Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe u een proxyserver gebruikt met Azure Virtual Desktop. De aanbevelingen in dit artikel zijn alleen van toepassing op verbindingen tussen Azure Virtual Desktop-infrastructuur, client en sessiehostagents. Dit artikel heeft geen betrekking op netwerkconnectiviteit voor Office, Windows 10, FSLogix of andere Microsoft-toepassingen.
Wat zijn proxyservers?
We raden u aan proxy's voor Azure Virtual Desktop-verkeer te omzeilen. Proxy's maken Azure Virtual Desktop niet veiliger omdat het verkeer al is versleuteld. Zie Verbindingsbeveiliging voor meer informatie over verbindingsbeveiliging.
De meeste proxyservers zijn niet ontworpen voor het ondersteunen van langlopende WebSocket-verbindingen en kunnen de stabiliteit van de verbinding beïnvloeden. Schaalbaarheid van proxyservers veroorzaakt ook problemen omdat Azure Virtual Desktop gebruikmaakt van meerdere langdurige verbindingen. Als u proxyservers gebruikt, moeten deze de juiste grootte hebben om deze verbindingen uit te voeren.
Als de geografie van de proxyserver zich ver van de host bevindt, zorgt deze afstand voor meer latentie in uw gebruikersverbindingen. Meer latentie betekent een tragere verbindingstijd en een slechtere gebruikerservaring, met name in scenario's waarin grafische, audio- of lage latentieinteracties met invoerapparaten nodig zijn. Als u een proxyserver moet gebruiken, moet u de server in dezelfde geografie plaatsen als de Azure Virtual Desktop-agent en -client.
Als u uw proxyserver configureert als het enige pad voor Azure Virtual Desktop-verkeer, worden de RDP-gegevens (Remote Desktop Protocol) geforceerd via Tcp (Transmission Control Protocol) in plaats van User Datagram Protocol (UDP). Deze verplaatsing verlaagt de visuele kwaliteit en reactiesnelheid van de externe verbinding.
Kortom, we raden het gebruik van proxyservers op Azure Virtual Desktop niet aan, omdat deze prestatieproblemen veroorzaken door latentievermindering en pakketverlies.
Een proxyserver omzeilen
Als het netwerk- en beveiligingsbeleid van uw organisatie proxyservers vereist voor webverkeer, kunt u uw omgeving configureren om Azure Virtual Desktop-verbindingen te omzeilen terwijl het verkeer nog steeds via de proxyserver wordt gerouteerd. Het beleid van elke organisatie is echter uniek, dus sommige methoden werken mogelijk beter voor uw implementatie dan andere. Hier volgen enkele configuratiemethoden die u kunt proberen om prestatie- en betrouwbaarheidsverlies in uw omgeving te voorkomen:
- Azure-servicetags met Azure Firewall
- Proxyserver bypass using Proxy Auto Configuration (
.PAC) bestanden - Lijst overslaan in de lokale proxyconfiguratie
- Proxyservers gebruiken voor configuratie per gebruiker
- RDP Shortpath gebruiken voor de RDP-verbinding terwijl het serviceverkeer via de proxy wordt behouden
Aanbevelingen voor het gebruik van proxyservers
Sommige organisaties vereisen dat al het gebruikersverkeer via een proxyserver gaat voor tracering of pakketinspectie. In deze sectie wordt beschreven hoe u uw omgeving in deze gevallen kunt configureren.
Proxyservers in dezelfde Azure-geografie gebruiken
Wanneer u een proxyserver gebruikt, verwerkt deze alle communicatie met de Azure Virtual Desktop-infrastructuur en voert deze DNS-omzetting en Anycast-routering uit naar de dichtstbijzijnde Azure Front Door. Als uw proxyservers ver weg zijn of zijn verdeeld over een Azure-geografie, is uw geografische resolutie minder nauwkeurig. Minder nauwkeurige geografische resolutie betekent dat verbindingen worden gerouteerd naar een verder verwijderd Azure Virtual Desktop-cluster. U kunt dit probleem voorkomen door alleen proxyservers te gebruiken die zich geografisch dicht bij uw Azure Virtual Desktop-cluster bevinden.
