Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как использовать прокси-сервер с Виртуальным рабочим столом Azure. Рекомендации, приведенные в этой статье, относятся только к подключениям между инфраструктурой Виртуального рабочего стола Azure, клиентом и агентами узла сеансов. В этой статье не рассматривается сетевое подключение для Office, Windows 10, FSLogix и других приложений Майкрософт.
Что такое прокси-серверы?
Мы рекомендуем обойти прокси-серверы для трафика Виртуального рабочего стола Azure. Прокси-серверы не делают Виртуальный рабочий стол Azure более безопасным, так как трафик уже зашифрован. Дополнительные сведения о безопасности подключений см. в статье Безопасность подключения.
Большинство прокси-серверов не предназначены для поддержки длительных подключений WebSocket и могут повлиять на стабильность подключения. Масштабируемость прокси-сервера также вызывает проблемы, так как Виртуальный рабочий стол Azure использует несколько долгосрочных подключений. Если вы используете прокси-серверы, они должны иметь правильный размер для выполнения этих подключений.
Если география прокси-сервера находится далеко от узла, это расстояние приведет к увеличению задержки в подключениях пользователей. Большая задержка означает более медленное время подключения и ухудшает взаимодействие с пользователем, особенно в сценариях, требующих графических, звуковых или низкой задержки при взаимодействии с устройствами ввода. Если необходимо использовать прокси-сервер, помните, что сервер должен находиться в том же географическом регионе, что и агент виртуального рабочего стола Azure и клиент.
Если вы настроите прокси-сервер в качестве единственного пути для трафика Виртуального рабочего стола Azure, данные протокола удаленного рабочего стола (RDP) будут принудительно применяться по протоколу TCP, а не по протоколу UDP. Это перемещение снижает качество визуализации и скорость реагирования удаленного подключения.
Таким образом, мы не рекомендуем использовать прокси-серверы на Виртуальном рабочем столе Azure, так как они вызывают проблемы с производительностью из-за снижения задержки и потери пакетов.
Обход прокси-сервера
Если политики сети и безопасности вашей организации требуют прокси-серверов для веб-трафика, вы можете настроить среду так, чтобы обходить подключения к Виртуальному рабочему столу Azure и по-прежнему маршрутизировать трафик через прокси-сервер. Однако политики каждой организации уникальны, поэтому некоторые методы могут работать лучше для развертывания, чем другие. Ниже приведены некоторые методы настройки, которые можно попытаться предотвратить потерю производительности и надежности в среде.
- Теги службы Azure с Брандмауэр Azure
- Обход прокси-сервера с помощью файлов автоматической конфигурации прокси-сервера (
.PAC) - Список обходов в конфигурации локального прокси-сервера
- Использование прокси-серверов для настройки на пользователя
- Использование RDP Shortpath для подключения по протоколу RDP при сохранении трафика службы через прокси-сервер
Рекомендации по использованию прокси-серверов
Некоторые организации требуют, чтобы весь пользовательский трафик проходил через прокси-сервер для отслеживания или проверки пакетов. В этом разделе описывается, как мы рекомендуем настроить среду в таких случаях.
Использование прокси-серверов в том же географическом регионе Azure
При использовании прокси-сервера он обрабатывает весь обмен данными с инфраструктурой Виртуального рабочего стола Azure и выполняет разрешение DNS и маршрутизацию Anycast в ближайший azure Front Door. Если прокси-серверы находятся в удаленном расположении или распределены по географическому региону Azure, географическое разрешение будет менее точным. Менее точное географическое разрешение означает, что подключения будут направляться в более удаленный кластер Виртуальных рабочих столов Azure. Чтобы избежать этой проблемы, используйте только прокси-серверы, географически близкие к кластеру Виртуального рабочего стола Azure.
Использование RDP Shortpath для управляемых сетей для подключения к рабочему столу
При включении RDP Shortpath для управляемых сетей данные RDP по возможности будут обходить прокси-сервер. Обход прокси-сервера обеспечивает оптимальную маршрутизацию при использовании транспорта UDP. Другой трафик Виртуального рабочего стола Azure, например брокер, оркестрация и диагностика, по-прежнему будет проходить через прокси-сервер.
Не используйте завершение SSL на прокси-сервере
Завершение SSL заменяет сертификаты безопасности компонентов Виртуального рабочего стола Azure сертификатами, созданными прокси-сервером. Эта функция прокси-сервера включает проверку пакетов для трафика HTTPS на прокси-сервере. Однако проверка пакетов также увеличивает время отклика службы, что делает вход пользователей дольше. В сценариях с обратным подключением проверка пакетов трафика RDP не требуется, так как трафик RDP с обратным подключением является двоичным и использует дополнительные уровни шифрования.
Если прокси-сервер настроен для использования проверки SSL, помните, что вы не сможете отменить изменения сервер в исходное состояние после внесения изменений в проверку SSL. Если что-то в среде Виртуального рабочего стола Azure перестает работать, пока включена проверка SSL, необходимо отключить проверку SSL и повторить попытку, прежде чем открывать обращение в службу поддержки. Проверка SSL также может привести к прекращению работы агента Виртуального рабочего стола Azure, так как он мешает доверенным подключениям между агентом и службой.
