Wskazówki dotyczące serwera proxy dla usługi Azure Virtual Desktop
W tym artykule pokazano, jak używać serwera proxy z usługą Azure Virtual Desktop. Zalecenia zawarte w tym artykule dotyczą tylko połączeń między infrastrukturą, klientem i agentami hosta sesji usługi Azure Virtual Desktop. Ten artykuł nie obejmuje łączności sieciowej dla pakietu Office, Windows 10, FSLogix ani innych aplikacji firmy Microsoft.
Co to są serwery proxy?
Zalecamy pomijanie serwerów proxy dla ruchu usługi Azure Virtual Desktop. Serwery proxy nie sprawiają, że usługa Azure Virtual Desktop jest bezpieczniejsza, ponieważ ruch jest już zaszyfrowany. Aby dowiedzieć się więcej na temat zabezpieczeń połączeń, zobacz Zabezpieczenia połączeń.
Większość serwerów proxy nie jest przeznaczona do obsługi długotrwałych połączeń Protokołu WebSocket i może mieć wpływ na stabilność połączenia. Skalowalność serwera proxy powoduje również problemy, ponieważ usługa Azure Virtual Desktop używa wielu długoterminowych połączeń. Jeśli używasz serwerów proxy, muszą mieć odpowiedni rozmiar, aby uruchamiać te połączenia.
Jeśli lokalizacja geograficzna serwera proxy jest daleka od hosta, odległość ta spowoduje większe opóźnienie w połączeniach użytkowników. Większe opóźnienie oznacza wolniejszy czas połączenia i gorsze środowisko użytkownika, zwłaszcza w scenariuszach wymagających interakcji graficznych, dźwiękowych lub o małych opóźnieniach z urządzeniami wejściowymi. Jeśli musisz użyć serwera proxy, pamiętaj, że musisz umieścić serwer w tej samej lokalizacji geograficznej co agent i klient usługi Azure Virtual Desktop.
Jeśli skonfigurujesz serwer proxy jako jedyną ścieżkę dla ruchu usługi Azure Virtual Desktop do podjęcia, dane protokołu RDP (Remote Desktop Protocol) będą wymuszane przez protokół TCP (Transmission Control Protocol) zamiast protokołu UDP (User Datagram Protocol). Spowoduje to obniżenie jakości wizualizacji i czasu odpowiedzi połączenia zdalnego.
Podsumowując, nie zalecamy używania serwerów proxy w usłudze Azure Virtual Desktop, ponieważ powodują one problemy związane z wydajnością związane z obniżeniem opóźnienia i utratą pakietów.
Pomijanie serwera proxy
Jeśli sieci i zasady zabezpieczeń organizacji wymagają serwerów proxy dla ruchu internetowego, możesz skonfigurować środowisko tak, aby pomijało połączenia usługi Azure Virtual Desktop, jednocześnie rozsyłając ruch przez serwer proxy. Jednak zasady każdej organizacji są unikatowe, więc niektóre metody mogą działać lepiej dla danego wdrożenia niż inne. Oto kilka metod konfiguracji, które można spróbować zapobiec utracie wydajności i niezawodności w środowisku:
- Tagi usługi platformy Azure z Azure Firewall
- Obejście serwera proxy przy użyciu plików automatycznej konfiguracji serwera proxy (
.PAC) - Pomiń listę w konfiguracji lokalnego serwera proxy
- Używanie serwerów proxy do konfiguracji poszczególnych użytkowników
- Używanie ścieżki RDP dla połączenia RDP przy zachowaniu ruchu usługi przez serwer proxy
Zalecenia dotyczące korzystania z serwerów proxy
Niektóre organizacje wymagają, aby cały ruch użytkowników przechodził przez serwer proxy do śledzenia lub inspekcji pakietów. W tej sekcji opisano sposób konfigurowania środowiska w tych przypadkach.
Używanie serwerów proxy w tej samej lokalizacji geograficznej platformy Azure
Gdy używasz serwera proxy, obsługuje całą komunikację z infrastrukturą usługi Azure Virtual Desktop i wykonuje rozpoznawanie nazw DNS oraz routing anycast do najbliższej usługi Azure Front Door. Jeśli serwery proxy są odległe lub rozproszone w lokalizacji geograficznej platformy Azure, rozdzielczość geograficzna będzie mniej dokładna. Mniej dokładne rozpoznawanie geograficzne oznacza, że połączenia będą kierowane do bardziej odległego klastra usługi Azure Virtual Desktop. Aby uniknąć tego problemu, należy używać tylko serwerów proxy, które znajdują się geograficznie blisko klastra usługi Azure Virtual Desktop.
