Diretrizes do servidor proxy para o Azure Virtual Desktop
Este artigo irá mostrar-lhe como utilizar um servidor proxy com o Azure Virtual Desktop. As recomendações neste artigo aplicam-se apenas às ligações entre a infraestrutura do Azure Virtual Desktop, o cliente e os agentes anfitriões de sessão. Este artigo não abrange a conectividade de rede do Office, Windows 10, FSLogix ou outras aplicações Microsoft.
O que são servidores proxy?
Recomendamos que ignore os proxies do tráfego do Azure Virtual Desktop. Os proxies não tornam o Azure Virtual Desktop mais seguro porque o tráfego já está encriptado. Para saber mais sobre a segurança da ligação, veja Segurança da ligação.
A maioria dos servidores proxy não foi concebida para suportar ligações WebSocket de execução prolongada e pode afetar a estabilidade da ligação. A escalabilidade do servidor proxy também causa problemas porque o Azure Virtual Desktop utiliza várias ligações de longo prazo. Se utilizar servidores proxy, estes têm de ter o tamanho certo para executar estas ligações.
Se a geografia do servidor proxy estiver longe do anfitrião, esta distância causará mais latência nas ligações de utilizador. Mais latência significa tempo de ligação mais lento e pior experiência de utilizador, especialmente em cenários que precisam de interações gráficas, áudio ou de baixa latência com dispositivos de entrada. Se tiver de utilizar um servidor proxy, tenha em atenção que tem de colocar o servidor na mesma geografia que o Agente de Ambiente de Trabalho Virtual do Azure e o cliente.
Se configurar o servidor proxy como o único caminho a seguir para o tráfego do Azure Virtual Desktop, os dados do Protocolo RDP (Remote Desktop Protocol) serão forçados a utilizar o Protocolo de Controlo de Transmissão (TCP) em vez do Protocolo UDP (User Datagram Protocol). Este movimento reduz a qualidade visual e a capacidade de resposta da ligação remota.
Em resumo, não recomendamos a utilização de servidores proxy no Azure Virtual Desktop porque causam problemas relacionados com o desempenho devido à degradação da latência e à perda de pacotes.
Ignorar um servidor proxy
Se as políticas de rede e segurança da sua organização exigirem servidores proxy para o tráfego Web, pode configurar o seu ambiente para ignorar as ligações do Azure Virtual Desktop enquanto encaminha o tráfego através do servidor proxy. No entanto, as políticas de cada organização são exclusivas, pelo que alguns métodos podem funcionar melhor para a sua implementação do que outros. Seguem-se alguns métodos de configuração que pode tentar evitar a perda de desempenho e fiabilidade no seu ambiente:
- Etiquetas de serviço do Azure com Azure Firewall
- Ignorar servidor proxy com ficheiros de Configuração Automática do Proxy (
.PAC
) - Ignorar lista na configuração do proxy local
- Utilizar servidores proxy para a configuração por utilizador
- Utilizar o RDP Shortpath para a ligação RDP enquanto mantém o tráfego do serviço através do proxy
Recomendações para utilizar servidores proxy
Algumas organizações exigem que todo o tráfego de utilizador passe por um servidor proxy para controlo ou inspeção de pacotes. Esta secção descreve como recomendamos a configuração do seu ambiente nestes casos.
Utilizar servidores proxy na mesma geografia do Azure
Quando utiliza um servidor proxy, este processa toda a comunicação com a infraestrutura do Azure Virtual Desktop e executa a resolução de DNS e o encaminhamento anycast para o Azure Front Door mais próximo. Se os servidores proxy estiverem distantes ou distribuídos por uma geografia do Azure, a sua resolução geográfica será menos precisa. Uma resolução geográfica menos precisa significa que as ligações serão encaminhadas para um cluster do Azure Virtual Desktop mais distante. Para evitar este problema, utilize apenas servidores proxy geograficamente próximos do cluster do Azure Virtual Desktop.
Utilizar o RdP Shortpath para redes geridas para conectividade de ambiente de trabalho
Quando ativar o RDP Shortpath para redes geridas, os dados RDP irão ignorar o servidor proxy, se possível. Ignorar o servidor proxy garante o encaminhamento ideal ao utilizar o transporte UDP. Outros tráfegos do Azure Virtual Desktop, como mediação, orquestração e diagnóstico, continuarão a passar pelo servidor proxy.
Não utilizar a terminação SSL no servidor proxy
A terminação SSL (Secure Sockets Layer) substitui os certificados de segurança dos componentes do Azure Virtual Desktop pelos certificados gerados pelo servidor proxy. Esta funcionalidade de servidor proxy permite a inspeção de pacotes para o tráfego HTTPS no servidor proxy. No entanto, a inspeção de pacotes também aumenta o tempo de resposta do serviço, tornando que os utilizadores demoram mais tempo a iniciar sessão. Para cenários de ligação inversa, a inspeção de pacotes de tráfego RDP não é necessária porque o tráfego RDP de ligação inversa é binário e utiliza níveis adicionais de encriptação.
Se configurar o servidor proxy para utilizar a inspeção SSL, lembre-se de que não pode reverter o servidor para o estado original após a inspeção SSL efetuar alterações. Se algo no ambiente do Azure Virtual Desktop deixar de funcionar enquanto tem a inspeção SSL ativada, tem de desativar a inspeção SSL e tentar novamente antes de abrir um caso de suporte. A inspeção SSL também pode fazer com que o agente do Azure Virtual Desktop deixe de funcionar porque interfere com ligações fidedignas entre o agente e o serviço.