Не используйте прокси-серверы, которым требуется проверка подлинности
Компоненты Виртуального рабочего стола Azure на узле сеансов выполняются в контексте операционной системы, поэтому они не поддерживают прокси-серверы, требующие проверки подлинности. Если прокси-сервер требует проверки подлинности, подключение завершится ошибкой.
Планирование сетевой емкости прокси-сервера
Прокси-серверы имеют ограничения емкости. В отличие от обычного трафика HTTP, трафик RDP имеет длительные и болтливые подключения, которые являются двунаправленными и потребляют много пропускной способности. Перед настройкой прокси-сервера обратитесь к поставщику прокси-сервера о том, сколько пропускной способности имеет сервер. Кроме того, обязательно спросите их, сколько сеансов прокси-сервера можно запустить одновременно. После развертывания прокси-сервера тщательно отслеживайте использование его ресурсов на наличие узких мест в трафике Виртуального рабочего стола Azure.
Прокси-серверы и оптимизация мультимедиа Microsoft Teams
Виртуальный рабочий стол Azure не поддерживает прокси-серверы с оптимизацией мультимедиа для Microsoft Teams.
Рекомендации по настройке узла сеансов
Чтобы настроить прокси-сервер уровня узла сеанса, необходимо включить общесистемный прокси-сервер. Помните, что общесистемная конфигурация влияет на все компоненты и приложения ОС, выполняемые на узле сеансов. В следующих разделах приведены рекомендации по настройке системных прокси-серверов.
Использование протокола автоматического обнаружения веб-прокси (WPAD)
Агент Виртуального рабочего стола Azure автоматически пытается найти прокси-сервер в сети с помощью протокола автоматического обнаружения веб-прокси (WPAD). Во время попытки расположения агент выполняет поиск файла с именем wpad.domainsuffix на сервере доменных имен (DNS). Если агент находит файл в DNS, он выполняет HTTP-запрос на файл с именем wpad.dat. Ответ становится скриптом конфигурации прокси-сервера, который выбирает исходящий прокси-сервер.
Чтобы настроить в сети использование разрешения DNS для WPAD, следуйте инструкциям в разделе Параметры автоматического обнаружения Internet Обозреватель 11. Убедитесь, что список блокировок глобальных запросов DNS-сервера разрешает разрешение WPAD, следуя указаниям в разделе Set-DnsServerGlobalQueryBlockList.
Настройка прокси-сервера на уровне устройства для служб Windows вручную
Если вы указываете прокси-сервер вручную, необходимо как минимум задать прокси-сервер для служб Windows RDAgent и служб удаленных рабочих столов на узлах сеансов. RDAgent выполняется с учетной записью Локальная система , а службы удаленных рабочих столов — с сетевой службой учетной записи. Вы можете задать прокси-сервер для этих учетных записей с помощью программы командной bitsadmin строки.
В следующем примере для учетных записей локальной системы и сетевой службы настраивается использование прокси-файла .pac . Вам потребуется выполнить эти команды из командной строки с повышенными привилегиями, изменив значение заполнителя для <server> с помощью собственного адреса:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Полный справочник и другие примеры см. в разделе bitsadmin util и setieproxy.
Вы также можете настроить прокси-сервер на уровне устройства или автоматическую настройку прокси-сервера (. PAC) файл, который применяется ко всем пользователям интерактивных, локальных систем и сетевых служб. Если узлы сеансов зарегистрированы с помощью Intune, можно настроить прокси-сервер с помощью поставщика сетевых прокси-серверов, однако клиентские операционные системы Windows с несколькими сеансами не поддерживают политику CSP, так как поддерживают только каталог параметров. Кроме того, можно настроить прокси-сервер на уровне устройства с помощью netsh winhttp команды . Полный справочник и примеры см. в статье Команды Netsh для протокола передачи гипертекста Windows (WINHTTP)
Поддержка прокси-сервера на стороне клиента
Клиент Виртуального рабочего стола Azure поддерживает прокси-серверы, настроенные с параметрами системы или поставщиком сетевых прокси-серверов.
Поддержка клиента Виртуального рабочего стола Azure
В следующей таблице показано, какие клиенты Виртуального рабочего стола Azure поддерживают прокси-серверы.
| Имя клиента | Поддержка прокси-сервера |
|---|---|
| Рабочий стол Windows | Да |
| Веб-клиент | Да |
| Android | Нет |
| iOS | Да |
| macOS | Да |
| Магазин Windows | Да |
Дополнительные сведения о поддержке прокси-сервера на тонких клиентах на основе Linux см. в разделе Поддержка тонких клиентов.
Ограничения поддержки
Существует множество сторонних служб и приложений, которые выступают в качестве прокси-сервера. Эти сторонние службы включают распределенные брандмауэры следующего поколения, системы веб-безопасности и базовые прокси-серверы. Мы не можем гарантировать, что каждая конфигурация совместима с Виртуальным рабочим столом Azure. Корпорация Майкрософт предоставляет ограниченную поддержку подключений, установленных через прокси-сервер. Если при использовании прокси-сервера возникают проблемы с подключением, служба поддержки Майкрософт рекомендует настроить обход прокси-сервера, а затем попытаться воспроизвести проблему.
Дальнейшие действия
Дополнительные сведения о безопасном развертывании Виртуального рабочего стола Azure проверка в нашем руководстве по безопасности.