Panduan server proksi Azure Virtual Desktop - Azure
Artikel ini akan menampilkan kepada Anda cara menggunakan server proksi dengan Azure Virtual Desktop. Rekomendasi dalam artikel ini hanya berlaku untuk koneksi antara agen host sesi, klien, dan infrastruktur Azure Virtual Desktop. Artikel ini tidak mencakup konektivitas jaringan untuk Office, Windows 10, FSLogix, atau aplikasi Microsoft lainnya.
Apa itu server proksi?
Sebaiknya lewati proksi untuk lalu lintas Azure Virtual Desktop. Proksi tidak membuat Azure Virtual Desktop menjadi lebih aman karena lalu lintas sudah dienkripsi. Untuk mempelajari selengkapnya tentang keamanan koneksi, lihat Keamanan koneksi.
Sebagian besar server proksi tidak dirancang untuk mendukung koneksi WebSocket yang berjalan lama dan dapat memengaruhi stabilitas koneksi. Skalabilitas server proksi juga menyebabkan masalah karena Azure Virtual Desktop menggunakan beberapa koneksi jangka panjang. Jika Anda menggunakan server proksi, server proksi harus memiliki ukuran yang tepat untuk menjalankan koneksi ini.
Jika letak geografi server proksi jauh dari host, maka jarak ini akan menyebabkan lebih banyak latensi dalam koneksi pengguna Anda. Latensi yang besar berarti waktu koneksi yang lebih lambat dan pengalaman pengguna yang lebih buruk, terutama dalam skenario yang membutuhkan interaksi grafika, audio, atau latensi rendah dengan perangkat input. Jika Anda harus menggunakan server proksi, perlu diingat bahwa Anda harus menempatkan server dalam letak geografi yang sama dengan Azure Virtual Desktop Agent dan klien.
Jika Anda mengonfigurasi server proksi sebagai satu-satunya jalur untuk lalu lintas Azure Virtual Desktop yang harus diambil, data Protokol Desktop Jarak Jauh (RDP) akan terpaksa harus melalui Protokol Kendali Transmisi (TCP) daripada Protokol Datagram Pengguna (UDP). Langkah ini menurunkan kualitas visual dan responsivitas koneksi jarak jauh.
Singkatnya, kami tidak merekomendasikan penggunaan server proksi di Azure Virtual Desktop karena menyebabkan masalah terkait kinerja dari degradasi latensi dan kehilangan paket.
Melewati server proksi
Jika kebijakan jaringan dan keamanan organisasi Anda memerlukan server proksi untuk lalu lintas web, Anda dapat mengonfigurasi lingkungan Anda untuk melewati koneksi Azure Virtual Desktop sambil tetap merutekan lalu lintas melalui server proksi. Namun, kebijakan setiap organisasi unik, sehingga beberapa metode mungkin berfungsi lebih baik untuk penyebaran Anda daripada yang lain. Berikut adalah beberapa metode konfigurasi yang dapat Anda coba untuk mencegah hilangnya kinerja dan keandalan di lingkungan Anda:
- Tag layanan Azure dengan Azure Firewall
- Bypass server proksi menggunakan file Konfigurasi Otomatis Proksi (
.PAC) - Daftar bypass dalam konfigurasi proksi lokal
- Menggunakan server proksi sesuai konfigurasi pengguna
- Menggunakan Shortpath RDP untuk koneksi RDP sambil menjaga lalu lintas layanan melalui proksi
Rekomendasi untuk menggunakan server proksi
Beberapa organisasi mengharuskan semua lalu lintas pengguna melewati server proksi untuk melacak atau inspeksi paket. Bagian ini menjelaskan cara kami merekomendasikan konfigurasi lingkungan Anda dalam kasus seperti ini.
