Richtlijnen voor proxyservers voor Azure Virtual Desktop
In dit artikel wordt uitgelegd hoe u een proxyserver gebruikt met Azure Virtual Desktop. De aanbevelingen in dit artikel zijn alleen van toepassing op verbindingen tussen Azure Virtual Desktop-infrastructuur, client en sessiehostagents. Dit artikel heeft geen betrekking op de netwerkconnectiviteit voor Office, Windows 10, FSLogix of andere Microsoft-toepassingen.
Wat zijn proxyservers?
U wordt aangeraden proxy's voor Azure Virtual Desktop-verkeer te omzeilen. Proxy's maken Azure Virtual Desktop niet veiliger omdat het verkeer al is versleuteld. Zie Verbindingsbeveiliging voor meer informatie over verbindingsbeveiliging.
De meeste proxyservers zijn niet ontworpen voor het ondersteunen van langlopende WebSocket-verbindingen en kunnen van invloed zijn op de stabiliteit van de verbinding. De schaalbaarheid van proxyservers veroorzaakt ook problemen omdat Azure Virtual Desktop gebruikmaakt van meerdere langdurige verbindingen. Als u proxyservers gebruikt, moeten deze de juiste grootte hebben om deze verbindingen uit te voeren.
Als de geografie van de proxyserver zich ver van de host bevindt, zorgt deze afstand voor meer latentie in uw gebruikersverbindingen. Meer latentie betekent een tragere verbindingstijd en een slechtere gebruikerservaring, met name in scenario's waarin interacties met afbeeldingen, audio of lage latentie met invoerapparaten nodig zijn. Als u een proxyserver moet gebruiken, moet u er rekening mee houden dat u de server in dezelfde geografie moet plaatsen als de Azure Virtual Desktop-agent en -client.
Als u uw proxyserver configureert als het enige pad voor Azure Virtual Desktop-verkeer, worden de RDP-gegevens (Remote Desktop Protocol) geforceerd via Tcp (Transmission Control Protocol) in plaats van UDP (User Datagram Protocol). Deze verplaatsing vermindert de visuele kwaliteit en reactiesnelheid van de externe verbinding.
Kortom, we raden het gebruik van proxyservers in Azure Virtual Desktop niet aan, omdat deze prestatieproblemen veroorzaken door latentievermindering en pakketverlies.
Een proxyserver omzeilen
Als het netwerk- en beveiligingsbeleid van uw organisatie proxyservers vereist voor webverkeer, kunt u uw omgeving zo configureren dat Azure Virtual Desktop-verbindingen worden omzeild terwijl het verkeer nog steeds via de proxyserver wordt gerouteerd. Het beleid van elke organisatie is echter uniek, dus sommige methoden werken mogelijk beter voor uw implementatie dan andere. Hier volgen enkele configuratiemethoden die u kunt proberen om verlies van prestaties en betrouwbaarheid in uw omgeving te voorkomen:
- Azure-servicetags met Azure Firewall
- Proxyserver overslaan met behulp van automatische proxyconfiguratiebestanden (
.PAC) - Lijst overslaan in de lokale proxyconfiguratie
- Proxyservers gebruiken voor configuratie per gebruiker
- RDP Shortpath gebruiken voor de RDP-verbinding terwijl het serviceverkeer via de proxy wordt behouden
Aanbevelingen voor het gebruik van proxyservers
Sommige organisaties vereisen dat al het gebruikersverkeer via een proxyserver gaat voor tracering of pakketinspectie. In deze sectie wordt beschreven hoe u in deze gevallen uw omgeving kunt configureren.
Proxyservers in dezelfde Azure-geografie gebruiken
Wanneer u een proxyserver gebruikt, verwerkt deze alle communicatie met de Azure Virtual Desktop-infrastructuur en voert deze DNS-omzetting en Anycast-routering uit naar de dichtstbijzijnde Azure Front Door. Als uw proxyservers ver weg zijn of zijn verdeeld over een Azure-geografie, is uw geografische resolutie minder nauwkeurig. Minder nauwkeurige geografische resolutie betekent dat verbindingen worden gerouteerd naar een meer afgelegen Azure Virtual Desktop-cluster. U kunt dit probleem voorkomen door alleen proxyservers te gebruiken die zich geografisch dicht bij uw Azure Virtual Desktop-cluster bevinden.
