Erforderliche FQDNs und Endpunkte für Azure Virtual Desktop
Damit Sie Azure Virtual Desktop bereitstellen und Ihre Benutzer*innen eine Verbindung herstellen können, müssen Sie bestimmte vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN) und Endpunkte zulassen. Benutzer*innen müssen auch in der Lage sein, sich mit bestimmten FQDNs und Endpunkten zu verbinden, um auf ihre Azure Virtual Desktop-Ressourcen zuzugreifen. In diesem Artikel werden die erforderlichen FQDNs und Endpunkte aufgeführt, die Sie für Ihre Sitzungshosts und Benutzer*innen zulassen müssen.
Diese FQDNs und Endpunkte können blockiert werden, wenn Sie eine Firewall wie Azure Firewall oder einen Proxydienst verwenden. Einen Leitfaden zur Verwendung eines Proxydiensts mit Azure Virtual Desktop finden Sie unter Proxyserverrichtlinien für Azure Virtual Desktop.
Sie können überprüfen, ob Ihre Sitzungshost-VMs eine Verbindung mit diesen FQDNs und Endpunkten herstellen können, indem Sie die Schritte zum Ausführen des URL-Tools des Azure Virtual Desktop-Agents unter Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop ausführen. Das URL-Tool des Azure Virtual Desktop-Agents überprüft jeden FQDN und Endpunkt und zeigt an, ob Ihre Sitzungshosts auf diese zugreifen können.
Wichtig
Microsoft unterstützt keine Azure Virtual Desktop-Bereitstellungen, bei denen die in diesem Artikel aufgeführten FQDNs und Endpunkte blockiert sind.
Dieser Artikel enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.
Dienst-Tags und FQDN-Tags
Diensttags stehen für eine Gruppe von IP-Adresspräfixen von einem bestimmten Azure-Dienst. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert. Diensttags können in Regeln für Netzwerksicherheitsgruppen (NSG) und für Azure Firewall verwendet werden, um den ausgehenden Netzwerkzugriff einzuschränken. Diensttags können auch in benutzerdefinierten Routen (UDR) verwendet werden, um das Routing-Verhalten des Datenverkehrs anzupassen.
Azure Firewall unterstützt auch FQDN-Tags, die eine Gruppe vollqualifizierter Domänennamen (FQDNs) darstellen, die mit bekannten Azure- und anderen Microsoft-Diensten verknüpft sind. Azure Virtual Desktop verfügt nicht über eine Liste mit IP-Adressbereichen, die Sie anstelle von FQDNs entsperren können, um Netzwerkdatenverkehr zuzulassen. Wenn Sie eine Firewall der nächsten Generation (Next Generation Firewall, NGFW) verwenden, müssen Sie eine dynamische Liste verwenden, die für Azure-IP-Adressen erstellt wurde, um sicherzustellen, dass Sie eine Verbindung herstellen können. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen.
Azure Virtual Desktop verfügt sowohl über einen Diensttag als auch über einen FQDN-Tageintrag. Es wird empfohlen, Diensttags und FQDN-Tags zu verwenden, um Ihre Azure-Netzwerkkonfiguration zu vereinfachen.
Virtuelle Sitzungshost-Computer
In der folgenden Tabelle finden Sie die Liste der FQDNs und Endpunkte, die für Ihre Sitzungshost-VMs zugänglich sein müssen, um auf Azure Virtual Desktop zuzugreifen. Bei allen Einträgen handelt es sich um ausgehende Ports. Sie müssen keine eingehenden Ports für Azure Virtual Desktop öffnen. Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.
