Skrót protokołu RDP dla usługi Azure Virtual Desktop

Protokół RDP Shortpath ustanawia transport oparty na protokole UDP między Windows App urządzenia lokalnego lub aplikacją pulpitu zdalnego na obsługiwanych platformach i hoście sesji w usłudze Azure Virtual Desktop. Domyślnie protokół RDP (Remote Desktop Protocol) rozpoczyna transport odwrotnego połączenia opartego na protokole TCP, a następnie próbuje ustanowić sesję zdalną przy użyciu protokołu UDP. Jeśli połączenie UDP zakończy się powodzeniem, połączenie TCP upadnie, w przeciwnym razie połączenie TCP jest używane jako mechanizm połączenia rezerwowego.

Transport oparty na protokole UDP zapewnia lepszą niezawodność połączenia i bardziej spójne opóźnienia. Transport oparty na połączeniu zwrotnym oparty na protokole TCP zapewnia najlepszą zgodność z różnymi konfiguracjami sieci i ma wysoki wskaźnik powodzenia w ustanawianiu połączeń RDP.

Program RDP Shortpath może być używany na dwa sposoby:

1. Sieci zarządzane, w których nawiązywana jest bezpośrednia łączność między klientem a hostem sesji podczas korzystania z połączenia prywatnego, takiego jak usługa Azure ExpressRoute lub wirtualna sieć prywatna typu lokacja-lokacja (VPN). Połączenie przy użyciu sieci zarządzanej jest nawiązywane na jeden z następujących sposobów:

   1. Bezpośrednie połączenie UDP między urządzeniem klienckim a hostem sesji, w którym należy włączyć odbiornik rdp shortpath i zezwolić portowi przychodzącemu na każdym hoście sesji na akceptowanie połączeń.

   2. Bezpośrednie połączenie UDP między urządzeniem klienckim a hostem sesji przy użyciu protokołu Simple Traversal Underneath NAT (STUN) między klientem a hostem sesji. Porty przychodzące na hoście sesji nie muszą być dozwolone.

2. Sieci publiczne, w których nawiązywana jest bezpośrednia łączność między klientem a hostem sesji podczas korzystania z połączenia publicznego. Istnieją dwa typy połączeń podczas korzystania z połączenia publicznego, które są wymienione tutaj w kolejności preferencji:

   1. Bezpośrednie połączenie UDP przy użyciu protokołu Simple Traversal Underneath NAT (STUN) między klientem a hostem sesji.

   2. Przekaźnikowe połączenie UDP przy użyciu protokołu Traversal Using Relay NAT (TURN) między klientem a hostem sesji.

Transport używany dla protokołu RDP Shortpath jest oparty na protokole uniwersalnej kontroli szybkości (URCP). Usługa URCP zwiększa poziom UDP dzięki aktywnemu monitorowaniu warunków sieciowych i zapewnia uczciwe i pełne wykorzystanie połączeń. Usługa URCP działa z małym opóźnieniem i w razie potrzeby na poziomie strat.

Ważna

• Skrót RDP dla sieci publicznych za pośrednictwem usługi STUN dla usługi Azure Virtual Desktop jest dostępny w chmurze publicznej platformy Azure i w chmurze Azure Government.
• Skrót RDP dla sieci publicznych za pośrednictwem opcji TURN dla usługi Azure Virtual Desktop jest dostępny tylko w chmurze publicznej platformy Azure.

Kluczowe korzyści

Korzystanie z protokołu RDP Shortpath ma następujące kluczowe korzyści:

• Użycie protokołu URCP w celu zwiększenia wydajności protokołu UDP zapewnia najlepszą wydajność dzięki dynamicznemu uczeniu się parametrów sieciowych i zapewnianiu protokołowi mechanizmu kontroli szybkości.

• Wyższa przepływność.

• W przypadku korzystania z usługi STUN usunięcie dodatkowych punktów przekaźnika skraca czas rundy, poprawia niezawodność połączenia oraz środowisko użytkownika dzięki aplikacjom wrażliwym na opóźnienia i metodom wejściowym.