RDP Shortpath gebruiken voor beheerde netwerken voor bureaubladconnectiviteit
Wanneer u RDP Shortpath inschakelt voor beheerde netwerken, worden rdp-gegevens indien mogelijk overgeslagen op de proxyserver. Het omzeilen van de proxyserver zorgt voor optimale routering tijdens het gebruik van het UDP-transport. Ander Verkeer van Azure Virtual Desktop, zoals brokering, indeling en diagnostische gegevens, gaat nog steeds via de proxyserver.
Ssl-beëindiging niet gebruiken op de proxyserver
Ssl-beëindiging (Secure Sockets Layer) vervangt beveiligingscertificaten van de Azure Virtual Desktop-onderdelen door certificaten die zijn gegenereerd door de proxyserver. Met deze proxyserverfunctie kunt u pakketinspectie voor HTTPS-verkeer op de proxyserver inschakelen. Pakketinspectie verhoogt echter ook de reactietijd van de service, waardoor het langer duurt voordat gebruikers zich aanmelden. Voor scenario's met omgekeerde verbinding is rdp-verkeerspakketinspectie niet nodig omdat RDP-verkeer via omgekeerde verbinding binair is en extra versleutelingsniveaus gebruikt.
Als u uw proxyserver configureert voor het gebruik van SSL-inspectie, moet u er rekening mee houden dat u de server niet kunt terugzetten naar de oorspronkelijke status nadat de SSL-inspectie wijzigingen heeft aangebracht. Als iets in uw Azure Virtual Desktop-omgeving niet meer werkt terwijl SSL-inspectie is ingeschakeld, moet u SSL-inspectie uitschakelen en het opnieuw proberen voordat u een ondersteuningsaanvraag opent. SSL-inspectie kan er ook toe leiden dat de Azure Virtual Desktop-agent niet meer werkt omdat deze de vertrouwde verbindingen tussen de agent en de service verstoort.
Gebruik geen proxyservers die verificatie nodig hebben
Azure Virtual Desktop-onderdelen op de sessiehost worden uitgevoerd in de context van hun besturingssysteem, zodat ze geen ondersteuning bieden voor proxyservers waarvoor verificatie is vereist. Als de proxyserver verificatie vereist, mislukt de verbinding.
Netwerkcapaciteit van de proxyserver plannen
Proxyservers hebben capaciteitslimieten. In tegenstelling tot gewoon HTTP-verkeer heeft RDP-verkeer langlopende, chatty-verbindingen die bidirectioneel zijn en veel bandbreedte verbruiken. Voordat u een proxyserver instelt, moet u contact opnemen met de leverancier van de proxyserver over de hoeveelheid doorvoer die uw server heeft. Zorg er ook voor dat u vraagt hoeveel proxysessies u tegelijk kunt uitvoeren. Nadat u de proxyserver hebt geïmplementeerd, moet u het resourcegebruik zorgvuldig controleren op knelpunten in Azure Virtual Desktop-verkeer.
Proxyservers en Microsoft Teams-mediaoptimalisatie
Azure Virtual Desktop biedt geen ondersteuning voor proxyservers met media-optimalisatie voor Microsoft Teams.
Aanbevelingen voor sessiehostconfiguratie
Als u een proxyserver op sessiehostniveau wilt configureren, moet u een systeemomvattende proxy inschakelen. Houd er rekening mee dat de systeemomvattende configuratie van invloed is op alle onderdelen en toepassingen van het besturingssysteem die worden uitgevoerd op de sessiehost. De volgende secties bevatten aanbevelingen voor het configureren van systeemomvattende proxy's.
Het WPAD-protocol (Web Proxy Auto-Discovery) gebruiken
De Azure Virtual Desktop-agent probeert automatisch een proxyserver op het netwerk te vinden met behulp van het WPAD-protocol (Web Proxy Auto-Discovery). Tijdens een locatiepoging zoekt de agent op de domeinnaamserver (DNS) naar een bestand met de naam wpad.domainsuffix. Als de agent het bestand in de DNS vindt, wordt er een HTTP-aanvraag ingediend voor een bestand met de naam wpad.dat. Het antwoord wordt het proxyconfiguratiescript dat de uitgaande proxyserver kiest.
