Azure Sanal Masaüstü için ara sunucu yönergeleri
Bu makalede, Azure Sanal Masaüstü ile ara sunucunun nasıl kullanılacağı gösterilir. Bu makaledeki öneriler yalnızca Azure Sanal Masaüstü altyapısı, istemcisi ve oturum konağı aracıları arasındaki bağlantılar için geçerlidir. Bu makale Office, Windows 10, FSLogix veya diğer Microsoft uygulamaları için ağ bağlantısını kapsamaz.
Proxy sunucuları nedir?
Azure Sanal Masaüstü trafiği için proxy'leri atlamanızı öneririz. Proxy'ler, trafik zaten şifrelenmiş olduğundan Azure Sanal Masaüstü'nü daha güvenli hale getirmez. Bağlantı güvenliği hakkında daha fazla bilgi edinmek için bkz . Bağlantı güvenliği.
Çoğu ara sunucu, uzun süre çalışan WebSocket bağlantılarını desteklemek için tasarlanmamıştır ve bağlantı kararlılığını etkileyebilir. Azure Sanal Masaüstü birden çok uzun süreli bağlantı kullandığından ara sunucu ölçeklenebilirliği de sorunlara neden olur. Proxy sunucuları kullanıyorsanız, bu bağlantıları çalıştırmak için doğru boyutta olmaları gerekir.
Ara sunucunun coğrafyası ana bilgisayardan uzaksa, bu uzaklık kullanıcı bağlantılarınızda daha fazla gecikmeye neden olur. Daha fazla gecikme süresi, özellikle giriş cihazlarıyla grafik, ses veya düşük gecikme süreli etkileşim gerektiren senaryolarda bağlantı süresinin daha yavaş olması ve kullanıcı deneyiminin daha kötü olması anlamına gelir. Ara sunucu kullanmanız gerekiyorsa, sunucuyu Azure Sanal Masaüstü Aracısı ve istemcisiyle aynı coğrafyaya yerleştirmeniz gerektiğini unutmayın.
Ara sunucunuzu Azure Sanal Masaüstü trafiğinin alması için tek yol olarak yapılandırdığınızda, Uzak Masaüstü Protokolü (RDP) verileri Kullanıcı Veri Birimi Protokolü (UDP) yerine İletim Denetimi Protokolü (TCP) üzerinden zorlanır. Bu hareket, uzak bağlantının görsel kalitesini ve yanıt hızını düşürür.
Özetle, gecikme süresi düşüşü ve paket kaybı nedeniyle performansla ilgili sorunlara neden olduklarından Azure Sanal Masaüstü'nde ara sunucuların kullanılmasını önermeyiz.
Ara sunucuyu atlama
Kuruluşunuzun ağ ve güvenlik ilkeleri web trafiği için ara sunucu gerektiriyorsa ortamınızı, trafiği ara sunucu üzerinden yönlendirirken Azure Sanal Masaüstü bağlantılarını atlayacak şekilde yapılandırabilirsiniz. Ancak, her kuruluşun ilkeleri benzersizdir, bu nedenle bazı yöntemler dağıtımınız için diğerlerinden daha iyi çalışabilir. Ortamınızda performans ve güvenilirlik kaybını önlemek için deneyebileceğiniz bazı yapılandırma yöntemleri şunlardır:
- Azure Güvenlik Duvarı ile Azure hizmet etiketleri
- Ara Sunucu Otomatik Yapılandırma (
.PAC) dosyalarını kullanarak ara sunucuyu atlama - Yerel ara sunucu yapılandırmasında atlama listesi
- Kullanıcı başına yapılandırma için proxy sunucuları kullanma
- Hizmet trafiğini ara sunucu üzerinden tutarken RDP bağlantısı için RDP Shortpath kullanma
Proxy sunucularını kullanma önerileri
Bazı kuruluşlar, tüm kullanıcı trafiğinin izleme veya paket incelemesi için bir ara sunucudan geçmesini gerektirir. Bu bölümde, bu durumlarda ortamınızı nasıl yapılandırmanızı önerdiğimiz açıklanmaktadır.
