Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para garantir um desempenho e fiabilidade ideais na implementação Windows 365, é importante compreender os principais requisitos de conectividade. Estes requisitos enquadram-se em três categorias principais:
Conectividade do Protocolo RDP (Remote Desktop Protocol) – aplica-se igualmente ao ambiente de cloud e aos dispositivos cliente físicos.
Conectividade do serviço cloud – abrange os requisitos de rede do próprio PC cloud para o serviço.
Conectividade do dispositivo cliente – inclui a configuração de rede para pontos finais físicos que acedem ao serviço.
A configuração adequada de cada elemento de conectividade é essencial para proporcionar uma experiência de Windows 365 totalmente integrada. Este documento centra-se em compreender as opções de conectividade rdP disponíveis e como otimizá-las para os níveis mais elevados de desempenho e fiabilidade.
Observação
A conectividade RDP requer especial atenção. Os mesmos princípios de configuração aplicam-se tanto a dispositivos alojados na cloud como a dispositivos físicos.
Conectividade RDP
A conectividade RDP é um componente crítico da experiência de Windows 365. Permite que os utilizadores se liguem de forma totalmente integrada aos seus PCs na Cloud e requer uma configuração de rede cuidadosa para garantir o desempenho e a fiabilidade.
Características do Tráfego RDP
O tráfego RDP tem vários elementos significativos que requerem especial consideração:
Sensível à latência: O tráfego RDP tem de ser entregue com um atraso mínimo. Embora o RDP seja adepto de lidar com condições de rede desafiantes, otimizar para uma latência tão baixa quanto possível ajuda a manter uma experiência de utilizador reativa.
Em tempo real: Semelhante ao tráfego de multimédia do Microsoft Teams, o tráfego RDP é em tempo real. Qualquer atraso pode interromper a sessão do utilizador.
Volume elevado: As sessões RDP podem gerar quantidades substanciais de tráfego. Encaminhar este tráfego de forma eficiente e evitar operações dispendiosas, como a inspeção TLS, ajuda a preservar o desempenho e impede a sobrecarga de dispositivos de rede.
De longa duração: Muitas vezes, as ligações RDP permanecem ativas durante longos períodos. O encaminhamento eficiente reduz o impacto nos dispositivos que executam a tradução de endereços de rede (NAT) e suporta a escalabilidade.
Para manter uma experiência de utilizador de alta qualidade, o tráfego RDP deve ser encaminhado através do caminho mais direto e eficiente para a infraestrutura global da Microsoft. É essencial garantir uma inspeção, filtragem ou desvios desnecessários.
Importante
A não otimização do tráfego RDP pode levar a um desempenho degradado, instabilidade da sessão e má fiabilidade para os utilizadores finais.
RDP tradicional vs. Windows 365 RDP
Windows 365 utiliza uma versão modernizada do Protocolo RDP (Remote Desktop Protocol), concebida para ambientes na cloud e criada para proporcionar uma experiência segura e totalmente integrada em diversas condições de rede. Este RDP moderno difere significativamente do RDP utilizado em ambientes tradicionais de ambiente de trabalho remoto.
RDP tradicional
O RDP tradicional, normalmente utilizado em ambientes no local, depende da conectividade de entrada através da porta TCP (Transmission Control Protocol) 3389 para estabelecer sessões de ambiente de trabalho remoto. Esta abordagem apresenta desafios de segurança, uma vez que requer a abertura de portas de entrada no perímetro da rede.
RDP Moderno no Windows 365
Windows 365 utiliza uma implementação moderna e baseada na cloud do RDP que difere significativamente dos modelos tradicionais. Não necessita de conectividade de entrada e depende do tráfego de saída através dos seguintes protocolos e portas, que devem funcionar em qualquer rede configurada corretamente:
Porta TCP 443
Porta UDP 3478
Estas ligações são estabelecidas a partir do CLOUD PC e do dispositivo cliente para a infraestrutura de conectividade global da Microsoft. Outros métodos de ligação RDP também podem estar disponíveis consoante o ambiente e também estão descritos neste artigo.
