Linee guida del server proxy per Desktop virtuale Azure
Questo articolo illustra come usare un server proxy con Desktop virtuale Di Azure. Le raccomandazioni contenute in questo articolo si applicano solo alle connessioni tra gli agenti host host di Desktop virtuale di Azure, client e sessione. Questo articolo non illustra la connettività di rete per Office, Windows 10, FSLogix o altre applicazioni Microsoft.
Quali sono i server proxy?
È consigliabile ignorare i proxy per il traffico di Desktop virtuale Azure. I proxy non rendono più sicuro Desktop virtuale Azure perché il traffico è già crittografato. Per altre informazioni sulla sicurezza della connessione, vedere Sicurezza della connessione.
La maggior parte dei server proxy non è progettata per supportare connessioni WebSocket a esecuzione prolungata e può influire sulla stabilità della connessione. La scalabilità del server proxy causa anche problemi perché Desktop virtuale Di Azure usa più connessioni a lungo termine. Se si usano server proxy, devono essere le dimensioni corrette per eseguire queste connessioni.
Se l'area geografica del server proxy è lontana dall'host, questa distanza causerà una maggiore latenza nelle connessioni utente. Maggiore latenza significa tempi di connessione più lente e un'esperienza utente peggiore, soprattutto negli scenari che richiedono interazioni grafica, audio o bassa latenza con dispositivi di input. Se è necessario usare un server proxy, tenere presente che è necessario posizionare il server nella stessa area geografica dell'agente desktop virtuale di Azure e del client.
Se si configura il server proxy come unico percorso per il traffico desktop virtuale di Azure da eseguire, i dati RDP (Remote Desktop Protocol) verranno forzati tramite Il protocollo TCP (Transmission Control Protocol) anziché User Datagram Protocol (UDP). Questo movimento riduce la qualità visiva e la velocità di risposta della connessione remota.
In riepilogo, non è consigliabile usare i server proxy in Desktop virtuale Azure perché causano problemi correlati alle prestazioni dalla riduzione della latenza e dalla perdita di pacchetti.
Ignorare un server proxy
Se i criteri di rete e sicurezza dell'organizzazione richiedono server proxy per il traffico Web, è possibile configurare l'ambiente in modo da ignorare le connessioni desktop virtuale di Azure durante il routing del traffico tramite il server proxy. Tuttavia, i criteri di ogni organizzazione sono univoci, pertanto alcuni metodi possono funzionare meglio per la distribuzione rispetto ad altri. Ecco alcuni metodi di configurazione che è possibile provare a prevenire la perdita di prestazioni e affidabilità nell'ambiente:
- Tag di servizio di Azure con Firewall di Azure
- Ignorare il server proxy usando i file di configurazione automatica proxy (
.PAC
) - Ignorare l'elenco nella configurazione del proxy locale
- Uso dei server proxy per la configurazione per utente
- Uso di RDP Shortpath per la connessione RDP mantenendo il traffico del servizio sul proxy
Raccomandazioni per l'uso di server proxy
Alcune organizzazioni richiedono che tutto il traffico utente passa attraverso un server proxy per il rilevamento o l'ispezione dei pacchetti. Questa sezione descrive come configurare l'ambiente in questi casi.
Usare i server proxy nella stessa area geografica di Azure
Quando si usa un server proxy, gestisce tutte le comunicazioni con l'infrastruttura desktop virtuale di Azure ed esegue la risoluzione DNS e il routing Anycast al frontdoor di Azure più vicino. Se i server proxy sono distanti o distribuiti in un'area geografica di Azure, la risoluzione geografica sarà meno accurata. Risoluzione geografica meno accurata significa che le connessioni verranno indirizzate a un cluster Desktop virtuale Azure più distante. Per evitare questo problema, usare solo i server proxy geograficamente vicini al cluster desktop virtuale di Azure.
Usare RDP Shortpath per le reti gestite per la connettività desktop
Quando si abilita RDP Shortpath per le reti gestite, i dati RDP ignorano il server proxy, se possibile. Il bypass del server proxy garantisce il routing ottimale durante l'uso del trasporto UDP. Altri traffico di Desktop virtuale Di Azure, ad esempio brokering, orchestrazione e diagnostica verranno comunque passati attraverso il server proxy.
Non usare la terminazione SSL nel server proxy
La terminazione Secure Sockets Layer (SSL) sostituisce i certificati di sicurezza dei componenti di Desktop virtuale Azure con certificati generati dal server proxy. Questa funzionalità del server proxy consente l'ispezione dei pacchetti per il traffico HTTPS nel server proxy. Tuttavia, l'ispezione dei pacchetti aumenta anche il tempo di risposta del servizio, rendendo più lungo il tempo necessario per l'accesso degli utenti. Per scenari di connessione inversa, l'ispezione dei pacchetti di traffico RDP non è necessaria perché il traffico RDP con connessione inversa è binario e usa livelli aggiuntivi di crittografia.
Se si configura il server proxy per l'uso dell'ispezione SSL, tenere presente che non è possibile ripristinare lo stato originale del server dopo che l'ispezione SSL apporta modifiche. Se un elemento nell'ambiente Desktop virtuale Azure smette di funzionare durante l'abilitazione dell'ispezione SSL, è necessario disabilitare l'ispezione SSL e riprovare prima di aprire un caso di supporto. L'ispezione SSL può anche causare l'arresto del funzionamento dell'agente desktop virtuale di Azure perché interferisce con connessioni attendibili tra l'agente e il servizio.
