Riktlinjer för proxyserver för Azure Virtual Desktop
Den här artikeln visar hur du använder en proxyserver med Azure Virtual Desktop. Rekommendationerna i den här artikeln gäller endast för anslutningar mellan Azure Virtual Desktop-infrastruktur, klient- och sessionsvärdagenter. Den här artikeln beskriver inte nätverksanslutningar för Office, Windows 10, FSLogix eller andra Microsoft-program.
Vad är proxyservrar?
Vi rekommenderar att du kringgår proxyservrar för Azure Virtual Desktop-trafik. Proxyservrar gör inte Azure Virtual Desktop säkrare eftersom trafiken redan är krypterad. Mer information om anslutningssäkerhet finns i Anslutningssäkerhet.
De flesta proxyservrar är inte utformade för att stödja långvariga WebSocket-anslutningar och kan påverka anslutningens stabilitet. Skalbarhet för proxyservern orsakar också problem eftersom Azure Virtual Desktop använder flera långsiktiga anslutningar. Om du använder proxyservrar måste de ha rätt storlek för att kunna köra dessa anslutningar.
Om proxyserverns geografiska område ligger långt från värden orsakar det här avståndet längre svarstider i dina användaranslutningar. Mer svarstid innebär långsammare anslutningstid och sämre användarupplevelse, särskilt i scenarier som behöver grafik, ljud eller interaktioner med indataenheter med låg latens. Om du måste använda en proxyserver bör du tänka på att du måste placera servern i samma geografiska område som Azure Virtual Desktop-agenten och -klienten.
Om du konfigurerar proxyservern som den enda sökvägen för Azure Virtual Desktop-trafik att ta, tvingas RDP-data (Remote Desktop Protocol) över TCP (Transmission Control Protocol) i stället för UDP (User Datagram Protocol). Det här steget sänker fjärranslutningens visuella kvalitet och svarstider.
Sammanfattningsvis rekommenderar vi inte att du använder proxyservrar på Azure Virtual Desktop eftersom de orsakar prestandarelaterade problem med fördröjningsförsämring och paketförlust.
Kringgå en proxyserver
Om organisationens nätverks- och säkerhetsprinciper kräver proxyservrar för webbtrafik kan du konfigurera din miljö så att den kringgår Azure Virtual Desktop-anslutningar samtidigt som trafiken dirigeras via proxyservern. Varje organisations principer är dock unika, så vissa metoder kan fungera bättre för distributionen än andra. Här följer några konfigurationsmetoder som du kan försöka förhindra prestanda- och tillförlitlighetsförlust i din miljö:
- Azure-tjänsttaggar med Azure Firewall
- Proxyservern kringgår med hjälp av autokonfigurationsfiler för proxy (
.PAC) - Kringgå listan i den lokala proxykonfigurationen
- Använda proxyservrar för konfiguration per användare
- Använda RDP Shortpath för RDP-anslutningen samtidigt som tjänsttrafiken över proxyn behålls
Rekommendationer för att använda proxyservrar
Vissa organisationer kräver att all användartrafik går via en proxyserver för spårning eller paketinspektion. I det här avsnittet beskrivs hur vi rekommenderar att du konfigurerar din miljö i dessa fall.
Använda proxyservrar i samma geografiska Azure-område
När du använder en proxyserver hanterar den all kommunikation med Azure Virtual Desktop-infrastrukturen och utför DNS-matchning och Anycast-routning till närmaste Azure Front Door. Om proxyservrarna är avlägsna eller distribuerade i ett geografiskt Azure-område blir din geografiska upplösning mindre exakt. Mindre exakt geografisk upplösning innebär att anslutningar dirigeras till ett mer avlägset Azure Virtual Desktop-kluster. Undvik det här problemet genom att bara använda proxyservrar som är geografiskt nära ditt Azure Virtual Desktop-kluster.
Använda RDP Shortpath för hanterade nätverk för skrivbordsanslutning
När du aktiverar RDP Shortpath för hanterade nätverk kringgår RDP-data proxyservern, om möjligt. Genom att kringgå proxyservern säkerställs optimal routning vid användning av UDP-transporten. Annan Azure Virtual Desktop-trafik, till exempel asynkron meddelandekö, orkestrering och diagnostik, går fortfarande via proxyservern.
Använd inte SSL-avslutning på proxyservern
Secure Sockets Layer -avslutning (SSL) ersätter säkerhetscertifikat för Azure Virtual Desktop-komponenterna med certifikat som genereras av proxyservern. Den här proxyserverfunktionen aktiverar paketinspektion för HTTPS-trafik på proxyservern. Paketinspektionen ökar dock också svarstiden för tjänsten, vilket gör att det tar längre tid för användarna att logga in. För scenarier med omvänd anslutning är RDP-trafikpaketinspektion inte nödvändigt eftersom RDP-trafik med omvänd anslutning är binär och använder extra krypteringsnivåer.
Om du konfigurerar proxyservern så att den använder SSL-inspektion ska du komma ihåg att du inte kan återställa servern till dess ursprungliga tillstånd när SSL-inspektionen har gjort ändringar. Om något i Azure Virtual Desktop-miljön slutar fungera när du har aktiverat SSL-inspektion måste du inaktivera SSL-inspektionen och försöka igen innan du öppnar ett supportärende. SSL-inspektion kan också leda till att Azure Virtual Desktop-agenten slutar fungera eftersom den stör betrodda anslutningar mellan agenten och tjänsten.
