Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestra cómo usar un servidor proxy con Azure Virtual Desktop. Las recomendaciones de este artículo solo se aplican a las conexiones entre la infraestructura de Azure Virtual Desktop, el cliente y los agentes de host de sesión. En este artículo no se trata la conectividad de red para Office, Windows 10, FSLogix u otras aplicaciones de Microsoft.
¿Qué son los servidores proxy?
Se recomienda omitir los servidores proxy para el tráfico de Azure Virtual Desktop. Los servidores proxy no hacen que Azure Virtual Desktop sea más seguro porque el tráfico ya está cifrado. Para obtener más información sobre la seguridad de la conexión, consulte Seguridad de conexión.
La mayoría de los servidores proxy no están diseñados para admitir conexiones WebSocket de larga duración y pueden afectar a la estabilidad de la conexión. La escalabilidad del servidor proxy también provoca problemas porque Azure Virtual Desktop usa varias conexiones a largo plazo. Si usa servidores proxy, deben tener el tamaño adecuado para ejecutar estas conexiones.
Si la geografía del servidor proxy está lejos del host, esta distancia provocará más latencia en las conexiones de usuario. Más latencia significa un tiempo de conexión más lento y una experiencia de usuario peor, especialmente en escenarios que necesitan interacciones de gráficos, audio o baja latencia con dispositivos de entrada. Si debe usar un servidor proxy, tenga en cuenta que debe colocar el servidor en la misma geografía que el agente y el cliente de Azure Virtual Desktop.
Si configura el servidor proxy como la única ruta de acceso que debe tomar el tráfico de Azure Virtual Desktop, los datos del Protocolo de Escritorio remoto (RDP) se forzarán a través del Protocolo de control de transmisión (TCP) en lugar del Protocolo de datagrama de usuario (UDP). Este movimiento reduce la calidad visual y la capacidad de respuesta de la conexión remota.
En resumen, no se recomienda usar servidores proxy en Azure Virtual Desktop porque provocan problemas relacionados con el rendimiento debido a la degradación de la latencia y la pérdida de paquetes.
Omitir un servidor proxy
Si las directivas de red y seguridad de su organización requieren servidores proxy para el tráfico web, puede configurar el entorno para omitir las conexiones de Azure Virtual Desktop mientras sigue enrutando el tráfico a través del servidor proxy. Sin embargo, las directivas de cada organización son únicas, por lo que algunos métodos pueden funcionar mejor para la implementación que otros. Estos son algunos métodos de configuración que puede intentar evitar la pérdida de rendimiento y confiabilidad en el entorno:
- Etiquetas de servicio de Azure con Azure Firewall
- Omisión del servidor proxy mediante archivos de configuración automática de proxy (
.PAC) - Lista de omisión en la configuración del proxy local
- Uso de servidores proxy para la configuración por usuario
- Uso de RDP Shortpath para la conexión RDP mientras se mantiene el tráfico del servicio a través del proxy
Recomendaciones para usar servidores proxy
Algunas organizaciones requieren que todo el tráfico de usuario pase a través de un servidor proxy para realizar el seguimiento o la inspección de paquetes. En esta sección se describe cómo se recomienda configurar el entorno en estos casos.
Uso de servidores proxy en la misma geografía de Azure
Cuando se usa un servidor proxy, controla toda la comunicación con la infraestructura de Azure Virtual Desktop y realiza la resolución DNS y el enrutamiento de Anycast a la instancia de Azure Front Door más cercana. Si los servidores proxy están distantes o distribuidos en una geografía de Azure, la resolución geográfica será menos precisa. Una resolución geográfica menos precisa significa que las conexiones se enrutarán a un clúster de Azure Virtual Desktop más lejano. Para evitar este problema, use solo servidores proxy que estén geográficamente cerca del clúster de Azure Virtual Desktop.
Uso de RDP Shortpath para redes administradas para la conectividad de escritorio
Al habilitar RDP Shortpath para redes administradas, los datos RDP omitirán el servidor proxy, si es posible. La omisión del servidor proxy garantiza un enrutamiento óptimo mientras se usa el transporte UDP. Otro tráfico de Azure Virtual Desktop, como la intermediación, la orquestación y el diagnóstico, seguirá pasando por el servidor proxy.
No usar la terminación SSL en el servidor proxy
La terminación de capa de sockets seguros (SSL) reemplaza los certificados de seguridad de los componentes de Azure Virtual Desktop por los certificados generados por el servidor proxy. Esta característica de servidor proxy permite la inspección de paquetes para el tráfico HTTPS en el servidor proxy. Sin embargo, la inspección de paquetes también aumenta el tiempo de respuesta del servicio, lo que hace que los usuarios tarden más tiempo en iniciar sesión. Para escenarios de conexión inversa, la inspección de paquetes de tráfico RDP no es necesaria porque el tráfico RDP de conexión inversa es binario y usa niveles adicionales de cifrado.
Si configura el servidor proxy para que use la inspección SSL, recuerde que no puede revertir el servidor a su estado original después de que la inspección SSL realice cambios. Si algo en el entorno de Azure Virtual Desktop deja de funcionar mientras tiene habilitada la inspección SSL, debe deshabilitar la inspección SSL e intentarlo de nuevo antes de abrir un caso de soporte técnico. La inspección ssl también puede hacer que el agente de Azure Virtual Desktop deje de funcionar porque interfiere con las conexiones de confianza entre el agente y el servicio.
