Azure 虛擬桌面的 Proxy 伺服器指導方針
本文說明如何搭配 Azure 虛擬桌面使用 Proxy 伺服器。 本文中的建議僅適用於 Azure 虛擬桌面基礎結構、用戶端和工作階段主機代理程式之間的連線。 本文未涵蓋 Office、Windows 10、FSLogix 或其他 Microsoft 應用程式的網路連線能力。
什麼是 Proxy 伺服器?
建議您略過 Azure 虛擬桌面流量的 Proxy。 Proxy 不會讓 Azure 虛擬桌面更安全,因為流量已經過加密。 若要深入了解連線安全性,請參閱連線安全性。
大部分 Proxy 伺服器並非專為支援長時間執行的 WebSocket 連線而設計,而且可能會影響連線穩定性。 Proxy 伺服器可擴縮性也會導致問題,因為 Azure 虛擬桌面會使用多個長期連線。 如果您使用 Proxy 伺服器,則必須是執行這些連線的正確大小。
如果 Proxy 伺服器的地理位置遠離主機,則此距離會導致使用者連線發生更多延遲。 更多延遲表示較慢的連線時間和更糟的使用者體驗,特別是在需要圖形、音訊或與輸入裝置低延遲互動的案例中。 如果您必須使用 Proxy 伺服器,請記住,您必須將伺服器放在與 Azure 虛擬桌面代理程式和用戶端相同的地理位置。
如果您將 Proxy 伺服器設定為 Azure 虛擬桌面流量的唯一路徑,遠端桌面通訊協定 (RDP) 資料將會強制透過傳輸控制通訊協定 (TCP) 而非使用者資料包通訊協定 (UDP)。 這會降低遠端連線的視覺品質與回應能力。
總而言之,我們不建議您在 Azure 虛擬桌面上使用 Proxy 伺服器,因為會造成延遲低下和封包遺失所導致的效能相關問題。
略過 Proxy 伺服器
如果您的組織網路和安全性原則針對 Web 流量需要 Proxy 伺服器,您可以將環境設定為略過 Azure 虛擬桌面連線,同時仍透過 Proxy 伺服器路由傳送流量。 不過,每個組織的原則都是唯一的,因此某些方法可能比其他方法更適合您的部署。 以下是一些您可以嘗試防止環境中效能和可靠性遺失的設定方法:
- 具有 Azure 防火牆的 Azure 服務標籤
- 使用 Proxy 自動設定 (
.PAC
) 檔案來略過 Proxy 伺服器 - 本機 Proxy 設定中的略過清單
- 針對每個使用者設定使用 Proxy 伺服器
- 針對 RDP 連線使用 RDP 短徑,同時透過 Proxy 保留服務流量
使用 Proxy 伺服器的建議
有些組織會要求所有使用者流量都要通過 Proxy 伺服器,以便進行追蹤或封包檢查。 本節描述我們在這些情況下如何建議設定您的環境。
在相同的 Azure 地理位置中使用 Proxy 伺服器
當您使用 Proxy 伺服器時,其會處理與 Azure 虛擬桌面基礎結構的所有通訊,並執行 DNS 解析和任一傳播路由至最接近的 Azure Front Door。 如果您的 Proxy 伺服器遠離或分散於 Azure 地理位置,則您的地理解析會比較不精確。 較不精確的地理解析表示連線會路由至較遠的 Azure 虛擬桌面叢集。 若要避免此問題,請只使用與 Azure 虛擬桌面叢集地理位置接近的 Proxy 伺服器。
針對桌面連線的受控網路使用 RDP 短徑
當您為受控網路啟用 RDP 短徑時,RDP 資料會在可能時略過 Proxy 伺服器。 略過 Proxy 伺服器可確保在使用 UDP 傳輸時獲得最佳路由。 其他 Azure 虛擬桌面流量,例如代理、協調流程和診斷,仍會通過 Proxy 伺服器。
請勿在 Proxy 伺服器上使用 SSL 終止
安全通訊端層 (SSL) 終止會將 Azure 虛擬桌面元件的安全性憑證取代為 Proxy 伺服器所產生的憑證。 此 Proxy 伺服器功能可針對 Proxy 伺服器上的 HTTPS 流量啟用封包檢查。 不過,封包檢查也會增加服務回應時間,讓使用者登入需要更久的時間。 針對反向連線案例,不需要 RDP 流量封包檢查,因為反向連線 RDP 流量是二進位,而且會使用額外的加密層級。
如果您將 Proxy 伺服器設定為使用 SSL 檢查,請記住,在 SSL 檢查進行變更之後,您無法將伺服器還原為其原始狀態。 如果您的 Azure 虛擬桌面環境中的某些項目在您啟用 SSL 檢查時停止運作,您必須停用 SSL 檢查,然後再試一次,才能建立支援案例。 SSL 檢查也可能會導致 Azure 虛擬桌面代理程式停止運作,因為會干擾代理程式與服務之間的受信任連線。
請勿使用需要驗證的 Proxy 伺服器