Använd inte proxyservrar som behöver autentisering
Azure Virtual Desktop-komponenter på sessionsvärden körs i kontexten för deras operativsystem, så att de inte stöder proxyservrar som kräver autentisering. Om proxyservern kräver autentisering misslyckas anslutningen.
Planera för proxyserverns nätverkskapacitet
Proxyservrar har kapacitetsbegränsningar. Till skillnad från vanlig HTTP-trafik har RDP-trafik långvariga, trafikintensiva anslutningar som är dubbelriktade och förbrukar mycket bandbredd. Innan du konfigurerar en proxyserver bör du tala med proxyserverleverantören om hur mycket dataflöde servern har. Se också till att fråga dem hur många proxysessioner du kan köra samtidigt. När du har distribuerat proxyservern övervakar du noggrant dess resursanvändning för flaskhalsar i Azure Virtual Desktop-trafik.
Proxyservrar och Medieoptimering i Microsoft Teams
Azure Virtual Desktop stöder inte proxyservrar med medieoptimering för Microsoft Teams.
Konfigurationsrekommendationer för sessionsvärd
Om du vill konfigurera en proxyserver på sessionsvärdnivå måste du aktivera en systemomfattande proxy. Kom ihåg att systemomfattande konfiguration påverkar alla OS-komponenter och program som körs på sessionsvärden. Följande avsnitt innehåller rekommendationer för att konfigurera systemomfattande proxyservrar.
Använda WPAD-protokollet (Web Proxy Auto-Discovery)
Azure Virtual Desktop-agenten försöker automatiskt hitta en proxyserver i nätverket med hjälp av WPAD-protokollet (Web Proxy Auto-Discovery). Under ett platsförsök söker agenten igenom DNS (Domain Name Server) efter en fil med namnet wpad.domainsuffix. Om agenten hittar filen i DNS gör den en HTTP-begäran för en fil med namnet wpad.dat. Svaret blir det proxykonfigurationsskript som väljer den utgående proxyservern.
Om du vill konfigurera nätverket att använda DNS-matchning för WPAD följer du anvisningarna i Inställningar för automatisk identifiering Internet Explorer 11. Kontrollera att den globala frågeblockeringslistan för DNS-servern tillåter WPAD-matchningen genom att följa anvisningarna i Set-DnsServerGlobalQueryBlockList.
Ange en enhetsomfattande proxy för Windows-tjänster manuellt
Om du anger en proxyserver manuellt måste du minst ange en proxy för Windows-tjänsterna RDAgent och Fjärrskrivbordstjänster på sessionsvärdarna. RDAgent körs med kontot Lokalt system och Fjärrskrivbordstjänster körs med kontot Nätverkstjänst. Du kan ange en proxy för dessa konton med hjälp av bitsadmin kommandoradsverktyget.
I följande exempel konfigureras kontona Lokalt system och Nätverkstjänst att använda en proxyfil .pac . Du måste köra dessa kommandon från en upphöjd kommandotolk och ändra platshållarvärdet för <server> med din egen adress:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
En fullständig referens och andra exempel finns i bitsadmin util och setieproxy.
Du kan också ange en enhetsomfattande proxy eller automatisk proxykonfiguration (. PAC)-fil som gäller för alla interaktiva, lokala system- och nätverkstjänstanvändare. Om sessionsvärdarna har registrerats med Intune kan du ange en proxy med CSP:n för nätverksproxy, men Windows klientoperativsystem med flera sessioner stöder inte princip-CSP eftersom de bara stöder inställningskatalogen. Du kan också konfigurera en enhetsomfattande proxy med hjälp av netsh winhttp kommandot . En fullständig referens och exempel finns i Netsh-kommandon för Windows Hypertext Transfer Protocol (WINHTTP)
Proxysupport på klientsidan
Azure Virtual Desktop-klienten stöder proxyservrar som konfigurerats med systeminställningar eller en CSP för nätverksproxy.
Klientstöd för Azure Virtual Desktop
I följande tabell visas vilka Azure Virtual Desktop-klienter som stöder proxyservrar:
| Klientnamn | Stöd för proxyserver |
|---|---|
| Windows-skrivbordet | Ja |
| Webbklient | Ja |
| Android | Nej |
| iOS | Ja |
| macOS | Ja |
| Windows Store | Ja |
Mer information om proxystöd på Linux-baserade tunna klienter finns i Tunn klientsupport.
Supportbegränsningar
Det finns många tjänster och program från tredje part som fungerar som proxyserver. Dessa tjänster från tredje part omfattar distribuerade nästa generations brandväggar, webbsäkerhetssystem och grundläggande proxyservrar. Vi kan inte garantera att alla konfigurationer är kompatibla med Azure Virtual Desktop. Microsoft tillhandahåller endast begränsat stöd för anslutningar som upprättas via en proxyserver. Om du har anslutningsproblem när du använder en proxyserver rekommenderar Microsoft-supporten att du konfigurerar en proxy bypass och sedan försöker återskapa problemet.
Nästa steg
Mer information om hur du skyddar azure virtual desktop-distributionen finns i vår säkerhetsguide.