RDP Shortpath para Azure Virtual Desktop

Importante

El uso de RDP Shortpath para redes públicas con TURN para Azure Virtual Desktop se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Las conexiones a Azure Virtual Desktop usan el Protocolo de control de transmisión (TCP) o el Protocolo de datagramas de usuario (UDP). RDP Shortpath es una característica de Azure Virtual Desktop que establece un transporte basado en UDP directo entre un cliente de Escritorio remoto de Windows admitido y el host de sesión. De forma predeterminada, el Protocolo de escritorio remoto (RDP) intenta establecer la conexión mediante UDP y usa un transporte de conexión inversa basado en TCP como mecanismo de conexión de reserva. Este transporte proporciona la mejor compatibilidad con varias configuraciones de red y tiene una alta tasa de éxito para establecer conexiones RDP. El transporte basado en UDP ofrece una mejor fiabilidad de conexión y una latencia más coherente.

RDP Shortpath se puede usar de dos maneras:

  1. Redes administradas, donde se establece la conectividad directa entre el cliente y el host de sesión cuando se usa una conexión privada, como una red privada virtual (VPN).

  2. Redes públicas, donde se establece la conectividad directa entre el cliente y el host de sesión cuando se usa una conexión pública. Hay dos tipos de conexión al usar una conexión pública, que se enumeran aquí en orden de preferencia:

    1. Una conexión UDP directa mediante el protocolo Simple Traversal Underneath NAT (STUN) entre un cliente y un host de sesión.

    2. Una conexión UDP indirecta mediante el protocolo Traversal Using Relay NAT (TURN) con una retransmisión entre un cliente y un host de sesión. Esto está en versión preliminar.

El transporte que se usa para RDP Shortpath se basa en el protocolo de control de velocidad universal (URCP). URCP mejora UDP con la supervisión activa de las condiciones de la red y proporciona un uso equitativo y completo de los vínculos. URCP funciona con niveles de retraso y pérdida bajos, según sea necesario.

Importante

  • Durante la versión preliminar, TURN solo está disponible para las conexiones a los hosts de sesión de un grupo de hosts de validación. Para configurar el grupo de hosts como entorno de validación, consulte Definición del grupo de hosts como entorno de validación.

  • RDP Shortpath para redes públicas con TURN solo está disponible en la nube pública de Azure.

Ventajas principales

El uso de RDP Shortpath tiene las siguientes ventajas clave:

  • Mediante URCP para mejorar UDP, se consigue el mayor rendimiento al aprender dinámicamente los parámetros de red y proporcionar un protocolo con un mecanismo de control de velocidad.

  • La eliminación de los puntos de retransmisión adicional reduce el tiempo de ida y vuelta, lo que mejora la fiabilidad de la conexión y la experiencia del usuario con aplicaciones y métodos de entrada sensibles a la latencia.

  • Además, para redes administradas:

    • RDP Shortpath permite configurar la prioridad de la calidad de servicio (QoS) para las conexiones RDP mediante marcas de punto de código de servicios diferenciados (DSCP).

    • El transporte de RDP Shortpath permite limitar el tráfico de red saliente mediante la especificación de una tasa de limitación para cada sesión.

Funcionamiento de RDP Shortpath

Para obtener información sobre cómo funciona RDP Shortpath para redes administradas y redes públicas, seleccione cada una de las pestañas siguientes.

Puede lograr la conectividad directa de línea de visión necesaria para usar RDP Shortpath con redes administradas mediante los métodos siguientes.

Tener una conectividad de línea de visión directa significa que el cliente pueda conectarse directamente al host de sesión, sin bloqueo por parte de los firewalls.

Nota:

Si usa otros tipos de red privada virtual para conectarse a Azure, se recomienda usar una VPN basada en UDP. Aunque la mayoría de las soluciones de red privada virtual basadas en TCP admiten el protocolo UDP anidado, agregan una sobrecarga heredada del control de congestión TCP, lo que ralentiza el rendimiento de RDP.

Para usar RDP Shortpath para redes administradas, debe habilitar un agente de escucha UDP en los hosts de sesión. De manera predeterminada, se usa el puerto 3390, aunque puede usar otro puerto.

En el diagrama siguiente se proporciona información general de alto nivel de las conexiones de red al usar RDP Shortpath para redes administradas y hosts de sesión unidos a un dominio de Active Directory.

Diagram of network connections when using RDP Shortpath for managed networks.

Secuencia de la conexión

Todas las conexiones comienzan estableciendo un transporte de conexión inversa basado en TCP a través de la puerta de enlace de Azure Virtual Desktop. A continuación, el cliente y el host de sesión establecen el transporte RDP inicial y comienzan a intercambiar sus funcionalidades. Estas funcionalidades se negocian mediante el siguiente proceso:

  1. El host de sesión envía la lista de sus direcciones IPv4 e IPv6 al cliente.

  2. El cliente inicia el subproceso en segundo plano para establecer un transporte paralelo basado en UDP directamente en una de las direcciones IP del host de sesión.

  3. Mientras el cliente está sondeando las direcciones IP proporcionadas, este continúa estableciendo la conexión inicial a través del transporte de conexión inversa para garantizar que no haya ningún retraso en la conexión del usuario.

  4. Si el cliente tiene una conexión directa con el host de sesión, establece una conexión segura con TLS sobre una conexión UDP confiable.

  5. Después de establecer el transporte de RDP Shortpath, todos los canales virtuales dinámicos (DVCs) se mueven al nuevo transporte, incluidos los gráficos remotos, la entrada y el redireccionamiento del dispositivo. Sin embargo, si un firewall o una topología de red impide que el cliente establezca conectividad UDP directa, RDP continúa con un transporte de conexión inversa.