Aynı Azure coğrafyasında proxy sunucuları kullanma
Ara sunucu kullandığınızda, Azure Sanal Masaüstü altyapısıyla tüm iletişimi işler ve en yakın Azure Front Door'a DNS çözümlemesi ve Anycast yönlendirmesi gerçekleştirir. Proxy sunucularınız uzaksa veya bir Azure coğrafyası arasında dağıtılmışsa coğrafi çözümünüz daha az doğru olacaktır. Daha az doğru coğrafi çözünürlük, bağlantıların daha uzak bir Azure Sanal Masaüstü kümesine yönlendirileceği anlamına gelir. Bu sorunu önlemek için yalnızca coğrafi olarak Azure Sanal Masaüstü kümenize yakın ara sunucuları kullanın.
Masaüstü bağlantısı için yönetilen ağlar için RDP Shortpath kullanma
Yönetilen ağlar için RDP Shortpath'i etkinleştirdiğinizde RDP verileri mümkünse ara sunucuyu atlar. Ara sunucuyu atlamak, UDP aktarımını kullanırken en iyi yönlendirmeyi sağlar. Aracılık, düzenleme ve tanılama gibi diğer Azure Sanal Masaüstü trafiği yine de ara sunucudan geçer.
Proxy sunucusunda SSL sonlandırma kullanma
Güvenli Yuva Katmanı (SSL) sonlandırma, Azure Sanal Masaüstü bileşenlerinin güvenlik sertifikalarını ara sunucu tarafından oluşturulan sertifikalarla değiştirir. Bu ara sunucu özelliği, ara sunucudaki HTTPS trafiği için paket incelemesini etkinleştirir. Ancak paket incelemesi, hizmet yanıt süresini de artırarak kullanıcıların oturum açmasının daha uzun sürmesini sağlar. Ters bağlantı senaryolarında RDP trafik paketi denetimi gerekli değildir çünkü ters bağlantı RDP trafiği ikilidir ve ek şifreleme düzeyleri kullanır.
Proxy sunucunuzu SSL incelemesi kullanacak şekilde yapılandırıyorsanız, SSL denetimi değişiklik yaptıktan sonra sunucunuzu özgün durumuna döndüremediğini unutmayın. SSL denetimi etkinken Azure Sanal Masaüstü ortamınızdaki bir şey çalışmayı durdurursa, bir destek olayı açmadan önce SSL denetimini devre dışı bırakmanız ve yeniden denemeniz gerekir. SSL denetimi, aracı ile hizmet arasındaki güvenilir bağlantılara müdahale ettiğinden Azure Sanal Masaüstü aracısının çalışmayı durdurmasına da neden olabilir.
Kimlik doğrulaması gerektiren ara sunucuları kullanmayın
Oturum konağındaki Azure Sanal Masaüstü bileşenleri işletim sistemleri bağlamında çalıştığından, kimlik doğrulaması gerektiren ara sunucuları desteklemez. Ara sunucu kimlik doğrulaması gerektiriyorsa bağlantı başarısız olur.
Ara sunucu ağ kapasitesini planlama
Ara sunucuların kapasite sınırları vardır. Normal HTTP trafiğinin aksine, RDP trafiği çift yönlü ve çok fazla bant genişliği tüketen uzun süre çalışan, gevelenek bağlantılara sahiptir. Bir ara sunucu ayarlamadan önce, sunucunuzun ne kadar aktarım hızına sahip olduğu hakkında ara sunucu satıcınızla görüşün. Ayrıca bir kerede kaç ara sunucu oturumu çalıştırabileceğinizi de sorun. Ara sunucuyu dağıttığınızda, Azure Sanal Masaüstü trafiğindeki performans sorunları için kaynak kullanımını dikkatle izleyin.
Proxy sunucuları ve Microsoft Teams medya iyileştirmesi
Azure Sanal Masaüstü, Microsoft Teams için medya iyileştirmesi olan ara sunucuları desteklemez.
Oturum konağı yapılandırma önerileri
Oturum ana bilgisayar düzeyi ara sunucuyu yapılandırmak için sistem genelinde bir ara sunucuyu etkinleştirmeniz gerekir. Sistem genelinde yapılandırmanın oturum ana bilgisayarında çalışan tüm işletim sistemi bileşenlerini ve uygulamalarını etkilediğini unutmayın. Aşağıdaki bölümler, sistem genelindeki proxy'leri yapılandırmaya yönelik önerilerdir.
