你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面的 RDP 短路径

RDP 短路径可在本地设备 Windows 应用或受支持的平台上的远程桌面应用和 Azure 虚拟桌面中的会话主机之间建立基于 UDP 的传输。 默认情况下,远程桌面协议 (RDP) 会开始基于 TCP 的反向连接传输,然后尝试使用 UDP 建立远程会话。 如果 UDP 连接成功,则 TCP 连接会断开,否则 TCP 连接将用作回退连接机制。

基于 UDP 的传输提供更高的连接可靠性和更稳定的延迟。 基于 TCP 的反向连接传输提供与各种网络配置的最佳兼容性,以及很高的 RDP 连接成功率。

可通过两种方式使用 RDP 短路径:

  1. 托管网络,使用 Azure ExpressRoute 或站点到站点虚拟专用网络 (VPN) 等专用连接时,在客户端与会话主机之间建立直接连接。 通过以下方式之一建立了使用托管网络的连接:

    1. 客户端设备和会话主机之间的直接 UDP 连接,你需要启用 RDP 短路径侦听器并允许每个会话主机上的入站端口接受连接。

    2. 客户端设备和会话主机之间的直接 UDP 连接,使用客户端和会话主机之间的简单穿越 NAT (STUN) 协议。 不允许会话主机上的入站端口。

  2. 公用网络:使用公共连接时,在客户端与会话主机之间建立直接连接。 使用公共连接时有两种连接类型,下面按优先顺序列出了这些类型:

    1. 在客户端与会话主机之间使用“NAT 下的简单遍历”(STUN) 协议建立的直接 UDP 连接。

    2. 在客户端与会话主机之间通过“使用中继 NAT 的遍历”(TURN) 协议建立的中继 UDP 连接

用于 RDP 短路径的传输基于通用速率控制协议 (URCP)。 URCP 通过主动监视网络状况来增强 UDP,并提供合理且完整的链接利用率。 URCP 以低延迟和低损耗级别运行。

重要

  • 通过 STUN 为 Azure 虚拟桌面提供的公共网络 RDP 短路径在 Azure 公有云和 Azure 政府云中可用。
  • 通过 TURN 为 Azure 虚拟桌面提供的公共网络 RDP 短路径仅在 Azure 公有云中可用。

关键优势

使用 RDP 短路径可获得以下重要优势:

  • 使用 URCP 增强 UDP 可以通过动态获知网络参数并提供具有速率控制机制的协议来实现最佳性能。

  • 更高的吞吐量。

  • 使用 STUN 时,消除额外的中继点可减少往返时间,改善连接可靠性以及对延迟敏感的应用程序和输入法的用户体验。

  • 此外,对于托管网络:

    • RDP 短路径支持通过区分服务代码点 (DSCP) 标记为 RDP 连接配置服务质量 (QoS) 优先级。

    • RDP 短路径传输允许通过为每个会话指定限制速率来限制出站网络流量。

RDP 短路径的工作原理

若要了解 RDP 短路径如何用于托管网络和公用网络,请选择以下每个选项卡。

可使用以下方法实现所需的直接无障碍连接,以将 RDP 短路径用于托管网络。

直接无障碍连接是指客户端可以直接连接到会话主机,而不会被防火墙阻止。

注意

如果你使用其他 VPN 类型连接到 Azure,我们建议使用基于 UDP 的 VPN。 虽然大多数基于 TCP 的 VPN 解决方案支持嵌套 UDP,但它们增加了 TCP 拥塞控制的继承开销,这会降低 RDP 性能。

若要将 RDP 短路径用于托管网络,必须在会话主机上启用 UDP 侦听器。 默认会使用端口 3390,不过你也可以使用其他端口。

下图大致概述了在将 RDP 短路径用于已加入 Active Directory 域的托管网络和会话主机时的网络连接。

对托管网络使用 RDP 短路径时的网络连接图示。

连接顺序

所有连接首先是通过 Azure 虚拟桌面网关建立基于 TCP 的反向连接传输。 然后,客户端和会话主机建立初始 RDP 传输,并开始交换其功能。 使用以下过程协商这些功能:

  1. 会话主机将其 IPv4 和 IPv6 地址的列表发送到客户端。

  2. 客户端启动后台线程,以便与会话主机的某个 IP 地址直接建立基于 UDP 的并行传输。

  3. 当客户端探测提供的 IP 地址时,它继续通过反向连接传输建立初始连接,以确保用户连接没有延迟。

  4. 如果客户端直接连接到会话主机,则客户端使用基于可靠 UDP 的 TLS 建立安全连接。

  5. 建立 RDP 短路径传输后,包括远程图形、输入和设备重定向在内的所有动态虚拟通道 (DVC) 将移到新传输。 但是,如果防火墙或网络拓扑阻止客户端建立直接 UDP 连接,RDP 通过反向连接传输继续。

