Поделиться через


RDP Shortpath для Виртуального рабочего стола Azure

RDP Shortpath устанавливает транспорт на основе UDP между локальным приложением Windows или приложением удаленного рабочего стола на поддерживаемых платформах и узле сеансов в Виртуальном рабочем столе Azure. По умолчанию протокол удаленного рабочего стола (RDP) начинает транспорт обратного подключения на основе TCP, а затем пытается установить удаленный сеанс с помощью UDP. Если подключение UDP завершается с удалением TCP-подключения, в противном случае TCP-подключение используется в качестве резервного механизма подключения.

Транспорт на основе UDP обеспечивает более высокую надежность подключения и более согласованную задержку. Транспорт обратного подключения на основе TCP обеспечивает лучшую совместимость с различными конфигурациями сети и имеет высокую скорость успешного установления подключений RDP.

RDP Shortpath можно использовать двумя способами:

  1. Управляемые сети, где устанавливается прямое подключение между клиентом и узлом сеанса при использовании частного подключения, например Azure ExpressRoute или виртуальной частной сети типа "сеть — сеть" (VPN). Подключение с помощью управляемой сети устанавливается одним из следующих способов:

    1. Прямое подключение UDP между клиентским устройством и узлом сеанса, где необходимо включить прослушиватель RDP Shortpath и разрешить входящий порт на каждом узле сеанса принимать подключения.

    2. Прямое подключение UDP между клиентским устройством и узлом сеанса с помощью протокола Simple Traversal Underneath NAT (STUN) между клиентом и узлом сеанса. Входящие порты на узле сеанса не требуются.

  2. Общедоступные сети, где устанавливается прямое подключение между клиентом и узлом сеанса при использовании общедоступного подключения. При использовании общедоступного подключения существует два типа подключения, перечисленные здесь в порядке предпочтения:

    1. Прямое подключение UDP с помощью протокола Simple Traversal Underneath NAT (STUN) между клиентом и узлом сеанса.

    2. Ретрансляционное подключение UDP с помощью протокола обхода с помощью протокола NAT ретрансляции (TURN) между клиентом и узлом сеанса.

В основе транспорта RDP Shortpath лежит протокол URCP. Протокол URCP расширяет возможности протокола UDP за счет активного мониторинга состояния сети и обеспечивает надлежащее и полное использование ссылок. URCP обеспечивает низкую задержку и низкий уровень потерь в соответствии с требованиями.

Внимание

  • RDP Shortpath для общедоступных сетей через STUN для виртуального рабочего стола Azure доступен в общедоступном облаке Azure и Azure для государственных организаций облаке.
  • RDP Shortpath для общедоступных сетей через TURN для виртуального рабочего стола Azure доступен только в общедоступном облаке Azure.

Ключевые преимущества

Использование RDP Shortpath имеет следующие ключевые преимущества:

  • Использование протокола URCP для улучшения характеристик протокола UDP обеспечивает наилучшую производительность за счет динамического определения параметров сети и предоставления механизма управления скоростью.

  • Более высокая пропускная способность.

  • При использовании STUN удаление дополнительных точек ретрансляции уменьшает время круговой поездки, повышает надежность подключения и взаимодействие с пользователем с применением приложений с учетом задержки и методов ввода.

  • Кроме того, RDP Shortpath предоставляет следующие преимущества для управляемых сетей:

    • RDP Shortpath обеспечивает поддержку приоритета настройки качества обслуживания (QoS) для подключений RDP с помощью меток DSCP.

    • Транспорт RDP Shortpath позволяет ограничивать исходящий сетевой трафик путем указания частоты регулирования для каждого сеанса.

Как работает RDP Shortpath

Чтобы получить сведения о том, как RDP Shortpath работает в случае управляемых сетей и общедоступных сетей, перейдите на соответствующую вкладку.

Чтобы обеспечить прямое соединение, необходимое для использования RDP Shortpath с управляемыми сетями, можно использовать следующие методы.

