Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln visar hur du använder en proxyserver med Azure Virtual Desktop. Rekommendationerna i den här artikeln gäller endast för anslutningar mellan Azure Virtual Desktop-infrastruktur, klient- och sessionsvärdagenter. Den här artikeln beskriver inte nätverksanslutningar för Office, Windows 10, FSLogix eller andra Microsoft-program.
Vad är proxyservrar?
Vi rekommenderar att du kringgår proxyservrar för Azure Virtual Desktop-trafik. Proxyservrar gör inte Azure Virtual Desktop säkrare eftersom trafiken redan är krypterad. Mer information om anslutningssäkerhet finns i Anslutningssäkerhet.
De flesta proxyservrar är inte utformade för att stödja långvariga WebSocket-anslutningar och kan påverka anslutningsstabiliteten. Skalbarhet för proxyservern orsakar också problem eftersom Azure Virtual Desktop använder flera långsiktiga anslutningar. Om du använder proxyservrar måste de ha rätt storlek för att kunna köra dessa anslutningar.
Om proxyserverns geografiska plats är långt från värden orsakar det här avståndet längre svarstider i dina användaranslutningar. Mer svarstid innebär långsammare anslutningstid och sämre användarupplevelse, särskilt i scenarier som behöver grafik, ljud eller interaktion med indataenheter med låg latens. Om du måste använda en proxyserver måste du tänka på att du måste placera servern i samma geografiska område som Azure Virtual Desktop-agenten och klienten.
Om du konfigurerar proxyservern som den enda sökvägen för Azure Virtual Desktop-trafik att ta, tvingas RDP-data (Remote Desktop Protocol) över TCP (Transmission Control Protocol) i stället för UDP (User Datagram Protocol). Det här steget sänker fjärranslutningens visuella kvalitet och svarstider.
Sammanfattningsvis rekommenderar vi inte att du använder proxyservrar på Azure Virtual Desktop eftersom de orsakar prestandarelaterade problem på grund av fördröjningsförsämring och paketförlust.
Kringgå en proxyserver
Om organisationens nätverks- och säkerhetsprinciper kräver proxyservrar för webbtrafik kan du konfigurera din miljö så att den kringgår Azure Virtual Desktop-anslutningar samtidigt som trafiken dirigeras via proxyservern. Varje organisations principer är dock unika, så vissa metoder kan fungera bättre för din distribution än andra. Här följer några konfigurationsmetoder som du kan försöka förhindra prestanda- och tillförlitlighetsförlust i din miljö:
- Azure-tjänsttaggar med Azure Firewall
- Proxyservern kringgår med hjälp av autokonfigurationsfiler för proxy (
.PAC) - Kringgå listan i den lokala proxykonfigurationen
- Använda proxyservrar för konfiguration per användare
- Använda RDP Shortpath för RDP-anslutningen samtidigt som tjänsttrafiken över proxyn behålls
Rekommendationer för att använda proxyservrar
Vissa organisationer kräver att all användartrafik går via en proxyserver för spårning eller paketgranskning. I det här avsnittet beskrivs hur vi rekommenderar att du konfigurerar din miljö i dessa fall.
Använda proxyservrar i samma geografiska Azure-område
När du använder en proxyserver hanterar den all kommunikation med Azure Virtual Desktop-infrastrukturen och utför DNS-matchning och Anycast-routning till närmaste Azure Front Door. Om proxyservrarna är avlägsna eller distribuerade över ett geografiskt Azure-område blir din geografiska upplösning mindre exakt. Mindre exakt geografisk upplösning innebär att anslutningar dirigeras till ett mer avlägset Azure Virtual Desktop-kluster. Undvik det här problemet genom att bara använda proxyservrar som ligger geografiskt nära ditt Azure Virtual Desktop-kluster.
Använda RDP Shortpath för hanterade nätverk för skrivbordsanslutning
När du aktiverar RDP Shortpath för hanterade nätverk kringgår RDP-data proxyservern, om möjligt. Genom att kringgå proxyservern säkerställs optimal routning vid användning av UDP-transporten. Annan Azure Virtual Desktop-trafik, till exempel asynkronisering, orkestrering och diagnostik, går fortfarande via proxyservern.
Använd inte SSL-avslutning på proxyservern
SSL-avslutning (Secure Sockets Layer) ersätter säkerhetscertifikat för Azure Virtual Desktop-komponenterna med certifikat som genereras av proxyservern. Den här proxyserverfunktionen möjliggör paketgranskning för HTTPS-trafik på proxyservern. Paketgranskningen ökar dock också svarstiden för tjänsten, vilket gör att det tar längre tid för användarna att logga in. För scenarier med omvänd anslutning är RDP-trafikpaketgranskning inte nödvändigt eftersom RDP-trafik med omvänd anslutning är binär och använder extra krypteringsnivåer.
Om du konfigurerar proxyservern så att den använder SSL-kontroll bör du komma ihåg att du inte kan återställa servern till sitt ursprungliga tillstånd när SSL-inspektionen har gjort ändringar. Om något i Azure Virtual Desktop-miljön slutar fungera medan SSL-inspektionen är aktiverad måste du inaktivera SSL-inspektionen och försöka igen innan du öppnar ett supportärende. SSL-inspektion kan också leda till att Azure Virtual Desktop-agenten slutar fungera eftersom den stör betrodda anslutningar mellan agenten och tjänsten.