Adresse | Protokoll | Ausgehender Port | Purpose | Diensttag |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentifizierung bei Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Dienstdatenverkehr | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Agent-Datenverkehr Diagnoseausgabe |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Agent-Datenverkehr | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktivierung von Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Agent- und parallele (Side-by-Side, SXS) Stapelupdates | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Unterstützung des Azure-Portals | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure-Instanzmetadatendienst-Endpunkt | N/V |
168.63.129.16 |
TCP | 80 | Sitzungshost-Systemüberwachung | N/V |
oneocsp.microsoft.com |
TCP | 80 | Zertifikate | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Zertifikate | N/V |
In der folgenden Tabelle sind optionale FQDNs und Endpunkte aufgeführt, auf die Ihre Sitzungshost-VMs möglicherweise für andere Dienste ebenfalls zugreifen müssen:
Adresse | Protokoll | Ausgehender Port | Purpose | Diensttag |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Anmelden bei Microsoft Online Services und Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Telemetriedienst | N/V |
www.msftconnecttest.com |
TCP | 80 | Ermittelt, ob der Sitzungshost mit dem Internet verbunden ist. | N/V |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/V |
*.sfx.ms |
TCP | 443 | Updates für die OneDrive-Clientsoftware | N/V |
*.digicert.com |
TCP | 80 | Überprüfung der Zertifikatsperre | N/V |
*.azure-dns.com |
TCP | 443 | Azure DNS-Auflösung | N/V |
*.azure-dns.net |
TCP | 443 | Azure DNS-Auflösung | N/V |
*eh.servicebus.windows.net |
TCP | 443 | Diagnoseeinstellungen | EventHub |
Tipp
Sie müssen das Platzhalterzeichen (*) für FQDNs für Dienstdatenverkehr verwenden.
Falls Sie für Agent-Datenverkehr kein Platzhalterzeichen verwenden, können Sie spezifische FQDNs, die zugelassen werden müssen, wie folgt ermitteln:
- Stellen Sie sicher, dass Ihre Sitzungshosts in einem Hostpool registriert sind.
- Öffnen Sie auf einem Sitzungshost die Ereignisanzeige, navigieren Sie zu Windows-Protokolle>Anwendung>WVD-Agent, und suchen Sie nach der Ereignis-ID 3701.
- Heben Sie die Blockierung von FQDNs auf, die Sie unter der Ereignis-ID 3701 finden. Die FQDNs unter der Ereignis-ID 3701 sind regionsspezifisch. Sie müssen diesen Vorgang mit den entsprechenden FQDNs für jede Azure-Region wiederholen, in der Sie Ihre Sitzungshosts bereitstellen möchten.
Endbenutzergeräte
Alle Geräte, auf denen Sie mit einem der Remotedesktopclients eine Verbindung mit Azure Virtual Desktop herstellen, müssen auf die folgenden FQDNs und Endpunkte zugreifen können. Das Zulassen dieser FQDNs und Endpunkte ist für einen zuverlässigen Clientbetrieb von entscheidender Bedeutung. Das Blockieren des Zugriffs auf diese FQDNs und Endpunkte wird nicht unterstützt und beeinträchtigt die Dienstfunktionalität.
Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.
Adresse | Protokoll | Ausgehender Port | Purpose | Client(s) |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentifizierung bei Microsoft Online Services | All |
*.wvd.microsoft.com |
TCP | 443 | Dienstdatenverkehr | All |
*.servicebus.windows.net |
TCP | 443 | Problembehandlung für Daten | All |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | All |
aka.ms |
TCP | 443 | Microsoft-URL-Verkürzung | All |
learn.microsoft.com |
TCP | 443 | Dokumentation | All |
privacy.microsoft.com |
TCP | 443 | Datenschutzbestimmungen | All |
*.cdn.office.net |
TCP | 443 | Automatische Aktualisierungen | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Dienstdatenverkehr | All |
windows.cloud.microsoft |
TCP | 443 | Verbindungscenter | Alle |
windows365.microsoft.com |
TCP | 443 | Dienstdatenverkehr | All |
ecs.office.com |
TCP | 443 | Verbindungscenter | Alle |
Wenn Sie sich in einem geschlossenen Netzwerk mit eingeschränktem Internetzugriff befinden, müssen Sie möglicherweise auch die hier aufgeführten FQDNs für Zertifikatsüberprüfungen zulassen: Details zur Azure-Zertifizierungsstelle | Microsoft Learn.
Nächste Schritte
Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop
Informationen dazu, wie Sie die Blockierung dieser FQDNs und Endpunkte in Azure aufheben, finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop.
Weitere Informationen zur Netzwerkkonnektivität finden Sie unter Grundlegendes zur Azure Virtual Desktop-Netzwerkkonnektivität