Прямое соединение означает, что клиент может подключаться непосредственно к узлу сеансов и не блокируется брандмауэром.

Примечание.

Если для подключения к Azure задействуются другие типы VPN-подключений, рекомендуется использовать VPN-подключение на основе UDP. Большинство VPN-решений на основе протокола TCP поддерживает вложенные протоколы UDP, однако они используют дополнительные наследуемые служебные операции для управления перегрузкой TCP, что снижает производительность RDP.

Чтобы использовать RDP Shortpath для управляемых сетей, необходимо включить прослушиватель UDP на узлах сеансов. По умолчанию используется порт 3390, но можно использовать и другой порт.

На следующей схеме представлен общий обзор сетевых подключений при использовании RDP Shortpath для управляемых сетей и узлов сеансов, присоединенных к домену Active Directory.

Схема сетевых подключений при использовании RDP Shortpath для управляемых сетей.

Последовательность подключений

Все подключения начинаются с установки транспорт с обратным подключением на основе TCP через шлюз Виртуального рабочего стола Azure. Затем клиент и узел сеансов устанавливают начальный транспорт RDP и начинают обмениваться своими возможностями. Эти возможности согласовываются с помощью следующего процесса:

  1. Узел сеанса отправляет клиенту список IPv4- и IPv6-адресов.

  2. Клиент запускает фоновый поток для установки параллельного транспортного подключения основе UDP напрямую на один из IP-адресов узла сеансов.

  3. Пока клиент выполняет проверку предоставленных IP-адресов, он продолжает устанавливать начальное подключение через транспорт с обратным подключением, чтобы не допустить задержки в подключении пользователя.

  4. Если клиент имеет прямое подключение к узлу сеанса, клиент устанавливает безопасное подключение с помощью TLS через надежный UDP.

  5. После установки транспорта RDP Shortpath все динамические виртуальные каналы (DVC), включая удаленную графику, входные данные и перенаправление устройств, перемещаются в новый транспорт. Однако если брандмауэр или топология сети не позволяют клиенту устанавливать прямое соединение по протоколу UDP, RDP продолжит работать с транспортом с обратным подключением.

Если у пользователей есть RDP Shortpath для управляемой сети и общедоступных сетей, то будет использоваться первый найденный алгоритм. Пользователь будет использовать любое соединение, установленное первым для этого сеанса.

Безопасность подключения

RDP Shortpath расширяет возможности мультитранспортных подключений по протоколу RDP. Он не заменяет транспорт с обратным подключением, а дополняет его. Управление всеми функциями первоначального посредничества в сеансах осуществляется с помощью службы Виртуального рабочего стола Azure и транспорта с обратным подключением. Все попытки подключения будут проигнорированы, если они не соответствуют сеансу с обратным подключением. Транспорт RDP Shortpath устанавливается после проверки подлинности и, если он установлен успешно, то транспорт с обратным подключением удаляется и весь трафик направляется через RDP Shortpath.

RDP Shortpath использует безопасное подключение с помощью TLS через надежный UDP между клиентом и узлом сеанса с помощью сертификатов узла сеанса. По умолчанию сертификат, используемый для шифрования RDP, автоматически создается операционной системой во время развертывания. Вы также можете развертывать централизованно управляемые сертификаты, выданные центром сертификации предприятия. Дополнительные сведения о конфигурациях сертификатов см. в разделе Конфигурации сертификатов прослушивателя удаленных рабочих столов.

Примечание.

Безопасность, предлагаемая RDP Shortpath, совпадает с безопасностью, предлагаемой транспортом обратного подключения TCP.

Пример сценариев

Ниже приведены некоторые примеры сценариев, в которых показано, как оцениваются подключения, чтобы определить, используется ли RDP Shortpath в разных топологиях сети.

Сценарий 1

Подключение UDP можно установить только между клиентским устройством и узлом сеанса через общедоступную сеть (Интернет). Прямое подключение, например VPN, недоступно. UDP разрешен через брандмауэр или устройство NAT.

