- Artikel
Belangrijk
Het gebruik van RDP Shortpath voor openbare netwerken met TURN voor Azure Virtual Desktop is momenteel in PREVIEW. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
RDP Shortpath brengt een direct UDP-transport tot stand tussen een windows-app van een lokaal apparaat of de app Extern bureaublad op ondersteunde platforms en sessiehost in Azure Virtual Desktop.
Het Remote Desktop Protocol (RDP) probeert standaard een externe sessie tot stand te brengen met behulp van UDP en maakt gebruik van een tcp-gebaseerd reverse connect-transport als een terugvalverbindingsmechanisme. UDP-transport biedt een betere betrouwbaarheid van verbindingen en consistentere latentie. Reverse Connect-transport op basis van TCP biedt de beste compatibiliteit met verschillende netwerkconfiguraties en heeft een hoog succespercentage voor het tot stand brengen van RDP-verbindingen.
RDP Shortpath kan op twee manieren worden gebruikt:
Beheerde netwerken, waarbij directe connectiviteit tot stand wordt gebracht tussen de client en de sessiehost wanneer u een privéverbinding gebruikt, zoals een virtueel particulier netwerk (VPN). Een verbinding met een beheerd netwerk wordt op een van de volgende manieren tot stand gebracht:
Een directe UDP-verbinding tussen het clientapparaat en de sessiehost, waar u de RDP Shortpath-listener moet inschakelen en een binnenkomende poort op elke sessiehost moet toestaan om verbindingen te accepteren.
Een directe UDP-verbinding tussen het clientapparaat en de sessiehost, met behulp van het Simple Traversal Under under NAT-protocol (STUN) tussen een client en sessiehost. Binnenkomende poorten op de sessiehost hoeven niet toe te staan.
Openbare netwerken, waarbij directe connectiviteit tot stand is gebracht tussen de client en de sessiehost wanneer u een openbare verbinding gebruikt. Er zijn twee verbindingstypen wanneer u een openbare verbinding gebruikt, die hier worden vermeld in volgorde van voorkeur:
Een directe UDP-verbinding met behulp van het Simple Traversal Under under NAT-protocol (STUN) tussen een client en sessiehost.
Een indirecte UDP-verbinding met behulp van het Traversal Using Relay NAT-protocol (TURN) met een relay tussen een client en sessiehost. Dit is in preview.
Het transport dat wordt gebruikt voor RDP Shortpath is gebaseerd op het UNIVERSAL Rate Control Protocol (URCP). URCP verbetert UDP met actieve bewaking van de netwerkomstandigheden en biedt eerlijk en volledig koppelingsgebruik. URCP werkt indien nodig op lage vertragings- en verliesniveaus.
Belangrijk
Tijdens de preview is TURN alleen beschikbaar voor verbindingen met sessiehosts in een validatiehostgroep. Zie Uw hostgroep definiëren als een validatieomgeving als een validatieomgeving om uw hostgroep te configureren.
RDP Shortpath voor openbare netwerken met TURN is alleen beschikbaar in de openbare Azure-cloud.
Belangrijkste voordelen
Het gebruik van RDP Shortpath heeft de volgende belangrijke voordelen:
Het gebruik van URCP om UDP te verbeteren, levert de beste prestaties door dynamisch netwerkparameters te leren en het protocol een mechanisme voor snelheidscontrole te bieden.
Het verwijderen van extra relaypunten vermindert de retourtijd, waardoor de betrouwbaarheid van de verbinding en gebruikerservaring met latentiegevoelige toepassingen en invoermethoden worden verbeterd.
Daarnaast geldt het volgende voor beheerde netwerken:
RDP Shortpath biedt ondersteuning voor het configureren van QoS-prioriteit (Quality of Service) voor RDP-verbindingen via DSCP-markeringen (Differentiated Services Code Point).
Met het RDP Shortpath-transport kan uitgaand netwerkverkeer worden beperkt door voor elke sessie een vertragingssnelheid op te geven.