Non usare i server proxy che richiedono l'autenticazione
I componenti di Desktop virtuale di Azure nell'host sessione vengono eseguiti nel contesto del sistema operativo, in modo che non supportino i server proxy che richiedono l'autenticazione. Se il server proxy richiede l'autenticazione, la connessione avrà esito negativo.
Pianificare la capacità di rete del server proxy
I server proxy hanno limiti di capacità. A differenza del traffico HTTP normale, il traffico RDP ha un'esecuzione prolungata, le connessioni chat che sono bidirezionali e usano un sacco di larghezza di banda. Prima di configurare un server proxy, parlare con il fornitore del server proxy sulla velocità effettiva del server. Assicurarsi inoltre di chiedere loro quanti sessioni proxy è possibile eseguire contemporaneamente. Dopo aver distribuito il server proxy, monitorare attentamente l'uso della risorsa per i colli di bottiglia nel traffico di Desktop virtuale Azure.
Server proxy e ottimizzazione dei supporti di Microsoft Teams
Desktop virtuale Di Azure non supporta i server proxy con ottimizzazione dei supporti per Microsoft Teams.
Raccomandazioni sulla configurazione dell'host sessione
Per configurare un server proxy a livello di host sessione, è necessario abilitare un proxy a livello di sistema. Tenere presente che la configurazione a livello di sistema influisce su tutti i componenti del sistema operativo e le applicazioni in esecuzione nell'host sessione. Le sezioni seguenti sono raccomandazioni per la configurazione di proxy a livello di sistema.
Usare il protocollo WPAD (Web Proxy Auto-Discovery)
L'agente desktop virtuale di Azure tenta automaticamente di individuare un server proxy nella rete usando il protocollo WPAD (Web Proxy Auto-Discovery). Durante un tentativo di percorso, l'agente cerca il server dei nomi di dominio (DNS) per un file denominato wpad.domainsuffix. Se l'agente trova il file nel DNS, effettua una richiesta HTTP per un file denominato wpad.dat. La risposta diventa lo script di configurazione proxy che sceglie il server proxy in uscita.
Per configurare la rete per usare la risoluzione DNS per WPAD, seguire le istruzioni riportate in Rilevamento automatico delle impostazioni di Internet Explorer 11. Assicurarsi che l'elenco di blocchi di query globali del server DNS consenta la risoluzione WPAD seguendo le indicazioni riportate in Set-DnsServerGlobalQueryBlockList.
Impostare manualmente un proxy a livello di dispositivo per i servizi Windows
Se si specifica un server proxy manualmente, è necessario impostare almeno un proxy per i servizi RDAgent e Servizi Desktop remoto nei host di sessione. RDAgent viene eseguito con l'account Sistema locale e Servizi Desktop remoto viene eseguito con il servizio di rete dell'account. È possibile impostare un proxy per questi account usando lo strumento da bitsadmin
riga di comando.
Nell'esempio seguente vengono configurati gli account del sistema locale e del servizio di rete per l'uso di un file proxy .pac
. È necessario eseguire questi comandi da un prompt dei comandi con privilegi elevati, modificando il valore segnaposto per <server>
con il proprio indirizzo:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Per un riferimento completo e altri esempi, vedere bitsadmin util e setieproxy.
È anche possibile impostare un proxy a livello di dispositivo o configurazione automatica proxy (. File PAC) che si applica a tutti gli utenti del servizio di rete, sistema locale e interattivo. Se gli host di sessione vengono registrati con Intune, è possibile impostare un proxy con il CSP proxy di rete, tuttavia, i sistemi operativi client multi-sessione Windows non supportano il CSP criteri perché supportano solo il catalogo delle impostazioni. In alternativa, è possibile configurare un proxy a livello di dispositivo usando il netsh winhttp
comando . Per un riferimento completo ed esempi, vedere Comandi Netsh per Windows Hypertext Transfer Protocol (WINHTTP)
Supporto proxy lato client
Il client Desktop virtuale Di Azure supporta i server proxy configurati con le impostazioni di sistema o un provider di servizi di rete proxy.
Supporto client desktop virtuale di Azure
La tabella seguente illustra quali client desktop virtuale Azure supportano i server proxy:
Nome del client | Supporto dei server proxy |
---|---|
Windows Desktop | Sì |
Client Web | Sì |
Android | No |
iOS | Sì |
macOS | Sì |
Windows Store | Sì |
Per altre informazioni sul supporto proxy nei thin client basati su Linux, vedere Supporto client thin.
Limitazioni del supporto
Esistono molti servizi e applicazioni di terze parti che fungono da server proxy. Questi servizi di terze parti includono firewall di nuova generazione distribuiti, sistemi di sicurezza Web e server proxy di base. Non è possibile garantire che ogni configurazione sia compatibile con Desktop virtuale Azure. Microsoft offre solo supporto limitato per le connessioni stabilite su un server proxy. Se si verificano problemi di connettività durante l'uso di un server proxy, il supporto tecnico Microsoft consiglia di configurare un bypass del proxy e quindi provare a riprodurre il problema.
Passaggi successivi
Per altre informazioni su come proteggere la distribuzione di Desktop virtuale Azure, vedere la guida alla sicurezza.