Förstå nätverksanslutningar för Azure Virtual Desktop
Azure Virtual Desktop är värd för klientsessioner på sessionsvärdar som körs i Azure. Microsoft hanterar delar av tjänsterna för kundens räkning och tillhandahåller säkra slutpunkter för att ansluta klienter och sessionsvärdar. Följande diagram ger en översikt på hög nivå över de nätverksanslutningar som används av Azure Virtual Desktop.
Sessionsanslutning
Azure Virtual Desktop använder RDP (Remote Desktop Protocol) för att tillhandahålla funktioner för fjärrvisning och indata via nätverksanslutningar. RDP släpptes ursprungligen med Windows NT 4.0 Terminal Server Edition och utvecklades kontinuerligt med varje Version av Microsoft Windows och Windows Server. RDP utvecklades från början till att vara oberoende av den underliggande transportstacken och stöder idag flera typer av transporter.
Transport med omvänd anslutning
Azure Virtual Desktop använder omvänd anslutningstransport för att upprätta fjärrsessionen och för att transportera RDP-trafik. Till skillnad från distributioner av lokala fjärrskrivbordstjänster använder inte omvänd anslutning transport en TCP-lyssnare för att ta emot inkommande RDP-anslutningar. I stället använder den utgående anslutning till Azure Virtual Desktop-infrastrukturen via HTTPS-anslutningen.
Kommunikationskanal för sessionsvärd
När azure virtual desktop-sessionsvärden startas etablerar tjänsten Remote Desktop Agent Loader Azure Virtual Desktop Brokers beständiga kommunikationskanal. Den här kommunikationskanalen ligger ovanpå en säker TLS-anslutning (Transport Layer Security) och fungerar som en buss för servicemeddelandeutbyte mellan sessionsvärden och Azure Virtual Desktop-infrastrukturen.
Klientanslutningssekvens
Klientanslutningssekvensen är följande:
Med hjälp av Azure Virtual Desktop-klientanvändare som stöds prenumererar användaren på Azure Virtual Desktop-arbetsytan.
Microsoft Entra autentiserar användaren och returnerar den token som används för att räkna upp resurser som är tillgängliga för en användare.
Klienten skickar token till prenumerationstjänsten för Azure Virtual Desktop-feed.
Prenumerationstjänsten för Azure Virtual Desktop-feed verifierar token.
Prenumerationstjänsten för Azure Virtual Desktop-feed skickar tillbaka listan över tillgängliga skrivbord och program till klienten i form av en digitalt signerad anslutningskonfiguration.
Klienten lagrar anslutningskonfigurationen för varje tillgänglig resurs i en uppsättning
.rdp
filer.När en användare väljer den resurs som ska anslutas använder klienten den associerade
.rdp
filen och upprättar en säker TLS 1.2-anslutning till en Azure Virtual Desktop-gatewayinstans med hjälp av Azure Front Door och skickar anslutningsinformationen. Svarstiden från alla gatewayer utvärderas och gatewayerna placeras i grupper på 10 ms. Gatewayen med den lägsta svarstiden och sedan det lägsta antalet befintliga anslutningar väljs.Azure Virtual Desktop-gatewayen validerar begäran och ber Azure Virtual Desktop-koordinatorn att samordna anslutningen.
Azure Virtual Desktop Broker identifierar sessionsvärden och använder den tidigare etablerade beständiga kommunikationskanalen för att initiera anslutningen.
Fjärrskrivbordsstacken initierar en TLS 1.2-anslutning till samma Azure Virtual Desktop-gatewayinstans som används av klienten.
När både klient- och sessionsvärden är anslutna till gatewayen börjar gatewayen vidarebefordra data mellan båda slutpunkterna. Den här anslutningen upprättar den grundläggande omvända anslutningstransporten för RDP-anslutningen via en kapslad tunnel med hjälp av den ömsesidigt överenskomna TLS-version som stöds och aktiveras mellan klienten och sessionsvärden, upp till TLS 1.3.
När bastransporten har angetts startar klienten RDP-handskakningen.
Anslutningssäkerhet
TLS används för alla anslutningar. Vilken version som används beror på vilken anslutning som görs och funktionerna hos klient- och sessionsvärden:
För alla anslutningar som initieras från klienterna och sessionsvärdarna till Azure Virtual Desktop-infrastrukturkomponenterna används TLS 1.2. Azure Virtual Desktop använder samma TLS 1.2-chiffer som Azure Front Door. Det är viktigt att se till att både klientdatorer och sessionsvärdar kan använda dessa chiffer.
För omvänd anslutningstransport ansluter både klient- och sessionsvärden till Azure Virtual Desktop-gatewayen. När TCP-anslutningen för bastransporten har upprättats validerar klient- eller sessionsvärden Azure Virtual Desktop-gatewayens certifikat. RDP upprättar sedan en kapslad TLS-anslutning mellan klient- och sessionsvärden med hjälp av sessionsvärdens certifikat. Versionen av TLS använder den ömsesidigt överenskomna TLS-versionen som stöds och aktiveras mellan klienten och sessionsvärden, upp till TLS 1.3. TLS 1.3 stöds från och med Windows 11 (21H2) och Windows Server 2022. Mer information finns i Windows 11 TLS-stöd. För andra operativsystem kontrollerar du med operativsystemets leverantör om TLS 1.3-support.
Som standard genereras certifikatet som används för RDP-kryptering av operativsystemet själv under distributionen. Du kan också distribuera centralt hanterade certifikat som utfärdats av företagets certifikatutfärdare. Mer information om hur du konfigurerar certifikat finns i Certifikatkonfigurationer för fjärrskrivbordslyssnare.
Nästa steg
- Mer information om bandbreddskrav för Azure Virtual Desktop finns i Förstå krav på RDP-bandbredd (Remote Desktop Protocol) för Azure Virtual Desktop.
- Information om hur du kommer igång med QoS (Quality of Service) för Azure Virtual Desktop finns i Implementera tjänstkvalitet (QoS) för Azure Virtual Desktop.