RDP Shortpath configureren voor Azure Virtual Desktop

Belangrijk

Het gebruik van RDP Shortpath voor openbare netwerken met TURN voor Azure Virtual Desktop is momenteel beschikbaar als PREVIEW-versie. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

RDP Shortpath is een functie van Azure Virtual Desktop die een direct op UDP gebaseerd transport tot stand brengt tussen een ondersteunde Windows Extern bureaublad-client en sessiehost. In dit artikel wordt beschreven hoe u RDP Shortpath configureert voor beheerde netwerken en openbare netwerken. Zie RDP Shortpath voor meer informatie.

Vereisten

Voordat u RDP Shortpath kunt inschakelen, moet u voldoen aan de vereisten. Selecteer hieronder een tabblad voor uw scenario.

Beheerde netwerken

• Een clientapparaat waarop de Extern bureaublad-client voor Windows versie 1.2.3488 of hoger wordt uitgevoerd. Momenteel worden niet-Windows-clients niet ondersteund.

• Directe line-of-sight-connectiviteit tussen de client en de sessiehost. Een directe line-of-sight-verbinding betekent dat de client rechtstreeks verbinding kan maken met de sessiehost op poort 3390 (standaard) zonder te worden geblokkeerd door firewalls (inclusief de Windows Firewall) of netwerkbeveiligingsgroep en met behulp van een beheerd netwerk, zoals:

  • Persoonlijke ExpressRoute-peering.

  • Site-naar-site of punt-naar-site-VPN (IPsec), zoals Azure VPN Gateway.

Openbare netwerken

Tip

RDP-shortpath voor openbare netwerken met STUN of TURN werkt automatisch zonder extra configuratie, mits netwerken en firewalls het verkeer toestaan en RDP-transportinstellingen in het Windows-besturingssysteem voor sessiehosts en clients hun standaardwaarden gebruiken. De stappen voor het configureren van RDP Shortpath voor openbare netwerken zijn beschikbaar voor sessiehosts en clients voor het geval deze standaardinstellingen zijn gewijzigd.

• Een clientapparaat waarop de Extern bureaublad-client voor Windows versie 1.2.3488 of hoger wordt uitgevoerd. Momenteel worden niet-Windows-clients niet ondersteund.

• Internettoegang voor zowel clients als sessiehosts. Sessiehosts vereisen uitgaande UDP-connectiviteit van uw sessiehosts met internet of verbindingen met STUN- en TURN-servers. Als u het aantal vereiste poorten wilt verminderen, kunt u het poortbereik beperken dat door clients wordt gebruikt voor openbare netwerken.

  Als uw omgeving symmetrische NAT gebruikt, kunt u een indirecte verbinding met TURN gebruiken. Zie Netwerkconfiguraties voor RDP Shortpath voor meer informatie die u kunt gebruiken voor het configureren van firewalls en netwerkbeveiligingsgroepen.

• Controleer of de client verbinding kan maken met de STUN- en TURN-eindpunten en controleer of de basisfunctionaliteit van UDP werkt door het uitvoerbare bestand uit te avdnettest.exevoeren. Zie STUN/TURN-serverconnectiviteit en NAT-type controleren voor stappen om dit te doen.

• Als u TURN wilt gebruiken, moet de verbinding van de client zich binnen een ondersteunde locatie bevinden. Zie Ondersteunde Azure-regio's met TURN-beschikbaarheid voor een lijst met Azure-regio's waarvoor TURN beschikbaar is.

Belangrijk

Tijdens de preview is TURN alleen beschikbaar voor verbindingen met sessiehosts in een validatiehostgroep. Zie Uw hostgroep definiëren als een validatieomgeving om uw hostgroep te configureren als een validatieomgeving.

RDP-shortpath inschakelen

De stappen voor het inschakelen van RDP Shortpath verschillen voor sessiehosts, afhankelijk van of u het wilt inschakelen voor beheerde netwerken of openbare netwerken, maar zijn hetzelfde voor clients. Selecteer hieronder een tabblad voor uw scenario.

