Shortpath RDP para Área de Trabalho Virtual do Azure

Você pode obter a conectividade de linha de visão direta necessária para usar o Shortpath RDP com redes gerenciadas usando os métodos a seguir.

• ExpressRoute emparelhamento privado

• VPN site a site ou VPN ponto a site (IPsec), como Gateway de VPN do Azure.

Ter conectividade de linha de visão direta significa que o cliente pode se conectar diretamente ao host da sessão sem ser bloqueado por firewalls.

Para usar o Shortpath RDP para redes gerenciadas, você deve habilitar um ouvinte UDP em seus hosts de sessão. Por padrão, a porta 3390 é usada, embora você possa usar uma porta diferente.

O diagrama a seguir apresenta uma visão geral de alto nível das conexões de rede ao usar o Shortpath RDP para redes gerenciadas e hosts de sessão ingressados em um domínio do Active Directory.

Sequência de conexão

Todas as conexões começam estabelecendo um transporte de conexão reversa baseado em TCP pelo Gateway de Área de Trabalho Virtual do Azure. Em seguida, o cliente e o host da sessão estabelecem o transporte RDP inicial e começam a trocar suas funcionalidades. Esses recursos são negociados usando o seguinte processo:

1. O host da sessão envia a lista de seus endereços IPv4 e IPv6 ao cliente.

2. O cliente inicia o thread em segundo plano para estabelecer um transporte baseado em UDP paralelo diretamente a um dos endereços IP de sessão.

3. Embora o cliente esteja investigando os endereços IP fornecidos, ele continua a estabelecer a conexão inicial sobre o transporte de conexão reversa para garantir que não haja atraso na conexão do usuário.

4. Se o cliente tiver uma conexão direta com o host da sessão, ele estabelecerá uma conexão segura usando o TLS sobre a UDP confiável.

5. Depois de estabelecer o transporte Shortpath RDP, todos os DVCs (Canais Virtuais Dinâmicos), incluindo gráficos remotos, entrada e redirecionamento de dispositivo, são movidos para o novo transporte. No entanto, se uma topologia de rede ou firewall impedir que o cliente estabeleça a conectividade UDP direta, o RDP continuará com um transporte de conexão reversa.

Se os usuários tiverem o Shortpath da RDP para rede gerenciada e redes públicas disponíveis para eles, o primeiro algoritmo encontrado será usado. O usuário usará qualquer conexão estabelecida primeiro para essa sessão.

Para fornecer a melhor chance de uma conexão UDP ser bem-sucedida ao usar uma conexão pública, há os tipos de conexão direta e retransmitida:

• Conexão direta: o STUN é usado para estabelecer uma conexão UDP direta entre um cliente e um host de sessão. Para estabelecer essa conexão, o cliente e o host de sessão devem ser capazes de se conectar uns aos outros por meio de um endereço IP público e uma porta negociada. No entanto, a maioria dos clientes não conhece o próprio endereço IP público, pois ele reside atrás de um dispositivo de gateway NAT (Conversão de Endereços de Rede). O STUN é um protocolo para a autodescoberta de um endereço IP público por trás de um dispositivo de gateway NAT e o cliente para determinar o próprio endereço IP voltado para o público.

  Para que um cliente use o STUN, a rede dele deve permitir o tráfego UDP. Supondo que o cliente e o host de sessão possam rotear diretamente para o endereço IP e a porta descobertos do outro, a comunicação é estabelecida com UDP direto pelo protocolo WebSocket. Se firewalls ou outros dispositivos de rede bloquearem conexões diretas, será tentada uma conexão UDP retransmitida.

• Conexão retransmitida: o TURN é usado para estabelecer uma conexão, retransmitindo o tráfego por meio de um servidor intermediário entre um cliente e um host de sessão quando uma conexão direta não é possível. O TURN é uma extensão do STUN. Usar o TURN significa que o endereço IP público e a porta são conhecidos com antecedência, o que pode ser permitido por meio de firewalls e outros dispositivos de rede.

  Se firewalls ou outros dispositivos de rede bloquearem o tráfego UDP, a conexão fará fallback para um transporte de conexão reversa baseado em TCP.

Quando uma conexão está sendo estabelecida, o ICE (Interactive Connectivity Establishment) coordena o gerenciamento de STUN e TURN para otimizar a probabilidade de uma conexão ser estabelecida e garantir que a precedência seja dada aos protocolos de comunicação de rede preferenciais.

Cada sessão RDP usa uma porta UDP atribuída dinamicamente de um intervalo de portas efêmeras (49152 a 65535 por padrão) que aceita o tráfego do shortpath RDP. A Porta 65330 é ignorada nesse intervalo, pois é reservada para uso interno pelo Azure. Você também pode usar um intervalo de portas menor e previsível. Para obter mais informações, consulte Limitar o intervalo de portas usado pelos clientes para redes públicas.