如果用户可同时为托管网络和公用网络使用 RDP 短路径,则会使用最先找到的算法。 用户将为该会话使用首先建立的连接。

连接安全性

RDP 短路径扩展了 RDP 多传输功能。 它不会取代反向连接传输,而是对其进行补充。 初始会话中转是通过 Azure 虚拟桌面服务和反向连接传输管理的。 将忽略所有连接尝试,除非它们首先匹配反向连接会话。 RDP 短路径是在身份验证后建立的,如果成功建立,则会丢弃反向连接传输,所有流量将通过 RDP 短路径传送。

RDP 短路径使用会话主机证书通过基于可靠 UDP 的 TLS 在客户端与会话主机之间建立安全的连接。 默认情况下,用于 RDP 加密的证书由操作系统在部署过程中自行生成。 还可以部署由企业证书颁发机构颁发的集中管理的证书。 有关证书配置的详细信息,请参阅远程桌面侦听器证书配置

注意

RDP 短路径提供的安全性与 TCP 反向连接传输提供的安全性相同。

示例方案

下面是一些示例方案,演示如何评估连接以确定是否跨不同的网络拓扑使用了 RDP 短路径。

方案 1

只能通过公用网络 (Internet) 在客户端设备与会话主机之间建立 UDP 连接。 直接连接(例如 VPN)不可用。 允许通过防火墙或 NAT 设备使用 UDP。

显示使用 STUN 的公用网络的 RDP 短路径的示意图。

方案 2

防火墙或 NAT 设备正在阻止直接 UDP 连接,但可以通过公用网络 (Internet) 在客户端设备和会话主机之间使用 TURN 对中继 UDP 连接进行中继。 另一种直接连接(例如 VPN)不可用。

显示使用 TURN 的公用网络的 RDP 短路径的示意图。

方案 3

可以通过公用网络或直接 VPN 连接在客户端设备与会话主机之间建立 UDP 连接,但不会启用托管网络的 RDP 短路径。 当客户端启动连接时,ICE/STUN 协议可以看到多个路由,将评估每个路由并选择延迟最低的路由。

在此示例中,将通过直接 VPN 连接使用公用网络的 RDP 短路径建立 UDP 连接,因为直接 VPN 连接的延迟最低,如绿线所示。

该图显示通过直接 VPN 连接使用公用网络的 RDP 短路径建立 UDP 连接,因为直接 VPN 连接的延迟最低。

方案 4

将启用公用网络和托管网络的 RDP 短路径。 可以通过公用网络或直接 VPN 连接在客户端设备与会话主机之间建立 UDP 连接。 当客户端启动连接时,会同时尝试通过端口 3390 使用托管网络的 RDP 短路径(默认方式)和通过 ICE/STUN 协议使用公用网络的 RDP 短路径建立连接。 将使用最先找到的算法,用户将使用首先为该会话建立的连接。

由于通过公用网络建立连接需要执行附加步骤(例如 NAT 设备、负载均衡器或 STUN 服务器方面的步骤),因此最先找到的算法可能会选择使用托管网络的 RDP 短路径首先建立的连接。

该图显示最先找到的算法选择使用托管网络的 RDP 短路径首先建立的连接。

方案 5

可以通过公用网络或直接 VPN 连接在客户端设备与会话主机之间建立 UDP 连接,但不会启用托管网络的 RDP 短路径。 若要防止 ICE/STUN 使用特定的路由,管理员可以阻止 UDP 流量的某个路由。 阻止路由可确保始终使用剩余的路径。

在此示例中,UDP 在直接 VPN 连接上被阻止,ICE/STUN 协议通过公用网络建立连接。

该图显示 UDP 在直接 VPN 连接上被阻止,ICE/STUN 协议通过公用网络建立连接。

方案 6

配置了公用网络和托管网络的 RDP 短路径,但无法使用直接 VPN 连接建立 UDP 连接。 防火墙或 NAT 设备还会阻止使用公用网络 (Internet) 的直接 UDP 连接,但可以通过公用网络 (Internet) 在客户端设备和会话主机之间使用 TURN 对中继 UDP 连接进行中继。

显示 UDP 在直接 VPN 连接上被阻止,且使用公用网络的直接连接也失败的示意图。TURN 通过公用网络中继连接。

方案 7

将配置公用网络和托管网络的 RDP 短路径,但无法建立 UDP 连接。 在此情况下,RDP 短路径将会失败,并且连接将回退到基于 TCP 的反向连接传输。

该图显示无法建立 UDP 连接。在此情况下,RDP 短路径将会失败,并且连接将回退到基于 TCP 的反向连接传输。

后续步骤