Поделиться через

Настройка RDP Shortpath для виртуального рабочего стола Azure

Важно!

  • RDP Shortpath для общедоступных сетей через STUN для Azure Виртуальный рабочий стол доступен в общедоступном облаке Azure и Azure для государственных организаций облаке.
  • RDP Shortpath для общедоступных сетей через TURN для Azure Виртуальный рабочий стол доступен только в общедоступном облаке Azure.

Пользователи могут подключаться к удаленному сеансу из Azure Виртуального рабочего стола с помощью протокола удаленного рабочего стола (RDP) с транспортом на основе UDP или TCP. RDP Shortpath устанавливает транспорт на основе UDP между локальным устройством Windows App или приложением удаленного рабочего стола на поддерживаемых платформах и узле сеансов.

Транспорт на основе UDP обеспечивает более высокую надежность подключения и более согласованную задержку. Транспорт с обратным подключением на основе TCP обеспечивает наилучшую совместимость с различными сетевыми конфигурациями и имеет высокий уровень успешности для установления подключений по протоколу RDP. Если не удается установить UDP-подключение, в качестве резервного метода подключения используется транспорт обратного подключения на основе TCP.

Существует четыре варианта RDP Shortpath, которые обеспечивают гибкость при использовании UDP клиентских устройств к удаленному сеансу:

  • RDP Shortpath для управляемых сетей. Прямое UDP-подключение между клиентским устройством и узлом сеансов с использованием частного подключения, например частного пиринга ExpressRoute или виртуальной частной сети (VPN). Вы включаете прослушиватель RDP Shortpath на узлах сеансов и разрешаете входящий порт принимать подключения.

  • RDP Shortpath для управляемых сетей с ICE/STUN: прямое UDP-подключение между клиентским устройством и узлом сеансов с использованием частного подключения, например частного пиринга ExpressRoute или виртуальной частной сети (VPN). Если прослушиватель RDP Shortpath не включен на узлах сеансов и входящий порт запрещен, ice/STUN используется для обнаружения доступных IP-адресов и динамического порта, который можно использовать для подключения. Диапазон портов можно настроить.

  • RDP Shortpath для общедоступных сетей с ICE/STUN: прямое UDP-подключение между клиентским устройством и узлом сеансов с использованием общедоступного подключения. ICE/STUN используется для обнаружения доступных IP-адресов и динамического порта, который можно использовать для подключения. Прослушиватель RDP Shortpath и входящий порт не требуются. Диапазон портов можно настроить.

  • RDP Shortpath для общедоступных сетей через TURN. Ретрансляция UDP-подключения между клиентским устройством и узлом сеансов с использованием общедоступного подключения, где TURN ретранслирует трафик через промежуточный сервер между клиентом и узлом сеансов. Примером использования этого параметра является, если подключение использует симметричный NAT. Динамический порт используется для подключения; диапазон портов можно настроить. Список Azure регионов, доступных для TURN, см. в статье Поддерживаемые Azure регионы с доступностью TURN. Подключение с клиентского устройства также должно находиться в поддерживаемом расположении. Прослушиватель RDP Shortpath и входящий порт не требуются.

Какой из четырех вариантов могут использовать клиентские устройства, также зависит от конфигурации сети. Дополнительные сведения о работе RDP Shortpath и некоторые примеры сценариев см. в статье RDP Shortpath.

В этой статье перечислены настройки по умолчанию для каждого из четырех параметров и способы их настройки. В ней также содержатся инструкции по проверке работы RDP Shortpath и ее отключению при необходимости.

Совет

RDP Shortpath для общедоступных сетей с STUN или TURN будет работать автоматически без дополнительной настройки, если сети и брандмауэры разрешают трафик через параметры транспорта и RDP в операционной системе Windows для узлов сеансов и клиентов используют значения по умолчанию.

Конфигурация по умолчанию

Узлы сеансов, сетевые параметры связанного пула узлов и клиентские устройства должны быть настроены для RDP Shortpath. Настройка зависит от того, какой из четырех вариантов RDP Shortpath вы хотите использовать, а также от топологии сети и конфигурации клиентских устройств.

Ниже приведены варианты поведения по умолчанию для каждого параметра и то, что необходимо настроить:

Параметр RDP Shortpath Параметры узла сеансов Параметры сети пула узлов Параметры клиентского устройства
RDP Shortpath для управляемых сетей UDP и TCP включены в Windows по умолчанию.