Använd inte proxyservrar som behöver autentisering
Azure Virtual Desktop-komponenter på sessionsvärden körs i kontexten för deras operativsystem, så att de inte stöder proxyservrar som kräver autentisering. Om proxyservern kräver autentisering misslyckas anslutningen.
Planera för proxyserverns nätverkskapacitet
Proxyservrar har kapacitetsbegränsningar. Till skillnad från vanlig HTTP-trafik har RDP-trafik långvariga, pratsamma anslutningar som är dubbelriktade och förbrukar mycket bandbredd. Innan du konfigurerar en proxyserver ska du prata med proxyserverleverantören om hur mycket dataflöde servern har. Se också till att fråga dem hur många proxysessioner du kan köra samtidigt. När du har distribuerat proxyservern övervakar du noggrant resursanvändningen för flaskhalsar i Azure Virtual Desktop-trafik.
Proxyservrar och Medieoptimering i Microsoft Teams
Azure Virtual Desktop stöder inte proxyservrar med medieoptimering för Microsoft Teams.
Konfigurationsrekommendationer för sessionsvärd
Om du vill konfigurera en proxyserver på sessionsvärdnivå måste du aktivera en systemomfattande proxy. Kom ihåg att systemomfattande konfiguration påverkar alla OS-komponenter och program som körs på sessionsvärden. Följande avsnitt är rekommendationer för att konfigurera systemomfattande proxyservrar.
Använda WPAD-protokollet (Web Proxy Auto-Discovery)
Azure Virtual Desktop-agenten försöker automatiskt hitta en proxyserver i nätverket med hjälp av WPAD-protokollet (Web Proxy Auto-Discovery). Under ett platsförsök söker agenten igenom domännamnsservern (DNS) efter en fil med namnet wpad.domainsuffix. Om agenten hittar filen i DNS gör den en HTTP-begäran för en fil med namnet wpad.dat. Svaret blir proxykonfigurationsskriptet som väljer den utgående proxyservern.
Om du vill konfigurera nätverket att använda DNS-matchning för WPAD följer du anvisningarna i Inställningar för automatisk identifiering Internet Explorer 11. Kontrollera att den globala frågeblockeringslistan för DNS-servern tillåter WPAD-upplösningen genom att följa anvisningarna i Set-DnsServerGlobalQueryBlockList.
Ange en enhetsomfattande proxy för Windows-tjänster manuellt
Om du anger en proxyserver manuellt måste du minst ange en proxy för Windows-tjänsterna RDAgent och Fjärrskrivbordstjänster på sessionsvärdarna. RDAgent körs med kontot Lokalt system och Fjärrskrivbordstjänster körs med kontot Nätverkstjänst. Du kan ange en proxy för dessa konton med hjälp av bitsadmin kommandoradsverktyget.
I följande exempel konfigureras de lokala system- och nätverkstjänstkontona så att de använder en proxyfil .pac . Du måste köra dessa kommandon från en upphöjd kommandotolk och ändra platshållarvärdet för <server> med din egen adress:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
En fullständig referens och andra exempel finns i bitsadmin util och setieproxy.
Du kan också ange en enhetsomfattande proxy eller automatisk proxykonfiguration (. PAC)-fil som gäller för alla interaktiva, lokala system- och nätverkstjänstanvändare. Om dina sessionsvärdar har registrerats med Intune kan du ange en proxyserver med CSP för nätverksproxy, men Windows klientoperativsystem med flera sessioner stöder inte princip-CSP eftersom de bara stöder inställningskatalogen. Du kan också konfigurera en enhetsomfattande proxy med hjälp av netsh winhttp kommandot . En fullständig referens och exempel finns i Netsh-kommandon för Windows Hypertext Transfer Protocol (WINHTTP)
Proxysupport på klientsidan
Azure Virtual Desktop-klienten stöder proxyservrar som konfigurerats med systeminställningar eller en CSP för nätverksproxy.
Klientstöd för Azure Virtual Desktop
I följande tabell visas vilka Azure Virtual Desktop-klienter som stöder proxyservrar:
| Klientnamn | Stöd för proxyserver |
|---|---|
| Fjärrskrivbordsklient | Ja |
| Webbklient | Ja |
| Android | Nej |
| iOS | Ja |
| macOS | Ja |
| Windows App i Windows | Ja |
Mer information om proxystöd på Linux-baserade tunna klienter finns i Stöd för tunna klienter.
Supportbegränsningar
Det finns många tjänster och program från tredje part som fungerar som proxyserver. Dessa tjänster från tredje part omfattar distribuerade nästa generations brandväggar, webbsäkerhetssystem och grundläggande proxyservrar. Vi kan inte garantera att varje konfiguration är kompatibel med Azure Virtual Desktop. Microsoft tillhandahåller endast begränsat stöd för anslutningar som upprättas via en proxyserver. Om du har anslutningsproblem när du använder en proxyserver rekommenderar Microsoft-supporten att du konfigurerar en förbikoppling av proxyn och sedan försöker återskapa problemet.
Nästa steg
Mer information om hur du skyddar din Azure Virtual Desktop-distribution finns i vår säkerhetsguide.