Delen via


RDP Shortpath voor Azure Virtual Desktop

RDP Shortpath brengt een UDP-transport tot stand tussen een windows-app voor een lokaal apparaat of de app Extern bureaublad op ondersteunde platforms en sessiehost in Azure Virtual Desktop. Het Remote Desktop Protocol (RDP) begint standaard met een tcp-gebaseerd reverse connect-transport en probeert vervolgens een externe sessie tot stand te brengen met behulp van UDP. Als de UDP-verbinding slaagt, wordt de TCP-verbinding verwijderd, anders wordt de TCP-verbinding gebruikt als een terugvalverbindingsmechanisme.

UDP-transport biedt een betere betrouwbaarheid van verbindingen en consistentere latentie. Reverse Connect-transport op basis van TCP biedt de beste compatibiliteit met verschillende netwerkconfiguraties en heeft een hoog succespercentage voor het tot stand brengen van RDP-verbindingen.

RDP Shortpath kan op twee manieren worden gebruikt:

  1. Beheerde netwerken, waarbij directe connectiviteit tot stand wordt gebracht tussen de client en de sessiehost wanneer u een privéverbinding gebruikt, zoals Azure ExpressRoute of een site-naar-site virtueel particulier netwerk (VPN). Een verbinding met een beheerd netwerk wordt op een van de volgende manieren tot stand gebracht:

    1. Een directe UDP-verbinding tussen het clientapparaat en de sessiehost, waar u de RDP Shortpath-listener moet inschakelen en een binnenkomende poort op elke sessiehost moet toestaan om verbindingen te accepteren.

    2. Een directe UDP-verbinding tussen het clientapparaat en de sessiehost, met behulp van het Simple Traversal Under under NAT-protocol (STUN) tussen een client en sessiehost. Binnenkomende poorten op de sessiehost hoeven niet toe te staan.

  2. Openbare netwerken, waarbij directe connectiviteit tot stand is gebracht tussen de client en de sessiehost wanneer u een openbare verbinding gebruikt. Er zijn twee verbindingstypen wanneer u een openbare verbinding gebruikt, die hier worden vermeld in volgorde van voorkeur:

    1. Een directe UDP-verbinding met behulp van het Simple Traversal Under under NAT-protocol (STUN) tussen een client en sessiehost.

    2. Een relay-UDP-verbinding met behulp van het Traversal Using Relay NAT-protocol (TURN) tussen een client en sessiehost.

Het transport dat wordt gebruikt voor RDP Shortpath is gebaseerd op het UNIVERSAL Rate Control Protocol (URCP). URCP verbetert UDP met actieve bewaking van de netwerkomstandigheden en biedt eerlijk en volledig koppelingsgebruik. URCP werkt indien nodig op lage vertragings- en verliesniveaus.

Belangrijk

  • RDP Shortpath voor openbare netwerken via STUN voor Azure Virtual Desktop is beschikbaar in de openbare Azure-cloud en de Azure Government-cloud.
  • RDP Shortpath voor openbare netwerken via TURN voor Azure Virtual Desktop is alleen beschikbaar in de openbare Azure-cloud.

Belangrijkste voordelen

Het gebruik van RDP Shortpath heeft de volgende belangrijke voordelen:

  • Het gebruik van URCP om UDP te verbeteren, levert de beste prestaties door dynamisch netwerkparameters te leren en het protocol een mechanisme voor snelheidscontrole te bieden.

  • Hogere doorvoer.

  • Wanneer u STUN gebruikt, vermindert het verwijderen van extra relaypunten de retourtijd de betrouwbaarheid van de verbinding en de gebruikerservaring met latentiegevoelige toepassingen en invoermethoden.

  • Daarnaast geldt het volgende voor beheerde netwerken:

    • RDP Shortpath biedt ondersteuning voor het configureren van QoS-prioriteit (Quality of Service) voor RDP-verbindingen via DSCP-markeringen (Differentiated Services Code Point).

    • Met het RDP Shortpath-transport kan uitgaand netwerkverkeer worden beperkt door voor elke sessie een vertragingssnelheid op te geven.

Hoe RDP Shortpath werkt

Als u wilt weten hoe RDP Shortpath werkt voor beheerde netwerken en openbare netwerken, selecteert u elk van de volgende tabbladen.

U kunt de directe verbindingslijn bereiken die is vereist voor het gebruik van RDP Shortpath met beheerde netwerken met behulp van de volgende methoden.