Używanie ścieżki RDP dla sieci zarządzanych na potrzeby łączności pulpitu
Po włączeniu funkcji RDP Shortpath dla sieci zarządzanych dane protokołu RDP będą pomijać serwer proxy, jeśli to możliwe. Pomijanie serwera proxy zapewnia optymalny routing podczas korzystania z transportu UDP. Inny ruch usługi Azure Virtual Desktop, taki jak brokering, aranżacja i diagnostyka, nadal będzie przechodzić przez serwer proxy.
Nie używaj kończenia żądań SSL na serwerze proxy
Kończenie żądań protokołu SSL (Secure Sockets Layer) zastępuje certyfikaty zabezpieczeń składników usługi Azure Virtual Desktop certyfikatami wygenerowanymi przez serwer proxy. Ta funkcja serwera proxy umożliwia inspekcję pakietów dla ruchu HTTPS na serwerze proxy. Jednak inspekcja pakietów zwiększa również czas odpowiedzi usługi, co wydłuża czas logowania użytkowników. W przypadku scenariuszy z połączeniem zwrotnym inspekcja pakietów ruchu RDP nie jest konieczna, ponieważ ruch RDP z odwrotnym połączeniem jest binarny i używa dodatkowych poziomów szyfrowania.
Jeśli skonfigurujesz serwer proxy do korzystania z inspekcji protokołu SSL, pamiętaj, że nie można przywrócić serwera do pierwotnego stanu po wprowadzeniu zmian przez inspekcję protokołu SSL. Jeśli coś w środowisku usługi Azure Virtual Desktop przestanie działać podczas inspekcji protokołu SSL, musisz wyłączyć inspekcję protokołu SSL i spróbować ponownie przed otwarciem zgłoszenia do pomocy technicznej. Inspekcja protokołu SSL może również spowodować, że agent usługi Azure Virtual Desktop przestanie działać, ponieważ zakłóca zaufane połączenia między agentem a usługą.
Nie używaj serwerów proxy, które wymagają uwierzytelniania
Składniki usługi Azure Virtual Desktop na hoście sesji są uruchamiane w kontekście systemu operacyjnego, dzięki czemu nie obsługują serwerów proxy, które wymagają uwierzytelniania. Jeśli serwer proxy wymaga uwierzytelniania, połączenie zakończy się niepowodzeniem.
Planowanie pojemności sieciowej serwera proxy
Serwery proxy mają limity pojemności. W przeciwieństwie do zwykłego ruchu HTTP ruch RDP jest długotrwały, czatty połączeń, które są dwukierunkowe i zużywają dużą przepustowość. Przed skonfigurowaniem serwera proxy skontaktuj się z dostawcą serwera proxy, aby dowiedzieć się, ile przepływności ma serwer. Pamiętaj również, aby zapytać o liczbę sesji serwera proxy, które można uruchomić jednocześnie. Po wdrożeniu serwera proxy należy uważnie monitorować jego użycie zasobów pod kątem wąskich gardeł w ruchu usługi Azure Virtual Desktop.
Serwery proxy i optymalizacja multimediów usługi Microsoft Teams
Usługa Azure Virtual Desktop nie obsługuje serwerów proxy z optymalizacją multimediów dla usługi Microsoft Teams.
Zalecenia dotyczące konfiguracji hosta sesji
Aby skonfigurować serwer proxy na poziomie hosta sesji, należy włączyć serwer proxy dla całego systemu. Należy pamiętać, że konfiguracja systemu ma wpływ na wszystkie składniki systemu operacyjnego i aplikacje uruchomione na hoście sesji. W poniższych sekcjach przedstawiono zalecenia dotyczące konfigurowania serwerów proxy w całym systemie.
