Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule pokazano, jak używać serwera proxy z usługą Azure Virtual Desktop. Zalecenia przedstawione w tym artykule dotyczą tylko połączeń między infrastrukturą usługi Azure Virtual Desktop, agentami klienta i hosta sesji. Ten artykuł nie obejmuje łączności sieciowej dla pakietu Office, Windows 10, FSLogix ani innych aplikacji firmy Microsoft.
Co to są serwery proxy?
Zalecamy pomijanie serwerów proxy dla ruchu usługi Azure Virtual Desktop. Serwery proxy nie zapewniają bezpieczeństwa usługi Azure Virtual Desktop, ponieważ ruch jest już szyfrowany. Aby dowiedzieć się więcej na temat zabezpieczeń połączeń, zobacz Zabezpieczenia połączeń.
Większość serwerów proxy nie jest przeznaczona do obsługi długotrwałych połączeń WebSocket i może mieć wpływ na stabilność połączenia. Skalowalność serwera proxy powoduje również problemy, ponieważ usługa Azure Virtual Desktop używa wielu połączeń długoterminowych. Jeśli używasz serwerów proxy, muszą one mieć odpowiedni rozmiar do uruchamiania tych połączeń.
Jeśli lokalizacja geograficzna serwera proxy jest daleka od hosta, ta odległość spowoduje większe opóźnienie połączeń użytkownika. Większe opóźnienie oznacza wolniejszy czas połączenia i gorsze środowisko użytkownika, zwłaszcza w scenariuszach wymagających interakcji grafiki, dźwięku lub małych opóźnień z urządzeniami wejściowymi. Jeśli musisz użyć serwera proxy, pamiętaj, że należy umieścić serwer w tej samej lokalizacji geograficznej co agent usługi Azure Virtual Desktop i klient.
Jeśli skonfigurujesz serwer proxy jako jedyną ścieżkę dla ruchu usługi Azure Virtual Desktop, dane protokołu RDP zostaną wymuszone za pośrednictwem protokołu TCP (Transmission Control Protocol) zamiast protokołu UDP (User Datagram Protocol). To przeniesienie obniża jakość wizualizacji i czas odpowiedzi połączenia zdalnego.
Podsumowując, nie zalecamy używania serwerów proxy w usłudze Azure Virtual Desktop, ponieważ powodują one problemy związane z wydajnością związane z obniżeniem opóźnienia i utratą pakietów.
Pomijanie serwera proxy
Jeśli zasady sieci i zabezpieczeń organizacji wymagają serwerów proxy dla ruchu internetowego, możesz skonfigurować środowisko tak, aby pomijało połączenia usługi Azure Virtual Desktop, jednocześnie kierując ruch przez serwer proxy. Jednak zasady każdej organizacji są unikatowe, więc niektóre metody mogą działać lepiej w przypadku wdrożenia niż inne. Poniżej przedstawiono kilka metod konfiguracji, które można próbować zapobiec utracie wydajności i niezawodności w środowisku:
- Tagi usługi platformy Azure z Azure Firewall
- Obejście serwera proxy przy użyciu plików automatycznej konfiguracji serwera proxy (
.PAC) - Lista obejść w konfiguracji lokalnego serwera proxy
- Korzystanie z serwerów proxy na potrzeby konfiguracji poszczególnych użytkowników
- Używanie protokołu RDP Shortpath dla połączenia RDP przy zachowaniu ruchu usługi przez serwer proxy
Zalecenia dotyczące korzystania z serwerów proxy
Niektóre organizacje wymagają, aby cały ruch użytkowników przechodził przez serwer proxy w celu śledzenia lub inspekcji pakietów. W tej sekcji opisano, jak w takich przypadkach zalecamy skonfigurowanie środowiska.
Używanie serwerów proxy w tej samej lokalizacji geograficznej platformy Azure
Gdy używasz serwera proxy, obsługuje całą komunikację z infrastrukturą usługi Azure Virtual Desktop i wykonuje rozpoznawanie nazw DNS i routing emisji dowolnej do najbliższej usługi Azure Front Door. Jeśli serwery proxy są odległe lub rozproszone w lokalizacji geograficznej platformy Azure, rozdzielczość geograficzna będzie mniej dokładna. Mniej dokładne rozpoznawanie geograficzne oznacza, że połączenia będą kierowane do bardziej odległego klastra usługi Azure Virtual Desktop. Aby uniknąć tego problemu, należy używać tylko serwerów proxy, które znajdują się geograficznie blisko klastra usługi Azure Virtual Desktop.