Необходимо включить прослушиватель RDP Shortpath на узлах сеансов с помощью Microsoft Intune или групповая политика и разрешить входящий порт принимать подключения.		 По умолчанию (включено) UDP и TCP включены в Windows по умолчанию.
RDP Shortpath для управляемых сетей с ICE/STUN UDP и TCP включены в Windows по умолчанию.

Дополнительная настройка не требуется, но вы можете ограничить используемый диапазон портов.		 По умолчанию (включено) UDP и TCP включены в Windows по умолчанию.
RDP Shortpath для общедоступных сетей с ICE/STUN UDP и TCP включены в Windows по умолчанию.

Дополнительная настройка не требуется, но вы можете ограничить используемый диапазон портов.		 По умолчанию (включено) UDP и TCP включены в Windows по умолчанию.
RDP Shortpath для общедоступных сетей через TURN UDP и TCP включены в Windows по умолчанию.

Дополнительная настройка не требуется, но вы можете ограничить используемый диапазон портов.		 По умолчанию (включено) UDP и TCP включены в Windows по умолчанию.

Предварительные условия

Перед включением RDP Shortpath необходимо:

  • Клиентское устройство под управлением одного из следующих приложений:

  • Для RDP Shortpath для управляемых сетей требуется прямое подключение между клиентом и узлом сеансов. Это означает, что клиент может подключаться непосредственно к узлу сеанса через порт 3390 (по умолчанию) и не блокируется брандмауэрами (включая брандмауэр Windows) или группой безопасности сети. Примерами управляемой сети являются частный пиринг ExpressRoute или VPN-подключение типа "сеть — сеть" или "точка — сеть" (IPsec), например Azure VPN-шлюз.

  • Для RDP Shortpath для общедоступных сетей вам потребуется:

    • Доступ в Интернет как для клиентов, так и для узлов сеансов. Для узлов сеансов требуется исходящее UDP-подключение с узлов сеансов к Интернету или подключения к серверам STUN и TURN. Чтобы уменьшить количество необходимых портов, можно ограничить диапазон портов, используемый с STUN и TURN.

    • Убедитесь, что узлы сеансов и клиенты могут подключаться к серверам STUN и TURN. Сведения об IP-подсетях, портах и протоколах, используемых серверами STUN и TURN, см. в разделе Конфигурация сети.

  • Если вы хотите использовать Azure PowerShell локально, см. статью Использование Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлен модуль PowerShell Az.DesktopVirtualization. Кроме того, используйте Azure Cloud Shell.

  • Параметры для настройки RDP Shortpath с помощью Azure PowerShell добавляются в предварительной версии 5.2.1 модуля Az.DesktopVirtualization. Его можно скачать и установить с коллекция PowerShell.

Включение прослушивателя RDP Shortpath для RDP Shortpath для управляемых сетей

Для параметра RDP Shortpath для управляемых сетей необходимо включить прослушиватель RDP Shortpath на узлах сеансов и открыть входящий порт для приема подключений. Это можно сделать с помощью Microsoft Intune или групповая политика в домене Active Directory.

Важно!

Вам не нужно включать прослушиватель RDP Shortpath для трех других параметров RDP Shortpath, так как они используют ICE/STUN или TURN для обнаружения доступных IP-адресов и динамического порта, используемого для подключения.

Выберите соответствующую вкладку для своего сценария.

Чтобы включить прослушиватель RDP Shortpath на узлах сеансов с помощью Microsoft Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

  3. В окне выбора параметров перейдите к разделу Административные шаблоны>Компоненты Windows Службыудаленных рабочих столов> Узел > сеансов >удаленных рабочих столовAzure Виртуальный рабочий стол.

    Снимок экрана: параметры административных шаблонов Azure Виртуального рабочего стола на портале Microsoft Intune.

  4. Установите флажок Включить RDP Shortpath для управляемых сетей, а затем закройте средство выбора параметров.

  5. Разверните категорию Административные шаблоны , а затем переключите параметр Включить RDP Shortpath для управляемых сетей в положение Включено.

  6. Нажмите кнопку Далее.

  7. Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  8. На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.

  9. На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.

