Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo irá mostrar-lhe como utilizar um servidor proxy com o Azure Virtual Desktop. As recomendações neste artigo aplicam-se apenas às ligações entre a infraestrutura do Azure Virtual Desktop, o cliente e os agentes de anfitrião de sessões. Este artigo não abrange a conectividade de rede para o Office, Windows 10, FSLogix ou outras aplicações Microsoft.
O que são servidores proxy?
Recomendamos que ignore os proxies para o tráfego do Azure Virtual Desktop. Os proxies não tornam o Azure Virtual Desktop mais seguro porque o tráfego já está encriptado. Para saber mais sobre a segurança da ligação, veja Segurança da ligação.
A maioria dos servidores proxy não foram concebidos para suportar ligações WebSocket de execução prolongada e podem afetar a estabilidade da ligação. A escalabilidade do servidor proxy também causa problemas porque o Azure Virtual Desktop utiliza várias ligações de longo prazo. Se utilizar servidores proxy, estes têm de ter o tamanho certo para executar estas ligações.
Se a geografia do servidor proxy estiver longe do anfitrião, esta distância causará mais latência nas suas ligações de utilizador. Mais latência significa tempo de ligação mais lento e pior experiência do utilizador, especialmente em cenários que precisam de interações gráficas, de áudio ou de baixa latência com dispositivos de entrada. Se tiver de utilizar um servidor proxy, tenha em atenção que tem de colocar o servidor na mesma geografia que o Agente do Azure Virtual Desktop e o cliente.
Se configurar o servidor proxy como o único caminho para o tráfego do Azure Virtual Desktop, os dados do Protocolo RDP (Remote Desktop Protocol) serão forçados através do Protocolo de Controlo de Transmissão (TCP) em vez do Protocolo UDP (User Datagram Protocol). Este movimento reduz a qualidade visual e a capacidade de resposta da ligação remota.
Em resumo, não recomendamos a utilização de servidores proxy no Azure Virtual Desktop porque causam problemas relacionados com o desempenho devido à degradação da latência e à perda de pacotes.
Ignorar um servidor proxy
Se as políticas de rede e segurança da sua organização exigirem servidores proxy para o tráfego web, pode configurar o seu ambiente para ignorar as ligações do Azure Virtual Desktop enquanto encaminha o tráfego através do servidor proxy. No entanto, as políticas de cada organização são exclusivas, pelo que alguns métodos podem funcionar melhor para a sua implementação do que outros. Seguem-se alguns métodos de configuração que pode tentar para evitar a perda de desempenho e fiabilidade no seu ambiente:
- Etiquetas de serviço do Azure com Firewall do Azure
- Ignorar servidor proxy com ficheiros de Configuração Automática de Proxy (
.PAC
) - Ignorar lista na configuração do proxy local
- Utilizar servidores proxy para a configuração por utilizador
- Utilizar o RDP Shortpath para a ligação RDP enquanto mantém o tráfego do serviço através do proxy
Recomendações para utilizar servidores proxy
Algumas organizações exigem que todo o tráfego de utilizador passe por um servidor proxy para controlo ou inspeção de pacotes. Esta secção descreve como recomendamos a configuração do seu ambiente nestes casos.
Utilizar servidores proxy na mesma geografia do Azure
Quando utiliza um servidor proxy, este processa todas as comunicações com a infraestrutura do Azure Virtual Desktop e executa a resolução de DNS e o encaminhamento Anycast para o Azure Front Door mais próximo. Se os servidores proxy estiverem distantes ou distribuídos numa geografia do Azure, a sua resolução geográfica será menos precisa. Uma resolução geográfica menos precisa significa que as ligações serão encaminhadas para um cluster do Azure Virtual Desktop mais distante. Para evitar este problema, utilize apenas servidores proxy geograficamente próximos do cluster do Azure Virtual Desktop.
Utilizar o RDP Shortpath para redes geridas para conectividade de ambiente de trabalho
Quando ativar o RDP Shortpath para redes geridas, os dados RDP irão ignorar o servidor proxy, se possível. Ignorar o servidor proxy garante um encaminhamento ideal ao utilizar o transporte UDP. Outro tráfego do Azure Virtual Desktop, como mediação, orquestração e diagnóstico, continuará a passar pelo servidor proxy.
Não utilizar a terminação SSL no servidor proxy
A terminação SSL (Secure Sockets Layer) substitui os certificados de segurança dos componentes do Azure Virtual Desktop pelos certificados gerados pelo servidor proxy. Esta funcionalidade de servidor proxy permite a inspeção de pacotes para o tráfego HTTPS no servidor proxy. No entanto, a inspeção de pacotes também aumenta o tempo de resposta do serviço, o que faz com que os utilizadores iniciem sessão mais tempo. Para cenários de ligação inversa, a inspeção de pacotes de tráfego RDP não é necessária porque o tráfego RDP de ligação inversa é binário e utiliza níveis adicionais de encriptação.
Se configurar o servidor proxy para utilizar a inspeção SSL, lembre-se de que não pode reverter o servidor para o estado original após a inspeção SSL efetuar alterações. Se algo no seu ambiente do Azure Virtual Desktop deixar de funcionar enquanto tem a inspeção SSL ativada, tem de desativar a inspeção SSL e tentar novamente antes de abrir um pedido de suporte. A inspeção SSL também pode fazer com que o agente do Azure Virtual Desktop deixe de funcionar porque interfere com ligações fidedignas entre o agente e o serviço.