Używanie protokołu RDP Shortpath dla sieci zarządzanych na potrzeby łączności pulpitu
Po włączeniu protokołu RDP Shortpath dla sieci zarządzanych dane PROTOKOŁU RDP ominie serwer proxy, jeśli to możliwe. Pomijanie serwera proxy zapewnia optymalny routing podczas korzystania z transportu UDP. Inny ruch usługi Azure Virtual Desktop, taki jak pośrednictwo, orkiestracja i diagnostyka, nadal będzie przechodził przez serwer proxy.
Nie używaj zakończenia protokołu SSL na serwerze proxy
Zakończenie protokołu Secure Sockets Layer (SSL) zastępuje certyfikaty zabezpieczeń składników usługi Azure Virtual Desktop certyfikatami generowanymi przez serwer proxy. Ta funkcja serwera proxy umożliwia inspekcję pakietów ruchu HTTPS na serwerze proxy. Jednak inspekcja pakietów również wydłuża czas odpowiedzi usługi, przez co logowanie użytkowników trwa dłużej. W przypadku scenariuszy odwrotnego połączenia inspekcja pakietów ruchu RDP nie jest konieczna, ponieważ ruch RDP z połączeniem zwrotnym jest binarny i używa dodatkowych poziomów szyfrowania.
Jeśli skonfigurujesz serwer proxy do korzystania z inspekcji protokołu SSL, pamiętaj, że nie można przywrócić oryginalnego stanu serwera po wprowadzeniu zmian przez inspekcję protokołu SSL. Jeśli coś w środowisku usługi Azure Virtual Desktop przestaje działać, gdy inspekcja protokołu SSL jest włączona, należy wyłączyć inspekcję protokołu SSL i spróbować ponownie przed otwarciem zgłoszenia do pomocy technicznej. Inspekcja protokołu SSL może również spowodować, że agent usługi Azure Virtual Desktop przestanie działać, ponieważ zakłóca zaufane połączenia między agentem a usługą.
Nie używaj serwerów proxy, które wymagają uwierzytelniania
Składniki usługi Azure Virtual Desktop na hoście sesji są uruchamiane w kontekście ich systemu operacyjnego, więc nie obsługują serwerów proxy, które wymagają uwierzytelniania. Jeśli serwer proxy wymaga uwierzytelniania, połączenie zakończy się niepowodzeniem.
Planowanie pojemności sieci serwera proxy
Serwery proxy mają limity pojemności. W przeciwieństwie do zwykłego ruchu HTTP, ruch RDP ma długotrwałe, rozmowne połączenia, które są dwukierunkowe i zużywają dużo przepustowości. Przed skonfigurowaniem serwera proxy porozmawiaj z dostawcą serwera proxy o przepływności serwera. Upewnij się również, że pytasz ich, ile sesji serwera proxy można uruchomić jednocześnie. Po wdrożeniu serwera proxy uważnie monitoruj jego użycie zasobów pod kątem wąskich gardeł w ruchu usługi Azure Virtual Desktop.
Serwery proxy i optymalizacja multimediów w usłudze Microsoft Teams
Usługa Azure Virtual Desktop nie obsługuje serwerów proxy z optymalizacją multimediów dla usługi Microsoft Teams.
Zalecenia dotyczące konfiguracji hosta sesji
Aby skonfigurować serwer proxy na poziomie hosta sesji, należy włączyć serwer proxy w całym systemie. Pamiętaj, że konfiguracja ogólnosystemowa ma wpływ na wszystkie składniki systemu operacyjnego i aplikacje uruchomione na hoście sesji. Poniższe sekcje zawierają zalecenia dotyczące konfigurowania systemowych serwerów proxy.
Korzystanie z protokołu automatycznego odnajdywania serwera proxy sieci Web (WPAD)
Agent usługi Azure Virtual Desktop automatycznie próbuje zlokalizować serwer proxy w sieci przy użyciu protokołu WPAD (Web Proxy Auto-Discovery). Podczas próby lokalizacji agent wyszukuje na serwerze nazw domen (DNS) plik o nazwie wpad.domainsuffix. Jeśli agent znajdzie plik w systemie DNS, wysyła żądanie HTTP dla pliku o nazwie wpad.dat. Odpowiedź staje się skryptem konfiguracji serwera proxy, który wybiera wychodzący serwer proxy.
