Поделиться через

Обязательные полные доменные имена и конечные точки для виртуального рабочего стола Azure

  • Статья

Чтобы развернуть виртуальный рабочий стол Azure и для подключения пользователей, необходимо разрешить определенные полные доменные имена и конечные точки. Пользователи также должны иметь возможность подключаться к определенным полным доменным именам и конечным точкам для доступа к ресурсам виртуального рабочего стола Azure. В этой статье перечислены необходимые полные доменные имена и конечные точки, необходимые для узлов сеансов и пользователей.

Эти полные доменные имена и конечные точки могут быть заблокированы, если вы используете брандмауэр, например Брандмауэр Azure или прокси-службу. Рекомендации по использованию службы прокси-сервера с виртуальным рабочим столом Azure см . в рекомендациях по службе прокси для виртуального рабочего стола Azure.

Вы можете проверить, что виртуальные машины узла сеанса могут подключаться к этим полным доменным именам и конечным точкам, выполнив действия, чтобы запустить средство URL-адреса агента виртуального рабочего стола Azure в проверке доступа к необходимым полным доменным именам и конечным точкам для виртуального рабочего стола Azure. Средство URL-адреса агента виртуального рабочего стола Azure проверяет каждое полное доменное имя и конечную точку и показывает, могут ли они получить доступ к узлам сеансов.

Внимание

  • Корпорация Майкрософт не поддерживает развертывания виртуальных рабочих столов Azure, в которых полные доменные имена и конечные точки, перечисленные в этой статье, блокируются.

  • Эта статья не содержит полных доменных имен и конечных точек для других служб, таких как Идентификатор Microsoft Entra, Office 365, настраиваемые поставщики DNS или службы времени. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.

Теги служб и теги FQDN

Теги служб представляют группы префиксов IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Теги служб можно использовать в правилах для групп безопасности сети (NSG) и Брандмауэр Azure для ограничения исходящего сетевого доступа. Теги служб также можно использовать в определяемых пользователем маршрутах (UDR) для настройки поведения маршрутизации трафика.

Брандмауэр Azure также поддерживает Теги FQDN, представляющие группу полных доменных имен (FQDN), связанных с хорошо известными именами Azure и другими службы Майкрософт. Виртуальный рабочий стол Azure не содержит список диапазонов IP-адресов, которые можно разблокировать вместо полных доменных имен, чтобы разрешить сетевой трафик. Если вы используете брандмауэр следующего поколения (NGFW), необходимо использовать динамический список, сделанный для IP-адресов Azure, чтобы убедиться, что вы можете подключиться. Дополнительные сведения см. в статье Использование Брандмауэра Azure для защиты развертываний Виртуального рабочего стола Azure.

Виртуальный рабочий стол Azure имеет как тег службы, так и запись тега FQDN. Мы рекомендуем использовать теги служб и теги FQDN, чтобы упростить конфигурацию сети Azure.

Виртуальные машины узла сеанса

В следующей таблице приведен список полных доменных имен и конечных точек виртуальных машин узла сеанса, необходимых для доступа к виртуальному рабочему столу Azure. Все записи являются исходящими; Вам не нужно открывать входящий порт для виртуального рабочего стола Azure. Выберите соответствующую вкладку в зависимости от используемого облака.

Адрес Протокол Исходящий порт Характер использования Тег службы
login.microsoftonline.com TCP 443 Проверка подлинности в Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Служба трафика WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Агент трафика
Выходные данные диагностики		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Агент трафика AzureMonitor
azkms.core.windows.net TCP 1688 Активация Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Агент и параллельные обновления стека (SXS) AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Поддержка портала Azure AzureCloud
169.254.169.254 TCP 80 Конечная точка службы метаданных экземпляров Azure Н/П
168.63.129.16 TCP 80 Мониторинг работоспособности узла сеансов Н/П
oneocsp.microsoft.com TCP 80 Сертификаты AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Сертификаты Н/П

В следующей таблице перечислены необязательные полные доменные домены и конечные точки, к которым могут потребоваться виртуальные машины узла сеанса:

Адрес Протокол Исходящий порт Характер использования Тег службы
login.windows.net TCP 443 Вход в Microsoft Online Services и Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Служба телеметрии Н/П
www.msftconnecttest.com TCP 80 Проверка, подключен ли узел сеанса к Интернету Н/П
*.prod.do.dsp.mp.microsoft.com TCP 443 Центр обновления Windows Н/П
*.sfx.ms TCP 443 Обновления для клиентского программного обеспечения OneDrive Н/П
*.digicert.com TCP 80 Проверка отзыва сертификата Н/П
*.azure-dns.com TCP 443 Разрешение Azure DNS Н/П
*.azure-dns.net TCP 443 Разрешение Azure DNS Н/П
*eh.servicebus.windows.net TCP 443 Параметры диагностики EventHub

Совет

Для полных доменных имен с трафиком службы необходимо использовать подстановочный знак (*).

Для трафика агента, если вы предпочитаете не использовать подстановочный знак, вот как найти определенные полные доменные имена, чтобы разрешить:

  1. Убедитесь, что узлы сеансов зарегистрированы в пуле узлов.
  2. На узле сеанса откройте средство просмотра событий, а затем перейдите в журналы>Приложения WVD-Agent Windows>и найдите идентификатор события 3701.
  3. Разблокируйте полные доменные имена, которые находятся в идентификаторе события 3701. Полное доменное имя в идентификаторе события 3701 зависит от региона. Необходимо повторить этот процесс с соответствующими полными доменными именами для каждого региона Azure, в котором необходимо развернуть узлы сеансов.

Устройства конечных пользователей

Любое устройство, на котором используется один из клиентов удаленного рабочего стола для подключения к виртуальному рабочему столу Azure, должно иметь доступ к следующим полным доменным именам и конечным точкам. Разрешение этих полных доменных имен и конечных точек важно для надежного взаимодействия с клиентом. Блокировка доступа к этим полным доменным именам и конечным точкам не поддерживается и влияет на функциональные возможности службы.

Выберите соответствующую вкладку в зависимости от используемого облака.

Адрес Протокол Исходящий порт Характер использования Клиент(ы)
login.microsoftonline.com TCP 443 Проверка подлинности в Microsoft Online Services Все
*.wvd.microsoft.com TCP 443 Служба трафика Все
*.servicebus.windows.net TCP 443 Данные диагностики Все
go.microsoft.com TCP 443 Microsoft FWLinks Все
aka.ms TCP 443 Средство сокращения URL-адресов Майкрософт Все
learn.microsoft.com TCP 443 Документация Все
privacy.microsoft.com TCP 443 Заявление о конфиденциальности Все
*.cdn.office.net TCP 443 Автоматические обновления Настольный компьютер с Windows
graph.microsoft.com TCP 443 Служба трафика Все
windows.cloud.microsoft TCP 443 Центр подключений Все
windows365.microsoft.com TCP 443 Служба трафика Все
ecs.office.com TCP 443 Центр подключений Все

Если вы находитесь в закрытой сети с ограниченным доступом к Интернету, возможно, вам также потребуется разрешить полные доменные имена, перечисленные здесь для проверки сертификатов: сведения об центре сертификации Azure | Microsoft Learn.

Следующие шаги