Обязательные полные доменные имена и конечные точки для виртуального рабочего стола Azure
Чтобы развернуть виртуальный рабочий стол Azure и для подключения пользователей, необходимо разрешить определенные полные доменные имена и конечные точки. Пользователи также должны иметь возможность подключаться к определенным полным доменным именам и конечным точкам для доступа к ресурсам виртуального рабочего стола Azure. В этой статье перечислены необходимые полные доменные имена и конечные точки, необходимые для узлов сеансов и пользователей.
Эти полные доменные имена и конечные точки могут быть заблокированы, если вы используете брандмауэр, например Брандмауэр Azure или прокси-службу. Рекомендации по использованию службы прокси-сервера с виртуальным рабочим столом Azure см . в рекомендациях по службе прокси для виртуального рабочего стола Azure. Эта статья не содержит полных доменных имен и конечных точек для других служб, таких как Идентификатор Microsoft Entra, Office 365, настраиваемые поставщики DNS или службы времени. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.
Вы можете проверить, что виртуальные машины узла сеанса могут подключаться к этим полным доменным именам и конечным точкам, выполнив действия, чтобы запустить средство URL-адреса агента виртуального рабочего стола Azure в проверке доступа к необходимым полным доменным именам и конечным точкам для виртуального рабочего стола Azure. Средство URL-адреса агента виртуального рабочего стола Azure проверяет каждое полное доменное имя и конечную точку и показывает, могут ли они получить доступ к узлам сеансов.
Внимание
Корпорация Майкрософт не поддерживает развертывания виртуальных рабочих столов Azure, в которых полные доменные имена и конечные точки, перечисленные в этой статье, блокируются.
Виртуальные машины узла сеанса
В следующей таблице приведен список полных доменных имен и конечных точек виртуальных машин узла сеанса, необходимых для доступа к виртуальному рабочему столу Azure. Все записи являются исходящими; Вам не нужно открывать входящий порт для виртуального рабочего стола Azure. Выберите соответствующую вкладку в зависимости от используемого облака.
| Адрес | Протокол | Исходящий порт | Характер использования | Тег службы |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Проверка подлинности в Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Служба трафика | Виртуальныйрабочийстол |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Агент трафика Выходные данные диагностики |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Агент трафика | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Активация Windows | Интернет |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Агент и параллельные обновления стека (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Поддержка портала Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Конечная точка службы метаданных экземпляров Azure | Н/П |
168.63.129.16 |
TCP | 80 | Мониторинг работоспособности узла сеансов | Н/П |
oneocsp.microsoft.com |
TCP | 80 | Сертификаты | Н/П |
www.microsoft.com |
TCP | 80 | Сертификаты | Н/П |
В следующей таблице перечислены необязательные полные доменные домены и конечные точки, к которым могут потребоваться виртуальные машины узла сеанса:
| Адрес | Протокол | Исходящий порт | Характер использования | Тег службы |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Вход в Microsoft Online Services и Microsoft 365 | Н/П |
*.events.data.microsoft.com |
TCP | 443 | Служба телеметрии | Н/П |
www.msftconnecttest.com |
TCP | 80 | Проверка, подключен ли узел сеанса к Интернету | Н/П |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Центр обновления Windows | Н/П |
*.sfx.ms |
TCP | 443 | Обновления для клиентского программного обеспечения OneDrive | Н/П |
*.digicert.com |
TCP | 80 | Проверка отзыва сертификата | Н/П |
*.azure-dns.com |
TCP | 443 | Разрешение Azure DNS | Н/П |
*.azure-dns.net |
TCP | 443 | Разрешение Azure DNS | Н/П |
*eh.servicebus.windows.net |
TCP | 443 | Параметры диагностики | Концентратор событий |
Этот список не включает полные доменные домены и конечные точки для других служб, таких как Идентификатор Microsoft Entra, Office 365, настраиваемые поставщики DNS или службы времени. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.
Совет
Для полных доменных имен с трафиком службы необходимо использовать подстановочный знак (*). Для трафика агента, если вы предпочитаете не использовать подстановочный знак, вот как найти определенные полные доменные имена, чтобы разрешить:
- Убедитесь, что виртуальные машины узла сеансов зарегистрированы в пуле узлов.
