إرشادات الخادم الوكيل لـ Azure Virtual Desktop
ستوضح لك هذه المقالة كيفية استخدام خادم وكيل مع Azure Virtual Desktop. تنطبق التوصيات الواردة في هذه المقالة فقط على الاتصالات بين البنية الأساسية لسطح المكتب الظاهري Azure والعميل ووكلاء مضيف الجلسة. لا تغطي هذه المقالة اتصال الشبكة لـ Office أو Windows 10 أو FSLogix أو تطبيقات Microsoft الأخرى.
ما هي خوادم الوكيل؟
نوصي بتجاوز الوكلاء لحركة مرور Azure Virtual Desktop. لا تجعل الخوادم الوكيلة Azure Virtual Desktop أكثر أماناً لأن نسبة استخدام الشبكة مشفرة بالفعل. لمعرفة المزيد بشأن أمان الاتصال، راجع أمان الاتصال.
معظم الخوادم الوكيلة غير مصممة لدعم اتصالات WebSocket طويلة الأمد وقد تؤثر على استقرار الاتصال. تتسبب قابلية توسيع الخادم الوكيل أيضاً في حدوث مشكلات لأن Azure Virtual Desktop يستخدم اتصالات متعددة طويلة المدى. إذا كنت تستخدم خوادم وكيل، يجب أن تكون بالحجم المناسب لتشغيل هذه الاتصالات.
إذا كانت جغرافية الخادم الوكيل بعيدة عن المضيف، فستتسبب هذه المسافة في مزيد من التأخير في اتصالات المستخدم. يعني المزيد من زمن الانتقال وقت اتصال أبطأ وتجربة مستخدم أسوأ، خاصة في السيناريوهات التي تتطلب رسومات أو صوتاً أو تفاعلات بزمن انتقال منخفض مع أجهزة الإدخال. إذا كان يجب عليك استخدام خادم عامل، فضع في اعتبارك أنك تحتاج إلى وضع الخادم في نفس المنطقة الجغرافية مثل Azure Virtual Desktop Agent والعميل.
إذا قمت بتكوين الخادم الوكيل الخاص بك باعتباره المسار الوحيد الذي يجب أن تسلكه حركة مرور Azure Virtual Desktop، فسيتم فرض بيانات بروتوكول سطح المكتب البعيد (RDP) عبر بروتوكول التحكم في الإرسال (TCP) بدلاً من بروتوكول مخطط بيانات المستخدم (UDP). تقلل هذه الحركة من الجودة المرئية واستجابة الاتصال البعيد.
باختصار، لا نوصي باستخدام خوادم الوكيل على Azure Virtual Desktop لأنها تسبب مشكلات متعلقة بالأداء من تدهور زمن الانتقال وفقدان الحزمة.
تجاوز الخادم الوكيل
إذا كانت نُهج الشبكة والأمان الخاصة بمؤسستك تتطلب خوادم وكيلة لحركة مرور الويب، يمكنك تكوين بيئتك لتجاوز اتصالات Azure Virtual Desktop مع الاستمرار في توجيه نسبة استخدام الشبكة عبر الخادم الوكيل. ومع ذلك، فإن نُهج كل مؤسسة فريدة، لذا قد تعمل بعض الطرق بشكل أفضل للتوزيع أكثر من غيرها. فيما يلي بعض طرق التكوين التي يمكنك تجربتها لمنع فقدان الأداء والموثوقية في بيئتك:
- علامات خدمة Azure باستخدام Azure Firewall
- تجاوز الخادم الوكيل باستخدام ملفات التكوين التلقائي للوكيل (
.PAC) - قائمة التجاوز في تكوين الوكيل المحلي
- استخدام خوادم وكيل للتكوين لكل مستخدم
- استخدام RDP مسار قصير لاتصال RDP مع الحفاظ على حركة مرور الخدمة عبر الوكيل
توصيات لاستخدام خوادم وكيل
تتطلب بعض المؤسسات أن تمر كل حركة مرور المستخدم عبر خادم وكيل للتتبع أو فحص الحزمة. يصف هذا القسم كيف نوصي بتكوين بيئتك في هذه الحالات.
