Share via

針對 Azure 虛擬桌面設定 RDP Shortpath

  • 發行項

重要

對於 Azure 虛擬桌面,將 RDP Shortpath 使用於具有 TURN 的公用網路目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

RDP Shortpath 是 Azure 虛擬桌面的功能,可在支援的 Windows 遠端桌面客戶端與工作階段主機之間建立直接 UDP 型傳輸。 本文說明如何針對受控網路和公用網路設定 RDP Shortpath。 如需詳細資訊,請參閱 RDP Shortpath

重要

RDP Shortpath 只能在 Azure 公用雲端使用。

必要條件

在可以啟用 RDP Shortpath 之前,您必須符合必要條件。 為您的案例選取下方的索引標籤。

  • 執行 Windows 遠端桌面用戶端 (1.2.3488 版或更新版本) 的用戶端裝置。 目前不支援非 Windows 用戶端。

  • 用戶端與工作階段主機之間的直接視線連線能力。 具有直接視線連線能力表示用戶端可以直接連線到連接埠 3390 (預設值) 上的工作階段主機,而不會遭到防火牆 (包括 Windows 防火牆) 或網路安全性群組封鎖,並會使用受控網路,例如:

啟用 RDP Shortpath

對於工作階段主機而言,啟用 RDP Shortpath 的步驟會有所不同,取決於您想要針對受控網路還是公用網路啟用 RDP Shortpath,但對於用戶端而言,這些步驟相同。 為您的案例選取下方的索引標籤。

工作階段主機

若要啟用受控網路的 RDP Shortpath,您必須在工作階段主機上啟用 RDP Shortpath 接聽程式。 您可以使用群組原則,從已加入 Active Directory (AD) 網域的工作階段主機集中執行此動作,或在已加入 Microsoft Entra ID 的工作階段主機上從本機執行此動作。

  1. 下載 Azure 虛擬桌面系統管理範本,並將 .cab 檔案和 .zip 封存檔的內容解壓縮。

  2. 取決於您想要從 AD 網域集中設定群組原則,或針對每個工作階段主機在本機進行設定:

    1. AD 網域:將 terminalserver-avd.admx 檔案複製並貼到網域的中央存放區,例如 \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions,其中 contoso.com 是您的網域名稱。 然後將 en-us\terminalserver-avd.adml 檔案複製到 en-us 子資料夾。

    2. 開啟群組原則管理主控台 (GPMC),並建立或編輯以工作階段主機為目標的原則。

    3. 本機:將 terminalserver-avd.admx 檔案複製並貼到 %windir%\PolicyDefinitions。 然後將 en-us\terminalserver-avd.adml 檔案複製到 en-us 子資料夾。

    4. 開啟工作階段主機上的 [本機群組原則編輯器]

  3. 瀏覽至 [電腦設定]>[系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[Azure 虛擬桌面]。 您應該會看到 Azure 虛擬桌面的原則設定,如下列螢幕擷取畫面所示:

    Screenshot of the Group Policy Editor showing Azure Virtual Desktop policy settings.

  4. 開啟 [啟用受控網路的 RDP Shortpath] 原則設定,並將其設定為 [已啟用]。 如果啟用此原則設定,您也可以設定 Azure 虛擬桌面工作階段主機將用來接聽連入連線的連接埠號碼。 預設連接埠是 3390

  5. 如果您需要設定 Windows 防火牆以允許連接埠 3390,請執行下列其中一個命令,視您想要從 AD 網域集中設定 Windows 防火牆,或針對每部工作階段主機在本機設定 Windows 防火牆而定:

    1. AD 網域:開啟提升權限的 PowerShell 提示字元並執行下列命令,以您自己的功能變數名稱取代 $domainName 的值、可寫入網域控制器的主機名稱 $writableDC 的值,以及以現有群組原則物件名稱 $policyName 的值:

      $domainName = "contoso.com"
$writableDC = "dc01"
$policyName = "RDP Shortpath Policy"
$gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC

New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession

Save-NetGPO -GPOSession $gpoSession

    2. 本機:開啟提升權限的 PowerShell 提示字元,然後執行下列命令:

