RDP Shortpath для виртуального рабочего стола Azure

Вы можете достичь прямой прямой видимости подключения, необходимого для использования RDP Shortpath с управляемыми сетями, используя следующие методы.

• Частный пиринг ExpressRoute

• VPN типа "сеть — сеть" или "точка — сеть" (IPsec), например Azure VPN-шлюз

Наличие прямого подключения означает, что клиент может подключаться непосредственно к узлу сеансов без блокировки брандмауэрами.

Чтобы использовать RDP Shortpath для управляемых сетей, необходимо включить прослушиватель UDP на узлах сеансов. По умолчанию используется порт 3390 , хотя можно использовать другой порт.

На следующей схеме представлен общий обзор сетевых подключений при использовании RDP Shortpath для управляемых сетей и узлов сеансов, присоединенных к домену Active Directory.

Последовательность подключений

Все подключения начинаются с установки транспорта обратного подключения на основе TCP через шлюз виртуальных рабочих столов Azure. Затем клиент и узел сеансов устанавливают начальный транспорт RDP и начинают обмениваться своими возможностями. Эти возможности согласовываются с помощью следующего процесса:

1. Узел сеанса отправляет клиенту список своих IPv4- и IPv6-адресов.

2. Клиент запускает фоновый поток для установки параллельного транспорта на основе UDP непосредственно к одному из IP-адресов узла сеансов.

3. Пока клиент проверит предоставленные IP-адреса, он продолжает устанавливать начальное подключение через транспорт обратного подключения, чтобы обеспечить отсутствие задержки в подключении пользователя.

4. Если клиент имеет прямое подключение к узлу сеансов, клиент устанавливает безопасное подключение с помощью TLS через надежный UDP.

5. После установки транспорта RDP Shortpath все динамические виртуальные каналы (DVCs), включая удаленную графику, ввод и перенаправление устройств, перемещаются в новый транспорт. Однако если брандмауэр или топология сети не позволяет клиенту установить прямое UDP-подключение, RDP продолжает использовать транспорт с обратным подключением.

Если у пользователей есть как RDP Shortpath для управляемой сети, так и для общедоступных сетей, будет использоваться алгоритм первого обнаружения. Пользователь будет использовать любое подключение, которое будет установлено первым для этого сеанса.

Чтобы обеспечить наилучшие шансы успешного подключения UDP при использовании общедоступного подключения, существуют типы прямого и ретранслятора :

• Прямое подключение. STUN используется для установки прямого UDP-подключения между клиентом и узлом сеансов. Чтобы установить это подключение, клиент и узел сеансов должны иметь возможность подключения друг к другу через общедоступный IP-адрес и согласованный порт. Однако большинство клиентов не знают свой собственный общедоступный IP-адрес, так как они находятся за устройством шлюза преобразования сетевых адресов (NAT). STUN — это протокол для самостоятельного обнаружения общедоступного IP-адреса из-за устройства шлюза NAT и клиента для определения собственного общедоступного IP-адреса.

  Чтобы клиент использовал STUN, его сеть должна разрешать трафик UDP. При условии, что клиент и узел сеансов могут напрямую маршрутизировать на обнаруженный IP-адрес и порт другого пользователя, связь устанавливается с помощью прямого UDP по протоколу WebSocket. Если брандмауэры или другие сетевые устройства блокируют прямые подключения, выполняется попытка ретрансляции UDP-подключения.

• Ретрансляторное подключение. TURN используется для установления соединения, ретрансляющего трафик через промежуточный сервер между клиентом и узлом сеансов, если прямое подключение невозможно. TURN — это расширение STUN. Использование TURN означает, что общедоступный IP-адрес и порт известны заранее, что можно разрешить через брандмауэры и другие сетевые устройства.

  Если брандмауэры или другие сетевые устройства блокируют трафик UDP, подключение будет возвращаться к транспорту обратного подключения на основе TCP.

При установке подключения интерактивное подключение (ICE) координирует управление STUN и TURN, чтобы оптимизировать вероятность установления соединения и обеспечить приоритет предпочтительных сетевых протоколов связи.

Каждый сеанс RDP использует динамически назначаемый UDP-порт из диапазона временных портов (от 49152 до 65535 по умолчанию), который принимает трафик RDP Shortpath. Порт 65330 игнорируется из этого диапазона, так как он зарезервирован для внутреннего использования Azure. Можно также использовать меньший и прогнозируемый диапазон портов. Дополнительные сведения см. в статье Ограничение диапазона портов, используемых клиентами для общедоступных сетей.

На следующей схеме представлен общий обзор сетевых подключений при использовании RDP Shortpath для общедоступных сетей, в которых узлы сеансов присоединены к Microsoft Entra ID.

