FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop
Untuk menyebarkan Azure Virtual Desktop dan agar pengguna Terhubung, Anda harus mengizinkan FQDN dan titik akhir tertentu. Pengguna juga harus dapat terhubung ke FQDN dan titik akhir tertentu untuk mengakses sumber daya Azure Virtual Desktop mereka. Artikel ini mencantumkan FQDN dan titik akhir yang diperlukan yang perlu Anda izinkan untuk host sesi dan pengguna Anda.
FQDN dan titik akhir ini dapat diblokir jika Anda menggunakan firewall, seperti Azure Firewall, atau layanan proksi. Untuk panduan tentang menggunakan layanan proksi dengan Azure Virtual Desktop, lihat Panduan layanan proksi untuk Azure Virtual Desktop. Artikel ini tidak menyertakan FQDN dan titik akhir untuk layanan lain seperti ID Microsoft Entra, Office 365, penyedia DNS kustom, atau layanan waktu. Microsoft Entra FQDN dan titik akhir dapat ditemukan di bawah ID 56, 59, dan 125 di URL dan rentang alamat IP Office 365.
Anda dapat memeriksa apakah VM host sesi Anda dapat terhubung ke FQDN dan titik akhir ini dengan mengikuti langkah-langkah untuk menjalankan Alat URL Agen Azure Virtual Desktop di Memeriksa akses ke FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop. Alat URL Agen Azure Virtual Desktop memvalidasi setiap FQDN dan titik akhir dan menunjukkan apakah host sesi Anda dapat mengaksesnya.
Penting
Microsoft tidak mendukung penyebaran Azure Virtual Desktop di mana FQDN dan titik akhir yang tercantum dalam artikel ini diblokir.
Mesin virtual host sesi
Tabel berikut adalah daftar FQDN dan titik akhir yang perlu diakses VM host sesi Anda untuk Azure Virtual Desktop. Semua entri keluar; Anda tidak perlu membuka port masuk untuk Azure Virtual Desktop. Pilih tab yang relevan berdasarkan cloud mana yang ingin di gunakan.
| Alamat | Protokol | Port keluar | Tujuan | Tag layanan |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentikasi ke Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Lalu lintas layanan | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Lalu lintas agen Output diagnostik |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Lalu lintas agen | AzureCloud |
kms.core.windows.net |
TCP | 1688 | Aktivasi Windows | Internet |
azkms.core.windows.net |
TCP | 1688 | Aktivasi Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Pembaruan agen dan tumpukan berdampingan (SXS) | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Dukungan portal Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Titik akhir layanan Azure Instance Metadata | T/A |
168.63.129.16 |
TCP | 80 | Pemantauan kesehatan host sesi | T/A |
oneocsp.microsoft.com |
TCP | 80 | Sertifikat | T/A |
www.microsoft.com |
TCP | 80 | Sertifikat | T/A |
Tabel berikut ini mencantumkan FQDN dan titik akhir opsional yang mungkin juga perlu diakses oleh komputer virtual host sesi Anda untuk layanan lain:
| Alamat | Protokol | Port keluar | Tujuan |
|---|---|---|---|
login.windows.net |
TCP | 443 | Masuk ke Microsoft Online Services dan Microsoft 365 |
*.events.data.microsoft.com |
TCP | 443 | Layanan Telemetri |
www.msftconnecttest.com |
TCP | 80 | Mendeteksi jika host sesi terhubung ke internet |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update |
*.sfx.ms |
TCP | 443 | Pembaruan untuk perangkat lunak klien OneDrive |
*.digicert.com |
TCP | 80 | Pemeriksaan pencabutan sertifikat |
*.azure-dns.com |
TCP | 443 | Resolusi Azure DNS |
*.azure-dns.net |
TCP | 443 | Resolusi Azure DNS |
*eh.servicebus.windows.net |
TCP | 443 | Pengaturan diagnostik |
Daftar ini tidak menyertakan FQDN dan titik akhir untuk layanan lain seperti ID Microsoft Entra, Office 365, penyedia DNS kustom, atau layanan waktu. Microsoft Entra FQDN dan titik akhir dapat ditemukan di bawah ID 56, 59, dan 125 di URL dan rentang alamat IP Office 365.
