Azure 虛擬桌面的 RDP Shortpath
本文內容
重要
在 Azure 虛擬桌面中,透過 TURN 使用適用於公用網路的 RDP Shortpath 目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定 ,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Azure 虛擬桌面的連線會使用傳輸控制通訊協定 (TCP) 或使用者資料包通訊協定 (UDP)。 RDP Shortpath 是 Azure 虛擬桌面的功能,可在支援的 Windows 遠端桌面客戶端與工作階段主機之間建立直接 UDP 型傳輸。 根據預設,遠端桌面通訊協定 (RDP) 會嘗試使用 UDP 建立連線,並使用以 TCP 為基礎的反向連線傳輸作為後援連線機制。 以 TCP 為基礎的反向連線傳輸可提供與各種網路設定之間的最佳相容性,並具有建立 RDP 連線的高成功率。 以 UDP 為基礎的傳輸可提供更好的連線可靠性和更一致的延遲。
RDP Shortpath 可以透過兩種方式使用:
受控網路 ,其中使用私人連線時,用戶端與工作階段主機之間會建立直接連線,例如虛擬私人網路 (VPN)。
公用網路 ,使用公用連線時,用戶端與工作階段主機之間會建立直接連線。 使用公用連線時有兩種連線類型,如下所示 (依偏好設定排序):
在用戶端和工作階段主機之間使用 Simple Traversal Underneath NAT (STUN) 通訊協定的「直接」
在用戶端和工作階段主機之間搭配轉送使用 Traversal Using Relay NAT (TURN) 通訊協定的「間接」
用於 RDP Shortpath 的傳輸是以通用速率控制通訊協定 (URCP) 為基礎。 URCP 透過主動監視網路條件來增強 UDP,並提供公平且完整的連結使用率。 URCP 會視需要以低延遲和損耗等級運作。
重點優勢
使用 RDP Shortpath 有下列主要優點:
RDP Shortpath 的運作方式
若要了解 RDP Shortpath 如何適用於受控網路和公用網路,請選取下列每個索引標籤。
您可以使用下列方法,來實現使用 RDP Shortpath 搭配受控網路所需的直接視線連線。
具有直接的視線連線表示,用戶端可以直接連線到工作階段主機,而不會遭到防火牆封鎖。
注意
如果您使用其他 VPN 類型來連線到 Azure 入口網站,建議使用 UDP 型 VPN。 雖然大部分的 TCP 型 VPN 解決方案都支援巢狀 UDP,但其會增加 TCP 壅塞控制的繼承額外負荷,因而降低 RDP 效能。
若要使用受控網路的 RDP Shortpath,您必須在工作階段主機上啟用 UDP 接聽程式。 根據預設,雖會使用連接埠 3390 ,但您可以使用不同的連接埠。
下圖提供在針對已加入 Active Directory 網域的受控網路和工作階段主機使用 RDP Shortpath 時,網路連線的高階概觀。
連線序列
所有連線一開始都會透過 Azure 虛擬桌面閘道建立 TCP 型反向連線傳輸 。 然後,用戶端和工作階段主機會建立初始 RDP 傳輸,並開始交換其功能。 這些功能是使用下列流程進行交涉:
工作階段主機會將其 IPv4 和 IPv6 位址的清單傳送至用戶端。
用戶端會啟動背景執行緒,以直接建立平行 UDP 型傳輸至其中一個工作階段主機的 IP 位址。
當用戶端探查所提供的 IP 位址時,其會繼續透過反向連線傳輸建立初始連線,以確保使用者連線不會延遲。
如果用戶端可以直接連線至工作階段主機,則用戶端會透過可靠的 UDP 使用 TLS 建立安全連線。