Sessiehosts

Beheerde netwerken

Als u RDP Shortpath wilt inschakelen voor beheerde netwerken, moet u de RDP Shortpath-listener inschakelen op uw sessiehosts. U kunt dit doen met behulp van groepsbeleid, centraal vanuit uw domein voor sessiehosts die zijn gekoppeld aan een Active Directory-domein (AD) of lokaal voor sessiehosts die zijn gekoppeld aan Azure Active Directory (Azure AD).

1. Download de Azure Virtual Desktop-beheersjabloon en pak de inhoud van het .cab-bestand en .zip archief uit.

2. Afhankelijk van of u groepsbeleid centraal wilt configureren vanuit uw AD-domein of lokaal voor elke sessiehost:

   1. AD-domein: kopieer en plak het bestand terminalserver-avd.admx in het centrale archief voor uw domein, bijvoorbeeld \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions, waarbij contoso.com uw domeinnaam is. Kopieer vervolgens het bestand en-us\terminalserver-avd.adml naar de en-us submap.

   2. Open de groepsbeleid Management Console (GPMC) en maak of bewerk een beleid dat is gericht op uw sessiehosts.

   3. Lokaal: kopieer en plak het bestand terminalserver-avd.admx in %windir%\PolicyDefinitions. Kopieer vervolgens het bestand en-us\terminalserver-avd.adml naar de en-us submap.

   4. Open de Lokale groepsbeleid-editor op de sessiehost.

3. Blader naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop. U ziet nu beleidsinstellingen voor Azure Virtual Desktop, zoals wordt weergegeven in de volgende schermafbeelding:

   

4. Open de beleidsinstelling RDP Shortpath inschakelen voor beheerde netwerken en stel deze in op Ingeschakeld. Als u deze beleidsinstelling inschakelt, kunt u ook het poortnummer configureren dat azure Virtual Desktop-sessiehosts gebruiken om te luisteren naar binnenkomende verbindingen. De standaardpoort is 3390.

5. Als u Windows Firewall moet configureren om poort 3390 toe te staan, voert u een van de volgende opdrachten uit, afhankelijk van of u Windows Firewall wilt configureren met behulp van groepsbeleid centraal vanuit uw AD-domein of lokaal voor elke sessiehost:

   1. AD-domein: Open een PowerShell-prompt met verhoogde bevoegdheid en voer de volgende opdracht uit, waarbij u de waarde voor $domainName vervangt door uw eigen domeinnaam, de waarde voor $writableDC door de hostnaam van een beschrijfbare domeincontroller en de waarde voor $policyName door de naam van een bestaand groepsbeleid-object:

      $domainName = "contoso.com"
      $writableDC = "dc01"
      $policyName = "RDP Shortpath Policy"
      $gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC
      
      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession
      
      Save-NetGPO -GPOSession $gpoSession
      

   2. Lokaal: Open een PowerShell-prompt met verhoogde bevoegdheid en voer de volgende opdracht uit:

      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True
      

6. Selecteer OK en start de sessiehosts opnieuw op om de beleidsinstelling toe te passen.

Openbare netwerken

Als u sessiehosts en clients moet configureren om RDP Shortpath in te schakelen voor openbare netwerken omdat de standaardinstellingen zijn gewijzigd, volgt u deze stappen. U kunt dit doen met behulp van groepsbeleid, centraal vanuit uw domein voor sessiehosts die zijn gekoppeld aan een Active Directory-domein (AD) of lokaal voor sessiehosts die zijn gekoppeld aan Azure Active Directory (Azure AD).

1. Afhankelijk van of u groepsbeleid centraal wilt configureren vanuit uw AD-domein of lokaal voor elke sessiehost:

   1. AD-domein: open de groepsbeleid Management Console (GPMC) en maak of bewerk een beleid dat is gericht op uw sessiehosts.

   2. Lokaal: open de Lokale groepsbeleid-editor op de sessiehost.

2. Blader naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostverbindingen>.

3. Open de beleidsinstelling RDP-transportprotocollen selecteren. Stel deze in op Ingeschakeld en selecteer vervolgens voor Transporttype selecteren zowel UDP als TCP gebruiken.