Het hebben van directe verbindingslijn betekent dat de client rechtstreeks verbinding kan maken met de sessiehost zonder dat deze wordt geblokkeerd door firewalls.

Notitie

Als u andere VPN-typen gebruikt om verbinding te maken met Azure, raden we u aan een UDP-VPN te gebruiken. Hoewel de meeste OP TCP gebaseerde VPN-oplossingen geneste UDP ondersteunen, voegen ze overgenomen overhead van TCP-congestiebeheer toe, waardoor de RDP-prestaties worden vertraagd.

Als u RDP Shortpath wilt gebruiken voor beheerde netwerken, moet u een UDP-listener inschakelen op uw sessiehosts. Standaard wordt poort 3390 gebruikt, hoewel u een andere poort kunt gebruiken.

In het volgende diagram ziet u een algemeen overzicht van de netwerkverbindingen bij het gebruik van RDP Shortpath voor beheerde netwerken en sessiehosts die zijn toegevoegd aan een Active Directory-domein.

Diagram van netwerkverbindingen bij het gebruik van RDP Shortpath voor beheerde netwerken.

Verbindingsreeks

Alle verbindingen beginnen met het tot stand brengen van een reverse connect-transport op basis van TCP via de Azure Virtual Desktop-gateway. Vervolgens brengt de client- en sessiehost het eerste RDP-transport tot stand en begint de uitwisseling van hun mogelijkheden. Deze mogelijkheden worden onderhandeld met behulp van het volgende proces:

  1. De sessiehost verzendt de lijst met de IPv4- en IPv6-adressen naar de client.

  2. De client start de achtergrondthread om rechtstreeks een parallel UDP-transport tot stand te brengen naar een van de IP-adressen van de sessiehost.

  3. Terwijl de client de opgegeven IP-adressen doorneemt, blijft deze de eerste verbinding tot stand brengen via het reverse connect-transport om ervoor te zorgen dat er geen vertraging is in de gebruikersverbinding.

  4. Als de client een directe verbinding met de sessiehost heeft, brengt de client een beveiligde verbinding tot stand met behulp van TLS via betrouwbare UDP.

  5. Na het tot stand brengen van het RDP Shortpath-transport worden alle dynamische virtuele kanalen (DVCs), inclusief externe afbeeldingen, invoer en apparaatomleiding, verplaatst naar het nieuwe transport. Als een firewall of netwerktopologie echter voorkomt dat de client directe UDP-connectiviteit tot stand brengt, gaat RDP verder met een transport voor reverse connect.

Als uw gebruikers zowel RDP Shortpath hebben voor beheerde netwerken als openbare netwerken die voor hen beschikbaar zijn, wordt het eerst gevonden algoritme gebruikt. De gebruiker gebruikt de verbinding die eerst tot stand wordt gebracht voor die sessie.

Verbindingsbeveiliging

RDP Shortpath breidt RDP-mogelijkheden voor meerdere transporten uit. Het vervangt niet het omgekeerde verbindingstransport, maar vormt een aanvulling op het transport. Initiële sessiebrokering wordt beheerd via de Azure Virtual Desktop-service en het reverse connect-transport. Alle verbindingspogingen worden genegeerd, tenzij ze eerst overeenkomen met de sessie voor reverse connect. RDP Shortpath wordt tot stand gebracht na verificatie en als het tot stand is gebracht, wordt het reverse connect-transport verwijderd en loopt al het verkeer over het RDP Shortpath.

RDP Shortpath maakt gebruik van een beveiligde verbinding via TLS via betrouwbare UDP tussen de client en de sessiehost met behulp van de certificaten van de sessiehost. Standaard wordt het certificaat dat wordt gebruikt voor RDP-versleuteling zelf gegenereerd door het besturingssysteem tijdens de implementatie. U kunt ook centraal beheerde certificaten implementeren die zijn uitgegeven door een certificeringsinstantie voor ondernemingen. Zie de configuraties van het extern bureaublad-listenercertificaat voor meer informatie over certificaatconfiguraties.

Notitie

De beveiliging die wordt geboden door RDP Shortpath is hetzelfde als de beveiliging die wordt aangeboden door TCP reverse connect-transport.

Voorbeeldscenario's

Hier volgen enkele voorbeeldscenario's om te laten zien hoe verbindingen worden geëvalueerd om te bepalen of RDP Shortpath wordt gebruikt in verschillende netwerktopologieën.

