Azure 虚拟桌面所需的 FQDN 和终结点
若要部署 Azure 虚拟桌面并使用户能够进行连接,必须允许特定的 FQDN 和终结点。 用户还必须能够连接到某些 FQDN 和终结点才能访问其 Azure 虚拟桌面资源。 本文列出了需要为会话主机和用户允许的必需 FQDN 和终结点。
如果你使用防火墙(例如 Azure 防火墙)或代理服务,则可能会阻止这些 FQDN 和终结点。 有关将代理服务与 Azure 虚拟桌面配合使用的指导,请参阅 Azure 虚拟桌面的代理服务准则。
重要
Microsoft 不支持阻止了本文中列出的 FQDN 和终结点的 Azure 虚拟桌面部署。
本文不包括其他服务的 FQDN 和终结点,例如 Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 可在 Office 365 URL 和 IP 地址范围的 ID 10 下找到 Microsoft Entra FQDN 和终结点。
服务标记和 FQDN 标记
服务标记表示来自给定 Azure 服务的 IP 地址前缀组。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。 可在网络安全组 (NSG) 和 Azure 防火墙规则中使用服务标记来限制出站网络访问。 还可以在用户定义的路由 (UDR) 中使用服务标记来自定义流量路由行为。
Azure 防火墙还支持 FQDN 标记,该标记表示与已知的 Azure 和其他 Microsoft 服务关联的一组完全限定的域名 (FQDN)。 Azure 虚拟桌面没有你可以取消阻止的 IP 地址范围列表,而是依赖于 FQDN 来允许网络流量。 如果使用的是下一代防火墙 (NGFW),则需要使用为 Azure IP 地址创建的动态列表来确保你可以进行连接。 有关详细信息,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面部署。
Azure 虚拟桌面同时提供服务标记和 FQDN 标记条目。 建议使用服务标记和 FQDN 标记来简化 Azure 网络配置。
会话主机虚拟机
下表列出了会话主机 VM 需要访问的用于 Azure 虚拟桌面的 FQDN 和终结点。 所有条目都是出站的;你不需要打开 Azure 虚拟桌面的入站端口。
地址 | 出站 TCP 端口 | 目的 | 服务标记 |
---|---|---|---|
login.partner.microsoftonline.cn |
443 | 向 Microsoft Online Services 进行身份验证 | |
*.wvd.azure.cn | 443 | 服务流量 | WindowsVirtualDesktop |
mooncake.warmpath.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
monitoring.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
*xt.blob.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
*.servicebus.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
*xt.table.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
*xt.queue.core.chinacloudapi.cn | 443 | 代理流量 | AzureCloud |
kms.core.chinacloudapi.cn | 1688 | Windows 激活 | Internet |
mrsglobalstcne2mc.blob.core.chinacloudapi.cn | 443 | 代理和 SXS 堆栈更新 | AzureCloud |
wvdportalcontainer.blob.core.chinacloudapi.cn | 443 | Azure 门户支持 | AzureCloud |
169.254.169.254 | 80 | Azure 实例元数据服务终结点 | 不适用 |
168.63.129.16 | 80 | 会话主机运行状况监视 | 不适用 |
crl.digincert.cn | 443 | 证书 | 空值 |
microsoft.com | 443 | 证书 | 空值 |
*.prod.warm.ingest.monitor.core.chinacloudapi.cn | 443 | 代理流量 |
重要
我们已完成对用于代理流量的 URL 的转换。 我们不再支持以下 URL。 为防止会话主机 VM 因此而显示“需要协助”状态,你必须允许 URL *.prod.warm.ingest.monitor.core.chinacloudapi.cn
(如果尚未允许)。 如果在更改之前已显式允许以下 URL,还应删除这些 URL:
地址 | 出站 TCP 端口 | 目的 | 服务标记 |
---|---|---|---|
production.diagnostics.monitoring.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*xt.blob.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*eh.servicebus.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*xt.table.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
*xt.queue.core.chinacloudapi.cn |
443 | 代理流量 | AzureCloud |
下表列出了会话主机虚拟机可能还需要访问的用于其他服务的可选 FQDN 和终结点:
地址 | 出站 TCP 端口 | 目的 | Azure 云世纪互联 |
---|---|---|---|
*.chinacloudapi.cn | 443 | 对 Azure Online Services 进行的身份验证 | login.chinacloudapi.cn |
*.events.data.microsoft.com | 443 | 遥测服务 | 无 |
www.msftconnecttest.com | 443 | 检测 OS 是否已连接到 Internet | 无 |
*.prod.do.dsp.mp.microsoft.com | 443 | Windows 更新 | 无 |
*.sfx.ms | 443 | OneDrive 客户端软件更新 | oneclient.sfx.ms |
*.digicert.com | 443 | 证书吊销检查 | 无 |
*.azure-dns.com | 443 | Azure DNS 解析 | 无 |
*.azure-dns.net | 443 | Azure DNS 解析 | 无 |
提示
对于涉及服务流量的 FQDN,你必须使用通配符 (*)。
对于代理流量,如果不想使用通配符,下面介绍了如何查找要允许的特定 FQDN:
- 确保会话主机已注册到主机池。
- 在会话主机上,打开“事件查看器”,转到“Windows 日志”>“应用程序”>“WVD-Agent”,查找事件 ID 3701。
- 取消阻止在事件 ID 3701 下找到的 FQDN。 事件 ID 3701 下的 FQDN 是特定于区域的。 你需要对要在其中部署会话主机的每个 Azure 区域的相关 FQDN 重复此过程。
最终用户设备
你在其上使用远程桌面客户端之一连接到 Azure 虚拟桌面的任何设备都必须可以访问以下 FQDN 和终结点。 若要获得可靠的客户端体验,必须打开这些 FQDN 和终结点。 不支持阻止访问这些 FQDN 和终结点,否则会影响服务功能。
地址 | 出站 TCP 端口 | 目的 | 客户端 | 由世纪互联运营的 Microsoft Azure |
---|---|---|---|---|
*.wvd.azure.cn | 443 | 服务流量 | All | *.wvd.azure.cn |
*.servicebus.chinacloudapi.cn | 443 | 排查数据问题 | All | *.servicebus.chinacloudapi.cn |
go.microsoft.com | 443 | Microsoft FWLink | All | 无 |
aka.ms | 443 | Microsoft URL 缩短符 | All | 无 |
learn.microsoft.com | 443 | 文档 | All | 无 |
privacy.microsoft.com | 443 | 隐私声明 | All | 无 |
query.prod.cms.rt.microsoft.com | 443 | 下载 MSI 以更新客户端。 自动更新所必需的。 | Windows 桌面版 | 无 |
如果处于具有受限 Internet 访问权限的封闭网络中,则可能还需要允许此处列出的 FQDN 进行证书检查:Azure 证书颁发机构详细信息 | Azure Learn。
后续步骤
若要了解如何在 Azure 防火墙中取消阻止这些 FQDN 和终结点,请参阅使用 Azure 防火墙保护 Azure 虚拟桌面。
有关网络连接的详细信息,请参阅了解 Azure 虚拟桌面网络连接