Proxykiszolgálói irányelvek az Azure Virtual Desktophoz
Ez a cikk bemutatja, hogyan használhat proxykiszolgálót az Azure Virtual Desktoppal. A cikkben szereplő javaslatok csak az Azure Virtual Desktop-infrastruktúra, -ügyfél- és munkamenetgazdaügynökök közötti kapcsolatokra vonatkoznak. Ez a cikk nem foglalkozik az Office, a Windows 10, az FSLogix vagy más Microsoft-alkalmazások hálózati kapcsolatával.
Mik azok a proxykiszolgálók?
Az Azure Virtual Desktop-forgalom proxyinak megkerülését javasoljuk. A proxyk nem teszik biztonságosabbá az Azure Virtual Desktopot, mert a forgalom már titkosítva van. A kapcsolatbiztonságról további információt a Kapcsolatbiztonság című témakörben talál.
A legtöbb proxykiszolgáló nem hosszú ideig futó WebSocket-kapcsolatok támogatására van kialakítva, és hatással lehet a kapcsolat stabilitására. A proxykiszolgáló méretezhetősége is problémákat okoz, mivel az Azure Virtual Desktop több hosszú távú kapcsolatot használ. Ha proxykiszolgálókat használ, ezeknek megfelelő méretűnek kell lenniük ezeknek a kapcsolatoknak a futtatásához.
Ha a proxykiszolgáló földrajzi elhelyezkedése messze van a gazdagéptől, akkor ez a távolság nagyobb késést okoz a felhasználói kapcsolatokban. A nagyobb késés lassabb csatlakozási időt és rosszabb felhasználói élményt jelent, különösen olyan helyzetekben, amelyekben grafikus, hang- vagy kis késésű interakciókra van szükség a bemeneti eszközökkel. Ha proxykiszolgálót kell használnia, ne feledje, hogy a kiszolgálót ugyanabban a földrajzi helyen kell elhelyeznie, mint az Azure Virtual Desktop-ügynököt és -ügyfelet.
Ha úgy konfigurálja a proxykiszolgálót, hogy az azure-beli virtuális asztal forgalmának egyetlen elérési útja legyen, a Rendszer a User Datagram Protocol (UDP) helyett a Tcp protokollon (TCP) keresztül kényszeríti a Távoli asztali protokoll (RDP) adatait. Ez a lépés csökkenti a távoli kapcsolat vizuális minőségét és válaszképességét.
Összefoglalva, nem javasoljuk a proxykiszolgálók használatát az Azure Virtual Desktopon, mert teljesítményproblémákat okoznak a késés romlása és a csomagvesztés miatt.
Proxykiszolgáló megkerülése
Ha a szervezet hálózati és biztonsági szabályzatai proxykiszolgálókat igényelnek a webes forgalomhoz, konfigurálhatja a környezetet úgy, hogy megkerülje az Azure Virtual Desktop-kapcsolatokat, miközben továbbra is a proxykiszolgálón keresztül irányítja a forgalmat. Az egyes szervezetek házirendjei azonban egyediek, így egyes módszerek jobban működhetnek az üzembe helyezéshez, mint mások. Íme néhány konfigurációs módszer, a teljesítmény és a megbízhatóság elvesztésének megelőzésére a környezetben:
- Azure-szolgáltatáscímkék Azure Firewall
- Proxykiszolgáló megkerülése proxy-automatikus konfigurációs (
.PAC) fájlokkal - Megkerülő lista a helyi proxykonfigurációban
- Proxykiszolgálók használata felhasználónkénti konfigurációhoz
- RDP shortpath használata az RDP-kapcsolathoz, miközben a szolgáltatás forgalmát a proxyn keresztül tartja
Javaslatok proxykiszolgálók használatához
Egyes szervezetek megkövetelik, hogy az összes felhasználói forgalom egy proxykiszolgálón haladjon keresztül nyomon követés vagy csomagvizsgálat céljából. Ez a szakasz ismerteti, hogyan javasoljuk a környezet konfigurálását ezekben az esetekben.