- На узле сеанса откройте средство просмотра событий, а затем перейдите в журналы>Приложения WVD-Agent Windows>и найдите идентификатор события 3701.
- Разблокируйте полные доменные имена, которые находятся в идентификаторе события 3701. Полное доменное имя в идентификаторе события 3701 зависит от региона. Вам потребуется повторить этот процесс с соответствующими полными доменными именами для каждого региона Azure, в котором необходимо развернуть виртуальные машины узла сеанса.
Теги служб и теги FQDN
Тег службы виртуальной сети представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Теги служб можно использовать для ограничения внешнего сетевого доступа как в группе безопасности сети (NSG), так и в правилах Брандмауэра Azure. Кроме того, теги служб можно использовать в определяемом пользователем маршруте (UDR) для настройки маршрутизации трафика.
Брандмауэр Azure поддерживает Виртуальный рабочий стол Azure в качестве тега FQDN. Дополнительные сведения см. в статье Использование Брандмауэра Azure для защиты развертываний Виртуального рабочего стола Azure.
Для упрощения настройки рекомендуется использовать теги FQDN или теги служб. Перечисленные полные доменные имена и теги и теги соответствуют только сайтам и ресурсам виртуального рабочего стола Azure. Они не включают полные доменные имена и конечные точки для других служб, таких как идентификатор Microsoft Entra. Теги служб для других служб см. в разделе "Доступные теги службы".
Виртуальный рабочий стол Azure не содержит список диапазонов IP-адресов, которые можно разблокировать вместо полных доменных имен, чтобы разрешить сетевой трафик. Если вы используете брандмауэр следующего поколения (NGFW), необходимо использовать динамический список, сделанный для IP-адресов Azure, чтобы убедиться, что вы можете подключиться.
Устройства конечных пользователей
Любое устройство, на котором используется один из клиентов удаленного рабочего стола для подключения к виртуальному рабочему столу Azure, должно иметь доступ к следующим полным доменным именам и конечным точкам. Разрешение этих полных доменных имен и конечных точек важно для надежного взаимодействия с клиентом. Блокировка доступа к этим полным доменным именам и конечным точкам не поддерживается и влияет на функциональные возможности службы.
Выберите соответствующую вкладку в зависимости от используемого облака.
| Адрес | Протокол | Исходящий порт | Характер использования | Клиент(ы) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Проверка подлинности в Microsoft Online Services | Все |
*.wvd.microsoft.com |
TCP | 443 | Служба трафика | Все |
*.servicebus.windows.net |
TCP | 443 | Данные диагностики | Все |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Все |
aka.ms |
TCP | 443 | Средство сокращения URL-адресов Майкрософт | Все |
learn.microsoft.com |
TCP | 443 | Документация | Все |
privacy.microsoft.com |
TCP | 443 | Заявление о конфиденциальности | Все |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Скачайте пакет MSI или MSIX, чтобы обновить клиент. Требуется для автоматического обновления. | Настольный компьютер с Windows |
graph.microsoft.com |
TCP | 443 | Служба трафика | Все |
windows.cloud.microsoft |
TCP | 443 | Центр подключений | Все |
windows365.microsoft.com |
TCP | 443 | Служба трафика | Все |
ecs.office.com |
TCP | 443 | Центр подключений | Все |
Эти полные доменные имена и конечные точки соответствуют только клиентским сайтам и ресурсам. Этот список не включает полные доменные имена и конечные точки для других служб, таких как идентификатор Microsoft Entra или Office 365. Полные доменные имена и конечные точки Microsoft Entra можно найти в диапазонах URL-адресов и IP-адресов Office 565 и 569 и 125.
Если вы находитесь в закрытой сети с ограниченным доступом к Интернету, возможно, вам также потребуется разрешить полные доменные имена, перечисленные здесь для проверки сертификатов: сведения об центре сертификации Azure | Microsoft Learn.
Следующие шаги
Проверьте доступ к необходимым полным доменным именам и конечным точкам виртуального рабочего стола Azure.
Сведения о разблокировке этих полных доменных имен и конечных точек в Брандмауэр Azure см. в статье "Использование Брандмауэр Azure для защиты виртуального рабочего стола Azure".
Дополнительные сведения о сетевом подключении см. в статье "Общие сведения о подключении к сети виртуального рабочего стола Azure"