Este modelo RDP moderno melhora a segurança, simplifica a implementação e suporta a apresentação remota fiável e a entrada em diferentes condições de rede.
Importante
Windows 365 não utiliza RDP tradicional. Não é necessária conectividade de entrada para aceder a um PC na Cloud.
Métodos de Conectividade RDP no Windows 365
Windows 365 suporta vários métodos de conectividade RDP para garantir um desempenho fiável, mesmo em condições de rede desafiantes. Estes métodos podem ser divididos em opções de conectividade de rede pública e privada.
Métodos de Conectividade de Rede Pública
Windows 365 suporta as seguintes opções de conectividade pública. Estes métodos são a predefinição para o serviço:
Ligação Inversa baseada em TCP: Este é o método principal para todas as ligações. Utiliza o RDP de saída através da porta TCP 443 para estabelecer a sessão.
RdP Shortpath baseado em UDP reencaminhado: Este método utiliza o RDP de saída através da porta UDP 3478 e liga-se através da infraestrutura de reencaminhamento da Microsoft para melhorar o desempenho dos suportes de dados.
Direct UDP-based RDP Shortpath: Esta opção estabelece uma ligação direta, um-para-um através de UDP, reduzindo a latência e melhorando a capacidade de resposta. Este método utiliza um servidor STUN para tentar encontrar um caminho de conectividade direta viável entre o utilizador e o respetivo CLOUD PC
Método de Conectividade de Rede Privada
- UDP Direto através de Redes Privadas Ativa uma ligação UDP um-para-um através de uma rede privada. Este método é aplicável apenas para implementações com Azure Ligação de Rede (ANC). Tecnicamente, este método pode ser viável através de ligações VPN, mas é pouco provável que seja selecionado como uma opção de transporte por Windows 365 devido ao baixo desempenho.
Observação
A Microsoft seleciona automaticamente o método mais ideal com base nas condições de rede e no tipo de implementação. Não é necessária qualquer configuração manual para a maioria dos cenários. Windows 365 suporta vários métodos de conectividade RDP para garantir um desempenho fiável, mesmo em condições de rede desafiantes.
Conectividade RDP de Rede Pública
Ligação Inversa baseada em TCP
A Ligação Inversa é o método predefinido utilizado para ligações RDP no Windows 365. Inicia a conectividade de saída através da porta TCP 443 e não requer um serviço de escuta no lado do cliente ou do PC na Cloud. Esta abordagem simplifica a implementação e melhora a segurança ao eliminar a necessidade de ligações de entrada e é utilizada em todas as ligações, independentemente do método eventual utilizado.
Como Funciona a Ligação Inversa
Instalação do Agente RD: Durante o aprovisionamento, o Agente de RD é instalado no CLOUD PC para gerir a conectividade.
Sessão de Sinalização Persistente: No arranque, o Agente de RD estabelece uma sessão de sinalização persistente encriptada por TLS de saída para a infraestrutura de Windows 365. Este processo é automático e não requer configuração manual.
Início de Sessão do Utilizador: No dispositivo cliente físico, o utilizador inicia sessão com um cliente suportado, como o Windows App.
Autenticação: Microsoft Entra ID autentica o utilizador e devolve um token que enumera os recursos disponíveis do utilizador.
Validação de Tokens: O cliente transmite o token para o serviço de subscrição de feed, o que o valida.
Enumeração de Recursos: O serviço devolve uma lista de PCs cloud disponíveis para o utilizador sob a forma de configurações de ligação assinadas digitalmente.
Armazenamento de Configuração da Ligação: O cliente armazena estas configurações como
.rdpficheiros para cada recurso.Iniciação da Ligação: Quando o utilizador seleciona um PC na Cloud, o cliente liga-se ao Azure Front Door (AFD) através de um serviço de escuta anycast. O nó AFD mais próximo é selecionado automaticamente com base na saída de rede.