• Ponadto w przypadku sieci zarządzanych:

  • Protokół RDP Shortpath zapewnia obsługę konfigurowania priorytetu jakości usług (QoS) dla połączeń RDP za pośrednictwem znaków DSCP (Differentiated Services Code Point).

  • Transport rdp shortpath umożliwia ograniczenie ruchu sieciowego ruchu wychodzącego przez określenie szybkości ograniczania dla każdej sesji.

Jak działa ścieżka krótka protokołu RDP

Aby dowiedzieć się, jak działa protokół RDP Shortpath dla sieci zarządzanych i sieci publicznych, wybierz każdą z następujących kart.

Sieci zarządzane

Możesz uzyskać bezpośrednią łączność wzrokową wymaganą do korzystania z protokołu RDP Shortpath z sieciami zarządzanymi przy użyciu następujących metod.

• Prywatna komunikacja równorzędna usługi ExpressRoute

• Sieć VPN typu lokacja-lokacja lub sieć VPN typu punkt-lokacja (IPsec), na przykład Azure VPN Gateway

Bezpośrednia łączność z siecią wzrokową oznacza, że klient może łączyć się bezpośrednio z hostem sesji bez blokowania przez zapory.

Uwaga

Jeśli używasz innych typów sieci VPN do nawiązywania połączenia z platformą Azure, zalecamy użycie sieci VPN opartej na protokole UDP. Podczas gdy większość rozwiązań sieci VPN opartych na protokole TCP obsługuje zagnieżdżone UDP, dodają dziedziczone obciążenie związane z kontrolą przeciążenia TCP, co spowalnia wydajność protokołu RDP.

Aby używać protokołu RDP Shortpath dla sieci zarządzanych, należy włączyć odbiornik UDP na hostach sesji. Domyślnie używany jest port 3390 , chociaż można użyć innego portu.

Na poniższym diagramie przedstawiono ogólne omówienie połączeń sieciowych w przypadku korzystania z protokołu RDP Shortpath dla sieci zarządzanych i hostów sesji przyłączonych do domeny usługi Active Directory.

Sekwencja połączeń

Wszystkie połączenia rozpoczynają się od ustanowienia transportu odwrotnego połączenia opartego na protokole TCP za pośrednictwem bramy usługi Azure Virtual Desktop Gateway. Następnie klient i host sesji ustanawiają początkowy transport RDP i rozpoczynają wymianę swoich możliwości. Te możliwości są negocjowane przy użyciu następującego procesu:

1. Host sesji wysyła do klienta listę adresów IPv4 i IPv6.

2. Klient uruchamia wątek w tle w celu ustanowienia równoległego transportu opartego na protokole UDP bezpośrednio do jednego z adresów IP hosta sesji.

3. Podczas gdy klient sonduje podane adresy IP, nadal ustanawia początkowe połączenie za pośrednictwem transportu odwrotnego połączenia, aby upewnić się, że nie ma opóźnienia w połączeniu użytkownika.

4. Jeśli klient ma bezpośrednie połączenie z hostem sesji, klient ustanawia bezpieczne połączenie przy użyciu protokołu TLS za pośrednictwem niezawodnego protokołu UDP.

5. Po ustanowieniu transportu RDP Shortpath wszystkie dynamiczne kanały wirtualne (DVC), w tym zdalna grafika, dane wejściowe i przekierowanie urządzenia, zostaną przeniesione do nowego transportu. Jeśli jednak zapora lub topologia sieci uniemożliwia klientowi ustanawianie bezpośredniej łączności UDP, protokół RDP kontynuuje transport odwrotnego połączenia.

Jeśli użytkownicy mają dostępną zarówno ścieżkę RDP Shortpath dla sieci zarządzanej, jak i sieci publicznych, zostanie użyty pierwszy znaleziony algorytm. Użytkownik będzie używać połączenia, które zostanie nawiązane w pierwszej kolejności dla tej sesji.

