Pokyny pro proxy server pro Azure Virtual Desktop
V tomto článku se dozvíte, jak používat proxy server se službou Azure Virtual Desktop. Doporučení v tomto článku se vztahují pouze na připojení mezi infrastrukturou služby Azure Virtual Desktop, klientem a agenty hostitele relace. Tento článek se netýká připojení k síti pro Office, Windows 10, FSLogix ani jiné aplikace Microsoftu.
Co jsou proxy servery?
U provozu služby Azure Virtual Desktop doporučujeme obejít proxy servery. Proxy servery nešifrují službu Azure Virtual Desktop, protože provoz je už šifrovaný. Další informace o zabezpečení připojení najdete v tématu Zabezpečení připojení.
Většina proxy serverů není navržená pro podporu dlouhotrvajících připojení WebSocket a mohou ovlivnit stabilitu připojení. Problémy způsobuje také škálovatelnost proxy serveru, protože Azure Virtual Desktop používá několik dlouhodobých připojení. Pokud používáte proxy servery, musí mít správnou velikost pro spouštění těchto připojení.
Pokud je zeměpisná oblast proxy serveru daleko od hostitele, způsobí tato vzdálenost vyšší latenci uživatelských připojení. Vyšší latence znamená pomalejší dobu připojení a horší uživatelské prostředí, zejména ve scénářích, které vyžadují grafické a zvukové interakce nebo interakce se vstupními zařízeními s nízkou latencí. Pokud potřebujete použít proxy server, mějte na paměti, že server musíte umístit do stejné zeměpisné oblasti jako klient a agent služby Azure Virtual Desktop.
Pokud proxy server nakonfigurujete jako jedinou cestu pro provoz služby Azure Virtual Desktop, data protokolu RDP (Remote Desktop Protocol) se vynutí přes protokol TCP (Transmission Control Protocol) místo protokolu UDP (User Datagram Protocol). Tento přesun snižuje vizuální kvalitu a rychlost odezvy vzdáleného připojení.
Stručně řečeno, nedoporučujeme používat proxy servery ve službě Azure Virtual Desktop, protože způsobují problémy související s výkonem v důsledku snížení latence a ztráty paketů.
Obejití proxy serveru
Pokud zásady sítě a zabezpečení vaší organizace vyžadují pro webový provoz proxy servery, můžete nakonfigurovat prostředí tak, aby obchážela připojení služby Azure Virtual Desktop a provoz se stále směruje přes proxy server. Zásady každé organizace jsou ale jedinečné, takže některé metody můžou pro vaše nasazení fungovat lépe než jiné. Tady jsou některé metody konfigurace, které můžete zkusit, abyste zabránili ztrátě výkonu a spolehlivosti ve vašem prostředí:
- Značky služeb Azure s Azure Firewall
- Obcházení proxy serveru pomocí souborů automatické konfigurace proxy serveru (
.PAC) - Seznam vynechat v konfiguraci místního proxy serveru
- Použití proxy serverů ke konfiguraci jednotlivých uživatelů
- Použití funkce RDP Shortpath pro připojení RDP při zachování provozu služby přes proxy server
Doporučení pro používání proxy serverů
Některé organizace vyžadují, aby veškerý uživatelský provoz pro účely sledování nebo kontroly paketů procházel přes proxy server. Tato část popisuje, jak v těchto případech doporučujeme nakonfigurovat prostředí.
Použití proxy serverů ve stejné geografické oblasti Azure
Když používáte proxy server, zpracovává veškerou komunikaci s infrastrukturou služby Azure Virtual Desktop a provádí překlad DNS a směrování všesměrového vysílání do nejbližší služby Azure Front Door. Pokud jsou vaše proxy servery vzdálené nebo distribuované v různých zeměpisných oblastech Azure, bude vaše geografické rozlišení méně přesné. Méně přesné geografické rozlišení znamená, že připojení se budou směrovat do vzdálenějšího clusteru Azure Virtual Desktop. Pokud se chcete tomuto problému vyhnout, používejte pouze proxy servery, které jsou geograficky blízko clusteru Služby Azure Virtual Desktop.
Použití funkce RDP Shortpath pro spravované sítě pro připojení ke stolním počítačům
Když povolíte funkci RDP Shortpath pro spravované sítě, data protokolu RDP obejdou proxy server, pokud je to možné. Obejití proxy serveru zajistí optimální směrování při použití přenosu UDP. Ostatní přenosy služby Azure Virtual Desktop, jako je zprostředkování, orchestrace a diagnostika, budou dál procházet proxy serverem.
Nepoužívejte ukončení protokolu SSL na proxy serveru.
Ukončení protokolu SSL (Secure Sockets Layer) nahrazuje certifikáty zabezpečení komponent služby Azure Virtual Desktop certifikáty vygenerovanými proxy serverem. Tato funkce proxy serveru umožňuje kontrolu paketů pro provoz HTTPS na proxy serveru. Kontrola paketů ale také prodlužuje dobu odezvy služby, takže přihlášení uživatelů trvá déle. Ve scénářích zpětného připojení není kontrola paketů provozu protokolu RDP nutná, protože zpětný provoz RDP je binární a používá další úrovně šifrování.
Pokud proxy server nakonfigurujete tak, aby používal kontrolu PROTOKOLU SSL, nezapomeňte, že po provedení kontroly PROTOKOLU SSL nemůžete server vrátit do původního stavu. Pokud něco ve vašem prostředí služby Azure Virtual Desktop přestane fungovat, když máte povolenou kontrolu PROTOKOLU SSL, musíte kontrolu SSL zakázat a zkusit to znovu před otevřením případu podpory. Kontrola SSL může také způsobit, že agent Služby Azure Virtual Desktop přestane fungovat, protože narušuje důvěryhodná připojení mezi agentem a službou.
