限制对公用网络使用 RDP 短路径时的端口范围

  • 项目

默认情况下,公用网络 RDP 短路径使用临时端口范围 (49152 - 65535) 在服务器与客户端之间建立直接路径。 但是,你可能希望将会话主机配置为使用较小的可预测端口范围。

可以设置端口 38300 到 39299 的较小默认范围,也可以指定要使用的自己的端口范围。 在会话主机上启用后,远程桌面客户端将从为每个连接指定的范围随机选择端口。 如果此范围耗尽,客户端将退而使用默认端口范围 (49152-65535)。

选择基础端口和池大小时,请考虑所选端口数。 该范围必须在 1024 到 49151 之间,其后是临时端口范围。

先决条件

  • 一个运行 Windows 远程桌面客户端 1.2.3488 或更高版本的客户端设备。 目前不支持非 Windows 客户端。

  • 客户端和会话主机都可访问 Internet。 会话主机需要通过 UDP 出站连接到 Internet。 有关可用于配置防火墙和网络安全组的详细信息,请参阅 RDP 短路径的网络配置

启用受限端口范围

若要在使用公共网络的 RDP 短路径时启用有限的端口范围,则对于已加入 Active Directory (AD) 域的会话主机,可在域中集中使用组策略;对于已加入 Microsoft Entra ID 的会话主机,可以在本地使用组策略。

  1. 下载 Azure 虚拟桌面管理模板并提取 .cab 文件和 .zip 存档的内容。

  2. 根据你是要为每个会话主机在域中以集中方式配置组策略还是在本地配置组策略,请执行以下操作:

    AD 域:

    1. 将 terminalserver-avd.admx 文件复制并粘贴到域的中心存储,例如 \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions,其中 contoso.com 是你的域名。 然后将 en-us\terminalserver-avd.adml 文件复制到 en-us 子文件夹。

    2. 打开“组策略管理控制台”(GPMC) 并创建或编辑针对会话主机的策略。

    本地

    1. 将 terminalserver-avd.admx 文件复制并粘贴到 %windir%\PolicyDefinitions。 然后将 en-us\terminalserver-avd.adml 文件复制到 en-us 子文件夹。

    2. 在会话主机上打开“本地组策略编辑器”。

  3. 浏览到“计算机配置”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。 应会看到 Azure 虚拟桌面的策略设置,如以下屏幕截图所示:

    Screenshot of the Group Policy Editor showing Azure Virtual Desktop policy settings.

  4. 打开策略设置“为非托管网络的 RDP 短路径使用端口范围”并将其设置为“已启用”。 对于“UDP 基本端口”,指定端口号以确定范围的开头。 对于“端口池大小”,指定将处于该范围内的顺序端口号。 例如,如果将 38300 指定为 UDP 基本端口,将 1000 指定为端口池大小,则上限端口号将为 39299。

    Screenshot of the Group Policy setting Use port range for RDP Shortpath for unmanaged networks.