Sieci publiczne

Aby zapewnić największe prawdopodobieństwo pomyślnego nawiązania połączenia UDP podczas korzystania z połączenia publicznego, istnieją typy połączeń bezpośrednich i przekaźników :

• Połączenie bezpośrednie: usługa STUN służy do ustanawiania bezpośredniego połączenia UDP między klientem a hostem sesji. Aby nawiązać to połączenie, klient i host sesji muszą mieć możliwość łączenia się ze sobą za pośrednictwem publicznego adresu IP i portu wynegocjowanego. Jednak większość klientów nie zna własnego publicznego adresu IP, ponieważ znajdują się za urządzeniem bramy translatora adresów sieciowych (NAT ). Usługa STUN to protokół do samodzielnego odnajdywania publicznego adresu IP z poziomu urządzenia bramy NAT i klienta w celu określenia własnego publicznego adresu IP.

  Aby klient korzystał z usługi STUN, jego sieć musi zezwalać na ruch UDP. Przy założeniu, że zarówno klient, jak i host sesji mogą bezpośrednio kierować do odnalezionego adresu IP i portu drugiej strony, nawiązywana jest komunikacja z bezpośrednim UDP za pośrednictwem protokołu WebSocket. Jeśli zapory lub inne urządzenia sieciowe blokują bezpośrednie połączenia, próbowano nawiązać przekaźnikowe połączenie UDP.

• Połączenie przekaźnikowe: funkcja TURN służy do nawiązywania połączenia, przekazując ruch za pośrednictwem serwera pośredniego między klientem a hostem sesji, gdy bezpośrednie połączenie nie jest możliwe. TURN to rozszerzenie usługi STUN. Użycie opcji TURN oznacza, że publiczny adres IP i port są znane z wyprzedzeniem, co może być dozwolone za pośrednictwem zapór i innych urządzeń sieciowych.

  Jeśli zapory lub inne urządzenia sieciowe blokują ruch UDP, połączenie powróci do transportu odwrotnego połączenia opartego na protokole TCP.

Po nawiązaniu połączenia interakcyjny establishment łączności (ICE) koordynuje zarządzanie usługami STUN i TURN, aby zoptymalizować prawdopodobieństwo nawiązania połączenia i upewnić się, że pierwszeństwo ma preferowane protokoły komunikacji sieciowej.

Każda sesja RDP używa dynamicznie przypisanego portu UDP z efemerycznego zakresu portów (domyślnie od 49152 do 65535 ), który akceptuje ruch rdp shortpath. Port 65330 jest ignorowany z tego zakresu, ponieważ jest zarezerwowany do użytku wewnętrznego przez platformę Azure. Można również użyć mniejszego, przewidywalnego zakresu portów. Aby uzyskać więcej informacji, zobacz Ograniczanie zakresu portów używanego przez klientów dla sieci publicznych.

Porada

Protokół RDP Shortpath dla sieci publicznych będzie działać automatycznie bez żadnej dodatkowej konfiguracji, zapewniając sieciom i zaporom zezwalanie na ruch za pośrednictwem i ustawienia transportu RDP w systemie operacyjnym Windows dla hostów sesji, a klienci używają ich wartości domyślnych.

Na poniższym diagramie przedstawiono ogólny przegląd połączeń sieciowych w przypadku korzystania z protokołu RDP Shortpath dla sieci publicznych, w których hosty sesji są przyłączone do Tożsamość Microsoft Entra.

Dostępność przekaźnika TURN

Przekaźnik TURN jest dostępny w następujących regionach platformy Azure z usługą ACS TURN Relay (20.202.0.0/16):

• Australia Południowo-Wschodnia
• Indie Środkowe
• Wschodnie stany USA
• Wschodnie stany USA 2
• Francja Środkowa
• Japonia Zachodnia
• Europa Północna

• Południowo-środkowe stany USA
• Azja Południowo-Wschodnia
• Południowe Zjednoczone Królestwo
• Zachodnie Zjednoczone Królestwo
• Europa Zachodnia
• Zachodnie stany USA
• Zachodnie stany USA 2

Przekaźnik TURN jest wybierany na podstawie fizycznej lokalizacji urządzenia klienckiego. Jeśli na przykład urządzenie klienckie znajduje się w Wielkiej Brytanii, wybrano przekaźnik TURN w regionie Południowe Zjednoczone Królestwo lub Zachodnie Zjednoczone Królestwo. Jeśli urządzenie klienckie jest dalekie od przekaźnika TURN, połączenie UDP może wrócić do protokołu TCP.

