Udostępnij za pośrednictwem

Informacje o łączności sieciowej usługi Azure Virtual Desktop

  • Artykuł

Usługa Azure Virtual Desktop hostuje sesje klienta na hostach sesji uruchomionych na platformie Azure. Firma Microsoft zarządza częściami usług w imieniu klienta i zapewnia bezpieczne punkty końcowe na potrzeby łączenia klientów i hostów sesji. Na poniższym diagramie przedstawiono ogólne omówienie połączeń sieciowych używanych przez usługę Azure Virtual Desktop.

Diagram połączeń sieciowych usługi Azure Virtual Desktop

Łączność sesji

Usługa Azure Virtual Desktop używa protokołu RDP (Remote Desktop Protocol), aby zapewnić możliwości zdalnego wyświetlania i wprowadzania danych za pośrednictwem połączeń sieciowych. Protokół RDP został początkowo wydany z systemem Windows NT 4.0 Terminal Server Edition i stale ewoluuje wraz z każdym wydaniem systemu Microsoft Windows i Windows Server. Od początku protokół RDP został opracowany jako niezależny od bazowego stosu transportowego, a obecnie obsługuje wiele rodzajów transportu.

Transport odwrotnego połączenia

Usługa Azure Virtual Desktop używa transportu odwrotnego połączenia do ustanawiania sesji zdalnej i przenoszenia ruchu RDP. W przeciwieństwie do lokalnych wdrożeń usług pulpitu zdalnego transport odwrotnego połączenia nie używa odbiornika TCP do odbierania przychodzących połączeń RDP. Zamiast tego używa łączności wychodzącej z infrastrukturą usługi Azure Virtual Desktop za pośrednictwem połączenia HTTPS.

Kanał komunikacyjny hosta sesji

Po uruchomieniu hosta sesji usługi Azure Virtual Desktop usługa modułu ładującego agenta usług pulpitu zdalnego ustanawia trwały kanał komunikacyjny brokera usługi Azure Virtual Desktop. Ten kanał komunikacyjny jest warstwowy na podstawie bezpiecznego połączenia protokołu Transport Layer Security (TLS) i służy jako magistrala wymiany komunikatów między hostem sesji a infrastrukturą usługi Azure Virtual Desktop.

Sekwencja połączeń klienta

Sekwencja połączeń klienta jest następująca:

  1. Za pomocą obsługiwanego użytkownika klienta usługi Azure Virtual Desktop subskrybuje obszar roboczy usługi Azure Virtual Desktop.

  2. Firma Microsoft Entra uwierzytelnia użytkownika i zwraca token używany do wyliczania zasobów dostępnych dla użytkownika.

  3. Klient przekazuje token do usługi subskrypcji kanału informacyjnego usługi Azure Virtual Desktop.

  4. Usługa subskrypcji kanału informacyjnego usługi Azure Virtual Desktop weryfikuje token.

  5. Usługa subskrypcji kanału informacyjnego usługi Azure Virtual Desktop przekazuje listę dostępnych komputerów stacjonarnych i aplikacji z powrotem do klienta w postaci konfiguracji połączenia podpisanego cyfrowo.

  6. Klient przechowuje konfigurację połączenia dla każdego dostępnego .rdp zasobu w zestawie plików.

  7. Gdy użytkownik wybierze zasób do nawiązania połączenia, klient używa skojarzonego .rdp pliku i ustanawia bezpieczne połączenie TLS 1.2 z wystąpieniem bramy usługi Azure Virtual Desktop za pomocą usługi Azure Front Door i przekazuje informacje o połączeniu. Opóźnienie ze wszystkich bram jest oceniane, a bramy są umieszczane w grupach o wartości 10 ms. Brama o najniższym opóźnieniu, a następnie wybierana jest najniższa liczba istniejących połączeń.

  8. Brama usługi Azure Virtual Desktop weryfikuje żądanie i prosi brokera usługi Azure Virtual Desktop o organizowanie połączenia.

  9. Broker usługi Azure Virtual Desktop identyfikuje hosta sesji i używa wcześniej ustanowionego trwałego kanału komunikacyjnego w celu zainicjowania połączenia.

  10. Stos pulpitu zdalnego inicjuje połączenie TLS 1.2 z tym samym wystąpieniem bramy usługi Azure Virtual Desktop używanym przez klienta.

  11. Po nawiązaniu połączenia zarówno z hostem klienta, jak i sesji z bramą brama rozpoczyna przekazywanie danych między obydwoma punktami końcowymi. To połączenie ustanawia podstawowy transport połączenia odwrotnego dla połączenia RDP za pośrednictwem zagnieżdżonego tunelu przy użyciu wzajemnie uzgodnionej wersji protokołu TLS obsługiwanej i włączonej między klientem a hostem sesji, do protokołu TLS 1.3.

  12. Po ustawieniu transportu podstawowego klient uruchamia uzgadnianie protokołu RDP.

Zabezpieczenia połączeń

Protokół TLS jest używany dla wszystkich połączeń. Używana wersja zależy od tego, które połączenie zostało nawiązane, oraz możliwości hosta klienta i sesji:

  • W przypadku wszystkich połączeń inicjowanych z klientów i hostów sesji do składników infrastruktury usługi Azure Virtual Desktop jest używany protokół TLS 1.2. Usługa Azure Virtual Desktop używa tych samych szyfrów TLS 1.2 co usługa Azure Front Door. Należy upewnić się, że zarówno komputery klienckie, jak i hosty sesji mogą używać tych szyfrów.

  • W przypadku transportu odwrotnego połączenia zarówno klient, jak i host sesji łączą się z bramą usługi Azure Virtual Desktop. Po nawiązaniu połączenia TCP dla transportu podstawowego klient lub host sesji weryfikuje certyfikat bramy usługi Azure Virtual Desktop. Następnie protokół RDP ustanawia zagnieżdżone połączenie TLS między hostem klienta i sesji przy użyciu certyfikatów hosta sesji. Wersja protokołu TLS używa wzajemnie uzgodnionej wersji protokołu TLS obsługiwanej i włączonej między hostem klienta i sesji do protokołu TLS 1.3. Protokół TLS 1.3 jest obsługiwany w systemie Windows 11 (21H2) i w systemie Windows Server 2022. Aby dowiedzieć się więcej, zobacz Obsługa protokołu TLS dla systemu Windows 11. W przypadku innych systemów operacyjnych sprawdź dostawcę systemu operacyjnego pod kątem obsługi protokołu TLS 1.3.

Domyślnie certyfikat używany do szyfrowania RDP jest samodzielnie generowany przez system operacyjny podczas wdrażania. Można również wdrożyć centralnie zarządzane certyfikaty wystawione przez urząd certyfikacji przedsiębiorstwa. Aby uzyskać więcej informacji na temat konfigurowania certyfikatów, zobacz Konfiguracje certyfikatów odbiornika pulpitu zdalnego.

Następne kroki