Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure узлам сеансов Виртуального рабочего стола (AVD) и облачным компьютерам Windows 365 требуется подключение к двум IP-адресам Azure платформы. Эти адреса предоставляют доступ к основным службам инфраструктуры, которые поддерживают подготовку, мониторинг работоспособности, идентификацию и обмен данными на платформе.
Трафик на эти адреса выполняется на уровне структуры платформы Azure. Он работает по-разному, от трафика до конечных точек на основе FQDN и должен обрабатываться соответствующим образом.
В этой статье объясняется, что такое эти IP-адреса, почему они необходимы, чем они отличаются от других конечных точек и как обеспечить успешное подключение.
Обзор
Azure узлам сеансов Виртуального рабочего стола и облачным компьютерам Windows 365 требуется подключение к следующим IP-адресам:
| Address | Протокол | Исходящий порт | Назначение | Тег обслуживания |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Служба метаданных экземпляра Azure (IMDS) | Н/Д |
168.63.129.16 |
TCP | 80, 32526 | Мониторинг работоспособности узла сеансов | Н/Д |
Важно!
Эти адреса используются во всех Azure регионах и облачных средах, включая Azure общедоступное облако, Azure для государственных организаций и Azure Китае. Потеря подключения к обоим адресам приводит к сбоям подготовки, проблемам с отчетами о работоспособности и ухудшению работы службы.
Служба метаданных экземпляра Azure (169.254.169.254)
служба метаданных экземпляра Azure (IMDS) — это конечная точка REST API, которая предоставляет сведения о работающей виртуальной машине. Программное обеспечение в виртуальной машине использует IMDS для интеграции с Azure средой.
Виртуальные машины используют IMDS для получения:
Данные об удостоверениях и конфигурации виртуальной машины
Маркеры управляемых удостоверений для проверки подлинности служб Azure
Запланированные события и уведомления об обслуживании
Метаданные, такие как регион, зона доступности, размер виртуальной машины и конфигурация сети
Адрес 169.254.169.254 является локальным IP-адресом канала. Он не является маршрутизируемым и доступен только из виртуальной машины. Запросы на этот адрес никогда не покидают физический узел. Низкоуровневая оболочка Azure перехватывает трафик и реагирует на него локально.
IMDS работает на уровне гипервизора. На это не влияют группы безопасности сети, определяемые пользователем маршруты или правила Брандмауэр Azure. Однако конфигурация операционной системы внутри виртуальной машины, например брандмауэры узла или VPN-клиенты, может блокировать доступ.
мониторинг работоспособности платформы Azure (168.63.129.16)
Адрес 168.63.129.16 — это виртуальный общедоступный IP-адрес, используемый службами платформы Azure для связи с виртуальными машинами. Этот адрес также называется конечной точкой WireServer.
Виртуальные машины используют этот адрес для:
Мониторинг работоспособности и обмен данными о пульсе от агента виртуальной машины Azure
Разрешение DNS при использовании DNS, предоставляемого Azure
Обмен данными ПО DHCP для назначения и продления IP-адресов
Трафик на 168.63.129.16 проходит через Azure структуру виртуальной сети. Azure маршрутизация платформы применяет специальную обработку, чтобы обеспечить доступность адреса в сетях с ограниченными конфигурациями безопасности или маршрутизации.
Отличия от стандартных конечных точек
Azure Виртуального рабочего стола и Windows 365 также требуется подключение к конечным точкам на основе полного доменного имени, таким как службы уровня управления, Microsoft Entra ID и т. д. Трафик к этим конечным точкам ведет себя как стандартный интернет-трафик к общедоступным IP-адресам. Некоторые из этого трафика, например RDP, требуют оптимизации в клиентских сетях, но обычно могут рассматриваться как обычные общедоступные конечные точки.
Однако трафик к 169.254.169.254 и 168.63.129.16 ведет себя по-разному.
Azure внутренние и не маршрутизируемые. Эти адреса являются частью Azure внутренней инфраструктуры платформы. Они не являются конечными точками Интернета, не разрешаются через общедоступный DNS и не могут быть доступны извне Azure или из локальных сетей.
Они не могут быть прокси-серверами, так как они не могут связаться с этими адресами. Попытки отправить этот трафик через прокси-сервер не будут успешными, будь то с помощью PAC-файлов, групповая политика или параметров прокси-сервера приложения.
Они не могут проходить через VPN-туннели или защищенные веб-шлюзы. VPN-клиенты и агенты защищенных веб-шлюзов, работающие в режиме полного туннеля или принудительного туннеля, фиксируют весь трафик с виртуальной машины. При сборе трафика на эти адреса происходит сбой подключения, так как адреса недоступны через VPN-туннели или стороннюю инфраструктуру безопасности.
Частично защищен маршрутизацией Azure платформы. Azure сети включает защиту для обеспечения подключения к этим адресам на уровне структуры. Маршруты по умолчанию, такие как 0.0.0.0/0 и большинство правил группы безопасности сети, не блокируют этот трафик. Однако эти меры защиты не применяются к конфигурации внутри виртуальной машины или к явным сетевым правилам, предназначенным для этих адресов или их тегов служб.