Scenario 1

Er kan alleen een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet). Een directe verbinding, zoals een VPN, is niet beschikbaar. UDP is toegestaan via firewall of NAT-apparaat.

Diagram met RDP Shortpath voor openbare netwerken maakt gebruik van STUN.

Scenario 2

Een firewall of NAT-apparaat blokkeert een directe UDP-verbinding, maar een doorgeschakelde UDP-verbinding kan worden doorgestuurd via TURN tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet). Een andere directe verbinding, zoals een VPN, is niet beschikbaar.

Diagram met RDP Shortpath voor openbare netwerken maakt gebruik van TURN.

Scenario 3

Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding, maar RDP Shortpath voor beheerde netwerken is niet ingeschakeld. Wanneer de client de verbinding initieert, kan het ICE/STUN-protocol meerdere routes zien en wordt elke route geëvalueerd en wordt de route met de laagste latentie gekozen.

In dit voorbeeld wordt een UDP-verbinding met BEHULP van RDP Shortpath voor openbare netwerken via de directe VPN-verbinding gemaakt omdat deze de laagste latentie heeft, zoals wordt weergegeven door de groene lijn.

Diagram waarin een UDP-verbinding wordt weergegeven met behulp van RDP Shortpath voor openbare netwerken via de directe VPN-verbinding, omdat deze de laagste latentie heeft.

Scenario 4

RdP Shortpath voor openbare netwerken en beheerde netwerken zijn ingeschakeld. Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding. Wanneer de client de verbinding initieert, zijn er gelijktijdige pogingen om verbinding te maken via RDP Shortpath voor beheerde netwerken via poort 3390 (standaard) en RDP Shortpath voor openbare netwerken via het ICE/STUN-protocol. Het eerst gevonden algoritme wordt gebruikt en de gebruiker gebruikt de verbinding die eerst tot stand wordt gebracht voor die sessie.

Omdat een openbaar netwerk meer stappen heeft, bijvoorbeeld een NAT-apparaat, een load balancer of een STUN-server, is het waarschijnlijk dat het eerst gevonden algoritme de verbinding selecteert met BEHULP van RDP Shortpath voor beheerde netwerken en eerst tot stand wordt gebracht.

Diagram waarin het eerst gevonden algoritme wordt weergegeven, selecteert de verbinding met BEHULP van RDP Shortpath voor beheerde netwerken en wordt eerst tot stand gebracht.

Scenario 5

Er kan een UDP-verbinding tot stand worden gebracht tussen het clientapparaat en de sessiehost via een openbaar netwerk of via een directe VPN-verbinding, maar RDP Shortpath voor beheerde netwerken is niet ingeschakeld. Om te voorkomen dat ICE/STUN een bepaalde route gebruikt, kan een beheerder een van de routes voor UDP-verkeer blokkeren. Als u een route blokkeert, zorgt u ervoor dat het resterende pad altijd wordt gebruikt.

In dit voorbeeld wordt UDP geblokkeerd op de directe VPN-verbinding en het ICE/STUN-protocol brengt een verbinding tot stand via het openbare netwerk.

Diagram met UDP wordt geblokkeerd op de directe VPN-verbinding en het ICE/STUN-protocol brengt een verbinding tot stand via het openbare netwerk.

Scenario 6

Zowel RDP Shortpath voor openbare netwerken als beheerde netwerken zijn geconfigureerd, maar er kan geen UDP-verbinding tot stand worden gebracht met behulp van een directe VPN-verbinding. Een firewall of NAT-apparaat blokkeert ook een directe UDP-verbinding via het openbare netwerk (internet), maar een doorgeschakelde UDP-verbinding kan worden doorgestuurd met BEHULP van TURN tussen het clientapparaat en de sessiehost via een openbaar netwerk (internet).

Diagram waarin wordt weergegeven dat UDP is geblokkeerd voor de directe VPN-verbinding en dat een directe verbinding met een openbaar netwerk ook mislukt. TURN geeft de verbinding via het openbare netwerk door.

Scenario 7

Zowel RDP Shortpath voor openbare netwerken als beheerde netwerken zijn geconfigureerd, maar er kan geen UDP-verbinding tot stand worden gebracht. In dit geval mislukt RDP Shortpath en valt de verbinding terug op TCP-gebaseerd reverse connect-transport.

Diagram met een UDP-verbinding kan niet tot stand worden gebracht. In dit geval mislukt RDP Shortpath en valt de verbinding terug op TCP-gebaseerd reverse connect-transport.

Volgende stappen