Azure Virtual Desktop RDP Shortpath for managed networks

  • مقالة
  • قراءة خلال 9 دقائق

RDP Shortpath للشبكات المدارة هي إحدى ميزات Azure Virtual Desktop التي تنشئ عملية نقل مباشرة تستند إلى UDP بين عميل سطح المكتب البعيد ومضيف جلسة العمل. يستخدم RDP هذا النقل لتقديم سطح المكتب البعيد و RemoteApp مع توفير موثوقية أفضل وزمن انتقال متناسق.

المزايا الهامة

  • يعتمد نقل RDP Shortpath على بروتوكول التحكم العالمي في المعدل (URCP). يعزز URCP UDP من خلال المراقبة النشطة لظروف الشبكة ويوفر الاستخدام العادل والكامل للوصلة. تعمل URCP بمستويات تأخير وخسارة منخفضة حسب الحاجة بواسطة سطح المكتب البعيد. يحقق URCP أفضل أداء من خلال التعلم الديناميكي لمعلمات الشبكة وتوفير بروتوكول مع آلية التحكم في المعدل.
  • يقوم RDP Shortpath بإنشاء الاتصال المباشر بين عميل "سطح المكتب البعيد" ومضيف جلسة العمل. يقلل الاتصال المباشر من الاعتماد على بوابات Azure Virtual Desktop ويحسن موثوقية الاتصال ويزيد من عرض النطاق الترددي المتاح لكل جلسة عمل.
  • تعمل إزالة التتابع الإضافي على تقليل وقت الرحلة ذهابا وإيابا ، مما يحسن تجربة المستخدم مع التطبيقات الحساسة لزمن الوصول وطرق الإدخال.
  • يوفر RDP Shortpath الدعم لتكوين أولوية جودة الخدمة (QoS ) لاتصالات RDP من خلال علامات نقطة رمز الخدمات المتباينة (DSCP)
  • يسمح نقل RDP Shortpath بالحد من حركة مرور الشبكة الصادرة عن طريق تحديد معدل خنق لكل جلسة.

أمان الاتصال

يعمل RDP Shortpath على توسيع إمكانات النقل المتعدد RDP. لا يحل محل النقل العكسي ولكنه يكمله. تتم إدارة جميع عمليات الوساطة في الجلسة الأولية من خلال البنية الأساسية لسطح المكتب الظاهري Azure.

سيستخدم النشر الخاص بك فقط منفذ UDP الذي تم تكوينه بواسطة المستخدم لحركة مرور Shortpath الواردة التي تمت مصادقتها عبر نقل الاتصال العكسي. سيتجاهل مستمع RDP Shortpath كافة محاولات الاتصال ما لم تتطابق مع جلسة عمل الاتصال العكسي.

يستخدم RDP Shortpath اتصال TLS بين العميل ومضيف الجلسة باستخدام شهادات مضيف الجلسة. بشكل افتراضي، الشهادة المستخدمة لتشفير RDP يتم إنشاؤها ذاتيًا بواسطة نظام التشغيل أثناء التوزيع. إذا رغبت في ذلك، يمكن للعملاء نشر الشهادات المدارة مركزيا الصادرة عن المرجع المصدق للمؤسسة. لمزيد من المعلومات حول تكوينات الشهادات، راجع وثائق خادم Windows.

تسلسل اتصال RDP Shortpath

بعد إنشاء نقل الاتصال العكسي، يبدأ العميل ومضيف جلسة العمل اتصال RDP ويتفاوضان على إمكانات النقل المتعدد.

إليك كيفية تفاوض مضيف الجلسة على إمكانات النقل المتعدد:

  1. يرسل مضيف الجلسة قائمة بعناوين IPv4 وIPv6 الخاصة والعامة إلى العميل.
  2. يبدأ العميل مؤشر ترابط الخلفية لإنشاء نقل مواز يستند إلى UDP مباشرة إلى أحد عناوين IP الخاصة بالمضيف.
  3. بينما يقوم العميل بفحص عناوين IP المقدمة ، فإنه يواصل إنشاء الاتصال الأولي عبر نقل الاتصال العكسي لضمان عدم حدوث تأخير في اتصال المستخدم.
  4. إذا كان لدى العميل خط رؤية مباشر، يقوم العميل بإنشاء اتصال TLS آمن مع مضيف الجلسة.
  5. بعد إنشاء النقل Shortpath ، يقوم RDP بنقل جميع القنوات الظاهرية الديناميكية (DVCs) ، بما في ذلك الرسومات عن بعد والإدخال وإعادة توجيه الجهاز ، إلى النقل الجديد.
  6. إذا كان جدار الحماية أو طبولوجيا الشبكة يمنع العميل من إنشاء اتصال UDP مباشر، يستمر RDP مع نقل اتصال عكسي.

