Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для развертывания виртуального рабочего стола Azure и подключения пользователей необходимо разрешить доступ к определенным полным доменным именам и конечным точкам. Пользователи также должны иметь возможность подключаться к определенным полным доменным именам и конечным точкам для доступа к ресурсам виртуального рабочего стола Azure. В этой статье перечислены необходимые полные доменные имена и конечные точки, необходимые для узлов сеансов и пользователей.
Эти полные доменные имена и конечные точки могут быть заблокированы, если вы используете брандмауэр, например Брандмауэр Azure или прокси-службу. Для получения рекомендаций по использованию службы прокси-сервера с виртуальным рабочим столом Azure см. Рекомендации по использованию службы прокси для виртуального рабочего стола Azure.
Вы можете проверить, что виртуальные машины узла сеанса могут подключаться к этим полным доменным именам и конечным точкам, выполнив действия, чтобы запустить средство URL-адреса агента виртуального рабочего стола Azure в проверке доступа к необходимым полным доменным именам и конечным точкам для виртуального рабочего стола Azure. Инструмент агента виртуального рабочего стола Azure проверяет каждое полное доменное имя и конечную точку и показывает, могут ли узлы сеансов получить к ним доступ.
Внимание
Корпорация Майкрософт не поддерживает развертывания виртуальных рабочих столов Azure, в которых полные доменные имена и конечные точки, перечисленные в этой статье, блокируются.
Эта статья не включает полные доменные имена (FQDN) и конечные точки для других служб, таких как Microsoft Entra ID, Office 365, пользовательские поставщики DNS или службы времени. Полные доменные имена и конечные точки Microsoft Entra можно найти под идентификаторами 56, 59 и 125 в URL-адресах и диапазонах IP-адресов Office 365.
Теги служб и теги FQDN
Теги служб представляют группы префиксов IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Теги служб можно использовать в правилах для групп безопасности сети (NSG) и Брандмауэр Azure для ограничения исходящего сетевого доступа. Теги служб также можно использовать в определяемых пользователем маршрутах (UDR) для настройки поведения маршрутизации трафика.
Брандмауэр Azure также поддерживает теги FQDN, которые представляют группу полностью квалифицированных доменных имен (FQDN), связанных с известными службами Azure и другими службами Майкрософт. Виртуальный Рабочий Стол Azure не содержит список диапазонов IP-адресов, которые можно разблокировать вместо полных доменных имен (FQDN), чтобы разрешить сетевой трафик. Если вы используете брандмауэр следующего поколения (NGFW), необходимо использовать динамический список, сделанный для IP-адресов Azure, чтобы убедиться, что вы можете подключиться. Дополнительные сведения см. в статье Использование Брандмауэра Azure для защиты развертываний Виртуального рабочего стола Azure.
Виртуальный рабочий стол Azure имеет как служебный тег, так и запись тега FQDN. Мы рекомендуем использовать теги служб и теги FQDN, чтобы упростить конфигурацию сети Azure.
Виртуальные машины узла сеанса
В следующей таблице приведен список полных доменных имен и конечных точек виртуальных машин узла сеанса, необходимых для доступа к виртуальному рабочему столу Azure. Все записи являются исходящими; Вам не нужно открывать входящий порт для виртуального рабочего стола Azure. Выберите соответствующую вкладку в зависимости от используемого облака.