Tłumaczenie adresów sieciowych i zapory

Większość klientów usługi Azure Virtual Desktop działa na komputerach w sieci prywatnej. Dostęp do Internetu jest zapewniany za pośrednictwem urządzenia bramy translatora adresów sieciowych (NAT). W związku z tym brama TRANSLATOR modyfikuje wszystkie żądania sieciowe z sieci prywatnej i jest przeznaczona do Internetu. Taka modyfikacja ma na celu udostępnienie jednego publicznego adresu IP na wszystkich komputerach w sieci prywatnej.

Z powodu modyfikacji pakietu IP adresat ruchu zobaczy publiczny adres IP bramy TRANSLATOR zamiast rzeczywistego nadawcy. Po powrocie ruchu do bramy TRANSLATOR należy przekazać go do zamierzonego adresata bez wiedzy nadawcy. W większości scenariuszy urządzenia ukryte za takim translatorem adresów sieciowych nie są świadome tłumaczenia i nie znają adresu sieciowego bramy TRANSLATOR.

Translator adresów sieciowych ma zastosowanie do sieci wirtualnych platformy Azure, w których znajdują się wszystkie hosty sesji. Gdy host sesji próbuje uzyskać adres sieciowy w Internecie, brama TRANSLATOR (własne lub domyślne udostępniane przez platformę Azure) lub Azure Load Balancer wykonuje tłumaczenie adresów. Aby uzyskać więcej informacji na temat różnych typów tłumaczenia źródłowych adresów sieciowych, zobacz Używanie tłumaczenia adresów sieciowych źródłowych (SNAT) dla połączeń wychodzących.

Większość sieci zazwyczaj obejmuje zapory, które sprawdzają ruch i blokują go na podstawie reguł. Większość klientów konfiguruje swoje zapory, aby uniemożliwić połączenia przychodzące (czyli niechciane pakiety z Internetu wysyłane bez żądania). Zapory stosują różne techniki śledzenia przepływu danych w celu rozróżnienia między niepożądanym i niechcianym ruchem. W kontekście protokołu TCP zapora śledzi pakiety SYN i ACK, a proces jest prosty. Zapory UDP zwykle używają heurystyki opartej na adresach pakietów do kojarzenia ruchu z przepływami UDP i zezwalania na niego lub blokowania. Dostępnych jest wiele różnych implementacji translatora adresów sieciowych.

Sekwencja połączeń

Wszystkie połączenia rozpoczynają się od ustanowienia transportu odwrotnego połączenia opartego na protokole TCP za pośrednictwem bramy usługi Azure Virtual Desktop Gateway. Następnie klient i host sesji ustanawiają początkowy transport RDP i rozpoczynają wymianę swoich możliwości. Jeśli program RDP Shortpath dla sieci publicznych jest włączony na hoście sesji, host sesji inicjuje proces nazywany zbieraniem kandydatów:

1. Host sesji wylicza wszystkie interfejsy sieciowe przypisane do hosta sesji, w tym interfejsy wirtualne, takie jak VPN i Teredo.

2. Usługa Windows Remote Desktop Services (TermService) przydziela gniazda UDP w każdym interfejsie i przechowuje parę IP:Port w tabeli kandydata jako kandydata lokalnego.

3. Usługa usług pulpitu zdalnego używa każdego gniazda UDP przydzielonego w poprzednim kroku do próby dotarcia do serwera STUN usługi Azure Virtual Desktop w publicznym Internecie. Komunikacja odbywa się przez wysłanie małego pakietu UDP na port 3478.

4. Jeśli pakiet dotrze do serwera usługi STUN, serwer usługi STUN odpowiada publicznym adresem IP i portem. Te informacje są przechowywane w tabeli kandydatów jako kandydat refleksyjny.

5. Gdy host sesji zbierze wszystkich kandydatów, host sesji użyje ustanowionego transportu odwrotnego połączenia, aby przekazać listę kandydatów do klienta.

6. Gdy klient otrzymuje listę kandydatów z hosta sesji, klient wykonuje również zbieranie kandydatów po swojej stronie. Następnie klient wysyła listę kandydatów do hosta sesji.