Доступность ретранслятора TURN

Ретранслятор TURN доступен в следующих Azure регионах с ACS TURN Relay (51.5.0.0/16):

Ретранслятор TURN выбирается в зависимости от физического расположения клиентского устройства. Например, если клиентское устройство находится в Великобритании, выбран ретранслятор TURN в регионе "Южная часть Соединенного Королевства" или "Западная часть Соединенного Королевства". Если клиентское устройство находится далеко от ретранслятора TURN, UDP-подключение может вернуться к TCP.

Преобразование сетевых адресов и брандмауэры

Большинство клиентов Azure виртуальных рабочих столов работают на компьютерах в частной сети. Доступ к Интернету предоставляется через устройство шлюза преобразования сетевых адресов (NAT). Таким образом, шлюз NAT изменяет все сетевые запросы из частной сети и направляется в Интернет. Такое изменение предполагает совместное использование одного общедоступного IP-адреса на всех компьютерах в частной сети.

Из-за изменения IP-пакетов получатель трафика будет видеть общедоступный IP-адрес шлюза NAT вместо фактического отправителя. Когда трафик возвращается к шлюзу NAT, он позаботится о том, чтобы переслать его предполагаемому получателю без ведома отправителя. В большинстве случаев устройства, скрытые за таким NAT, не знают, что происходит преобразование и не знают сетевой адрес шлюза NAT.

NAT применяется к виртуальным сетям Azure, в которых находятся все узлы сеансов. Когда узел сеанса пытается достичь сетевого адреса в Интернете, шлюз NAT (ваш собственный или по умолчанию предоставленный Azure) или Azure Load Balancer выполняет преобразование адреса. Дополнительные сведения о различных типах преобразования исходных сетевых адресов см. в разделе Использование преобразования исходных сетевых адресов (SNAT) для исходящих подключений.

Большинство сетей обычно включают брандмауэры, которые проверяют трафик и блокируют его на основе правил. Большинство клиентов настраивают свои брандмауэры так, чтобы предотвратить входящие подключения (то есть незапрошенные пакеты из Интернета, отправляемые без запроса). Брандмауэры используют различные методы отслеживания потока данных, чтобы различать запрашиваемый и незапрошенный трафик. В контексте TCP брандмауэр отслеживает пакеты SYN и ACK, и процесс очень прост. Брандмауэры UDP обычно используют эвристу на основе адресов пакетов, чтобы связать трафик с потоками UDP и разрешить или заблокировать его. Существует множество различных реализаций NAT.

Последовательность подключений

Все подключения начинаются с установки транспорта обратного подключения на основе TCP через шлюз виртуальных рабочих столов Azure. Затем клиент и узел сеансов устанавливают начальный транспорт RDP и начинают обмениваться своими возможностями. Если на узле сеанса включена функция RDP Shortpath для общедоступных сетей, узел сеанса инициирует процесс, называемый сбором кандидатов:

1. Узел сеанса перечисляет все сетевые интерфейсы, назначенные узлу сеансов, включая виртуальные интерфейсы, такие как VPN и Teredo.

2. Службы удаленных рабочих столов Windows (TermService) выделяют сокеты UDP для каждого интерфейса и сохраняют пару IP-адрес:порт в таблице кандидатов в качестве локального кандидата.

3. Служба удаленных рабочих столов использует каждый сокет UDP, выделенный на предыдущем шаге, чтобы попытаться получить доступ к серверу STUN Azure виртуального рабочего стола в общедоступном Интернете. Обмен данными осуществляется путем отправки небольшого пакета UDP на порт 3478.

4. Если пакет достигает сервера STUN, сервер STUN отвечает общедоступным IP-адресом и портом. Эта информация хранится в таблице кандидатов в качестве рефлексивного кандидата.

5. После того как узел сеанса соберет всех кандидатов, узел сеанса использует установленный транспорт обратного подключения для передачи списка кандидатов клиенту.

6. Когда клиент получает список кандидатов от узла сеанса, клиент также выполняет сбор кандидатов на его стороне. Затем клиент отправляет список кандидатов на узел сеанса.

7. После того как узел сеанса и клиент обмениваются списками кандидатов, обе стороны пытаются связаться друг с другом, используя всех собранных кандидатов. Эта попытка подключения выполняется одновременно с обеих сторон. Многие шлюзы NAT настроены так, чтобы разрешить входящий трафик к сокету сразу после инициализации исходящей передачи данных. Такое поведение шлюзов NAT является причиной необходимости одновременного подключения. Если STUN завершается ошибкой из-за блокировки, попытка ретрансляции подключения выполняется с помощью TURN.