4. Selecteer OK en start de sessiehosts opnieuw op om de beleidsinstelling toe te passen.

Windows-clients

De stappen om ervoor te zorgen dat uw clients correct zijn geconfigureerd, zijn hetzelfde, ongeacht of u RDP Shortpath wilt gebruiken voor beheerde netwerken of openbare netwerken. U kunt dit doen met behulp van groepsbeleid voor beheerde clients die lid zijn van een Active Directory-domein, Intune voor beheerde clients die zijn toegevoegd aan Azure Active Directory (Azure AD) en zijn ingeschreven in Intune, of lokale groepsbeleid voor clients die niet worden beheerd.

Notitie

RdP-verkeer probeert in Windows standaard zowel tcp- als UDP-protocollen te gebruiken. U hoeft deze stappen alleen te volgen als de client eerder is geconfigureerd om alleen TCP te gebruiken.

RDP Shortpath inschakelen op beheerde en onbeheerde Windows-clients met behulp van groepsbeleid

Beheerde en niet-beheerde Windows-clients configureren met behulp van groepsbeleid:

1. Afhankelijk van of u beheerde of onbeheerde clients wilt configureren:

   1. Voor beheerde clients opent u de groepsbeleid Management Console (GPMC) en maakt of bewerkt u een beleid dat is gericht op uw clients.

   2. Voor niet-beheerde clients opent u de Lokale groepsbeleid-editor op de client.

2. Blader naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Client voor verbinding met extern bureaublad.

3. Open de beleidsinstelling UDP op client uitschakelen en stel deze in op Niet geconfigureerd.

4. Selecteer OK en start de clients opnieuw op om de beleidsinstelling toe te passen.

RDP Shortpath inschakelen op Windows-clients met behulp van Intune

Beheerde Windows-clients configureren met behulp van Intune:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10 en nieuwere apparaten met behulp van beheersjablonen.

3. Blader naar Windows-onderdelen>Extern bureaublad-services>Client voor verbinding met extern bureaublad.

4. Selecteer de instelling UDP uitschakelen op client en stel deze in op Uitgeschakeld. Selecteer OK en selecteer vervolgens Volgende.

5. Pas het configuratieprofiel toe en start de clients opnieuw op.

Teredo-ondersteuning

Hoewel dit niet vereist is voor RDP Shortpath, voegt Teredo extra NAT-traversal-kandidaten toe en verhoogt het de kans op een succesvolle RDP Shortpath-verbinding in IPv4-netwerken. U kunt Teredo inschakelen op zowel sessiehosts als clients door de volgende opdracht uit te voeren vanaf een PowerShell-prompt met verhoogde bevoegdheid:

Set-NetTeredoConfiguration -Type Enterpriseclient

Controleren of RDP-shortpath werkt

Vervolgens moet u ervoor zorgen dat uw clients verbinding maken met behulp van RDP Shortpath. U kunt het transport controleren met het dialoogvenster Verbindingsgegevens van de Extern bureaublad-client of met behulp van Log Analytics.

Dialoogvenster Verbindingsgegevens

Om ervoor te zorgen dat verbindingen GEBRUIKMAKEN van RDP Shortpath, kunt u de verbindingsgegevens op de client controleren. Selecteer hieronder een tabblad voor uw scenario.

Beheerde netwerken

1. Verbinding maken met Azure Virtual Desktop.

2. Open het dialoogvenster Verbindingsgegevens door naar de werkbalk Verbinding boven aan het scherm te gaan en het pictogram signaalsterkte te selecteren, zoals wordt weergegeven in de volgende schermafbeelding:

   

3. U kunt in de uitvoer controleren of het transportprotocol UDP (Private Network) is, zoals wordt weergegeven in de volgende schermopname:

   

Openbare netwerken

1. Verbinding maken met Azure Virtual Desktop.

2. Open het dialoogvenster Verbindingsgegevens door naar de werkbalk Verbinding boven aan het scherm te gaan en het pictogram signaalsterkte te selecteren, zoals wordt weergegeven in de volgende schermafbeelding:

   