Seleção do Gateway: O AFD avalia a latência para todos os gateways disponíveis e seleciona aquele com menor latência e menos ligações ativas.
Ligação de Gateway Seguro: O cliente liga-se ao gateway selecionado através de uma ligação TLS 1.3 segura. O gateway valida o pedido e contacta o mediador.
Orquestração do Mediador: O mediador identifica o PC na Cloud de destino e utiliza o canal de sinalização existente para iniciar a sessão.
Ligação ao CLOUD PC: A pilha de Ambiente de Trabalho Remoto no PC na Cloud inicia uma ligação TLS 1.3 de saída para a mesma instância de gateway.
Reencaminhamento de Dados: Assim que ambos os pontos finais estiverem ligados, o gateway reencaminha os dados entre eles e forma o transporte base da Ligação Inversa utilizando um túnel aninhado e a versão TLS suportada mutuamente mais elevada (até TLS 1.3).
Handshake RDP O cliente inicia o handshake RDP para estabelecer a sessão.
Diagrama 1: Ligar o RDP Inverso através da porta TCP 443
Direct UDP-based RDP Shortpath (Using STUN)
Windows 365 também utiliza a conectividade RDP baseada em UDP para melhorar o desempenho, a fiabilidade e o débito da sessão. Assim que uma sessão de Ligação Inversa baseada em TCP for estabelecida, Windows 365 tenta atualizar o transporte para o UDP através de um de dois métodos:
Direct RDP Shortpath: Estabelece uma ligação UDP um-para-um com STUN para facilitar.
RdP Shortpath reencaminhado: Utiliza TURN para reencaminhar tráfego UDP através de um IP e porta conhecidos.
Como Funciona o Direct UDP Shortpath
Ligação TCP Inicial: A sessão RDP começa através de um transporte de Ligação Inversa baseado em TCP através do gateway, conforme descrito neste documento.
Criação do Socket UDP: Se o RDP Shortpath estiver ativado no CLOUD PC (ativado por predefinição), o serviço cria sockets UDP em todas as interfaces de rede viáveis.
Deteção STUN: O Cloud PC tenta ligar a um servidor Windows 365 STUN na porta UDP 3478. Esta ligação temporária identifica o endereço IP externo e a porta do dispositivo NAT. Nenhum tráfego RDP é encaminhado através do servidor STUN.
Troca de Candidatos: O CLOUD PC partilha as informações de IP e porta candidatas com o cliente através da sessão TCP estabelecida. O cliente também envia a sua própria lista de candidatos.
Tentativa de Ligação: Ambos os pontos finais tentam estabelecer uma ligação UDP direta em simultâneo. Uma vez que ambos iniciam o tráfego de saída, este método é muitas vezes bem-sucedido mesmo através de firewalls restritivas com um tipo NAT suportado no local.
Avaliação do Transporte: Se a ligação direta for bem-sucedida e for determinada como o caminho mais rápido, todos os canais virtuais dinâmicos, como gráficos, entradas e redirecionamento de dispositivos, mudam para o novo transporte UDP.
Mover para TURN: Se a conectividade baseada em STUN não for possível estabelecer, o sistema tenta ligar aos servidores TURN na porta UDP 3478. Isto permite a conectividade UDP reencaminhada, que tem uma taxa de sucesso mais elevada em várias condições de rede devido à sua capacidade de trabalhar em qualquer tipo NAT e sub-rede IP conhecida & porta.
Observação
Este método de conectividade não atravessa o servidor STUN. O servidor STUN só é utilizado durante a fase de ligação inicial para identificar a configuração NAT em ambos os lados e ativar uma ligação um-para-um.
O RDP Shortpath baseado em UDP melhora o desempenho e a fiabilidade. Tenta automaticamente após a Ligação Inversa baseada em TCP e não requer nenhuma configuração manual que não seja a otimização do tráfego.