يقدم الرسم التخطيطي التالي نظرة عامة عالية المستوى على اتصال شبكة RDP Shortpath.

Diagram of RDP Shortpath Network Connections

المتطلبات

لدعم RDP Shortpath، يحتاج عميل Azure Virtual Desktop إلى خط رؤية مباشر لمضيف الجلسة. يمكنك الحصول على خط رؤية مباشر باستخدام إحدى الطرق التالية:

إذا كنت تستخدم أنواع VPN أخرى للاتصال بمدخل Azure، فإننا نوصي باستخدام VPN يستند إلى بروتوكول مخطط بيانات المستخدم (UDP). في حين أن معظم حلول VPN المستندة إلى بروتوكول التحكم في الإرسال (TCP) تدعم UDP المتداخلة ، فإنها تضيف النفقات العامة الموروثة للتحكم في ازدحام TCP ، مما يؤدي إلى إبطاء أداء RDP.

وجود خط رؤية مباشر يعني أنه يمكن للعميل الاتصال مباشرة بمضيف الجلسة دون أن يتم حظره بواسطة جدران الحماية.

تكوين RDP Shortpath للشبكات المدارة

لتمكين RDP Shortpath للشبكات المدارة، تحتاج إلى تمكين مستمع RDP Shortpath على مضيف الجلسة. يمكنك تمكين RDP Shortpath على أي عدد من مضيفات الجلسات المستخدمة في بيئتك. ومع ذلك، لا توجد متطلبات لتمكين RDP Shortpath على جميع المضيفين في تجمع المضيفين.

لتمكين مستمع RDP Shortpath:

  1. أولا، قم بتثبيت قوالب إدارية تضيف قواعد وإعدادات ل Azure Virtual Desktop. قم بتنزيل ملف قوالب نهج سطح المكتب الظاهري Azure (AVDGPTemplate.cab) واستخراج محتويات الملف .cab وأرشيف .zip.

  2. انسخ الملف terminalserver-avd.admx ، ثم الصقه في المجلد ٪ windir٪\PolicyDefinitions .

  3. انسخ الملف en-us\ terminalserver-avd.adml ، ثم الصقه في المجلد ٪ windir٪\PolicyDefinitions\en-us .

  4. لتأكيد الملفات التي تم نسخها بشكل صحيح، افتح محرر نهج المجموعة وانتقل إلى تكوين>الكمبيوترقوالب> الإدارة Windows المكوناتخدمات> سطح المكتب البعيداستضافة>جلسة عمل سطح المكتب البعيد Azureسطح المكتب الظاهري>.

  5. من المفترض أن تشاهد واحدا أو أكثر من نهج Azure Virtual Desktop، كما هو موضح في لقطة الشاشة التالية

    Screenshot of the group policy editor

    ملاحظة

    يمكنك أيضا تثبيت قوالب إدارية على "المتجر المركزي" لنهج المجموعة في مجال "Active Directory". لمزيد من المعلومات حول المتجر المركزي للقوالب الإدارية نهج المجموعة، راجع كيفية إنشاء وإدارة المتجر المركزي للقوالب الإدارية نهج المجموعة في Windows.

  6. افتح نهج " تمكين RDP Shortpath للشبكات المدارة " واضبطه على "ممكن". إذا قمت بتمكين إعداد النهج هذا، فيمكنك أيضا تكوين رقم المنفذ الذي سيستخدمه مضيف جلسة عمل Azure Virtual Desktop للاستماع إلى الاتصالات الواردة. المنفذ الافتراضي هو 3390.

  7. أعد تشغيل مضيف الجلسة لتطبيق التغييرات.

تكوين جدار حماية Windows ديفندر مع أمان متقدم

للسماح بحركة مرور الشبكة الواردة ل RDP Shortpath، استخدم جدار حماية Windows Defender مع عقدة الأمان المتقدم في الأداة الإضافية MMC لإدارة نهج المجموعة لإنشاء قواعد جدار الحماية.

