RDP Shortpath voor Azure Virtual Desktop

Verbindingen met Azure Virtual Desktop maken gebruik van TCP (Transmission Control Protocol) of User Datagram Protocol (UDP). RDP Shortpath is een functie van Azure Virtual Desktop die een direct op UDP gebaseerd transport tot stand brengt tussen een ondersteunde Windows Extern bureaublad-client en sessiehost. RdP (Remote Desktop Protocol) maakt standaard gebruik van een op TCP gebaseerd reverse connect-transport omdat het de beste compatibiliteit biedt met verschillende netwerkconfiguraties en een hoge slagingspercentage heeft voor het tot stand brengen van RDP-verbindingen. Als RDP Shortpath echter in plaats daarvan kan worden gebruikt, biedt dit op UDP gebaseerde transport een betere verbindingsbetrouwbaarheid en een consistentere latentie.

RDP Shortpath kan op twee manieren worden gebruikt:

  • Beheerde netwerken, waarbij directe connectiviteit tot stand wordt gebracht tussen de client en de sessiehost bij gebruik van een privéverbinding, zoals een virtueel particulier netwerk (VPN).

  • Openbare netwerken, waarbij directe connectiviteit tot stand wordt gebracht tussen de client en de sessiehost via een NAT-gateway, die wordt geleverd als onderdeel van de Azure Desktop-service, wanneer u een openbare verbinding gebruikt.

Het transport dat wordt gebruikt voor RDP Shortpath is gebaseerd op het Universal Rate Control Protocol (URCP). URCP verbetert UDP met actieve bewaking van de netwerkomstandigheden en biedt een eerlijk en volledig gebruik van koppelingen. URCP werkt waar nodig met lage vertragings- en verliesniveaus.

Belangrijkste voordelen

Het gebruik van RDP Shortpath heeft de volgende belangrijke voordelen:

  • Als u URCP gebruikt om UDP te verbeteren, bereikt u de beste prestaties door netwerkparameters dynamisch te leren en het protocol te voorzien van een mechanisme voor snelheidscontrole.
  • Het verwijderen van extra relaypunten verkort de retourtijd, waardoor de betrouwbaarheid van de verbinding en de gebruikerservaring met latentiegevoelige toepassingen en invoermethoden worden verbeterd.
  • Daarnaast geldt voor beheerde netwerken het volgende:
    • RDP Shortpath biedt ondersteuning voor het configureren van QoS-prioriteit (Quality of Service) voor RDP-verbindingen via DSCP-markeringen (Differentiated Services Code Point).
    • Het RDP Shortpath-transport maakt het mogelijk om uitgaand netwerkverkeer te beperken door voor elke sessie een vertragingsfrequentie op te geven.

Hoe RDP Shortpath werkt

Als u wilt weten hoe RDP Shortpath werkt voor beheerde netwerken en openbare netwerken, selecteert u elk van de volgende tabbladen.

U kunt de directe line-of-sight-connectiviteit bereiken die vereist is om RDP Shortpath te gebruiken met beheerde netwerken met behulp van de volgende methoden. Een directe line-of-sight-verbinding betekent dat de client rechtstreeks verbinding kan maken met de sessiehost zonder te worden geblokkeerd door firewalls.

Notitie

  • Als u andere VPN-typen gebruikt om verbinding te maken met Azure, raden we u aan een op UDP gebaseerde VPN te gebruiken. Hoewel de meeste VPN-oplossingen op basis van TCP geneste UDP ondersteunen, voegen ze overgenomen overhead van TCP-congestiebeheer toe, waardoor RDP-prestaties worden vertraagd.

Als u RDP Shortpath wilt gebruiken voor beheerde netwerken, moet u een UDP-listener inschakelen op uw sessiehosts. Standaard wordt poort 3390 gebruikt, hoewel u een andere poort kunt gebruiken.

Het volgende diagram geeft een algemeen overzicht van de netwerkverbindingen bij het gebruik van RDP Shortpath voor beheerde netwerken en sessiehosts die zijn gekoppeld aan een Active Directory-domein.

Diagram van netwerkverbindingen bij gebruik van RDP Shortpath voor beheerde netwerken.

Verbindingsreeks

Alle verbindingen beginnen met het tot stand brengen van een reverse connect-transport op basis van TCP via de Azure Virtual Desktop-gateway. Vervolgens stellen de client en sessiehost het eerste RDP-transport tot stand en beginnen ze met het uitwisselen van hun mogelijkheden. Over deze mogelijkheden wordt onderhandeld met behulp van het volgende proces:

  1. De sessiehost verzendt de lijst met de IPv4- en IPv6-adressen naar de client.

  2. De client start de achtergrondthread om een parallel op UDP gebaseerd transport rechtstreeks naar een van de IP-adressen van de sessiehost tot stand te brengen.

  3. Terwijl de client de opgegeven IP-adressen test, blijft deze de eerste verbinding tot stand brengen via het omgekeerde verbindingstransport om ervoor te zorgen dat de gebruikersverbinding niet wordt vertraagd.

  4. Als de client een directe verbinding heeft met de sessiehost, brengt de client een beveiligde TLS-verbinding tot stand.

  5. Nadat het RDP Shortpath-transport tot stand is gebracht, worden alle dynamische virtuele kanalen (DVCs), inclusief externe afbeeldingen, invoer en apparaatomleiding, verplaatst naar het nieuwe transport. Als een firewall of netwerktopologie echter verhindert dat de client directe UDP-connectiviteit tot stand brengt, gaat RDP verder met een omgekeerde verbinding.

