FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop
Untuk menyebarkan Azure Virtual Desktop dan agar pengguna Terhubung, Anda harus mengizinkan FQDN dan titik akhir tertentu. Pengguna juga harus dapat terhubung ke FQDN dan titik akhir tertentu untuk mengakses sumber daya Azure Virtual Desktop mereka. Artikel ini mencantumkan FQDN dan titik akhir yang diperlukan yang perlu Anda izinkan untuk host sesi dan pengguna Anda.
FQDN dan titik akhir ini dapat diblokir jika Anda menggunakan firewall, seperti Azure Firewall, atau layanan proksi. Untuk panduan tentang menggunakan layanan proksi dengan Azure Virtual Desktop, lihat Panduan layanan proksi untuk Azure Virtual Desktop.
Anda dapat memeriksa apakah VM host sesi Anda dapat terhubung ke FQDN dan titik akhir ini dengan mengikuti langkah-langkah untuk menjalankan Alat URL Agen Azure Virtual Desktop di Memeriksa akses ke FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop. Alat URL Agen Azure Virtual Desktop memvalidasi setiap FQDN dan titik akhir dan menunjukkan apakah host sesi Anda dapat mengaksesnya.
Penting
Microsoft tidak mendukung penyebaran Azure Virtual Desktop di mana FQDN dan titik akhir yang tercantum dalam artikel ini diblokir.
Artikel ini tidak menyertakan FQDN dan titik akhir untuk layanan lain seperti ID Microsoft Entra, Office 365, penyedia DNS kustom, atau layanan waktu. Microsoft Entra FQDN dan titik akhir dapat ditemukan di bawah ID 56, 59, dan 125 di URL dan rentang alamat IP Office 365.
Tag layanan dan tag FQDN
Tag layanan mewakili grup awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Tag layanan dapat digunakan dalam aturan untuk Kelompok Keamanan Jaringan (NSG) dan Azure Firewall untuk membatasi akses jaringan keluar. Tag layanan juga dapat digunakan dalam Rute yang Ditentukan Pengguna (UDR) untuk menyesuaikan perilaku perutean lalu lintas.
Azure Firewall juga mendukung tag FQDN, yang mewakili sekelompok nama domain yang sepenuhnya memenuhi syarat (FQDN) yang terkait dengan Azure terkenal dan layanan Microsoft lainnya. Azure Virtual Desktop tidak memiliki daftar rentang alamat IP yang dapat Anda buka blokirnya alih-alih FQDN untuk mengizinkan lalu lintas jaringan. Jika Anda menggunakan Next Generation Firewall (NGFW), Anda perlu menggunakan daftar dinamis yang dibuat untuk alamat IP Azure untuk memastikan Anda dapat tersambung. Untuk informasi lebih lanjut, lihat Menggunakan Azure Firewall untuk melindungi penyebaran Azure Virtual Desktop.
Azure Virtual Desktop memiliki tag layanan dan entri tag FQDN yang tersedia. Sebaiknya gunakan tag layanan dan tag FQDN untuk menyederhanakan konfigurasi jaringan Azure Anda.
Mesin virtual host sesi
Tabel berikut adalah daftar FQDN dan titik akhir yang perlu diakses VM host sesi Anda untuk Azure Virtual Desktop. Semua entri keluar; Anda tidak perlu membuka port masuk untuk Azure Virtual Desktop. Pilih tab yang relevan berdasarkan cloud mana yang ingin di gunakan.
