Инструкции по использованию прокси-сервера для Виртуального рабочего стола Azure
В этой статье содержатся сведения о том, как использовать прокси-сервер с Виртуальным рабочим столом Azure. Рекомендации в этой статье применимы только к подключениям между инфраструктурой Виртуального рабочего стола Azure, клиентом и агентами узла сеансов. Сетевое подключение для Office, Windows 10, FSLogix или других приложений Майкрософт рассматриваться не будет.
Что такое прокси-серверы?
Мы рекомендуем не использовать прокси-серверы для трафика Виртуального рабочего стола Azure. Они не делают Виртуальный рабочий стол Azure более безопасным, поскольку этот трафик уже зашифрован. Дополнительные сведения см. в разделе Безопасность подключения.
Большинство прокси-серверов не рассчитаны на поддержку длительных подключений WebSocket и могут повлиять на стабильность подключения. К проблемам может привести и масштабируемость прокси-сервера, поскольку Виртуальный рабочий стол Azure использует несколько долгосрочных подключений. Если вы используете прокси-серверы, их размер должен соответствовать требованиям для выполнения этих подключений.
Если географически прокси-сервер размещен далеко от узла, это расстояние приведет к увеличению задержки при подключениях пользователей. Дополнительная задержка означает более медленное подключение и ухудшение взаимодействия с пользователем, особенно в сценариях, в которых для устройств ввода требуются графические данные, аудио или малые задержки. Если же использовать прокси-сервер все же нужно, помните, что сервер нужно размещать в той же географической зоне, что и агент и клиент Виртуального рабочего стола Azure.
Если вы настроите прокси-сервер как единственный путь для трафика Виртуального рабочего стола Azure, данные RDP будут принудительно передаваться по протоколу TCP, а не UDP. Что, в свою очередь, приводит к снижению качества визуальных объектов и скорости реагирования удаленного подключения.
В целом мы не рекомендуем использовать прокси-серверы для Виртуального рабочего стола Azure, поскольку они вызывают проблемы с производительностью, связанные со снижением задержки и потерей пакетов.
Обход прокси-сервера
Если в сети и политиках безопасности вашей организации прокси-серверы нужны для передачи веб-трафика, окружение можно настроить таким образом, чтобы обходить подключения к Виртуальному рабочему столу, но по-прежнему выполнять маршрутизацию трафика через прокси-сервер. Тем не менее политика каждой организации уникальна, поэтому некоторые методы могут быть более эффективными для вашего развертывания, чем другие. Ниже приведены некоторые методы конфигурации, которые можно использовать для предотвращения потери производительности и надежности в вашем окружении.
- Теги службы Azure с Брандмауэр Azure
- Обход прокси-сервера с помощью файлов автоматической настройки прокси-сервера (
.PAC
) - Создание списка обхода в конфигурации локального прокси-сервера
- Использование прокси-серверов для конфигурации отдельных пользователей
- Использование компонента shortpath протокола удаленного рабочего стола для подключения RDP с сохранением передачи трафика службы через прокси-сервер
Рекомендации по использованию прокси-серверов
Некоторым организациям требуется, чтобы весь пользовательский трафик проходил через прокси-сервер, поскольку это позволяет отслеживать или проверять пакеты. В этом разделе содержатся сведения, как настроить окружение в таких случаях.
Использование прокси-серверов в одной географии Azure
Во время использования прокси-сервер обрабатывает всю передачу данных с инфраструктуры Виртуального рабочего стола Azure и выполняет разрешение DNS и маршрутизацию Anycast к ближайшей службе Azure Front Door. Если прокси-серверы являются удаленными или распределены по всей географии Azure, географическое разрешение будет менее точным. Менее точное географическое разрешение значит, что подключения будут направляться в более отдаленный кластер Виртуального рабочего стола Azure. Чтобы избежать этой проблемы, используйте только прокси-серверы, географически близкие к кластеру Виртуального рабочего стола Azure.
Использование компонента shortpath протокола удаленного рабочего стола для управляемых сетей для подключения к настольным компьютерам
Если включить компонент shortpath протокола удаленного рабочего стола для управляемых сетей, данные RDP по возможности будут обходить прокси-сервер. Обход прокси-сервера обеспечивает оптимальную маршрутизацию при использовании транспортировки по протоколу UDP. Другой тип трафика Виртуального рабочего стола Azure, например трафик брокера, оркестрации и диагностики, будет по-прежнему проходить через прокси-сервер.
Не используйте завершение сеанса SSL на прокси-сервере
Завершение сеанса SSL заменяет сертификаты безопасности компонентов Виртуального рабочего стола Azure сертификатами, созданными прокси-сервером. Эта возможность прокси-сервера позволяет выполнять проверку пакетов для трафика HTTPS на прокси-сервере. Однако проверка пакетов также приводит к увеличению времени отклика службы и, следовательно, более длительному процессу входа пользователей в систему. Для сценариев с обратным подключением проверка пакетов трафика RDP не требуется, поскольку трафик такого подключения является двоичным и использует дополнительные уровни шифрования.
Если вы настраиваете прокси-сервер, чтобы использовать проверку SSL, помните, вернуть сервер в исходное состояние после того, как проверка SSL внесет изменения, невозможно. Если при включенной проверке SSL в окружении Виртуального рабочего стола Azure перестает работать какой-либо компонент, попробуйте отключить проверку SSL и повторить попытку, прежде чем обращаться в службу поддержки. Проверка SSL также может привести к прекращению работы агента Виртуального рабочего стола Azure, поскольку она влияет на доверительные соединения между агентом и службой.
