Поделиться через


Обязательные полные доменные имена и конечные точки для виртуального рабочего стола Azure

Чтобы развернуть виртуальный рабочий стол Azure и для подключения пользователей, необходимо разрешить определенные полные доменные имена и конечные точки. Пользователи также должны иметь возможность подключаться к определенным полным доменным именам и конечным точкам для доступа к ресурсам виртуального рабочего стола Azure. В этой статье перечислены необходимые полные доменные имена и конечные точки, необходимые для узлов сеансов и пользователей.

Эти полные доменные имена и конечные точки могут быть заблокированы, если вы используете брандмауэр, например Брандмауэр Azure или прокси-службу. Рекомендации по использованию службы прокси-сервера с виртуальным рабочим столом Azure см . в рекомендациях по службе прокси для виртуального рабочего стола Azure. Эта статья не содержит полных доменных имен и конечных точек для других служб, таких как Идентификатор Microsoft Entra, Office 365, настраиваемые поставщики DNS или службы времени. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.

Вы можете проверить, что виртуальные машины узла сеанса могут подключаться к этим полным доменным именам и конечным точкам, выполнив действия, чтобы запустить средство URL-адреса агента виртуального рабочего стола Azure в проверке доступа к необходимым полным доменным именам и конечным точкам для виртуального рабочего стола Azure. Средство URL-адреса агента виртуального рабочего стола Azure проверяет каждое полное доменное имя и конечную точку и показывает, могут ли они получить доступ к узлам сеансов.

Внимание

Корпорация Майкрософт не поддерживает развертывания виртуальных рабочих столов Azure, в которых полные доменные имена и конечные точки, перечисленные в этой статье, блокируются.

Виртуальные машины узла сеанса

В следующей таблице приведен список полных доменных имен и конечных точек виртуальных машин узла сеанса, необходимых для доступа к виртуальному рабочему столу Azure. Все записи являются исходящими; Вам не нужно открывать входящий порт для виртуального рабочего стола Azure. Выберите соответствующую вкладку в зависимости от используемого облака.

Адрес Протокол Исходящий порт Характер использования Тег службы
login.microsoftonline.com TCP 443 Проверка подлинности в Microsoft Online Services
*.wvd.microsoft.com TCP 443 Служба трафика Виртуальныйрабочийстол
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Агент трафика
Выходные данные диагностики
AzureMonitor
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 Агент трафика AzureCloud
azkms.core.windows.net TCP 1688 Активация Windows Интернет
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Агент и параллельные обновления стека (SXS) AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Поддержка портала Azure AzureCloud
169.254.169.254 TCP 80 Конечная точка службы метаданных экземпляров Azure Н/П
168.63.129.16 TCP 80 Мониторинг работоспособности узла сеансов Н/П
oneocsp.microsoft.com TCP 80 Сертификаты Н/П
www.microsoft.com TCP 80 Сертификаты Н/П

В следующей таблице перечислены необязательные полные доменные домены и конечные точки, к которым могут потребоваться виртуальные машины узла сеанса:

Адрес Протокол Исходящий порт Характер использования Тег службы
login.windows.net TCP 443 Вход в Microsoft Online Services и Microsoft 365 Н/П
*.events.data.microsoft.com TCP 443 Служба телеметрии Н/П
www.msftconnecttest.com TCP 80 Проверка, подключен ли узел сеанса к Интернету Н/П
*.prod.do.dsp.mp.microsoft.com TCP 443 Центр обновления Windows Н/П
*.sfx.ms TCP 443 Обновления для клиентского программного обеспечения OneDrive Н/П
*.digicert.com TCP 80 Проверка отзыва сертификата Н/П
*.azure-dns.com TCP 443 Разрешение Azure DNS Н/П
*.azure-dns.net TCP 443 Разрешение Azure DNS Н/П
*eh.servicebus.windows.net TCP 443 Параметры диагностики Концентратор событий

Этот список не включает полные доменные домены и конечные точки для других служб, таких как Идентификатор Microsoft Entra, Office 365, настраиваемые поставщики DNS или службы времени. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.

