Požadavky na sítě Microsoft Dev Boxu
Microsoft Dev Box je služba, která umožňuje uživatelům připojit se k cloudové pracovní stanici běžící v Azure prostřednictvím internetu z libovolného zařízení. Pokud chcete tato připojení k internetu podporovat, musíte postupovat podle požadavků na síť uvedených v tomto článku. Měli byste spolupracovat se síťovým týmem vaší organizace a týmem zabezpečení a plánovat a implementovat síťový přístup pro vývojová pole.
Microsoft Dev Box úzce souvisí se službami Windows 365 a Azure Virtual Desktop a v mnoha případech jsou požadavky na síť stejné.
Obecné požadavky na síť
Vývojová pole vyžadují síťové připojení pro přístup k prostředkům. Můžete si vybrat mezi síťovým připojením hostovaným Microsoftem a síťovým připojením Azure, které vytvoříte ve vlastním předplatném. Volba metody pro povolení přístupu k síťovým prostředkům závisí na tom, kde jsou vaše prostředky založeny.
Při použití připojení hostovaného Microsoftem:
- Microsoft poskytuje a plně spravuje infrastrukturu.
- Zabezpečení vývojových boxů můžete spravovat v Microsoft Intune.
Pokud chcete používat vlastní síť a zřídit vývojové rámečky připojené k Microsoft Entra, musíte splňovat následující požadavky:
- Virtuální síť Azure: Ve svém předplatném Azure musíte mít virtuální síť. Oblast, kterou vyberete pro virtuální síť, je místo, kde Azure nasadí vývojové rámečky.
- Podsíť v rámci virtuální sítě a dostupný adresní prostor IP adres.
- Šířka pásma sítě: Viz pokyny pro síť v Azure.
Pokud chcete používat vlastní síť a zřídit hybridní vývojová pole Microsoft Entra , musíte splňovat výše uvedené požadavky a následující požadavky:
- Virtuální síť Azure musí být schopná přeložit položky DNS (Domain Name Services) pro vaše prostředí Doména služby Active Directory Services (AD DS). Pro podporu tohoto překladu definujte servery DNS služby AD DS jako servery DNS pro virtuální síť.
- Virtuální síť Azure musí mít síťový přístup k podnikovému řadiči domény, a to buď v Azure, nebo v místním prostředí.
Důležité
Při použití vlastní sítě Microsoft Dev Box v současné době nepodporuje přesun síťových rozhraní do jiné virtuální sítě nebo jiné podsítě.
Povolit síťové připojení
V konfiguraci sítě musíte povolit provoz na následující adresy URL a porty služby, které podporují zřizování, správu a vzdálené připojení vývojových polí.
Požadované plně kvalifikované názvy domén a koncové body pro Microsoft Dev Box
Pokud chcete nastavit vývojová pole a umožnit uživatelům připojit se k prostředkům, musíte povolit provoz pro konkrétní plně kvalifikované názvy domén (FQDN) a koncové body. Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, jako je Azure Firewall nebo služba proxy.
Pomocí postupu spuštění nástroje URL agenta služby Azure Virtual Desktop v rámci kontroly přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop můžete zkontrolovat, jestli se vaše vývojová pole můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop. Nástroj URL agenta služby Azure Virtual Desktop ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim budou mít přístup vaše vývojová pole.
Důležité
Microsoft nepodporuje nasazení vývojových boxů, kde jsou plně kvalifikované názvy domén a koncové body uvedené v tomto článku blokované.
Použití značek plně kvalifikovaného názvu domény a značek služeb pro koncové body prostřednictvím služby Azure Firewall
Správa ovládacích prvků zabezpečení sítě pro vývojová pole může být složitá. Pokud chcete zjednodušit konfiguraci, použijte k povolení síťového provozu plně kvalifikované značky názvu domény a značky služeb.
Značky plně kvalifikovaného názvu domény
Značka plně kvalifikovaného názvu domény je předdefinovaná značka ve službě Azure Firewall, která představuje skupinu plně kvalifikovaných názvů domén. Pomocí značek plně kvalifikovaného názvu domény můžete snadno vytvářet a udržovat pravidla výchozího přenosu dat pro konkrétní služby, jako je Windows 365, aniž byste museli ručně zadávat názvy jednotlivých domén.
Seskupení definovaná značkami plně kvalifikovaného názvu domény se můžou překrývat. Například značka plně kvalifikovaného názvu domény Windows365 obsahuje koncové body AVD pro standardní porty, viz referenční informace.
Brány firewall jiných společností než Microsoft obvykle nepodporují značky plně kvalifikovaného názvu domény ani značky služeb. Pro stejné funkce může existovat jiný termín; zkontrolujte dokumentaci k bráně firewall.
