Požadované plně kvalifikované názvy domén a koncové body pro Azure Virtual Desktop
Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby měli přístup ke svým prostředkům Azure Virtual Desktopu. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.
Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, jako je Azure Firewall nebo služba proxy. Pokyny k používání proxy služby s Azure Virtual Desktopem najdete v pokynech ke službě Proxy pro Azure Virtual Desktop.
Pomocí postupu spuštění nástroje URL agenta služby Azure Virtual Desktop v rámci kontroly přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop můžete zkontrolovat, že se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům. Nástroj URL agenta služby Azure Virtual Desktop ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají přístup hostitelé relací.
Důležité
Microsoft nepodporuje nasazení služby Azure Virtual Desktop, kde jsou zablokované plně kvalifikované názvy domén a koncové body uvedené v tomto článku.
Tento článek neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.
Značky služeb a značky plně kvalifikovaného názvu domény
Značky služeb představují skupiny předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít v pravidlech pro skupiny zabezpečení sítě (NSG) a Azure Firewall k omezení odchozího síťového přístupu. Značky služeb lze také použít v trasách definovaných uživatelem k přizpůsobení chování směrování provozu.
Azure Firewall také podporuje značky plně kvalifikovaného názvu domény, které představují skupinu plně kvalifikovaných názvů domén přidružených k dobře známým Azure a dalším služby Microsoft. Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete odblokovat místo plně kvalifikovaných názvů domén, abyste povolili síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam určený pro IP adresy Azure, abyste se mohli připojit. Další informace najdete v tématu Použití služby Azure Firewall k ochraně nasazení služby Azure Virtual Desktop.
Azure Virtual Desktop má k dispozici značku služby i položku značky plně kvalifikovaného názvu domény. Ke zjednodušení konfigurace sítě Azure doporučujeme používat značky služeb a značky plně kvalifikovaného názvu domény.
Virtuální počítače hostitele relace
Následující tabulka obsahuje seznam plně kvalifikovaných názvů domén a koncových bodů, ke které virtuální počítače hostitele relace potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Pro Azure Virtual Desktop nemusíte otevírat příchozí porty. Na základě toho, který cloud používáte, vyberte příslušnou kartu.
Adresa | Protokol | Odchozí port | Účel | Značka služby |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ke službám Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Provoz služeb | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Provoz agenta Výstup diagnostiky |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Provoz agenta | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktivace Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aktualizace zásobníku agenta a souběžného zásobníku (SXS) | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Podpora webu Azure Portal | AzureCloud |
169.254.169.254 |
TCP | 80 | Koncový bod služby Azure Instance Metadata | – |
168.63.129.16 |
TCP | 80 | Monitorování stavu hostitele relace | – |
oneocsp.microsoft.com |
TCP | 80 | Certifikáty | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certifikáty | – |
V následující tabulce jsou uvedeny volitelné plně kvalifikované názvy domén a koncové body, ke kterým může virtuální počítače hostitele relace potřebovat přístup i pro jiné služby:
Adresa | Protokol | Odchozí port | Účel | Značka služby |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Přihlášení ke službám Microsoft Online Services a Microsoftu 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Služba telemetrie | – |
www.msftconnecttest.com |
TCP | 80 | Zjistí, jestli je hostitel relace připojený k internetu. | – |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | – |
*.sfx.ms |
TCP | 443 | Aktualizace klientského softwaru OneDrivu | – |
*.digicert.com |
TCP | 80 | Kontrola odvolání certifikátu | – |
*.azure-dns.com |
TCP | 443 | Překlad Azure DNS | – |
*.azure-dns.net |
TCP | 443 | Překlad Azure DNS | – |
*eh.servicebus.windows.net |
TCP | 443 | Nastavení diagnostiky | EventHub |
Tip
Pro plně kvalifikované názvy domén zahrnující provoz služeb musíte použít zástupný znak (*).
Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:
- Ujistěte se, že jsou hostitelé relací zaregistrovaní ve fondu hostitelů.
- Na hostiteli relace otevřete Prohlížeč událostí a pak přejděte do části>Application WVD-Agent aplikace>windows a vyhledejte ID události 3701.
- Odblokujte plně kvalifikované názvy domén, které najdete v části s ID události 3701. Plně kvalifikované názvy domén v id události 3701 jsou specifické pro danou oblast. Tento proces je potřeba zopakovat s příslušnými plně kvalifikovanými názvy domén pro každou oblast Azure, ve které chcete nasadit hostitele relací.
Zařízení koncových uživatelů
Jakékoli zařízení, na kterém se připojujete k Azure Virtual Desktopu pomocí jednoho z klientů vzdálené plochy, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncovýchbodůch Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům není podporované a má vliv na funkčnost služby.
Na základě toho, který cloud používáte, vyberte příslušnou kartu.
Adresa | Protokol | Odchozí port | Účel | Klienti |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ke službám Microsoft Online Services | Všechny |
*.wvd.microsoft.com |
TCP | 443 | Provoz služeb | Všechny |
*.servicebus.windows.net |
TCP | 443 | Řešení potíží s daty | Všechny |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Všechny |
aka.ms |
TCP | 443 | Zkrácení adresy URL microsoftu | Všechny |
learn.microsoft.com |
TCP | 443 | Dokumentace | Všechny |
privacy.microsoft.com |
TCP | 443 | Prohlášení o ochraně osobních údajů | Všechny |
*.cdn.office.net |
TCP | 443 | Automatické aktualizace | Desktopová verze Windows |
graph.microsoft.com |
TCP | 443 | Provoz služeb | Všechny |
windows.cloud.microsoft |
TCP | 443 | Centrum připojení | Všechny |
windows365.microsoft.com |
TCP | 443 | Provoz služeb | Všechny |
ecs.office.com |
TCP | 443 | Centrum připojení | Všechny |
Pokud jste v uzavřené síti s omezeným přístupem k internetu, možná budete muset povolit plně kvalifikované názvy domén uvedené tady pro kontroly certifikátů: Podrobnosti o certifikační autoritě Azure | Microsoft Learn.
Další kroky
Informace o odblokování těchto plně kvalifikovaných názvů domén a koncových bodů ve službě Azure Firewall najdete v tématu Použití služby Azure Firewall k ochraně služby Azure Virtual Desktop.
Další informace o síťovém připojení najdete v tématu Principy připojení k síti služby Azure Virtual Desktop.