在建立 RDP Shortpath 傳輸之後,所有動態虛擬通道 (DVC),包括遠端圖形、輸入和裝置重新導向,都會移至新的傳輸。 不過,如果防火牆或網路拓撲防止用戶端建立直接 UDP 連線,則 RDP 會繼續進行反向連線傳輸。
如果您的使用者同時具有受控網路和公用網路的 RDP Shortpath 可供其使用,則系統會使用第一個找到的演算法。 使用者將使用該工作階段第一個建立的連線。
若要在使用公用連線時,提供最佳的 UDP 連線成功機率,您有直接 和間接 連線類型可供使用:
直接連線 :STUN 可用來建立用戶端與工作階段主機之間的直接 UDP 連線。 若要建立此連線,用戶端和工作階段主機必須能夠透過公用 IP 位址和交涉的連接埠彼此連線。 不過,大部分用戶端都不知道自己的公用 IP 位址,因為其位於網路位址轉譯 (NAT) 閘道裝置後面。 STUN 是一種通訊協定,可用來自行探索 NAT 閘道裝置後方的公用 IP 位址,讓用戶端確定自己的公用 IP 位址。
若要讓用戶端使用 STUN,其網路必須允許 UDP 流量。 假設用戶端和工作階段主機都可以直接路由至另一方探索到的 IP 位址和連接埠,則會透過 WebSocket 通訊協定使用 直接 UDP 建立通訊。 如果防火牆或其他網路裝置封鎖直接連線,則會嘗試間接 UDP 連線。
間接連線 :TURN 可用來建立間接連線,在無法直接連線時,透過用戶端與工作階段主機之間的中繼伺服器轉送流量。 TURN 是 STUN 的延伸。 使用 TURN 表示已事先知道公用 IP 位址和連接埠,允許通過防火牆和其他網路裝置。
TURN 通常會透過使用者名稱/密碼授權存取伺服器,其慣用的作業模式是使用 UDP 通訊端。 如果防火牆或其他網路裝置封鎖 UDP 流量,連線將會回復為以 TCP 為基礎的反向連線傳輸。
建立連線時,互動式連線建立 (ICE) 會協調 STUN 和 TURN 的管理,以最佳化建立連線的可能性,並確保優先使用慣用的網路通訊協定。
每個 RDP 工作階段都會使用從暫時連接埠範圍 (預設為 49152 至 65535 ) 動態指派的 UDP 連接埠,其會接受 RDP Shortpath 流量。 此範圍會忽略連接埠 65330,因為其保留給 Azure 內部使用。 您也可以使用較小、可預測的連接埠範圍。 如需詳細資訊,請參閱限制用戶端用於公用網路的連接埠範圍 。
提示
公用網路的 RDP Shortpath 會自動運作,而不需要任何其他設定,前提是網路和防火牆允許流量通過,而且 Windows 作業系統中針對工作階段主機和用戶端的 RDP 傳輸設定正在使用其預設值。
下圖提供在針對工作階段主機已加入 Microsoft Entra ID 的公用網路使用 RDP Shortpath 時,網路連線的高階概觀。
網路位址轉譯和防火牆
大部分的 Azure 虛擬桌面用戶端都會在私人網路的電腦上執行。 網際網路存取是透過網路位址轉譯 (NAT) 閘道裝置所提供。 因此,NAT 閘道會修改來自私人網路且目的地為網際網路的所有網路要求。 這類修改想要跨私人網路上的所有電腦共用單一公用 IP 位址。
因為 IP 封包修改,所以流量的接收者將會看到 NAT 閘道的公用 IP 位址,而不是實際傳送者。 流量在回到 NAT 閘道時會轉寄給預定的接收者,而不需要通知傳送者。 在大部分情況下,隱藏在這類 NAT 後方的裝置不會察覺正在轉譯,也不知道 NAT 閘道的網路位址。
NAT 適用於所有工作階段主機所在的 Azure 虛擬網路。 工作階段主機嘗試連線至網際網路上的網路位址時,NAT 閘道 (您自己的閘道或由 Azure 提供的預設閘道) 或 Azure Load Balancer 會執行位址轉譯。 如需各種來源網路位址轉譯類型的詳細資訊,請參閱針對輸出連線使用來源網路位址轉譯 (SNAT) 。