Hoe RDP Shortpath werkt
Als u wilt weten hoe RDP Shortpath werkt voor beheerde netwerken en openbare netwerken, selecteert u elk van de volgende tabbladen.
- Beheerde netwerken
- Openbare netwerken
U kunt de directe verbindingslijn bereiken die is vereist voor het gebruik van RDP Shortpath met beheerde netwerken met behulp van de volgende methoden.
Persoonlijke ExpressRoute-peering
Site-naar-site- of punt-naar-site-VPN (IPsec), zoals Azure VPN Gateway
Het hebben van directe verbindingslijn betekent dat de client rechtstreeks verbinding kan maken met de sessiehost zonder dat deze wordt geblokkeerd door firewalls.
Notitie
Als u andere VPN-typen gebruikt om verbinding te maken met Azure, raden we u aan een UDP-VPN te gebruiken. Hoewel de meeste OP TCP gebaseerde VPN-oplossingen geneste UDP ondersteunen, voegen ze overgenomen overhead van TCP-congestiebeheer toe, waardoor de RDP-prestaties worden vertraagd.
Als u RDP Shortpath wilt gebruiken voor beheerde netwerken, moet u een UDP-listener inschakelen op uw sessiehosts. Standaard wordt poort 3390 gebruikt, hoewel u een andere poort kunt gebruiken.
In het volgende diagram ziet u een algemeen overzicht van de netwerkverbindingen bij het gebruik van RDP Shortpath voor beheerde netwerken en sessiehosts die zijn toegevoegd aan een Active Directory-domein.
Verbindingsreeks
Alle verbindingen beginnen met het tot stand brengen van een reverse connect-transport op basis van TCP via de Azure Virtual Desktop-gateway. Vervolgens brengt de client- en sessiehost het eerste RDP-transport tot stand en begint de uitwisseling van hun mogelijkheden. Deze mogelijkheden worden onderhandeld met behulp van het volgende proces:
De sessiehost verzendt de lijst met de IPv4- en IPv6-adressen naar de client.
De client start de achtergrondthread om rechtstreeks een parallel UDP-transport tot stand te brengen naar een van de IP-adressen van de sessiehost.
Terwijl de client de opgegeven IP-adressen doorneemt, blijft deze de eerste verbinding tot stand brengen via het reverse connect-transport om ervoor te zorgen dat er geen vertraging is in de gebruikersverbinding.
Als de client een directe verbinding met de sessiehost heeft, brengt de client een beveiligde verbinding tot stand met behulp van TLS via betrouwbare UDP.
Na het tot stand brengen van het RDP Shortpath-transport worden alle dynamische virtuele kanalen (DVCs), inclusief externe afbeeldingen, invoer en apparaatomleiding, verplaatst naar het nieuwe transport. Als een firewall of netwerktopologie echter voorkomt dat de client directe UDP-connectiviteit tot stand brengt, gaat RDP verder met een transport voor reverse connect.
Als uw gebruikers zowel RDP Shortpath hebben voor beheerde netwerken als openbare netwerken die voor hen beschikbaar zijn, wordt het eerst gevonden algoritme gebruikt. De gebruiker gebruikt de verbinding die eerst tot stand wordt gebracht voor die sessie.
Verbindingsbeveiliging
RDP Shortpath breidt RDP-mogelijkheden voor meerdere transporten uit. Het vervangt niet het omgekeerde verbindingstransport, maar vormt een aanvulling op het transport. Initiële sessiebrokering wordt beheerd via de Azure Virtual Desktop-service en het reverse connect-transport. Alle verbindingspogingen worden genegeerd, tenzij ze eerst overeenkomen met de sessie voor reverse connect. RDP Shortpath wordt tot stand gebracht na verificatie en als het tot stand is gebracht, wordt het reverse connect-transport verwijderd en loopt al het verkeer over het RDP Shortpath.
RDP Shortpath maakt gebruik van een beveiligde verbinding via TLS via betrouwbare UDP tussen de client en de sessiehost met behulp van de certificaten van de sessiehost. Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. U kunt ook centraal beheerde certificaten implementeren die zijn uitgegeven door een certificeringsinstantie voor ondernemingen. Zie de configuraties van het extern bureaublad-listenercertificaat voor meer informatie over certificaatconfiguraties.