Diagrama 2: Conectividade RDP com RDP Shortpath com STUN
Desafios conhecidos com o Direct RDP Shortpath (Utilizar STUN)
O Direct RDP Shortpath depende do STUN para estabelecer uma ligação UDP um-para-um. Embora este método ofereça benefícios de desempenho significativos sobre a conectividade RDP baseada em TCP, pode não ser bem-sucedido em determinados ambientes de rede devido a limitações no comportamento nat e configurações da firewall. Para que este modelo de conectividade seja bem-sucedido, o tipo NAT nas redes do dispositivo físico e do PC na Cloud tem de ser de um tipo suportado.
Muitas vezes, também é difícil identificar os endereços IP necessários para este tipo de conectividade com antecedência, como ao configurar uma desativação de VPN ou gateway Web seguro (SWG) para utilizadores remotos.
Cenários em que o Direct RDP Shortpath pode falhar
A conectividade direta pode não funcionar nas seguintes condições, muitas das quais são comuns em redes empresariais:
NAT Duplo: Por exemplo, o tráfego encaminhado através de um Gateway Web Seguro (SWG) ou proxy aplica a Tradução de Endereços de Rede (NAT) duas vezes, uma em Azure saída e novamente no ponto final VPN ou SWG.
Proxies da Internet ou dispositivos de inspeção: O encaminhamento através de proxies ou dispositivos que inspecionam o tráfego pode interferir com a conectividade baseada em STUN. Ignorar estes dispositivos pode ser difícil devido à falta de conhecimento prévio das informações do NAT IP.
NAT simétrico: Comum nas redes empresariais, o NAT simétrico no PC cloud ou no lado do cliente impede uma negociação STUN bem-sucedida. Azure NAT Gateway utiliza este tipo NAT, tal como muitos outros dispositivos NAT empresariais comuns.
Acesso UDP restrito: As redes que bloqueiam ou limitam o tráfego UDP ou restringem o acesso a portas ou intervalos de IP específicos impedem a conectividade direta e são comuns nas redes empresariais. Trabalhar em conjunto com esta limitação é difícil devido à falta de conhecimento prévio das portas e endereços IP utilizados para a ligação.
NAT de Nível da Transportadora (CGN): Quando várias redes partilham um endereço IP público, o STUN não consegue estabelecer um caminho exclusivo.
Devido a estas limitações, trate este método como uma abordagem de melhor esforço e evite investir esforços significativos para que funcione. Em vez disso, priorize a otimização do UDP reencaminhado através de TURN, que funciona de forma fiável em quase todas as condições de rede.
Saiba mais sobre o caminho curto do RDP aqui.
Dica
Utilize a ferramenta avdnettest para marcar o tipo NAT utilizado no seu ambiente de rede.
Utilização do RdP Shortpath Reencaminhado
Devido a estas limitações, o Direct RDP Shortpath é um modelo de conectividade de melhor esforço. Se não for possível estabelecer, Windows 365 reverte automaticamente para o RdP Shortpath Reencaminhado, que utiliza servidores TURN e tem uma taxa de sucesso significativamente mais elevada. Este método funciona de forma fiável porque os requisitos de sub-rede e de porta para o tráfego de saída são conhecidos antecipadamente e, portanto, podem ser abertos e facilmente otimizados.
Observação
O RdP Shortpath reencaminhado garante uma conectividade consistente numa maior variedade de condições de rede e também não requer acesso de entrada.
RdP Shortpath baseado em UDP reencaminhado (utilizando TURN)
O RDP Shortpath reencaminhado fornece um método fiável para a conectividade RDP baseada em UDP quando o Direct Shortpath não é possível. Este método utiliza servidores TURN distribuídos globalmente na infraestrutura da Microsoft para reencaminhar o tráfego RDP entre o cliente e o CLOUD PC. Este modelo de conectividade funciona automaticamente e não requer qualquer configuração que não seja a otimização do tráfego necessário. É essencial que este método de conectividade esteja configurado e otimizado nos seus ambientes de rede.