      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True

  6. 選取 [確定],然後重新啟動工作階段主機以套用原則設定。

Windows 用戶端

無論您是否想要針對受控網路或公用網路使用 RDP Shortpath,確保用戶端已正確設定的步驟都相同。 您可以執行此動作,針對已加入 Active Directory 網域的受控用戶端,請使用群組原則,針對已加入 Microsoft Entra ID 的受控用戶端,請使用 Intune,或針對非受控用戶端,則使用本機群組原則。

注意

根據預設,在 Windows 中,RDP 流量會嘗試同時使用 TCP 和 UDP 通訊協定。 如果先前已將用戶端設定為只使用 TCP,您只需要遵循下列步驟。

使用群組原則在受控和非受控 Windows 用戶端上啟用 RDP Shortpath

若要使用群組原則設定受控和非受控 Windows 用戶端:

  1. 根據您想要設定受控用戶端還是非受控用戶端:

    1. 若為受控用戶端,開啟群組原則管理主控台 (GPMC),然後建立或編輯以用戶端為目標的原則。

    2. 若為非受控用戶端,請在用戶端上開啟 [本機群組原則編輯器]

  2. 瀏覽至 [電腦設定]>[系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面連線用戶端]

  3. 開啟原則設定 關閉 UDP On Client,並將它設定為 [停用]

  4. 選取 [確定],然後重新啟動用戶端以套用原則設定。

使用 Intune 在 Windows 用戶端上啟用 RDP Shortpath

若要使用 Intune 設定受控 Windows 用戶端:

  1. 登入 Microsoft Intune 系統管理中心

  2. 使用系統管理範本,為 Windows 10 和更新版本 的裝置 建立或編輯組態設定檔

  3. 瀏覽至 電腦設定>Windows 元件>遠端桌面服務>遠端桌面連線用戶端

  4. 選取 [關閉用戶端上的 UDP] 設定,並將其設定為 [已停用]

  5. 選取 [確定],然後選取 [下一步]

  6. 套用組態設定檔,然後重新啟動用戶端。

Teredo 支援

雖然 RDP Shortpath 不需要,但 Teredo 會新增額外的 NAT 周遊候選項目,並增加僅限 IPv4 網路中 RDP Shortpath 連線成功的機會。 您可以從提高權限的 PowerShell 提示執行下列命令,同時在工作階段主機和用戶端上啟用 Teredo:

Set-NetTeredoConfiguration -Type Enterpriseclient

驗證 RDP Shortpath 是否運作

接下來,您必須確定您的用戶端正在使用 RDP Shortpath 進行連線。 您可以從遠端桌面用戶端使用 [連線資訊] 對話方塊,或使用 Log Analytics 來驗證傳輸。

連線資訊對話

若要確定連線使用 RDP Shortpath,您可以檢查用戶端上的連線資訊。 為您的案例選取下方的索引標籤。

  1. 連線至 Azure 虛擬桌面。

  2. 移至畫面頂端的 [連線] 工具列,開啟 [連線資訊] 對話方塊,然後選取訊號強度圖示,如下列螢幕擷取畫面所示:

    Screenshot of Remote Desktop Connection Bar of Remote Desktop client.

  3. 您可以在輸出中確認傳輸通訊協定 UDP (私人網路),如下列螢幕擷取畫面所示:

    Screenshot of Remote Desktop Connection Info dialog.

事件檢視器

若要確定連線正在使用 RDP Shortpath,您可以檢查工作階段主機上的事件記錄檔:

  1. 連線至 Azure 虛擬桌面。

  2. 在工作階段主機上,開啟 [事件檢視器]

  3. 瀏覽至 [應用程式和服務記錄檔]>[Microsoft]>[Windows]>[RemoteDesktopServices-RdpCoreCDV][Operational]>

  4. 依事件識別碼 135 篩選。 使用 RDP Shortpath 的連線會指出傳輸類型正在使用 UDP,訊息為通道 1 的多重傳輸連線已完成,其傳輸類型設定為 UDP

Log Analytics

如果您正在使用 Azure Log Analytics,則您可以查詢 WVDConnections 資料表來監視連線。 名為 UdpUse 的資料行指出 Azure 虛擬桌面 RDP Stack 是否在目前的使用者連線上使用 UDP 通訊協定。 可能的值是:

