Azure 虛擬桌面的 RDP Shortpath

RDP Shortpath 會在本機裝置 Windows 應用程式或 Azure 虛擬桌面中支援的平臺和會話主機上的遠端桌面應用程式之間建立 UDP 型傳輸。 根據預設，遠端桌面通訊協定 （RDP） 會開始以 TCP 為基礎的反向連線傳輸，然後嘗試使用 UDP 建立遠端工作階段。 如果 UDP 連線成功，TCP 聯機會卸除，否則會使用 TCP 連線作為後援連線機制。

以 UDP 為基礎的傳輸可提供更好的連線可靠性和更一致的延遲。 以 TCP 為基礎的反向連線傳輸可提供與各種網路設定之間的最佳相容性，並具有建立 RDP 連線的高成功率。

RDP Shortpath 可以透過兩種方式使用：

1. 受控網路，在使用私人連線時，會在用戶端與會話主機之間建立直接連線，例如 Azure ExpressRoute 或站對站虛擬專用網 （VPN）。 使用受控網路的連線是以下列其中一種方式建立：

   1. 用戶端裝置和工作階段主機之間的直接 UDP 連線，此方式必須啟用 RDP Shortpath 接聽程式，並允許使用每個工作階段主機上的輸入連接埠來接受連線。

   2. 用戶端裝置和工作階段主機之間的直接 UDP 連線，此方式在用戶端和工作階段主機之間使用 Simple Traversal Underneath NAT (STUN) 通訊協定。 不需要允許使用工作階段主機上的輸入連接埠。

2. 公用網路，使用公用連線時，用戶端與工作階段主機之間會建立直接連線。 使用公用連線時有兩種連線類型，如下所示 (依偏好設定排序)：

   1. 在用戶端和工作階段主機之間使用 Simple Traversal Underneath NAT (STUN) 通訊協定的「直接」UDP 連線。

   2. 使用用戶端與會話主機之間的周遊使用轉送NAT （TURN） 通訊協議的轉送UDP連線。

用於 RDP Shortpath 的傳輸是以通用速率控制通訊協定 (URCP) 為基礎。 URCP 透過主動監視網路條件來增強 UDP，並提供公平且完整的連結使用率。 URCP 會視需要以低延遲和損耗等級運作。

重要

Azure 公用雲端和 Azure Government 雲端提供透過 TURN for Azure 虛擬桌面的公用網路 RDP Shortpath。

重點優勢

使用 RDP Shortpath 有下列主要優點：

• 使用 URCP 來加強 UDP，可透過動態學習網路參數並提供具有速率控制機制的通訊協定來實現最佳效能。

• 更高的輸送量。

• 使用 STUN 時，移除額外的轉送點可減少來回時間，可改善連線可靠性，以及使用延遲敏感應用程式和輸入方法的用戶體驗。

• 此外，針對受控網路：

  • RDP Shortpath 支援透過區別服務代碼點 (DSCP) 標記來為 RDP 連線設定服務品質 (QoS) 優先順序。

  • RDP Shortpath 傳輸允許藉由為每個工作階段指定節流速率來限制輸出網路流量。

RDP Shortpath 的運作方式

若要了解 RDP Shortpath 如何適用於受控網路和公用網路，請選取下列每個索引標籤。

受控網路

您可以使用下列方法，來實現使用 RDP Shortpath 搭配受控網路所需的直接視線連線。

• ExpressRoute 私人對等互連

• 站對站或點對站 VPN (IPsec)，例如 Azure VPN 閘道

具有直接的視線連線表示，用戶端可以直接連線到工作階段主機，而不會遭到防火牆封鎖。

注意

如果您使用其他 VPN 類型來連線到 Azure 入口網站，建議使用 UDP 型 VPN。 雖然大部分的 TCP 型 VPN 解決方案都支援巢狀 UDP，但其會增加 TCP 壅塞控制的繼承額外負荷，因而降低 RDP 效能。

若要使用受控網路的 RDP Shortpath，您必須在工作階段主機上啟用 UDP 接聽程式。 根據預設，雖會使用連接埠 3390，但您可以使用不同的連接埠。

下圖提供在針對已加入 Active Directory 網域的受控網路和工作階段主機使用 RDP Shortpath 時，網路連線的高階概觀。

連線序列

所有連線一開始都會透過 Azure 虛擬桌面閘道建立 TCP 型反向連線傳輸。 然後，用戶端和工作階段主機會建立初始 RDP 傳輸，並開始交換其功能。 這些功能是使用下列流程進行交涉：

