Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для развертывания Azure Виртуального рабочего стола и подключения пользователей необходимо разрешить определенные полные доменные имена и конечные точки. Пользователи также должны иметь возможность подключаться к определенным полным доменным именам и конечным точкам для доступа к ресурсам Azure Виртуального рабочего стола. В этой статье перечислены необходимые полные доменные имена и конечные точки, которые необходимо разрешить для узлов сеансов и пользователей.
Эти полные доменные имена и конечные точки могут быть заблокированы, если вы используете брандмауэр, например Брандмауэр Azure или прокси-службу. Инструкции по использованию службы прокси-сервера с Azure Виртуальным рабочим столом см. в статье Рекомендации по службе прокси-сервера для Azure виртуального рабочего стола.
Вы можете проверка, что виртуальные машины узла сеансов могут подключаться к этим полным доменным именам и конечным точкам, выполнив действия по запуску средства URL-адреса агента виртуального рабочего стола Azure в разделе Проверка доступа к требуемым полным доменным именам и конечным точкам для Azure Виртуального рабочего стола. Средство url-адресов агента виртуального рабочего стола Azure проверяет каждое полное доменное имя и конечную точку и показывает, могут ли к ним обращаться узлы сеансов.
Важно!
Корпорация Майкрософт не поддерживает развертывания Azure виртуальных рабочих столов, где полные доменные имена и конечные точки, перечисленные в этой статье, блокируются. В этой статье не содержатся полные доменные имена и конечные точки для других служб, таких как Microsoft Entra ID, Office 365, настраиваемые поставщики DNS или службы времени. Microsoft Entra полные доменные имена и конечные точки можно найти в разделе Идентификаторы 46, 56, 59 и 125 в Office 365 URL-адресах и диапазонах IP-адресов, которые могут потребоваться в сетевых средах с ограниченным доступом.
Теги службы и теги полного доменного имени
Теги служб представляют группы префиксов IP-адресов из указанной Azure службы. Корпорация Майкрософт управляет префиксами адресов, охватываемыми тегом службы, и автоматически обновляет тег службы по мере изменения адресов, сводя к минимуму сложность частых обновлений правил безопасности сети. Теги служб можно использовать в правилах для групп безопасности сети (NSG) и Брандмауэр Azure для ограничения исходящего сетевого доступа. Теги служб также можно использовать в определяемых пользователем маршрутах (UDR) для настройки поведения маршрутизации трафика.
Брандмауэр Azure также поддерживает теги FQDN, представляющие группу полных доменных имен (FQDN), связанных с хорошо известными Azure и другими службами Майкрософт. Azure Виртуального рабочего стола нет списка диапазонов IP-адресов, которые можно разблокировать вместо полных доменных имен, чтобы разрешить сетевой трафик. Если вы используете брандмауэр следующего поколения (NGFW), необходимо использовать динамический список Azure IP-адресов, чтобы убедиться, что вы можете подключиться. Дополнительные сведения см. в статье Использование Брандмауэр Azure для защиты развертываний Azure виртуальных рабочих столов.
Azure Виртуального рабочего стола доступны как тег службы, так и запись тега FQDN. Мы рекомендуем использовать теги служб и теги FQDN, чтобы упростить настройку Azure сети.
Виртуальные машины узла сеансов
В следующей таблице приведен список полных доменных имен и конечных точек, к которых виртуальные машины узла сеансов должны получить доступ для Azure Виртуального рабочего стола. Все записи являются исходящими; Не нужно открывать входящие порты для Azure Виртуального рабочего стола. Выберите соответствующую вкладку в зависимости от используемого облака.
| Address | Протокол | Исходящий порт | Назначение | Тег службы |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Проверка подлинности в Microsoft Online Services | AzureActiveDirectory |
51.5.0.0/16 |
UDP | 3478 | Подключение по протоколу RDP с ретранслятором | WindowsVirtualDesktop |
*.wvd.microsoft.com |
TCP | 443 | Трафик службы, включая подключение по протоколу RDP на основе TCP | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Трафик агента Выходные данные диагностики |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Трафик агента | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Активация Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Обновления агента и параллельного стека (SXS) | Storage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Страница портала Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Конечная точка службы метаданных экземпляра Azure | Н/Д |
168.63.129.16 |
TCP | 80 | Мониторинг работоспособности узла сеансов | Н/Д |
oneocsp.microsoft.com |
TCP | 80 | Сертификаты | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Сертификаты | Н/Д |
*.aikcertaia.microsoft.com |
TCP | 80 | Сертификаты | Н/Д |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Сертификаты | Н/Д |
*.microsoftaik.azure.net |
TCP | 80 | Сертификаты | Н/Д |
ctldl.windowsupdate.com |
TCP | 80 | Сертификаты | Н/Д |
aka.ms |
TCP | 443 | Средство сокращения URL-адресов Майкрософт, используемое во время развертывания узла сеансов на Azure Local | Н/Д |
*.service.windows.cloud.microsoft |
TCP | 443 | Трафик службы | WindowsVirtualDesktop |
*.windows.cloud.microsoft |
TCP | 443 | Трафик службы | Н/Д |
*.windows.static.microsoft |
TCP | 443 | Трафик службы | Н/Д |
В следующей таблице перечислены необязательные полные доменные имена и конечные точки, к которым могут потребоваться виртуальные машины узла сеансов для других служб.