  • 1 - 使用者連線正在針對受控網路使用 RDP Shortpath。

  • 2 - 使用者連線會使用 STUN 直接針對公用網路使用 RDP Shortpath。

  • 4 - 對於間接使用 TURN 的公用網路,使用者連線會使用 RDP Shortpath。

  • 對於任何其他值,使用者連線不會使用 RDP Shortpath,而是使用 TCP 進行連線。

下列查詢可讓您檢閱連線資訊。 您可以在 Log Analytics 查詢編輯器中執行此查詢。 針對每個查詢,將 user@contoso.com 取代為您想要查閱之使用者的 UPN。

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

您可以執行下列 Log Analytics 查詢,確認是否已針對特定使用者工作階段啟用 RDP Shortpath:

WVDCheckpoints 
| where Name contains "Shortpath"

若要深入瞭解您可能會看到 Log Analytics 中記錄的錯誤資訊,

停用 RDP Shortpath

對於工作階段主機而言,停用 RDP Shortpath 的步驟會有所不同,取決於您想要只針對受控網路、只針對公用網路,還是兩者停用 RDP Shortpath。 為您的案例選取下方的索引標籤。

工作階段主機

若要在工作階段主機上停用受控網路的 RDP Shortpath,您必須停用 RDP Shortpath 接聽程式。 您可以使用群組原則,從您已加入 AD 網域的工作階段主機網域集中執行此動作,或在已加入 Microsoft Entra ID 的工作階段主機上從本機執行此動作。

或者,您也可以在防火牆或網路安全性群組上封鎖工作階段主機的連接埠 3390 (預設值)。

  1. 根據您想要針對工作階段主機從網域集中設定群組原則,還是在本機設定群組原則:

    1. AD 網域:開啟 組策略管理主控台 (GPMC) 並編輯以工作階段主機為目標的現有原則。

    2. 本機:開啟工作階段主機上的 本地群組原則編輯器

  2. 瀏覽至 [電腦設定]>[系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[Azure 虛擬桌面]。 您應該會看到 Azure 虛擬桌面的原則設定,前提是您在啟用受控網路的 RDP Shortpath 後具有系統管理範本。

  3. 開啟 [啟用受控網路的 RDP Shortpath] 原則設定,並將其設定為 [未設定]

  4. 選取 [確定],然後重新啟動工作階段主機以套用原則設定。

Windows 用戶端

在用戶端裝置上,您可以藉由將 RDP 流量設定為僅使用 TCP,來停用受控網路和公用網路的 RDP Shortpath。 您可以執行此動作,針對已加入 Active Directory 網域的受控用戶端,請使用群組原則,針對已加入 (Microsoft Entra ID) 的受控用戶端,請使用 Intune,或針對非受控用戶端,則使用群組原則。

重要

如果先前已將 RDP 流量設定為嘗試使用群組原則或 Intune,同時使用 TCP 和 UDP 通訊協定,請確定設定不會衝突。

使用群組原則在受控和非受控 Windows 用戶端上停用 RDP Shortpath

若要使用群組原則設定受控和非受控 Windows 用戶端:

  1. 根據您想要設定受控用戶端還是非受控用戶端:

    1. 若為受控用戶端,開啟群組原則管理主控台 (GPMC),然後建立或編輯以用戶端為目標的原則。

    2. 若為非受控用戶端,請在用戶端上開啟 [本機群組原則編輯器]

  2. 瀏覽至 [電腦設定]>[系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面連線用戶端]

  3. 開啟 [關閉用戶端上的 UDP] 原則設定,並將其設定為 [已啟用]

  4. 選取 [確定],然後重新啟動用戶端以套用原則設定。

使用 Intune 在 Windows 用戶端上停用 RDP Shortpath

若要使用 Intune 設定受控 Windows 用戶端:

  1. 登入 Microsoft Intune 系統管理中心

  2. 使用系統管理範本,為 Windows 10 和更新版本 的裝置 建立或編輯組態設定檔

  3. 瀏覽至 [Windows 元件]>[遠端桌面服務]>[遠端桌面連線用戶端]

  4. 選取 [關閉用戶端上的 UDP] 設定,並將其設定為 [已啟用]。 選取 [確定],然後選取 [下一步]

  5. 套用組態設定檔,然後重新啟動用戶端。

下一步