7. Po wymianie list kandydatów przez hosta sesji i klienta obie strony próbują połączyć się ze sobą przy użyciu wszystkich zebranych kandydatów. Ta próba połączenia jest równoczesna po obu stronach. Wiele bram translatora adresów sieciowych jest skonfigurowanych tak, aby zezwalać na ruch przychodzący do gniazda natychmiast po zainicjowaniu transferu danych wychodzących. To zachowanie bram translatora adresów sieciowych jest powodem, dla którego jednoczesne połączenie jest niezbędne. Jeśli usługa STUN nie powiedzie się, ponieważ jest zablokowana, zostanie podjęta próba połączenia przekaźnika przy użyciu funkcji TURN.

8. Po początkowej wymianie pakietów klient i host sesji mogą ustanowić jeden lub wiele przepływów danych. Z tych przepływów danych protokół RDP wybiera najszybszą ścieżkę sieci. Następnie klient ustanawia bezpieczne połączenie przy użyciu protokołu TLS za pośrednictwem niezawodnego protokołu UDP z hostem sesji i inicjuje transport rdp shortpath.

9. Gdy protokół RDP ustanowi transport RDP Shortpath, wszystkie dynamiczne kanały wirtualne (DVC), w tym zdalna grafika, dane wejściowe i przekierowanie urządzenia, zostać przeniesione do nowego transportu.

Jeśli użytkownicy mają dostępną zarówno ścieżkę RDP Shortpath dla sieci zarządzanej, jak i sieci publicznych, zostanie użyty pierwszy znaleziony algorytm, co oznacza, że użytkownik będzie używać połączenia, które zostanie nawiązane w pierwszej kolejności dla tej sesji. Aby uzyskać więcej informacji, zobacz przykładowy scenariusz 4.

Konfiguracja sieci

Do obsługi protokołu RDP Shortpath dla sieci publicznych zazwyczaj nie jest potrzebna żadna konkretna konfiguracja. Host sesji i klient automatycznie odnajdują bezpośredni przepływ danych, jeśli jest to możliwe w konfiguracji sieci. Jednak każde środowisko jest unikatowe, a niektóre konfiguracje sieci mogą negatywnie wpływać na szybkość powodzenia bezpośredniego połączenia. Postępuj zgodnie z zaleceniami , aby zwiększyć prawdopodobieństwo bezpośredniego przepływu danych.

Ponieważ protokół RDP Shortpath używa protokołu UDP do ustanowienia przepływu danych, jeśli zapora w sieci zablokuje ruch UDP, program RDP Shortpath zakończy się niepowodzeniem i połączenie powróci do transportu odwrotnego połączenia opartego na protokole TCP. Usługa Azure Virtual Desktop korzysta z serwerów usługi STUN udostępnianych przez usługi Azure Communication Services i Microsoft Teams. Ze względu na charakter tej funkcji wymagana jest łączność wychodząca z hostów sesji z klientem. Niestety, nie można przewidzieć, gdzie znajdują się użytkownicy w większości przypadków. W związku z tym zalecamy zezwolenie na wychodzącą łączność UDP z hostów sesji do Internetu. Aby zmniejszyć wymaganą liczbę portów, można ograniczyć zakres portów używany przez klientów dla przepływu UDP. Poniższe tabele umożliwiają odwołanie podczas konfigurowania zapór dla protokołu RDP Shortpath.

Jeśli środowisko używa symetrycznego translatora adresów sieciowych, czyli mapowania pojedynczego prywatnego źródłowego adresu IP:Port na unikatowy publiczny docelowy adres IP:port, możesz użyć połączenia przekaźnika z funkcją TURN. Tak będzie w przypadku używania usług Azure Firewall i Azure NAT Gateway. Aby uzyskać więcej informacji na temat translatora adresów sieciowych w sieciach wirtualnych platformy Azure, zobacz Source Network Address Translation with virtual networks (Tłumaczenie adresów sieci źródłowych za pomocą sieci wirtualnych).