No use servidores proxy que necesiten autenticación.
Los componentes de Azure Virtual Desktop en el host de sesión se ejecutan en el contexto de su sistema operativo, por lo que no admiten servidores proxy que requieran autenticación. Si el servidor proxy requiere autenticación, se producirá un error en la conexión.
Planeamiento de la capacidad de red del servidor proxy
Los servidores proxy tienen límites de capacidad. A diferencia del tráfico HTTP normal, el tráfico RDP tiene conexiones de chat de larga duración que son bidireccionales y consumen mucho ancho de banda. Antes de configurar un servidor proxy, hable con el proveedor del servidor proxy sobre el rendimiento que tiene el servidor. Asegúrese también de preguntarles cuántas sesiones de proxy puede ejecutar a la vez. Después de implementar el servidor proxy, supervise cuidadosamente su uso de recursos para detectar cuellos de botella en el tráfico de Azure Virtual Desktop.
Optimización de servidores proxy y medios de Microsoft Teams
Azure Virtual Desktop no admite servidores proxy con optimización multimedia para Microsoft Teams.
Recomendaciones de configuración del host de sesión
Para configurar un servidor proxy de nivel de host de sesión, debe habilitar un proxy de todo el sistema. Recuerde que la configuración de todo el sistema afecta a todos los componentes y aplicaciones del sistema operativo que se ejecutan en el host de sesión. Las secciones siguientes son recomendaciones para configurar servidores proxy de todo el sistema.
Uso del protocolo de detección automática de proxy web (WPAD)
El agente de Azure Virtual Desktop intenta buscar automáticamente un servidor proxy en la red mediante el protocolo de detección automática de proxy web (WPAD). Durante un intento de ubicación, el agente busca en el servidor de nombres de dominio (DNS) un archivo denominado wpad.domainsuffix. Si el agente encuentra el archivo en el DNS, realiza una solicitud HTTP para un archivo denominado wpad.dat. La respuesta se convierte en el script de configuración del proxy que elige el servidor proxy de salida.
Para configurar la red para que use la resolución DNS para WPAD, siga las instrucciones de Configuración de detección automática de Internet Explorer 11. Asegúrese de que la lista de bloqueos de consultas globales del servidor DNS permite la resolución de WPAD siguiendo las instrucciones de Set-DnsServerGlobalQueryBlockList.
Establecer manualmente un proxy de todo el dispositivo para los servicios de Windows
Si va a especificar manualmente un servidor proxy, como mínimo tendrá que establecer un proxy para los servicios de Windows RDAgent y Servicios de Escritorio remoto en los hosts de sesión. RDAgent se ejecuta con la cuenta Sistema local y Servicios de Escritorio remoto se ejecuta con el servicio de red de la cuenta. Puede establecer un proxy para estas cuentas mediante la bitsadmin herramienta de línea de comandos.
En el ejemplo siguiente se configuran las cuentas de sistema local y servicio de red para usar un archivo proxy .pac . Tendrá que ejecutar estos comandos desde un símbolo del sistema con privilegios elevados y cambiar el valor del marcador de posición para <server> con su propia dirección:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Para obtener una referencia completa y otros ejemplos, consulte bitsadmin util y setieproxy.
También puede establecer un proxy para todo el dispositivo o una configuración automática de proxy (. PAC) que se aplica a todos los usuarios interactivos, del sistema local y del servicio de red. Si los hosts de sesión están inscritos con Intune, puede establecer un proxy con el CSP del proxy de red; sin embargo, los sistemas operativos cliente de varias sesiones de Windows no admiten CSP de directivas, ya que solo admiten el catálogo de configuración. Como alternativa, puede configurar un proxy de todo el dispositivo mediante el netsh winhttp comando . Para obtener una referencia completa y ejemplos, vea Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP) (Comandos netsh para el protocolo de transferencia de hipertexto de Windows (WINHTTP)
Compatibilidad con proxy del lado cliente
El cliente de Azure Virtual Desktop admite servidores proxy configurados con la configuración del sistema o un CSP de proxy de red.
Compatibilidad con clientes de Azure Virtual Desktop
En la tabla siguiente se muestra qué clientes de Azure Virtual Desktop admiten servidores proxy:
| Nombre de cliente | Compatibilidad con servidores proxy |
|---|---|
| Cliente de escritorio remoto | Sí |
| Cliente web | Sí |
| Android | No |
| iOS | Sí |
| macOS | Sí |
| Windows App en Windows | Sí |
Para obtener más información sobre la compatibilidad con proxy en clientes ligeros basados en Linux, consulte Compatibilidad con clientes ligeros.
Limitaciones de soporte técnico
Hay muchos servicios y aplicaciones de terceros que actúan como servidor proxy. Estos servicios de terceros incluyen firewalls distribuidos de próxima generación, sistemas de seguridad web y servidores proxy básicos. No podemos garantizar que todas las configuraciones sean compatibles con Azure Virtual Desktop. Microsoft solo proporciona compatibilidad limitada con las conexiones establecidas a través de un servidor proxy. Si tiene problemas de conectividad al usar un servidor proxy, el soporte técnico de Microsoft recomienda configurar una omisión de proxy y, a continuación, intentar reproducir el problema.
Pasos siguientes
Para obtener más información sobre cómo proteger la implementación de Azure Virtual Desktop, consulte nuestra guía de seguridad.