O diagrama a seguir fornece uma visão geral de alto nível das conexões de rede ao usar o Shortpath RDP para redes públicas em que os hosts de sessão ingressaram no Microsoft Entra ID.

Disponibilidade da retransmissão TURN

A retransmissão TURN está disponível nas seguintes regiões do Azure:

Uma retransmissão TURN é selecionada com base no local físico do dispositivo cliente. Por exemplo, se um dispositivo cliente estiver no Reino Unido, a retransmissão TURN na região Sul do Reino Unido ou Oeste do Reino Unido será selecionada. Se um dispositivo cliente estiver longe de uma retransmissão TURN, a conexão UDP pode reverter para TCP.

Conversão de endereços de rede e firewalls

A maioria dos clientes da Área de Trabalho Virtual do Azure é executada em computadores na rede privada. O acesso à Internet é fornecido por meio de um dispositivo de Gateway da NAT (conversão de endereços de rede). Portanto, o Gateway da NAT modifica todas as solicitações de rede da rede privada e destinadas à Internet. A intenção dessa modificação é compartilhar um único endereço IP público em todos os computadores na rede privada.

Devido à modificação do pacote IP, o destinatário do tráfego verá o endereço IP público do Gateway da NAT em vez do remetente real. Quando o tráfego voltar para o Gateway da NAT, ele terá o cuidado de encaminhá-lo ao destinatário pretendido sem o conhecimento do remetente. Na maioria dos cenários, os dispositivos ocultos por trás de tal NAT não sabem que a conversão está acontecendo e não sabem o endereço de rede do Gateway da NAT.

A NAT é aplicável às Redes Virtuais do Microsoft Azure em que residem todos os hosts da sessão. Quando um host da sessão tenta acessar o endereço de rede na Internet, o Gateway da NAT (o seu próprio ou o padrão fornecido pelo Azure) ou o Azure Load Balancer executa a conversão de endereços. Para obter mais informações sobre vários tipos de Conversão de Endereço de Rede de Origem, consulte Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.

Normalmente, a maioria das redes inclui firewalls que inspecionam o tráfego e o bloqueiam com base em regras. A maioria dos clientes configura seus firewalls para impedir conexões de entrada (ou seja, pacotes não solicitados da Internet enviados sem uma solicitação). Os firewalls empregam técnicas diferentes para controlar o fluxo de dados a fim de distinguir entre tráfego solicitado e não solicitado. No contexto do TCP, o firewall rastreia pacotes SYN e ACK, e o processo é simples. Os firewalls do UDP geralmente usam heurística com base em endereços de pacote a fim de associar o tráfego a fluxos de UDP e permiti-lo ou bloqueá-lo. Há muitas implementações diferentes da NAT disponíveis.

Sequência de conexão

Todas as conexões começam estabelecendo um transporte de conexão reversa baseado em TCP pelo Gateway de Área de Trabalho Virtual do Azure. Em seguida, o cliente e o host da sessão estabelecem o transporte RDP inicial e começam a trocar suas funcionalidades. Se o Shortpath RDP para redes públicas estiver habilitado no host da sessão, o host da sessão inicia então um processo chamado reunião de candidatos:

1. O host da sessão enumera todas as interfaces de rede atribuídas a um host da sessão, incluindo interfaces virtuais como VPN e Teredo.

2. O serviço do Windows de Serviços de Área de Trabalho Remota (TermService) aloca os soquetes UDP em cada interface e armazena o par IP:Port na tabela candidata como um candidato local.

3. O serviço de Serviços de Área de Trabalho Remota usa cada soquete UDP alocado na etapa anterior para tentar alcançar o Servidor STUN da Área de Trabalho Virtual do Azure na internet pública. A comunicação é feita enviando um pequeno pacote UDP para a porta 3478.

4. Se o pacote alcançar o servidor STUN, o servidor STUN responderá com o IP público e a porta. Essas informações são armazenadas na tabela candidata como um candidato reflexivo.

5. Depois que o host da sessão reúne todos os candidatos, ele usa o transporte de conexão reversa estabelecido para passar a lista de candidatos ao cliente.

6. Quando o cliente recebe a lista de candidatos do host da sessão, o cliente também realiza a reunião do candidato do seu lado. Em seguida, o cliente envia sua lista de candidatos para o host da sessão.

7. Depois que o host da sessão e o cliente trocam suas listas de candidatos, ambos os partidos tentam se conectar uns com os outros usando todos os candidatos reunidos. Essa tentativa de conexão é simultânea em ambos os lados. Muitos dos Gateways da NAT são configurados para permitir o tráfego de entrada para o soquete assim que a transferência de dados de saída o inicializa. Esse comportamento dos Gateways da NAT é o motivo pelo qual a conexão simultânea é essencial. Se o STUN falhar porque está bloqueado, uma tentativa de conexão retransmitida será feita usando o TURN.