Mamy pewne ogólne zalecenia dotyczące pomyślnych połączeń przy użyciu protokołu RDP Shortpath dla sieci publicznych. Aby uzyskać więcej informacji, zobacz Ogólne zalecenia.

Jeśli użytkownicy mają dostęp do protokołu RDP Shortpath zarówno dla sieci zarządzanej, jak i sieci publicznych, zostanie użyty pierwszy znaleziony algorytm. Użytkownik będzie używać połączenia, które zostanie nawiązane w pierwszej kolejności dla tej sesji. Aby uzyskać więcej informacji, zobacz Przykładowe scenariusze.

Poniższe sekcje zawierają wymagania dotyczące źródła, miejsca docelowego i protokołu dla hostów sesji i urządzeń klienckich, które muszą być dozwolone, aby program RDP Shortpath działał.

Uwaga

Od 15 czerwca firma Microsoft rozpocznie wdrażanie nowego zakresu adresów 51.5.0.0/16IP przekaźnika TURN w 40 regionach platformy Azure. Ten nowy zakres jest przeznaczony wyłącznie dla usługi Azure Virtual Desktop i Windows 365, co oznacza odejście od wcześniej udostępnionej podsieci 20.202.0.0/16 używanej przez Azure Communication Services. Uaktualnienie ma na celu ulepszenie ścieżki rdp shortpath dla sieci publicznych (za pośrednictwem turn/relay), zapewniając szybszą i bardziej niezawodną łączność dla użytkowników.

Sieć wirtualna hosta sesji

W poniższej tabeli szczegółowo opisano wymagania dotyczące źródła, miejsca docelowego i protokołu dla protokołu RDP Shortpath dla sieci wirtualnej hosta sesji.

Name (Nazwa)	Źródło	Port źródłowy	Destination (Miejsce docelowe)	Port docelowy	Protocol (Protokół)	Akcja
Bezpośrednie połączenie usługi STUN	Podsieć maszyny wirtualnej	Dowolna	Dowolna	1024-65535 (domyślnie 49152-65535)	UDP	Zezwalaj
Przekaźnik STUN/TURN	Podsieć maszyny wirtualnej	Dowolna	20.202.0.0/16	3478	UDP	Zezwalaj
Przekaźnik STUN/TURN	Podsieć maszyny wirtualnej	Dowolna	51.5.0.0/16	3478	UDP	Zezwalaj

Sieć klienta

W poniższej tabeli szczegółowo opisano wymagania dotyczące źródła, miejsca docelowego i protokołu dla urządzeń klienckich.

Name (Nazwa)	Źródło	Port źródłowy	Destination (Miejsce docelowe)	Port docelowy	Protocol (Protokół)	Akcja
Bezpośrednie połączenie usługi STUN	Sieć klienta	Dowolna	Publiczne adresy IP przypisane do bramy TRANSLATOR lub Azure Firewall (udostępniane przez punkt końcowy usługi STUN)	1024-65535 (domyślnie 49152-65535)	UDP	Zezwalaj
Przekaźnik STUN/TURN	Sieć klienta	Dowolna	20.202.0.0/16	3478	UDP	Zezwalaj
Przekaźnik STUN/TURN	Sieć klienta	Dowolna	51.5.0.0/16	3478	UDP	Zezwalaj

Uwaga

Od 15 czerwca ruch będzie stopniowo przekierowywany z bieżącego zakresu przekaźnika TURN usługi Azure Communication Service (ACS) (20.202.0.0/16) do nowo wyznaczonej podsieci 51.5.0.0/16. Chociaż ta zmiana jest zaprojektowana tak, aby była bezproblemowa, ważne jest, aby klienci wywłaszczali konfigurowanie reguł pomijania dla nowego zakresu w celu utrzymania nieprzerwanej usługi. Po prawidłowym pominięciu obu zakresów adresów IP użytkownicy końcowi nie powinni mieć żadnych problemów z łącznością.

Obsługa teredo

Chociaż nie jest to wymagane w przypadku protokołu RDP Shortpath, teredo dodaje dodatkowe kandydatów do przechodzenia przez translator adresów sieciowych i zwiększa prawdopodobieństwo pomyślnego połączenia RDP Shortpath w sieciach tylko dla protokołu IPv4. Aby dowiedzieć się, jak włączyć usługę Teredo na hostach sesji i klientach, zobacz Włączanie obsługi teredo.