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít ve skupině zabezpečení sítě (NSG) i v pravidlech brány Azure Firewall k omezení odchozího síťového přístupu a v trasách definovaných uživatelem (UDR) k přizpůsobení chování směrování provozu.
Požadované koncové body pro síťové připojení fyzického zařízení
I když je většina konfigurace určená pro cloudovou síť pro vývoj, připojení koncových uživatelů probíhá z fyzického zařízení. Proto musíte postupovat také podle pokynů pro připojení v síti fyzického zařízení.
| Zařízení nebo služba | Požadované adresy URL a porty síťového připojení | Popis | Povinné? |
|---|---|---|---|
| Fyzické zařízení | Odkaz | Připojení a aktualizace klienta vzdálené plochy | Ano |
| Služba Microsoft Intune | Odkaz | Cloudové služby Intune, jako je správa zařízení, doručování aplikací a analýza koncových bodů. | Ano |
| Virtuální počítač hostitele relace služby Azure Virtual Desktop | Odkaz | Vzdálené připojení mezi vývojovými poli a back-endovou službou Azure Virtual Desktop | Ano |
| Služba Windows 365 | Odkaz | Kontroly stavu a zřizování. | Ano |
Jakékoli zařízení, které používáte pro připojení k vývojovému poli, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncovýchbodůch Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům není podporováno a má vliv na funkčnost služby.
| Adresa | Protokol | Odchozí port | Účel | Klienti | Povinné? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Ověřování ke službám Microsoft Online Services | Vše | Ano |
| *.wvd.microsoft.com | TCP | 443 | Provoz služeb | Vše | Ano |
| *.servicebus.windows.net | TCP | 443 | Řešení potíží s daty | Vše | Ano |
| go.microsoft.com | TCP | 443 | Microsoft FWLinks | Vše | Ano |
| aka.ms | TCP | 443 | Zkrácení adresy URL microsoftu | Vše | Ano |
| learn.microsoft.com | TCP | 443 | Dokumentace | Vše | Ano |
| privacy.microsoft.com | TCP | 443 | Prohlášení o ochraně osobních údajů | Vše | Ano |
| query.prod.cms.rt.microsoft.com | TCP | 443 | Stáhněte si MSI a aktualizujte klienta. Vyžaduje se pro automatické aktualizace. | Desktop Windows | Ano |
Tyto plně kvalifikované názvy domén a koncové body odpovídají pouze klientským lokalitám a prostředkům.
Požadované koncové body pro zřizování vývojových boxů
Pro zřizování vývojových polí a kontrol stavu Azure Network Connection (ANC) se vyžadují následující adresy URL a porty. Všechny koncové body se připojují přes port 443, pokud není uvedeno jinak.
| Kategorie | Koncové body | Značka plně kvalifikovaného názvu domény nebo značka služby | Povinné? |
|---|---|---|---|
| Koncové body komunikace vývojového boxu |
.agentmanagement.dc.azure.com .cmdagent.trafficmanager.net |
– | Ano |
| Koncové body služby a registrace windows 365 | Aktuální koncové body registrace Windows 365 najdete v požadavcích na síť Windows 365. | Značka plně kvalifikovaného názvu domény: Windows365 | Ano |
| Koncové body služby Azure Virtual Desktop | Aktuální koncové body služby AVD najdete v tématu Virtuální počítače hostitele relace. | Značka plně kvalifikovaného názvu domény: WindowsVirtualDesktop | Ano |
| Microsoft Entra ID | Plně kvalifikované názvy domén a koncové body pro ID Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres Office 365. | Značka služby: AzureActiveDirectory | Ano |
| Microsoft Intune | Aktuální plně kvalifikované názvy domén a koncové body pro ID Microsoft Entra najdete v tématu Základní služba Intune. | Značka plně kvalifikovaného názvu domény: MicrosoftIntune | Ano |
Uvedené plně kvalifikované názvy domén a koncové body a značky odpovídají požadovaným prostředkům. Nezahrnují plně kvalifikované názvy domén a koncové body pro všechny služby. Značky služeb pro jiné služby najdete v tématu Dostupné značky služeb.
Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete odblokovat místo plně kvalifikovaných názvů domén, abyste povolili síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam určený pro IP adresy Azure, abyste se mohli připojit.
Další informace najdete v tématu Použití služby Azure Firewall ke správě a zabezpečení prostředí Windows 365.
