Freigeben über


Erforderliche FQDNs und Endpunkte für Azure Virtual Desktop

Damit Sie Azure Virtual Desktop bereitstellen und Ihre Benutzer*innen eine Verbindung herstellen können, müssen Sie bestimmte vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN) und Endpunkte zulassen. Benutzer*innen müssen auch in der Lage sein, sich mit bestimmten FQDNs und Endpunkten zu verbinden, um auf ihre Azure Virtual Desktop-Ressourcen zuzugreifen. In diesem Artikel werden die erforderlichen FQDNs und Endpunkte aufgeführt, die Sie für Ihre Sitzungshosts und Benutzer*innen zulassen müssen.

Diese FQDNs und Endpunkte können blockiert werden, wenn Sie eine Firewall wie Azure Firewall oder einen Proxydienst verwenden. Einen Leitfaden zur Verwendung eines Proxydiensts mit Azure Virtual Desktop finden Sie unter Proxyserverrichtlinien für Azure Virtual Desktop.

Sie können überprüfen, ob Ihre Sitzungshost-VMs eine Verbindung mit diesen FQDNs und Endpunkten herstellen können, indem Sie die Schritte zum Ausführen des URL-Tools des Azure Virtual Desktop-Agents unter Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop ausführen. Das URL-Tool des Azure Virtual Desktop-Agents überprüft jeden FQDN und Endpunkt und zeigt an, ob Ihre Sitzungshosts auf diese zugreifen können.

Wichtig

  • Microsoft unterstützt keine Azure Virtual Desktop-Bereitstellungen, bei denen die in diesem Artikel aufgeführten FQDNs und Endpunkte blockiert sind.

  • Dieser Artikel enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.

Dienst-Tags und FQDN-Tags

Diensttags stehen für eine Gruppe von IP-Adresspräfixen von einem bestimmten Azure-Dienst. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert. Diensttags können in Regeln für Netzwerksicherheitsgruppen (NSG) und für Azure Firewall verwendet werden, um den ausgehenden Netzwerkzugriff einzuschränken. Diensttags können auch in benutzerdefinierten Routen (UDR) verwendet werden, um das Routing-Verhalten des Datenverkehrs anzupassen.

Azure Firewall unterstützt auch FQDN-Tags, die eine Gruppe vollqualifizierter Domänennamen (FQDNs) darstellen, die mit bekannten Azure- und anderen Microsoft-Diensten verknüpft sind. Azure Virtual Desktop verfügt nicht über eine Liste mit IP-Adressbereichen, die Sie anstelle von FQDNs entsperren können, um Netzwerkdatenverkehr zuzulassen. Wenn Sie eine Firewall der nächsten Generation (Next Generation Firewall, NGFW) verwenden, müssen Sie eine dynamische Liste verwenden, die für Azure-IP-Adressen erstellt wurde, um sicherzustellen, dass Sie eine Verbindung herstellen können. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen.

Azure Virtual Desktop verfügt sowohl über einen Diensttag als auch über einen FQDN-Tageintrag. Es wird empfohlen, Diensttags und FQDN-Tags zu verwenden, um Ihre Azure-Netzwerkkonfiguration zu vereinfachen.

Virtuelle Sitzungshost-Computer

In der folgenden Tabelle finden Sie die Liste der FQDNs und Endpunkte, die für Ihre Sitzungshost-VMs zugänglich sein müssen, um auf Azure Virtual Desktop zuzugreifen. Bei allen Einträgen handelt es sich um ausgehende Ports. Sie müssen keine eingehenden Ports für Azure Virtual Desktop öffnen. Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.