Не используйте прокси-серверы, требующие проверки подлинности
Компоненты Виртуального рабочего стола Azure на узле сеансов выполняются в контексте их операционной системы, поэтому они не поддерживают прокси-серверы, требующие проверки подлинности. Если прокси-сервер требует проверки подлинности, подключение завершится сбоем.
Планирование пропускной способности сети прокси-сервера
Прокси-серверы имеют ограничения касательно пропускной способности. В отличие от обычного трафика HTTP, трафик RDP имеет длительные множественные подключения, которые являются двунаправленными и потребляют много пропускной способности. Прежде чем настраивать прокси-сервер, обратитесь к поставщику прокси-сервера, чтобы узнать пропускную способность сервера. Не забудьте спросить и о том, сколько сеансов прокси-сервера можно запустить одновременно. Развернув прокси-сервер, внимательно отслеживайте его использование ресурсов, чтобы определить узкие места в трафике Виртуального рабочего стола Azure.
Прокси-серверы и оптимизация мультимедиа Microsoft Teams
Виртуальный рабочий стол Azure не поддерживает прокси-серверы с оптимизацией мультимедиа для Microsoft Teams.
Рекомендации по настройке узла сеансов
Для настройки прокси-сервера на уровне узла сеансов необходимо включить системный прокси-сервер. Помните, что конфигурация для всей системы влияет на все компоненты ОС и приложения, работающие на узле сеансов. В следующих разделах приведены рекомендации по настройке системных прокси-серверов.
Использование протокола автоматического обнаружения веб-прокси (WPAD)
Агент Виртуального рабочего стола Azure автоматически пытается определить расположение прокси-сервера в сети с помощью протокола WPAD. Во время попытки определения расположения агент ищет файл с именем wpad.domainsuffix на сервере доменных имен (DNS). Если файл удается найти в DNS, агент выполняет HTTP-запрос на файл с именем wpad.dat. Ответ становится сценарием конфигурации прокси-сервера, который выбирает исходящий прокси-сервер.
Чтобы настроить сеть так, чтобы она использовала разрешение DNS для WPAD, следуйте инструкциям в статье Параметры автообнаружения Internet Explorer 11. Убедитесь, что список блокировки глобальных запросов DNS-сервера допускает разрешение WPAD, следуя указаниям в описании Set-DnsServerGlobalQueryBlockList.
Настройка прокси-сервера на уровне устройства для служб Windows вручную
Если вы указываете прокси-сервер вручную, необходимо как минимум задать прокси-сервер для служб Windows RDAgent и служб удаленных рабочих столов на узлах сеансов. RDAgent выполняется с учетной записью Локальная система , а службы удаленных рабочих столов — с сетевой службой учетной записи. Вы можете задать прокси-сервер для этих учетных записей с помощью программы командной bitsadmin
строки.
В следующем примере для учетных записей локальной системы и сетевой службы настраивается использование файла прокси-сервера .pac
. Вам потребуется выполнить следующие команды из командной строки с повышенными привилегиями, изменив значение заполнителя для <server>
на свой адрес:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Полный справочник и другие примеры см. в разделах bitsadmin util и setieproxy.
Вы также можете настроить прокси-сервер на уровне устройства или автоматическую настройку прокси-сервера (. PAC) файл, который применяется ко всем пользователям интерактивных, локальных систем и сетевых служб. Если узлы сеансов зарегистрированы с помощью Intune, вы можете настроить прокси-сервер с помощью поставщика служб конфигурации сетевого прокси-сервера, однако многосеансовые клиентские операционные системы Windows не поддерживают политику CSP, так как поддерживают только каталог параметров. Кроме того, можно настроить прокси-сервер на уровне устройства с помощью netsh winhttp
команды . Полный справочник и примеры см. в разделе Команды Netsh для протокола передачи гипертекста Windows (WINHTTP).
Поддержка прокси-сервера на стороне клиента
Клиент Виртуального рабочего стола Azure поддерживает прокси-серверы, настроенные с помощью параметров системы или CSP прокси-сервера.
Поддержка клиента Виртуального рабочего стола Azure
В следующей таблице показано, какие клиенты Виртуального рабочего стола Azure поддерживают прокси-серверы.
имя клиента; | Поддержка прокси-сервера |
---|---|
Настольный компьютер с Windows | Да |
Веб-клиент | Да |
Android | Нет |
iOS | Да |
macOS | Да |
Магазин Windows | Да |
Дополнительные сведения о поддержке прокси-сервера для тонких клиентов на основе Linux см. в статье Поддержка тонкого клиента.
Ограничения поддержки
Существует множество сторонних служб и приложений, выполняющих функции прокси-сервера. К таким сторонним службам можно отнести распределенные брандмауэры следующего поколения, системы веб-безопасности и базовые прокси-серверы. Мы не можем гарантировать, что каждая конфигурация будет совместима с Виртуальным рабочим столом Azure. Корпорация Майкрософт предоставляет ограниченную поддержку для подключений через прокси-сервер. Если при использовании прокси-сервера возникают проблемы с подключением, служба поддержки Майкрософт рекомендует настроить обход для прокси-сервера и попытаться воспроизвести проблему.
Дальнейшие действия
Дополнительные сведения о защите развертывания Виртуального рабочего стола Azure см. в нашем руководстве по безопасности.