  10. Убедитесь, что брандмауэр Windows и другие брандмауэры разрешают входящий порт для узлов сеансов. Выполните действия, описанные в разделе Политика брандмауэра для обеспечения безопасности конечных точек в Intune.

  11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Убедитесь, что UDP включен на узлах сеансов

Для узлов сеансов UDP включена по умолчанию в Windows. Чтобы проверка параметр транспортных протоколов RDP в реестре Windows для проверки включения UDP:

  1. Откройте запрос PowerShell на узле сеансов.

  2. Выполните следующие команды, которые проверка реестра и вывести текущий параметр транспортных протоколов RDP:

    $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"

If ($regKey.PSObject.Properties.name -contains "SelectTransport" -eq "True") {
    If (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 1) {
        Write-Output "The RDP transport protocols setting has changed. Its value is: Use only TCP."
    } elseif (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 2) {
        Write-Output "The default RDP transport protocols setting has changed. Its value is: Use either UDP or TCP."
    }
} else {
    Write-Output "The RDP transport protocols setting hasn't been changed from its default value. UDP is enabled."
}

    Выходные данные должны выглядеть примерно так:

    The RDP transport protocols setting hasn't been changed from its default value.

    Если в выходных данных указано, что значение — Использовать только TCP, скорее всего, значение было изменено Microsoft Intune или групповая политика в домене Active Directory. UDP необходимо включить одним из следующих способов:

    1. Измените существующую политику Microsoft Intune или групповая политика Active Directory, предназначенные для узлов сеансов. Параметр политики находится в одном из следующих расположений:

      • Для политики Intune: Административные шаблоны> Компоненты WindowsСлужбы удаленных рабочих>>столов Подключения узла сеансов>> удаленных рабочих столовВыберите протоколы транспорта RDP.

      • Для групповая политика:Политики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsСлужбы удаленных рабочих> столовПодключения>к узлам сеансов> удаленныхрабочих столов выберите протоколы транспорта RDP.

    2. Задайте для параметра значение Не настроено или установите для него значение Включено, а затем в поле Выбор типа транспорта выберите Использовать UDP и TCP.

    3. Обновите политику на узлах сеансов, а затем перезапустите их, чтобы параметры вступили в силу.

Настройка параметров сети пула узлов

Вы можете детально контролировать использование RDP Shortpath, настроив сетевые параметры пула узлов с помощью портал Azure или Azure PowerShell. Настройка RDP Shortpath в пуле узлов позволяет при необходимости задать, какой из четырех параметров RDP Shortpath вы хотите использовать, и который используется вместе с конфигурацией узла сеанса.

Если между пулом узлов и конфигурацией узла сеансов возникает конфликт, используется самый строгий параметр. Например, если настроен RDP Shortpath для сетей управления, где прослушиватель включен на узле сеансов, а пул узлов отключен, RDP Shortpath для управляемых сетей не будет работать.

Выберите соответствующую вкладку для своего сценария.

Вот как настроить RDP Shortpath в параметрах сети пула узлов с помощью портал Azure:

  1. Войдите на портал Azure.

  2. В строке поиска введите Azure Виртуальный рабочий стол и выберите соответствующую запись службы.

  3. Выберите Пулы узлов, а затем выберите пул узлов, который требуется настроить.

  4. В разделе Параметры выберите Сеть, а затем — RDP Shortpath.

    Снимок экрана: вкладка RDP Shortpath сетевых свойств пула узлов.

  5. Для каждого параметра выберите значение в раскрывающемся списке в зависимости от ваших требований. По умолчанию для каждого параметра соответствует значение Включено .

  6. Выберите Сохранить.

Настройка RDP Shortpath для общедоступных сетей с помощью Microsoft Intune и групповая политика

Важно!

Не отключите функцию TURN, если не отключите ее для устранения неполадок. TURN предоставляет прогнозируемый и надежный путь, если невозможно установить прямой UDP (STUN), например за симметричным NAT или ограничивающими брандмауэрами. Отключение TURN снижает частоту успешных подключений и может привести к принудительному возврату к TCP, снижению производительности и надежности.

Примечание.

Эти параметры обновляют соответствующие разделы реестра, чтобы включить или отключить RDP Shortpath для каждого сетевого пути на узле сеанса. Однако для успешного подключения должна быть задана соответствующая конфигурация сети.

