Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come usare un server proxy con Desktop virtuale Azure. Le raccomandazioni in questo articolo si applicano solo alle connessioni tra l'infrastruttura di Desktop virtuale Azure, il client e gli agenti host della sessione. Questo articolo non illustra la connettività di rete per Office, Windows 10, FSLogix o altre applicazioni Microsoft.
Che cosa sono i server proxy?
È consigliabile ignorare i proxy per il traffico di Desktop virtuale Azure. I proxy non rendono Desktop virtuale Azure più sicuro perché il traffico è già crittografato. Per altre informazioni sulla sicurezza della connessione, vedere Sicurezza della connessione.
La maggior parte dei server proxy non è progettata per supportare connessioni WebSocket a esecuzione prolungata e può influire sulla stabilità della connessione. La scalabilità del server proxy causa anche problemi perché Desktop virtuale Azure usa più connessioni a lungo termine. Se si usano server proxy, devono avere le dimensioni corrette per eseguire queste connessioni.
Se l'area geografica del server proxy è lontana dall'host, questa distanza causerà una maggiore latenza nelle connessioni utente. Una maggiore latenza significa tempi di connessione più lenti e un'esperienza utente peggiore, soprattutto in scenari che richiedono interazioni grafiche, audio o a bassa latenza con i dispositivi di input. Se è necessario usare un server proxy, tenere presente che è necessario posizionare il server nella stessa area geografica dell'agente e del client di Desktop virtuale Azure.
Se si configura il server proxy come unico percorso per il traffico di Desktop virtuale Azure, i dati RDP (Remote Desktop Protocol) verranno forzati tramite TCP (Transmission Control Protocol) anziché UDP (User Datagram Protocol). Questa operazione riduce la qualità visiva e la velocità di risposta della connessione remota.
In sintesi, non è consigliabile usare server proxy in Desktop virtuale Azure perché causano problemi correlati alle prestazioni a causa della riduzione della latenza e della perdita di pacchetti.
Bypass di un server proxy
Se i criteri di rete e di sicurezza dell'organizzazione richiedono server proxy per il traffico Web, è possibile configurare l'ambiente in modo da ignorare le connessioni di Desktop virtuale Azure mentre il traffico viene comunque instradato attraverso il server proxy. Tuttavia, i criteri di ogni organizzazione sono univoci, quindi alcuni metodi possono funzionare meglio per la distribuzione rispetto ad altri. Ecco alcuni metodi di configurazione che è possibile provare a evitare la perdita di prestazioni e affidabilità nell'ambiente:
- Tag del servizio di Azure con Firewall di Azure
- Bypass del server proxy tramite i file di configurazione automatica del proxy (
.PAC) - Elenco di bypass nella configurazione del proxy locale
- Uso di server proxy per la configurazione per utente
- Uso di RDP Shortpath per la connessione RDP mantenendo il traffico del servizio sul proxy
Consigli per l'uso di server proxy
Alcune organizzazioni richiedono che tutto il traffico utente passi attraverso un server proxy per il rilevamento o l'ispezione dei pacchetti. In questa sezione viene descritto come è consigliabile configurare l'ambiente in questi casi.
Usare server proxy nella stessa area geografica di Azure
Quando si usa un server proxy, gestisce tutte le comunicazioni con l'infrastruttura di Desktop virtuale Azure ed esegue la risoluzione DNS e il routing Anycast alla frontdoor di Azure più vicina. Se i server proxy sono distanti o distribuiti in un'area geografica di Azure, la risoluzione geografica sarà meno accurata. Una risoluzione geografica meno accurata significa che le connessioni verranno instradate a un cluster Desktop virtuale Azure più distante. Per evitare questo problema, usare solo server proxy geograficamente vicini al cluster di Desktop virtuale Azure.
Usare il percorso breve RDP per le reti gestite per la connettività desktop
Quando si abilita RDP Shortpath per le reti gestite, i dati RDP ignorano il server proxy, se possibile. Ignorare il server proxy garantisce un routing ottimale durante l'uso del trasporto UDP. Altro traffico di Desktop virtuale Azure, ad esempio brokering, orchestrazione e diagnostica, continuerà a passare attraverso il server proxy.
Non usare la terminazione SSL nel server proxy
La terminazione SSL (Secure Sockets Layer) sostituisce i certificati di sicurezza dei componenti di Desktop virtuale Azure con i certificati generati dal server proxy. Questa funzionalità del server proxy consente l'ispezione dei pacchetti per il traffico HTTPS nel server proxy. Tuttavia, l'ispezione dei pacchetti aumenta anche il tempo di risposta del servizio, rendendo l'accesso degli utenti più lungo. Per gli scenari di connessione inversa, l'ispezione dei pacchetti del traffico RDP non è necessaria perché il traffico RDP con connessione inversa è binario e usa livelli aggiuntivi di crittografia.
Se si configura il server proxy per l'uso dell'ispezione SSL, tenere presente che non è possibile ripristinare lo stato originale del server dopo che l'ispezione SSL ha apportato modifiche. Se un elemento nell'ambiente Desktop virtuale Azure smette di funzionare mentre è abilitata l'ispezione SSL, è necessario disabilitare l'ispezione SSL e riprovare prima di aprire un caso di supporto. L'ispezione SSL può anche causare l'arresto dell'agente di Desktop virtuale Azure perché interferisce con le connessioni attendibili tra l'agente e il servizio.