1. 工作階段主機會將其 IPv4 和 IPv6 位址的清單傳送至用戶端。

2. 用戶端會啟動背景執行緒，以直接建立平行 UDP 型傳輸至其中一個工作階段主機的 IP 位址。

3. 當用戶端探查所提供的 IP 位址時，其會繼續透過反向連線傳輸建立初始連線，以確保使用者連線不會延遲。

4. 如果用戶端可以直接連線至工作階段主機，則用戶端會透過可靠的 UDP 使用 TLS 建立安全連線。

5. 在建立 RDP Shortpath 傳輸之後，所有動態虛擬通道 (DVC)，包括遠端圖形、輸入和裝置重新導向，都會移至新的傳輸。 不過，如果防火牆或網路拓撲防止用戶端建立直接 UDP 連線，則 RDP 會繼續進行反向連線傳輸。

如果您的使用者同時具有受控網路和公用網路的 RDP Shortpath 可供其使用，則系統會使用第一個找到的演算法。 使用者將使用該工作階段第一個建立的連線。

公用網路

若要在使用公用連線時，提供UDP連線成功的最佳機率，有 直接 和 轉接的 連線類型：

• 直接連線：STUN 可用來建立用戶端與工作階段主機之間的直接 UDP 連線。 若要建立此連線，用戶端和工作階段主機必須能夠透過公用 IP 位址和交涉的連接埠彼此連線。 不過，大部分用戶端都不知道自己的公用 IP 位址，因為其位於網路位址轉譯 (NAT) 閘道裝置後面。 STUN 是一種通訊協定，可用來自行探索 NAT 閘道裝置後方的公用 IP 位址，讓用戶端確定自己的公用 IP 位址。

  若要讓用戶端使用 STUN，其網路必須允許 UDP 流量。 假設用戶端和工作階段主機都可以直接路由至另一方探索到的 IP 位址和連接埠，則會透過 WebSocket 通訊協定使用 直接 UDP 建立通訊。 如果防火牆或其他網路裝置封鎖直接連線，則會嘗試轉接的 UDP 連線。

• 轉送連線：當無法直接連線時，TURN 可用來建立連線，透過用戶端與會話主機之間的中繼伺服器轉送流量。 TURN 是 STUN 的延伸。 使用 TURN 表示已事先知道公用 IP 位址和連接埠，允許通過防火牆和其他網路裝置。

  如果防火牆或其他網路裝置封鎖 UDP 流量，連線將會回復為以 TCP 為基礎的反向連線傳輸。

建立連線時，互動式連線建立 (ICE) 會協調 STUN 和 TURN 的管理，以最佳化建立連線的可能性，並確保優先使用慣用的網路通訊協定。

每個 RDP 工作階段都會使用從暫時連接埠範圍 (預設為 49152 至 65535) 動態指派的 UDP 連接埠，其會接受 RDP Shortpath 流量。 此範圍會忽略連接埠 65330，因為其保留給 Azure 內部使用。 您也可以使用較小、可預測的連接埠範圍。 如需詳細資訊，請參閱限制用戶端用於公用網路的連接埠範圍。

提示

公用網路的 RDP Shortpath 會自動運作，而不需要任何其他設定，前提是網路和防火牆允許流量通過，而且 Windows 作業系統中針對工作階段主機和用戶端的 RDP 傳輸設定正在使用其預設值。

下圖提供在針對工作階段主機已加入 Microsoft Entra ID 的公用網路使用 RDP Shortpath 時，網路連線的高階概觀。

TURN 轉接可用性

TURN 轉接可在下列 Azure 區域中使用：

• 澳大利亞東南部
• 印度中部
• 美國東部
• 美國東部 2
• 法國中部
• 日本西部
• 北歐

• 美國中南部
• 東南亞
• 英國南部
• 英國西部
• 西歐
• 美國西部
• 美國西部 2

根據用戶端裝置的實體位置選取 TURN 轉播。 例如，如果用戶端裝置位於英國，則會選取英國南部或英國西部區域的 TURN 轉播。 如果客戶端裝置遠非 TURN 轉送，UDP 連線可能會回復為 TCP。

網路位址轉譯和防火牆

大部分的 Azure 虛擬桌面用戶端都會在私人網路的電腦上執行。 網際網路存取是透過網路位址轉譯 (NAT) 閘道裝置所提供。 因此，NAT 閘道會修改來自私人網路且目的地為網際網路的所有網路要求。 這類修改想要跨私人網路上的所有電腦共用單一公用 IP 位址。