Não utilize servidores proxy que precisem de autenticação
Os componentes do Azure Virtual Desktop no anfitrião de sessão são executados no contexto do respetivo sistema operativo, pelo que não suportam servidores proxy que necessitem de autenticação. Se o servidor proxy necessitar de autenticação, a ligação falhará.
Planear a capacidade de rede do servidor proxy
Os servidores proxy têm limites de capacidade. Ao contrário do tráfego HTTP normal, o tráfego RDP tem ligações chaty de execução prolongada que são bidirecionais e consomem muita largura de banda. Antes de configurar um servidor proxy, fale com o fornecedor do servidor proxy sobre a quantidade de débito que o servidor tem. Certifique-se também de que pergunta quantas sessões de proxy pode executar de uma só vez. Depois de implementar o servidor proxy, monitorize cuidadosamente a utilização de recursos para estrangulamentos no tráfego do Azure Virtual Desktop.
Servidores proxy e otimização de multimédia do Microsoft Teams
O Azure Virtual Desktop não suporta servidores proxy com otimização de multimédia para o Microsoft Teams.
Recomendações de configuração do anfitrião de sessões
Para configurar um servidor proxy de nível de anfitrião de sessão, tem de ativar um proxy ao nível do sistema. Lembre-se de que a configuração ao nível do sistema afeta todos os componentes do SO e aplicações em execução no anfitrião da sessão. As secções seguintes são recomendações para configurar proxies ao nível do sistema.
Utilizar o protocolo WPAD (Web Proxy Auto-Discovery)
O agente do Azure Virtual Desktop tenta localizar automaticamente um servidor proxy na rede com o protocolo WPAD (Web Proxy Auto-Discovery). Durante uma tentativa de localização, o agente procura no servidor de nomes de domínio (DNS) um ficheiro com o nome wpad.domainsuffix. Se o agente encontrar o ficheiro no DNS, efetua um pedido HTTP para um ficheiro com o nome wpad.dat. A resposta torna-se o script de configuração do proxy que escolhe o servidor proxy de saída.
Para configurar a sua rede para utilizar a resolução de DNS para WPAD, siga as instruções em Detetar automaticamente as definições do Internet Explorer 11. Certifique-se de que a lista de bloqueios de consultas globais do servidor DNS permite a resolução do WPAD ao seguir as instruções em Set-DnsServerGlobalQueryBlockList.
Definir manualmente um proxy em todo o dispositivo para serviços Windows
Se estiver a especificar um servidor proxy manualmente, no mínimo terá de definir um proxy para os Serviços RDAgent e Ambiente de Trabalho Remoto dos serviços Windows nos anfitriões de sessão. O RDAgent é executado com a conta Sistema Local e Serviços de Ambiente de Trabalho Remoto executados com o Serviço de Rede da conta. Pode definir um proxy para estas contas com a bitsadmin
ferramenta de linha de comandos.
O exemplo seguinte configura as contas do Sistema Local e do Serviço de Rede para utilizar um ficheiro proxy .pac
. Terá de executar estes comandos a partir de uma linha de comandos elevada, alterando o valor do marcador de posição para <server>
com o seu próprio endereço:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Para obter uma referência completa e outros exemplos, veja bitsadmin util e setieproxy.
Também pode definir um proxy para todo o dispositivo ou Configuração Automática do Proxy (. Ficheiro PAC) que se aplica a todos os utilizadores interativos, do Sistema Local e do Serviço de Rede. Se os anfitriões de sessão estiverem inscritos com Intune, pode definir um proxy com o CSP de Proxy de Rede, no entanto, os sistemas operativos cliente de várias sessões do Windows não suportam o CSP de Política, uma vez que apenas suportam o catálogo de definições. Em alternativa, pode configurar um proxy ao nível do dispositivo com o netsh winhttp
comando . Para obter uma referência completa e exemplos, veja Comandos Netsh para Windows Hypertext Transfer Protocol (WINHTTP)
Suporte de proxy do lado do cliente
O cliente do Azure Virtual Desktop suporta servidores proxy configurados com definições de sistema ou um CSP de Proxy de Rede.
Suporte de cliente do Azure Virtual Desktop
A tabela seguinte mostra quais os clientes do Azure Virtual Desktop que suportam servidores proxy:
Nome do cliente | Suporte para o servidor proxy |
---|---|
Ambiente de Trabalho do Windows | Sim |
Cliente Web | Sim |
Android | Não |
iOS | Sim |
macOS | Sim |
Loja Windows | Sim |
Para obter mais informações sobre o suporte de proxy em clientes magros baseados no Linux, veja Suporte de cliente fino.
Limitações de suporte
Existem muitos serviços e aplicações de terceiros que atuam como um servidor proxy. Estes serviços de terceiros incluem firewalls de próxima geração distribuídas, sistemas de segurança Web e servidores proxy básicos. Não podemos garantir que todas as configurações são compatíveis com o Azure Virtual Desktop. A Microsoft apenas fornece suporte limitado para ligações estabelecidas através de um servidor proxy. Se estiver a ter problemas de conectividade ao utilizar um servidor proxy, o suporte da Microsoft recomenda que configure um bypass de proxy e, em seguida, tente reproduzir o problema.
Passos seguintes
Para obter mais informações sobre como manter a implementação do Azure Virtual Desktop segura, consulte o nosso guia de segurança.