Azure Sanal Masaüstü ağ bağlantısını anlama

  • Makale

Azure Sanal Masaüstü, Azure üzerinde çalışan oturum konaklarında istemci oturumlarını barındırıyor. Microsoft, hizmetlerin bazı bölümlerini müşteri adına yönetir ve istemcileri ve oturum konaklarını bağlamak için güvenli uç noktalar sağlar. Aşağıdaki diyagram, Azure Sanal Masaüstü tarafından kullanılan ağ bağlantılarına üst düzey bir genel bakış sağlar.

Azure Sanal Masaüstü Ağ Bağlantıları diyagramı

Oturum bağlantısı

Azure Sanal Masaüstü, ağ bağlantıları üzerinden uzaktan görüntüleme ve giriş özellikleri sağlamak için Uzak Masaüstü Protokolü'nü (RDP) kullanır. RDP başlangıçta Windows NT 4.0 Terminal Server Edition ile yayımlandı ve her Microsoft Windows ve Windows Server sürümünde sürekli olarak gelişmekteydi. Başlangıçtan itibaren RDP, temel alınan aktarım yığınından bağımsız olacak şekilde geliştirilmiştir ve bugün birden çok aktarım türünü desteklemektedir.

Ters bağlantı aktarımı

Azure Sanal Masaüstü, uzak oturumu oluşturmak ve RDP trafiğini taşımak için ters bağlantı aktarımını kullanıyor. Şirket içi Uzak Masaüstü Hizmetleri dağıtımlarından farklı olarak, ters bağlantı aktarımı gelen RDP bağlantılarını almak için TCP dinleyicisi kullanmaz. Bunun yerine, HTTPS bağlantısı üzerinden Azure Sanal Masaüstü altyapısına giden bağlantı kullanır.

Oturum konağı iletişim kanalı

Azure Sanal Masaüstü oturum konağı başlatıldığında, Uzak Masaüstü Aracısı Yükleyici hizmeti Azure Sanal Masaüstü aracısının kalıcı iletişim kanalını oluşturur. Bu iletişim kanalı, güvenli bir Aktarım Katmanı Güvenliği (TLS) bağlantısının üzerine katmanlıdır ve oturum konağı ile Azure Sanal Masaüstü altyapısı arasında hizmet iletisi alışverişi için bir veri yolu görevi görür.

İstemci bağlantı dizisi

İstemci bağlantı dizisi aşağıdaki gibidir:

  1. Desteklenen Azure Sanal Masaüstü istemci kullanıcısı kullanıldığında Azure Sanal Masaüstü Çalışma Alanı'na abone olur.

  2. Microsoft Entra kullanıcının kimliğini doğrular ve bir kullanıcının kullanabileceği kaynakları listelemek için kullanılan belirteci döndürür.

  3. İstemci, belirteci Azure Sanal Masaüstü akışı abonelik hizmetine geçirir.

  4. Azure Sanal Masaüstü akışı abonelik hizmeti belirteci doğrular.

  5. Azure Sanal Masaüstü akışı abonelik hizmeti, kullanılabilir masaüstü ve uygulamaların listesini dijital olarak imzalanan bağlantı yapılandırması biçiminde istemciye geri geçirir.

  6. İstemci, kullanılabilir her kaynak için bağlantı yapılandırmasını bir dosya kümesinde .rdp depolar.

  7. Kullanıcı bağlanacak kaynağı seçtiğinde, istemci ilişkili .rdp dosyayı kullanır ve Azure Front Door'un yardımıyla bir Azure Sanal Masaüstü ağ geçidi örneğine güvenli bir TLS 1.2 bağlantısı kurar ve bağlantı bilgilerini geçirir. Tüm ağ geçitlerinden gelen gecikme süresi değerlendirilir ve ağ geçitleri 10 ms'lik gruplara konur. En düşük gecikme süresine ve ardından mevcut bağlantı sayısı en düşük olan ağ geçidi seçilir.

  8. Azure Sanal Masaüstü ağ geçidi isteği doğrular ve Azure Sanal Masaüstü aracısının bağlantıyı düzenlemesini ister.

  9. Azure Sanal Masaüstü aracısı oturum ana bilgisayarını tanımlar ve bağlantıyı başlatmak için önceden oluşturulmuş kalıcı iletişim kanalını kullanır.

  10. Uzak Masaüstü yığını, istemci tarafından kullanılan azure sanal masaüstü ağ geçidi örneğine bir TLS 1.2 bağlantısı başlatır.

  11. Ağ geçidine hem istemci hem de oturum ana bilgisayarı bağlandıktan sonra, ağ geçidi verileri her iki uç nokta arasında geçirmeyi başlatır. Bu bağlantı, istemci ve oturum konağı arasında desteklenen ve etkinleştirilen karşılıklı olarak kabul edilen TLS sürümünü kullanarak TLS 1.3'e kadar iç içe geçmiş bir tünel aracılığıyla RDP bağlantısı için temel ters bağlantı aktarımını oluşturur.

  12. Temel aktarım ayarlandıktan sonra istemci RDP el sıkışmasını başlatır.

Bağlantı güvenliği

TLS tüm bağlantılar için kullanılır. Kullanılan sürüm, hangi bağlantının yapıldığına ve istemci ile oturum ana bilgisayarının özelliklerine bağlıdır:

  • İstemcilerden ve oturum konaklarından Azure Sanal Masaüstü altyapı bileşenlerine başlatılan tüm bağlantılar için TLS 1.2 kullanılır. Azure Sanal Masaüstü, Azure Front Door ile aynı TLS 1.2 şifrelemelerini kullanır. Hem istemci bilgisayarların hem de oturum konaklarının bu şifreleri kullanabilmesini sağlamak önemlidir.

  • Ters bağlantı aktarımı için hem istemci hem de oturum konağı Azure Sanal Masaüstü ağ geçidine bağlanır. Temel aktarım için TCP bağlantısı kurulduktan sonra, istemci veya oturum konağı Azure Sanal Masaüstü ağ geçidinin sertifikasını doğrular. RDP daha sonra oturum konağı sertifikalarını kullanarak istemci ve oturum konağı arasında iç içe tls bağlantısı kurar. TLS sürümü, tls 1.3'e kadar istemci ve oturum konağı arasında desteklenen ve etkinleştirilen, karşılıklı olarak kararlaştırılan TLS sürümünü kullanır. TLS 1.3, Windows 11 (21H2) ve Windows Server 2022'den itibaren desteklenir. Daha fazla bilgi edinmek için bkz . Windows 11 TLS desteği. Diğer işletim sistemleri için TLS 1.3 desteği için işletim sistemi satıcısına başvurun.

Varsayılan olarak, RDP şifrelemesi için kullanılan sertifika, dağıtım sırasında işletim sistemi tarafından kendi kendine oluşturulur. Kuruluş sertifika yetkilisi tarafından verilen merkezi olarak yönetilen sertifikaları da dağıtabilirsiniz. Sertifikaları yapılandırma hakkında daha fazla bilgi için bkz . Uzak Masaüstü dinleyicisi sertifika yapılandırmaları.

Sonraki adımlar

  • Azure Sanal Masaüstü bant genişliği gereksinimleri hakkında bilgi edinmek için bkz . Azure Sanal Masaüstü için Uzak Masaüstü Protokolü (RDP) Bant Genişliği Gereksinimlerini Anlama.
  • Azure Sanal Masaüstü için Hizmet Kalitesi'ne (QoS) başlamak için bkz . Azure Sanal Masaüstü için Hizmet Kalitesini (QoS) Uygulama.