Proxykiszolgálók használata ugyanabban az Azure-földrajzi helyen
Ha proxykiszolgálót használ, az kezeli az Azure Virtual Desktop-infrastruktúrával folytatott összes kommunikációt, és DNS-feloldást és Bármely küldési útválasztást hajt végre a legközelebbi Azure Front Doorhoz. Ha a proxykiszolgálók távoliak vagy el vannak osztva egy Azure-beli földrajzi helyen, a földrajzi felbontás kevésbé lesz pontos. A kevésbé pontos földrajzi felbontás azt jelenti, hogy a kapcsolatok egy távolabbi Azure Virtual Desktop-fürtre lesznek irányítva. A probléma elkerülése érdekében csak olyan proxykiszolgálókat használjon, amelyek földrajzilag közel vannak az Azure Virtual Desktop-fürthöz.
RdP Shortpath használata felügyelt hálózatokhoz asztali kapcsolathoz
Ha engedélyezi az RDP Shortpath használatát a felügyelt hálózatokhoz, az RDP-adatok lehetőség szerint megkerülik a proxykiszolgálót. A proxykiszolgáló megkerülése biztosítja az optimális útválasztást az UDP-átvitel használata közben. Az Egyéb Azure Virtual Desktop-forgalom, például a közvetítő, a vezénylés és a diagnosztika továbbra is áthalad a proxykiszolgálón.
Ne használjon SSL-leállítást a proxykiszolgálón
A Secure Sockets Layer (SSL) leállítása lecseréli az Azure Virtual Desktop összetevőinek biztonsági tanúsítványait a proxykiszolgáló által létrehozott tanúsítványokra. Ez a proxykiszolgálói funkció lehetővé teszi a https-forgalom csomagvizsgálatát a proxykiszolgálón. A csomagvizsgálat azonban megnöveli a szolgáltatás válaszidejének időtartamát is, ami hosszabb időt vesz igénybe a felhasználók bejelentkezéséhez. Fordított csatlakozási forgatókönyvek esetén az RDP-forgalom csomagvizsgálatára nincs szükség, mert a fordított kapcsolatú RDP-forgalom bináris, és extra titkosítási szinteket használ.
Ha úgy konfigurálja a proxykiszolgálót, hogy SSL-ellenőrzést használjon, ne feledje, hogy az SSL-ellenőrzés után nem állíthatja vissza a kiszolgálót az eredeti állapotára. Ha az Azure Virtual Desktop-környezetben valami nem működik, amíg az SSL-vizsgálat engedélyezve van, le kell tiltania az SSL-ellenőrzést, és újra kell próbálkoznia, mielőtt támogatási esetet nyit. Az SSL-ellenőrzés azt is okozhatja, hogy az Azure Virtual Desktop-ügynök működése leáll, mert zavarja az ügynök és a szolgáltatás közötti megbízható kapcsolatokat.
Ne használjon hitelesítést igénylő proxykiszolgálót
A munkamenetgazda Azure Virtual Desktop-összetevői az operációs rendszerük környezetében futnak, így nem támogatják a hitelesítést igénylő proxykiszolgálókat. Ha a proxykiszolgáló hitelesítést igényel, a kapcsolat sikertelen lesz.
A proxykiszolgáló hálózati kapacitásának megtervezése
A proxykiszolgálók kapacitáskorlátokkal rendelkeznek. A hagyományos HTTP-forgalomtól eltérően az RDP-forgalom hosszú ideig fut, forgalmas kapcsolatok, amelyek kétirányúak, és nagy sávszélességet fogyasztanak. A proxykiszolgáló beállítása előtt beszéljen a proxykiszolgáló gyártójával arról, hogy a kiszolgáló mekkora átviteli sebességgel rendelkezik. Azt is kérdezze meg tőlük, hogy egyszerre hány proxy-munkamenetet futtathat. A proxykiszolgáló üzembe helyezése után gondosan monitorozza az erőforrás-használatát az Azure Virtual Desktop-forgalom szűk keresztmetszeteihez.
Proxykiszolgálók és a Microsoft Teams médiaoptimalizálása
Az Azure Virtual Desktop nem támogatja a Microsoft Teams médiaoptimalizálással rendelkező proxykiszolgálóit.
Munkamenet-gazdagép konfigurációs javaslatai
Munkamenetgazdaszintű proxykiszolgáló konfigurálásához engedélyeznie kell egy rendszerszintű proxyt. Ne feledje, hogy a rendszerszintű konfiguráció a munkamenet-gazdagépen futó összes operációsrendszer-összetevőre és alkalmazásra hatással van. Az alábbi szakaszok a rendszerszintű proxyk konfigurálására vonatkozó javaslatokat ismertetik.