Gunakan server proksi di letak geografi Azure yang sama
Saat Anda menggunakan server proksi, server ini menangani semua komunikasi dengan infrastruktur Azure Virtual Desktop dan melakukan resolusi DNS dan perutean Anycast ke Azure Front Door terdekat. Jika letak server proksi Anda jauh atau didistribusikan di seluruh geografi Azure, resolusi geografis Anda akan kurang akurat. Resolusi geografis yang kurang akurat berarti koneksi akan dialihkan ke klaster Azure Virtual Desktop yang lebih jauh. Untuk menghindari masalah ini, hanya gunakan server proksi yang secara geografis dekat dengan klaster Azure Virtual Desktop Anda.
Menggunakan Shortpath RDP untuk jaringan terkelola untuk konektivitas desktop
Ketika Anda mengaktifkan Shortpath RDP untuk jaringan terkelola, data RDP akan melewati server proksi, jika memungkinkan. Melewati server proxy memastikan perutean optimal sambil menggunakan transportasi UDP. Lalu lintas Azure Virtual Desktop lainnya, seperti broker, orkestrasi, dan diagnostik masih akan melalui server proksi.
Jangan gunakan penghentian SSL pada server proksi
Penghentian Secure Sockets Layer (SSL) menggantikan sertifikat keamanan komponen Azure Virtual Desktop dengan sertifikat yang dihasilkan oleh server proksi. Fitur server proksi ini memungkinkan inspeksi paket untuk lalu lintas HTTPS di server proksi. Namun, pemeriksaan paket juga meningkatkan waktu respons layanan, sehingga membutuhkan waktu lebih lama bagi pengguna untuk masuk. Untuk skenario koneksi terbalik, inspeksi paket lalu lintas RDP tidak diperlukan karena lalu lintas RDP koneksi terbalik adalah biner dan menggunakan tingkat enkripsi ekstra.
Jika Anda mengonfigurasi server proksi untuk menggunakan inspeksi SSL, perlu diingat bahwa Anda tidak dapat mengembalikan server ke keadaan semula setelah inspeksi SSL membuat perubahan. Jika ada sesuatu di lingkungan Azure Virtual Desktop Anda yang berhenti berfungsi saat Anda sudah mengaktifkan inspeksi SSL, Anda harus menonaktifkan inspeksi SSL dan mencoba lagi sebelum membuka kasus dukungan. Inspeksi SSL juga dapat menyebabkan agen Azure Virtual Desktop berhenti bekerja karena mengganggu koneksi tepercaya antara agen dan layanan.
Jangan gunakan server proksi yang memerlukan autentikasi
Komponen Azure Virtual Desktop pada host sesi berjalan dalam konteks sistem operasi mereka, sehingga mereka tidak mendukung server proksi yang memerlukan autentikasi. Jika server proksi memerlukan autentikasi, koneksi akan gagal.
Rencanakan kapasitas jaringan server proksi
Server proksi memiliki batas kapasitas. Tidak seperti lalu lintas HTTP biasa, lalu lintas RDP memiliki koneksi yang telah lama berjalan serta ramai yang dua arah dan memakai banyak bandwidth. Sebelum Anda menyiapkan server proksi, bicarakan dengan vendor server proksi Anda tentang berapa banyak throughput yang dilakukan server Anda. Pastikan juga untuk bertanya kepada mereka tentang berapa banyak sesi proksi yang dapat Anda jalankan pada satu waktu. Setelah Anda menggunakan server proksi, pantau dengan cermat penggunaan sumber dayanya terkait hambatan dalam lalu lintas Azure Virtual Desktop.
Server proksi dan pengoptimalan media Microsoft Teams
Azure Virtual Desktop tidak mendukung server proksi dengan pengoptimalan media untuk Microsoft Teams.
Rekomendasi konfigurasi host sesi
Untuk mengonfigurasi server proksi tingkat host sesi, Anda perlu mengaktifkan proksi di seluruh sistem. Perlu diingat bahwa konfigurasi di seluruh sistem mempengaruhi semua komponen dan aplikasi OS yang sedang berjalan pada host sesi. Bagian berikut adalah rekomendasi untuk mengonfigurasi proksi di seluruh sistem.
