberikan gambaran umum tingkat tinggi tentang koneksi jaringan saat menggunakan RDP Shortpath untuk jaringan terkelola dan host sesi yang bergabung ke domain Direktori Aktif.

Diagram koneksi jaringan saat menggunakan RDP Shortpath untuk jaringan terkelola.

Urutan koneksi

Semua koneksi dimulai dengan membuat transportasi koneksi terbalik berbasis TCP melalui Azure Virtual Desktop Gateway. Kemudian, klien dan host sesi membuat transportasi RDP awal, dan mulai bertukar kemampuan mereka. Kemampuan ini dinegosiasikan menggunakan proses berikut:

  1. Host sesi mengirimkan daftar alamat IPv4 dan IPv6 ke klien.

  2. Klien memulai alur latar belakang untuk membuat transportasi berbasis UDP paralel secara langsung ke salah satu alamat IP host sesi.

  3. Saat klien memeriksa alamat IP yang disediakan, klien melanjutkan pembentukan koneksi awal melalui transportasi koneksi terbalik untuk memastikan tidak ada penundaan dalam koneksi pengguna.

  4. Jika klien memiliki koneksi langsung ke host sesi, klien membuat koneksi TLS yang aman.

  5. Setelah membuat transportasi RDP Shortpath, semua Dynamic Virtual Channels (DVC), termasuk grafik jarak jauh, input, dan pengalihan perangkat, dipindahkan ke transportasi baru. Namun, jika firewall atau topologi jaringan mencegah klien membuat konektivitas UDP langsung, RDP melanjutkan dengan transportasi koneksi terbalik.

Jika pengguna Anda memiliki RDP Shortpath untuk jaringan terkelola dan jaringan publik yang tersedia untuk mereka, maka algoritma pertama yang ditemukan akan digunakan. Pengguna akan menggunakan koneksi mana pun yang akan dibuat terlebih dahulu untuk sesi tersebut.

Keamanan koneksi

RDP Shortpath memperluas kemampuan multi-transportasi RDP. Ini tidak menggantikan transportasi sambungan terbalik, tetapi melengkapinya. Broker sesi awal dikelola melalui layanan Azure Virtual Desktop dan transportasi koneksi terbalik. Semua upaya koneksi diabaikan kecuali jika cocok dengan sesi koneksi terbalik terlebih dahulu. RDP Shortpath dibuat setelah autentikasi, dan jika berhasil dibuat, transportasi koneksi terbalik akan dihilangkan dan semua alur lalu lintas melalui Shortpath RDP.

Port yang digunakan untuk setiap sesi RDP bergantung pada apakah RDP Shortpath digunakan untuk jaringan terkelola atau jaringan publik:

  • Jaringan terkelola: hanya port UDP yang ditentukan (3390 secara default) yang akan digunakan untuk lalu lintas RDP Shortpath masuk.

  • Jaringan publik: setiap sesi RDP menggunakan port UDP yang ditetapkan secara dinamis dari rentang port sementara (49152–65535 secara default) yang menerima lalu lintas RDP Shortpath. Anda juga dapat menggunakan rentang port yang lebih kecil dan dapat diprediksi. Untuk informasi selengkapnya, lihat Membatasi rentang port yang digunakan oleh klien untuk jaringan publik.

RDP Shortpath menggunakan koneksi TLS antara klien dan host sesi menggunakan sertifikat host sesi. Secara default, sertifikat yang digunakan untuk enkripsi RDP dibuat sendiri oleh sistem operasi selama penyebaran. RDP Shortpath menggunakan koneksi TLS antara klien dan host sesi menggunakan sertifikat host sesi. Secara default, sertifikat yang digunakan untuk enkripsi RDP dibuat sendiri oleh sistem operasi selama penyebaran. Anda juga dapat menyebarkan sertifikat yang dikelola secara terpusat yang dikeluarkan oleh otoritas sertifikasi perusahaan. Untuk informasi selengkapnya tentang konfigurasi sertifikat, lihat Konfigurasi sertifikat pendengar Desktop Jauh.