Używanie protokołu automatycznego odnajdywania serwera proxy sieci Web (WPAD)
Agent usługi Azure Virtual Desktop automatycznie próbuje zlokalizować serwer proxy w sieci przy użyciu protokołu WPAD (Web Proxy Auto-Discovery). Podczas próby lokalizacji agent przeszukuje serwer nazw domen (DNS) dla pliku o nazwie wpad.domainsuffix. Jeśli agent znajdzie plik w systemie DNS, wysyła żądanie HTTP dla pliku o nazwie wpad.dat. Odpowiedź staje się skryptem konfiguracji serwera proxy, który wybiera wychodzący serwer proxy.
Aby skonfigurować sieć do używania rozpoznawania nazw DNS dla WPAD, postępuj zgodnie z instrukcjami w temacie Ustawienia automatycznego wykrywania programu Internet Explorer 11. Upewnij się, że globalna lista bloków zapytań serwera DNS zezwala na rozpoznawanie WPAD, postępując zgodnie z instrukcjami w temacie Set-DnsServerGlobalQueryBlockList.
Ręczne ustawianie serwera proxy dla całego urządzenia dla usług systemu Windows
Jeśli ręcznie określasz serwer proxy, na hostach sesji musisz ustawić serwer proxy usług pulpitu zdalnego systemu Windows i usług pulpitu zdalnego . RdAgent działa z kontem System lokalny i Usługi pulpitu zdalnego działa z kontem Usługa sieciowa. Serwer proxy dla tych kont można ustawić przy użyciu bitsadmin narzędzia wiersza polecenia.
Poniższy przykład umożliwia skonfigurowanie kont systemu lokalnego i usługi sieciowej do używania pliku serwera proxy .pac . Te polecenia należy uruchomić z wiersza polecenia z podwyższonym poziomem uprawnień, zmieniając wartość symbolu zastępczego dla <server> elementu przy użyciu własnego adresu:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Aby uzyskać pełną dokumentację i inne przykłady, zobacz bitsadmin util i setieproxy.
Można również ustawić serwer proxy dla całego urządzenia lub automatyczną konfigurację serwera proxy (. Plik PAC, który ma zastosowanie do wszystkich użytkowników interakcyjnego, systemu lokalnego i usługi sieciowej. Jeśli hosty sesji są zarejestrowane w usłudze Intune, można ustawić serwer proxy za pomocą dostawcy CSP serwera proxy sieci, jednak wielosesyjne systemy operacyjne klienta systemu Windows nie obsługują dostawcy usługi konfiguracji zasad, ponieważ obsługują tylko katalog ustawień. Alternatywnie można skonfigurować serwer proxy dla całego urządzenia przy użyciu netsh winhttp polecenia . Aby uzyskać pełną dokumentację i przykłady, zobacz Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP)
Obsługa serwera proxy po stronie klienta
Klient usługi Azure Virtual Desktop obsługuje serwery proxy skonfigurowane przy użyciu ustawień systemowych lub dostawcy CSP serwera proxy sieci.
Obsługa klienta usługi Azure Virtual Desktop
W poniższej tabeli przedstawiono, którzy klienci usługi Azure Virtual Desktop obsługują serwery proxy:
| Nazwa klienta | Obsługa serwerów proxy |
|---|---|
| Pulpit systemu Windows | Tak |
| Klient internetowy | Tak |
| Android | Nie |
| iOS | Tak |
| macOS | Tak |
| Windows Store | Tak |
Aby uzyskać więcej informacji na temat obsługi serwera proxy na klientach zubożeń opartych na systemie Linux, zobacz Obsługa klienta elastycznego.
Ograniczenia pomocy technicznej
Istnieje wiele usług i aplikacji innych firm, które działają jako serwer proxy. Te usługi innych firm obejmują rozproszone zapory następnej generacji, systemy zabezpieczeń sieci Web i podstawowe serwery proxy. Nie możemy zagwarantować, że każda konfiguracja jest zgodna z usługą Azure Virtual Desktop. Firma Microsoft zapewnia ograniczoną obsługę połączeń ustanowionych za pośrednictwem serwera proxy. Jeśli występują problemy z łącznością podczas korzystania z serwera proxy, pomoc techniczna firmy Microsoft zaleca skonfigurowanie obejścia serwera proxy, a następnie próba odtworzenia problemu.
Następne kroki
Aby uzyskać więcej informacji na temat zabezpieczania wdrożenia usługi Azure Virtual Desktop, zapoznaj się z naszym przewodnikiem dotyczącym zabezpieczeń.