Não utilize servidores proxy que precisem de autenticação
Os componentes do Azure Virtual Desktop no anfitrião de sessão são executados no contexto do respetivo sistema operativo, para que não suportem servidores proxy que necessitem de autenticação. Se o servidor proxy necessitar de autenticação, a ligação falhará.
Planear a capacidade de rede do servidor proxy
Os servidores proxy têm limites de capacidade. Ao contrário do tráfego HTTP normal, o tráfego RDP tem ligações chaty de execução prolongada que são bidirecionais e consomem muita largura de banda. Antes de configurar um servidor proxy, fale com o fornecedor do servidor proxy sobre a quantidade de débito que o servidor tem. Certifique-se também de que pergunta quantas sessões de proxy pode executar de uma só vez. Depois de implementar o servidor proxy, monitorize cuidadosamente a utilização de recursos para estrangulamentos no tráfego do Azure Virtual Desktop.
Servidores proxy e otimização de multimédia do Microsoft Teams
O Azure Virtual Desktop não suporta servidores proxy com otimização de multimédia para o Microsoft Teams.
Recomendações de configuração do anfitrião de sessões
Para configurar um servidor proxy ao nível do anfitrião de sessões, tem de ativar um proxy ao nível do sistema. Lembre-se de que a configuração ao nível do sistema afeta todos os componentes do SO e aplicações em execução no anfitrião da sessão. As secções seguintes são recomendações para configurar proxies ao nível do sistema.
Utilizar o protocolo WPAD (Web Proxy Auto-Discovery)
O agente do Azure Virtual Desktop tenta localizar automaticamente um servidor proxy na rede com o protocolo WPAD (Web Proxy Auto-Discovery). Durante uma tentativa de localização, o agente procura no servidor de nomes de domínio (DNS) um ficheiro com o nome wpad.domainsuffix. Se o agente encontrar o ficheiro no DNS, efetua um pedido HTTP para um ficheiro com o nome wpad.dat. A resposta torna-se o script de configuração de proxy que escolhe o servidor proxy de saída.
Para configurar a sua rede para utilizar a resolução de DNS para WPAD, siga as instruções em Detetar automaticamente as definições internet Explorer 11. Certifique-se de que a lista de bloqueios de consultas globais do servidor DNS permite a resolução do WPAD ao seguir as instruções em Set-DnsServerGlobalQueryBlockList.
Definir manualmente um proxy para todos os dispositivos para serviços Windows
Se estiver a especificar um servidor proxy manualmente, no mínimo terá de definir um proxy para os serviços Do Windows RDAgent e Serviços de Ambiente de Trabalho Remoto nos anfitriões de sessão. O RDAgent é executado com a conta Sistema Local e Os Serviços de Ambiente de Trabalho Remoto são executados com o Serviço de Rede da conta. Pode definir um proxy para estas contas com a bitsadmin
ferramenta de linha de comandos.
O exemplo seguinte configura as contas do Sistema Local e do Serviço de Rede para utilizar um ficheiro proxy .pac
. Terá de executar estes comandos a partir de uma linha de comandos elevada, alterando o valor do marcador de posição para <server>
com o seu próprio endereço:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Para obter uma referência completa e outros exemplos, veja bitsadmin util e setieproxy.
Também pode definir um proxy ao nível do dispositivo ou uma Configuração Automática do Proxy (. Ficheiro PAC) que se aplica a todos os utilizadores interativos, sistema local e serviço de rede. Se os anfitriões de sessão estiverem inscritos com Intune, pode definir um proxy com o CSP do Proxy de Rede. No entanto, os sistemas operativos cliente de várias sessões do Windows não suportam o CSP de Política, uma vez que apenas suportam o catálogo de definições. Em alternativa, pode configurar um proxy ao nível do dispositivo com o netsh winhttp
comando . Para obter uma referência completa e exemplos, veja Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP) (Comandos Netsh para Windows Hypertext Transfer Protocol [WINHTTP])
Suporte de proxy do lado do cliente
O cliente do Azure Virtual Desktop suporta servidores proxy configurados com definições de sistema ou um CSP de Proxy de Rede.
Suporte de cliente do Azure Virtual Desktop
A tabela seguinte mostra quais os clientes do Azure Virtual Desktop que suportam servidores proxy:
Nome do cliente | Suporte ao servidor proxy |
---|---|
Windows Desktop | Sim |
Clientes Web | Sim |
Android | Não |
iOS | Sim |
macOS | Sim |
Loja Windows | Sim |
Para obter mais informações sobre o suporte de proxy em clientes magros baseados em Linux, veja Suporte de cliente dinâmico.
Limitações de suporte
Existem muitos serviços e aplicações de terceiros que funcionam como um servidor proxy. Estes serviços de terceiros incluem firewalls de próxima geração distribuídas, sistemas de segurança Web e servidores proxy básicos. Não podemos garantir que todas as configurações são compatíveis com o Azure Virtual Desktop. A Microsoft apenas fornece suporte limitado para ligações estabelecidas através de um servidor proxy. Se estiver a ter problemas de conectividade ao utilizar um servidor proxy, o suporte da Microsoft recomenda que configure uma desativação do proxy e, em seguida, tente reproduzir o problema.
Próximas etapas
Para obter mais informações sobre como manter a implementação do Azure Virtual Desktop segura, marcar o nosso guia de segurança.