Diretrizes do servidor proxy para a Área de Trabalho Virtual do Azure
Este artigo mostrará como usar um servidor proxy com a Área de Trabalho Virtual do Azure. As recomendações neste artigo se aplicam somente a conexões entre a infraestrutura da Área de Trabalho Virtual do Azure, o cliente e os agentes de host de sessão. Este artigo não abrange a conectividade de rede para o Office, Windows 10, FSLogix ou outros aplicativos da Microsoft.
O que são servidores proxy?
É recomendável ignorar proxies para o tráfego da Área de Trabalho Virtual do Azure. Os proxies não tornam a Área de Trabalho Virtual do Azure mais segura, porque o tráfego já está criptografado. Para saber mais sobre segurança de conexão, consulte Segurança de conexão.
A maioria dos servidores proxy não foram projetados para dar suporte a conexões WebSocket de execução prolongada, e podem afetar a estabilidade da conexão. A escalabilidade do servidor proxy também causa problemas porque a Área de Trabalho Virtual do Azure usa várias conexões de longo prazo. Se você for usar servidores proxy, eles deverão ter o tamanho certo para executar essas conexões.
Se a geografia do servidor proxy estiver longe do host, essa distância causará mais latência nas conexões de usuários. Mais latência significa tempo de conexão mais lento e pior experiência do usuário, especialmente em cenários que precisam de elementos gráficos, áudio ou interações de baixa latência com dispositivos de entrada. Se você precisar usar um servidor proxy, tenha em mente que precisa colocar o servidor na mesma geografia do Agente de Área de Trabalho Virtual do Azure e do cliente.
Se você configurar o servidor proxy como o único caminho para o tráfego da Área de Trabalho Virtual do Azure, os dados do protocolo da Área de Trabalho Remota (RDP) serão forçados sobre o Protocolo de Controle de Transmissão (TCP) em vez do Protocolo de Datagrama de Usuário (UDP). Essa medida reduz a qualidade visual e a capacidade de resposta da conexão remota.
Em resumo, não recomendamos o uso de servidores proxy na Área de Trabalho Virtual do Azure porque eles causam problemas de desempenho devido à degradação da latência e à perda de pacotes.
Ignorar um servidor proxy
Se as políticas de segurança e rede da sua organização exigirem servidores proxy para o tráfego da Web, você pode configurar seu ambiente para ignorar as conexões da Área de Trabalho Virtual do Azure enquanto continua roteando o tráfego pelo servidor proxy. No entanto, cada organização tem suas próprias políticas e, portanto, alguns métodos podem funcionar melhor para sua implantação do que outros. Aqui estão alguns métodos de configuração que você pode tentar para evitar perda de desempenho e confiabilidade em seu ambiente:
- Marcas de serviço do Azure com o Firewall do Azure
- Bypass do servidor proxy usando arquivos (
.PAC) de Configuração Automática de Proxy - Lista de bypass na configuração de proxy local
- Usar servidores proxy para configuração por usuário
- Usar o shortpath de RDP para a conexão RDP mantendo o tráfego de serviço via proxy
Recomendações ao usar servidores proxy
Algumas organizações exigem que todo o tráfego de usuários passe por um servidor proxy para acompanhamento ou inspeção de pacotes. Esta seção descreve a maneira recomendada de configurar seu ambiente nesses casos.
Usar servidores proxy na mesma geografia do Azure
Quando você usa um servidor proxy, ele lida com toda a comunicação com a infraestrutura da Área de Trabalho Virtual do Azure e executa a resolução DNS e o roteamento de Anycast para a Azure Front Door mais próxima. Se os seus servidores proxy estiverem distantes ou distribuídos ao longo da geografia do Azure, sua resolução geográfica será menos precisa. Resolução geográfica menos precisa significa que as conexões serão roteadas para um cluster de Área de Trabalho Virtual do Azure mais distante. Para evitar esse problema, use apenas servidores proxy que estão geograficamente próximos ao cluster da Área de Trabalho Virtual do Azure.
Usar o shortpath de RDP em redes gerenciadas para a conectividade de área de trabalho
Ao habilitar o shortpath de RDP para redes gerenciadas, os dados de RDP passam a ignorar o servidor proxy, caso possível. Ignorar o servidor proxy garante o roteamento ideal ao usar o transporte UDP. Outros tipos de tráfego da Área de Trabalho Virtual do Azure, como agente, orquestração e diagnóstico, continuarão passando pelo servidor proxy.
Não use a terminação SSL no servidor proxy
A terminação Secure Socket Layer (SSL) substitui certificados de segurança dos componentes da Área de Trabalho Virtual do Azure por certificados gerados pelo servidor proxy. Esse recurso de servidor proxy habilita a inspeção de pacotes do tráfego HTTPS no servidor proxy. No entanto, a inspeção de pacotes também aumenta o tempo de resposta do serviço, fazendo com que os usuários levem mais tempo para entrarem. Em cenários de conexão inversa, não é necessária a inspeção de pacotes de tráfego RDP porque o tráfego RDP de conexão inversa é binário e usa níveis extras de criptografia.
Se você configurar o servidor proxy para usar a inspeção SSL, lembre-se de que não é possível reverter o servidor para seu estado original depois que a inspeção SSL fizer alterações. Se algo em seu ambiente de Área de Trabalho Virtual do Azure parar de funcionar enquanto você tiver a inspeção SSL habilitada, você deverá desabilitar a inspeção SSL e tentar novamente antes de abrir um caso de suporte. A inspeção SSL também pode fazer com que o agente da Área de Trabalho Virtual do Azure pare de funcionar, pois ela interfere nas conexões confiáveis entre o agente e o serviço.
