Wymagane nazwy FQDN i punkty końcowe dla usługi Azure Virtual Desktop
Aby wdrożyć usługę Azure Virtual Desktop i użytkownicy w celu nawiązania połączenia, należy zezwolić na określone nazwy FQDN i punkty końcowe. Użytkownicy muszą również mieć możliwość nawiązania połączenia z określonymi nazwami FQDN i punktami końcowymi w celu uzyskania dostępu do zasobów usługi Azure Virtual Desktop. W tym artykule wymieniono wymagane nazwy FQDN i punkty końcowe, które należy zezwolić na hosty sesji i użytkowników.
Te nazwy FQDN i punkty końcowe mogą być blokowane, jeśli używasz zapory, takiej jak Usługa Azure Firewall lub usługa proxy. Aby uzyskać wskazówki dotyczące korzystania z usługi proxy z usługą Azure Virtual Desktop, zobacz Wskazówki dotyczące usługi proxy dla usługi Azure Virtual Desktop.
Możesz sprawdzić, czy maszyny wirtualne hosta sesji mogą łączyć się z tymi nazwami FQDN i punktami końcowymi, wykonując kroki uruchamiania narzędzia adresu URL agenta usługi Azure Virtual Desktop w temacie Sprawdzanie dostępu do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop. Narzędzie adresu URL agenta usługi Azure Virtual Desktop weryfikuje każdą nazwę FQDN i punkt końcowy oraz pokazuje, czy hosty sesji mogą uzyskiwać do nich dostęp.
Ważne
Firma Microsoft nie obsługuje wdrożeń usługi Azure Virtual Desktop, w których nazwy FQDN i punkty końcowe wymienione w tym artykule są blokowane.
Ten artykuł nie zawiera nazw FQDN i punktów końcowych dla innych usług, takich jak Microsoft Entra ID, Office 365, niestandardowych dostawców DNS lub usług czasowych. Nazwy FQDN i punkty końcowe firmy Microsoft entra można znaleźć w obszarze identyfikatorów 56, 59 i 125 w zakresach adresów URL i adresów IP usługi Office 365.
Tagi usługi i tagi FQDN
Tagi usługi reprezentują grupy prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Tagi usług mogą być używane w regułach dla sieciowych grup zabezpieczeń i usługi Azure Firewall w celu ograniczenia dostępu do sieci wychodzącej. Tagi usług mogą być również używane w trasach zdefiniowanych przez użytkownika (UDR), aby dostosować zachowanie routingu ruchu.
Usługa Azure Firewall obsługuje również tagi FQDN, które reprezentują grupę w pełni kwalifikowanych nazw domen (FQDN) skojarzonych z dobrze znaną platformą Azure i innymi usługi firmy Microsoft. Usługa Azure Virtual Desktop nie ma listy zakresów adresów IP, które można odblokować zamiast nazw FQDN, aby zezwolić na ruch sieciowy. Jeśli używasz zapory nowej generacji (NGFW), musisz użyć listy dynamicznej utworzonej dla adresów IP platformy Azure, aby upewnić się, że możesz nawiązać połączenie. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop.
Usługa Azure Virtual Desktop ma dostępny zarówno tag usługi, jak i wpis tagu FQDN. Zalecamy użycie tagów usługi i tagów FQDN, aby uprościć konfigurację sieci platformy Azure.
Maszyny wirtualne hosta sesji
Poniższa tabela zawiera listę nazw FQDN i punktów końcowych, do których maszyny wirtualne hosta sesji muszą uzyskiwać dostęp do usługi Azure Virtual Desktop. Wszystkie wpisy są wychodzące; Nie musisz otwierać portów przychodzących dla usługi Azure Virtual Desktop. Wybierz odpowiednią kartę na podstawie używanej chmury.