因為 IP 封包修改，所以流量的接收者將會看到 NAT 閘道的公用 IP 位址，而不是實際傳送者。 流量在回到 NAT 閘道時會轉寄給預定的接收者，而不需要通知傳送者。 在大部分情況下，隱藏在這類 NAT 後方的裝置不會察覺正在轉譯，也不知道 NAT 閘道的網路位址。

NAT 適用於所有工作階段主機所在的 Azure 虛擬網路。 工作階段主機嘗試連線至網際網路上的網路位址時，NAT 閘道 (您自己的閘道或由 Azure 提供的預設閘道) 或 Azure Load Balancer 會執行位址轉譯。 如需各種來源網路位址轉譯類型的詳細資訊，請參閱針對輸出連線使用來源網路位址轉譯 (SNAT)。

大部分的網路通常都會包括防火牆，而防火牆會檢查流量，並根據規則進行封鎖。 大部分的客戶都會設定其防火牆，以防止連入連線 (即，來自網際網路且未透過要求所傳送的未經請求封包)。 防火牆採用不同的技術來追蹤資料流程，以區分已請求和未經請求的流量。 在 TCP 的內容中，防火牆會追蹤 SYN 和 ACK 封包，而且程序十分簡單。 UDP 防火牆通常會根據封包位址來使用啟發學習法，以將流量與 UDP 流程產生關聯，以及進行允許或封鎖。 有許多不同的 NAT 實作可供使用。

連線序列

所有連線一開始都會透過 Azure 虛擬桌面閘道建立 TCP 型反向連線傳輸。 然後，用戶端和工作階段主機會建立初始 RDP 傳輸，並開始交換其功能。 如果在工作階段主機上啟用公用網路的 RDP Shortpath，則工作階段主機會起始稱為「候選項目收集」的流程：

1. 工作階段主機會列舉指派給工作階段主機的所有網路介面，包括 VPN 和 Teredo 這類虛擬介面。

2. Windows 服務「遠端桌面服務」(TermService) 會在每個介面上配置 UDP 通訊端，並將「IP:連接埠」配對儲存在候選項目資料表，以作為「本機候選項目」。

3. 遠端桌面服務會使用上一個步驟中所配置的每個 UDP 通訊端，嘗試在公用網際網路上連線至 Azure 虛擬桌面 STUN 伺服器。 通訊是將小型 UDP 封包傳送至連接埠 3478 來完成。

4. 如果封包到達 STUN 伺服器，則 STUN 伺服器會回應公用 IP 和連接埠。 此資訊會儲存至候選項目資料表中，以作為「自反候選項目」。

5. 工作階段主機在收集所有候選項目之後會使用已建立的反向連線傳輸，將候選項目清單傳遞至用戶端。

6. 當用戶端從工作階段主機收到候選項目清單時，用戶端也會在其端執行候選項目收集。 然後，用戶端會將其候選項目清單傳送至工作階段主機。

7. 在工作階段主機與用戶端交換其候選項目清單之後，雙方都會嘗試使用所有收集到的候選項目彼此連線。 兩端都會同時嘗試此連線。 許多 NAT 閘道都設定為在輸出資料傳輸初始化閘道時，允許通訊端的連入流量。 NAT 閘道的這種行為是同時連線不可或缺的原因。 如果 STUN 因為封鎖而失敗，則會使用 TURN 進行轉接連線嘗試。

8. 在初始封包交換之後，用戶端和工作階段主機可能會建立一或多個資料流程。 從這些資料流程中，RDP 會選擇最快的網路路徑。 用戶端接著會透過可靠的 UDP 使用 TLS 與工作階段主機建立安全連線，並起始 RDP Shortpath 傳輸。

9. 在 RDP 建立 RDP Shortpath 傳輸之後，所有動態虛擬通道 (DVC)，包括遠端圖形、輸入和裝置重新導向，都會移至新的傳輸。

如果您的使用者同時有受控網路和公用網路的 RDP Shortpath 可供他們使用，則會使用第一個找到的演算法，這表示使用者會使用該工作階段第一個建立的連線。 如需詳細資訊，請參閱範例案例 4。

網路組態

若要支援公用網路的 RDP Shortpath，您通常不需要任何特定設定。 工作階段主機和用戶端會自動探索直接資料流程，如果可在網路設定中這樣做的話。 不過，每個環境都是唯一的，而有些網路設定可能會對直接連線的成功率造成負面影響。 請遵循建議來增加直接資料流程的機率。