Настройка RDP Shortpath для общедоступных сетей с помощью Microsoft Intune

Чтобы включить прослушиватель RDP Shortpath на узлах сеансов с помощью Microsoft Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

  3. В окне выбора параметров перейдите в раздел Административные шаблоны>Компоненты Windows Службы>удаленных рабочих столов> Узел >сеансов удаленных рабочих столовAzure Виртуальный рабочий стол>RDP Shortpath.

  4. Разверните категорию Административные шаблоны .

  5. Для каждого типа RDP Shortpath установите переключатель в значение Включено или Отключено.

    1. Включено или не настроено. Подключение будет пытаться использовать указанный сетевой путь.
    2. Отключено: подключение не будет использовать этот сетевой путь. Доступные типы shortpath RDP:

    • RDP Shortpath для управляемых сетей с обходом NAT

    • RDP Shortpath для общедоступных сетей с обходом NAT

    • RDP Shortpath для общедоступных сетей с помощью ретранслятора (TURN)

  6. Нажмите кнопку Далее.

  7. Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  8. На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.

  9. На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.

  10. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Примечание.

Настоятельно рекомендуется включить и оптимизировать RDP Shortpath для общедоступных сетей с помощью ретранслятора (TURN) во всех случаях, особенно в сетях, которыми вы не управляете.

Убедитесь, что UDP включен на клиентских устройствах Windows

Для клиентских устройств Windows UDP включена по умолчанию. Чтобы проверка в реестре Windows, чтобы убедиться, что UDP включен, выполните следующие действия:

  1. Откройте запрос PowerShell на клиентском устройстве Windows.

  2. Выполните следующие команды, которые проверка реестра и вывести текущий параметр:

    $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client"

If ($regKey.PSObject.Properties.name -contains "fClientDisableUDP" -eq "True") {
    If (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 1) {
        Write-Output "The default setting has changed. UDP is disabled."
    } elseif (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 0) {
        Write-Output "The default setting has changed, but UDP is enabled."
    }
} else {
    Write-Output "The default setting hasn't been changed from its default value. UDP is enabled."
}

    Выходные данные должны выглядеть примерно так:

    The default setting hasn't been changed from its default value. UDP is enabled.

    Если в выходных данных указано, что UDP отключен, скорее всего, значение было изменено Microsoft Intune или групповая политика в домене Active Directory. UDP необходимо включить одним из следующих способов:

    1. Измените существующую политику Microsoft Intune или групповая политика Active Directory, предназначенные для узлов сеансов. Параметр политики находится в одном из следующих расположений:

      • Для политики Intune: административные шаблоны>Компоненты WindowsСлужбы удаленных рабочих>> столов, клиент> подключения к удаленному рабочемустолу отключите UDP on Client.

      • Для групповая политика:Политики>конфигурации> компьютераАдминистративные шаблоны>Компоненты WindowsСлужбы удаленных рабочих>> столовКлиент> подключения к удаленному рабочемустолу отключить UDP on Client.

    2. Задайте для параметра значение Не настроено или установите для него значение Отключено.

    3. Обновите политику на клиентских устройствах, а затем перезапустите ее, чтобы параметры вступили в силу.

Проверка подключения сервера STUN/TURN клиентского устройства и типа NAT

Вы можете проверить, может ли клиентское устройство подключаться к конечным точкам STUN/TURN, используется ли NAT и его тип, а также убедиться, что базовые функции UDP работают, запустив исполняемый файл avdnettest.exe. Ниже приведена ссылка для скачивания последней версии avdnettest.exe.

Вы можете запустить avdnettest.exe его, дважды щелкнув файл или запустив его из командной строки. Если подключение выполнено успешно, выходные данные выглядят примерно так:

Checking DNS service ... OK
Checking TURN support ... OK
Checking ACS server 20.202.68.109:3478 ... OK
Checking ACS server 20.202.21.66:3478 ... OK

You have access to TURN servers and your NAT type appears to be 'cone shaped'.
Shortpath for public networks is very likely to work on this host.

Если в вашей среде используется симметричный NAT, можно использовать ретрансляторное соединение с TURN. Дополнительные сведения, которые можно использовать для настройки брандмауэров и групп безопасности сети, см. в разделе Сетевые конфигурации для RDP Shortpath.

Необязательно. Включите поддержку Teredo.