Obsługa protokołu UPnP

Aby zwiększyć szanse na bezpośrednie połączenie, po stronie klienta pulpitu zdalnego program RDP Shortpath może użyć protokołu UPnP do skonfigurowania mapowania portów na routerze TRANSLATOR. UPnP to standardowa technologia używana przez różne aplikacje, takie jak Xbox, Optymalizacja dostarczania i Teredo. Protokół UPnP jest ogólnie dostępny na routerach zwykle występujących w sieci domowej. Protokół UPnP jest domyślnie włączony w większości routerów domowych i punktów dostępu, ale jest często wyłączony w sieci firmowej.

Zalecenia ogólne

Poniżej przedstawiono niektóre ogólne zalecenia dotyczące korzystania z protokołu RDP Shortpath dla sieci publicznych:

• Unikaj używania konfiguracji wymuszonego tunelowania, jeśli użytkownicy uzyskują dostęp do usługi Azure Virtual Desktop przez Internet.

• Upewnij się, że nie używasz konfiguracji podwójnego translatora adresów sieciowych ani translatora adresów sieciowych (CGN, Carrier-Grade-NAT).

• Zalecaj użytkownikom, aby nie wyłączali protokołu UPnP na routerach domowych.

• Unikaj korzystania z usług inspekcji pakietów w chmurze.

• Unikaj używania rozwiązań sieci VPN opartych na protokole TCP.

• Włącz łączność IPv6 lub Teredo.

Zabezpieczenia połączeń

Protokół RDP Shortpath rozszerza możliwości transportu wielodostępnego PROTOKOŁU RDP. Nie zastępuje transportu odwrotnego połączenia, ale uzupełnia go. Wstępne brokerowanie sesji jest zarządzane za pośrednictwem usługi Azure Virtual Desktop i transportu odwrotnego połączenia. Wszystkie próby nawiązania połączenia są ignorowane, chyba że są one zgodne z odwrotną sesją połączenia. Protokół RDP Shortpath jest ustanawiany po uwierzytelnieniu, a w przypadku pomyślnego ustanowienia transport połączenia zwrotnego zostaje porzucony, a cały ruch przepływa przez ścieżkę skróconą PROTOKOŁU RDP.

Protokół RDP Shortpath używa bezpiecznego połączenia przy użyciu protokołu TLS za pośrednictwem niezawodnego protokołu UDP między klientem a hostem sesji przy użyciu certyfikatów hosta sesji. Domyślnie certyfikat używany do szyfrowania RDP jest generowany samodzielnie przez system operacyjny podczas wdrażania. Można również wdrożyć centralnie zarządzane certyfikaty wystawione przez urząd certyfikacji przedsiębiorstwa. Aby uzyskać więcej informacji na temat konfiguracji certyfikatów, zobacz Konfiguracje certyfikatów odbiornika pulpitu zdalnego.

Uwaga

Zabezpieczenia oferowane przez protokół RDP Shortpath są takie same jak zabezpieczenia oferowane przez transport połączenia zwrotnego TCP.

Przykładowe scenariusze

Poniżej przedstawiono kilka przykładowych scenariuszy pokazujących sposób oceniania połączeń w celu podjęcia decyzji, czy program RDP Shortpath jest używany w różnych topologiach sieci.

Scenariusz 1

Połączenie UDP można ustanowić tylko między urządzeniem klienckim a hostem sesji za pośrednictwem sieci publicznej (Internet). Bezpośrednie połączenie, takie jak sieć VPN, nie jest dostępne. Protokół UDP jest dozwolony za pośrednictwem zapory lub urządzenia NAT.

Scenariusz 2

Zapora lub urządzenie NAT blokuje bezpośrednie połączenie UDP, ale przekazywane połączenie UDP można przekaźnikować przy użyciu funkcji TURN między urządzeniem klienckim a hostem sesji za pośrednictwem sieci publicznej (Internet). Inne bezpośrednie połączenie, takie jak sieć VPN, nie jest dostępne.