Als u uw netwerk wilt configureren voor het gebruik van DNS-resolutie voor WPAD, volgt u de instructies in Instellingen voor automatisch detecteren Internet Explorer 11. Zorg ervoor dat de algemene queryblokkeringslijst van de DNS-server de WPAD-resolutie toestaat door de instructies in Set-DnsServerGlobalQueryBlockList te volgen.
Handmatig een apparaatbrede proxy instellen voor Windows-services
Als u handmatig een proxyserver opgeeft, moet u minimaal een proxy instellen voor de Windows-services RDAgent en Extern bureaublad-services op uw sessiehosts. RDAgent wordt uitgevoerd met het account Lokaal systeem en Extern bureaublad-services wordt uitgevoerd met de accountnetwerkservice. U kunt een proxy instellen voor deze accounts met behulp van het bitsadmin opdrachtregelprogramma.
In het volgende voorbeeld worden de lokale systeem- en netwerkserviceaccounts geconfigureerd voor het gebruik van een proxybestand .pac . U moet deze opdrachten uitvoeren vanaf een opdrachtprompt met verhoogde bevoegdheid, waarbij u de tijdelijke aanduiding voor met <server> uw eigen adres wijzigt:
bitsadmin /util /setieproxy LOCALSYSTEM AUTOSCRIPT http://<server>/proxy.pac
bitsadmin /util /setieproxy NETWORKSERVICE AUTOSCRIPT http://<server>/proxy.pac
Zie bitsadmin util and setieproxy (bitsadmin util and setieproxy) voor een volledige naslaginformatie en andere voorbeelden.
U kunt ook een proxy voor het hele apparaat of automatische proxyconfiguratie (. PAC)-bestand dat van toepassing is op alle gebruikers van de interactieve, lokale systeem- en netwerkservice. Als uw sessiehosts zijn ingeschreven bij Intune, kunt u een proxy instellen met de netwerkproxy-CSP. Windows-clientbesturingssystemen met meerdere sessies ondersteunen echter geen beleids-CSP omdat ze alleen de catalogus met instellingen ondersteunen. U kunt ook een proxy voor het hele apparaat configureren met behulp van de netsh winhttp opdracht. Zie Netsh Commands for Windows Hypertext Transfer Protocol (WINHTTP) voor een volledige referentie en voorbeelden.
Proxyondersteuning aan clientzijde
De Azure Virtual Desktop-client ondersteunt proxyservers die zijn geconfigureerd met systeeminstellingen of een netwerkproxy-CSP.
Azure Virtual Desktop-clientondersteuning
In de volgende tabel ziet u welke Azure Virtual Desktop-clients proxyservers ondersteunen:
| Clientnaam | Ondersteuning voor proxyserver |
|---|---|
| Extern bureaublad-client | Ja |
| Webclient | Ja |
| Android | Nee |
| iOS | Ja |
| macOS | Ja |
| Windows App in Windows | Ja |
Zie Ondersteuning voor thin clients voor meer informatie over proxyondersteuning voor op Linux gebaseerde thin clients.
Ondersteuningsbeperkingen
Er zijn veel services en toepassingen van derden die fungeren als proxyserver. Deze services van derden omvatten gedistribueerde firewalls van de volgende generatie, webbeveiligingssystemen en basisproxyservers. We kunnen niet garanderen dat elke configuratie compatibel is met Azure Virtual Desktop. Microsoft biedt alleen beperkte ondersteuning voor verbindingen die via een proxyserver tot stand zijn gebracht. Als u verbindingsproblemen ondervindt tijdens het gebruik van een proxyserver, raadt Microsoft Ondersteuning u aan een proxy-bypass te configureren en het probleem vervolgens te reproduceren.
Volgende stappen
Raadpleeg onze beveiligingshandleiding voor meer informatie over het beveiligen van uw Azure Virtual Desktop-implementatie.