Azure 虚拟桌面的 RDP 短路径

可使用以下方法实现将 RDP Shortpath 与托管网络配合使用所需的直接视线连接。

• ExpressRoute 专用对等互连

• 站点到站点或点到站点 VPN (IPsec) ，例如 Azure VPN 网关

具有直接视线连接意味着客户端可以直接连接到会话主机，而不会受到防火墙的阻止。

若要对托管网络使用 RDP 短路径，必须在会话主机上启用 UDP 侦听器。 默认情况下，使用端口 3390 ，但可以使用其他端口。

下图简要概述了对加入 Active Directory 域的托管网络和会话主机使用 RDP Shortpath 时的网络连接。

连接顺序

所有连接首先通过 Azure 虚拟桌面网关建立基于 TCP 的 反向连接传输 。 然后，客户端和会话主机建立初始 RDP 传输，并开始交换其功能。 使用以下过程协商这些功能：

1. 会话主机将其 IPv4 和 IPv6 地址列表发送到客户端。

2. 客户端启动后台线程，以建立基于 UDP 的并行传输，直接传输到会话主机的某个 IP 地址。

3. 当客户端探测提供的 IP 地址时，它会继续通过反向连接传输建立初始连接，以确保用户连接没有延迟。

4. 如果客户端与会话主机建立了直接连接，则客户端使用 TLS 建立可靠 UDP 的安全连接。

5. 建立 RDP 短路径传输后，所有动态虚拟通道 (DVC) （包括远程图形、输入和设备重定向）都会移动到新传输。 但是，如果防火墙或网络拓扑阻止客户端建立直接 UDP 连接，则 RDP 将继续执行反向连接传输。

如果用户同时具有托管网络和公共网络的 RDP 短路径，则将使用首次找到的算法。 用户将使用先为该会话建立的连接。

为了提供使用公共连接时 UDP 连接成功的最佳机会，有 直接 连接和 中继 连接类型：

• 直接连接：STUN 用于在客户端和会话主机之间建立直接 UDP 连接。 若要建立此连接，客户端和会话主机必须能够通过公共 IP 地址和协商端口相互连接。 但是，大多数客户端不知道自己的公共 IP 地址，因为它们位于 网络地址转换 (NAT) 网关设备后面。 STUN 是一种协议，用于从 NAT 网关设备和客户端后面自行发现公共 IP 地址，以确定其自己的面向公众的 IP 地址。

  客户端要使用 STUN，其网络必须允许 UDP 流量。 假设客户端和会话主机都可以直接路由到另一个发现的 IP 地址和端口，则通过 WebSocket 协议与直接 UDP 建立通信。 如果防火墙或其他网络设备阻止直接连接，将尝试中继 UDP 连接。

• 中继连接：当无法进行直接连接时，TURN 用于建立连接，通过中间服务器在客户端和会话主机之间中继流量。 TURN 是 STUN 的扩展。 使用 TURN 意味着公共 IP 地址和端口是事先知道的，可以通过防火墙和其他网络设备允许。

  如果防火墙或其他网络设备阻止 UDP 流量，连接将回退到基于 TCP 的反向连接传输。

建立连接时，交互式连接建立 (ICE) 协调 STUN 和 TURN 的管理，以优化建立连接的可能性，并确保优先于首选网络通信协议。

默认情况下，每个 RDP 会话使用动态分配的 UDP 端口（从临时端口范围 (49152 到 65535 ），) 接受 RDP 短路径流量。 端口 65330 被忽略，因为端口 65330 保留供 Azure 内部使用。 还可以使用更小的可预测端口范围。 有关详细信息，请参阅 限制客户端用于公用网络的端口范围。

下图简要概述了对会话主机加入Microsoft Entra ID的公共网络使用 RDP 短路径时的网络连接。

TURN 中继可用性

以下 Azure 区域中提供 TURN 中继，ACS TURN 中继 (20.202.0.0/16) ：

根据客户端设备的物理位置选择 TURN 中继。 例如，如果客户端设备位于英国，则选择“英国南部”或“英国西部”区域中的 TURN 中继。 如果客户端设备远离 TURN 中继，则 UDP 连接可能会回退到 TCP。

网络地址转换和防火墙

大多数 Azure 虚拟桌面客户端在专用网络上的计算机上运行。 Internet 访问通过网络地址转换 (NAT) 网关设备提供。 因此，NAT 网关修改来自专用网络并发往 Internet 的所有网络请求。 此类修改旨在跨专用网络上的所有计算机共享单个公共 IP 地址。

由于 IP 数据包修改，流量接收方将看到 NAT 网关的公共 IP 地址，而不是实际发送方。 当流量返回到 NAT 网关时，需要注意在发送方不知情的情况下将其转发到目标接收方。 在大多数情况下，隐藏在此类 NAT 后面的设备不知道正在进行转换，也不知道 NAT 网关的网络地址。

NAT 适用于所有会话主机所在的 Azure 虚拟网络。 当会话主机尝试访问 Internet 上的网络地址时，NAT 网关 (自己的或 Azure) 提供的默认值，或者Azure 负载均衡器执行地址转换。 有关各种类型的源网络地址转换的详细信息，请参阅 使用源网络地址转换 (SNAT) 进行出站连接。

大多数网络通常包括防火墙，用于检查流量并根据规则阻止流量。 大多数客户将其防火墙配置为防止传入连接 (即来自 Internet 的未经请求的数据包) 。 防火墙采用不同的技术来跟踪数据流，以区分请求流量和未经请求的流量。 在 TCP 上下文中，防火墙跟踪 SYN 和 ACK 数据包，此过程非常简单。 UDP 防火墙通常使用基于数据包地址的启发式方法，将流量与 UDP 流相关联，并允许或阻止流量。 有许多不同的 NAT 实现可用。

