Azure Virtual Desktop 快速上手--托管网络快速创建P2S连接用于测试

Posted 2022-05-28 Yuanzi圆子

托管网络快速创建-P2S连接用于测试RDP短路径

Prepared by:

Yuan Wang（CSA）

27 May. 2022

Version 1.0 Final

---

目录

一．基于Azure AD验证的P2S连接

1.1      概览

1.2      前提条件

1.3      创建虚拟网关

1.4      在虚拟网关上启用 Azure AD身份验证

二．Azure VPN 客户端-Azure AD身份验证- Windows

2.1      下载 Azure VPN 客户端

2.2      配置Azure VPN客户端

2.3      基于托管网络RDP短路径的AVD连接

---

一．基于Azure AD验证的P2S连接

在中国区世纪互联Azure版本AVD已经GA半年多，为了协助更多用户快速掌握除了官方文档已有的配置信息外的技术细节，我基于现有的客户项目和技术实践积累，逐步发布一系列的快速上手技术指南。

这篇文章AVD快速上手系列文章中的一个部分，本部分将介绍如何将运行 Windows单个客户端安全地连接到 Azure VNet。这样我们可以基于托管网络对AVD的RDP短路径进行测试，查看UDP连接后的会话可以做到优化和加速。点到站点连接不需要 VPN 设备或面向公众的 IP 地址，P2S 基于 SSTP（安全套接字隧道协议）或 IKEv2 创建 VPN 连接。

示意图如下：

 

在Azure上的P2S方式很多，我们为了快速测试托管网络，我们选择了最易于部署的方式进行配置。相信大家可以在半小时内完成。

---

1.1  概览

使用 Azure VPN 网关点到站点连接到 vNet 时，可以选择使用多种协议。使用的协议决定了可用的身份验证选项。如果要使用 Azure Active Directory 身份验证，则可以在使用 OpxxVPN（敏感词） 协议时使用。

注意：Azure AD 身份验证仅支持 OpxxVPN协议（敏感词）连接，并且需要 Azure VPN 客户端。

---

1.2  前提条件

1.     需要有Azure AD租户

2.     需要有Azure AD租户用户，并且Azure AD租户需要以下帐户：

全局管理员帐户和用户帐户

用户帐户用作你的嵌入帐户（服务帐户）。创建 Azure AD 租户用户帐户时，可以根据要创建的用户类型调整目录角色。

---

1.3  创建虚拟网关

我们首先需要创建一个合适SKU的虚拟网关，根据测试场景可以选择不同的大小，我们用于测试可以选择较低配置的，比如我本次测试建立的是基于VPNGw1的配置。

创建完成后，可以在概述中看到概要：

此时我们就可以配置Azure AD的身份验证了。

---

1.4  在虚拟网关上启用 Azure AD身份验证

我们可以逐步完成配置：

1.     找到要用于身份验证的目录的租户 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。并且复制这个租户ID，如下图：

2.     以拥有“全局管理员”角色的用户身份登录到 Azure 门户。

3.     接下来，配置管理员许可。在浏览器的地址栏中复制并粘贴与部署位置相关的 URL：

海外版Azure：

​​https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent​​

海外Azure Government（U.S）：

​​https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent​​

海外德国Azure（黑森林）：

​​https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent​​

Azure 中国世纪互联版本：

​​https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent​​

我这里测试采用世纪互联中国版的Azure，输入上述链接后，会跳转到验证窗口，这里需要选择“全局管理员”帐户。

接着会出现提示，选择接受：

接下来在 Azure AD 下的“企业应用程序”中，将会发现已列出“Azure VPN”。

接下来就可以到虚拟网关，通过导航到“点到站点配置”并选取“OpxxVPN (SSL)”（敏感词）作为“隧道类型”，在 VPN 网关上启用 Azure AD 身份验证。选择“Azure Active Directory”作为“身份验证类型”，然后在“Azure Active Directory”部分填写信息。配置信息如下：

租户：Azure AD 租户的租户 ID

为 Azure 海外版 AD 输入 https://login.microsoftonline.com/AzureAD TenantID/

为 Azure U.S政府 AD 输入 https://login.microsoftonline.us/AzureAD TenantID/

为 Azure 德国黑森林 AD 输入 https://login-us.microsoftonline.de/AzureAD TenantID/

为中国世纪互联 AD 输入 https://login.chinacloudapi.cn/AzureAD TenantID/

受众：“Azure VPN”Azure AD 企业应用的应用程序 ID

对于 Azure 海外版公有云，输入“41b23e61-6c1e-4545-b367-cd054e0ed4b4”

对于 Azure U.S政府，输入“51bb15d4-3a4f-4ebf-9dca-40096fe32426”

对于 Azure 德国黑森林，输入“538ee9e6-310a-468d-afef-ea97365856a9”

对于 Azure 中国世纪互联，输入“49f817b6-84ae-4cc0-928c-73f27289b3aa”

颁发者：安全令牌服务的 URL https://sts.windows.net/AzureAD TenantID/

配置如下：请确保在 AadIssuerUri 值的末尾包含尾随斜杠。否则，连接可能会失败。

 

4.     通过单击“下载 VPN 客户端”链接来创建和下载配置文件，解压缩后导入到Azure VPN客户端即可使用。

---

二．Azure VPN 客户端-Azure AD身份验证- Windows

Azure VPN 网关点到站点配置完成后，后续步骤如下：

1. 下载并安装 Azure VPN 客户端。
2. 生成 VPN 客户端配置文件配置包。
3. 将客户端配置文件设置导入 VPN 客户端，创建连接。
4. 可选 - 从客户端导出配置文件设置并导入到其他客户端计算机。

---

2.1  下载 Azure VPN 客户端

1. 使用下列其中一个链接下载最新版本的 Azure VPN 客户端安装文件：

• 使用客户端安装文件安装：https://aka.ms/azvpnclientdownload。
• 在客户端计算机上登录时直接安装：Microsoft Store。

2. 将 Azure VPN 客户端安装到每台计算机。

3. 验证 Azure VPN 客户端是否有权在后台运行。

4. 导入上一章节生成的配置文件。

 

---

2.2  配置Azure VPN客户端

导入之前解压的XML配置文件后可以看到如下：

 

点击连接可以看到我们本地到Azure vNet之间的网络已经配置成功。

 

此时，我们尝试RDP短路径测试，就可以显示基于UDP协议。

---

2.3  基于托管网络RDP短路径的AVD连接