Menggunakan protokol Penemuan Otomatis Proksi Web (WPAD)
Agen Desktop Virtual Azure secara otomatis mencoba menemukan server proksi di jaringan menggunakan protokol Penemuan Otomatis Proksi Web (WPAD). Selama upaya lokasi, agen mencari server nama domain (DNS) untuk file bernama wpad.domainsuffix. Jika agen menemukan file di DNS, itu membuat permintaan HTTP untuk file bernama wpad.dat. Respons menjadi skrip konfigurasi proksi yang memilih server proksi keluar.
Untuk mengonfigurasi jaringan Anda agar menggunakan resolusi DNS untuk WPAD, ikuti instruksi di Mendeteksi secara otomatis pengaturan Internet Explorer 11. Pastikan daftar blokir kueri global server DNS memungkinkan resolusi WPAD dengan mengikuti petunjuk di Set-DnsServerGlobalQueryBlockList.
Mengatur proksi di seluruh perangkat secara manual untuk layanan Windows
Jika Anda menentukan server proksi secara manual, minimal Anda harus mengatur proksi untuk layanan Windows RDAgent dan Layanan Desktop Jarak Jauh pada host sesi Anda. RDAgent berjalan dengan akun Sistem Lokal dan Layanan Desktop Jarak Jauh berjalan dengan Layanan Jaringan akun. Anda dapat mengatur proksi untuk akun ini menggunakan bitsadmin alat baris perintah.
Contoh berikut mengonfigurasi akun Sistem Lokal dan Layanan Jaringan untuk menggunakan file proksi .pac . Anda harus menjalankan perintah ini dari prompt perintah yang ditingkatkan, mengubah nilai tempat penampung untuk <server> dengan alamat Anda sendiri:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Untuk referensi lengkap dan contoh lainnya, lihat bitsadmin util dan setieproxy.
Anda juga dapat mengatur proksi di seluruh perangkat atau Konfigurasi Otomatis Proksi (. FILE PAC) yang berlaku untuk semua pengguna interaktif, Sistem Lokal, dan Layanan Jaringan. Jika host sesi Anda terdaftar dengan Intune, Anda dapat mengatur proksi dengan Network Proxy CSP, namun, sistem operasi klien multi-sesi Windows tidak mendukung Policy CSP karena hanya mendukung katalog pengaturan. Atau Anda dapat mengonfigurasi proksi di seluruh perangkat menggunakan netsh winhttp perintah . Untuk referensi dan contoh lengkap, lihat Perintah Netsh untuk Windows Hypertext Transfer Protocol (WINHTTP)
Dukungan proksi sisi klien
Klien Azure Virtual Desktop mendukung server proksi yang dikonfigurasi dengan pengaturan sistem atau Proksi Jaringan CSP.
Dukungan klien Azure Virtual Desktop
Tabel berikut ini menampilkan klien Azure Virtual Desktop mana yang mendukung server proksi:
| Nama klien | Dukungan server proksi |
|---|---|
| Desktop Windows | Ya |
| Klien web | Ya |
| Android | Tidak |
| iOS | Ya |
| macOS | Ya |
| Bursa Windows | Ya |
Untuk informasi selengkapnya tentang dukungan proksi pada klien tipis berbasis Linux, lihat Dukungan klien tipis.
Keterbatasan dukungan
Ada banyak layanan dan aplikasi pihak ketiga yang bertindak sebagai server proksi. Layanan pihak ketiga ini mencakup server proxy dasar, sistem keamanan web, dan firewall generasi berikutnya yang terdistribusikan. Kami tidak dapat menjamin bahwa setiap konfigurasi kompatibel dengan Azure Virtual Desktop. Microsoft hanya menyediakan dukungan terbatas untuk koneksi yang dibuat melalui server proksi. Jika Anda mengalami masalah konektivitas saat menggunakan server proksi, dukungan Microsoft menyarankan Anda mengonfigurasi bypass proksi lalu mencoba mereproduksi masalah tersebut.
Langkah berikutnya
Untuk informasi selengkapnya tentang menjaga penyebaran Azure Virtual Desktop Anda tetap aman, lihat panduan keamanan kami.