Não use servidores proxy que precisam de autenticação
Os componentes da Área de Trabalho Virtual do Azure no host de sessão são executados no contexto do próprio sistema operacional. Portanto, eles não oferecem suporte a servidores proxy que exigem autenticação. Se o servidor proxy pedir autenticação, a conexão falhará automaticamente.
Planejar a capacidade de rede do servidor proxy
Os servidores proxy têm limites de capacidade. Ao contrário do tráfego HTTP regular, o tráfego RDP tem conexões de execução prolongada e com ruídos. Essas conexões são bi-direcionais e consomem muita largura de banda. Antes de configurar um servidor proxy, informe ao fornecedor do servidor proxy a taxa de transferência do seu servidor. Além disso, pergunte a eles quantas sessões de proxy você pode executar ao mesmo tempo. Depois de implantar o servidor proxy, monitore cuidadosamente o uso de recursos para identificar gargalos no tráfego da Área de Trabalho Virtual do Azure.
Servidores Proxy e otimização de mídia para o Microsoft Teams
A Área de Trabalho Virtual do Azure não é compatível com servidores proxy com otimização de mídia para o Microsoft Teams.
Recomendações de configuração de host de sessão
Para configurar um servidor proxy no nível do host da sessão, você precisa habilitar um proxy em todo o sistema. Lembre-se de que a configuração em todo o sistema afeta todos os componentes e aplicativos do sistema operacional em execução no host da sessão. As seções a seguir são recomendações para configurar proxies em todo o sistema.
Usar o protocolo Descoberta Automática de Proxy Web (WPAD)
O agente da Área de Trabalho Virtual do Azure tenta localizar automaticamente um servidor proxy na rede usando o protocolo Descoberta Automática de Proxy Web (WPAD). Durante uma tentativa de localização, o agente busca no servidor de nomes de domínio (DNS) um arquivo chamado wpad.domainsuffix. Se o agente encontrar o arquivo no DNS, ele fará uma solicitação HTTP para um arquivo chamado wpad.dat. A resposta se torna o script de configuração de proxy que escolhe o servidor proxy de saída.
Para configurar a sua rede para usar a resolução DNS para WPAD, siga as instruções em Detecção automática de configurações do Internet Explorer 11. Certifique-se de que a lista de bloqueios de consulta global do servidor DNS permita a resolução WPAD seguindo as instruções em Set-DnsServerGlobalQueryBlockList.
Definir um proxy para serviços Windows em todo o dispositivo manualmente
Se estiver especificando um servidor proxy manualmente, será necessário, no mínimo, definir um proxy para os serviços do Windows RDAgent e Serviços da Área de Trabalho Remota nos hosts da sessão. O RDAgent é executado com a conta Sistema Local e os Serviços de Área de Trabalho Remota são executados com a conta Serviço de Rede. Você pode definir um proxy para essas contas usando a ferramenta de linha de comando bitsadmin.
O exemplo a seguir configura as contas de Sistema Local e Serviço de Rede para usar um arquivo .pac de proxy. Será necessário executar esses comandos em um prompt de comando elevado, alterando o valor do espaço reservado para <server> com seu próprio endereço:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Para obter uma referência completa e outros exemplos, confira bitsadmin util e setieproxy.
Também é possível definir um proxy para todo o dispositivo ou um arquivo .PAC (Protected Access Credential) que se aplique a todos os usuários interativos do Sistema Local e do Serviço de Rede. Se os hosts de sessão estiverem registrados no Intune, você poderá definir um proxy com o CSP de Proxy de Rede. No entanto, os sistemas operacionais Windows de clientes de várias sessões não dão suporte ao CSP de política, pois só dão suporte ao catálogo de configurações. Como alternativa, você pode configurar um proxy em todo o dispositivo usando o comando netsh winhttp. Para obter uma referência completa e exemplos, confira Comandos Netsh para WINHTTP (protocolo HTTP do Windows)
Suporte a proxy do lado do cliente
O cliente da Área de Trabalho Virtual do Azure oferece suporte a servidores proxy definidos com configurações do sistema ou com um CSP de Proxy de Rede.
Suporte a clientes da Área de Trabalho Virtual do Azure
A tabela a seguir mostra quais clientes da Área de Trabalho Virtual do Azure suportam servidores proxy:
| Nome do cliente | Suporte do servidor proxy |
|---|---|
| Windows Desktop | Sim |
| Cliente Web | Sim |
| Android | Não |
| iOS | Sim |
| macOS | Sim |
| Windows Store | Sim |
Para mais informações sobre o suporte a proxy em clientes finos baseados em Linux, consulte Suporte a clientes finos.
Limitações de suporte
Há muitos serviços e aplicativos de terceiros que atuam como servidores proxy. Esses serviços de terceiros incluem firewalls de última geração distribuídos, sistemas de segurança da Web e servidores proxy básicos. Não podemos garantir que toda configuração seja compatível com Área de Trabalho Virtual do Azure. A Microsoft oferece apenas suporte limitado para conexões estabelecidas em um servidor proxy. Se você estiver tendo problemas de conectividade ao usar um servidor proxy, o suporte da Microsoft recomenda que você configure um bypass de proxy e, em seguida, tente reproduzir o problema.
Próximas etapas
Para mais informações sobre como manter a implantação da Área de Trabalho Virtual do Azure segura, confira nosso guia de segurança.