| Адрес | Протокол | Исходящий порт | Цель | Тег службы |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Проверка подлинности в Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Трафик сервисов | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Трафик агента Выходные данные диагностики |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Агент трафика | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Активация Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Агент и параллельные обновления стека (SXS) | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Поддержка портала Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Конечная точка службы метаданных экземпляров Azure | Н/П |
168.63.129.16 |
TCP | 80 | Мониторинг работоспособности узла сеансов | Н/П |
oneocsp.microsoft.com |
TCP | 80 | Сертификаты | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Сертификаты | Н/П |
aka.ms |
TCP | 443 | Сокращение URL-адресов Майкрософт, используемое во время развертывания узла сеанса в локальной среде Azure | Н/П |
В следующей таблице перечислены необязательные полные доменные домены и конечные точки, к которым могут потребоваться виртуальные машины узла сеанса:
| Адрес | Протокол | Исходящий порт | Цель | Сервисный тег |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Вход в Microsoft Online Services и Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Служба телеметрии | Н/П |
www.msftconnecttest.com |
TCP | 80 | Определяет, подключен ли узел сеанса к Интернету | Н/П |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Центр обновления Windows | Н/П |
*.sfx.ms |
TCP | 443 | Обновления для клиентского программного обеспечения OneDrive | Н/П |
*.digicert.com |
TCP | 80 | Проверка отзыва сертификата | Н/П |
*.azure-dns.com |
TCP | 443 | Разрешение Azure DNS | Н/П |
*.azure-dns.net |
TCP | 443 | Разрешение DNS Azure | Н/П |
*eh.servicebus.windows.net |
TCP | 443 | Параметры диагностики | EventHub |
Совет
Для полных доменных имен с трафиком службы необходимо использовать подстановочный знак (*).
Для трафика агента, если вы предпочитаете не использовать подстановочный знак, вот как найти определенные полные доменные имена, чтобы разрешить:
- Убедитесь, что хосты сеансов зарегистрированы в пуле хостов.
- На узле сеанса откройте Просмотрщик событий, затем перейдите в журналы Windows, ПриложениеWVD-Agent и найдите идентификатор события 3701.
- Пожалуйста, разблокируйте ФКДН (полные доменные имена), которые вы найдете под идентификатором события 3701. Полные доменные имена в идентификаторе события 3701 зависят от региона. Вам нужно повторить этот процесс с соответствующими полными доменными именами для каждого региона Azure, в котором вы хотите развернуть ваши узлы сеансов.
Устройства конечных пользователей
Любое устройство, на котором используется один из клиентов удаленного рабочего стола для подключения к виртуальному рабочему столу Azure, должно иметь доступ к следующим полным доменным именам и конечным точкам. Разрешение этих полных доменных имен и конечных точек важно для надежного пользовательского опыта. Блокировка доступа к этим полным доменным именам и конечным точкам не поддерживается и влияет на функциональные возможности службы.
Выберите соответствующую вкладку в зависимости от используемого облака.
| Адрес | Протокол | Исходящий порт | Цель | Клиент(ы) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Проверка подлинности в Microsoft Online Services | Все |
*.wvd.microsoft.com |
TCP | 443 | Сервисный трафик | Все |
*.servicebus.windows.net |
TCP | 443 | Данные диагностики | Все |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Все |
aka.ms |
TCP | 443 | Средство сокращения URL-адресов Майкрософт | Все |
learn.microsoft.com |
TCP | 443 | Документация | Все |
privacy.microsoft.com |
TCP | 443 | Заявление о конфиденциальности | Все |
*.cdn.office.net |
TCP | 443 | Автоматические обновления | Настольный компьютер с Windows |
graph.microsoft.com |
TCP | 443 | Служебный трафик | Все |
windows.cloud.microsoft |
TCP | 443 | Центр подключений | Все |
windows365.microsoft.com |
TCP | 443 | Сервисный трафик | Все |
ecs.office.com |
TCP | 443 | Центр подключений | Все |
*.events.data.microsoft.com |
TCP | 443 | Телеметрия клиента | Все |
Если вы находитесь в закрытой сети с ограниченным доступом к Интернету, возможно, вам также потребуется разрешить полные доменные имена, перечисленные здесь для проверки сертификатов: сведения об центре сертификации Azure | Microsoft Learn.
Следующие шаги
Проверьте доступ к необходимым полным доменным именам и конечным точкам Azure Virtual Desktop.
Как разблокировать эти полные доменные имена и конечные точки в Azure Firewall, см. в статье «Использование Azure Firewall для защиты Azure Virtual Desktop».
Дополнительные сведения о сетевом подключении см. в статье "Общие сведения о подключении к сети виртуального рабочего стола Azure"