استخدم خوادم وكيلة في نفس جغرافية Azure
عند استخدام خادم وكيل، فإنه يتعامل مع جميع الاتصالات مع البنية الأساسية لسطح المكتب الظاهري Azure وينفذ حل DNS وتوجيه Anycast إلى أقرب باب أمامي لـ Azure. إذا كانت خوادم الوكيل الخاصة بك بعيدة أو موزعة عبر منطقة جغرافية لـ Azure، فستكون الدقة الجغرافية أقل دقة. تعني الدقة الجغرافية Less دقة أنه سيتم توجيه الاتصالات إلى مجموعة Azure Virtual Desktop بعيدة. لتجنب هذه المشكلة، استخدم فقط الخوادم الوكيلة القريبة جغرافياً من مجموعة Azure Virtual Desktop.
استخدم RDP مسار قصير للشبكات المدارة لاتصال سطح المكتب
عند تمكين RDP مسار قصير للشبكات المدارة، ستتجاوز بيانات RDP الخادم الوكيل، إن أمكن. يضمن تجاوز الخادم الوكيل التوجيه الأمثل أثناء استخدام نقل UDP. ستستمر حركة مرور Azure Virtual Desktop الأخرى، مثل السمسرة والتنسيق والتشخيصات عبر الخادم الوكيل.
لا تستخدم إنهاء SSL على الخادم الوكيل
يستبدل إنهاء طبقة مآخذ توصيل آمنة (SSL) شهادات الأمان لمكونات Azure Virtual Desktop بشهادات تم إنشاؤها بواسطة الخادم الوكيل. تتيح ميزة الخادم الوكيل هذه فحص الحزم لحركة مرور HTTPS على الخادم الوكيل. ومع ذلك، يزيد فحص الحزم أيضاً من وقت استجابة الخدمة، ما يجعل تسجيل دخول المستخدمين يستغرق وقتاً أطول. بالنسبة لسيناريوهات الاتصال العكسي، لا يعد فحص حزمة مرور RDP ضرورياً لأن حركة مرور RDP للاتصال العكسي ثنائية وتستخدم مستويات إضافية من التشفير.
إذا قمت بتكوين الخادم الوكيل الخاص بك لاستخدام فحص SSL، فتذكر أنه لا يمكنك إعادة الخادم إلى حالته الأصلية بعد إجراء فحص SSL للتغييرات. إذا توقف شيء ما في بيئة Azure Virtual Desktop عن العمل أثناء تمكين فحص SSL، يجب عليك تعطيل فحص SSL والمحاولة مرة أخرى قبل فتح حالة دعم. يمكن أن يتسبب فحص SSL أيضاً في توقف عامل Azure Virtual Desktop عن العمل لأنه يتداخل مع الاتصالات الموثوقة بين العامل والخدمة.
لا تستخدم خوادم وكيل تحتاج إلى مصادقة
تعمل مكونات Azure Virtual Desktop على مضيف الجلسة في سياق نظام التشغيل الخاص بها، لذا فهي لا تدعم الخوادم الوكيلة التي تتطلب المصادقة. إذا تطلب الخادم الوكيل المصادقة، فسيفشل الاتصال.
التخطيط لسعة شبكة الخادم الوكيل
الخوادم الوكيلة لها حدود سعتها. على عكس حركة مرور HTTP العادية، فإن حركة مرور RDP لها اتصالات طويلة المدى ومتحدثة ثنائية الاتجاه وتستهلك الكثير من النطاق الترددي. قبل إعداد خادم وكيل، تحدث إلى بائع الخادم الوكيل الخاص بك بشأن مقدار معدل النقل الخادم لديك. تأكد أيضاً من سؤالهم عن عدد جلسات الوكيل التي يمكنك إجراؤها في وقت واحد. بعد توزيع الخادم الوكيل، راقب بعناية استخدام موارده للازدحام في حركة مرور Azure Virtual Desktop.
خوادم الوكيل وتحسين وسائط Microsoft Teams
لا يدعم Azure Virtual Desktop الخوادم الوكيلة مع تحسين الوسائط ل Microsoft Teams.
توصيات تكوين مضيف الجلسة
لتكوين خادم وكيل على مستوى مضيف الجلسة، تحتاج إلى تمكين وكيل على مستوى النظام. تذكر أن التكوين على مستوى النظام يؤثر على جميع مكونات نظام التشغيل والتطبيقات التي تعمل على مضيف الجلسة. الأقسام التالية هي توصيات لتكوين الوكلاء على مستوى النظام.