RDP Shortpath gebruiken voor beheerde netwerken voor bureaubladconnectiviteit
Wanneer u RDP Shortpath inschakelt voor beheerde netwerken, worden RDP-gegevens, indien mogelijk, de proxyserver overgeslagen. Het omzeilen van de proxyserver zorgt voor optimale routering tijdens het gebruik van het UDP-transport. Ander Azure Virtual Desktop-verkeer, zoals brokering, indeling en diagnostische gegevens, gaat nog steeds via de proxyserver.
Gebruik geen SSL-beëindiging op de proxyserver
Ssl-beëindiging (Secure Sockets Layer) vervangt beveiligingscertificaten van de Azure Virtual Desktop-onderdelen door certificaten die zijn gegenereerd door de proxyserver. Deze proxyserverfunctie maakt pakketinspectie voor HTTPS-verkeer op de proxyserver mogelijk. Pakketinspectie verhoogt echter ook de reactietijd van de service, waardoor het langer duurt voordat gebruikers zich aanmelden. Voor scenario's met omgekeerde verbinding is RDP-verkeerspakketinspectie niet nodig omdat RDP-verkeer met omgekeerde verbinding binair is en extra versleutelingsniveaus gebruikt.
Als u uw proxyserver configureert voor het gebruik van SSL-inspectie, moet u er rekening mee houden dat u de server niet kunt herstellen naar de oorspronkelijke status nadat de SSL-inspectie wijzigingen heeft aangebracht. Als iets in uw Azure Virtual Desktop-omgeving niet meer werkt terwijl SSL-inspectie is ingeschakeld, moet u SSL-inspectie uitschakelen en het opnieuw proberen voordat u een ondersteuningsaanvraag opent. SSL-inspectie kan er ook toe leiden dat de Azure Virtual Desktop-agent niet meer werkt, omdat deze de vertrouwde verbindingen tussen de agent en de service verstoort.
Gebruik geen proxyservers die verificatie nodig hebben
Azure Virtual Desktop-onderdelen op de sessiehost worden uitgevoerd in de context van hun besturingssysteem, zodat ze geen ondersteuning bieden voor proxyservers waarvoor verificatie is vereist. Als de proxyserver verificatie vereist, mislukt de verbinding.
De netwerkcapaciteit van de proxyserver plannen
Proxyservers hebben capaciteitslimieten. In tegenstelling tot gewoon HTTP-verkeer heeft RDP-verkeer langlopende, spraakachtige verbindingen die bidirectioneel zijn en veel bandbreedte verbruiken. Voordat u een proxyserver instelt, moet u contact opnemen met de leverancier van de proxyserver over de doorvoer die uw server heeft. Zorg er ook voor dat u hen vraagt hoeveel proxysessies u tegelijk kunt uitvoeren. Nadat u de proxyserver hebt geïmplementeerd, controleert u het resourcegebruik zorgvuldig op knelpunten in Azure Virtual Desktop-verkeer.
Proxyservers en Microsoft Teams-mediaoptimalisatie
Azure Virtual Desktop biedt geen ondersteuning voor proxyservers met mediaoptimalisatie voor Microsoft Teams.
Aanbevelingen voor sessiehostconfiguratie
Als u een proxyserver op sessiehostniveau wilt configureren, moet u een systeemomvattende proxy inschakelen. Houd er rekening mee dat de systeemomvattende configuratie van invloed is op alle onderdelen en toepassingen van het besturingssysteem die worden uitgevoerd op de sessiehost. De volgende secties zijn aanbevelingen voor het configureren van systeemomvattende proxy's.