當 RDP Shortpath 使用 UDP 來建立資料流程時，如果網路上的防火牆封鎖 UDP 流量，則 RDP Shortpath 將會失敗，而且連線將會回復為 TCP 型反向連線傳輸。 Azure 虛擬桌面會使用 Azure 通訊服務和 Microsoft Teams 所提供的 STUN 伺服器。 此功能的本質是需要從工作階段主機到用戶端的輸出連線。 不幸的是，在大部分情況下，您無法預測使用者所在的位置。 因此，建議允許從工作階段主機到網際網路的輸出 UDP 連線。 若要減少所需的連接埠數目，您可以針對 UDP 流程限制用戶端所使用的連接埠範圍。 設定 RDP Shortpath 的防火牆時，請使用下列資料表作為參考。

如果您的環境使用對稱 NAT，這是將單一私人來源 IP：Port 對應至唯一公用目的地 IP：Port，則您可以使用與 TURN 的轉送連線。 如果您使用 Azure 防火牆和 Azure NAT 閘道，就會是這種情況。 如需使用 Azure 虛擬網路進行 NAT 的詳細資訊，請參閱使用虛擬網路進行來源網路位址轉譯。

對於使用公用網路的 RDP Shortpath 成功連線，我們有一些一般建議。 如需詳細資訊，請參閱 一般建議。

如果您的使用者同時具有受控網路和公用網路的 RDP Shortpath 可供其使用，則系統會使用第一個找到的演算法。 使用者將使用該工作階段第一個建立的連線。 如需詳細資訊，請參閱範例案例。

下列各節包含會話主機和用戶端裝置必須允許 RDP Shortpath 運作的來源、目的地和通訊協定需求。

注意

針對與 TURN 的轉寄連線，IP 子網20.202.0.0/16會與 Azure 通訊服務 共用。 不過，Azure 虛擬桌面和 Windows 365 將會轉換至 51.5.0.0/16，此服務專供這些服務使用。 我們建議您現在在網路環境中設定這兩個範圍，以確保順暢的轉換。

如果您想要等候使用專用子網，請遵循設定主機集區網路設定中的步驟，並將公用網路的 RDP Shortpath 設定為 [已停用]。 或者，您可以在本機裝置上停用UDP，但這將會停用所有連線的UDP。 若要停用本機裝置上的UDP，請遵循確認 Windows 用戶端裝置上已啟用 UDP 中的步驟，但將 [關閉 UDP On Client] 設定為 [已啟用]。 如果您封鎖網路上的IP範圍 20.202.0.0/16 並使用VPN應用程式，可能會導致中斷連線問題。

工作階段主機虛擬網路

下表詳細說明會話主機虛擬網路 RDP Shortpath 的來源、目的地和通訊協定需求。

名稱	來源	來源連接埠	目的地	目的地連接埠	通訊協定	動作
STUN 直接連線	VM 子網路	任意	任意	1024-65535 (預設值 49152-65535)	UDP	允許
STUN 基礎結構/TURN	VM 子網路	任意	20.202.0.0/16	3478	UDP	允許
TURN 轉接	VM 子網路	任意	51.5.0.0/16	3478	UDP	允許

用戶端網路

下表詳細說明用戶端裝置的來源、目的地和通訊協定需求。

名稱	來源	來源連接埠	目的地	目的地連接埠	通訊協定	動作
STUN 直接連線	用戶端網路	任意	指派給 NAT 閘道或 Azure 防火牆 (由 STUN 端點提供) 的公用 IP 位址	1024-65535 (預設值 49152-65535)	UDP	允許
STUN 基礎結構/TURN 轉接	用戶端網路	任意	20.202.0.0/16	3478	UDP	允許
TURN 轉接	用戶端網路	任意	51.5.0.0/16	3478	UDP	允許

Teredo 支援

雖然 RDP Shortpath 不需要，但 Teredo 會新增額外的 NAT 周遊候選項目，並增加僅限 IPv4 網路中 RDP Shortpath 連線成功的機會。 若要了解如何在工作階段主機和用戶端上啟用 Teredo，請參閱啟用 Teredo 支援。

UPnP 支援

為了改善直接連線的機會，在遠端桌面用戶端這一端，RDP Shortpath 可能會使用 UPnP 以在 NAT 路由器上設定連接埠對應。 UPnP 是各種應用程式所使用的標準技術，例如 Xbox、傳遞最佳化和 Teredo。 UPnP 通常會在家用網路上找到的路由器上使用。 UPnP 預設會在大部分的家用路由器和存取點上啟用，但通常會在公司網路上停用。