Схема, показывающая RDP Shortpath для общедоступных сетей, использует STUN.

Сценарий 2

Брандмауэр или устройство NAT блокирует прямое подключение UDP, но ретрансляторное подключение UDP можно ретранслировать с помощью TURN между клиентским устройством и узлом сеанса через общедоступную сеть (Интернет). Другое прямое подключение, например VPN, недоступно.

Схема, показывающая RDP Shortpath для общедоступных сетей, использует TURN.

Сценарий 3

Подключение UDP можно установить между клиентским устройством и узлом сеанса через общедоступную сеть или через прямое VPN-подключение, но RDP Shortpath для управляемых сетей не включен. Когда клиент инициирует подключение, протокол ICE/STUN может видеть несколько маршрутов и будет оценивать каждый маршрут и выбирать его с наименьшей задержкой.

В этом примере подключение UDP с помощью RDP Shortpath для общедоступных сетей через прямое VPN-подключение будет выполнено, так как оно имеет наименьшую задержку, как показано зеленой строкой.

Схема, показывающая подключение UDP с помощью RDP Shortpath для общедоступных сетей через прямое VPN-подключение, будет выполнено, так как она имеет наименьшую задержку.

Сценарий 4

Включены RDP Shortpath для общедоступных сетей и управляемых сетей. Подключение UDP можно установить между клиентским устройством и узлом сеанса через общедоступную сеть или через прямое VPN-подключение. Когда клиент инициирует подключение, существуют одновременные попытки подключения с помощью RDP Shortpath для управляемых сетей через порт 3390 (по умолчанию) и RDP Shortpath для общедоступных сетей через протокол ICE/STUN. Будет использоваться первый найденный алгоритм, и пользователь будет использовать любое соединение, установленное первым для этого сеанса.

Так как переход по общедоступной сети имеет больше шагов, например устройство NAT, подсистема балансировки нагрузки или сервер STUN, скорее всего, первый найденный алгоритм выберет подключение с помощью RDP Shortpath для управляемых сетей и сначала будет установлен.

Схема, показывающая первый найденный алгоритм, выберет подключение с помощью RDP Shortpath для управляемых сетей и сначала будет установлено.

Сценарий 5

Подключение UDP можно установить между клиентским устройством и узлом сеанса через общедоступную сеть или через прямое VPN-подключение, но RDP Shortpath для управляемых сетей не включен. Чтобы предотвратить использование определенного маршрута ICE/STUN, администратор может заблокировать один из маршрутов для трафика UDP. Блокировка маршрута гарантирует, что оставшийся путь всегда используется.

В этом примере UDP блокируется на прямом VPN-подключении, а протокол ICE/STUN устанавливает подключение через общедоступную сеть.

Схема, показывающая, что UDP заблокирована на прямом VPN-подключении, а протокол ICE/STUN устанавливает подключение через общедоступную сеть.

Сценарий 6.

RDP Shortpath для общедоступных сетей и управляемых сетей настроены, однако не удалось установить подключение UDP с помощью прямого VPN-подключения. Брандмауэр или устройство NAT также блокирует прямое подключение UDP с помощью общедоступной сети (Интернет), но ретрансляторное подключение UDP можно ретранслировать с помощью TURN между клиентским устройством и узлом сеанса через общедоступную сеть (Интернет).

Схема, показывающая, что UDP заблокирована на прямом VPN-подключении, а прямое подключение с помощью общедоступной сети также завершается ошибкой. TURN передает подключение через общедоступную сеть.

Сценарий 7.

RDP Shortpath для общедоступных сетей и управляемых сетей настроены, однако не удалось установить подключение UDP. В этом экземпляре RDP Shortpath завершится ошибкой, и подключение вернется к транспорту обратного подключения на основе TCP.

Схема, показывающая не удалось установить подключение UDP. В этом экземпляре RDP Shortpath завершится ошибкой, и подключение вернется к транспорту обратного подключения на основе TCP.

Следующие шаги