3. U kunt in de uitvoer controleren of UDP is ingeschakeld, zoals wordt weergegeven in de volgende schermafbeeldingen.

   1. Als STUN wordt gebruikt, is het transportprotocol UDP:

      

   2. Als TURN wordt gebruikt, is het transportprotocol UDP (Relay):

      

Logboeken

Als u wilt controleren of verbindingen gebruikmaken van RDP Shortpath, kunt u de gebeurtenislogboeken op de sessiehost controleren:

1. Verbinding maken met Azure Virtual Desktop.

2. Open Logboeken op de sessiehost.

3. Blader naar Logboeken> toepassingen en servicesMicrosoft>Windows>RemoteDesktopServices-RdpCoreCDV>Operationeel.

4. Filter op gebeurtenis-id 135. Verbindingen met RDP Shortpath geven aan dat het transporttype gebruikmaakt van UDP met het bericht De verbinding met meerdere transporten is voltooid voor tunnel: 1, het transporttype is ingesteld op UDP.

Log Analytics

Als u Azure Log Analytics gebruikt, kunt u verbindingen bewaken door een query uit te voeren op de tabel WVDConnections. Een kolom met de naam UdpUse geeft aan of Azure Virtual Desktop RDP Stack gebruikmaakt van het UDP-protocol voor de huidige gebruikersverbinding. De mogelijke waarden zijn:

• 1 - De gebruikersverbinding maakt gebruik van RDP Shortpath voor beheerde netwerken.

• 2 - De gebruikersverbinding maakt gebruik van RDP Shortpath voor openbare netwerken die rechtstreeks gebruikmaken van STUN.

• 4 - De gebruikersverbinding maakt gebruik van RDP Shortpath voor openbare netwerken die indirect gebruikmaken van TURN.

• Voor elke andere waarde gebruikt de gebruikersverbinding geen RDP-shortpath en is deze verbonden via TCP.

Met de volgende query kunt u verbindingsgegevens bekijken. U kunt deze query uitvoeren in de Query-editor van Log Analytics. Vervang voor elke query door user@contoso.com de UPN van de gebruiker die u wilt opzoeken.

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

U kunt controleren of RDP Shortpath is ingeschakeld voor een specifieke gebruikerssessie door de volgende Log Analytics-query uit te voeren:

WVDCheckpoints 
| where Name contains "Shortpath"

Voor meer informatie over foutinformatie die mogelijk is vastgelegd in Log Analytics,

RDP-shortpath uitschakelen

De stappen voor het uitschakelen van RDP Shortpath verschillen voor sessiehosts, afhankelijk van of u het wilt uitschakelen voor alleen beheerde netwerken, alleen openbare netwerken of beide. Selecteer hieronder een tabblad voor uw scenario.

Sessiehosts

Beheerde netwerken

Als u RDP Shortpath wilt uitschakelen voor beheerde netwerken op uw sessiehosts, moet u de RDP Shortpath-listener uitschakelen. U kunt dit doen met behulp van groepsbeleid, centraal vanuit uw domein voor sessiehosts die zijn toegevoegd aan een AD-domein of lokaal voor sessiehosts die zijn gekoppeld aan Azure AD.

U kunt ook poort 3390 (standaard) blokkeren voor uw sessiehosts op een firewall of netwerkbeveiligingsgroep.

1. Afhankelijk van of u groepsbeleid centraal vanuit uw domein of lokaal wilt configureren voor elke sessiehost:

   1. AD-domein: open de groepsbeleid Management Console (GPMC) en bewerk het bestaande beleid dat is gericht op uw sessiehosts.

   2. Lokaal: open de Lokale groepsbeleid-editor op de sessiehost.

2. Blader naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehost>Azure Virtual Desktop. Als het goed is, ziet u beleidsinstellingen voor Azure Virtual Desktop, mits u beschikt over de beheersjabloon van toen u RDP Shortpath voor beheerde netwerken hebt ingeschakeld.