A webproxy automatikus felderítési (WPAD) protokolljának használata
Az Azure Virtual Desktop-ügynök automatikusan megpróbál megkeresni egy proxykiszolgálót a hálózaton a webproxy automatikus felderítési (WPAD) protokolljával. Egy helymeghatározó kísérlet során az ügynök a tartománynév-kiszolgálón (DNS) keres egy wpad.domainsuffix nevű fájlt. Ha az ügynök megtalálja a fájlt a DNS-ben, http-kérést küld egy wpad.dat nevű fájlhoz. A válasz a kimenő proxykiszolgálót kiválasztó proxykonfigurációs szkript lesz.
Ha úgy szeretné konfigurálni a hálózatot, hogy a WPAD DNS-feloldását használja, kövesse az Internet Explorer 11 automatikus észlelési beállításainak utasításait. Győződjön meg arról, hogy a DNS-kiszolgáló globális lekérdezési tiltólistája engedélyezi a WPAD-feloldást a Set-DnsServerGlobalQueryBlockList útmutatásait követve.
Eszközszintű proxy manuális beállítása Windows-szolgáltatásokhoz
Ha manuálisan ad meg proxykiszolgálót, legalább be kell állítania egy proxyt a windowsos szolgáltatások RDAgent és távoli asztali szolgáltatásai számára a munkamenetgazdákon. Az RDAgent a Helyi rendszer fiókkal fut, a távoli asztali szolgáltatások pedig a hálózati szolgáltatással futnak. Ezekhez a fiókokhoz bitsadmin a parancssori eszközzel állíthat be proxyt.
Az alábbi példa a helyi rendszer- és hálózatiszolgáltatás-fiókokat proxyfájl .pac használatára konfigurálja. Ezeket a parancsokat egy rendszergazda jogú parancssorból kell futtatnia, és a helyőrző értékét <server> a saját címével kell módosítania:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
A teljes referencia és egyéb példákért lásd: bitsadmin util és setieproxy.
Eszközszintű proxyt vagy proxy automatikus konfigurációt () is beállíthat. PAC) fájl, amely az összes interaktív, helyi rendszer- és hálózati szolgáltatásfelhasználóra vonatkozik. Ha a munkamenetgazdák regisztrálva vannak a Intune, beállíthat egy proxyt a hálózati proxy CSP-vel, azonban a Windows több munkamenetes ügyféloldali operációs rendszerei nem támogatják a házirend CSP-t, mivel csak a beállításkatalógust támogatják. Másik lehetőségként az egész eszközre kiterjedő proxyt is konfigurálhat a netsh winhttp paranccsal. Teljes körű referencia és példák: Netsh-parancsok a Windows Hypertext Transfer Protocolhoz (WINHTTP)
Ügyféloldali proxytámogatás
Az Azure Virtual Desktop-ügyfél támogatja a rendszerbeállításokkal vagy hálózati proxy CSP-vel konfigurált proxykiszolgálók használatát.
Az Azure Virtual Desktop ügyféltámogatása
Az alábbi táblázat azt mutatja be, hogy mely Azure Virtual Desktop-ügyfelek támogatják a proxykiszolgálók használatát:
| Ügyfél neve | Proxykiszolgáló-támogatás |
|---|---|
| Windows asztali rendszer | Igen |
| Webes ügyfél | Igen |
| Android | Nem |
| iOS | Igen |
| macOS | Igen |
| Windows Áruház | Igen |
További információ a Linux-alapú vékony ügyfelek proxytámogatásáról: Vékony ügyféltámogatás.
Támogatási korlátozások
Számos külső szolgáltatás és alkalmazás működik proxykiszolgálóként. Ezek a külső szolgáltatások közé tartoznak az elosztott következő generációs tűzfalak, a webes biztonsági rendszerek és az alapszintű proxykiszolgálók. Nem tudjuk garantálni, hogy minden konfiguráció kompatibilis az Azure Virtual Desktoppal. A Microsoft csak korlátozott támogatást nyújt a proxykiszolgálón létesített kapcsolatokhoz. Ha kapcsolódási problémákat tapasztal proxykiszolgáló használata közben, a Microsoft ügyfélszolgálata azt javasolja, hogy konfiguráljon proxy-megkerülést, majd próbálja meg reprodukálni a problémát.
Következő lépések
Az Azure Virtual Desktop üzembe helyezésének biztonságáról további információt a biztonsági útmutatónkban talál.