| Address | Протокол | Исходящий порт | Назначение | Тег службы |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Вход в Microsoft Online Services и Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Служба телеметрии | Н/Д |
www.msftconnecttest.com |
TCP | 80 | Определяет, подключен ли узел сеанса к Интернету. | Н/Д |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Центр обновления Windows | Н/Д |
*.sfx.ms |
TCP | 443 | Обновления для клиентского программного обеспечения OneDrive | Н/Д |
*.digicert.com |
TCP | 80 | проверка отзыва сертификата | Н/Д |
*.azure-dns.com |
TCP | 443 | разрешение DNS Azure | Н/Д |
*.azure-dns.net |
TCP | 443 | разрешение DNS Azure | Н/Д |
*eh.servicebus.windows.net |
TCP | 443 | Параметры диагностики | EventHub |
Совет
Для полных доменных имен, включающих трафик службы, необходимо использовать подстановочный знак (*).
Для трафика агента, если вы предпочитаете не использовать подстановочный знак, вот как найти определенные полные доменные имена, которые нужно разрешить:
- Убедитесь, что узлы сеансов зарегистрированы в пуле узлов.
- На узле сеанса откройте средство просмотра событий, а затем перейдите в раздел Windows Logs>Application>WVD-Agent и найдите событие с идентификатором 3701.
- Разблокируйте полные доменные имена, которые находятся под идентификатором события 3701. Полные доменные имена с идентификатором события 3701 зависят от региона. Необходимо повторить этот процесс с соответствующими полными доменными именами для каждого Azure региона, в котором вы хотите развернуть узлы сеансов.
Устройства конечных пользователей
Любое устройство, на котором используется один из клиентов удаленного рабочего стола для подключения к Azure Виртуальному рабочему столу, должно иметь доступ к следующим полным доменным именам и конечным точкам. Разрешение этих полных доменных имен и конечных точек имеет важное значение для надежного взаимодействия с клиентом. Блокировка доступа к этим полным доменным именам и конечным точкам не поддерживается и влияет на функциональные возможности службы.
Выберите соответствующую вкладку в зависимости от используемого облака.
| Address | Протокол | Исходящий порт | Назначение | Клиенты |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Проверка подлинности в Microsoft Online Services | Все |
*.wvd.microsoft.com |
TCP | 443 | Служебный трафик | Все |
*.servicebus.windows.net |
TCP | 443 | Устранение неполадок с данными | Все |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Все |
aka.ms |
TCP | 443 | Сокращение URL-адресов (Майкрософт) | Все |
learn.microsoft.com |
TCP | 443 | Документация | Все |
privacy.microsoft.com |
TCP | 443 | Заявление о конфиденциальности | Все |
*.cdn.office.net |
TCP | 443 | Автоматические обновления | Рабочий стол Windows |
graph.microsoft.com |
TCP | 443 | Служебный трафик | Все |
windows.cloud.microsoft |
TCP | 443 | Центр подключений | Все |
windows365.microsoft.com |
TCP | 443 | Служебный трафик | Все |
ecs.office.com |
TCP | 443 | Центр подключений | Все |
*.events.data.microsoft.com |
TCP | 443 | Данные телеметрии клиента | Все |
*.microsoftaik.azure.net |
TCP | 80 | Сертификаты | Все |
www.microsoft.com |
TCP | 80 | Сертификаты | Все |
*.aikcertaia.microsoft.com |
TCP | 80 | Сертификаты | Все |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | Сертификаты | Все |
Если вы находитесь в закрытой сети с ограниченным доступом в Интернет, вам также может потребоваться разрешить полные доменные имена, перечисленные здесь для проверки сертификатов: Azure сведения о центрах сертификации | Microsoft Learn.
Дальнейшие действия
Сведения о том, как разблокировать эти полные доменные имена и конечные точки в Брандмауэр Azure, см. в статье Использование Брандмауэр Azure для защиты виртуальных рабочих столов Azure.
Дополнительные сведения о сетевом подключении см. в статье Общие сведения о сетевом подключении Azure виртуального рабочего стола.