连接顺序

所有连接首先通过 Azure 虚拟桌面网关建立基于 TCP 的 反向连接传输 。 然后，客户端和会话主机建立初始 RDP 传输，并开始交换其功能。 如果在会话主机上启用了公用网络的 RDP 短路径，则会话主机会启动名为 候选收集的过程：

1. 会话主机枚举分配给会话主机的所有网络接口，包括 VPN 和 Teredo 等虚拟接口。

2. Windows 服务 远程桌面服务 (TermService) 在每个接口上分配 UDP 套接字，并将 IP：Port 对作为 本地候选项存储在候选表中。

3. 远程桌面服务服务使用在上一步中分配的每个 UDP 套接字来尝试访问公共 Internet 上的 Azure 虚拟桌面 STUN 服务器。 通信是通过将小型 UDP 数据包发送到端口 3478 来完成的。

4. 如果数据包到达 STUN 服务器，STUN 服务器将使用公共 IP 和端口进行响应。 此信息以 自反候选项的形式存储在候选表中。

5. 会话主机收集所有候选项后，会话主机使用已建立的反向连接传输将候选项列表传递给客户端。

6. 当客户端从会话主机接收候选项列表时，客户端还会在其一侧执行候选项收集。 然后，客户端将其候选列表发送到会话主机。

7. 会话主机和客户端交换其候选项列表后，双方将尝试使用所有收集的候选项相互连接。 此连接尝试在两端同时进行。 许多 NAT 网关配置为在出站数据传输初始化套接字后立即允许传入流量。 NAT 网关的此行为是同时连接至关重要的原因。 如果 STUN 因被阻止而失败，则会使用 TURN 进行中继连接尝试。

8. 初始数据包交换后，客户端和会话主机可能会建立一个或多个数据流。 从这些数据流中，RDP 选择最快的网络路径。 然后，客户端使用 TLS 通过可靠 UDP 与会话主机建立安全连接，并启动 RDP 短路径传输。

9. RDP 建立 RDP 短路径传输后，所有动态虚拟通道 (DVC) （包括远程图形、输入和设备重定向）将迁移到新传输。

如果用户同时具有托管网络和公共网络的 RDP 短路径，则将使用第一个找到的算法，这意味着用户将使用先为该会话建立的连接。 有关详细信息，请参阅 示例方案 4。

网络配置

若要支持公用网络的 RDP 短路径，通常不需要任何特定的配置。 如果网络配置中可行，会话主机和客户端将自动发现直接数据流。 但是，每个环境都是唯一的，某些网络配置可能会对直接连接的成功率产生负面影响。 按照 建议 作，提高直接数据流的概率。

由于 RDP 短路径使用 UDP 建立数据流，如果网络上的防火墙阻止 UDP 流量，RDP 短路径将失败，并且连接将回退到基于 TCP 的反向连接传输。 Azure 虚拟桌面使用 Azure 通信服务 和 Microsoft Teams 提供的 STUN 服务器。 根据此功能的性质，需要从会话主机到客户端的出站连接。 遗憾的是，在大多数情况下，无法预测用户所在的位置。 因此，建议允许从会话主机到 Internet 的出站 UDP 连接。 若要减少所需的端口数，可以 限制客户端用于 UDP 流的端口范围 。 在为 RDP 短路径配置防火墙时，请使用下表进行参考。

如果环境使用对称 NAT，即将单个专用源 IP：端口 映射到唯一的公共目标 IP：端口，则可以将中继连接与 TURN 配合使用。 如果使用 Azure 防火墙 和 Azure NAT 网关，则会出现这种情况。 有关将 NAT 与 Azure 虚拟网络配合使用的详细信息，请参阅 使用虚拟网络进行源网络地址转换。

对于对公用网络使用 RDP 短路径的成功连接，我们提供了一些常规建议。 有关详细信息，请参阅 常规建议。

如果用户具有托管网络和公共网络的 RDP 短路径，则将使用找到的第一个算法。 用户将使用先为该会话建立的连接。 有关详细信息，请参阅 示例方案。

以下部分包含会话主机和客户端设备的源、目标和协议要求，RDP 短路径必须允许这些要求。

会话主机虚拟网络

下表详细介绍了会话主机虚拟网络的 RDP 短路径的源、目标和协议要求。

客户端网络

下表详细介绍了客户端设备的源、目标和协议要求。

Teredo 支持

虽然 RDP 短路径不需要，但 Teredo 会添加额外的 NAT 遍历候选项，并增加了在仅限 IPv4 的网络中成功建立 RDP 短路径连接的机会。 若要了解如何在会话主机和客户端上启用 Teredo，请参阅启用 Teredo 支持。

UPnP 支持

为了提高直接连接的机会，在远程桌面客户端的一侧，RDP Shortpath 可以使用 UPnP 在 NAT 路由器上配置端口映射。 UPnP 是各种应用程序（例如 Xbox、传递优化和 Teredo）使用的标准技术。 UPnP 在通常位于家庭网络上的路由器上正式发布。 默认情况下，UPnP 在大多数家庭路由器和接入点上处于启用状态，但在企业网络上通常处于禁用状态。

常规建议

下面是对公用网络使用 RDP 短路径时的一些常规建议：

• 如果用户通过 Internet 访问 Azure 虚拟桌面，请避免使用强制隧道配置。

• 请确保不使用双 NAT 或运营商级 NAT (CGN) 配置。

• 建议用户不要在家庭路由器上禁用 UPnP。

• 避免使用云数据包检查服务。

• 避免使用基于 TCP 的 VPN 解决方案。

• 启用 IPv6 连接或 Teredo。