8. Após a troca inicial de pacotes, o cliente e o host da sessão podem estabelecer um ou muitos fluxos de dados. Nesses fluxos de dados, o RDP escolhe o caminho de rede mais rápido. O cliente então estabelece uma conexão segura usando o TLS sobre a UDP confiável com o host da sessão e inicia o transporte de Shortpath RDP.

9. Depois que o RDP estabelece o transporte do Shortpath RDP, todos os DVCs (Canais Virtuais Dinâmicos), incluindo gráficos remotos, entrada e redirecionamento de dispositivo são movidos para o novo transporte.

Se os usuários tiverem o shortpath RDP para a rede gerenciada e as redes públicas disponíveis para eles, o algoritmo encontrado primeiro será usado, o que significa que o usuário usará qualquer conexão estabelecida primeiro para essa sessão. Para obter mais informações, confira exemplo de cenário 4.

Configuração de rede

Para dar suporte ao Shortpath RDP para redes públicas, normalmente, você não precisa de nenhuma configuração específica. O host da sessão e o cliente descobrirão automaticamente o fluxo de dados direto, se for possível, em sua configuração de rede. No entanto, cada ambiente é exclusivo e algumas configurações de rede podem afetar negativamente a taxa de sucesso da conexão direta. Siga as recomendações para aumentar a probabilidade de um fluxo de dados direto.

Como o Shortpath RDP usa o UDP para estabelecer um fluxo de dados, se um firewall na sua rede bloquear o tráfego UDP, o Shortpath RDP falhará e a conexão retornará para o transporte de conexão reversa baseado em TCP. A Área de Trabalho Virtual do Azure usa servidores STUN fornecidos pelos Serviços de Comunicação do Azure e pelo Microsoft Teams. Pela natureza do recurso, a conectividade de saída dos hosts da sessão para o cliente é necessária. Infelizmente, você não consegue prever onde os usuários estão localizados na maioria dos casos. Portanto, recomendamos permitir a conectividade UDP de saída de seus hosts da sessão para a internet. Para reduzir o número de portas necessárias, você pode limitar o intervalo de portas usado pelos clientes para o fluxo UDP. Use as tabelas a seguir para referência ao configurar firewalls para o Shortpath RDP.

Se o seu ambiente usa NAT Simétrica, que é o mapeamento de um só IP:Port de origem privada para um IP:Port de destino público exclusivo, você pode usar uma conexão retransmitida com TURN. Esse será o caso se você usar o Firewall do Azure e o Gateway da NAT do Azure. Para obter mais informações sobre NAT com redes virtuais do Azure, consulte Conversão de Endereços de Rede de Origem com redes virtuais.

Temos algumas recomendações gerais para conexões bem-sucedidas usando o Shortpath RDP para redes públicas. Para obter mais informações, consulte Recomendações gerais.

Se os usuários tiverem o Shortpath RDP tanto para as redes gerenciadas quanto para as redes públicas disponíveis para eles, então o primeiro algoritmo encontrado será usado. O usuário usará qualquer conexão estabelecida primeiro para essa sessão. Para obter mais informações, confira Cenários de exemplo.

As seções a seguir contêm os requisitos de origem, destino e protocolo para seus hosts de sessão e dispositivos cliente que devem ser permitidos para que o Shortpath RDP funcione.

Rede virtual do host da sessão

A tabela a seguir detalha os requisitos de origem, destino e protocolo para o Shortpath RDP na rede virtual do seu host de sessão.

Rede do cliente

A tabela a seguir detalha os requisitos de origem, destino e protocolo para seus dispositivos cliente.

Suporte ao Teredo

Embora não seja necessário ao Shortpath RDP, o Teredo adiciona candidatos extras de passagem da NAT e aumenta a chance de conexão bem-sucedida do Shortpath RDP em redes somente IPv4. Para saber como habilitar o Teredo em hosts e clientes de sessão, confira Habilitar suporte ao Teredo.

Suporte UPnP

Para melhorar as chances de uma conexão direta, no lado do cliente da Área de Trabalho Remota, o Shortpath RDP pode usar o UPnP para configurar um mapeamento de porta no roteador NAT. O UPnP é uma tecnologia padrão usada por vários aplicativos, como Xbox, Otimização de Entrega e Teredo. O UPnP está geralmente disponível em roteadores normalmente encontrados em uma rede doméstica. O UPnP é habilitado por padrão na maioria dos roteadores e pontos de acesso domésticos, mas geralmente é desabilitado na rede corporativa.

Recomendações gerais

Aqui estão algumas recomendações gerais ao usar o Shortpath RDP para redes públicas:

• Evite usar configurações de túneis à força se os usuários acessarem a Área de Trabalho Virtual do Azure pela Internet.

• Verifique se você não está usando configurações de NAT ou CGN (Carrier-Grade-NAT).

• Recomende aos usuários que eles não desabilitem o UPnP em seus roteadores domésticos.

• Evitar usar serviços de inspeção de pacotes na nuvem.

• Evitar usar soluções VPN baseadas em TCP.

• Habilitar conectividade IPv6 ou Teredo.