Principais Benefícios
Ignora as limitações de NAT: Ao contrário das ligações diretas baseadas em STUN, os reencaminhamentos TURN não são afetados por nat duplo, NAT simétrico ou restrições de firewall.
Alcance global: Os servidores TURN são implementados em mais de 47 regiões em todo o mundo, permitindo que o tráfego seja reencaminhado através de uma localização próxima do utilizador para um desempenho ideal.
Configuração previsível: O tráfego reencaminhado utiliza sub-redes e portas IP conhecidas, o que permite a otimização da firewall e da rede, incluindo o proxy, o Gateway Web Seguro (SWG) e a desativação da VPN.
How Relayed RDP Shortpath Works
Ligação Inversa baseada em TCP: A sessão RDP começa através da porta TCP 443 com o método Reverse Connect.
Tentativa de Shortpath do RDP Direto: O sistema tenta estabelecer uma ligação UDP direta com STUN.
Configurar a conectividade TURN: Se a conectividade direta falhar, tanto o cliente como o Cloud PC tentam ligações de saída para a infraestrutura TURN na porta UDP 3478, especificamente direcionadas para a sub-rede dedicada 51.5.0.0/16.
Avaliação do Transporte: Se a ligação reencaminhada for bem-sucedida e determinada como o caminho mais rápido, todos os canais virtuais dinâmicos, como gráficos, entradas e redirecionamento de dispositivos, mudam para o novo transporte.
Persistência do TCP: Se nenhum método UDP for bem-sucedido, a sessão RDP continuará sobre a ligação TCP existente.
RdP Multipath: Com o RDP, são estabelecidas múltiplas ligações UDP para permitir uma conectividade contínua totalmente integrada se ocorrerem problemas no caminho ativo.
Diagrama 3: Todas as opções de RDP Público
Observação
O RdP Shortpath reencaminhado é ativado automaticamente e não necessita de configuração manual. Garante uma conectividade consistente num vasto leque de ambientes de rede. Pode encontrar mais informações sobre o caminho abreviado RDP para redes públicas aqui.
Conectividade RDP de Rede Privada
RDP Shortpath para Redes Geridas
Windows 365 suporta um quarto método de conectividade RDP para redes privadas geridas. Esta opção só está disponível em cenários de implementação específicos e oferece conectividade UDP direta entre o dispositivo cliente e o PC na Cloud.
Importante
Este método não é necessário para alcançar a conectividade de alto desempenho ao serviço. Os métodos principais e predefinidos são os métodos públicos descritos neste artigo.
Condições de Disponibilidade
O RDP Shortpath para redes geridas só é suportado quando:
A implementação utiliza Azure Ligação de Rede (ANC). Este método de conectividade não está disponível para implementações de rede alojadas na Microsoft.
Existe uma linha de visão direta entre o dispositivo físico e o CLOUD PC, através do ExpressRoute ou da Rede de VPNs.
O caminho de rede permite que o tráfego seja percorrido com êxito. As regras de firewall têm de permitir as portas, os protocolos e os intervalos de IP necessários.
Métodos de Ligação
Esta conectividade pode ser estabelecida de uma de duas formas:
Serviço de Escuta do RDP Shortpath: Quando configurado, o CLOUD PC escuta a porta UDP 3390 para ligações de entrada.
Deteção ICE/STUN: Se o método do serviço de escuta não for viável, o ICE/STUN é utilizado para detetar endereços IP disponíveis e negociar uma porta dinâmica. O intervalo de portas é configurável, se necessário.
Assim que a ligação UDP for estabelecida com êxito, o caminho público baseado em TCP é removido e a sessão continua através da rede privada.
