Požadované plně kvalifikované názvy domén a koncové body pro Azure Virtual Desktop
Pokud chcete nasadit Azure Virtual Desktop a aby se vaši uživatelé mohli připojit, musíte povolit konkrétní plně kvalifikované názvy domén a koncové body. Uživatelé se také musí připojit k určitým plně kvalifikovaným názvům domén a koncovým bodům, aby měli přístup ke svým prostředkům Azure Virtual Desktopu. Tento článek obsahuje seznam požadovaných plně kvalifikovaných názvů domén a koncových bodů, které potřebujete povolit pro hostitele a uživatele relací.
Tyto plně kvalifikované názvy domén a koncové body můžou být blokované, pokud používáte bránu firewall, jako je Azure Firewall nebo služba proxy. Pokyny k používání proxy služby s Azure Virtual Desktopem najdete v pokynech ke službě Proxy pro Azure Virtual Desktop. Tento článek neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.
Pomocí postupu spuštění nástroje URL agenta služby Azure Virtual Desktop v rámci kontroly přístupu k požadovaným plně kvalifikovaným názvům domén a koncovým bodům pro Azure Virtual Desktop můžete zkontrolovat, že se virtuální počítače hostitele relace můžou připojit k těmto plně kvalifikovaným názvům domén a koncovým bodům. Nástroj URL agenta služby Azure Virtual Desktop ověří každý plně kvalifikovaný název domény a koncový bod a ukáže, jestli k nim mají přístup hostitelé relací.
Důležité
Microsoft nepodporuje nasazení služby Azure Virtual Desktop, kde jsou zablokované plně kvalifikované názvy domén a koncové body uvedené v tomto článku.
Virtuální počítače hostitele relace
Následující tabulka obsahuje seznam plně kvalifikovaných názvů domén a koncových bodů, ke které virtuální počítače hostitele relace potřebují přístup pro Azure Virtual Desktop. Všechny položky jsou odchozí; Pro Azure Virtual Desktop nemusíte otevírat příchozí porty. Na základě toho, který cloud používáte, vyberte příslušnou kartu.
Adresa | Protokol | Odchozí port | Účel | Značka služby |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ke službám Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Provoz služeb | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Provoz agenta Výstup diagnostiky |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Provoz agenta | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Aktivace Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Aktualizace zásobníku agenta a souběžného zásobníku (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Podpora webu Azure Portal | AzureCloud |
169.254.169.254 |
TCP | 80 | Koncový bod služby Azure Instance Metadata | – |
168.63.129.16 |
TCP | 80 | Monitorování stavu hostitele relace | – |
oneocsp.microsoft.com |
TCP | 80 | Certifikáty | – |
www.microsoft.com |
TCP | 80 | Certifikáty | – |
V následující tabulce jsou uvedeny volitelné plně kvalifikované názvy domén a koncové body, ke kterým může virtuální počítače hostitele relace potřebovat přístup i pro jiné služby:
Adresa | Protokol | Odchozí port | Účel | Značka služby |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Přihlášení ke službám Microsoft Online Services a Microsoftu 365 | – |
*.events.data.microsoft.com |
TCP | 443 | Služba telemetrie | – |
www.msftconnecttest.com |
TCP | 80 | Zjistí, jestli je hostitel relace připojený k internetu. | – |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | – |
*.sfx.ms |
TCP | 443 | Aktualizace klientského softwaru OneDrivu | – |
*.digicert.com |
TCP | 80 | Kontrola odvolání certifikátu | – |
*.azure-dns.com |
TCP | 443 | Překlad Azure DNS | – |
*.azure-dns.net |
TCP | 443 | Překlad Azure DNS | – |
*eh.servicebus.windows.net |
TCP | 443 | Nastavení diagnostiky | Centrum událostí |
Tento seznam nezahrnuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je Microsoft Entra ID, Office 365, vlastní poskytovatelé DNS nebo časové služby. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.
Tip
Pro plně kvalifikované názvy domén zahrnující provoz služeb musíte použít zástupný znak (*). Pokud u provozu agenta nechcete používat zástupný znak, tady je postup, jak najít konkrétní plně kvalifikované názvy domén, které chcete povolit:
- Ujistěte se, že jsou virtuální počítače hostitele relace zaregistrované ve fondu hostitelů.
- Na hostiteli relace otevřete Prohlížeč událostí a pak přejděte do části>Application WVD-Agent aplikace>windows a vyhledejte ID události 3701.
