Общие сведения о сетевом подключении к Виртуальному рабочему столу Azure

Виртуальный рабочий стол Azure позволяет размещать клиентские сеансы на узлах сеансов, работающих в Azure. Корпорация Майкрософт управляет частями служб от имени клиента и предоставляет защищенные конечные точки для подключения клиентов и узлов сеансов. На приведенной ниже схеме представлен общий обзор сетевых подключений, используемых Виртуальным рабочим столом Azure.

Подключение к сеансу

Виртуальный рабочий стол Azure использует протокол удаленного рабочего стола (RDP) для предоставления возможностей удаленного просмотра и ввода через сетевые подключения. Протокол RDP изначально был выпущен в составе Windows NT 4.0 Terminal Server и постоянно развивался с каждым выпуском Microsoft Windows и Windows Server. С самого начала RDP разрабатывался как протокол, который не зависит от базового стека транспортировки, а сегодня он поддерживает несколько типов транспортировки.

Транспортировка обратных подключений

Виртуальный рабочий стол Azure использует транспортировку обратных подключений для настройки удаленного сеанса и передачи трафика RDP. В отличие от локальных развертываний служб удаленных рабочих столов, при транспортировке обратных подключений для приема входящих RDP-подключений используется не прослушиватель TCP, а исходящее подключение к инфраструктуре Виртуального рабочего стола Azure через HTTPS-подключение.

Коммуникационный канал узла сеансов

При запуске узла сеансов Виртуального рабочего стола Azure служба загрузчика агента удаленного рабочего стола устанавливает постоянный коммуникационный канал брокера Виртуального рабочего стола Azure. Этот коммуникационный канал размещается на уровень выше подключения TLS и служит шиной обмена сообщениями службы между узлом сеансов и инфраструктурой Виртуального рабочего стола Azure.

Последовательность подключений клиента

Ниже описана последовательность подключения клиента:

1. С помощью поддерживаемого клиента Виртуального рабочего стола Azure пользователь подписывается на рабочую область Виртуального рабочего стола Azure
2. Microsoft Entra проверяет подлинность пользователя и возвращает маркер, используемый для перечисления ресурсов, доступных пользователю.
3. Клиент передает токен в службу подписки на канал Виртуального рабочего стола Azure
4. Служба подписки на канал Виртуального рабочего стола Azure проверяет токен
5. Служба подписки на веб-канал виртуального рабочего стола Azure передает список доступных рабочих столов и приложений клиенту в виде конфигурации подключения с цифровой подписью
6. Клиент сохраняет конфигурацию подключения для каждого доступного ресурса в наборе RDP-файлов.
7. Когда пользователь выбирает ресурс для подключения, клиент использует связанный rdp-файл и устанавливает безопасное подключение TLS 1.2 к экземпляру шлюза виртуального рабочего стола Azure с помощью Azure Front Door и передает сведения о подключении. Задержка от всех шлюзов оценивается, и шлюзы помещаются в группы 10 мс. Шлюз с наименьшей задержкой, а затем выбирается наименьшее число существующих подключений.
8. Шлюз Виртуального рабочего стола Azure проверяет запрос и запрашивает у брокера Виртуального рабочего стола Azure оркестрацию подключения
9. Брокер Виртуального рабочего стола Azure определяет узел сеансов и использует ранее установленный постоянный коммуникационный канал для инициализации подключения
10. Стек удаленного рабочего стола инициирует подключение TLS 1.2 к тому же экземпляру шлюза Виртуального рабочего стола Azure, который использует клиент
11. После подключения клиента и узла сеансов шлюз начинает ретрансляцию необработанных данных между обеими конечными точками, при этом для RDP устанавливается базовая транспортировка обратных подключений
12. После установки базовой транспортировки клиент запускает подтверждение RDP

Безопасность подключения

TLS 1.2 используется для всех подключений, инициированных клиентами и узлами сеансов, к компонентам инфраструктуры Виртуального рабочего стола Azure. Виртуальный рабочий стол Azure использует те же шифры TLS 1.2, что и Azure Front Door. Важно убедиться, что эти шифры будут доступны на клиентских компьютерах и узлах сеансов. Для транспортировки обратных подключений клиент и узел сеансов подключаются к шлюзу Виртуального рабочего стола Azure. После настройки TCP-подключения клиент или узел сеансов проверяет сертификат шлюза Виртуального рабочего стола Azure. После установки базовой транспортировки RDP устанавливает вложенное TLS-соединение между клиентом и узлом сеансов, используя сертификаты узла сеанса. По умолчанию сертификат, используемый для шифрования RDP, автоматически создается операционной системой во время развертывания. При необходимости клиенты могут развертывать централизованно управляемые сертификаты, выданные центром сертификации предприятия. Дополнительные сведения о настройке сертификатов см. в документации по Windows Server.

Следующие шаги

• Дополнительные сведения о требованиях к пропускной способности для Виртуального рабочего стола Azure см. в статье Общие сведения о требованиях к пропускной способности протокола удаленного рабочего стола (RDP) для Виртуального рабочего стола Azure.
• Чтобы приступить к работе со службой QoS для Виртуального рабочего стола Azure, ознакомьтесь со статьей Обеспечение качества обслуживания (QoS) для Виртуального рабочего стола Azure.