Následující tabulka je seznam plně kvalifikovaných názvů domén a koncových bodů, ke které potřebují mít vývojáři přístup. Všechny položky jsou odchozí; Pro vývojová pole nemusíte otevírat příchozí porty.
| Adresa | Protokol | Odchozí port | Účel | Značka služby | Povinné? |
|---|---|---|---|---|---|
| login.microsoftonline.com | TCP | 443 | Ověřování ke službám Microsoft Online Services | AzureActiveDirectory | Ano |
| *.wvd.microsoft.com | TCP | 443 | Provoz služeb | WindowsVirtualDesktop | Ano |
| *.prod.warm.ingest.monitor.core.windows.net | TCP | 443 | Výstup diagnostiky provozu agenta | AzureMonitor | Ano |
| catalogartifact.azureedge.net | TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend | Ano |
| gcs.prod.monitoring.core.windows.net | TCP | 443 | Provoz agenta | AzureCloud | Ano |
| kms.core.windows.net | TCP | 1688 | Aktivace Windows | Internet | Ano |
| azkms.core.windows.net | TCP | 1688 | Aktivace Windows | Internet | Ano |
| mrsglobalsteus2prod.blob.core.windows.net | TCP | 443 | Aktualizace zásobníku agenta a souběžného zásobníku (SXS) | AzureCloud | Ano |
| wvdportalstorageblob.blob.core.windows.net | TCP | 443 | Podpora webu Azure Portal | AzureCloud | Ano |
| 169.254.169.254 | TCP | 80 | Koncový bod služby Azure Instance Metadata | – | Ano |
| 168.63.129.16 | TCP | 80 | Monitorování stavu hostitele relace | – | Ano |
| oneocsp.microsoft.com | TCP | 80 | Certifikáty | – | Ano |
| www.microsoft.com | TCP | 80 | Certifikáty | – | Ano |
V následující tabulce jsou uvedeny volitelné plně kvalifikované názvy domén a koncové body, ke kterým může virtuální počítače hostitele relace potřebovat přístup i pro jiné služby:
| Adresa | Protokol | Odchozí port | Účel | Povinné? |
|---|---|---|---|---|
| login.windows.net | TCP | 443 | Přihlášení ke službám Microsoft Online Services a Microsoftu 365 | Volitelné |
| *.events.data.microsoft.com | TCP | 443 | Služba telemetrie | Volitelné |
| www.msftconnecttest.com | TCP | 80 | Zjistí, jestli je hostitel relace připojený k internetu. | Volitelné |
| *.prod.do.dsp.mp.microsoft.com | TCP | 443 | Windows Update | Volitelné |
| *.sfx.ms | TCP | 443 | Aktualizace klientského softwaru OneDrivu | Volitelné |
| *.digicert.com | TCP | 80 | Kontrola odvolání certifikátu | Volitelné |
| *.azure-dns.com | TCP | 443 | Překlad Azure DNS | Volitelné |
| *.azure-dns.net | TCP | 443 | Překlad Azure DNS | Volitelné |
Tento seznam neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.
Tip
Pro plně kvalifikované názvy domén zahrnující provoz služeb musíte použít zástupný znak (*). Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:
- Ujistěte se, že jsou virtuální počítače hostitele relace zaregistrované ve fondu hostitelů.
- Na hostiteli relace otevřete Prohlížeč událostí a pak přejděte do části>Application WVD-Agent aplikace>windows a vyhledejte ID události 3701.
- Odblokujte plně kvalifikované názvy domén, které najdete v části s ID události 3701. Plně kvalifikované názvy domén v id události 3701 jsou specifické pro danou oblast. Tento proces budete muset opakovat s příslušnými plně kvalifikovanými názvy domén pro každou oblast Azure, ve které chcete nasadit virtuální počítače hostitele relace.
Koncové body zprostředkovatele protokolu RDP (Remote Desktop Protocol)
Přímé připojení ke koncovým bodům zprostředkovatele RDP služby Azure Virtual Desktop je důležité pro vzdálený výkon a vývojový box. Tyto koncové body ovlivňují připojení i latenci. Pokud chcete sladit principy síťového připojení Microsoftu 365, měli byste tyto koncové body zařadit do kategorií jako koncové body Optimize a použít zkratku RDP (Remote Desktop Protocol) z vaší virtuální sítě Azure k těmto koncovým bodům. Krátká cesta RDP může poskytnout další cestu připojení pro vylepšené připojení vývojového boxu, zejména v neoptimálních podmínkách sítě.
Pokud chcete usnadnit konfiguraci ovládacích prvků zabezpečení sítě, pomocí značek služeb Azure Virtual Desktop identifikujte tyto koncové body pro přímé směrování pomocí trasy definované uživatelem definované uživatelem v Azure. Trasa definovaná uživatelem vede k přímému směrování mezi vaší virtuální sítí a zprostředkovatelem RDP kvůli nejnižší latenci.
Změna síťových tras vývojového boxu (v síťové vrstvě nebo ve vrstvě vývojového boxu, jako je SÍŤ VPN), může přerušit připojení mezi vývojovým polem a zprostředkovatelem RDP služby Azure Virtual Desktop. Pokud ano, koncový uživatel se od vývojového pole odpojí, dokud se znovu nenaváže připojení.