Het WPAD-protocol (Web Proxy Auto-Discovery) gebruiken
De Azure Virtual Desktop-agent probeert automatisch een proxyserver op het netwerk te vinden met behulp van het WPAD-protocol (Web Proxy Auto-Discovery). Tijdens een locatiepoging zoekt de agent op de domeinnaamserver (DNS) naar een bestand met de naam wpad.domainsuffix. Als de agent het bestand in de DNS vindt, maakt deze een HTTP-aanvraag voor een bestand met de naam wpad.dat. Het antwoord wordt het proxyconfiguratiescript dat de uitgaande proxyserver kiest.
Als u uw netwerk wilt configureren voor het gebruik van DNS-resolutie voor WPAD, volgt u de instructies in Instellingen voor automatisch detecteren Internet Explorer 11. Zorg ervoor dat de algemene queryblokkeringslijst van de DNS-server de WPAD-omzetting toestaat door de instructies in Set-DnsServerGlobalQueryBlockList te volgen.
Handmatig een proxy voor het hele apparaat instellen voor Windows-services
Als u handmatig een proxyserver opgeeft, moet u minimaal een proxy instellen voor de Windows-services RDAgent en Extern bureaublad-services op uw sessiehosts. RDAgent wordt uitgevoerd met het account Lokaal systeem en Extern bureaublad-services worden uitgevoerd met de netwerkservice van het account. U kunt een proxy instellen voor deze accounts met behulp van het bitsadmin opdrachtregelprogramma.
In het volgende voorbeeld worden de lokale systeem- en netwerkserviceaccounts geconfigureerd voor het gebruik van een proxybestand .pac . U moet deze opdrachten uitvoeren vanaf een opdrachtprompt met verhoogde bevoegdheid en de tijdelijke aanduiding voor <server> wijzigen met uw eigen adres:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Zie bitsadmin util and setieproxy (bitsadmin util and setieproxy) voor een volledige naslaginformatie en andere voorbeelden.
U kunt ook een apparaatbrede proxy of automatische proxyconfiguratie (. PAC)-bestand dat van toepassing is op alle interactieve, lokale systeem- en netwerkservicegebruikers. Als uw sessiehosts zijn ingeschreven bij Intune, kunt u een proxy instellen met de netwerkproxy-CSP. Windows-clientbesturingssystemen met meerdere sessies ondersteunen echter geen beleids-CSP omdat ze alleen de catalogus met instellingen ondersteunen. U kunt ook een proxy voor het hele apparaat configureren met behulp van de netsh winhttp opdracht . Zie Netsh-opdrachten voor Windows Hypertext Transfer Protocol (WINHTTP) voor een volledig overzicht en voorbeelden
Proxyondersteuning aan clientzijde
De Azure Virtual Desktop-client ondersteunt proxyservers die zijn geconfigureerd met systeeminstellingen of een netwerkproxy-CSP.
Azure Virtual Desktop-clientondersteuning
In de volgende tabel ziet u welke Azure Virtual Desktop-clients proxyservers ondersteunen:
| De clientnaam | Proxyserverondersteuning |
|---|---|
| Windows-pc | Ja |
| Webclient | Ja |
| Android | Nee |
| iOS | Yes |
| macOS | Yes |
| Windows Store | Ja |
Zie Ondersteuning voor thin clients voor meer informatie over proxyondersteuning op op Linux gebaseerde thin clients.
Ondersteuningsbeperkingen
Er zijn veel services en toepassingen van derden die fungeren als een proxyserver. Deze services van derden omvatten gedistribueerde firewalls van de volgende generatie, webbeveiligingssystemen en basisproxyservers. We kunnen niet garanderen dat elke configuratie compatibel is met Azure Virtual Desktop. Microsoft biedt alleen beperkte ondersteuning voor verbindingen die via een proxyserver tot stand zijn gebracht. Als u verbindingsproblemen ondervindt tijdens het gebruik van een proxyserver, raadt Microsoft Ondersteuning u aan een proxy-bypass te configureren en het probleem vervolgens te reproduceren.
Volgende stappen
Raadpleeg onze beveiligingshandleiding voor meer informatie over het beveiligen van uw Azure Virtual Desktop-implementatie.