Als uw gebruikers zowel RDP Shortpath voor beheerde netwerken als openbare netwerken voor hen beschikbaar hebben, wordt het eerst gevonden algoritme gebruikt. De gebruiker gebruikt de verbinding die het eerst tot stand wordt gebracht voor die sessie.

Verbindingsbeveiliging

RDP Shortpath breidt rdp multi-transport mogelijkheden uit. Het vervangt het transport van de omgekeerde verbinding niet, maar vormt een aanvulling op het transport. Initiële sessiebrokering wordt beheerd via de Azure Virtual Desktop-service en het reverse connect-transport. Alle verbindingspogingen worden genegeerd, tenzij ze eerst overeenkomen met de sessie voor omgekeerde verbinding. RDP Shortpath wordt tot stand gebracht na verificatie. Als dit lukt, wordt het omgekeerde verbindingstransport verwijderd en stroomt al het verkeer via het RDP-shortpath.

De poort die voor elke RDP-sessie wordt gebruikt, is afhankelijk van of RDP-shortpath wordt gebruikt voor beheerde netwerken of openbare netwerken:

  • Beheerde netwerken: alleen de opgegeven UDP-poort (standaard 3390 ) wordt gebruikt voor binnenkomend RDP-shortpath-verkeer.

  • Openbare netwerken: elke RDP-sessie maakt gebruik van een dynamisch toegewezen UDP-poort uit een kortstondig poortbereik (standaard 49152–65535) die het RDP-shortpath-verkeer accepteert. U kunt ook een kleiner, voorspelbaar poortbereik gebruiken. Zie Het poortbereik beperken dat door clients wordt gebruikt voor openbare netwerken voor meer informatie.

RDP Shortpath maakt gebruik van een TLS-verbinding tussen de client en de sessiehost met behulp van de certificaten van de sessiehost. Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. RDP Shortpath maakt gebruik van een TLS-verbinding tussen de client en de sessiehost met behulp van de certificaten van de sessiehost. Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. U kunt ook centraal beheerde certificaten implementeren die zijn uitgegeven door een certificeringsinstantie voor ondernemingen. Zie Certificaatconfiguraties voor extern bureaublad-listener voor meer informatie over certificaatconfiguraties.

Notitie

De beveiliging die door RDP Shortpath wordt geboden, is dezelfde als die van reverse connect-transport.

Voorbeeldscenario's

Hier volgen enkele voorbeeldscenario's om te laten zien hoe verbindingen worden geëvalueerd om te bepalen of RDP-shortpath wordt gebruikt in verschillende netwerktopologieën.

Scenario 1

Er kan alleen een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet). Een directe verbinding, zoals een VPN, is niet beschikbaar.

Diagram waarin rdp-shortpath voor openbare netwerken wordt gebruikt.

Scenario 2

Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding, maar RDP Shortpath voor beheerde netwerken is niet ingeschakeld. Wanneer de client de verbinding initieert, kan het ICE/STUN-protocol meerdere routes zien en wordt elke route geëvalueerd en wordt de route met de laagste latentie gekozen.

In dit voorbeeld wordt een UDP-verbinding met RDP Shortpath voor openbare netwerken via de directe VPN-verbinding gemaakt omdat deze de laagste latentie heeft, zoals wordt weergegeven door de groene lijn.

Diagram met een UDP-verbinding met RDP Shortpath voor openbare netwerken via de directe VPN-verbinding wordt gemaakt omdat deze de laagste latentie heeft.

Scenario 3

Zowel RDP Shortpath voor openbare netwerken als beheerde netwerken zijn ingeschakeld. Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding. Wanneer de client de verbinding initieert, zijn er gelijktijdig pogingen om verbinding te maken met behulp van RDP Shortpath voor beheerde netwerken via poort 3390 (standaard) en RDP Shortpath voor openbare netwerken via het ICE/STUN-protocol. Het eerst gevonden algoritme wordt gebruikt en de gebruiker gebruikt de verbinding die het eerst tot stand wordt gebracht voor die sessie.

Omdat het doorlopen van een openbaar netwerk extra stappen bevat, bijvoorbeeld een NAT-apparaat, een load balancer of een STUN-server, is het waarschijnlijk dat het eerst gevonden algoritme de verbinding selecteert met behulp van RDP-shortpath voor beheerde netwerken en eerst tot stand wordt gebracht.

Diagram met het eerst gevonden algoritme selecteert de verbinding met behulp van RDP Shortpath voor beheerde netwerken en wordt eerst tot stand gebracht.

Scenario 4

Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding, maar RDP Shortpath voor beheerde netwerken is niet ingeschakeld. Om te voorkomen dat ICE/STUN een bepaalde route gebruikt, kan een beheerder een van de routes voor UDP-verkeer blokkeren. Als u een route blokkeert, zorgt u ervoor dat het resterende pad altijd wordt gebruikt.

In dit voorbeeld wordt UDP geblokkeerd op de directe VPN-verbinding en brengt het ICE/STUN-protocol een verbinding tot stand via het openbare netwerk.

Diagram dat laat zien dat UDP is geblokkeerd op de directe VPN-verbinding en dat het ICE/STUN-protocol een verbinding tot stand brengt via het openbare netwerk.

Scenario 5

Zowel RDP Shortpath voor openbare netwerken als beheerde netwerken zijn geconfigureerd, maar er kan geen UDP-verbinding tot stand worden gebracht. In dit geval mislukt RDP Shortpath en valt de verbinding terug op tcp-gebaseerd transport van omgekeerde verbindingen.

Diagram dat laat zien dat er geen UDP-verbinding tot stand kan worden gebracht. In dit geval mislukt RDP Shortpath en valt de verbinding terug op tcp-gebaseerd transport van omgekeerde verbindingen.

Volgende stappen