一般建議

以下是使用公用網路的 RDP Shortpath 時的一些一般建議：

• 如果您的使用者透過網際網路存取 Azure 虛擬桌面，請避免使用強制通道設定。

• 請確定您不是使用雙 NAT 或 Carrier-Grade-NAT (CGN) 設定。

• 建議您的使用者不要在其家用路由器上停用 UPnP。

• 避免使用雲端封包檢查服務。

• 避免使用 TCP 型 VPN 解決方案。

• 啟用 IPv6 連線或 Teredo。

連線安全性

RDP Shortpath 會擴充 RDP 多重傳輸功能。 其不會取代反向連線傳輸，而是進行補充。 初始工作階段代理是透過 Azure 虛擬桌面服務和反向連線傳輸來管理。 除非所有連線嘗試首先符合反向連線工作階段，否則系統會忽略這些連線嘗試。 RDP Shortpath 會在驗證之後建立，而且若成功建立，則會捨棄反向連線傳輸，且所有流量都會流經 RDP Shortpath。

RDP Shortpath 會透過可靠的 UDP 使用 TLS，在用戶端與使用工作階段主機憑證的工作階段主機之間使用安全連線。 根據預設，用於 RDP 加密的憑證會在部署期間由作業系統自行產生。 您也可以集中部署由企業憑證授權單位所核發的受控憑證。 如需憑證設定的詳細資訊，請參閱遠端桌面接聽程式憑證設定。

注意

RDP Shortpath 所提供的安全性與 TCP 反向連線傳輸所提供的安全性相同。

範例案例

以下是一些範例案例，示範如何評估連線，以決定是否跨不同網路拓撲使用 RDP Shortpath。

實例 1

UDP 連線只能透過公用網路 (網際網路) 在用戶端裝置與工作階段主機之間建立。 無法使用直接連線，例如 VPN。 UDP 可允許通過防火牆或 NAT 裝置。

案例 2

防火牆或 NAT 裝置封鎖了直接 UDP 連線，但可以使用用戶端裝置與透過公用網路 （因特網） 的會話主機之間的 TURN 來轉接轉的 UDP 連線。 無法使用另一個直接連線，例如 VPN。

案例 3

您可以透過公用網路或直接 VPN 連線在用戶端裝置與工作階段主機之間建立 UDP 連線，但受控網路的 RDP Shortpath 不會啟用。 當用戶端起始連線時，ICE/STUN 通訊協定可以看到多個路由，並評估每個路由，然後選擇延遲最低的路由。

此範例會透過直接 VPN 連線使用公用網路的 RDP Shortpath 建立 UDP 連線，因為其具有最低的延遲，如綠線所示。

案例 4

適用於公用網路和受控網路的 RDP Shortpath 都會啟用。 您可以透過公用網路或直接 VPN 連線在用戶端裝置與工作階段階段主機之間建立 UDP 連線。 當用戶端起始連線時，適用於受控網路的 RDP Shortpath 會透過連接埠 3390 嘗試連線，與此同時，適用於公用網路的 RDP Shortpath 也會透過 ICE/STUN 通訊協定嘗試連線。 將會使用第一個找到的演算法，而且使用者將會使用該工作階段第一個建立的連線。

由於通過公用網路有更多步驟，例如 NAT 裝置、負載平衡器或 STUN 伺服器，因此第一個找到的演算法可能會使用受控網路的 RDP Shortpath 選取連線，並優先建立。

案例 5

您可以透過公用網路或直接 VPN 連線在用戶端裝置與工作階段主機之間建立 UDP 連線，但受控網路的 RDP Shortpath 不會啟用。 若要防止 ICE/STUN 使用特定路由，管理員可以封鎖其中一個 UDP 流量的路由。 封鎖路由可確保一律使用其餘路徑。

在此範例中，UDP 會在直接 VPN 連線遭到封鎖，而 ICE/STUN 通訊協定會透過公用網路建立連線。

案例 6

公用網路和受控網路的 RDP Shortpath 都已設定，但無法使用直接 VPN 連線來建立 UDP 連線。 防火牆或 NAT 裝置也會封鎖使用公用網路 （因特網） 的直接 UDP 連線，但可以使用用戶端裝置與透過公用網路 （因特網） 的會話主機之間的 TURN 來轉接轉接轉接的 UDP 連線。

案例 7

公用網路和受控網路的 RDP Shortpath 都已設定，但無法建立 UDP 連線。 在此例子中，RDP Shortpath 將會失敗，而且連線將會回復為 TCP 型反向連線傳輸。

下一步

• 了解如何設定 RDP Shortpath。
• 若要深入了解 Azure 虛擬桌面網路連線，請參閱了解 Azure 虛擬桌面網路連線。
• 了解 Azure 輸出網路費用。
• 若要了解如何預估 RDP 所使用的頻寬，請參閱 RDP 頻寬需求。