3. Open de beleidsinstelling RDP Shortpath inschakelen voor beheerde netwerken en stel deze in op Niet geconfigureerd.

4. Selecteer OK en start de sessiehosts opnieuw op om de beleidsinstelling toe te passen.

Openbare netwerken

Als u RDP Shortpath wilt uitschakelen voor openbare netwerken op uw sessiehosts, kunt u RDP-transportprotocollen instellen om alleen TCP toe te staan. U kunt dit doen met behulp van groepsbeleid, centraal vanuit uw domein voor sessiehosts die zijn toegevoegd aan een AD-domein of lokaal voor sessiehosts die zijn gekoppeld aan Azure AD.

Waarschuwing

Hiermee wordt ook RDP Shortpath uitgeschakeld voor beheerde netwerken.

Als u RDP Shortpath alleen voor openbare netwerken wilt uitschakelen, moet u ook de toegang tot de STUN-eindpunten op een firewall of netwerkbeveiligingsgroep blokkeren. De IP-adressen voor de STUN-eindpunten vindt u in de tabel voor virtueel netwerk van sessiehost.

1. Afhankelijk van of u groepsbeleid centraal vanuit uw domein of lokaal wilt configureren voor elke sessiehost:

   1. AD-domein: open de groepsbeleid Management Console (GPMC) en bewerk het bestaande beleid dat is gericht op uw sessiehosts.

   2. Lokaal: open de Lokale groepsbeleid-editor op de sessiehost.

2. Blader naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostverbindingen>.

3. Open de beleidsinstelling RDP-transportprotocollen selecteren. Stel deze in op Ingeschakeld en selecteer vervolgens voor Transporttype selecterende optie Alleen TCP gebruiken.

4. Selecteer OK en start de sessiehosts opnieuw op om de beleidsinstelling toe te passen.

Windows-clients

Op clientapparaten kunt u RDP Shortpath uitschakelen voor beheerde netwerken en openbare netwerken door RDP-verkeer te configureren om alleen TCP te gebruiken. U kunt dit doen met behulp van groepsbeleid voor beheerde clients die zijn gekoppeld aan een Active Directory-domein, Intune voor beheerde clients die zijn toegevoegd aan (Azure AD) en zijn ingeschreven in Intune, of lokale groepsbeleid voor clients die niet worden beheerd.

Belangrijk

Als u rdp-verkeer eerder hebt ingesteld om te proberen zowel TCP- als UDP-protocollen te gebruiken met behulp van groepsbeleid of Intune, moet u ervoor zorgen dat de instellingen niet conflict veroorzaken.

RDP-shortpath uitschakelen op beheerde en onbeheerde Windows-clients met behulp van groepsbeleid

Beheerde en niet-beheerde Windows-clients configureren met behulp van groepsbeleid:

1. Afhankelijk van of u beheerde of onbeheerde clients wilt configureren:

   1. Voor beheerde clients opent u de groepsbeleid Management Console (GPMC) en maakt of bewerkt u een beleid dat is gericht op uw clients.

   2. Voor niet-beheerde clients opent u de Lokale groepsbeleid-editor op de client.

2. Blader naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Client voor verbinding met extern bureaublad.

3. Open de beleidsinstelling UDP uitschakelen op client en stel deze in op Ingeschakeld.

4. Selecteer OK en start de clients opnieuw op om de beleidsinstelling toe te passen.

RDP Shortpath uitschakelen op Windows-clients met behulp van Intune

Beheerde Windows-clients configureren met behulp van Intune:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10 en nieuwere apparaten met behulp van beheersjablonen.

3. Blader naar Windows-onderdelen>Extern bureaublad-services>Client voor verbinding met extern bureaublad.

4. Selecteer de instelling UDP uitschakelen op client en stel deze in op Ingeschakeld. Selecteer OK en selecteer vervolgens Volgende.

5. Pas het configuratieprofiel toe en start de clients opnieuw op.

Volgende stappen

• Meer informatie over het beperken van het poortbereik dat door clients wordt gebruikt met behulp van RDP Shortpath voor openbare netwerken.
• Als u problemen ondervindt bij het tot stand brengen van een verbinding met behulp van het RDP Shortpath-transport voor openbare netwerken, raadpleegt u Problemen met RDP Shortpath oplossen.