Общие сведения о сетевом подключении к Виртуальному рабочему столу Azure

Виртуальный рабочий стол Azure размещает клиентские сеансы на узлах сеансов, работающих в Azure. Корпорация Майкрософт управляет частями служб от имени клиента и предоставляет защищенные конечные точки для подключения клиентов и узлов сеансов. На следующей схеме представлен общий обзор сетевых подключений, используемых виртуальным рабочим столом Azure.

Подключение к сеансу

Виртуальный рабочий стол Azure использует протокол удаленного рабочего стола (RDP) для предоставления возможностей удаленного просмотра и ввода через сетевые подключения. Протокол RDP изначально был выпущен в составе Windows NT 4.0 Terminal Server и постоянно развивался с каждым выпуском Microsoft Windows и Windows Server. С самого начала RDP разрабатывался как протокол, который не зависит от базового стека транспортировки, а сегодня он поддерживает несколько типов транспортировки.

Транспортировка обратных подключений

Виртуальный рабочий стол Azure использует транспортировку обратных подключений для настройки удаленного сеанса и передачи трафика RDP. В отличие от локальных развертываний служб удаленных рабочих столов, при транспортировке обратных подключений для приема входящих RDP-подключений используется не прослушиватель TCP, Вместо этого используется исходящее подключение к инфраструктуре виртуального рабочего стола Azure через подключение HTTPS.

Коммуникационный канал узла сеансов

При запуске узла сеансов Виртуального рабочего стола Azure служба загрузчика агента удаленного рабочего стола устанавливает постоянный коммуникационный канал брокера Виртуального рабочего стола Azure. Этот коммуникационный канал размещается на уровень выше подключения TLS и служит шиной обмена сообщениями службы между узлом сеансов и инфраструктурой Виртуального рабочего стола Azure.

Последовательность подключений клиента

Последовательность подключения клиента выглядит следующим образом:

1. При помощи поддерживаемого клиента Виртуальных рабочих столов Azure пользователь подписывается на рабочую область Виртуальных рабочих столов Azure.

2. Microsoft Entra проверяет подлинность пользователя и возвращает маркер, используемый для перечисления ресурсов, доступных пользователю.

3. Клиент передает токен службе подписки на канал Виртуальных рабочих столов Azure.

4. Служба подписки на канал Виртуальных рабочих столов Azure проверяет токен.

5. Служба подписки на веб-канал виртуального рабочего стола Azure передает список доступных рабочих столов и приложений клиенту в виде конфигурации подключения с цифровой подписью.

6. Клиент сохраняет конфигурацию подключения для каждого доступного ресурса в наборе .rdp файлов.

7. Когда пользователь выбирает ресурс для подключения, клиент использует связанный .rdp файл и устанавливает безопасное подключение TLS 1.2 к экземпляру шлюза виртуального рабочего стола Azure с помощью Azure Front Door и передает сведения о подключении. Задержка от всех шлюзов оценивается, и шлюзы помещаются в группы 10 мс. Шлюз с наименьшей задержкой, а затем выбирается наименьшее число существующих подключений.

8. Шлюз виртуальных рабочих столов Azure проверяет запрос и запрашивает у брокера Виртуальных рабочих столов Azure управление подключением.

9. Брокер Виртуальных рабочих столов Azure определяет узел сеанса и использует ранее установленный постоянный канал связи для инициализации подключения.

10. Стек удаленных рабочих столов инициирует подключение TLS 1.2 к тому же экземпляру шлюза виртуального рабочего стола Azure, который используется клиентом.

11. После подключения клиента и узла сеанса к шлюзу шлюз начинает ретрансляцию данных между обеими конечными точками. Это подключение устанавливает базовый транспорт обратного подключения для подключения RDP через вложенный туннель, используя согласованную версию TLS, поддерживаемую и включенную между узлом клиента и сеанса, до TLS 1.3.

12. После установки базовой транспортировки клиент запускает подтверждение RDP.

Безопасность подключения

TLS используется для всех подключений. Используемая версия зависит от того, какое подключение выполняется, а также возможности узла клиента и сеанса:

• Для всех подключений, инициированных клиентами и узлами сеансов, к компонентам инфраструктуры виртуального рабочего стола Azure используется TLS 1.2. Виртуальный рабочий стол Azure использует те же шифры TLS 1.2, что и Azure Front Door. Важно убедиться, что эти шифры будут доступны на клиентских компьютерах и узлах сеансов.

• Для транспорта обратного подключения клиент и узел сеанса подключаются к шлюзу виртуального рабочего стола Azure. После установки TCP-подключения для базового транспорта клиент или узел сеанса проверяет сертификат шлюза виртуального рабочего стола Azure. Затем RDP устанавливает вложенное подключение TLS между узлом клиента и сеанса с помощью сертификатов узла сеанса. Версия TLS использует поддерживаемую и включенную версию TLS между клиентом и узлом сеанса до TLS 1.3. TLS 1.3 поддерживается начиная с Windows 11 (21H2) и в Windows Server 2022. Дополнительные сведения см. в статье о поддержке TLS Для Windows 11. Для других операционных систем обратитесь к поставщику операционной системы для поддержки TLS 1.3.

По умолчанию сертификат, используемый для шифрования RDP, автоматически создается операционной системой во время развертывания. Вы также можете развертывать централизованно управляемые сертификаты, выданные центром сертификации предприятия. Дополнительные сведения о настройке сертификатов см. в разделе конфигурации сертификатов прослушивателя удаленных рабочих столов.

Следующие шаги

• Дополнительные сведения о требованиях к пропускной способности для Виртуального рабочего стола Azure см. в статье Общие сведения о требованиях к пропускной способности протокола удаленного рабочего стола (RDP) для Виртуального рабочего стола Azure.
• Чтобы приступить к работе со службой QoS для Виртуального рабочего стола Azure, ознакомьтесь со статьей Обеспечение качества обслуживания (QoS) для Виртуального рабочего стола Azure.