Delen via

Informatie over Azure Virtual Desktop-netwerkconnectiviteit

  • Artikel

Azure Virtual Desktop host clientsessies op sessiehosts die worden uitgevoerd in Azure. Microsoft beheert delen van de services namens de klant en biedt veilige eindpunten voor het verbinden van clients en sessiehosts. In het volgende diagram ziet u een algemeen overzicht van de netwerkverbindingen die worden gebruikt door Azure Virtual Desktop.

Diagram van Azure Virtual Desktop-netwerkverbindingen

Sessieconnectiviteit

Azure Virtual Desktop maakt gebruik van Remote Desktop Protocol (RDP) om externe weergave- en invoermogelijkheden te bieden via netwerkverbindingen. RDP werd in eerste instantie uitgebracht met Windows NT 4.0 Terminal Server Edition en was voortdurend in ontwikkeling met elke Microsoft Windows- en Windows Server-release. Vanaf het begin is RDP ontwikkeld om onafhankelijk te zijn van de onderliggende transportstack en tegenwoordig ondersteunt het meerdere soorten transport.

Transport van omgekeerde verbinding

Azure Virtual Desktop maakt gebruik van reverse connect-transport voor het tot stand brengen van de externe sessie en voor het dragen van RDP-verkeer. In tegenstelling tot de implementaties van on-premises Extern bureaublad-services, gebruikt reverse connect-transport geen TCP-listener voor het ontvangen van binnenkomende RDP-verbindingen. In plaats daarvan wordt uitgaande connectiviteit met de Azure Virtual Desktop-infrastructuur via de HTTPS-verbinding gebruikt.

Communicatiekanaal sessiehost

Bij het opstarten van de Azure Virtual Desktop-sessiehost brengt de Remote Desktop Agent Loader-service het permanente communicatiekanaal van de Azure Virtual Desktop-broker tot stand. Dit communicatiekanaal wordt gelaagd boven op een beveiligde TLS-verbinding (Transport Layer Security) en fungeert als bus voor serviceberichtuitwisseling tussen sessiehost en Azure Virtual Desktop-infrastructuur.

Clientverbindingsreeks

De clientverbindingsreeks is als volgt:

  1. Met behulp van ondersteunde Azure Virtual Desktop-clientgebruikers abonneert u zich op de Azure Virtual Desktop-werkruimte.

  2. Microsoft Entra verifieert de gebruiker en retourneert het token dat wordt gebruikt om resources op te sommen die beschikbaar zijn voor een gebruiker.

  3. Client geeft het token door aan de azure Virtual Desktop-feedabonnementsservice.

  4. De abonnementsservice van de Azure Virtual Desktop-feed valideert het token.

  5. De azure Virtual Desktop-feedabonnementsservice geeft de lijst met beschikbare bureaubladen en toepassingen weer door aan de client in de vorm van een digitaal ondertekende verbindingsconfiguratie.

  6. Client slaat de verbindingsconfiguratie op voor elke beschikbare resource in een set .rdp bestanden.

  7. Wanneer een gebruiker de resource selecteert om verbinding te maken, gebruikt de client het bijbehorende .rdp bestand en brengt deze een beveiligde TLS 1.2-verbinding tot stand met een Azure Virtual Desktop-gatewayexemplaar met behulp van Azure Front Door en geeft de verbindingsgegevens door. De latentie van alle gateways wordt geëvalueerd en de gateways worden in groepen van 10 ms geplaatst. De gateway met de laagste latentie en vervolgens het laagste aantal bestaande verbindingen wordt gekozen.

  8. Azure Virtual Desktop-gateway valideert de aanvraag en vraagt de Azure Virtual Desktop-broker om de verbinding te organiseren.

  9. Azure Virtual Desktop Broker identificeert de sessiehost en gebruikt het eerder tot stand gebrachte permanente communicatiekanaal om de verbinding te initialiseren.

  10. Met de Extern bureaublad-stack wordt een TLS 1.2-verbinding met hetzelfde Azure Virtual Desktop-gatewayexemplaren gestart als die door de client wordt gebruikt.

  11. Nadat zowel de client- als de sessiehost die is verbonden met de gateway, begint de gateway de gegevens tussen beide eindpunten door te sturen. Met deze verbinding wordt het omgekeerde basisverbindingstransport voor de RDP-verbinding tot stand gebracht via een geneste tunnel, met behulp van de wederzijds overeengekomen TLS-versie die wordt ondersteund en ingeschakeld tussen de client en sessiehost, tot TLS 1.3.

  12. Nadat het basistransport is ingesteld, start de client de RDP-handshake.

Verbindingsbeveiliging

TLS wordt gebruikt voor alle verbindingen. Welke versie wordt gebruikt, is afhankelijk van de verbinding en de mogelijkheden van de client- en sessiehost:

  • Voor alle verbindingen die zijn geïnitieerd vanaf de clients en sessiehosts met de onderdelen van de Infrastructuur van Azure Virtual Desktop, wordt TLS 1.2 gebruikt. Azure Virtual Desktop maakt gebruik van dezelfde TLS 1.2-coderingen als Azure Front Door. Het is belangrijk om ervoor te zorgen dat zowel clientcomputers als sessiehosts deze coderingen kunnen gebruiken.

  • Voor het transport van reverse connect maken zowel de client als de sessiehost verbinding met de Azure Virtual Desktop-gateway. Nadat de TCP-verbinding voor het basistransport tot stand is gebracht, valideert de client of sessiehost het certificaat van de Azure Virtual Desktop-gateway. RDP brengt vervolgens een geneste TLS-verbinding tot stand tussen client- en sessiehost met behulp van de certificaten van de sessiehost. De versie van TLS maakt gebruik van de wederzijds overeengekomen TLS-versie die wordt ondersteund en ingeschakeld tussen de client en sessiehost, tot TLS 1.3. TLS 1.3 wordt ondersteund vanaf Windows 11 (21H2) en in Windows Server 2022. Zie ondersteuning voor Windows 11 TLS voor meer informatie. Neem voor andere besturingssystemen contact op met de leverancier van het besturingssysteem voor TLS 1.3-ondersteuning.

Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. U kunt ook centraal beheerde certificaten implementeren die zijn uitgegeven door de certificeringsinstantie voor ondernemingen. Zie voor meer informatie over het configureren van certificaten de certificaatconfiguraties van Extern bureaublad-listener.

Volgende stappen