工作階段主機上的 Azure 虛擬桌面元件會在作業系統的內容中執行,因此不支援需要驗證的 Proxy 伺服器。 如果 Proxy 伺服器需要驗證,連線將會失敗。
規劃 Proxy 伺服器網路容量
Proxy 伺服器具有容量限制。 與一般 HTTP 流量不同,RDP 流量具有長時間執行、雙向且耗用大量頻寬的多對話連線。 設定 Proxy 伺服器之前,請洽詢 Proxy 伺服器廠商,以了解您的伺服器擁有多少輸送量。 此外,請務必詢問您一次可以執行的 Proxy 工作階段數目。 部署 Proxy 伺服器之後,請仔細監視其資源使用量,以找出 Azure 虛擬桌面流量中的瓶頸。
Proxy 伺服器和 Microsoft Teams 媒體最佳化
Azure 虛擬桌面不支援具有 Microsoft Teams 媒體最佳化的 Proxy 伺服器。
工作階段主機設定建議
若要設定工作階段主機層級 Proxy 伺服器,您必須啟用全系統 Proxy。 請記住,全系統設定會影響在工作階段主機上執行的所有作業系統元件和應用程式。 下列章節是設定全系統 Proxy 的建議。
使用 Web Proxy 自動探索 (WPAD) 通訊協定
Azure 虛擬桌面代理程式會自動嘗試使用 Web Proxy 自動探索 (WPAD) 通訊協定,在網路上尋找 Proxy 伺服器。 在位置嘗試期間,代理程式會在網域名稱伺服器 (DNS) 搜尋名為 wpad.domainsuffix 的檔案。 如果代理程式在 DNS 中找到檔案,則會針對名為 wpad.dat 的檔案提出 HTTP 要求。 回應會變成選擇輸出 Proxy 伺服器的 Proxy 組態指令碼。
若要將您的網路設定為針對 WPAD 使用 DNS 解析,請遵循自動偵測設定 Internet Explorer 11 中的指示。 請藉由遵循 Set-DnsServerGlobalQueryBlockList 中的指示,確定 DNS 伺服器全域查詢封鎖清單允許 WPAD 解析。
手動設定適用於 Windows 服務的全裝置 Proxy
如果您手動指定 Proxy 伺服器,您至少必須在工作階段主機上設定 Windows 服務的 Proxy RDAgent,和遠端桌面服務。 RDAgent 會使用本機系統帳戶執行,而遠端桌面服務會以帳戶網路服務執行。 您可以使用 bitsadmin
命令行工具,為這些帳戶設定 proxy。
下列範例會將本機系統和網路服務帳戶設定為使用 proxy .pac
檔案。 您必須從提升權限的命令提示字元執行這些命令,以您自己的位址變更 <server>
的預留位置值:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
如需完整參考和其他範例,請參閱 bitsadmin util 和 setieproxy。
您也可以設定全裝置 Proxy 或適用於所有互動式、本機系統和網路服務使用者的 Proxy 自動設定 (.PAC) 檔案。 如果您的工作階段主機已向 Intune 註冊,您可以使用網路 Proxy CSP 來設定 Proxy,不過,Windows 多工作階段用戶端作業系統不支持原則 CSP,因為它們只支援設定目錄。 或者,您可以使用 netsh winhttp
命令來設定全裝置 Proxy。 如需完整參考和範例,請參閱 適用於 Windows 超文字傳輸通訊協定 (WINHTTP) 的 Netsh 命令
用戶端 Proxy 支援
Azure 虛擬桌面用戶端支援使用系統設定或網路 Proxy CSP 設定的 Proxy 伺服器。
Azure 虛擬桌面用戶端支援
下表顯示哪些 Azure 虛擬桌面用戶端支援 Proxy 伺服器:
用戶端名稱 | Proxy 伺服器支援 |
---|---|
Windows 桌面 | Yes |
網頁用戶端 | Yes |
Android | No |
iOS | Yes |
macOS | Yes |
Microsoft Store | Yes |
如需以 Linux 為基礎的精簡用戶端 Proxy 支援的詳細資訊,請參閱精簡用戶端支援。
支援限制
有許多第三方服務和應用程式可作為 Proxy 伺服器。 這些第三方服務包括分散式下一代防火牆、Web 安全性系統和基本 Proxy 伺服器。 我們無法保證每個設定都與 Azure 虛擬桌面相容。 Microsoft 針對透過 Proxy 伺服器建立的連線僅提供有限的支援。 如果您在使用 Proxy 伺服器時遇到連線問題,Microsoft 支援建議您設定 Proxy 略過,然後嘗試重現問題。
下一步
如需保護 Azure 虛擬桌面部署安全的詳細資訊,請參閱我們的安全性指南。