Požadavky NA DNS
V rámci požadavků na hybridní spojení Microsoft Entra musí být vývojová pole schopná připojit místní Active Directory. Vývojová pole musí být schopná přeložit záznamy DNS, aby se vaše místní prostředí AD připojilo.
Nakonfigurujte službu Azure Virtual Network, ve které jsou zřízena vývojová pole následujícím způsobem:
- Ujistěte se, že vaše virtuální síť Azure má síťové připojení k serverům DNS, které můžou přeložit vaši doménu Služby Active Directory.
- V nastavení služby Azure Virtual Network vyberte Vlastní servery>DNS.
- Zadejte IP adresu serverů DNS, které můžou přeložit vaši doménu služby AD DS.
Tip
Přidání alespoň dvou serverů DNS, stejně jako u fyzického počítače, pomáhá zmírnit riziko jediného bodu selhání při překladu ip adres. Další informace najdete v tématu Konfigurace nastavení virtuálních sítí Azure.
Připojení k místním prostředkům
Vývojovým polím můžete povolit připojení k místním prostředkům prostřednictvím hybridního připojení. Spolupracujte se specialistou na síť Azure a implementujte hvězdicovou topologii sítí. Centrum je centrální bod, který se připojuje k místní síti; Můžete použít ExpressRoute, síť VPN typu site-to-site nebo vpn typu point-to-site. Paprsk je virtuální síť, která obsahuje vývojové rámečky. Hvězdicová topologie vám může pomoct se správou síťového provozu a zabezpečení. Propojíte virtuální síť vývojového boxu s místní připojenou virtuální sítí a poskytnete přístup k místním prostředkům.
Technologie zachycení provozu
Někteří podnikoví zákazníci používají zachycování provozu, dešifrování protokolu TLS, hloubkovou kontrolu paketů a další podobné technologie, které týmy zabezpečení používají k monitorování síťového provozu. Tyto technologie zachycení provozu můžou způsobit problémy se spouštěním kontrol připojení k síti Azure nebo zřizováním vývojových polí. Ujistěte se, že se pro vývojová pole zřízená v Microsoft Dev Boxu nevynucuje žádné zachytávání sítě.
Technologie zachycení provozu můžou zhoršit problémy s latencí. K minimalizaci problémů s latencí můžete použít zkratku protokolu RDP (Remote Desktop Protocol).
Řešení problému
Tato část se zabývá některými běžnými problémy s připojením a sítí.
Problémy s připojením
Neúspěšný pokus o přihlášení
Pokud se uživateli vývojového pole zobrazí problémy s přihlášením a zobrazí se chybová zpráva oznamující, že pokus o přihlášení selhal, ujistěte se, že jste na místním počítači i hostiteli relace povolili protokol PKU2U.
Další informace o řešení potíží s chybami přihlášení najdete v tématu Řešení potíží s připojeními k virtuálním počítačům připojeným k Microsoft Entra – desktopový klient Windows.
Problémy se zásadami skupiny v hybridních prostředích
Pokud používáte hybridní prostředí, můžete narazit na problémy se zásadami skupiny. Pokud chcete otestovat, jestli problém souvisí se zásadami skupiny, můžete dočasně vyloučit vývojové pole ze zásad skupiny.
Další informace o řešení potíží se zásadami skupiny najdete v tématu Použití pokynů k řešení potíží se zásadami skupiny.
Řešení problémů s protokolem IPv6
Pokud máte problémy s protokolem IPv6, zkontrolujte, jestli ve virtuální síti nebo podsíti není povolený koncový bod služby Microsoft.AzureActiveDirectory . Tento koncový bod služby převede protokol IPv4 na IPv6.
Další informace najdete v tématu Koncové body služby pro virtuální síť.
Aktualizace problémů s obrázkem definice vývojového boxu
Když aktualizujete image použitou v definici vývojového pole, musíte mít jistotu, že máte ve virtuální síti k dispozici dostatek IP adres. Pro kontrolu stavu připojení k síti Azure jsou nezbytné další bezplatné IP adresy. Pokud se kontrola stavu nezdaří, definice vývojového pole se neaktualizuje. Potřebujete jednu další IP adresu na vývojové pole a jednu IP adresu pro kontrolu stavu a infrastrukturu Dev Boxu.
Další informace o aktualizaci imagí definic dev boxu najdete v tématu Aktualizace definice vývojového pole.
Související obsah
- Zkontrolujte přístup k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop.
- Informace o odblokování těchto plně kvalifikovaných názvů domén a koncových bodů ve službě Azure Firewall najdete v tématu Použití služby Azure Firewall k ochraně služby Azure Virtual Desktop.
- Další informace o připojení k síti najdete v tématu Principy připojení k síti služby Azure Virtual Desktop.