Поэтому важно убедиться, что в вашей среде отсутствуют следующие проблемы с конфигурацией:
Проблемы с конфигурацией на виртуальной машине
Большинство проблем с подключением связаны с конфигурацией внутри виртуальной машины, а не из-за Azure конфигурации сетевого уровня.
VPN-клиенты и агенты защищенных веб-шлюзов
Организации развертывают VPN-клиенты или агенты безопасных веб-шлюзов на облачных компьютерах и узлах сеансов для применения политик безопасности. Например, Zscaler Internet Access, Интернет-доступ Microsoft Entra, PaloAlto Global Protect и т. д.
Когда эти агенты работают в режиме принудительного туннелирования, они перенаправляют весь трафик через виртуальный адаптер. Эта конфигурация может включать трафик к адресам Azure платформы, что нарушает подключение.
Что проверка:
Использование раздельного туннелирования, чтобы Azure трафик платформы оставался локальным
Настройка явных правил обхода или исключения для 169.254.169.254 и 168.63.129.16
Конфигурация прокси-сервера и PAC
Параметры прокси-сервера, применяемые через PAC-файлы, групповая политика, WinHTTP, WinINET или параметры приложения, могут привести к тому, что виртуальная машина будет выполнять прокси-сервер Azure трафик платформы.
Что проверка:
PAC-файлы возвращают прямое подключение для этих адресов.
Списки обхода прокси-сервера включают оба адреса.
Проверка параметров прокси-сервера на уровне пользователя и компьютера
Правила брандмауэра узла
Брандмауэры на основе узла или программное обеспечение защиты конечных точек могут блокировать исходящий трафик TCP.
Что проверка:
Разрешить исходящий трафик TCP до 169.254.169.254 через порт 80
Разрешить исходящий трафик TCP до 168.63.129.16 на портах 80 и 32526
Программное обеспечение для защиты конечных точек и сетевой фильтрации
Антивирусная программа, средства обнаружения конечных точек & реагирования (EDR) или защиты от потери данных (DLP) могут включать функции проверки сети.
Что проверка:
Убедитесь, что эти средства не блокируют и не проверяют трафик по этим адресам.
Добавление правил разрешения или исключения на основе IP-адресов при необходимости
Azure проблемы с конфигурацией сетевого уровня
Группы безопасности сети
Azure определяет теги службы для этих конечных точек:
AzurePlatformIMDS для 169.254.169.254
AzurePlatformDNS для 168.63.129.16
Явные правила запрета, предназначенные для этих тегов служб, могут помешать подключению.
Что проверка:
Удаление правил запрета, предназначенных для этих тегов или адресов служб
Убедитесь, что правила запрета для всех исходящих подключений включают явные правила разрешения для этих тегов служб.
Определяемые пользователем маршруты и сетевые виртуальные устройства
Azure маршрутизация платформы обычно обеспечивает доступность независимо от маршрутов по умолчанию. Однако явные маршруты или сложные топологии маршрутизации могут вызвать проблемы.
Что проверка:
Маршруты явно не предназначены для 169.254.169.254 или 168.63.129.16
Брандмауэры или сетевые виртуальные устройства в пути разрешают исходящий трафик к этим адресам и портам.
проверки работоспособности сетевого подключения Azure
Windows 365 Корпоративная использует Azure сетевые подключения для подготовки облачных компьютеров. Каждое подключение включает автоматизированные проверки работоспособности, которые проверяют сетевое подключение.
Проверка работоспособности
Подключение сетевой структуры к конечным точкам платформы Azure
Конфигурация группы безопасности сети
Конфигурация таблицы маршрутизации
Разрешение DNS с помощью Azure предоставленной DNS
Какие проверки работоспособности не проверяются
VPN-клиенты или агенты защищенных веб-шлюзов, установленные после подготовки
Конфигурация прокси-сервера или PAC, применяемая через групповая политика или Intune
Правила брандмауэра для размещения или программное обеспечение безопасности конечных точек
Конфигурация, применяемая внутри виртуальной машины после назначения
Прохождение проверка работоспособности подтверждает, что Azure сеть разрешает трафик платформы. Это не гарантирует, что облачные компьютеры или узлы сеансов смогут получить доступ к этим конечным точкам после применения конфигурации на виртуальной машине.
Сводка
Подключение к 169.254.169.254 и 168.63.129.16 требуется для Azure Виртуального рабочего стола и Windows 365. Блокировка этих конечных точек приводит к проблемам с подготовкой и эксплуатацией как с Windows 365, так и с Azure Виртуальным рабочим столом.
Эти адреса являются Azure внутренними конечными точками платформы. Трафик на эти адреса не должен быть прокси-сервером, перехвачен или перенаправлен через VPN-туннели или защищенные веб-шлюзы.
Большинство сбоев подключения происходит из-за конфигурации внутри виртуальной машины, например VPN-клиентов, параметров прокси-сервера, брандмауэров узлов или программного обеспечения безопасности конечных точек. Проблемы сетевого уровня менее распространены, но могут возникать, когда явные правила предназначены для этих адресов или их тегов служб.
Azure проверки работоспособности сетевого подключения проверяют только подключение на сетевом уровне. Они не обнаруживают проблемы с конфигурацией на виртуальной машине.