Si los usuarios tienen RDP Shortpath para una red administrada y las redes públicas disponibles para ellos, se usará el primer algoritmo que se encuentre. El usuario empleará la conexión que se establezca primero para esa sesión.

Seguridad de conexión

RDP Shortpath amplía las capacidades multitransporte de RDP. No reemplaza el transporte de conexión inversa, sino que lo complementa. El agente de sesión inicial se administra mediante el servicio Azure Virtual Desktop y el transporte de conexión inversa. Todos los intentos de conexión se ignorarán a menos que primero coincidan con la sesión de conexión inversa. RDP Shortpath se establece después de la autenticación y, si se ha establecido correctamente, se quita el transporte de conexión inversa y todo el tráfico fluye a través de RDP Shortpath.

RDP Shortpath usa una conexión segura con TLS sobre UDP confiable entre el cliente y el host de sesión mediante los certificados del host de sesión. De manera predeterminada, el certificado usado para el cifrado RDP lo genera automáticamente el sistema operativo durante la implementación. También puede implementar certificados administrados centralmente emitidos por una entidad de certificación de empresa. Para obtener más información sobre las configuraciones de certificados, consulte Configuraciones de certificados del agente de escucha de Escritorio remoto.

Nota:

La seguridad que ofrece RDP Shortpath es la misma que la que ofrece el transporte de conexión inversa de TCP.

Escenarios de ejemplo

Estos son algunos escenarios de ejemplo que muestran cómo se evalúan las conexiones para decidir si RDP Shortpath se usa en distintas topologías de red.

Escenario 1

Una conexión UDP solo se puede establecer entre el dispositivo cliente y el host de sesión a través de una red pública (Internet). No está disponible ninguna conexión directa, como una VPN. UDP se permite a través del firewall o el dispositivo NAT.

Diagram that shows RDP Shortpath for public networks uses STUN.

Escenario 2

Un firewall o dispositivo NAT bloquea una conexión UDP directa, pero se puede retransmitir una conexión UDP indirecta mediante TURN entre el dispositivo cliente y el host de sesión a través de una red pública (Internet). No está disponible ninguna conexión directa, como una VPN.

Diagram that shows RDP Shortpath for public networks uses TURN.

Escenario 3

Se puede establecer una conexión UDP entre el dispositivo cliente y el host de sesión a través de una red pública o de una conexión VPN directa, pero RDP Shortpath para redes administradas no está habilitado. Cuando el cliente inicia la conexión, el protocolo ICE/STUN puede ver varias rutas y evaluará cada ruta y elegirá la que tiene la menor latencia.

En este ejemplo, se realizará una conexión UDP mediante RDP Shortpath para redes públicas a través de la conexión VPN directa, ya que tiene la menor latencia, como muestra la línea verde.

Diagram that shows a UDP connection using RDP Shortpath for public networks over the direct VPN connection will be made as it has the lowest latency.

Escenario 4

Está habilitado RDP Shortpath tanto para redes públicas como para redes administradas. Se puede establecer una conexión UDP entre el dispositivo cliente y el host de sesión a través de una red pública o de una conexión VPN directa. Cuando el cliente inicia la conexión, hay varios intentos simultáneos de conectarse mediante RDP Shortpath para redes administradas a través del puerto 3390 (de forma predeterminada) y RDP Shortpath para redes públicas a través del protocolo ICE/STUN. Se usará el primer algoritmo encontrado y el usuario empleará la conexión establecida primero para esa sesión.

Dado que atravesar una red pública tiene pasos adicionales, por ejemplo, un dispositivo NAT, un equilibrador de carga o un servidor STUN, es probable que el primer algoritmo encontrado seleccione la conexión mediante RDP Shortpath para redes administradas y se establezca primero.

Diagram that shows the first-found algorithm will select the connection using RDP Shortpath for managed networks and be established first.

Escenario 5

Se puede establecer una conexión UDP entre el dispositivo cliente y el host de sesión a través de una red pública o de una conexión VPN directa, pero RDP Shortpath para redes administradas no está habilitado. Para evitar que ICE/STUN use una ruta determinada, un administrador puede bloquear una de las rutas para el tráfico UDP. Este bloqueo garantizaría que siempre se use la ruta de acceso que queda.

En este ejemplo, UDP está bloqueado en la conexión VPN directa y el protocolo ICE/STUN establece una conexión a través de la red pública.

Diagram that shows UDP is blocked on the direct VPN connection and the ICE/STUN protocol establishes a connection over the public network.

Escenario 6

Está configurado RDP Shortpath tanto para redes públicas como para redes administradas, pero no se pudo establecer una conexión UDP usando una conexión VPN directa. Un firewall o un dispositivo NAT también bloquea una conexión UDP directa mediante la red pública (Internet), pero se puede retransmitir una conexión UDP indirecta mediante TURN entre el dispositivo cliente y el host de sesión a través de una red pública (Internet).

Diagram that shows UDP is blocked on the direct VPN connection and a direct connection using a public network also fails. TURN relays the connection over the public network.

Escenario 7

Está configurado RDP Shortpath tanto para redes públicas como para redes administradas, pero no se pudo establecer una conexión UDP. En esta instancia, RDP Shortpath producirá un error y la conexión volverá al transporte de conexión inversa basado en TCP.

Diagram that shows a UDP connection couldn't be established. In this instance, RDP Shortpath will fail and the connection will fall back to TCP-based reverse connect transport.

Pasos siguientes