استخدم بروتوكول Web Proxy Auto-Discovery (WPAD)
يحاول عامل Azure Virtual Desktop تلقائياً تحديد موقع خادم عامل على الشبكة باستخدام بروتوكول Web Proxy Auto-Discovery (WPAD). أثناء محاولة تحديد الموقع، يبحث العامل في خادم اسم المجال (DNS) عن ملف يسمى wpad.domainsuffix. إذا عثر العامل على الملف في DNS، فإنه يقدم طلب HTTP لملف يسمى wpad.dat. تصبح الاستجابة البرنامج النصي لتكوين الوكيل الذي يختار الخادم الوكيل الصادر.
لتكوين شبكتك لاستخدام تحليل DNS لـ WPAD، اتبع الإرشادات الموجودة في إعدادات الكشف التلقائي في Internet Explorer 11. تأكد من أن قائمة حظر الاستعلامات العامة لخادم DNS تسمح بحل WPAD باتباع الإرشادات الموجودة في Set-DnsServerGlobalQueryBlockList.
تعيين وكيل على مستوى الجهاز يدويا لخدمات Windows
إذا كنت تحدد خادم وكيل يدويا، فستحتاج كحد أدنى إلى تعيين وكيل لخدمات Windows RDAgentوخدمات سطح المكتب البعيد على مضيفي الجلسة. يتم تشغيل RDAgent مع تشغيل النظام المحلي وخدمات سطح المكتب البعيد للحساب مع خدمة شبكة الحساب. يمكنك تعيين وكيل لهذه الحسابات باستخدام bitsadmin أداة سطر الأوامر.
يقوم المثال التالي بتكوين حسابات النظام المحلي وخدمة الشبكة لاستخدام ملف وكيل .pac . ستحتاج إلى تشغيل هذه الأوامر من موجه أوامر غير مقيد، وتغيير قيمة العنصر النائب ل <server> بعنوانك الخاص:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
للحصول على مرجع كامل وأمثلة أخرى، راجع bitsadmin util و setieproxy.
يمكنك أيضا تعيين وكيل على مستوى الجهاز أو تكوين تلقائي للوكيل (. ملف PAC) الذي ينطبق على جميع المستخدمين التفاعليين والنظام المحلي وخدمة الشبكة. إذا تم تسجيل مضيفي الجلسة مع Intune، يمكنك تعيين وكيل باستخدام Network Proxy CSP، ومع ذلك، فإن أنظمة تشغيل عميل Windows متعددة الجلسات لا تدعم نهج CSP لأنها تدعم فقط كتالوج الإعدادات. بدلا من ذلك، يمكنك تكوين وكيل على مستوى الجهاز باستخدام netsh winhttp الأمر . للحصول على مرجع وأمثلة كاملة، راجع أوامر Netsh لبروتوكول نقل النص التشعبي ل Windows (WINHTTP)
دعم الوكيل من جانب العميل
يدعم عميل Azure Virtual Desktop الخوادم الوكيلة التي تم تكوينها باستخدام إعدادات النظام أو Network Proxy CSP.
دعم عميل Azure Virtual Desktop
يوضح الجدول التالي عملاء Azure Virtual Desktop يدعمون الخوادم الوكيلة:
| اسم العميل | دعم الخادم الوكيل |
|---|---|
| سطح مكتب Windows | نعم |
| عميل ويب | نعم |
| Android | لا |
| iOS | نعم |
| macOS | نعم |
| متجر Windows | نعم |
لمزيد من المعلومات بشأن دعم الوكيل على الأجهزة العميلة الرقيقة المستندة إلى Linux، راجع دعم العميل الرقيق.
قيود الدعم
يوجد العديد من خدمات وتطبيقات الجهات الخارجية التي تعمل كخادم وكيل. تتضمن خدمات الجهات الخارجية هذه جدران الحماية الموزعة من الجيل التالي وأنظمة أمان الويب وخوادم الوكيل الأساسية. لا يمكننا ضمان توافق كل تكوين مع Azure Virtual Desktop. توفر Microsoft دعماً محدوداً فقط للاتصالات التي يتم إنشاؤها عبر خادم وكيل. إذا كنت تواجه مشكلات في الاتصال أثناء استخدام خادم وكيل، فإن دعم Microsoft يوصيك بتكوين تجاوز الوكيل ثم محاولة إعادة إظهار المشكلة.
الخطوات التالية
لمزيد من المعلومات بشأن الحفاظ على أمان توزيع Azure Virtual Desktop، راجع دليل الأمان.