  1. افتح وحدة تحكم إدارة نهج المجموعة Windows Defender جدار الحماية مع الأمان المتقدم.
  2. في جزء التنقل، حدد القواعد الواردة.
  3. حدد إجراء، ثم حدد قاعدة جديدة.
  4. في الصفحة نوع القاعدة من معالج القاعدة الواردة الجديدة، حدد مخصص، ثم حدد التالي.
  5. في صفحة البرنامج، حدد مسار البرنامج هذا، وأدخل "٪SystemRoot٪\system32\svchost.exe"، ثم حدد التالي.
  6. في صفحة البروتوكول والمنافذ ، حدد نوع بروتوكول UDP. في المنفذ المحلي ، حدد "منافذ محددة" وأدخل منفذ UDP الذي تم تكوينه. إذا تركت الإعدادات الافتراضية قيد التشغيل، فسيكون رقم المنفذ 3390.
  7. في صفحة النطاق ، يمكنك تحديد أن القاعدة تنطبق فقط على حركة مرور الشبكة من أو إلى عناوين IP التي تم إدخالها في هذه الصفحة. قم بالتكوين بما يتناسب مع التصميم الخاص بك، ثم حدد التالي.
  8. في الصفحة إجراء ، حدد السماح بالاتصال، ثم حدد التالي.
  9. في صفحة ملف التعريف ، حدد أنواع مواقع الشبكة التي تنطبق عليها هذه القاعدة، ثم حدد التالي.
  10. في صفحة الاسم ، أدخل اسما ووصفا للقاعدة، ثم حدد إنهاء.

عند الانتهاء، تحقق من تطابق القاعدة الجديدة مع التنسيق في لقطات الشاشة التالية.

Screenshot of the General tab for Firewall configuration for RDP Shortpath Network Connections with Allow the connection option selected

Screenshot of the Programs and Services tab for Firewall configuration for RDP Shortpath Network Connections with Remote Desktop Services selected

Screenshot of the Protocols and Ports tab for Firewall configuration for RDP Shortpath Network Connections with UDP port 3390 configured

يمكنك أيضا استخدام PowerShell لتكوين جدار الحماية Windows:

New-NetFirewallRule -DisplayName 'Remote Desktop - Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-Shortpath-UDP'  -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol udp -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True

استخدام PowerShell لتكوين جدار حماية Windows ديفندر

يمكنك أيضا استخدام PowerShell لتكوين نهج المجموعة عن طريق تشغيل cmdlet التالي.

# Replace $domainName value with the name of your Active Directory domain
# Replace $policyName value with the name of existing Group Policy Object
$domainName = "contoso.com"
$policyName = "RDP Shortpath Policy"
$gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName"
New-NetFirewallRule -DisplayName 'Remote Desktop - Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-Shortpath-UDP' -Profile Domain, Private -Service TermService -Protocol udp -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession
Save-NetGPO -GPOSession $gpoSession

تكوين Azure Network Security Group

للسماح بالوصول إلى مستمع RDP Shortpath عبر حدود أمان الشبكة، تحتاج إلى تكوين Azure Network Security Group للسماح بمنفذ UDP الوارد 3390. اتبع وثائق مجموعة أمان الشبكة لإنشاء قاعدة أمان واردة تسمح بحركة المرور باستخدام المعلمات التالية:

  • مصدر - أي أو نطاق IP حيث يقيم العملاء
  • نطاقات منافذ المصدر - *
  • مقصد - أي
  • نطاقات منافذ الوجهة - 3390 ه
  • بروتوكول - UDP
  • فعل - جوز
  • اختياريا تغيير الأولوية. تؤثر الأولوية على الترتيب الذي يتم به تطبيق القواعد: كلما انخفضت القيمة الرقمية ، كلما تم تطبيق القاعدة في وقت مبكر.
  • الاسم - - RDP Shortpath

تعطيل RDP Shortpath لشبكة فرعية معينة

إذا كنت بحاجة إلى حظر شبكات فرعية معينة من استخدام نقل RDP Shortpath، فيمكنك تكوين مجموعة أمان شبكة أخرى تحدد نطاقات IP المصدر الصحيحة.

التحقق من اتصال الشبكة

بعد ذلك ، ستحتاج إلى التأكد من أن شبكتك تستخدم RDP Shortpath. يمكنك القيام بذلك إما باستخدام مربع حوار "معلومات الاتصال" أو باستخدام Log Analytics.