8. После первоначального обмена пакетами клиент и узел сеансов могут установить один или несколько потоков данных. Из этих потоков данных RDP выбирает самый быстрый сетевой путь. Затем клиент устанавливает безопасное подключение по протоколу TLS по надежному протоколу UDP с узлом сеансов и инициирует транспортировку RDP Shortpath.

9. После того как RDP установит транспорт RDP Shortpath, все динамические виртуальные каналы (DVCs), включая удаленную графику, входные данные и перенаправление устройств, перемещаются в новый транспорт.

Если у пользователей есть как RDP Shortpath для управляемых сетей, так и для общедоступных сетей, будет использоваться первый найденный алгоритм, что означает, что пользователь будет использовать любое подключение, установленное первым для этого сеанса. Дополнительные сведения см. в примере сценария 4.

Конфигурация сети

Для поддержки RDP Shortpath для общедоступных сетей обычно не требуется какая-либо конкретная конфигурация. Узел сеанса и клиент автоматически обнаружат прямой поток данных, если это возможно в конфигурации сети. Однако каждая среда уникальна, и некоторые сетевые конфигурации могут отрицательно повлиять на скорость успешного прямого подключения. Следуйте рекомендациям , чтобы увеличить вероятность прямого потока данных.

Так как RDP Shortpath использует UDP для создания потока данных, если брандмауэр в сети блокирует трафик UDP, RDP Shortpath завершится сбоем, и подключение будет возвращено к транспорту обратного подключения на основе TCP. Azure Виртуальный рабочий стол использует серверы STUN, предоставляемые Службы коммуникации Azure и Microsoft Teams. По характеру функции требуется исходящее подключение от узлов сеансов к клиенту. К сожалению, в большинстве случаев невозможно предсказать расположение пользователей. Поэтому рекомендуется разрешить исходящее подключение UDP с узлов сеансов к Интернету. Чтобы уменьшить количество необходимых портов, можно ограничить диапазон портов, используемый клиентами для потока UDP. При настройке брандмауэров для RDP Shortpath используйте следующие таблицы.

Если в вашей среде используется симметричный NAT, представляющий собой сопоставление одного частного источника IP:Port с уникальным ip-адресом общедоступного назначения IP:Port, то можно использовать ретрансляторное соединение с TURN. Это будет происходить, если вы используете Брандмауэр Azure и Azure шлюз NAT. Дополнительные сведения о NAT с Azure виртуальными сетями см. в разделе Преобразование адресов исходной сети с помощью виртуальных сетей.

У нас есть некоторые общие рекомендации по успешному подключению с помощью RDP Shortpath для общедоступных сетей. Дополнительные сведения см. в разделе Общие рекомендации.

Если у пользователей есть RDP Shortpath как для управляемой сети, так и для общедоступных сетей, будет использован первый найденный алгоритм. Пользователь будет использовать любое подключение, которое будет установлено первым для этого сеанса. Дополнительные сведения см. в разделе Примеры сценариев.

В следующих разделах содержатся требования к источнику, назначению и протоколу для узлов сеансов и клиентских устройств, которые должны быть разрешены для работы RDP Shortpath.

Виртуальная сеть узла сеансов

В следующей таблице приведены требования к источнику, назначению и протоколу для RDP Shortpath для виртуальной сети узла сеансов.

Клиентская сеть

В следующей таблице приведены требования к источнику, назначению и протоколу для клиентских устройств.

Поддержка Teredo

Хотя для RDP Shortpath не требуется, Teredo добавляет дополнительных кандидатов для обхода NAT и увеличивает вероятность успешного подключения RDP Shortpath в сетях только IPv4. Сведения о том, как включить Teredo на узлах сеансов и клиентах, см. в статье Включение поддержки Teredo.

Поддержка UPnP

Чтобы повысить вероятность прямого подключения, на стороне клиента удаленного рабочего стола RDP Shortpath может использовать UPnP для настройки сопоставления портов на маршрутизаторе NAT. UPnP — это стандартная технология, используемая различными приложениями, такими как Xbox, оптимизация доставки и Teredo. UPnP обычно доступен на маршрутизаторах, которые обычно находятся в домашней сети. UPnP включен по умолчанию на большинстве домашних маршрутизаторов и точек доступа, но часто отключается в корпоративных сетях.

Общие рекомендации

Ниже приведены некоторые общие рекомендации при использовании RDP Shortpath для общедоступных сетей:

• Избегайте использования конфигураций принудительного туннелирования, если пользователи получают доступ к виртуальному рабочему столу Azure через Интернет.

• Убедитесь, что вы не используете конфигурации двойного NAT или CGN(CGN).

• Рекомендуется пользователям не отключать UPnP на домашних маршрутизаторах.

• Избегайте использования облачных служб проверки пакетов.

• Избегайте использования решений VPN на основе TCP.

• Включите подключение по протоколу IPv6 или Teredo.