Общие сведения о сетевом подключении Azure виртуального рабочего стола

Azure Виртуальный рабочий стол размещает сеансы клиента на узлах сеансов, работающих на Azure. Корпорация Майкрософт управляет частями служб от имени клиента и предоставляет безопасные конечные точки для подключения клиентов и узлов сеансов. На следующей схеме представлен общий обзор сетевых подключений, используемых Azure Виртуальным рабочим столом.

Подключение к сеансу

Виртуальный рабочий стол Azure использует протокол удаленного рабочего стола (RDP) для реализации функций удаленного отображения и ввода по сетевым каналам. RDP постоянно развивается с каждым выпуском Microsoft Windows и Windows Server. С самого начала RDP разрабатывался так, чтобы он не зависел от своего базового стека транспорта, и сегодня он поддерживает несколько типов транспорта.

Транспорт с обратным подключением

Azure Виртуальный рабочий стол использует транспорт с обратным подключением для создания удаленного сеанса и передачи трафика RDP. В отличие от локальных развертываний служб удаленных рабочих столов, транспорт с обратным подключением не использует прослушиватель TCP для получения входящих подключений RDP. Вместо этого используется исходящее подключение к инфраструктуре виртуального рабочего стола Azure по протоколу HTTPS.

Канал связи узла сеанса

После запуска узла сеансов Azure Виртуального рабочего стола служба загрузчика агента удаленного рабочего стола устанавливает постоянный канал связи брокера Azure виртуального рабочего стола. Этот канал связи размещается на уровне поверх безопасного подключения TLS и служит шиной для обмена сообщениями службы между узлом сеанса и инфраструктурой Azure виртуального рабочего стола.

Последовательность подключения клиента

Последовательность подключения клиента выглядит следующим образом (шаги могут отличаться за пределами Azure общедоступного облака):

1. Используя поддерживаемые Azure клиент виртуального рабочего стола, пользователь подписывается на рабочую область виртуального рабочего стола Azure.

2. Microsoft Entra проверяет подлинность пользователя и возвращает маркер, используемый для перечисления ресурсов, доступных пользователю.

3. Клиент передает маркер в службу подписки веб-канала Azure Виртуального рабочего стола.

4. Azure служба подписки на веб-канал виртуального рабочего стола проверяет маркер.

5. Azure служба подписки на канал виртуального рабочего стола передает клиенту список доступных рабочих столов и приложений в виде конфигурации подключения с цифровой подписью.

6. Клиент сохраняет конфигурацию подключения для каждого доступного .rdp ресурса в наборе файлов.

7. В общедоступных облачных подключениях, когда пользователь выбирает ресурс для подключения, клиент использует связанный .rdp файл и устанавливает безопасное TLS-подключение к экземпляру шлюза Azure виртуального рабочего стола с помощью Azure Front Door и передает сведения о подключении. Задержка от всех шлюзов оценивается, и шлюзы помещаются в группы по 10 мс. Выбирается шлюз с наименьшей задержкой, а затем наименьшим количеством существующих подключений. Другие облака могут использовать диспетчер трафика Azure для этого шага.

8. Azure шлюз виртуального рабочего стола проверяет запрос и запрашивает у брокера виртуального рабочего стола Azure оркестрацию подключения.

9. Azure брокер виртуального рабочего стола идентифицирует узел сеанса и использует ранее установленный постоянный канал связи для инициализации подключения.

10. Стек удаленного рабочего стола инициирует подключение TLS к тому же экземпляру шлюза Azure виртуального рабочего стола, который используется клиентом.

11. После подключения клиента и узла сеансов к шлюзу шлюз начнет ретрансляцию данных между обеими конечными точками. Это подключение устанавливает базовый транспорт обратного подключения для подключения по протоколу RDP через вложенный туннель с использованием поддерживаемой и включенной взаимно согласованной версии TLS между клиентом и узлом сеансов до TLS 1.3.

12. После установки базового транспорта клиент запускает подтверждение RDP.

Безопасность подключения

ПРОТОКОЛ TLS используется для всех подключений. Используемая версия зависит от того, какое соединение установлено, а также от возможностей клиента и узла сеансов:

• Для всех подключений, инициированных от клиентов и узлов сеансов к компонентам инфраструктуры виртуального рабочего стола Azure, протокол TLS 1.2 является минимальным, и TLS 1.3 можно использовать, если его поддерживает клиентская операционная система. Azure Виртуальный рабочий стол использует те же шифры TLS 1.2 или 1.3, что и Azure Front Door. Важно убедиться, что клиентские компьютеры и узлы сеансов могут использовать эти шифры.

• Для транспорта обратного подключения клиент и узел сеансов подключаются к шлюзу Azure виртуального рабочего стола. После установки TCP-подключения для базового транспорта клиент или узел сеансов проверяет сертификат шлюза Azure виртуального рабочего стола. Затем RDP устанавливает вложенное TLS-подключение между клиентом и узлом сеансов с помощью сертификатов узла сеансов. Версия TLS использует согласованную версию TLS, поддерживаемую и включенную между клиентом и узлом сеансов, вплоть до TLS 1.3. TLS 1.3 поддерживается, начиная с Windows 11 (21H2) и с Windows Server 2022 г. Дополнительные сведения см. в разделе поддержка TLS Windows 11. Для других операционных систем проверка с поставщиком операционной системы для поддержки TLS 1.3.

По умолчанию сертификат, используемый для шифрования RDP, создается ос самостоятельно во время развертывания. Azure Виртуальный рабочий стол в настоящее время не поддерживает использование сертификата, выданного центром сертификации.

Дальнейшие действия

• Сведения о требованиях к пропускной способности для виртуального рабочего стола Azure см. в статье Общие сведения о требованиях к пропускной способности протокола удаленного рабочего стола (RDP) для Azure виртуального рабочего стола.
• Чтобы приступить к работе с качеством обслуживания (QoS) для Azure Виртуального рабочего стола, см. статью Реализация качества обслуживания (QoS) для Azure виртуального рабочего стола.