Aby skonfigurować sieć do używania rozpoznawania nazw DNS dla urządzenia WPAD, postępuj zgodnie z instrukcjami w temacie Auto detect settings Internet Explorer 11 (Automatyczne wykrywanie ustawień programu Internet Explorer 11). Upewnij się, że globalna lista zablokowanych zapytań serwera DNS zezwala na rozpoznawanie WPAD, postępjąc zgodnie z instrukcjami w temacie Set-DnsServerGlobalQueryBlockList.
Ręczne ustawianie serwera proxy dla całego urządzenia dla usług systemu Windows
Jeśli określasz serwer proxy ręcznie, co najmniej należy ustawić serwer proxy dla usług systemu Windows RDAgent i usług pulpitu zdalnego na hostach sesji. Serwer RDAgent jest uruchamiany z kontem System lokalny i Usługi pulpitu zdalnego uruchamiane z kontem Usługa sieciowa. Serwer proxy dla tych kont można ustawić za pomocą narzędzia wiersza bitsadmin polecenia.
W poniższym przykładzie skonfigurowano konta systemu lokalnego i usługi sieciowej do korzystania z pliku proxy .pac . Należy uruchomić te polecenia z wiersza polecenia z podwyższonym poziomem uprawnień, zmieniając wartość symbolu zastępczego dla przy <server> użyciu własnego adresu:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Aby uzyskać pełne informacje i inne przykłady, zobacz bitsadmin util i setieproxy.
Można również ustawić serwer proxy na całym urządzeniu lub automatyczną konfigurację serwera proxy (. PAC) plik, który ma zastosowanie do wszystkich użytkowników usług interakcyjnych, systemu lokalnego i usługi sieciowej. Jeśli hosty sesji są zarejestrowane w usłudze Intune, można ustawić serwer proxy za pomocą dostawcy CSP serwera proxy sieci, jednak systemy operacyjne klienta z wieloma sesjami systemu Windows nie obsługują dostawcy CSP zasad, ponieważ obsługują tylko wykaz ustawień. Alternatywnie można skonfigurować serwer proxy na całym urządzeniu netsh winhttp przy użyciu polecenia . Aby uzyskać pełne informacje i przykłady, zobacz Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP)
Obsługa serwera proxy po stronie klienta
Klient usługi Azure Virtual Desktop obsługuje serwery proxy skonfigurowane przy użyciu ustawień systemowych lub dostawcy CSP serwera proxy sieci.
Obsługa klienta usługi Azure Virtual Desktop
W poniższej tabeli przedstawiono, którzy klienci usługi Azure Virtual Desktop obsługują serwery proxy:
| Nazwa klienta | Obsługa serwera proxy |
|---|---|
| Klient pulpitu zdalnego | Tak |
| Klient internetowy | Tak |
| Android | Nie |
| iOS | Tak |
| macOS | Tak |
| Windows App w systemie Windows | Tak |
Aby uzyskać więcej informacji na temat obsługi serwera proxy na klientach cienkich opartych na systemie Linux, zobacz Obsługa klienta thin.
Ograniczenia pomocy technicznej
Istnieje wiele usług i aplikacji innych firm, które działają jako serwer proxy. Te usługi innych firm obejmują rozproszone zapory następnej generacji, internetowe systemy zabezpieczeń i podstawowe serwery proxy. Nie możemy zagwarantować, że każda konfiguracja jest zgodna z usługą Azure Virtual Desktop. Firma Microsoft zapewnia ograniczoną obsługę połączeń ustanowionych za pośrednictwem serwera proxy. Jeśli podczas korzystania z serwera proxy występują problemy z łącznością, pomoc techniczna firmy Microsoft zaleca skonfigurowanie obejścia serwera proxy, a następnie próbę odtworzenia problemu.
Następne kroki
Aby uzyskać więcej informacji na temat zabezpieczania wdrożenia usługi Azure Virtual Desktop, zapoznaj się z naszym przewodnikiem dotyczącym zabezpieczeń.