- Odblokujte plně kvalifikované názvy domén, které najdete v části s ID události 3701. Plně kvalifikované názvy domén v id události 3701 jsou specifické pro danou oblast. Tento proces budete muset opakovat s příslušnými plně kvalifikovanými názvy domén pro každou oblast Azure, ve které chcete nasadit virtuální počítače hostitele relace.
Značky služeb a značky plně kvalifikovaného názvu domény
Značka služby virtuální sítě představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Značky služeb je možné použít ve skupině zabezpečení sítě (NSG) i v pravidlech brány Azure Firewall k omezení odchozího síťového přístupu. Značky služeb se dají použít také v trasách definované uživatelem (UDR) k přizpůsobení chování směrování provozu.
Azure Firewall podporuje Azure Virtual Desktop jako značku plně kvalifikovaného názvu domény. Další informace najdete v tématu Použití služby Azure Firewall k ochraně nasazení služby Azure Virtual Desktop.
Ke zjednodušení konfigurace doporučujeme použít značky plně kvalifikovaného názvu domény nebo značky služeb. Uvedené plně kvalifikované názvy domén a koncové body a značky odpovídají pouze webům a prostředkům služby Azure Virtual Desktop. Nezahrnují plně kvalifikované názvy domén a koncové body pro jiné služby, jako je ID Microsoft Entra. Značky služeb pro jiné služby najdete v tématu Dostupné značky služeb.
Azure Virtual Desktop nemá seznam rozsahů IP adres, které můžete odblokovat místo plně kvalifikovaných názvů domén, abyste povolili síťový provoz. Pokud používáte bránu firewall nové generace (NGFW), musíte použít dynamický seznam určený pro IP adresy Azure, abyste se mohli připojit.
Zařízení koncových uživatelů
Jakékoli zařízení, na kterém se připojujete k Azure Virtual Desktopu pomocí jednoho z klientů vzdálené plochy, musí mít přístup k následujícím plně kvalifikovaným názvům domén a koncovým bodům. Povolení těchto plně kvalifikovaných názvů domén a koncovýchbodůch Blokování přístupu k těmto plně kvalifikovaným názvům domén a koncovým bodům není podporováno a má vliv na funkčnost služby.
Na základě toho, který cloud používáte, vyberte příslušnou kartu.
Adresa | Protokol | Odchozí port | Účel | Klienti |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Ověřování ke službám Microsoft Online Services | Všechny |
*.wvd.microsoft.com |
TCP | 443 | Provoz služeb | Všechny |
*.servicebus.windows.net |
TCP | 443 | Řešení potíží s daty | Všechny |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Všechny |
aka.ms |
TCP | 443 | Zkrácení adresy URL microsoftu | Všechny |
learn.microsoft.com |
TCP | 443 | Dokumentace | Všechny |
privacy.microsoft.com |
TCP | 443 | Prohlášení o ochraně osobních údajů | Všechny |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Stáhněte balíček MSI nebo MSIX a aktualizujte klienta. Vyžaduje se pro automatické aktualizace. | Desktopová verze Windows |
graph.microsoft.com |
TCP | 443 | Provoz služeb | Všechny |
windows.cloud.microsoft |
TCP | 443 | Centrum připojení | Všechny |
windows365.microsoft.com |
TCP | 443 | Provoz služeb | Všechny |
ecs.office.com |
TCP | 443 | Centrum připojení | Všechny |
Tyto plně kvalifikované názvy domén a koncové body odpovídají pouze klientským lokalitám a prostředkům. Tento seznam neobsahuje plně kvalifikované názvy domén a koncové body pro jiné služby, jako je MICROSOFT Entra ID nebo Office 365. Plně kvalifikované názvy domén a koncové body Microsoft Entra najdete v části s ID 56, 59 a 125 v adresách URL a rozsahech IP adres v Office 365.
Pokud jste v uzavřené síti s omezeným přístupem k internetu, možná budete muset povolit plně kvalifikované názvy domén uvedené tady pro kontroly certifikátů: Podrobnosti o certifikační autoritě Azure | Microsoft Learn.
Další kroky
Informace o odblokování těchto plně kvalifikovaných názvů domén a koncových bodů ve službě Azure Firewall najdete v tématu Použití služby Azure Firewall k ochraně služby Azure Virtual Desktop.
Další informace o síťovém připojení najdete v tématu Principy připojení k síti služby Azure Virtual Desktop.