Informatie over Azure Virtual Desktop-netwerkconnectiviteit

Azure Virtual Desktop biedt de mogelijkheid om clientsessies te hosten op de sessiehosts die worden uitgevoerd in Azure. Microsoft beheert delen van de services namens de klant en biedt beveiligde eindpunten voor het verbinden van clients en sessiehosts. In het onderstaande diagram ziet u een algemeen overzicht van de netwerkverbindingen die worden gebruikt door Azure Virtual Desktop

Diagram of Azure Virtual Desktop Network Connections

Sessieconnectiviteit

Azure Virtual Desktop maakt gebruik van RdP (Remote Desktop Protocol) om externe weergave- en invoermogelijkheden te bieden via netwerkverbindingen. RDP werd in eerste instantie uitgebracht met Windows NT 4.0 Terminal Server Edition en was voortdurend in ontwikkeling met elke Microsoft-Windows en Windows Server-release. Vanaf het begin ontwikkelde RDP zich om onafhankelijk te zijn van de onderliggende transportstack en tegenwoordig ondersteunt het meerdere soorten transport.

Transport van omgekeerde verbinding

Azure Virtual Desktop maakt gebruik van reverse connect-transport voor het tot stand brengen van de externe sessie en voor het dragen van RDP-verkeer. In tegenstelling tot de implementaties van on-premises Extern bureaublad-services, gebruikt reverse connect-transport geen TCP-listener om binnenkomende RDP-verbindingen te ontvangen. In plaats daarvan wordt uitgaande connectiviteit met de Azure Virtual Desktop-infrastructuur via de HTTPS-verbinding gebruikt.

Communicatiekanaal voor sessiehost

Bij het opstarten van de Azure Virtual Desktop-sessiehost brengt de Remote Desktop Agent Loader-service het permanente communicatiekanaal van de Azure Virtual Desktop-broker tot stand. Dit communicatiekanaal is gelaagd boven op een beveiligde TLS-verbinding (Transport Layer Security) en fungeert als bus voor het uitwisselen van serviceberichten tussen sessiehost en Azure Virtual Desktop-infrastructuur.

Clientverbindingsreeks

Clientverbindingsreeks die hieronder wordt beschreven:

  1. Door ondersteunde Azure Virtual Desktop-clientgebruikers te gebruiken, abonneert u zich op de Azure Virtual Desktop-werkruimte
  2. Azure Active Directory verifieert de gebruiker en retourneert het token dat wordt gebruikt om resources op te sommen die beschikbaar zijn voor een gebruiker
  3. Client geeft het token door aan de azure Virtual Desktop-feedabonnementsservice
  4. De abonnementsservice van de Azure Virtual Desktop-feed valideert het token
  5. De azure Virtual Desktop-feedabonnementsservice geeft de lijst met beschikbare desktops en RemoteApps weer door aan de client in de vorm van een digitaal ondertekende verbindingsconfiguratie
  6. Client slaat de verbindingsconfiguratie op voor elke beschikbare resource in een set RDP-bestanden
  7. Wanneer een gebruiker de resource selecteert om verbinding te maken, gebruikt de client het bijbehorende RDP-bestand en brengt de beveiligde TLS 1.2-verbinding tot stand met het dichtstbijzijnde exemplaar van de Azure Virtual Desktop-gateway en geeft de verbindingsgegevens door
  8. Azure Virtual Desktop-gateway valideert de aanvraag en vraagt de Azure Virtual Desktop-broker om de verbinding te organiseren
  9. Azure Virtual Desktop Broker identificeert de sessiehost en gebruikt het eerder tot stand gebrachte permanente communicatiekanaal om de verbinding te initialiseren
  10. Extern bureaublad-stack initieert de TLS 1.2-verbinding met hetzelfde Azure Virtual Desktop-gateway-exemplaar als dat door de client wordt gebruikt
  11. Nadat zowel de client- als de sessiehost die is verbonden met de gateway, begint de gateway de onbewerkte gegevens tussen beide eindpunten door te sturen, waardoor het basistransport voor omgekeerde verbinding voor de RDP tot stand wordt gebracht
  12. Nadat het basistransport is ingesteld, start de client de RDP-handshake

Verbindingsbeveiliging

TLS 1.2 wordt gebruikt voor alle verbindingen die zijn gestart vanaf de clients en sessiehosts naar de onderdelen van de Azure Virtual Desktop-infrastructuur. Azure Virtual Desktop gebruikt dezelfde TLS 1.2-coderingen als Azure Front Door. Het is belangrijk om ervoor te zorgen dat zowel clientcomputers als sessiehosts deze coderingen kunnen gebruiken. Voor reverse connect-transport maken zowel client- als sessiehost verbinding met de Azure Virtual Desktop-gateway. Nadat de TCP-verbinding tot stand is gebracht, valideert de client of sessiehost het certificaat van de Azure Virtual Desktop-gateway. Na het tot stand brengen van het basistransport brengt RDP een geneste TLS-verbinding tot stand tussen client en sessiehost met behulp van de certificaten van de sessiehost. Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. Indien gewenst kunnen klanten centraal beheerde certificaten implementeren die zijn uitgegeven door de certificeringsinstantie voor ondernemingen. Zie Windows Server-documentatie voor meer informatie over het configureren van certificaten.

Volgende stappen