Bagikan melalui


FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop

Untuk menyebarkan Azure Virtual Desktop dan agar pengguna Terhubung, Anda harus mengizinkan FQDN dan titik akhir tertentu. Pengguna juga harus dapat terhubung ke FQDN dan titik akhir tertentu untuk mengakses sumber daya Azure Virtual Desktop mereka. Artikel ini mencantumkan FQDN dan titik akhir yang diperlukan yang perlu Anda izinkan untuk host sesi dan pengguna Anda.

FQDN dan titik akhir ini dapat diblokir jika Anda menggunakan firewall, seperti Azure Firewall, atau layanan proksi. Untuk panduan tentang menggunakan layanan proksi dengan Azure Virtual Desktop, lihat Panduan layanan proksi untuk Azure Virtual Desktop.

Anda dapat memeriksa apakah VM host sesi Anda dapat terhubung ke FQDN dan titik akhir ini dengan mengikuti langkah-langkah untuk menjalankan Alat URL Agen Azure Virtual Desktop di Memeriksa akses ke FQDN dan titik akhir yang diperlukan untuk Azure Virtual Desktop. Alat URL Agen Azure Virtual Desktop memvalidasi setiap FQDN dan titik akhir dan menunjukkan apakah host sesi Anda dapat mengaksesnya.

Penting

  • Microsoft tidak mendukung penyebaran Azure Virtual Desktop di mana FQDN dan titik akhir yang tercantum dalam artikel ini diblokir.

  • Artikel ini tidak menyertakan FQDN dan titik akhir untuk layanan lain seperti ID Microsoft Entra, Office 365, penyedia DNS kustom, atau layanan waktu. Microsoft Entra FQDN dan titik akhir dapat ditemukan di bawah ID 56, 59, dan 125 di URL dan rentang alamat IP Office 365.

Tag layanan dan tag FQDN

Tag layanan mewakili grup awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Tag layanan dapat digunakan dalam aturan untuk Kelompok Keamanan Jaringan (NSG) dan Azure Firewall untuk membatasi akses jaringan keluar. Tag layanan juga dapat digunakan dalam Rute yang Ditentukan Pengguna (UDR) untuk menyesuaikan perilaku perutean lalu lintas.

Azure Firewall juga mendukung tag FQDN, yang mewakili sekelompok nama domain yang sepenuhnya memenuhi syarat (FQDN) yang terkait dengan Azure terkenal dan layanan Microsoft lainnya. Azure Virtual Desktop tidak memiliki daftar rentang alamat IP yang dapat Anda buka blokirnya alih-alih FQDN untuk mengizinkan lalu lintas jaringan. Jika Anda menggunakan Next Generation Firewall (NGFW), Anda perlu menggunakan daftar dinamis yang dibuat untuk alamat IP Azure untuk memastikan Anda dapat tersambung. Untuk informasi lebih lanjut, lihat Menggunakan Azure Firewall untuk melindungi penyebaran Azure Virtual Desktop.

Azure Virtual Desktop memiliki tag layanan dan entri tag FQDN yang tersedia. Sebaiknya gunakan tag layanan dan tag FQDN untuk menyederhanakan konfigurasi jaringan Azure Anda.

Mesin virtual host sesi

Tabel berikut adalah daftar FQDN dan titik akhir yang perlu diakses VM host sesi Anda untuk Azure Virtual Desktop. Semua entri keluar; Anda tidak perlu membuka port masuk untuk Azure Virtual Desktop. Pilih tab yang relevan berdasarkan cloud mana yang ingin di gunakan.

Alamat Protokol Port keluar Tujuan Tag layanan
login.microsoftonline.com TCP 443 Autentikasi ke Microsoft Online Services AzureActiveDirectory
*.wvd.microsoft.com TCP 443 Lalu lintas layanan WindowsVirtualDesktop
catalogartifact.azureedge.net TCP 443 Azure Marketplace AzureFrontDoor.Frontend
*.prod.warm.ingest.monitor.core.windows.net TCP 443 Lalu lintas agen
Output diagnostik
AzureMonitor
gcs.prod.monitoring.core.windows.net TCP 443 Lalu lintas agen AzureMonitor
azkms.core.windows.net TCP 1688 Aktivasi Windows Internet
mrsglobalsteus2prod.blob.core.windows.net TCP 443 Pembaruan agen dan tumpukan berdampingan (SXS) AzureStorage
wvdportalstorageblob.blob.core.windows.net TCP 443 Dukungan portal Azure AzureCloud
169.254.169.254 TCP 80 Titik akhir layanan Azure Instance Metadata T/A
168.63.129.16 TCP 80 Pemantauan kesehatan host sesi T/A
oneocsp.microsoft.com TCP 80 Sertifikat AzureFrontDoor.FirstParty
www.microsoft.com TCP 80 Sertifikat T/A