Nepoužívejte proxy servery, které vyžadují ověření
Komponenty služby Azure Virtual Desktop na hostiteli relace běží v kontextu jejich operačního systému, takže nepodporují proxy servery, které vyžadují ověřování. Pokud proxy server vyžaduje ověření, připojení se nezdaří.
Plánování kapacity sítě proxy serveru
Proxy servery mají omezení kapacity. Na rozdíl od běžného provozu HTTP mají přenosy protokolu RDP dlouhotrvající, chatovací připojení, která jsou obousměrná a spotřebovávají velkou šířku pásma. Před nastavením proxy serveru se poraďte s dodavatelem proxy serveru o tom, jakou propustnost má váš server. Nezapomeňte se také zeptat, kolik relací proxy serveru můžete spustit najednou. Po nasazení proxy serveru pečlivě monitorujte jeho využití prostředků z hlediska kritických bodů v provozu služby Azure Virtual Desktop.
Proxy servery a optimalizace médií v Microsoft Teams
Azure Virtual Desktop nepodporuje proxy servery s optimalizací médií pro Microsoft Teams.
Doporučení ke konfiguraci hostitele relace
Pokud chcete nakonfigurovat proxy server na úrovni hostitele relace, musíte povolit proxy server na úrovni systému. Mějte na paměti, že konfigurace pro celý systém ovlivňuje všechny součásti operačního systému a aplikace spuštěné na hostiteli relace. Následující části obsahují doporučení ke konfiguraci proxy serverů v celém systému.
Použití protokolu WPAD (Web Proxy Auto-Discovery)
Agent služby Azure Virtual Desktop se automaticky pokusí vyhledat proxy server v síti pomocí protokolu WPAD (Web Proxy Auto-Discovery). Během pokusu o umístění agent vyhledá na serveru DNS soubor s názvem wpad.domainsuffix. Pokud agent najde soubor v DNS, vytvoří požadavek HTTP na soubor s názvem wpad.dat. Odpověď se stane konfiguračním skriptem proxy serveru, který zvolí odchozí proxy server.
Pokud chcete síť nakonfigurovat tak, aby používala překlad DNS pro WPAD, postupujte podle pokynů v článku Automatické zjišťování nastavení Internet Exploreru 11. Ujistěte se, že globální seznam blokovaných dotazů serveru DNS umožňuje překlad WPAD, a to podle pokynů v tématu Set-DnsServerGlobalQueryBlockList.
Ruční nastavení proxy serveru pro služby Windows pro celé zařízení
Pokud proxy server zadáváte ručně, musíte na hostitelích relací nastavit proxy server minimálně pro služby Windows RDAgent a Vzdálenou plochu . RDAgent se spouští s účtem Místní systém a Vzdálená plocha s účtem Síťová služba. Proxy pro tyto účty můžete nastavit pomocí nástroje příkazového bitsadmin řádku.
Následující příklad konfiguruje účty místního systému a síťové služby tak, aby používaly soubor proxy .pac serveru . Tyto příkazy budete muset spustit z příkazového řádku se zvýšenými oprávněními a změnit hodnotu zástupného symbolu na <server> vlastní adresu:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Úplné referenční informace a další příklady najdete v tématu bitsadmin util a setieproxy.
Můžete také nastavit proxy server pro celé zařízení nebo automatickou konfiguraci proxy serveru (. PAC), který se vztahuje na všechny interaktivní uživatele, místní systém a síťové služby. Pokud jsou hostitelé relací zaregistrovaní ve službě Intune, můžete nastavit proxy server pomocí poskytovatele CSP síťového proxy serveru, ale klientské operační systémy Windows pro více relací nepodporují CSP zásad, protože podporují pouze katalog nastavení. Alternativně můžete nakonfigurovat proxy server pro celé zařízení pomocí netsh winhttp příkazu . Úplné referenční informace a příklady najdete v tématu Příkazy Netsh pro protokol WINHTTP (Hypertext Transfer Protocol) systému Windows.
Podpora proxy serveru na straně klienta
Klient Služby Azure Virtual Desktop podporuje proxy servery nakonfigurované pomocí nastavení systému nebo poskytovatele CSP síťového proxy serveru.
Podpora klientů služby Azure Virtual Desktop
Následující tabulka ukazuje, kteří klienti Služby Azure Virtual Desktop podporují proxy servery:
| Název klienta | Podpora proxy serveru |
|---|---|
| Windows Desktop | Ano |
| Webový klient | Ano |
| Android | No |
| iOS | Ano |
| macOS | Ano |
| Windows Store | Ano |
Další informace o podpoře proxy serveru u tenkých klientů založených na Linuxu najdete v tématu Podpora tenkých klientů.
Omezení podpory
Existuje mnoho služeb a aplikací třetích stran, které fungují jako proxy server. Mezi tyto služby třetích stran patří distribuované brány firewall nové generace, systémy webového zabezpečení a základní proxy servery. Nemůžeme zaručit, že všechny konfigurace budou kompatibilní se službou Azure Virtual Desktop. Microsoft poskytuje pouze omezenou podporu pro připojení navázaná přes proxy server. Pokud při používání proxy serveru dochází k problémům s připojením, podpora Microsoftu doporučuje, abyste nakonfigurovali obejití proxy serveru a pak zkuste problém reprodukovat.
Další kroky
Další informace o zabezpečení nasazení služby Azure Virtual Desktop najdete v našem průvodci zabezpečením.