Para obter mais detalhes , veja a documentação do RDP Shortpath para redes privadas
Diagrama 4: RdP Shortpath para Redes Privadas
Observação
Este método fornece conectividade direta em ambientes de rede geridos, mas requer configuração e condições de rede específicas. O método público baseado em TCP ainda é necessário inicialmente para estabelecer este tipo de conectividade.
RDP Multipath
O RDP Multipath é uma melhoria de conectividade inovadora para Windows 365 que melhora a fiabilidade e o desempenho da sessão ao gerir de forma inteligente vários caminhos de rede. Baseia-se no RDP Shortpath e utiliza o Interactive Connectivity Establishment (ICE) para detetar e avaliar várias rotas UDP em tempo real, incluindo as que utilizam protocolos STUN e TURN.
Esta funcionalidade garante que, se o caminho ativo se tornar instável ou falhar, o sistema muda automaticamente para um caminho de cópia de segurança sem interromper a sessão do utilizador. O encaminhamento multipath é especialmente benéfico em ambientes com condições de rede flutuantes, oferecendo uma experiência de ambiente de trabalho remoto mais suave e resiliente.
Para obter detalhes completos, visite a documentação do RdP Multipath.
Resumo do método de Ligação RDP
A tabela seguinte é um resumo dos métodos RDP disponíveis para ligar em segurança ao seu PC na Cloud.
Certifique-se de que marcar página Requisitos de Rede para os requisitos de conectividade completos.
| Método RDP | Protocolo/Porta | FQDN | IP | Método de Rede Pública/Privada | Observações |
|---|---|---|---|---|---|
| TCP RDP (Reverse Connect) | TCP/443 | *.wvd.microsoft.com | 40.64.144.0/20 abrange o elemento de ligação RDP neste domínio, mas nem tudo o que é resolvido no mesmo | Público | RDP baseado em TCP reencaminhado através da infraestrutura de gateway RDP global da Microsoft – método de ligação inicial utilizado em todos os casos. |
| RDP UDP Indireto (RDP via TURN) | UDP/3478 | n/d | 51.5.0.0/16 | Público | RDP baseado em UDP reencaminhado através da infraestrutura TURN global da Microsoft. Funciona em qualquer cenário de rede se os pontos finais necessários estiverem acessíveis. |
| Direct RDP using STUN | UDP/1024-65535 (Predefinição 49152-65535) | n/d | 51.5.0.0/16 para o elemento STUN. IP público do NAT utilizado em ambos os lados da ligação | Público | Não é possível em todos os cenários de rede. Requer acesso aberto a qualquer IP público se o NAT IP não for conhecido antecipadamente. |
| RDP Shortpath para redes geridas | UDP/3390 (Configurável) | n/d | IPs privados do cliente físico e do CLOUD PC | Private | Requer uma linha de visão direta entre o dispositivo físico e o Cloud PC. Só é possível com implementações do ANC. |
| RDP Shortpath para redes geridas com ICE/STUN | UDP/1024-65535 (Predefinição 49152-65535) | n/d | 51.5.0.0/16 para STUN e, em seguida, IP privado de dispositivo físico e CLOUD PC | Private | Requer acesso ao intervalo do servidor STUN e também uma linha de visão direta entre o dispositivo físico e o Cloud PC. Só é possível com implementações do ANC |
Importante
A sub-rede IP 40.64.144.0/20 é utilizada apenas para a ligação RDP baseada em TCP. O domain.wvd.microsoft.com também inclui tráfego que não resolve para esta sub-rede. Por este motivo, utilize o intervalo de IP para ignorar e otimizar regras. Ao mesmo tempo, certifique-se de que *.wvd.microsoft.com continua a utilizar um caminho que não depende da correspondência de IP, como um proxy, para que todo o tráfego necessário possa chegar ao serviço.
Detetar que transporte RDP é utilizado.
Para obter mais detalhes sobre como detetar que método de transporte está a ser utilizado para uma ligação específica, consulte o artigo "Verificar se o RDP Shortpath está a funcionar"