Alamat | Protokol | Port keluar | Tujuan | Tag layanan |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentikasi ke Microsoft Online Services | AzureActiveDirectory |
*.wvd.microsoft.com |
TCP | 443 | Lalu lintas layanan | WindowsVirtualDesktop |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Lalu lintas agen Output diagnostik |
AzureMonitor |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Lalu lintas agen | AzureMonitor |
azkms.core.windows.net |
TCP | 1688 | Aktivasi Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Pembaruan agen dan tumpukan berdampingan (SXS) | AzureStorage |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Dukungan portal Azure | AzureCloud |
169.254.169.254 |
TCP | 80 | Titik akhir layanan Azure Instance Metadata | T/A |
168.63.129.16 |
TCP | 80 | Pemantauan kesehatan host sesi | T/A |
oneocsp.microsoft.com |
TCP | 80 | Sertifikat | AzureFrontDoor.FirstParty |
www.microsoft.com |
TCP | 80 | Sertifikat | T/A |
Tabel berikut ini mencantumkan FQDN dan titik akhir opsional yang mungkin juga perlu diakses oleh komputer virtual host sesi Anda untuk layanan lain:
Alamat | Protokol | Port keluar | Tujuan | Tag layanan |
---|---|---|---|---|
login.windows.net |
TCP | 443 | Masuk ke Microsoft Online Services dan Microsoft 365 | AzureActiveDirectory |
*.events.data.microsoft.com |
TCP | 443 | Layanan Telemetri | T/A |
www.msftconnecttest.com |
TCP | 80 | Mendeteksi jika host sesi terhubung ke internet | T/A |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | T/A |
*.sfx.ms |
TCP | 443 | Pembaruan untuk perangkat lunak klien OneDrive | T/A |
*.digicert.com |
TCP | 80 | Pemeriksaan pencabutan sertifikat | T/A |
*.azure-dns.com |
TCP | 443 | Resolusi Azure DNS | T/A |
*.azure-dns.net |
TCP | 443 | Resolusi Azure DNS | T/A |
*eh.servicebus.windows.net |
TCP | 443 | Pengaturan diagnostik | EventHub |
Tip
Anda harus menggunakan karakter kartubebas (*) untuk FQDN yang melibatkan lalu lintas layanan.
Untuk lalu lintas agen, jika Anda lebih suka tidak menggunakan wildcard, berikut cara menemukan FQDN tertentu untuk memungkinkan:
- Pastikan host sesi Anda terdaftar ke kumpulan host.
- Pada host sesi, buka Penampil peristiwa, lalu buka Windows log>Aplikasi>WVD-Agent dan cari ID peristiwa 3701.
- Buka blokir FQDN yang Anda temukan di bawah ID peristiwa 3701. FQDN di bawah ID peristiwa 3701 adalah khusus wilayah. Anda perlu mengulangi proses ini dengan FQDN yang relevan untuk setiap wilayah Azure tempat Anda ingin menyebarkan host sesi Anda.
Perangkat pengguna akhir
Perangkat apa pun tempat Anda menggunakan salah satu klien Desktop Jauh untuk menyambungkan ke Azure Virtual Desktop harus memiliki akses ke FQDN dan titik akhir berikut. Mengizinkan FQDN dan titik akhir ini sangat penting untuk pengalaman klien yang andal. Memblokir akses ke FQDN dan titik akhir ini tidak didukung dan memengaruhi fungsionalitas layanan.
Pilih tab yang relevan berdasarkan cloud mana yang ingin di gunakan.
Alamat | Protokol | Port keluar | Tujuan | Klien |
---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Autentikasi ke Microsoft Online Services | Semua |
*.wvd.microsoft.com |
TCP | 443 | Lalu lintas layanan | Semua |
*.servicebus.windows.net |
TCP | 443 | Data pemecahan masalah | Semua |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | Semua |
aka.ms |
TCP | 443 | Penyingkat URL Microsoft | Semua |
learn.microsoft.com |
TCP | 443 | Dokumentasi | Semua |
privacy.microsoft.com |
TCP | 443 | Pernyataan privasi | Semua |
*.cdn.office.net |
TCP | 443 | Pembaruan otomatis | Desktop Windows |
graph.microsoft.com |
TCP | 443 | Lalu lintas layanan | Semua |
windows.cloud.microsoft |
TCP | 443 | Pusat koneksi | Semua |
windows365.microsoft.com |
TCP | 443 | Lalu lintas layanan | Semua |
ecs.office.com |
TCP | 443 | Pusat koneksi | Semua |
Jika Anda berada di jaringan tertutup dengan akses internet terbatas, Anda mungkin juga perlu mengizinkan FQDN yang tercantum di sini untuk pemeriksaan sertifikat: Detail Otoritas Sertifikat Azure | Microsoft Learn.
Langkah berikutnya
Periksa akses ke FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop.
Untuk mempelajari cara membuka blokir FQDN dan titik akhir ini di Azure Firewall, lihat Menggunakan Azure Firewall untuk melindungi Azure Virtual Desktop.
Untuk informasi selengkapnya tentang konektivitas jaringan, lihat Memahami konektivitas jaringan Azure Virtual Desktop