Tip
Anda harus menggunakan karakter kartubebas (*) untuk FQDN yang melibatkan lalu lintas layanan. Untuk lalu lintas agen, jika Anda lebih suka tidak menggunakan wildcard, berikut cara menemukan FQDN tertentu untuk memungkinkan:
- Pastikan komputer virtual host sesi Anda didaftarkan ke kumpulan host.
- Pada host sesi, buka Penampil peristiwa, lalu buka Windows log>Aplikasi>WVD-Agent dan cari ID peristiwa 3701.
- Buka blokir FQDN yang Anda temukan di bawah ID peristiwa 3701. FQDN di bawah ID peristiwa 3701 adalah khusus wilayah. Anda harus mengulangi proses ini dengan FQDN yang relevan untuk setiap wilayah Azure tempat Anda ingin menyebarkan komputer virtual host sesi Anda.
Tag layanan dan tag FQDN
Tag layanan mewakili sekelompok prefiks alamat IP yang berasal dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Tag Layanan dapat digunakan di dalam aturan Network Security Group (NSG) serta Azure Firewall untuk membatasi akses jaringan keluar. Tag Layanan juga dapat digunakan di dalam User Defined Route (UDR) untuk menyesuaikan perilaku perutean lalu lintas.
Azure Firewall mendukung Azure Virtual Desktop sebagai tag FQDN. Untuk informasi lebih lanjut, lihat Menggunakan Azure Firewall untuk melindungi penyebaran Azure Virtual Desktop.
Sebaiknya gunakan tag FQDN atau tag layanan untuk menyederhanakan konfigurasi. FQDN dan titik akhir dan tag yang tercantum hanya sesuai dengan situs dan sumber daya Azure Virtual Desktop. Mereka tidak menyertakan FQDN dan titik akhir untuk layanan lain seperti ID Microsoft Entra. Untuk tag layanan untuk layanan lain, lihat Tag layanan yang tersedia.
Azure Virtual Desktop tidak memiliki daftar rentang alamat IP yang dapat Anda buka blokirnya alih-alih FQDN untuk mengizinkan lalu lintas jaringan. Jika Anda menggunakan Next Generation Firewall (NGFW), Anda perlu menggunakan daftar dinamis yang dibuat untuk alamat IP Azure untuk memastikan Anda dapat tersambung.
Perangkat pengguna akhir
Perangkat apa pun tempat Anda menggunakan salah satu klien Desktop Jauh untuk menyambungkan ke Azure Virtual Desktop harus memiliki akses ke FQDN dan titik akhir berikut. Mengizinkan FQDN dan titik akhir ini sangat penting untuk pengalaman klien yang andal. Memblokir akses ke FQDN dan titik akhir ini tidak didukung dan memengaruhi fungsionalitas layanan.
Pilih tab yang relevan berdasarkan cloud mana yang ingin di gunakan.
| Alamat | Protokol | Port keluar | Tujuan | Klien |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentikasi ke Microsoft Online Services | Semua |
*.wvd.microsoft.com |
TCP | 443 | Lalu lintas layanan | Semua |
*.servicebus.windows.net |
TCP | 443 | Data pemecahan masalah | Semua |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Semua |
aka.ms |
TCP | 443 | Penyingkat URL Microsoft | Semua |
learn.microsoft.com |
TCP | 443 | Dokumentasi | Semua |
privacy.microsoft.com |
TCP | 443 | Pernyataan privasi | Semua |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Unduh MSI untuk memperbarui klien. Diperlukan untuk pembaruan otomatis. | Desktop Windows |
FQDN dan titik akhir ini hanya sesuai dengan situs dan sumber daya klien. Daftar ini tidak menyertakan FQDN dan titik akhir untuk layanan lain seperti ID Microsoft Entra atau Office 365. Microsoft Entra FQDN dan titik akhir dapat ditemukan di bawah ID 56, 59, dan 125 di URL dan rentang alamat IP Office 365.
Langkah berikutnya
Periksa akses ke FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop.
Untuk mempelajari cara membuka blokir FQDN dan titik akhir ini di Azure Firewall, lihat Menggunakan Azure Firewall untuk melindungi Azure Virtual Desktop.
Untuk informasi selengkapnya tentang konektivitas jaringan, lihat Memahami konektivitas jaringan Azure Virtual Desktop