大部分的網路通常都會包括防火牆,而防火牆會檢查流量,並根據規則進行封鎖。 大部分的客戶都會設定其防火牆,以防止連入連線 (即,來自網際網路且未透過要求所傳送的未經請求封包)。 防火牆採用不同的技術來追蹤資料流程,以區分已請求和未經請求的流量。 在 TCP 的內容中,防火牆會追蹤 SYN 和 ACK 封包,而且程序十分簡單。 UDP 防火牆通常會根據封包位址來使用啟發學習法,以將流量與 UDP 流程產生關聯,以及進行允許或封鎖。
有許多不同的 NAT 實作可供使用。 在大部分情況下,NAT 閘道和防火牆是相同實體或虛擬裝置的功能。
連線序列
所有連線一開始都會透過 Azure 虛擬桌面閘道建立 TCP 型反向連線傳輸 。 然後,用戶端和工作階段主機會建立初始 RDP 傳輸,並開始交換其功能。 如果在工作階段主機上啟用公用網路的 RDP Shortpath,則工作階段主機會起始稱為「候選項目收集」
工作階段主機會列舉指派給工作階段主機的所有網路介面,包括 VPN 和 Teredo 這類虛擬介面。
Windows 服務「遠端桌面服務」
遠端桌面服務會使用上一個步驟中所配置的每個 UDP 通訊端,嘗試在公用網際網路上連線至 Azure 虛擬桌面 STUN 伺服器。 通訊是將小型 UDP 封包傳送至連接埠 3478 來完成。
如果封包到達 STUN 伺服器,則 STUN 伺服器會回應公用 IP 和連接埠。 此資訊會儲存至候選項目資料表中,以作為「自反候選項目」
工作階段主機在收集所有候選項目之後會使用已建立的反向連線傳輸,將候選項目清單傳遞至用戶端。
當用戶端從工作階段主機收到候選項目清單時,用戶端也會在其端執行候選項目收集。 然後,用戶端會將其候選項目清單傳送至工作階段主機。
在工作階段主機與用戶端交換其候選項目清單之後,雙方都會嘗試使用所有收集到的候選項目彼此連線。 兩端都會同時嘗試此連線。 許多 NAT 閘道都設定為在輸出資料傳輸初始化閘道時,允許通訊端的連入流量。 NAT 閘道的這種行為是同時連線不可或缺的原因。 如果 STUN 因為遭到封鎖而失敗,則會使用 TURN 嘗試建立間接連線。
在初始封包交換之後,用戶端和工作階段主機可能會建立一或多個資料流程。 從這些資料流程中,RDP 會選擇最快的網路路徑。 用戶端接著會透過可靠的 UDP 使用 TLS 與工作階段主機建立安全連線,並起始 RDP Shortpath 傳輸。
在 RDP 建立 RDP Shortpath 傳輸之後,所有動態虛擬通道 (DVC),包括遠端圖形、輸入和裝置重新導向,都會移至新的傳輸。
如果您的使用者同時有受控網路和公用網路的 RDP Shortpath 可供他們使用,則會使用第一個找到的演算法,這表示使用者會使用該工作階段第一個建立的連線。 如需詳細資訊,請參閱範例案例 4 。
重要
使用 TCP 型傳輸時,從工作階段主機到用戶端的輸出流量通過 Azure 虛擬桌面閘道。 使用 STUN 對公用網路使用 RDP Shortpath 時,會透過網際網路直接在工作階段主機與用戶端之間建立輸出流量。 這會移除一個躍點,進而改善延遲和終端使用者體驗。 不過,由於工作階段主機與不再使用閘道的用戶端之間發生資料流程變更,除了所取用網際網路頻寬的每個訂用帳戶,還有標準 Azure 輸出網路費用 。 若要深入了解如何預估 RDP 所使用的頻寬,請參閱 RDP 頻寬需求 。
網路組態
若要支援公用網路的 RDP Shortpath,您通常不需要任何特定設定。 工作階段主機和用戶端會自動探索直接資料流程,如果可在網路設定中這樣做的話。 不過,每個環境都是唯一的,而有些網路設定可能會對直接連線的成功率造成負面影響。 請遵循建議 來增加直接資料流程的機率。
當 RDP Shortpath 使用 UDP 來建立資料流程時,如果網路上的防火牆封鎖 UDP 流量,則 RDP Shortpath 將會失敗,而且連線將會回復為 TCP 型反向連線傳輸。 Azure 虛擬桌面會使用 Azure 通訊服務和 Microsoft Teams 所提供的 STUN 伺服器。 此功能的本質是需要從工作階段主機到用戶端的輸出連線。 不幸的是,在大部分情況下,您無法預測使用者所在的位置。 因此,建議允許從工作階段主機到網際網路的輸出 UDP 連線。 若要減少所需的連接埠數目,您可以針對 UDP 流程限制用戶端所使用的連接埠範圍 。 設定 RDP Shortpath 的防火牆時,請使用下列資料表作為參考。
如果您的環境使用對稱 NAT,也就是將單一私人來源「IP:連接埠」使用虛擬網路進行來源網路位址轉譯 。
如果您的使用者同時具有受控網路和公用網路的 RDP Shortpath 可供其使用,則系統會使用第一個找到的演算法。 使用者將使用該工作階段第一個建立的連線。 如需詳細資訊,請參閱範例案例 。
TURN 可用性 (預覽版)
TURN 可在下列 Azure 區域中使用:
澳大利亞東南部
印度中部
美國東部
美國東部 2
法國中部
日本西部
北歐
美國中南部
東南亞
英國南部
英國西部
西歐
美國西部
美國西部 2
工作階段主機虛擬網路
名稱
來源
來源連接埠
目的地
目的地連接埠
通訊協定
動作
RDP Shortpath 伺服器端點
VM 子網路
任意
任意
1024-65535預設值 49152-65535 )
UDP
允許
STUN/TURN UDP
VM 子網路
任意
20.202.0.0/16
3478
UDP
允許
STUN/TURN TCP
VM 子網路
任意
20.202.0.0/16
443
TCP
允許
用戶端網路
名稱
來源
來源連接埠
目的地
目的地連接埠
通訊協定
動作
RDP Shortpath 伺服器端點
用戶端網路
任意
指派給 NAT 閘道或 Azure 防火牆 (由 STUN 端點提供) 的公用 IP 位址
1024-65535預設值 49152-65535 )
UDP
允許
STUN/TURN UDP
用戶端網路
任意
20.202.0.0/16
3478
UDP
允許
STUN/TURN TCP
用戶端網路
任意
20.202.0.0/16
443
TCP
允許
Teredo 支援
雖然 RDP Shortpath 不需要,但 Teredo 會新增額外的 NAT 周遊候選項目,並增加僅限 IPv4 網路中 RDP Shortpath 連線成功的機會。 若要了解如何在工作階段主機和用戶端上啟用 Teredo,請參閱 Teredo 支援 。
UPnP 支援
為了改善直接連線的機會,在遠端桌面用戶端這一端,RDP Shortpath 可能會使用 UPnP 以在 NAT 路由器上設定連接埠對應。 UPnP 是各種應用程式所使用的標準技術,例如 Xbox、傳遞最佳化和 Teredo。 UPnP 通常會在家用網路上找到的路由器上使用。 UPnP 預設會在大部分的家用路由器和存取點上啟用,但通常會在公司網路上停用。
一般建議
以下是使用公用網路的 RDP Shortpath 時的一些一般建議:
如果您的使用者透過網際網路存取 Azure 虛擬桌面,請避免使用強制通道設定。
請確定您不是使用雙 NAT 或 Carrier-Grade-NAT (CGN) 設定。
建議您的使用者不要在其家用路由器上停用 UPnP。
避免使用雲端封包檢查服務。
避免使用 TCP 型 VPN 解決方案。
啟用 IPv6 連線或 Teredo。
連線安全性
RDP Shortpath 會擴充 RDP 多重傳輸功能。 其不會取代反向連線傳輸,而是進行補充。 初始工作階段代理是透過 Azure 虛擬桌面服務和反向連線傳輸來管理。 除非所有連線嘗試首先符合反向連線工作階段,否則系統會忽略這些連線嘗試。 RDP Shortpath 會在驗證之後建立,而且若成功建立,則會捨棄反向連線傳輸,且所有流量都會流經 RDP Shortpath。
RDP Shortpath 會透過可靠的 UDP 使用 TLS,在用戶端與使用工作階段主機憑證的工作階段主機之間使用安全連線。 根據預設,用於 RDP 加密的憑證會在部署期間由作業系統自行產生。 您也可以集中部署由企業憑證授權單位所核發的受控憑證。 如需憑證設定的詳細資訊,請參閱遠端桌面接聽程式憑證設定 。
注意
RDP Shortpath 所提供的安全性與 TCP 反向連線傳輸所提供的安全性相同。
範例案例
以下是一些範例案例,示範如何評估連線,以決定是否跨不同網路拓撲使用 RDP Shortpath。
實例 1
UDP 連線只能透過公用網路 (網際網路) 在用戶端裝置與工作階段主機之間建立。 無法使用直接連線,例如 VPN。 UDP 可允許通過防火牆或 NAT 裝置。
案例 2
防火牆或 NAT 裝置將會封鎖直接 UDP 連線,但間接 UDP 連線可以透過公用網路 (網際網路) 使用 TURN 在用戶端裝置與工作階段主機之間轉送。 無法使用另一個直接連線,例如 VPN。
案例 3
您可以透過公用網路或直接 VPN 連線在用戶端裝置與工作階段主機之間建立 UDP 連線,但受控網路的 RDP Shortpath 不會啟用。 當用戶端起始連線時,ICE/STUN 通訊協定可以看到多個路由,並評估每個路由,然後選擇延遲最低的路由。
此範例會透過直接 VPN 連線使用公用網路的 RDP Shortpath 建立 UDP 連線,因為其具有最低的延遲,如綠線所示。
案例 4
適用於公用網路和受控網路的 RDP Shortpath 都會啟用。 您可以透過公用網路或直接 VPN 連線在用戶端裝置與工作階段階段主機之間建立 UDP 連線。 當用戶端起始連線時,適用於受控網路的 RDP Shortpath 會透過連接埠 3390 嘗試連線,與此同時,適用於公用網路的 RDP Shortpath 也會透過 ICE/STUN 通訊協定嘗試連線。 將會使用第一個找到的演算法,而且使用者將會使用該工作階段第一個建立的連線。
由於通過公用網路有更多步驟,例如 NAT 裝置、負載平衡器或 STUN 伺服器,因此第一個找到的演算法可能會使用受控網路的 RDP Shortpath 選取連線,並優先建立。
案例 5
您可以透過公用網路或直接 VPN 連線在用戶端裝置與工作階段主機之間建立 UDP 連線,但受控網路的 RDP Shortpath 不會啟用。 若要防止 ICE/STUN 使用特定路由,管理員可以封鎖其中一個 UDP 流量的路由。 封鎖路由可確保一律使用其餘路徑。
在此範例中,UDP 會在直接 VPN 連線遭到封鎖,而 ICE/STUN 通訊協定會透過公用網路建立連線。
案例 6
公用網路和受控網路的 RDP Shortpath 都已設定,但無法使用直接 VPN 連線來建立 UDP 連線。 防火牆或 NAT 裝置也將會封鎖使用公用網路 (網際網路) 的直接 UDP 連線,但間接 UDP 連線可以透過公用網路 (網際網路) 使用 TURN 在用戶端裝置與工作階段主機之間轉送。
案例 7
公用網路和受控網路的 RDP Shortpath 都已設定,但無法建立 UDP 連線。 在此例子中,RDP Shortpath 將會失敗,而且連線將會回復為 TCP 型反向連線傳輸。
下一步