Scenariusz 3

Połączenie UDP można ustanowić między urządzeniem klienckim a hostem sesji za pośrednictwem sieci publicznej lub za pośrednictwem bezpośredniego połączenia SIECI VPN, ale protokół RDP Shortpath dla sieci zarządzanych nie jest włączony. Gdy klient inicjuje połączenie, protokół ICE/STUN może zobaczyć wiele tras i oceni każdą trasę i wybierze ją z najniższym opóźnieniem.

W tym przykładzie zostanie nawiązane połączenie UDP korzystające z protokołu RDP Shortpath dla sieci publicznych za pośrednictwem bezpośredniego połączenia sieci VPN, ponieważ ma najmniejsze opóźnienie, jak pokazano w zielonej linii.

Scenariusz 4

Włączono zarówno protokół RDP Shortpath dla sieci publicznych, jak i sieci zarządzanych. Połączenie UDP można ustanowić między urządzeniem klienckim a hostem sesji za pośrednictwem sieci publicznej lub za pośrednictwem bezpośredniego połączenia sieci VPN. Gdy klient inicjuje połączenie, istnieją jednoczesne próby nawiązania połączenia przy użyciu protokołu RDP Shortpath dla sieci zarządzanych za pośrednictwem portu 3390 (domyślnie) i protokołu RDP Shortpath dla sieci publicznych za pośrednictwem protokołu ICE/STUN. Zostanie użyty algorytm pierwszego znalezienia, a użytkownik będzie używać połączenia, które zostanie nawiązane jako pierwsze dla tej sesji.

Ponieważ przechodzenie przez sieć publiczną ma więcej kroków, na przykład urządzenie NAT, moduł równoważenia obciążenia lub serwer usługi STUN, prawdopodobnie pierwszy znaleziony algorytm wybierze połączenie przy użyciu protokołu RDP Shortpath dla sieci zarządzanych i zostanie ustanowione jako pierwsze.

Scenariusz 5

Połączenie UDP można ustanowić między urządzeniem klienckim a hostem sesji za pośrednictwem sieci publicznej lub za pośrednictwem bezpośredniego połączenia SIECI VPN, ale protokół RDP Shortpath dla sieci zarządzanych nie jest włączony. Aby zapobiec używaniu określonej trasy przez usługę ICE/STUN, administrator może zablokować jedną z tras dla ruchu UDP. Zablokowanie trasy zapewni, że pozostała ścieżka będzie zawsze używana.

W tym przykładzie protokół UDP jest zablokowany w przypadku bezpośredniego połączenia sieci VPN, a protokół ICE/STUN ustanawia połączenie za pośrednictwem sieci publicznej.

Scenariusz 6

Skonfigurowano zarówno protokół RDP Shortpath dla sieci publicznych, jak i sieci zarządzanych, jednak nie można nawiązać połączenia UDP przy użyciu bezpośredniego połączenia SIECI VPN. Zapora lub urządzenie NAT blokuje również bezpośrednie połączenie UDP przy użyciu sieci publicznej (Internet), ale przekaźnikowe połączenie UDP można przekaźnikować przy użyciu funkcji TURN między urządzeniem klienckim a hostem sesji za pośrednictwem sieci publicznej (Internet).

Scenariusz 7

Skonfigurowano zarówno protokół RDP Shortpath dla sieci publicznych, jak i sieci zarządzanych, jednak nie można ustanowić połączenia UDP. W tym przypadku protokół RDP Shortpath zakończy się niepowodzeniem, a połączenie powróci do transportu odwrotnego połączenia opartego na protokole TCP.

Następne kroki

• Dowiedz się, jak skonfigurować protokół RDP Shortpath.
• Dowiedz się więcej o łączności sieciowej usługi Azure Virtual Desktop na stronie Understanding Azure Virtual Desktop network connectivity (Informacje o łączności sieciowej usługi Azure Virtual Desktop).
• Omówienie opłat za sieć wychodzącą platformy Azure.
• Aby zrozumieć, jak oszacować przepustowość używaną przez protokół RDP, zobacz Wymagania dotyczące przepustowości protokołu RDP.