Adresse Protokoll Ausgehender Port Purpose Diensttag
login.microsoftonline.com TCP 443 Authentifizierung bei Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Dienstdatenverkehr WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Agent-Datenverkehr
Diagnoseausgabe
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Agent-Datenverkehr AzureMonitor
azkms.core.windows.net TCP 1688 Aktivierung von Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Agent- und parallele (Side-by-Side, SXS) Stapelupdates AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Unterstützung des Azure-Portals AzureCloud
169.254.169.254 TCP 80 Azure-Instanzmetadatendienst-Endpunkt N/V
168.63.129.16 TCP 80 Sitzungshost-Systemüberwachung N/V
oneocsp.microsoft.com TCP 80 Zertifikate AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Zertifikate N/V

In der folgenden Tabelle sind optionale FQDNs und Endpunkte aufgeführt, auf die Ihre Sitzungshost-VMs möglicherweise für andere Dienste ebenfalls zugreifen müssen:

Adresse Protokoll Ausgehender Port Purpose Diensttag
login.windows.net TCP 443 Anmelden bei Microsoft Online Services und Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Telemetriedienst N/V
www.msftconnecttest.com TCP 80 Ermittelt, ob der Sitzungshost mit dem Internet verbunden ist. N/V
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update N/V
*.sfx.ms TCP 443 Updates für die OneDrive-Clientsoftware N/V
*.digicert.com TCP 80 Überprüfung der Zertifikatsperre N/V
*.azure-dns.com TCP 443 Azure DNS-Auflösung N/V
*.azure-dns.net TCP 443 Azure DNS-Auflösung N/V
*eh.servicebus.windows.net TCP 443 Diagnoseeinstellungen EventHub

Tipp

Sie müssen das Platzhalterzeichen (*) für FQDNs für Dienstdatenverkehr verwenden.

Falls Sie für Agent-Datenverkehr kein Platzhalterzeichen verwenden, können Sie spezifische FQDNs, die zugelassen werden müssen, wie folgt ermitteln:

  1. Stellen Sie sicher, dass Ihre Sitzungshosts in einem Hostpool registriert sind.
  2. Öffnen Sie auf einem Sitzungshost die Ereignisanzeige, navigieren Sie zu Windows-Protokolle>Anwendung>WVD-Agent, und suchen Sie nach der Ereignis-ID 3701.
  3. Heben Sie die Blockierung von FQDNs auf, die Sie unter der Ereignis-ID 3701 finden. Die FQDNs unter der Ereignis-ID 3701 sind regionsspezifisch. Sie müssen diesen Vorgang mit den entsprechenden FQDNs für jede Azure-Region wiederholen, in der Sie Ihre Sitzungshosts bereitstellen möchten.

Endbenutzergeräte

Alle Geräte, auf denen Sie mit einem der Remotedesktopclients eine Verbindung mit Azure Virtual Desktop herstellen, müssen auf die folgenden FQDNs und Endpunkte zugreifen können. Das Zulassen dieser FQDNs und Endpunkte ist für einen zuverlässigen Clientbetrieb von entscheidender Bedeutung. Das Blockieren des Zugriffs auf diese FQDNs und Endpunkte wird nicht unterstützt und beeinträchtigt die Dienstfunktionalität.

Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.

Adresse Protokoll Ausgehender Port Purpose Client(s)
login.microsoftonline.com TCP 443 Authentifizierung bei Microsoft Online Services All
*.wvd.microsoft.com TCP 443 Dienstdatenverkehr All
*.servicebus.windows.net TCP 443 Problembehandlung für Daten All
go.microsoft.com TCP 443 Microsoft FWLinks All
aka.ms TCP 443 Microsoft-URL-Verkürzung All
learn.microsoft.com TCP 443 Dokumentation All
privacy.microsoft.com TCP 443 Datenschutzbestimmungen All
*.cdn.office.net TCP 443 Automatische Aktualisierungen Windows Desktop
graph.microsoft.com TCP 443 Dienstdatenverkehr All
windows.cloud.microsoft TCP 443 Verbindungscenter Alle
windows365.microsoft.com TCP 443 Dienstdatenverkehr All
ecs.office.com TCP 443 Verbindungscenter Alle

Wenn Sie sich in einem geschlossenen Netzwerk mit eingeschränktem Internetzugriff befinden, müssen Sie möglicherweise auch die hier aufgeführten FQDNs für Zertifikatsüberprüfungen zulassen: Details zur Azure-Zertifizierungsstelle | Microsoft Learn.

Nächste Schritte