Notitie
De beveiliging die wordt geboden door RDP Shortpath is hetzelfde als de beveiliging die wordt aangeboden door TCP reverse connect-transport.
Voorbeeldscenario's
Hier volgen enkele voorbeeldscenario's om te laten zien hoe verbindingen worden geëvalueerd om te bepalen of RDP Shortpath wordt gebruikt in verschillende netwerktopologieën.
Scenario 1
Er kan alleen een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet). Een directe verbinding, zoals een VPN, is niet beschikbaar. UDP is toegestaan via firewall of NAT-apparaat.
Scenario 2
Een firewall of NAT-apparaat blokkeert een directe UDP-verbinding, maar een indirecte UDP-verbinding kan worden doorgestuurd via TURN tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet). Een andere directe verbinding, zoals een VPN, is niet beschikbaar.
Scenario 3
Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding, maar RDP Shortpath voor beheerde netwerken is niet ingeschakeld. Wanneer de client de verbinding initieert, kan het ICE/STUN-protocol meerdere routes zien en wordt elke route geëvalueerd en wordt de route met de laagste latentie gekozen.
In dit voorbeeld wordt een UDP-verbinding met BEHULP van RDP Shortpath voor openbare netwerken via de directe VPN-verbinding gemaakt omdat deze de laagste latentie heeft, zoals wordt weergegeven door de groene lijn.
Scenario 4
RdP Shortpath voor openbare netwerken en beheerde netwerken zijn ingeschakeld. Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding. Wanneer de client de verbinding initieert, zijn er gelijktijdige pogingen om verbinding te maken via RDP Shortpath voor beheerde netwerken via poort 3390 (standaard) en RDP Shortpath voor openbare netwerken via het ICE/STUN-protocol. Het eerst gevonden algoritme wordt gebruikt en de gebruiker gebruikt de verbinding die eerst tot stand wordt gebracht voor die sessie.
Omdat een openbaar netwerk meer stappen heeft, bijvoorbeeld een NAT-apparaat, een load balancer of een STUN-server, is het waarschijnlijk dat het eerst gevonden algoritme de verbinding selecteert met BEHULP van RDP Shortpath voor beheerde netwerken en eerst tot stand wordt gebracht.
Scenario 5
Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding, maar RDP Shortpath voor beheerde netwerken is niet ingeschakeld. Om te voorkomen dat ICE/STUN een bepaalde route gebruikt, kan een beheerder een van de routes voor UDP-verkeer blokkeren. Als u een route blokkeert, zorgt u ervoor dat het resterende pad altijd wordt gebruikt.
In dit voorbeeld wordt UDP geblokkeerd op de directe VPN-verbinding en het ICE/STUN-protocol brengt een verbinding tot stand via het openbare netwerk.
Scenario 6
Zowel RDP Shortpath voor openbare netwerken als beheerde netwerken zijn geconfigureerd, maar er kan geen UDP-verbinding tot stand worden gebracht met behulp van een directe VPN-verbinding. Een firewall of NAT-apparaat blokkeert ook een directe UDP-verbinding via het openbare netwerk (internet), maar een indirecte UDP-verbinding kan worden doorgestuurd via TURN tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet).
Scenario 7
Zowel RDP Shortpath voor openbare netwerken als beheerde netwerken zijn geconfigureerd, maar er kan geen UDP-verbinding tot stand worden gebracht. In dit geval mislukt RDP Shortpath en valt de verbinding terug op TCP-gebaseerd reverse connect-transport.
Volgende stappen
- Meer informatie over het configureren van RDP Shortpath.
- Meer informatie over azure Virtual Desktop-netwerkconnectiviteit vindt u in Understanding Azure Virtual Desktop-netwerkconnectiviteit.
- Inzicht in de netwerkkosten voor uitgaand verkeer van Azure.
- Zie de vereisten voor RDP-bandbreedte voor meer informatie over het schatten van de bandbreedte die door RDP wordt gebruikt.