Adres | Protokół | Port wyjściowy | Purpose | Tag usługi |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Uwierzytelnianie w usługach Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Ruch usługi | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Ruch agenta Dane wyjściowe diagnostyczne |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Ruch agenta | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktywacja systemu Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aktualizacje stosu agenta i równoległego (SXS) | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Obsługa witryny Azure Portal | AzureCloud |
169.254.169.254 |
TCP | 80 | Punkt końcowy usługi Azure Instance Metadata Service | Nie dotyczy |
168.63.129.16 |
TCP | 80 | Monitorowanie kondycji hosta sesji | Nie dotyczy |
oneocsp.microsoft.com |
TCP | 80 | Certyfikaty | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Certyfikaty | Nie dotyczy |
W poniższej tabeli wymieniono opcjonalne nazwy FQDN i punkty końcowe, do których mogą być również wymagane maszyny wirtualne hosta sesji, aby uzyskać dostęp do innych usług:
Adres | Protokół | Port wyjściowy | Purpose | Tag usługi |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Zaloguj się do usług Microsoft Online Services i Platformy Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Usługa telemetrii | Nie dotyczy |
www.msftconnecttest.com |
TCP | 80 | Wykrywa, czy host sesji jest połączony z Internetem | Nie dotyczy |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | Nie dotyczy |
*.sfx.ms |
TCP | 443 | Aktualizacje oprogramowania klienckiego usługi OneDrive | Nie dotyczy |
*.digicert.com |
TCP | 80 | Sprawdzanie odwołania certyfikatów | Nie dotyczy |
*.azure-dns.com |
TCP | 443 | Rozpoznawanie nazw DNS platformy Azure | Nie dotyczy |
*.azure-dns.net |
TCP | 443 | Rozpoznawanie nazw DNS platformy Azure | Nie dotyczy |
*eh.servicebus.windows.net |
TCP | 443 | Ustawienia diagnostyczne | EventHub |
Napiwek
Należy użyć symbolu wieloznakowego (*) dla nazw FQDN obejmujących ruch usługi.
W przypadku ruchu agenta, jeśli nie chcesz używać symbolu wieloznakowego, poniżej przedstawiono sposób znajdowania określonych nazw FQDN w celu umożliwienia:
- Upewnij się, że hosty sesji są zarejestrowane w puli hostów.
- Na hoście sesji otwórz podgląd zdarzeń, a następnie przejdź do obszaru Dzienniki>aplikacji>WVD-Agent i poszukaj zdarzenia o identyfikatorze 3701.
- Odblokuj nazwy FQDN, które można znaleźć pod identyfikatorem zdarzenia 3701. Nazwy FQDN o identyfikatorze zdarzenia 3701 są specyficzne dla regionu. Ten proces należy powtórzyć przy użyciu odpowiednich nazw FQDN dla każdego regionu świadczenia usługi Azure, w którym chcesz wdrożyć hosty sesji.
Urządzenia użytkowników końcowych
Każde urządzenie, na którym jest używany jeden z klientów pulpitu zdalnego do nawiązywania połączenia z usługą Azure Virtual Desktop, musi mieć dostęp do następujących nazw FQDN i punktów końcowych. Umożliwienie tych nazw FQDN i punktów końcowych jest niezbędne dla niezawodnego środowiska klienta. Blokowanie dostępu do tych nazw FQDN i punktów końcowych nie jest obsługiwane i wpływa na funkcjonalność usługi.
Wybierz odpowiednią kartę na podstawie używanej chmury.
Adres | Protokół | Port wyjściowy | Purpose | Klienci |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Uwierzytelnianie w usługach Microsoft Online Services | wszystkie |
*.wvd.microsoft.com |
TCP | 443 | Ruch usługi | wszystkie |
*.servicebus.windows.net |
TCP | 443 | Rozwiązywanie problemów z danymi | wszystkie |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | wszystkie |
aka.ms |
TCP | 443 | Skrócenie adresu URL firmy Microsoft | wszystkie |
learn.microsoft.com |
TCP | 443 | Dokumentacja | wszystkie |
privacy.microsoft.com |
TCP | 443 | Oświadczenie o ochronie prywatności | wszystkie |
*.cdn.office.net |
TCP | 443 | Automatyczne aktualizacje | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Ruch usługi | wszystkie |
windows.cloud.microsoft |
TCP | 443 | Centrum połączeń | wszystkie |
windows365.microsoft.com |
TCP | 443 | Ruch usługi | wszystkie |
ecs.office.com |
TCP | 443 | Centrum połączeń | wszystkie |
Jeśli korzystasz z zamkniętej sieci z ograniczonym dostępem do Internetu, może być również konieczne zezwolenie na nazwy FQDN wymienione tutaj w celu sprawdzenia certyfikatów: szczegóły urzędu certyfikacji platformy Azure | Microsoft Learn.
Następne kroki
Sprawdź dostęp do wymaganych nazw FQDN i punktów końcowych dla usługi Azure Virtual Desktop.
Aby dowiedzieć się, jak odblokować te nazwy FQDN i punkty końcowe w usłudze Azure Firewall, zobacz Używanie usługi Azure Firewall do ochrony usługi Azure Virtual Desktop.
Aby uzyskać więcej informacji na temat łączności sieciowej, zobacz Omówienie łączności sieciowej usługi Azure Virtual Desktop