Tabel berikut ini mencantumkan FQDN dan titik akhir opsional yang mungkin juga perlu diakses oleh komputer virtual host sesi Anda untuk layanan lain:

Alamat Protokol Port keluar Tujuan Tag layanan
login.windows.net TCP 443 Masuk ke Microsoft Online Services dan Microsoft 365 AzureActiveDirectory
*.events.data.microsoft.com TCP 443 Layanan Telemetri T/A
www.msftconnecttest.com TCP 80 Mendeteksi jika host sesi terhubung ke internet T/A
*.prod.do.dsp.mp.microsoft.com TCP 443 Windows Update T/A
*.sfx.ms TCP 443 Pembaruan untuk perangkat lunak klien OneDrive T/A
*.digicert.com TCP 80 Pemeriksaan pencabutan sertifikat T/A
*.azure-dns.com TCP 443 Resolusi Azure DNS T/A
*.azure-dns.net TCP 443 Resolusi Azure DNS T/A
*eh.servicebus.windows.net TCP 443 Pengaturan diagnostik EventHub

Tip

Anda harus menggunakan karakter kartubebas (*) untuk FQDN yang melibatkan lalu lintas layanan.

Untuk lalu lintas agen, jika Anda lebih suka tidak menggunakan wildcard, berikut cara menemukan FQDN tertentu untuk memungkinkan:

  1. Pastikan host sesi Anda terdaftar ke kumpulan host.
  2. Pada host sesi, buka Penampil peristiwa, lalu buka Windows log>Aplikasi>WVD-Agent dan cari ID peristiwa 3701.
  3. Buka blokir FQDN yang Anda temukan di bawah ID peristiwa 3701. FQDN di bawah ID peristiwa 3701 adalah khusus wilayah. Anda perlu mengulangi proses ini dengan FQDN yang relevan untuk setiap wilayah Azure tempat Anda ingin menyebarkan host sesi Anda.

Perangkat pengguna akhir

Perangkat apa pun tempat Anda menggunakan salah satu klien Desktop Jauh untuk menyambungkan ke Azure Virtual Desktop harus memiliki akses ke FQDN dan titik akhir berikut. Mengizinkan FQDN dan titik akhir ini sangat penting untuk pengalaman klien yang andal. Memblokir akses ke FQDN dan titik akhir ini tidak didukung dan memengaruhi fungsionalitas layanan.

Pilih tab yang relevan berdasarkan cloud mana yang ingin di gunakan.

Alamat Protokol Port keluar Tujuan Klien
login.microsoftonline.com TCP 443 Autentikasi ke Microsoft Online Services Semua
*.wvd.microsoft.com TCP 443 Lalu lintas layanan Semua
*.servicebus.windows.net TCP 443 Data pemecahan masalah Semua
go.microsoft.com TCP 443 Microsoft FWLinks Semua
aka.ms TCP 443 Penyingkat URL Microsoft Semua
learn.microsoft.com TCP 443 Dokumentasi Semua
privacy.microsoft.com TCP 443 Pernyataan privasi Semua
*.cdn.office.net TCP 443 Pembaruan otomatis Desktop Windows
graph.microsoft.com TCP 443 Lalu lintas layanan Semua
windows.cloud.microsoft TCP 443 Pusat koneksi Semua
windows365.microsoft.com TCP 443 Lalu lintas layanan Semua
ecs.office.com TCP 443 Pusat koneksi Semua

Jika Anda berada di jaringan tertutup dengan akses internet terbatas, Anda mungkin juga perlu mengizinkan FQDN yang tercantum di sini untuk pemeriksaan sertifikat: Detail Otoritas Sertifikat Azure | Microsoft Learn.

Langkah berikutnya