Förstå nätverksanslutningar för Azure Virtual Desktop

Azure Virtual Desktop ger möjlighet att vara värd för klientsessioner på sessionsvärdarna som körs i Azure. Microsoft hanterar delar av tjänsterna för kundens räkning och tillhandahåller säkra slutpunkter för att ansluta klienter och sessionsvärdar. Diagrammet nedan ger en översikt på hög nivå över de nätverksanslutningar som används av Azure Virtual Desktop

Diagram of Azure Virtual Desktop Network Connections

Sessionsanslutning

Azure Virtual Desktop använder RDP (Remote Desktop Protocol) för att tillhandahålla funktioner för fjärrvisning och indata via nätverksanslutningar. RDP släpptes ursprungligen med Windows NT 4.0 Terminal Server Edition och utvecklades kontinuerligt med varje Version av Microsoft Windows och Windows Server. RDP utvecklades från början till att vara oberoende av den underliggande transportstacken och stöder idag flera typer av transporter.

Transport med omvänd anslutning

Azure Virtual Desktop använder omvänd anslutningstransport för att upprätta fjärrsessionen och för att transportera RDP-trafik. Till skillnad från distributioner av lokala fjärrskrivbordstjänster använder inte omvänd anslutning transport en TCP-lyssnare för att ta emot inkommande RDP-anslutningar. I stället använder den utgående anslutning till Azure Virtual Desktop-infrastrukturen via HTTPS-anslutningen.

Kommunikationskanal för sessionsvärd

När azure virtual desktop-sessionsvärden startas etablerar tjänsten Remote Desktop Agent Loader Azure Virtual Desktop Brokers beständiga kommunikationskanal. Den här kommunikationskanalen ligger ovanpå en säker TLS-anslutning (Transport Layer Security) och fungerar som en buss för servicemeddelandeutbyte mellan sessionsvärden och Azure Virtual Desktop-infrastrukturen.

Klientanslutningssekvens

Sekvens för klientanslutning som beskrivs nedan:

  1. Använda Azure Virtual Desktop-klientanvändare som stöds prenumererar på Azure Virtual Desktop-arbetsytan
  2. Microsoft Entra autentiserar användaren och returnerar den token som används för att räkna upp resurser som är tillgängliga för en användare
  3. Klienten skickar token till prenumerationstjänsten för Azure Virtual Desktop-feed
  4. Prenumerationstjänsten för Azure Virtual Desktop-feed verifierar token
  5. Prenumerationstjänsten för Azure Virtual Desktop-feed skickar listan över tillgängliga skrivbord och program tillbaka till klienten i form av en digitalt signerad anslutningskonfiguration
  6. Klienten lagrar anslutningskonfigurationen för varje tillgänglig resurs i en uppsättning .rdp-filer
  7. När en användare väljer den resurs som ska anslutas använder klienten den associerade .rdp-filen och upprättar den säkra TLS 1.2-anslutningen till en Azure Virtual Desktop-gatewayinstans med hjälp av Azure Front Door och skickar anslutningsinformationen. Svarstiden från alla gatewayer utvärderas och gatewayerna placeras i grupper på 10 ms. Gatewayen med den lägsta svarstiden och sedan det lägsta antalet befintliga anslutningar väljs.
  8. Azure Virtual Desktop-gatewayen validerar begäran och ber Azure Virtual Desktop-koordinatorn att samordna anslutningen
  9. Azure Virtual Desktop Broker identifierar sessionsvärden och använder den tidigare etablerade beständiga kommunikationskanalen för att initiera anslutningen
  10. Fjärrskrivbordsstacken initierar TLS 1.2-anslutningen till samma Azure Virtual Desktop-gatewayinstans som används av klienten
  11. När både klient- och sessionsvärden är anslutna till gatewayen börjar gatewayen vidarebefordra rådata mellan båda slutpunkterna, vilket etablerar den grundläggande omvända anslutningstransporten för RDP
  12. När bastransporten har angetts startar klienten RDP-handskakningen

Anslutningssäkerhet

TLS 1.2 används för alla anslutningar som initieras från klienterna och sessionsvärdarna till Azure Virtual Desktop-infrastrukturkomponenterna. Azure Virtual Desktop använder samma TLS 1.2-chiffer som Azure Front Door. Det är viktigt att se till att både klientdatorer och sessionsvärdar kan använda dessa chiffer. För omvänd anslutningstransport ansluter både klient- och sessionsvärden till Azure Virtual Desktop-gatewayen. När du har upprättat TCP-anslutningen validerar klient- eller sessionsvärden Azure Virtual Desktop-gatewayens certifikat. När du har upprättat bastransporten upprättar RDP en kapslad TLS-anslutning mellan klient- och sessionsvärden med hjälp av sessionsvärdens certifikat. Som standard genereras certifikatet som används för RDP-kryptering av operativsystemet själv under distributionen. Om så önskas kan kunder distribuera centralt hanterade certifikat som utfärdats av företagets certifikatutfärdare. Mer information om hur du konfigurerar certifikat finns i Windows Server-dokumentationen.

Nästa steg