Non usare server proxy che richiedono l'autenticazione
I componenti di Desktop virtuale Azure nell'host sessione vengono eseguiti nel contesto del sistema operativo, quindi non supportano i server proxy che richiedono l'autenticazione. Se il server proxy richiede l'autenticazione, la connessione avrà esito negativo.
Pianificare la capacità di rete del server proxy
I server proxy hanno limiti di capacità. A differenza del normale traffico HTTP, il traffico RDP dispone di connessioni a esecuzione prolungata e bidirezionali e che consumano molta larghezza di banda. Prima di configurare un server proxy, comunicare al fornitore del server proxy la velocità effettiva del server. Assicurarsi anche di chiedere loro quante sessioni proxy è possibile eseguire contemporaneamente. Dopo aver distribuito il server proxy, monitorare attentamente l'uso delle risorse per individuare i colli di bottiglia nel traffico di Desktop virtuale Azure.
Server proxy e ottimizzazione dei supporti di Microsoft Teams
Desktop virtuale Azure non supporta i server proxy con ottimizzazione multimediale per Microsoft Teams.
Consigli sulla configurazione dell'host di sessione
Per configurare un server proxy a livello di host di sessione, è necessario abilitare un proxy a livello di sistema. Tenere presente che la configurazione a livello di sistema influisce su tutti i componenti e le applicazioni del sistema operativo in esecuzione nell'host della sessione. Le sezioni seguenti sono consigli per la configurazione dei proxy a livello di sistema.
Usare il protocollo WPAD (Web Proxy Auto-Discovery)
L'agente di Desktop virtuale Azure tenta automaticamente di individuare un server proxy nella rete usando il protocollo WPAD (Web Proxy Auto-Discovery). Durante un tentativo di percorso, l'agente cerca nel server dei nomi di dominio (DNS) un file denominato wpad.domainsuffix. Se l'agente trova il file nel DNS, esegue una richiesta HTTP per un file denominato wpad.dat. La risposta diventa lo script di configurazione del proxy che sceglie il server proxy in uscita.
Per configurare la rete per l'uso della risoluzione DNS per WPAD, seguire le istruzioni in Rilevamento automatico delle impostazioni di Internet Explorer 11. Assicurarsi che l'elenco di blocchi di query globale del server DNS consenta la risoluzione WPAD seguendo le indicazioni riportate in Set-DnsServerGlobalQueryBlockList.
Impostare manualmente un proxy a livello di dispositivo per i servizi Windows
Se si specifica un server proxy manualmente, è necessario almeno impostare un proxy per i servizi Windows RDAgent e Servizi Desktop remoto negli host di sessione. RDAgent viene eseguito con l'account Sistema locale e Servizi Desktop remoto viene eseguito con il servizio di rete dell'account. È possibile impostare un proxy per questi account usando lo strumento da bitsadmin riga di comando.
Nell'esempio seguente vengono configurati gli account del sistema locale e del servizio di rete per l'uso di un file proxy .pac . Sarà necessario eseguire questi comandi da un prompt dei comandi con privilegi elevati, modificando il valore segnaposto per <server> con il proprio indirizzo:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Per un riferimento completo e altri esempi, vedere bitsadmin util e setieproxy.
È anche possibile impostare una configurazione automatica proxy o proxy a livello di dispositivo (. PAC) che si applica a tutti gli utenti interattivi, del sistema locale e del servizio di rete. Se gli host sessione sono registrati con Intune, è possibile impostare un proxy con il provider di servizi di configurazione proxy di rete, tuttavia i sistemi operativi client windows multisessione non supportano policy CSP perché supportano solo il catalogo delle impostazioni. In alternativa, è possibile configurare un proxy a livello di dispositivo usando il netsh winhttp comando . Per informazioni di riferimento ed esempi completi, vedere Comandi Netsh per Windows Hypertext Transfer Protocol (WINHTTP)
Supporto del proxy sul lato client
Il client Desktop virtuale Azure supporta i server proxy configurati con le impostazioni di sistema o un provider di servizi di configurazione proxy di rete.
Supporto client di Desktop virtuale Azure
La tabella seguente mostra quali client di Desktop virtuale Azure supportano i server proxy:
| Nome client | Supporto del server proxy |
|---|---|
| Desktop di Windows | Sì |
| Client Web | Sì |
| Android | No |
| iOS | Sì |
| macOS | Sì |
| Windows Store | Sì |
Per altre informazioni sul supporto del proxy nei thin client basati su Linux, vedere Supporto dei thin client.
Limitazioni del supporto
Esistono molti servizi e applicazioni di terze parti che fungono da server proxy. Questi servizi di terze parti includono firewall distribuiti di nuova generazione, sistemi di sicurezza Web e server proxy di base. Non è possibile garantire che ogni configurazione sia compatibile con Desktop virtuale Azure. Microsoft offre solo un supporto limitato per le connessioni stabilite su un server proxy. Se si verificano problemi di connettività durante l'uso di un server proxy, il supporto tecnico Microsoft consiglia di configurare un bypass proxy e quindi provare a riprodurre il problema.
Passaggi successivi
Per altre informazioni su come proteggere la distribuzione di Desktop virtuale Azure, vedere la guida alla sicurezza.