Хотя для RDP Shortpath не требуется, Teredo добавляет дополнительных кандидатов для обхода NAT и увеличивает вероятность успешного подключения RDP Shortpath в сетях только IPv4. Вы можете включить Teredo как на узлах сеансов, так и на клиентах с помощью PowerShell:

  1. Откройте запрос PowerShell от имени администратора.

  2. Выполните следующую команду:

    Set-NetTeredoConfiguration -Type Enterpriseclient

  3. Перезапустите узлы сеансов и клиентские устройства, чтобы параметры вступили в силу.

Ограничение диапазона портов, используемых с STUN и TURN

По умолчанию параметры RDP Shortpath, использующие STUN или TURN, используют временный диапазон портов от 49152 до 65535 , чтобы установить прямой путь между сервером и клиентом. Однако может потребоваться настроить узлы сеансов для использования меньшего и прогнозируемого диапазона портов.

Можно задать меньший диапазон портов по умолчанию от 38300 до 39299 или указать собственный диапазон портов для использования. Если этот параметр включен на узлах сеансов, Windows App или приложение удаленного рабочего стола случайным образом выбирает порт из диапазона, указанного для каждого подключения. Если этот диапазон исчерпан, подключения возвращаются к, используя диапазон портов по умолчанию (49152–65535).

При выборе размера базы и пула учитывайте необходимое количество портов. Диапазон должен находиться в диапазоне от 1024 до 49151, после чего начинается диапазон временных портов.

Диапазон портов можно ограничить с помощью Microsoft Intune или групповая политика в домене Active Directory. Выберите соответствующую вкладку для своего сценария.

Чтобы ограничить диапазон портов, используемый с STUN и TURN с помощью Microsoft Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

  3. В окне выбора параметров перейдите к разделу Административные шаблоны>Компоненты Windows Службыудаленных рабочих столов> Узел > сеансов >удаленных рабочих столовAzure Виртуальный рабочий стол.

    Снимок экрана: параметры административных шаблонов Azure Виртуального рабочего стола на портале Microsoft Intune.

  4. Установите флажок Использовать диапазон портов для RDP Shortpath для неуправляемых сетей, а затем закройте средство выбора параметров.

  5. Разверните категорию Административные шаблоны , а затем переключите параметр Использовать диапазон портов для RDP Shortpath для неуправляемых сетей в положение Включено.

  6. Введите значения размер пула портов (устройство) и базовый порт UDP (устройство). Значения по умолчанию : 1000 и 38300 соответственно.

  7. Нажмите кнопку Далее.

  8. Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

  9. На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.

  10. На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.

  11. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Проверка работы RDP Shortpath

После настройки RDP Shortpath подключитесь к удаленному сеансу с клиентского устройства и проверка подключение использует UDP. Транспорт, используемый, можно проверить с помощью диалогового окна Сведения о подключении из Windows App или приложения удаленного рабочего стола, Просмотр событий журналов на клиентском устройстве или с помощью Log Analytics в портал Azure.

Выберите соответствующую вкладку для своего сценария.

Чтобы убедиться, что подключения используют RDP Shortpath, можно проверка сведения о подключении на клиенте:

  1. Подключение к удаленному сеансу.

  2. Откройте диалоговое окно Сведения о подключении , перейдя на панель инструментов Подключение в верхней части экрана и выберите значок силы сигнала, как показано на следующем снимке экрана:

    Снимок экрана: панель подключения к удаленному рабочему столу клиента удаленного рабочего стола.

  3. В выходных данных можно проверить, включен ли UDP, как показано на следующих снимках экрана:

    • Если используется прямое подключение к RDP Shortpath для управляемых сетей, транспортный протокол имеет значение UDP (частная сеть):

      Снимок экрана: диалоговое окно сведений о подключении к удаленному рабочему столу при использовании RDP Shortpath для управляемых сетей.

    • Если используется STUN, транспортный протокол имеет значение UDP:

      Снимок экрана: диалоговое окно сведений о подключении к удаленному рабочему столу при использовании STUN.

    • Если используется TURN, транспортный протокол имеет значение UDP (Relay):

      Снимок экрана: диалоговое окно сведений о подключении к удаленному рабочему столу при использовании turn.

Связанные материалы

Если у вас возникли проблемы с установкой подключения с помощью транспорта RDP Shortpath для общедоступных сетей, см. статью Устранение неполадок с RDP Shortpath.

  • Last updated on