本文將說明如何搭配 Azure 虛擬桌面使用 Proxy 伺服器。 本文中的建議僅適用於 Azure 虛擬桌面基礎結構、用戶端和會話主機代理程式之間的連線。 本文不涵蓋 Office、Windows 10、FSLogix 或其他 Microsoft 應用程式的網路連線。
什麼是代理伺服器?
建議您略過 Azure 虛擬桌面流量的 Proxy。 Proxy 不會讓 Azure 虛擬桌面更安全,因為流量已加密。 若要進一步瞭解連線安全,請參閱 連線安全。
大多數代理伺服器並非為支援長時間運行的 WebSocket 連接而設計,並且可能會影響連線穩定性。 Proxy 伺服器延展性也會導致問題,因為 Azure 虛擬桌面會使用多個長期連線。 如果您確實使用 Proxy 伺服器,它們的大小必須正確才能執行這些連線。
如果代理伺服器的地理位置與主機相距較遠,那麼這個距離將導致使用者連線的延遲增加。 更多的延遲意味著更慢的連接時間和更差的用戶體驗,尤其是在需要圖形、音頻或與輸入設備進行低延遲交互的場景中。 如果您必須使用 Proxy 伺服器,請記住,您必須將伺服器放置在與 Azure 虛擬桌面代理程式和用戶端相同的地理位置中。
如果您將 Proxy 伺服器設定為 Azure 虛擬桌面流量的唯一路徑,則遠端桌面通訊協定 (RDP) 資料將會強制透過傳輸控制通訊協定 (TCP) ,而不是使用者資料包通訊協定 (UDP) 。 此舉降低了遠端連線的視覺品質和回應能力。
總而言之,我們不建議在 Azure 虛擬桌面上使用 Proxy 伺服器,因為它們會因延遲降低和封包遺失而造成效能相關問題。
繞過代理伺服器
如果您組織的網路和安全性原則需要 Web 流量的 Proxy 伺服器,您可以將環境設定為略過 Azure 虛擬桌面連線,同時仍透過 Proxy 伺服器路由傳送流量。 不過,每個組織的原則都是唯一的,因此某些方法可能比其他方法更適合您的部署。 您可以嘗試以下一些配置方法來防止環境中的效能和可靠性損失:
- 具有 Azure 防火牆的 Azure 服務標籤
- 使用 Proxy 自動配置繞過 Proxy 伺服器 (
.PAC) 檔案 - 本機 Proxy 配置中的略過清單
- 使用 Proxy 伺服器進行每個使用者的設定
- 使用 RDP Shortpath 進行 RDP 連線,同時保留 Proxy 上的服務流量
使用代理伺服器的建議
有些組織要求所有使用者流量都經過代理伺服器進行追蹤或封包檢查。 本節說明在這些情況下,我們建議如何設定您的環境。
在相同的 Azure 地理位置中使用 Proxy 伺服器
當您使用 Proxy 伺服器時,它會處理與 Azure 虛擬桌面基礎結構的所有通訊,並執行 DNS 解析和任播路由至最近的 Azure Front Door。 如果您的 Proxy 伺服器距離較遠或分散在 Azure 地理位置中,您的地理解析度會較不準確。 較不準確的地理解析表示連線會路由傳送至更遠的 Azure 虛擬桌面叢集。 若要避免此問題,請僅使用地理位置接近 Azure 虛擬桌面叢集的 Proxy 伺服器。
將 RDP Shortpath 用於受控網路以進行桌面連線
當您為受管理網路啟用 RDP 捷徑時,RDP 資料會盡可能略過 Proxy 伺服器。 繞過代理伺服器可確保使用 UDP 傳輸時實現最佳路由。 其他 Azure 虛擬桌面流量,例如代理、協調流程和診斷,仍會通過 Proxy 伺服器。
不要在 Proxy 伺服器上使用 SSL 終止
安全通訊端層 (SSL) 終止會以 Proxy 伺服器產生的憑證取代 Azure 虛擬桌面元件的安全性憑證。 此 Proxy 伺服器功能可對 Proxy 伺服器上的 HTTPS 流量進行封包檢查。 然而,封包檢查也增加了服務回應時間,使得使用者登入所需的時間更長。 針對反向連線案例,不需要 RDP 流量封包檢查,因為反向連線 RDP 流量是二進位的,並使用額外的加密層級。
如果您將 Proxy 伺服器設定為使用 SSL 檢查,請記住,在 SSL 檢查進行變更後,您無法將伺服器還原到原始狀態。 如果 Azure 虛擬桌面環境中的某些專案在您啟用 SSL 檢查時停止運作,您必須停用 SSL 檢查,並在開啟支援案例之前再試一次。 SSL 檢查也可能導致 Azure 虛擬桌面代理程式停止運作,因為它會干擾代理程式與服務之間的受信任連線。
不要使用需要身份驗證的代理伺服器
工作階段主機上的 Azure 虛擬桌面元件會在其作業系統的內容中執行,因此不支援需要驗證的 Proxy 伺服器。 如果代理伺服器需要身份驗證,則連線將失敗。