Catatan

Keamanan yang ditawarkan oleh RDP Shortpath sama dengan yang ditawarkan oleh transportasi koneksi terbalik.

Skenario contoh

Berikut adalah beberapa contoh skenario untuk menunjukkan bagaimana koneksi dievaluasi untuk memutuskan apakah RDP Shortpath digunakan di berbagai topologi jaringan.

Skenario 1

Koneksi UDP hanya dapat dibuat antara perangkat klien dan host sesi melalui jaringan publik (internet). Koneksi langsung, seperti VPN, tidak tersedia.

Diagram yang menunjukkan RDP Shortpath untuk jaringan publik digunakan.

Skenario 2

Koneksi UDP dapat dibuat antara perangkat klien dan host sesi melalui jaringan publik atau melalui koneksi VPN langsung, tetapi RDP Shortpath untuk jaringan terkelola tidak diaktifkan. Ketika klien memulai koneksi, protokol ICE/STUN dapat melihat beberapa rute dan akan mengevaluasi setiap rute dan memilih rute dengan latensi terendah.

Dalam contoh ini, koneksi UDP menggunakan RDP Shortpath untuk jaringan publik melalui koneksi VPN langsung akan dibuat karena memiliki latensi terendah, seperti yang ditunjukkan oleh garis hijau.

Diagram yang menunjukkan koneksi UDP menggunakan RDP Shortpath untuk jaringan publik melalui koneksi VPN langsung akan dibuat karena memiliki latensi terendah.

Skenario 3

RDP Shortpath untuk jaringan publik dan jaringan terkelola diaktifkan. Koneksi UDP dapat dibuat antara perangkat klien dan host sesi melalui jaringan publik atau melalui koneksi VPN langsung. Ketika klien memulai koneksi, ada upaya simultan untuk terhubung menggunakan RDP Shortpath untuk jaringan terkelola melalui port 3390 (secara default) dan RDP Shortpath untuk jaringan publik melalui protokol ICE/STUN. Algoritma pertama yang ditemukan akan digunakan dan pengguna akan menggunakan koneksi mana pun yang akan dibuat terlebih dahulu untuk sesi tersebut.

Karena melalui jaringan publik memiliki langkah tambahan, misalnya perangkat NAT, load balancer, atau server STUN, kemungkinan algoritma yang ditemukan pertama kali akan memilih koneksi menggunakan RDP Shortpath untuk jaringan terkelola dan dibuat terlebih dahulu.

Diagram yang menunjukkan algoritma pertama yang ditemukan akan memilih koneksi menggunakan RDP Shortpath untuk jaringan terkelola dan dibuat terlebih dahulu.

Skenario 4

Koneksi UDP dapat dibuat antara perangkat klien dan host sesi melalui jaringan publik atau melalui koneksi VPN langsung, tetapi RDP Shortpath untuk jaringan terkelola tidak diaktifkan. Untuk mencegah ICE/STUN menggunakan rute tertentu, admin dapat memblokir salah satu rute untuk lalu lintas UDP. Memblokir rute akan memastikan jalur yang tersisa selalu digunakan.

Dalam contoh ini, UDP diblokir pada koneksi VPN langsung dan protokol ICE/STUN membuat koneksi melalui jaringan publik.

Diagram yang menunjukkan UDP diblokir pada koneksi VPN langsung dan protokol ICE/STUN membuat koneksi melalui jaringan publik.

Skenario 5

RDP Shortpath untuk jaringan publik dan jaringan terkelola dikonfigurasi, namun koneksi UDP tidak dapat dibuat. Dalam hal ini, RDP Shortpath akan gagal dan koneksi akan kembali ke transportasi koneksi terbalik berbasis TCP.

Diagram yang memperlihatkan koneksi UDP tidak dapat dibuat. Dalam hal ini, RDP Shortpath akan gagal dan koneksi akan kembali ke transportasi koneksi terbalik berbasis TCP.

Langkah berikutnya