Informatie over Azure Virtual Desktop-netwerkconnectiviteit

Azure Virtual Desktop biedt de mogelijkheid om clientsessies te hosten op de sessiehosts die worden uitgevoerd in Azure. Microsoft beheert delen van de services namens de klant en biedt veilige eindpunten voor het verbinden van clients en sessiehosts. In het onderstaande diagram ziet u een algemeen overzicht van de netwerkverbindingen die worden gebruikt door Azure Virtual Desktop

Sessieconnectiviteit

Azure Virtual Desktop maakt gebruik van Remote Desktop Protocol (RDP) om externe weergave- en invoermogelijkheden te bieden via netwerkverbindingen. RDP werd in eerste instantie uitgebracht met Windows NT 4.0 Terminal Server Edition en was voortdurend in ontwikkeling met elke Microsoft Windows- en Windows Server-release. Vanaf het begin is RDP ontwikkeld om onafhankelijk te zijn van de onderliggende transportstack en tegenwoordig ondersteunt het meerdere soorten transport.

Transport van omgekeerde verbinding

Azure Virtual Desktop maakt gebruik van reverse connect-transport voor het tot stand brengen van de externe sessie en voor het dragen van RDP-verkeer. In tegenstelling tot de implementaties van on-premises Extern bureaublad-services, gebruikt reverse connect-transport geen TCP-listener voor het ontvangen van binnenkomende RDP-verbindingen. In plaats daarvan wordt uitgaande connectiviteit met de Azure Virtual Desktop-infrastructuur via de HTTPS-verbinding gebruikt.

Communicatiekanaal sessiehost

Bij het opstarten van de Azure Virtual Desktop-sessiehost brengt de Remote Desktop Agent Loader-service het permanente communicatiekanaal van de Azure Virtual Desktop-broker tot stand. Dit communicatiekanaal wordt gelaagd boven op een beveiligde TLS-verbinding (Transport Layer Security) en fungeert als bus voor serviceberichtuitwisseling tussen sessiehost en Azure Virtual Desktop-infrastructuur.

Clientverbindingsreeks

Clientverbindingsreeks die hieronder wordt beschreven:

1. Het gebruik van ondersteunde Azure Virtual Desktop-clientgebruikers abonneren zich op de Azure Virtual Desktop-werkruimte
2. Microsoft Entra verifieert de gebruiker en retourneert het token dat wordt gebruikt om resources op te sommen die beschikbaar zijn voor een gebruiker
3. Client geeft het token door aan de azure Virtual Desktop-feedabonnementsservice
4. De abonnementsservice van de Azure Virtual Desktop-feed valideert het token
5. De azure Virtual Desktop-feedabonnementsservice geeft de lijst met beschikbare bureaubladen en toepassingen weer door aan de client in de vorm van een digitaal ondertekende verbindingsconfiguratie
6. Client slaat de verbindingsconfiguratie op voor elke beschikbare resource in een set RDP-bestanden
7. Wanneer een gebruiker de resource selecteert om verbinding te maken, gebruikt de client het bijbehorende RDP-bestand en brengt de beveiligde TLS 1.2-verbinding tot stand met een Azure Virtual Desktop-gatewayexemplaar met behulp van Azure Front Door en geeft de verbindingsgegevens door. De latentie van alle gateways wordt geëvalueerd en de gateways worden in groepen van 10 ms geplaatst. De gateway met de laagste latentie en vervolgens het laagste aantal bestaande verbindingen wordt gekozen.
8. Azure Virtual Desktop-gateway valideert de aanvraag en vraagt de Azure Virtual Desktop-broker om de verbinding in te delen
9. Azure Virtual Desktop Broker identificeert de sessiehost en gebruikt het eerder tot stand gebrachte permanente communicatiekanaal om de verbinding te initialiseren
10. Extern bureaublad-stack initieert de TLS 1.2-verbinding met hetzelfde Azure Virtual Desktop-gatewayexemplaren als dat door de client wordt gebruikt
11. Nadat zowel de client- als sessiehost die is verbonden met de gateway, begint de gateway met het doorsturen van de onbewerkte gegevens tussen beide eindpunten, waardoor het omgekeerde basisverbindingstransport voor de RDP tot stand is gebracht
12. Nadat het basistransport is ingesteld, start de client de RDP-handshake

Verbindingsbeveiliging

TLS 1.2 wordt gebruikt voor alle verbindingen die worden gestart vanaf de clients en sessiehosts naar de onderdelen van de Azure Virtual Desktop-infrastructuur. Azure Virtual Desktop maakt gebruik van dezelfde TLS 1.2-coderingen als Azure Front Door. Het is belangrijk om ervoor te zorgen dat zowel clientcomputers als sessiehosts deze coderingen kunnen gebruiken. Voor reverse connect-transport maken zowel client- als sessiehost verbinding met de Azure Virtual Desktop-gateway. Nadat de TCP-verbinding tot stand is gebracht, valideert de client of sessiehost het certificaat van de Azure Virtual Desktop-gateway. Na het tot stand brengen van het basistransport brengt RDP een geneste TLS-verbinding tot stand tussen de client- en sessiehost met behulp van de certificaten van de sessiehost. Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. Indien gewenst kunnen klanten centraal beheerde certificaten implementeren die zijn uitgegeven door de certificeringsinstantie voor ondernemingen. Zie de Windows Server-documentatie voor meer informatie over het configureren van certificaten.

Volgende stappen

• Zie Understanding Remote Desktop Protocol (RDP) Bandwidth Requirements for Azure Virtual Desktop (Informatie over bandbreedtevereisten voor Azure Virtual Desktop) voor meer informatie over bandbreedtevereisten voor Azure Virtual Desktop.
• Zie Quality of Service (QoS) implementeren voor Azure Virtual Desktop om aan de slag te gaan met Quality of Service (QoS) voor Azure Virtual Desktop.