Поделиться через

Обязательные полные доменные имена и конечные точки для Виртуального рабочего стола Azure

Чтобы развернуть Виртуальный рабочий стол Azure и подключить пользователей, необходимо разрешить определенные полные доменные имена и конечные точки. Пользователи также должны иметь возможность подключаться к определенным полным доменным именам и конечным точкам для доступа к ресурсам Виртуального рабочего стола Azure. В этой статье перечислены необходимые полные доменные имена и конечные точки, которые необходимо разрешить для узлов сеансов и пользователей.

Эти полные доменные имена и конечные точки могут быть заблокированы, если вы используете брандмауэр, например Брандмауэр Azure или прокси-службу. Рекомендации по использованию службы прокси-сервера с Виртуальным рабочим столом Azure см. в статье Рекомендации по службе прокси-сервера для Виртуального рабочего стола Azure.

Вы можете проверка, что виртуальные машины узла сеансов могут подключаться к этим полным доменным именам и конечным точкам, выполнив действия по запуску средства URL-адреса агента Виртуального рабочего стола Azure в разделе Проверка доступа к требуемым полным доменным именам и конечным точкам для Виртуального рабочего стола Azure. Средство URL-адреса агента Виртуального рабочего стола Azure проверяет каждое полное доменное имя и конечную точку и показывает, могут ли к ним обращаться узлы сеансов.

Важно!

  • Корпорация Майкрософт не поддерживает развертывания Виртуального рабочего стола Azure, где полные доменные имена и конечные точки, перечисленные в этой статье, блокируются.

  • В этой статье не содержатся полные доменные имена и конечные точки для других служб, таких как Microsoft Entra ID, Office 365, пользовательские поставщики DNS или службы времени. Microsoft Entra полные доменные имена и конечные точки можно найти под идентификаторами 56, 59 и 125 в Office 365 URL-адресах и диапазонах IP-адресов.

Теги службы и теги полного доменного имени

Теги служб представляют группы префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, охватываемыми тегом службы, и автоматически обновляет тег службы по мере изменения адресов, сводя к минимуму сложность частых обновлений правил безопасности сети. Теги служб можно использовать в правилах для групп безопасности сети (NSG) и Брандмауэр Azure для ограничения исходящего сетевого доступа. Теги служб также можно использовать в определяемых пользователем маршрутах (UDR) для настройки поведения маршрутизации трафика.

Брандмауэр Azure также поддерживает теги FQDN, представляющие группу полных доменных имен (FQDN), связанных с хорошо известными службами Azure и другими службами Майкрософт. Виртуальный рабочий стол Azure не имеет списка диапазонов IP-адресов, которые можно разблокировать вместо полных доменных имен, чтобы разрешить сетевой трафик. Если вы используете брандмауэр следующего поколения (NGFW), необходимо использовать динамический список IP-адресов Azure, чтобы убедиться, что вы можете подключиться. Дополнительные сведения см. в статье Использование Брандмауэр Azure для защиты развертываний Виртуального рабочего стола Azure.

Виртуальный рабочий стол Azure содержит как тег службы, так и запись тега FQDN. Мы рекомендуем использовать теги служб и теги FQDN для упрощения конфигурации сети Azure.

Виртуальные машины узла сеансов

В следующей таблице приведен список полных доменных имен и конечных точек, к которых виртуальные машины узла сеансов должны получить доступ для Виртуального рабочего стола Azure. Все записи являются исходящими; Вам не нужно открывать входящие порты для Виртуального рабочего стола Azure. Выберите соответствующую вкладку в зависимости от используемого облака.