Web Proxy Otomatik Bulma (WPAD) protokolunu kullanma
Azure Sanal Masaüstü aracısı, Web Proxy Otomatik Bulma (WPAD) protokolunu kullanarak ağdaki bir ara sunucuyu otomatik olarak bulmaya çalışır. Konum denemesi sırasında aracı, etki alanı adı sunucusunda (DNS) wpad.domainsuffix adlı bir dosya arar. Aracı dosyayı DNS'de bulursa , wpad.dat adlı bir dosya için HTTP isteğinde bulunur. Yanıt, giden ara sunucuyu seçen proxy yapılandırma betiği olur.
Ağınızı WPAD için DNS çözümlemesini kullanacak şekilde yapılandırmak için Internet Explorer 11 ayarlarını otomatik algılama başlığındaki yönergeleri izleyin. DNS sunucusu genel sorgu engelleme listesinin Set-DnsServerGlobalQueryBlockList içindeki yönergeleri izleyerek WPAD çözümlemesine izin verdiğinden emin olun.
Windows hizmetleri için cihaz genelinde ara sunucuyu el ile ayarlama
Bir ara sunucuyu el ile belirtiyorsanız, en azından oturum konaklarınızdaki Windows hizmetleri RDAgent ve Uzak Masaüstü Hizmetleri için bir ara sunucu ayarlamanız gerekir. RDAgent , Yerel Sistem hesabıyla, Uzak Masaüstü Hizmetleri ise Ağ Hizmeti hesabıyla çalışır. Komut satırı aracını kullanarak bitsadmin bu hesaplar için bir ara sunucu ayarlayabilirsiniz.
Aşağıdaki örnek, Yerel Sistem ve Ağ Hizmeti hesaplarını bir ara sunucu .pac dosyası kullanacak şekilde yapılandırılır. Bu komutları yükseltilmiş bir komut isteminden çalıştırmanız ve için yer tutucu değerini <server> kendi adresinizle değiştirmeniz gerekir:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Tam başvuru ve diğer örnekler için bkz. bitsadmin util ve setieproxy.
Ayrıca, cihaz genelinde bir ara sunucu veya Ara Sunucu Otomatik Yapılandırması ( ayarlayabilirsiniz. PAC) dosyası tüm etkileşimli, Yerel Sistem ve Ağ Hizmeti kullanıcıları için geçerlidir. Oturum konaklarınız Intune ile kaydedildiyse, Ağ Ara Sunucusu CSP'si ile bir ara sunucu ayarlayabilirsiniz, ancak Windows çok oturumlu istemci işletim sistemleri yalnızca ayarlar kataloğunu desteklediğinden İlke CSP'sini desteklemez. Alternatif olarak, komutunu kullanarak netsh winhttp cihaz genelinde bir ara sunucu yapılandırabilirsiniz. Tam başvuru ve örnekler için bkz. Windows Köprü Metni Aktarım Protokolü için Netsh Komutları (WINHTTP)
İstemci tarafı proxy desteği
Azure Sanal Masaüstü istemcisi, sistem ayarları veya Ağ Ara Sunucusu CSP'si ile yapılandırılmış ara sunucuları destekler.
Azure Sanal Masaüstü istemci desteği
Aşağıdaki tabloda hangi Azure Sanal Masaüstü istemcilerinin ara sunucuları desteklediği gösterilmektedir:
| İstemci adı | Proxy sunucu desteği |
|---|---|
| Windows Masaüstü | Yes |
| Web istemcisi | Yes |
| Android | Hayır |
| iOS | Yes |
| Mac OS | Yes |
| Windows Mağazası | Yes |
Linux tabanlı ince istemcilerde ara sunucu desteği hakkında daha fazla bilgi için bkz. İnce istemci desteği.
Destek sınırlamaları
Ara sunucu olarak davranan birçok üçüncü taraf hizmet ve uygulama vardır. Bu üçüncü taraf hizmetleri arasında dağıtılmış yeni nesil güvenlik duvarları, web güvenlik sistemleri ve temel proxy sunucuları yer alır. Her yapılandırmanın Azure Sanal Masaüstü ile uyumlu olduğundan emin olamayız. Microsoft yalnızca bir ara sunucu üzerinden kurulan bağlantılar için sınırlı destek sağlar. Ara sunucu kullanırken bağlantı sorunlarıyla karşılaşıyorsanız, Microsoft desteği ara sunucuyu atlama yapılandırmanızı ve ardından sorunu yeniden oluşturmayı denemenizi önerir.
Sonraki adımlar
Azure Sanal Masaüstü dağıtımınızı güvenli tutma hakkında daha fazla bilgi için güvenlik kılavuzumuzu gözden geçirin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin