RDP Shortpath for Azure Virtual Desktop

Cikk
11/02/2024

Az RDP Shortpath UDP-alapú átvitelt hoz létre egy helyi eszköz, a Windows-alkalmazás vagy a Távoli asztal alkalmazás között a támogatott platformokon és az Azure Virtual Desktop munkamenet-gazdagépén. Alapértelmezés szerint a Távoli asztali protokoll (RDP) TCP-alapú fordított kapcsolat átvitelt indít el, majd megpróbál létrehozni egy távoli munkamenetet az UDP használatával. Ha az UDP-kapcsolat sikeres, a TCP-kapcsolat megszakad, ellenkező esetben a TCP-kapcsolatot tartalék kapcsolati mechanizmusként használja a rendszer.

Az UDP-alapú átvitel jobb kapcsolati megbízhatóságot és konzisztensebb késést biztosít. A TCP-alapú fordított kapcsolat átvitele biztosítja a legjobb kompatibilitást a különböző hálózati konfigurációkkal, és nagy sikert aratott az RDP-kapcsolatok létrehozásához.

Az RDP Shortpath kétféleképpen használható:

Felügyelt hálózatok, ahol közvetlen kapcsolat jön létre az ügyfél és a munkamenet-gazdagép között privát kapcsolat, például az Azure ExpressRoute vagy a helyek közötti virtuális magánhálózat (VPN) használatakor. A felügyelt hálózatot használó kapcsolat az alábbi módok egyikével jön létre:
1. Közvetlen UDP-kapcsolat az ügyféleszköz és a munkamenet-gazdagép között, ahol engedélyeznie kell az RDP Shortpath figyelőt, és engedélyeznie kell egy bejövő portot az egyes munkamenet-gazdagépeken a kapcsolatok elfogadásához.
2. Közvetlen UDP-kapcsolat az ügyféleszköz és a munkamenet-gazdagép között az egyszerű bejárási nat (STUN) protokoll használatával az ügyfél és a munkamenet-gazdagép között. A munkamenet-gazdagép bejövő portjainak engedélyezése nem kötelező.
Nyilvános hálózatok, amelyek nyilvános kapcsolat használatakor közvetlen kapcsolatot létesítenek az ügyfél és a munkamenet-gazdagép között. Nyilvános kapcsolat használatakor két kapcsolattípus létezik, amelyek az itt felsorolt beállítások szerint vannak felsorolva:
1. Közvetlen UDP-kapcsolat az egyszerű bejárási nat (STUN) protokoll használatával az ügyfél és a munkamenet-gazdagép között.
2. Továbbított UDP-kapcsolat az ügyfél és a munkamenet-gazdagép közötti Traversal Using Relay NAT (TURN) protokoll használatával.

Az RDP Shortpathhoz használt átvitel az Universal Rate Control Protocol (URCP) protokollon alapul. Az URCP javítja az UDP-t a hálózati feltételek aktív monitorozásával, és tisztességes és teljes kapcsolatkihasználtságot biztosít. Az URCP szükség szerint alacsony késleltetési és veszteségszinten működik.

Fontos

A nyilvános hálózatokhoz készült RDP Shortpath az Azure Virtual Desktophoz készült STUN-on keresztül az Azure nyilvános felhőben és az Azure Government-felhőben érhető el.
A nyilvános hálózatokhoz készült RDP Shortpath for TURN for Azure Virtual Desktop csak az Azure nyilvános felhőben érhető el.

Fő előnyök

Az RDP Shortpath használata a következő fő előnyökkel jár:

Az URCP használata az UDP továbbfejlesztéséhez a legjobb teljesítményt nyújtja a hálózati paraméterek dinamikus tanulásával és a protokoll sebesség-vezérlési mechanizmussal való biztosításával.
Nagyobb átviteli sebesség.
A STUN használatakor a többlet továbbítópontok eltávolítása csökkenti a menetidőt, és javítja a kapcsolat megbízhatóságát, valamint a késésre érzékeny alkalmazások és beviteli módszerek felhasználói élményét.
Emellett felügyelt hálózatok esetén:
- Az RDP Shortpath támogatja az RDP-kapcsolatok szolgáltatásminőségi (QoS) prioritásának konfigurálását a differenciált szolgáltatások kódpontjai (DSCP) jeleken keresztül.
- Az RDP Shortpath átvitele lehetővé teszi a kimenő hálózati forgalom korlátozását az egyes munkamenetek szabályozási sebességének megadásával.

Az RDP Shortpath működése

Ha meg szeretné tudni, hogyan működik az RDP Shortpath felügyelt hálózatokhoz és nyilvános hálózatokhoz, válassza az alábbi lapok mindegyikét.

Felügyelt hálózatok
Nyilvános hálózatok

Az RDP Shortpath felügyelt hálózatokkal való használatához szükséges közvetlen látóvonal-kapcsolatot az alábbi módszerekkel érheti el.

ExpressRoute privát társviszony-létesítés
Helyek közötti vagy pont–hely VPN (IPsec), például Azure VPN Gateway

A közvetlen látóvonal-kapcsolat azt jelenti, hogy az ügyfél közvetlenül csatlakozhat a munkamenet-gazdagéphez anélkül, hogy tűzfalak blokkolják.

Feljegyzés

Ha más VPN-típusokat használ az Azure-hoz való csatlakozáshoz, javasoljuk, hogy UDP-alapú VPN-t használjon. Bár a legtöbb TCP-alapú VPN-megoldás támogatja a beágyazott UDP-t, örökölt többletterhelést adnak hozzá a TCP-torlódás-vezérléshez, ami lelassítja az RDP teljesítményét.

Az RDP Shortpath felügyelt hálózatokhoz való használatához engedélyeznie kell egy UDP-figyelőt a munkamenet-gazdagépeken. Alapértelmezés szerint a 3390-s portot használja a rendszer, bár más portot is használhat.

Az alábbi ábra magas szintű áttekintést nyújt a hálózati kapcsolatokról az RDP Shortpath active Directory-tartományhoz csatlakoztatott felügyelt hálózatokhoz és munkamenet-gazdagépekhez való használatakor.

Kapcsolatütemezés

Minden kapcsolat egy TCP-alapú fordított kapcsolat átvitelének létrehozásával kezdődik az Azure Virtual Desktop Gatewayen keresztül. Ezután az ügyfél és a munkamenet-gazdagép létrehozza a kezdeti RDP-átvitelt, és megkezdi a képességeik cseréjét. Ezeket a képességeket a következő eljárással tárgyaljuk meg:

A munkamenet-gazdagép elküldi az IPv4- és IPv6-címeinek listáját az ügyfélnek.
Az ügyfél elindítja a háttérszálat, hogy egy párhuzamos UDP-alapú átvitelt hozzon létre közvetlenül a munkamenet-gazdagép IP-címére.
Bár az ügyfél a megadott IP-címeket űzi, továbbra is létrehozza a kezdeti kapcsolatot a fordított kapcsolat átvitelén keresztül, hogy ne legyen késés a felhasználói kapcsolatban.
Ha az ügyfél közvetlen kapcsolatban áll a munkamenet-gazdagéppel, az ügyfél biztonságos kapcsolatot létesít tLS használatával megbízható UDP-kapcsolaton keresztül.
Az RDP Shortpath-átvitel létrehozása után a rendszer az összes dinamikus virtuális csatornát (DVC-t) áthelyezi az új átvitelbe, beleértve a távoli grafikus elemeket, a bemenetet és az eszközátirányítást. Ha azonban egy tűzfal vagy hálózati topológia megakadályozza, hogy az ügyfél közvetlen UDP-kapcsolatot létesítsen, az RDP fordított kapcsolatú átvitelsel folytatódik.

Ha a felhasználók rdp shortpath-tal rendelkeznek a felügyelt hálózatokhoz és a nyilvános hálózatokhoz, akkor a rendszer az elsőként talált algoritmust fogja használni. A felhasználó azt fogja használni, amelyik először létrejön az adott munkamenethez.

Annak érdekében, hogy az UDP-kapcsolat sikeres legyen a nyilvános kapcsolat használatakor, a közvetlen és a továbbított kapcsolattípusok a következők:

Közvetlen kapcsolat: A STUN használatával közvetlen UDP-kapcsolatot hozhat létre az ügyfél és a munkamenet-gazdagép között. A kapcsolat létrehozásához az ügyfélnek és a munkamenet-gazdagépnek képesnek kell lennie arra, hogy nyilvános IP-címen és egyeztetett porton keresztül csatlakozzon egymáshoz. A legtöbb ügyfél azonban nem ismeri a saját nyilvános IP-címét, mivel egy hálózati címfordítási (NAT) átjáróeszköz mögött ül. A STUN egy protokoll egy nyilvános IP-cím NAT-átjáróeszköz és az ügyfél mögötti önfelderítéséhez, amely meghatározza a saját nyilvános IP-címét.

Ahhoz, hogy egy ügyfél használhassa az STUN-t, a hálózatának engedélyeznie kell az UDP-forgalmat. Feltéve, hogy az ügyfél és a munkamenet-gazdagép közvetlenül a másik felderített IP-címére és portjára tud irányítani, a kommunikáció a WebSocket protokollon keresztül közvetlen UDP-vel jön létre. Ha tűzfalak vagy más hálózati eszközök blokkolják a közvetlen kapcsolatokat, a rendszer megpróbál továbbadni egy UDP-kapcsolatot.
Továbbított kapcsolat: A TURN egy kapcsolat létrehozásához használható, amely egy köztes kiszolgálón keresztüli forgalmat helyez át egy ügyfél és a munkamenet-gazdagép között, ha közvetlen kapcsolat nem lehetséges. A TURN a STUN kiterjesztése. A TURN használata azt jelenti, hogy a nyilvános IP-cím és a port előre ismert, amely tűzfalakon és más hálózati eszközökön keresztül engedélyezhető.

Ha tűzfalak vagy más hálózati eszközök blokkolják az UDP-forgalmat, a kapcsolat visszaesik egy TCP-alapú fordított kapcsolati átvitelre.

A kapcsolat létrehozásakor az Interaktív kapcsolatlétrehozás (ICE) koordinálja a STUN és a TURN kezelését a kapcsolat létrehozásának valószínűségének optimalizálása érdekében, és biztosítja, hogy az előnyben részesített hálózati kommunikációs protokollok elsőbbséget élvezhessenek.

Minden RDP-munkamenet dinamikusan hozzárendelt UDP-portot használ egy rövid élettartamú porttartományból (alapértelmezés szerint 49152 és 65535 között), amely elfogadja az RDP Shortpath-forgalmat. A 65330-as port figyelmen kívül lesz hagyva ebből a tartományból, mivel az Azure belső használatra van fenntartva. Kisebb, kiszámítható porttartományt is használhat. További információ: Az ügyfelek által a nyilvános hálózatokhoz használt porttartomány korlátozása.

Tipp.

A nyilvános hálózatokhoz készült RDP Shortpath automatikusan, további konfigurációk nélkül működik, mivel a hálózatok és tűzfalak lehetővé teszik a windowsos operációs rendszer adatforgalmát és RDP átviteli beállításait a munkamenet-gazdagépek számára, és az ügyfelek az alapértelmezett értékeiket használják.

Az alábbi ábra magas szintű áttekintést nyújt a hálózati kapcsolatokról az RDP Shortpath nyilvános hálózatokhoz való használatakor, ahol a munkamenet-gazdagépek csatlakoztak a Microsoft Entra-azonosítóhoz.

TURN relay rendelkezésre állása

A TURN relay az alábbi Azure-régiókban érhető el:

Délkelet-Ausztrália
Közép-India
USA keleti régiója
USA 2. keleti régiója
Közép-Franciaország
Nyugat-Japán
Észak-Európa

USA déli középső régiója
Délkelet-Ázsia
Az Egyesült Királyság déli régiója
Az Egyesült Királyság nyugati régiója
Nyugat-Európa
USA nyugati régiója
USA 2. nyugati régiója

A TURN relay az ügyféleszköz fizikai helye alapján van kiválasztva. Ha például egy ügyféleszköz az Egyesült Királyságban található, a turn relay az Egyesült Királyság déli vagy nyugati régiójában van kiválasztva. Ha egy ügyféleszköz távol áll a TURN-továbbítótól, előfordulhat, hogy az UDP-kapcsolat visszaesik a TCP-re.

Hálózati címfordítás és tűzfalak

A legtöbb Azure Virtual Desktop-ügyfél a magánhálózaton lévő számítógépeken fut. Az internet-hozzáférést hálózati címfordítási (NAT) átjáróeszköz biztosítja. Ezért a NAT-átjáró módosítja a magánhálózattól érkező és az internetre irányuló összes hálózati kérést. Az ilyen módosítás egyetlen nyilvános IP-címet kíván megosztani a magánhálózat összes számítógépén.

Az IP-csomag módosítása miatt a forgalom címzettje a NAT-átjáró nyilvános IP-címét fogja látni a tényleges feladó helyett. Amikor a forgalom visszakerül a NAT-átjáróra, gondoskodni fog róla, hogy a feladó tudta nélkül továbbítsa azt a címzettnek. A legtöbb esetben az ilyen NAT mögött elrejtett eszközök nem tudják, hogy a fordítás történik, és nem ismerik a NAT-átjáró hálózati címét.

A NAT azon Azure-beli virtuális hálózatokra vonatkozik, ahol az összes munkamenet-állomás található. Amikor egy munkamenet-gazdagép megpróbálja elérni a hálózati címet az interneten, a NAT Gateway (az Azure által biztosított saját vagy alapértelmezett) vagy az Azure Load Balancer elvégzi a címfordítást. A forráshálózati címfordítás különböző típusairól további információt a Kimenő kapcsolatok forráshálózati címfordítás (SNAT) használata című témakörben talál.

A legtöbb hálózat általában tűzfalakat tartalmaz, amelyek ellenőrzik a forgalmat, és szabályok alapján blokkolják azt. A legtöbb ügyfél úgy konfigurálja a tűzfalakat, hogy megakadályozza a bejövő kapcsolatokat (azaz kérés nélkül küldött, kéretlen csomagokat az internetről). A tűzfalak különböző technikákat alkalmaznak az adatfolyam nyomon követésére a kért és a kéretlen forgalom megkülönböztetése érdekében. A TCP kontextusában a tűzfal nyomon követi a SYN- és ACK-csomagokat, és a folyamat egyszerű. Az UDP-tűzfalak általában csomagcímeken alapuló heurisztikus megoldásokat használnak a forgalom UDP-folyamatokhoz való társításához és engedélyezéséhez vagy letiltásához. Számos különböző NAT-implementáció érhető el.

Kapcsolatütemezés

Minden kapcsolat egy TCP-alapú fordított kapcsolat átvitelének létrehozásával kezdődik az Azure Virtual Desktop Gatewayen keresztül. Ezután az ügyfél és a munkamenet-gazdagép létrehozza a kezdeti RDP-átvitelt, és megkezdi a képességeik cseréjét. Ha a nyilvános hálózatokhoz készült RDP Shortpath engedélyezve van a munkamenet-gazdagépen, a munkamenet-gazdagép elindít egy jelöltgyűjtés nevű folyamatot:

A munkamenet-gazdagép felsorolja a munkamenet-gazdagéphez rendelt összes hálózati adaptert, beleértve az olyan virtuális adaptereket is, mint a VPN és a Teredo.
A Windows-szolgáltatás távoli asztali szolgáltatásai (TermService) minden felületen lefoglalják az UDP-szoftvercsatornákat, és az IP:portpárt helyi jelöltként tárolják a jelölt táblában.
A Távoli asztali szolgáltatások szolgáltatás az előző lépésben lefoglalt UDP-szoftvercsatornák használatával próbálja elérni az Azure Virtual Desktop STUN-kiszolgálót a nyilvános interneten. A kommunikáció úgy történik, hogy egy kis UDP-csomagot küld a 3478-as portra.
Ha a csomag eléri a STUN-kiszolgálót, a STUN-kiszolgáló a nyilvános IP-címmel és porttal válaszol. Ezeket az információkat a rendszer reflexív jelöltként tárolja a jelölttáblában.
Miután a munkamenet-gazdagép összegyűjti az összes jelöltet, a munkamenet-gazdagép a létrehozott fordított kapcsolat átvitelével továbbítja a jelöltlistát az ügyfélnek.
Amikor az ügyfél megkapja a jelöltek listáját a munkamenet-gazdagéptől, az ügyfél a maga oldalán is végrehajtja a jelöltek gyűjtését. Ezután az ügyfél elküldi a jelöltlistáját a munkamenet-gazdagépnek.
Miután a munkamenetgazda és az ügyfél kicserélte a jelöltlistáikat, mindkét fél megpróbál csatlakozni egymással az összes összegyűjtött jelölt használatával. Ez a kapcsolati kísérlet mindkét oldalon egyidejű. Számos NAT-átjáró úgy van konfigurálva, hogy engedélyezze a bejövő forgalmat a szoftvercsatornába, amint a kimenő adatátvitel inicializálja azt. A NAT-átjárók ezen viselkedése az oka annak, hogy az egyidejű kapcsolat elengedhetetlen. Ha az STUN meghiúsul, mert le van tiltva, a rendszer a TURN használatával kísérli meg a továbbító kapcsolati kísérletet.
A kezdeti csomagcsere után az ügyfél és a munkamenet-gazdagép egy vagy több adatfolyamot hozhat létre. Ezekből az adatfolyamokból az RDP a leggyorsabb hálózati útvonalat választja ki. Az ügyfél ezután biztonságos kapcsolatot létesít TLS használatával megbízható UDP-vel a munkamenet-gazdagéppel, és kezdeményezi az RDP Shortpath átvitelét.
Miután az RDP létrehozza az RDP Shortpath-átvitelt, az összes dinamikus virtuális csatorna (DVC), beleértve a távoli grafikus elemeket, a bemenetet és az eszközátirányítást, az új átvitelre kerül.

Ha a felhasználók rdp Shortpath for managed network és nyilvános hálózatok számára is elérhetők, akkor a rendszer az első megtalált algoritmust fogja használni, ami azt jelenti, hogy a felhasználó az adott munkamenethez először létrehozott kapcsolatot fogja használni. További információ: 4. példaforgatókönyv.

Hálózati konfiguráció

Az RDP Shortpath nyilvános hálózatokhoz való támogatásához általában nincs szükség konkrét konfigurációra. A munkamenetgazda és az ügyfél automatikusan felderíti a közvetlen adatfolyamot, ha ez lehetséges a hálózati konfigurációban. Azonban minden környezet egyedi, és egyes hálózati konfigurációk negatívan befolyásolhatják a közvetlen kapcsolat sikerességét. Kövesse az ajánlásokat a közvetlen adatfolyamok valószínűségének növeléséhez.

Mivel az RDP Shortpath UDP használatával hoz létre egy adatfolyamot, ha a hálózaton található tűzfal blokkolja az UDP-forgalmat, az RDP Shortpath sikertelen lesz, és a kapcsolat visszaesik a TCP-alapú fordított kapcsolat átvitelére. Az Azure Virtual Desktop az Azure Communication Services és a Microsoft Teams által biztosított STUN-kiszolgálókat használja. A szolgáltatás jellegéből adódóan a munkamenet-gazdagépekről az ügyfél felé irányuló kimenő kapcsolatra van szükség. Sajnos nem tudja megjósolni, hogy a felhasználók hol találhatók a legtöbb esetben. Ezért azt javasoljuk, hogy engedélyezi a kimenő UDP-kapcsolatot a munkamenet-gazdagépekről az internetre. A szükséges portok számának csökkentése érdekében korlátozhatja az ügyfelek által az UDP-folyamathoz használt porttartományt. Az RDP Shortpath tűzfalainak konfigurálásához használja az alábbi táblázatokat.

Ha a környezet szimmetrikus NAT-ot használ, amely egyetlen magánforrás IP:portjának leképezése egy egyedi nyilvános cél IP:Portra, akkor használhat továbbító kapcsolatot a TURN használatával. Ez a helyzet az Azure Firewall és az Azure NAT Gateway használata esetén. További információ az Azure-beli virtuális hálózatokkal rendelkező NAT-ról: Forráshálózati címfordítás virtuális hálózatokkal.

Általános javaslatokkal rendelkezünk a nyilvános hálózatokhoz készült RDP Shortpath használatával történő sikeres kapcsolatokhoz. További információ: Általános javaslatok.

Ha a felhasználók rdp shortpath-tal rendelkeznek a felügyelt és a nyilvános hálózatokhoz is, akkor a rendszer az első talált algoritmust fogja használni. A felhasználó azt fogja használni, amelyik először létrejön az adott munkamenethez. További információ: Példaforgatókönyvek.

A következő szakaszok tartalmazzák a munkamenet-gazdagépek és ügyféleszközök forrás-, cél- és protokollkövetelményeit, amelyeket engedélyezni kell az RDP Shortpath működéséhez.

Feljegyzés

A TURN szolgáltatással továbbított kapcsolat esetén az IP-alhálózat 20.202.0.0/16 meg van osztva az Azure Communication Services szolgáltatással. Az Azure Virtual Desktop és a Windows 365 azonban áttér 51.5.0.0/16a kizárólag ezekre a szolgáltatásokra dedikáltra. Javasoljuk, hogy most konfigurálja mindkét tartományt a hálózati környezetben a zökkenőmentes átmenet biztosítása érdekében.

Ha meg szeretné várni a dedikált alhálózat használatát, kövesse a gazdagépkészlet hálózati beállításainak konfigurálásának lépéseit, és állítsa az RDP Shortpath for public network (turn/relay) beállítást Letiltva értékre. Másik lehetőségként letilthatja az UDP-t a helyi eszközön, de ez minden kapcsolat esetében letiltja az UDP-t. Ha le szeretné tiltani az UDP-t a helyi eszközön, kövesse az UDP engedélyezésének ellenőrzése Windows-ügyféleszközökön című cikket, de állítsa be az UDP kikapcsolása az ügyfélen beállítást engedélyezve. Ha letiltja az IP-tartományt 20.202.0.0/16 a hálózaton, és VPN-alkalmazásokat használ, az leválasztási problémákat okozhat.

Munkamenet-gazdagép virtuális hálózata

Az alábbi táblázat a munkamenet-gazdagép virtuális hálózatához tartozó RDP Shortpath forrás-, cél- és protokollkövetelményeit ismerteti.

Név	Forrás	Forrásport	Cél	Célport	Protokoll	Művelet
Közvetlen STUN-kapcsolat	Virtuálisgép-alhálózat	Bármelyik	Bármelyik	1024-65535 (alapértelmezett 49152-65535)	UDP	Engedélyezés
STUN-infrastruktúra/TURN	Virtuálisgép-alhálózat	Bármely	`20.202.0.0/16`	3478	UDP	Engedélyezés
TURN relay	Virtuálisgép-alhálózat	Bármely	`51.5.0.0/16`	3478	UDP	Engedélyezés

Ügyfélhálózat

Az alábbi táblázat az ügyféleszközök forrás-, cél- és protokollkövetelményeit ismerteti.

Név	Forrás	Forrásport	Cél	Célport	Protokoll	Művelet
Közvetlen STUN-kapcsolat	Ügyfélhálózat	Bármely	A NAT-átjáróhoz vagy az Azure Firewallhoz rendelt nyilvános IP-címek (amelyeket a STUN-végpont biztosít)	1024-65535 (alapértelmezett 49152-65535)	UDP	Engedélyezés
STUN-infrastruktúra/TURN-továbbító	Ügyfélhálózat	Bármely	`20.202.0.0/16`	3478	UDP	Engedélyezés
TURN relay	Ügyfélhálózat	Bármely	`51.5.0.0/16`	3478	UDP	Engedélyezés

Teredo-támogatás

Bár az RDP Shortpath esetében nem szükséges, a Teredo további NAT-bejárási jelölteket ad hozzá, és növeli a sikeres RDP Shortpath-kapcsolat esélyét az IPv4-alapú hálózatokban. A Teredo munkamenet-gazdagépeken és -ügyfeleken való engedélyezéséről további információt a Teredo támogatásának engedélyezése című témakörben talál.

UPnP-támogatás

A közvetlen kapcsolat esélyének javítása érdekében a Távoli asztali ügyfél oldalán az RDP Shortpath UPnP használatával konfigurálhat egy portleképezést a NAT-útválasztón. Az UPnP egy szabványos technológia, amelyet különböző alkalmazások, például az Xbox, a Kézbesítésoptimalizálás és a Teredo használnak. Az UPnP általában az otthoni hálózaton található útválasztókon érhető el. Az UPnP alapértelmezés szerint engedélyezve van a legtöbb otthoni útválasztón és hozzáférési ponton, de gyakran le van tiltva a vállalati hálózatkezelésben.

Általános javaslatok

Íme néhány általános javaslat az RDP Shortpath nyilvános hálózatokhoz való használatakor:

Ne használjon kényszerített bújtatási konfigurációkat, ha a felhasználók az Interneten keresztül férnek hozzá az Azure Virtual Desktophoz.
Győződjön meg arról, hogy nem használ kettős NAT- vagy Carrier-Grade-NAT-(CGN-) konfigurációkat.
Javasoljuk a felhasználóknak, hogy ne tiltsák le az UPnP-t az otthoni útválasztóikon.
Kerülje a felhőbeli csomagvizsgálati szolgáltatások használatát.
Kerülje a TCP-alapú VPN-megoldások használatát.
IPv6-kapcsolat vagy Teredo engedélyezése.

Kapcsolatbiztonság

Az RDP Shortpath kibővíti az RDP többátviteli képességeit. Nem helyettesíti a fordított csatlakozású átvitelt, hanem kiegészíti azt. A kezdeti munkamenet-közvetítést az Azure Virtual Desktop szolgáltatás és a fordított kapcsolat átvitele kezeli. A rendszer az összes csatlakozási kísérletet figyelmen kívül hagyja, kivéve, ha azok először a fordított csatlakozási munkamenetnek felelnek meg. Az RDP Shortpath a hitelesítés után jön létre, és ha sikeresen létrejött, a fordított kapcsolat átvitele megszakad, és az összes forgalom az RDP Shortpathon halad át.

Az RDP Shortpath biztonságos kapcsolatot használ TLS használatával megbízható UDP-vel az ügyfél és a munkamenet-gazdagép között a munkamenetgazda tanúsítványai használatával. Alapértelmezés szerint az RDP-titkosításhoz használt tanúsítványt az operációs rendszer saját maga hozza létre az üzembe helyezés során. Központilag felügyelt tanúsítványokat is üzembe helyezhet, amelyeket egy vállalati hitelesítésszolgáltató állít ki. A tanúsítványkonfigurációkról további információt a Távoli asztali figyelő tanúsítványkonfigurációi című témakörben talál.

Feljegyzés

Az RDP Shortpath által kínált biztonság megegyezik a TCP fordított kapcsolat átvitelével.

Példaforgatókönyvek

Íme néhány példaforgatókönyv, amely bemutatja, hogyan történik a kapcsolatok kiértékelése annak eldöntésére, hogy az RDP Shortpathot használják-e különböző hálózati topológiákban.

1. eset

UDP-kapcsolat csak nyilvános hálózaton (interneten) keresztül létesíthető az ügyféleszköz és a munkamenet-gazdagép között. Közvetlen kapcsolat, például VPN nem érhető el. Az UDP tűzfalon vagy NAT-eszközön keresztül engedélyezett.

A nyilvános hálózatokhoz készült RDP Shortpathot ábrázoló diagram a STUN-t használja.

2. eset

A tűzfal vagy NAT-eszköz blokkolja a közvetlen UDP-kapcsolatot, de a továbbított UDP-kapcsolat továbbítható a TURN használatával az ügyféleszköz és a munkamenet-gazdagép között egy nyilvános hálózaton (interneten). Egy másik közvetlen kapcsolat, például a VPN nem érhető el.

A nyilvános hálózatokhoz készült RDP Shortpathot ábrázoló diagram a TURN-t használja.

3. eset

UDP-kapcsolat létesíthető az ügyféleszköz és a munkamenet-gazdagép között nyilvános hálózaton keresztül vagy közvetlen VPN-kapcsolaton keresztül, de a felügyelt hálózatok RDP Shortpath szolgáltatása nincs engedélyezve. Amikor az ügyfél kezdeményezi a kapcsolatot, az ICE/STUN protokoll több útvonalat is lát, és kiértékeli az egyes útvonalakat, és kiválasztja azt, amelyik a legkisebb késéssel rendelkezik.

Ebben a példában a közvetlen VPN-kapcsolaton keresztüli nyilvános hálózatokhoz RDP Shortpathot használó UDP-kapcsolat jön létre, mivel a legkisebb késéssel rendelkezik, ahogyan azt a zöld vonal is mutatja.

A közvetlen VPN-kapcsolaton keresztüli nyilvános hálózatokhoz tartozó RDP Shortpath használatával történő UDP-kapcsolatot ábrázoló diagram a legkisebb késéssel fog rendelkezni.

4\. példa

A nyilvános hálózatokhoz és a felügyelt hálózatokhoz készült RDP Shortpath is engedélyezve van. UDP-kapcsolat létesíthető az ügyféleszköz és a munkamenet-gazdagép között nyilvános hálózaton vagy közvetlen VPN-kapcsolaton keresztül. Amikor az ügyfél kezdeményezi a kapcsolatot, egyidejűleg megkísérel csatlakozni rdp Shortpath használatával a felügyelt hálózatokhoz a 3390-s porton (alapértelmezés szerint) és az RDP Shortpathon keresztül a nyilvános hálózatokhoz az ICE/STUN protokollon keresztül. A rendszer az elsőként talált algoritmust használja, és a felhasználó azt használja, amelyik először létrejön az adott munkamenethez.

Mivel a nyilvános hálózaton való átvétel több lépést is tartalmaz, például NAT-eszközt, terheléselosztót vagy STUN-kiszolgálót, valószínű, hogy az elsőként megtalált algoritmus rdP Shortpath használatával választja ki a kapcsolatot a felügyelt hálózatokhoz, és először létrejön.

Az elsőként talált algoritmust ábrázoló diagram a felügyelt hálózatokhoz készült RDP Shortpath használatával választja ki a kapcsolatot, és először létrejön.

5. forgatókönyv

UDP-kapcsolat létesíthető az ügyféleszköz és a munkamenet-gazdagép között nyilvános hálózaton keresztül vagy közvetlen VPN-kapcsolaton keresztül, de a felügyelt hálózatok RDP Shortpath szolgáltatása nincs engedélyezve. Ha meg szeretné akadályozni, hogy az ICE/STUN egy adott útvonalat használjon, a rendszergazda letilthatja az UDP-forgalom egyik útvonalát. Az útvonal blokkolásával biztosítható, hogy a fennmaradó útvonal mindig használható legyen.

Ebben a példában az UDP le van tiltva a közvetlen VPN-kapcsolaton, és az ICE/STUN protokoll kapcsolatot létesít a nyilvános hálózaton keresztül.

A közvetlen VPN-kapcsolaton blokkolt UDP-t ábrázoló ábra, és az ICE/STUN protokoll kapcsolatot létesít a nyilvános hálózaton.

6. forgatókönyv

A nyilvános hálózatokhoz és a felügyelt hálózatokhoz készült RDP Shortpath is konfigurálva van, de közvetlen VPN-kapcsolattal nem hozható létre UDP-kapcsolat. A tűzfal vagy NAT-eszköz a nyilvános hálózat (internet) használatával is blokkolja a közvetlen UDP-kapcsolatot, de a továbbított UDP-kapcsolat továbbítható a TURN használatával az ügyféleszköz és a munkamenet-gazdagép között egy nyilvános hálózaton (interneten) keresztül.

Az UDP-t a közvetlen VPN-kapcsolat blokkolja, és egy nyilvános hálózatot használó közvetlen kapcsolat is meghiúsul. A TURN a kapcsolatot a nyilvános hálózaton keresztül továbbítja.

7. forgatókönyv

A nyilvános hálózatokhoz és a felügyelt hálózatokhoz készült RDP Shortpath is konfigurálva van, de UDP-kapcsolat nem hozható létre. Ebben a példában az RDP Shortpath sikertelen lesz, és a kapcsolat visszaesik a TCP-alapú fordított kapcsolat átvitelére.

Az UDP-kapcsolatot ábrázoló diagram nem hozható létre. Ebben a példában az RDP Shortpath sikertelen lesz, és a kapcsolat visszaesik a TCP-alapú fordított kapcsolat átvitelére.

Következő lépések

Megtudhatja, hogyan konfigurálhatja az RDP Shortpathot.
További információ az Azure Virtual Desktop hálózati kapcsolatáról az Azure Virtual Desktop hálózati kapcsolatának ismertetésekor.
Az Azure kimenő hálózati díjának ismertetése.
Az RDP által használt sávszélesség becslésének megismeréséhez tekintse meg az RDP sávszélességére vonatkozó követelményeket.

Megosztás a következőn keresztül:

RDP Shortpath for Azure Virtual Desktop

Fő előnyök

Az RDP Shortpath működése

Kapcsolatütemezés

TURN relay rendelkezésre állása

Hálózati címfordítás és tűzfalak

Kapcsolatütemezés

Hálózati konfiguráció

Munkamenet-gazdagép virtuális hálózata

Ügyfélhálózat

Teredo-támogatás

UPnP-támogatás

Általános javaslatok

Kapcsolatbiztonság

Példaforgatókönyvek

1. eset

2. eset

3. eset

4\. példa

5. forgatókönyv

6. forgatókönyv

7. forgatókönyv

Következő lépések

Visszajelzés

További források