Address Протокол Исходящий порт Назначение Тег службы
login.microsoftonline.com TCP 443 Проверка подлинности в Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Служебный трафик WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Трафик агента
Выходные данные диагностики		 AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Трафик агента AzureMonitor
azkms.core.windows.net TCP 1688 Активация Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Обновления агента и параллельного стека (SXS) Storage
wvdportalstorageblob.blob.core.windows.net TCP 443 Страница портала Azure AzureCloud
169.254.169.254 TCP 80 Конечная точка службы метаданных экземпляров Azure Н/Д
168.63.129.16 TCP 80 Мониторинг работоспособности узла сеансов Н/Д
oneocsp.microsoft.com TCP 80 Сертификаты AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Сертификаты Н/Д
ctldl.windowsupdate.com TCP 80 Сертификаты Н/Д
aka.ms TCP 443 Средство сокращения URL-адресов Майкрософт, используемое во время развертывания узла сеансов на Azure Local Н/Д

В следующей таблице перечислены необязательные полные доменные имена и конечные точки, к которым могут потребоваться виртуальные машины узла сеансов для других служб.

Address Протокол Исходящий порт Назначение Тег службы
login.windows.net TCP 443 Вход в Microsoft Online Services и Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Служба телеметрии Н/Д
www.msftconnecttest.com TCP 80 Определяет, подключен ли узел сеанса к Интернету. Н/Д
*.prod.do.dsp.mp.microsoft.com TCP 443 Центр обновления Windows Н/Д
*.sfx.ms TCP 443 Обновления для клиентского программного обеспечения OneDrive Н/Д
*.digicert.com TCP 80 проверка отзыва сертификата Н/Д
*.azure-dns.com TCP 443 Разрешение Azure DNS Н/Д
*.azure-dns.net TCP 443 Разрешение Azure DNS Н/Д
*eh.servicebus.windows.net TCP 443 Параметры диагностики EventHub

Совет

Для полных доменных имен, включающих трафик службы, необходимо использовать подстановочный знак (*).

Для трафика агента, если вы предпочитаете не использовать подстановочный знак, вот как найти определенные полные доменные имена, которые нужно разрешить:

  1. Убедитесь, что узлы сеансов зарегистрированы в пуле узлов.
  2. На узле сеанса откройте средство просмотра событий, а затем перейдите в раздел Windows Logs>Application>WVD-Agent и найдите событие с идентификатором 3701.
  3. Разблокируйте полные доменные имена, которые находятся под идентификатором события 3701. Полные доменные имена с идентификатором события 3701 зависят от региона. Необходимо повторить этот процесс с соответствующими полными доменными именами для каждого региона Azure, в котором вы хотите развернуть узлы сеансов.

Устройства конечных пользователей

Любое устройство, на котором вы используете один из клиентов удаленного рабочего стола для подключения к Виртуальному рабочему столу Azure, должно иметь доступ к следующим полным доменным именам и конечным точкам. Разрешение этих полных доменных имен и конечных точек имеет важное значение для надежного взаимодействия с клиентом. Блокировка доступа к этим полным доменным именам и конечным точкам не поддерживается и влияет на функциональные возможности службы.

Выберите соответствующую вкладку в зависимости от используемого облака.

Address Протокол Исходящий порт Назначение Клиенты
login.microsoftonline.com TCP 443 Проверка подлинности в Microsoft Online Services Все
*.wvd.microsoft.com TCP 443 Служебный трафик Все
*.servicebus.windows.net TCP 443 Устранение неполадок с данными Все
go.microsoft.com TCP 443 Microsoft FWLinks Все
aka.ms TCP 443 Сокращение URL-адресов (Майкрософт) Все
learn.microsoft.com TCP 443 Документация Все
privacy.microsoft.com TCP 443 Заявление о конфиденциальности Все
*.cdn.office.net TCP 443 Автоматические обновления Рабочий стол Windows
graph.microsoft.com TCP 443 Служебный трафик Все
windows.cloud.microsoft TCP 443 Центр подключений Все
windows365.microsoft.com TCP 443 Служебный трафик Все
ecs.office.com TCP 443 Центр подключений Все
*.events.data.microsoft.com TCP 443 Данные телеметрии клиента Все

Если вы находитесь в закрытой сети с ограниченным доступом к Интернету, вам также может потребоваться разрешить полные доменные имена, перечисленные здесь для проверки сертификатов: сведения о центрах сертификации Azure | Microsoft Learn.

Дальнейшие действия