مربع الحوار "معلومات الاتصال"

تأكد من أن الاتصالات تستخدم RDP Shortpath ، افتح مربع الحوار "معلومات الاتصال" بالانتقال إلى شريط أدوات الاتصال أعلى الشاشة وتحديد رمز الهوائي ، كما هو موضح في لقطة الشاشة التالية.

Image of Remote Desktop Connection Bar

Image of Remote Desktop Connection Info dialog

استخدام سجلات الأحداث

للتأكد من أن جلسة العمل الخاصة بك تستخدم نقل RDP Shortpath:

  1. استخدم عميل Azure Virtual Desktop الذي تختاره للاتصال بسطح مكتب الجهاز الظاهري.
  2. افتح عارض الأحداث، ثم انتقل إلى سجلات> التطبيقات والخدماتMicrosoft Windows RemoteDesktopServices-RdpCoreCDVMicrosoft-Windows-RemoteDesktopServices-RdpCoreCDV>>>/Operational.
  3. إذا كان بإمكانك رؤية معرف الحدث 131، فهذا يعني أن شبكتك تستخدم نقل RDP Shortpath.

استخدام "Log Analytics"

إذا كنت تستخدم Azure Log Analytics، فيمكنك مراقبة الاتصالات عن طريق الاستعلام عن جدول WVDConnections. يشير عمود باسم UdpUse إلى ما إذا كان Azure Virtual Desktop RDP Stack يستخدم بروتوكول UDP على اتصال المستخدم الحالي. القيم المُحتملة هي:

  • 0 - اتصال المستخدم لا يستخدم RDP Shortpath.
  • 1 - يستخدم اتصال المستخدم RDP Shortpath للشبكات المدارة.

تتيح لك قائمة الاستعلام التالية مراجعة معلومات الاتصال. يمكنك تشغيل هذا الاستعلام في محرر استعلام Log Analytics. لكل استعلام، استبدل userupn ب UPN للمستخدم الذي تريد البحث عنه.

let Events = WVDConnections | where UserName == "userupn" ;
Events
| where State == "Connected"
| project CorrelationId , UserName, ResourceAlias , StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse,  SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

استكشاف الأخطاء وإصلاحها

التحقق من مستمع المسار القصير

للتحقق من تمكين مستمع UDP، استخدم الأمر PowerShell التالي على مضيف الجلسة:

Get-NetUDPEndpoint -OwningProcess ((Get-WmiObject win32_service -Filter "name = 'TermService'").ProcessId)  -LocalPort 3390

إذا تم تمكينه، فسترى الإخراج كما يلي:

LocalAddress                             LocalPort
------------                             ---------
::                                       3390
0.0.0.0                                  3390

إذا كان هناك تعارض، يمكنك تحديد العملية التي تحظر المنفذ عن طريق تشغيل الأمر التالي:

Get-Process -id (Get-NetUDPEndpoint  -LocalPort 3390 -LocalAddress 0.0.0.0).OwningProcess

تعطيل RDP Shortpath

في بعض الحالات، قد تحتاج إلى تعطيل نقل RDP Shortpath. يمكنك تعطيل RDP Shortpath باستخدام نهج المجموعة.

تعطيل RDP Shortpath على العميل

لتعطيل RDP Shortpath لعميل معين، يمكنك استخدام نهج المجموعة التالية لتعطيل دعم UDP:

  1. على العميل، قم بتشغيل gpedit.msc.
  2. انتقل إلى تكوين>الكمبيوترقوالب> الإدارة Windows المكوناتخدمات> سطح المكتب البعيدعميل>اتصال سطح المكتب البعيد.
  3. اضبط إعداد " إيقاف تشغيل UDP على العميل" علىتمكين

تعطيل RDP Shortpath على مضيف الجلسة

لتعطيل RDP Shortpath لمضيف جلسة عمل معين، يمكنك استخدام نهج المجموعة التالية لتعطيل دعم UDP:

  1. على مضيف الجلسة، قم بتشغيل gpedit.msc.
  2. انتقل إلى قوالب > إدارة تكوين > الكمبيوتر Windows مكونات > خدمات > سطح المكتب البعيد اتصالات مضيف جلسة عمل سطح المكتب البعيد>.
  3. قم بتعيين إعداد " تحديد بروتوكولات نقل RDP" إلى TCP فقط.

الخطوات التالية