規劃 Proxy 伺服器網路容量
代理伺服器有容量限制。 與常規 HTTP 流量不同,RDP 流量具有長時間運行的聊天連接,這些連接是雙向的,並且會消耗大量帶寬。 在設定代理伺服器之前,請與您的代理伺服器供應商討論您的伺服器有多少吞吐量。 另外,請務必詢問他們一次可以運行多少個代理會話。 部署 Proxy 伺服器之後,請仔細監視其資源使用量,以找出 Azure 虛擬桌面流量中的瓶頸。
代理伺服器和 Microsoft Teams 媒體優化
Azure 虛擬桌面不支援具有 Microsoft Teams 媒體優化的 Proxy 伺服器。
工作階段主機組態建議
若要配置階段作業主機層次 Proxy 伺服器,您需要啟用全系統 Proxy。 請記住,全系統配置會影響工作階段主機上執行的所有作業系統元件和應用程式。 下列各節是設定全系統 Proxy 的建議。
使用 Web Proxy 自動探索 (WPAD) 通訊協定
Azure 虛擬桌面代理程式會自動嘗試使用 Web Proxy 自動探索 (WPAD) 通訊協定來尋找網路上的 Proxy 伺服器。 在位置嘗試期間,代理程式會在網域名稱伺服器 (DNS) 搜尋名為 wpad.domainsuffix 的檔案。 如果代理程式在 DNS 中找到檔案,則會針對名為 wpad.dat 的檔案提出 HTTP 要求。 回應會變成選擇出埠 Proxy 伺服器的 Proxy 配置 Script。
若要將網路設定為使用 WPAD 的 DNS 解析,請遵循 自動偵測設定 Internet Explorer 11 中的指示。 請確定 DNS 伺服器全域查詢封鎖清單允許 WPAD 解析,方法是遵循 Set-DnsServerGlobalQueryBlockList 中的指示。
手動設定 Windows 服務的全裝置 Proxy
如果您要手動指定 Proxy 伺服器,您至少需要在會話主機上為 Windows 服務 RDAgent 和 遠端桌面服務 設定 Proxy。 RDAgent 使用 本機系統 帳戶執行,而遠端桌面服務則使用網路 服務帳戶執行。 您可以使用命令列工具為 bitsadmin 這些帳戶設定 Proxy。
下列範例會將本機系統和網路服務帳戶設定為使用 Proxy .pac 檔案。 您必須從提高許可權的命令提示字元執行這些命令,並使用您自己的位址變更預 <server> 留位置值:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
如需完整參考和其他範例,請參閱 bitsadmin util 和 setieproxy。
您也可以設定裝置範圍的 Proxy 或 Proxy 自動設定 (。PAC) 適用於所有互動式、本機系統和網路服務使用者的檔案。 如果您的會話主機已向 Intune 註冊,您可以使用 網路 Proxy CSP 設定 Proxy,不過,Windows 多會話用戶端作業系統不支援原則 CSP,因為它們只支援 設定目錄。 或者,您可以使用命令 netsh winhttp 配置裝置範圍的 Proxy。 如需完整參考和範例,請參閱 Windows 超文字傳輸通訊協定 (WINHTTP 的 Netsh 命令)
用戶端 Proxy 支援
Azure 虛擬桌面用戶端支援設定系統設定或 網路 Proxy CSP 的 Proxy 伺服器。
Azure 虛擬桌面用戶端支援
下表顯示哪些 Azure 虛擬桌面用戶端支援 Proxy 伺服器:
| 客戶名稱 | Proxy 伺服器支援 |
|---|---|
| 遠端桌面用戶端 | 是 |
| Web 用戶端 | 是 |
| Android | 否 |
| iOS | 是 |
| macOS | 是 |
| Windows 上的 Windows App | 是 |
如需 Linux 型精簡型用戶端上 Proxy 支援的詳細資訊,請參閱 精簡型用戶端支援。
支援限制
有許多第三方服務和應用程式充當代理伺服器。 這些第三方服務包括分散式下一代防火牆、網路安全系統和基本代理伺服器。 我們無法保證每個設定都與 Azure 虛擬桌面相容。 Microsoft 僅對透過 Proxy 伺服器建立的連線提供有限的支援。 如果您在使用 Proxy 伺服器時遇到連線問題,Microsoft 支援服務建議您設定 Proxy 略過,然後嘗試重現問題。
後續步驟
如需確保 Azure 虛擬桌面部署安全的詳細資訊,請參閱我們的 安全性指南。