Požadované plně kvalifikované názvy domén a koncové body pro Azure Virtual Desktop

  • Článek

Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby měli přístup ke svým prostředkům Azure Virtual Desktopu. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.

Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, jako je Azure Firewall nebo služba proxy. Pokyny k používání proxy služby s Azure Virtual Desktopem najdete v pokynech ke službě Proxy pro Azure Virtual Desktop. Tento článek neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.

Pomocí postupu spuštění nástroje URL agenta služby Azure Virtual Desktop v rámci kontroly přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop můžete zkontrolovat, že se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům. Nástroj URL agenta služby Azure Virtual Desktop ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají přístup hostitelé relací.

Důležité

Microsoft nepodporuje nasazení služby Azure Virtual Desktop, kde jsou zablokované plně kvalifikované názvy domén a koncové body uvedené v tomto článku.

Virtuální počítače hostitele relace

Následující tabulka obsahuje seznam plně kvalifikovaných názvů domén a koncových bodů, ke které virtuální počítače hostitele relace potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Pro Azure Virtual Desktop nemusíte otevírat příchozí porty. Na základě toho, který cloud používáte, vyberte příslušnou kartu.

Adresa Protokol Odchozí port Účel Značka služby
login.microsoftonline.com TCP 443 Ověřování ke službám Microsoft Online Services
*.wvd.microsoft.com TCP 443 Provoz služeb WindowsVirtualDesktop
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Provoz agenta
Výstup diagnostiky		 AzureMonitor
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
gcs.prod.monitoring.core.windows.net TCP 443 Provoz agenta AzureCloud
kms.core.windows.net TCP 1688 Aktivace Windows Internet
azkms.core.windows.net TCP 1688 Aktivace Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Aktualizace zásobníku agenta a souběžného zásobníku (SXS) AzureCloud
wvdportalstorageblob.blob.core.windows.net TCP 443 Podpora webu Azure Portal AzureCloud
169.254.169.254 TCP 80 Koncový bod služby Azure Instance Metadata
168.63.129.16 TCP 80 Monitorování stavu hostitele relace
oneocsp.microsoft.com TCP 80 Certifikáty
www.microsoft.com TCP 80 Certifikáty

V následující tabulce jsou uvedeny volitelné plně kvalifikované názvy domén a koncové body, ke kterým může virtuální počítače hostitele relace potřebovat přístup i pro jiné služby:

Adresa Protokol Odchozí port Účel
login.windows.net TCP 443 Přihlášení ke službám Microsoft Online Services a Microsoftu 365
*.events.data.microsoft.com TCP 443 Služba telemetrie
www.msftconnecttest.com TCP 80 Zjistí, jestli je hostitel relace připojený k internetu.
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update
*.sfx.ms TCP 443 Aktualizace pro klientský software OneDrivu
*.digicert.com TCP 80 Kontrola odvolání certifikátu
*.azure-dns.com TCP 443 Překlad Azure DNS
*.azure-dns.net TCP 443 Překlad Azure DNS
*eh.servicebus.windows.net TCP 443 Nastavení diagnostiky

Tento seznam nezahrnuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.

Tip

Pro plně kvalifikované názvy domén zahrnující provoz služeb musíte použít zástupný znak (*). Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:

  1. Ujistěte se, že jsou virtuální počítače hostitele relace zaregistrované ve fondu hostitelů.
  2. Na hostiteli relace otevřete Prohlížeč událostí a pak přejděte do části>Application WVD-Agent aplikace>windows a vyhledejte ID události 3701.
  3. Odblokujte plně kvalifikované názvy domén, které najdete v části s ID události 3701. Plně kvalifikované názvy domén v id události 3701 jsou specifické pro danou oblast. Tento proces budete muset opakovat s příslušnými plně kvalifikovanými názvy domén pro každou oblast Azure, ve které chcete nasadit virtuální počítače hostitele relace.

Značky služeb a značky plně kvalifikovaného názvu domény

Značka služby virtuální sítě představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít ve skupině zabezpečení sítě (NSG) i v pravidlech brány Azure Firewall k omezení odchozího síťového přístupu. Značky služeb se dají použít také v trasách definované uživatelem (UDR) k přizpůsobení chování směrování provozu.

Azure Firewall podporuje Azure Virtual Desktop jako značku plně kvalifikovaného názvu domény. Další informace najdete v tématu Použití služby Azure Firewall k ochraně nasazení služby Azure Virtual Desktop.

Ke zjednodušení konfigurace doporučujeme použít značky plně kvalifikovaného názvu domény nebo značky služeb. Uvedené plně kvalifikované názvy domén a koncové body a značky odpovídají pouze webům a prostředkům služby Azure Virtual Desktop. Nezahrnují plně kvalifikované názvy domén a koncové body pro jiné služby, jako je ID Microsoft Entra. Značky služeb pro jiné služby najdete v tématu Dostupné značky služeb.

Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete odblokovat místo plně kvalifikovaných názvů domén, abyste povolili síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam určený pro IP adresy Azure, abyste se mohli připojit.

Zařízení koncových uživatelů

Jakékoli zařízení, na kterém se připojujete k Azure Virtual Desktopu pomocí jednoho z klientů vzdálené plochy, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncovýchbodůch Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům není podporováno a má vliv na funkčnost služby.

Na základě toho, který cloud používáte, vyberte příslušnou kartu.

Adresa Protokol Odchozí port Účel Klienti
login.microsoftonline.com TCP 443 Ověřování ke službám Microsoft Online Services Vše
*.wvd.microsoft.com TCP 443 Provoz služeb Vše
*.servicebus.windows.net TCP 443 Řešení potíží s daty Vše
go.microsoft.com TCP 443 Microsoft FWLinks Vše
aka.ms TCP 443 Zkrácení adresy URL microsoftu Vše
learn.microsoft.com TCP 443 Dokumentace Vše
privacy.microsoft.com TCP 443 Prohlášení o ochraně osobních údajů Vše
query.prod.cms.rt.microsoft.com TCP 443 Stáhněte si MSI a aktualizujte klienta. Vyžaduje se pro automatické aktualizace. Desktopová verze Windows

Tyto plně kvalifikované názvy domén a koncové body odpovídají pouze klientským lokalitám a prostředkům. Tento seznam neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je MICROSOFT Entra ID nebo Office 365. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.

Další kroky