Совет

Для полных доменных имен с трафиком службы необходимо использовать подстановочный знак (*). Для трафика агента, если вы предпочитаете не использовать подстановочный знак, вот как найти определенные полные доменные имена, чтобы разрешить:

  1. Убедитесь, что виртуальные машины узла сеансов зарегистрированы в пуле узлов.
  2. На узле сеанса откройте средство просмотра событий, а затем перейдите в журналы>Приложения WVD-Agent Windows>и найдите идентификатор события 3701.
  3. Разблокируйте полные доменные имена, которые находятся в идентификаторе события 3701. Полное доменное имя в идентификаторе события 3701 зависит от региона. Вам потребуется повторить этот процесс с соответствующими полными доменными именами для каждого региона Azure, в котором необходимо развернуть виртуальные машины узла сеанса.

Теги служб и теги FQDN

Тег службы виртуальной сети представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Теги служб можно использовать для ограничения внешнего сетевого доступа как в группе безопасности сети (NSG), так и в правилах Брандмауэра Azure. Кроме того, теги служб можно использовать в определяемом пользователем маршруте (UDR) для настройки маршрутизации трафика.

Брандмауэр Azure поддерживает Виртуальный рабочий стол Azure в качестве тега FQDN. Дополнительные сведения см. в статье Использование Брандмауэра Azure для защиты развертываний Виртуального рабочего стола Azure.

Для упрощения настройки рекомендуется использовать теги FQDN или теги служб. Перечисленные полные доменные имена и теги и теги соответствуют только сайтам и ресурсам виртуального рабочего стола Azure. Они не включают полные доменные имена и конечные точки для других служб, таких как идентификатор Microsoft Entra. Теги служб для других служб см. в разделе "Доступные теги службы".

Виртуальный рабочий стол Azure не содержит список диапазонов IP-адресов, которые можно разблокировать вместо полных доменных имен, чтобы разрешить сетевой трафик. Если вы используете брандмауэр следующего поколения (NGFW), необходимо использовать динамический список, сделанный для IP-адресов Azure, чтобы убедиться, что вы можете подключиться.

Устройства конечных пользователей

Любое устройство, на котором используется один из клиентов удаленного рабочего стола для подключения к виртуальному рабочему столу Azure, должно иметь доступ к следующим полным доменным именам и конечным точкам. Разрешение этих полных доменных имен и конечных точек важно для надежного взаимодействия с клиентом. Блокировка доступа к этим полным доменным именам и конечным точкам не поддерживается и влияет на функциональные возможности службы.

Выберите соответствующую вкладку в зависимости от используемого облака.

Адрес Протокол Исходящий порт Характер использования Клиент(ы)
login.microsoftonline.com TCP 443 Проверка подлинности в Microsoft Online Services Все
*.wvd.microsoft.com TCP 443 Служба трафика Все
*.servicebus.windows.net TCP 443 Данные диагностики Все
go.microsoft.com TCP 443 Microsoft FWLinks Все
aka.ms TCP 443 Средство сокращения URL-адресов Майкрософт Все
learn.microsoft.com TCP 443 Документация Все
privacy.microsoft.com TCP 443 Заявление о конфиденциальности Все
query.prod.cms.rt.microsoft.com TCP 443 Скачайте пакет MSI или MSIX, чтобы обновить клиент. Требуется для автоматического обновления. Настольный компьютер с Windows
graph.microsoft.com TCP 443 Служба трафика Все
windows.cloud.microsoft TCP 443 Центр подключений Все
windows365.microsoft.com TCP 443 Служба трафика Все
ecs.office.com TCP 443 Центр подключений Все

Эти полные доменные имена и конечные точки соответствуют только клиентским сайтам и ресурсам. Этот список не включает полные доменные имена и конечные точки для других служб, таких как идентификатор Microsoft Entra или Office 365. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.

Если вы находитесь в закрытой сети с ограниченным доступом к Интернету, возможно, вам также потребуется разрешить полные доменные имена, перечисленные здесь для проверки сертификатов: сведения об центре сертификации Azure | Microsoft Learn.

Следующие шаги