Syftet med det här dokumentet är att beskriva nätverkskraven för att Chrome Remote Desktop ska fungera korrekt i ditt nätverk. I det här dokumentet beskriver vi även några underliggande detaljer i Chrome Remote Desktop-protokollet och processen för förhandling av peer-to-peer-anslutningar (P2P).
Använd den här guiden om du har ett mycket begränsat privat nätverk och/eller har problem med att få Chrome Remote Desktop att fungera i nätverket.
Lista över portar och protokoll som krävs
Regler för tillåtna webbadresser för Chrome Remote Desktop
Användarna måste kunna navigera till de specifika webbadresserna nedan för att få åtkomst till Chrome Remote Desktop. Nätverket måste tillåta utgående åtkomst till dessa webbadresser.
På inställningssidorna Användare och webbläsare och Hanterade gästsitzningar i Googles administratörskonsol kan du använda inställningen Blockering av webbadresser för att styra åtkomsten till webbadresser. Mer information om hur du tillåter eller blockerar webbadresser finns i Konfigurera Chrome-policyer för användare eller webbläsare.
Läs mer om policyerna URLAllowlist och URLBlocklist.
|
Webbadress |
Åtgärd |
|---|---|
|
instantmessaging-pa.googleapis.com |
Tillåt |
|
remotedesktop.google.com |
Tillåt |
|
remotedesktop-pa.googleapis.com |
Tillåt |
Allmänna brandväggsregler som krävs för Chrome Remote Desktop i privata nätverk
En lista över IP-intervall för Googles tjänster finns i Google Cloud-dokumentationen.
IP-adresser är dynamiska beroende på plats. Det är möjligt att ha en enhet med anslutning endast via explicita brandväggsregler baserade på IP/port/protokoll, men reglerna är ett rörligt mål på grund av det dynamiska beteendet hos IP-adresserna. Google använder en tjänst som finns på www.gstatic.com för att dynamiskt slå upp lokaliserade IP-adresser för olika tjänster.
En IP-adress som är viktig för Chrome Fjärrskrivbord returneras inte av skriptet eftersom den inte har någon DNS-adress: 74.125.247.128. Detta är IP-adressen för signaleringstjänsten som används för att underlätta TURN-/STUN-anslutningar, vilket beskrivs nedan. Detta används endast om
- Brandväggstraversering är inställt på Aktivera brandväggstraversering
- Aktivera användning av reläservrar är markerat.
Mer information om inställningen Passering av brandvägg finns i Konfigurera Chrome-policyer för användare eller webbläsare. Läs mer om RemoteAccessHostAllowRelayedConnection och RemoteAccessHostFirewallTraversal.
|
Källa |
Mål |
Port |
Protokoll |
Åtgärd |
|---|---|---|---|---|
|
IP-intervall för privat nätverk |
IP-intervall för Googles tjänster |
443 + 3478 |
TCP + UDP |
Tillåt |
|
IP-intervall för privat nätverk |
IP-intervall för privat nätverk |
Dynamiskt intervall, kan begränsas med UDP-portintervall. Mer information om inställningen UDP-portintervall finns i Konfigurera Chrome-policyer för användare eller webbläsare. Läs mer om RemoteAccessHostUdpPortRange-policyn. |
TCP + UDP |
Tillåt |
|
IP-intervall för privat nätverk |
74.125.247.128 |
Dynamiskt omfång, kan begränsas. Mer information om inställningen UDP-portintervall finns i Konfigurera Chrome-policyer för användare eller webbläsare. Läs mer om RemoteAccessHostUdpPortRange-policyn. |
TCP + UDP |
Tillåt |
Protokollinformation
Chrome Remote Desktop-anslutningstyper kan konfigureras via företagspolicy. Anslutningar mellan Chrome Remote Desktop-klienten och värden är inledningsvis webbegäranden till Googles tjänster. När en anslutning har upprättats används en P2P-anslutning för livesessionen.
Typer av P2P-anslutningar
P2P-anslutningar upprättas med protokollet Interactive Connectivity Establishment (ICE) och Web Real-Time Communication (WebRTC). Anslutningsläget är antingen Direkt, STUN eller TURN/relay.
- Direkt
- De två enheterna kommunicerar direkt via sina faktiska IP-adresser.
- STUN – i administratörskonsolen är Brandväggstraversering inställt på Aktivera brandväggstraversering.
- De två enheterna kommunicerar via de IP-adresser som är adresserbara via internet / subnät och som exponeras via respektive router/brandvägg.
- Om du vill aktivera STUN måste du öppna port 3478 och tillåta STUN-paket
- TURN/Relay – Aktivera användning av reläservrar är markerat i administratörskonsolen.
- Paket skickas till en Google-tjänst och vidarebefordras via Googles datacenter till andra änden av anslutningen.
- Om du aktiverar TURN måste du även öppna port 3478 för UDP-/TCP-trafik (en eller båda). UDP föredras framför TCP på grund av överlägsen prestanda. Chrome Remote Desktop återgår till TCP om UDP blockeras.
Flöde i administratörskonsolen
När du skapar en Chrome Remote Desktop-session i administratörskonsolen är arbetsflödet följande:
- I administratörskonsolen väljer administratören vilken dator hen vill ansluta till med Chrome Remote Desktop.
- Klientdatorn skickar en begäran till moln-API:et via användargränssnittet i administratörskonsolen för att starta en fjärrsession med den valda enheten.
- Google Cloud-tjänsterna skickar ett kommando till den hanterade ChromeOS-enheten.
- Tjänsten RemoteCommand på den hanterade ChromeOS-enheten registrerar en ny supportvärdinstans hos Chrome Remote Desktop-tjänsten med en OAuth-åtkomsttoken.
- Värdinstansen för Chrome Remote Desktop returnerar en åtkomstkod som är en kombination av värd-id:t och en hemlig kod.
- Tjänsten RemoteCommand skickar åtkomstkoden från värden till administratörskonsolen.
- Google Cloud-tjänsten returnerar anslutningsinformation till klienten.
- Administratörskonsolen för klienten öppnar webbplatsen för Chrome Remote Desktop med åtkomstkoden som en webbadressparameter.
- Anslutningen fortsätter via konfigurationsstegen för P2P enligt metoderna Direkt/STUN/TURN, beroende på dina policyinställningar.
- Livevyn streamas via UDP eller TCP på en dynamiskt tilldelad port, med ett portintervall som kan konfigureras via företagspolicy.
Sekvensdiagram
Obs! Endast i illustrationssyfte. De faktiska anslutningsuppgifterna är mer utförliga och komplexa än så här.
Policylista för Chrome Enterprise
Du hittar Chrome Remote Desktop-policyer genom att öppna policylistan för Chrome Enterprise och skriva fjärr i rutan Sök efter policyer. Se alla policyer i avsnittet Fjärråtkomst.