若要部署 Azure 虚拟桌面并让用户能够连接,您必须允许特定的 FQDN 和终结点。 用户还需要能够连接到某些 FQDN 和端点来访问其 Azure Virtual Desktop 资源。 本文列出了需要为会话主机和用户允许的必需 FQDN 和终结点。
如果使用防火墙(如 Azure Firewall 或代理服务),则可以阻止这些 FQDN 和终结点。 有关将代理服务与 Azure Virtual Desktop 配合使用的指导,请参阅 Azure Virtual DesktopProxy 服务指南
可以按照以下步骤,在 “检查 Azure Virtual Desktop 所需 FQDN 和终结点的访问权限” 中运行 Azure Virtual Desktop 代理 URL 工具,以检查会话主机 VM 是否可以连接到这些 FQDN 和终结点。 Azure Virtual Desktop 代理 URL 工具会验证每个 FQDN 和终结点,并指示会话主机是否可以访问它们。
重要
Microsoft 不支持在阻止本文中列出的 FQDN 和终结点的情况下进行 Azure Virtual Desktop 部署。 本文不包括其他服务的 FQDN 和终结点,例如 Microsoft Entra ID、Office 365、自定义 DNS 提供程序或时间服务。 Microsoft Entra FQDN 和终结点位于 Office 365 URL 和 IP 地址范围 中的 ID 10 下。
服务标记和 FQDN 标记
Service 标记表示给定Azure服务中的 IP 地址前缀组。 Microsoft管理服务标记包含的地址前缀,并在地址发生更改时自动更新服务标记,最大限度地减少网络安全规则频繁更新的复杂性。 可在 Network 安全组和 Azure Firewall 的规则中使用服务标记来限制出站网络访问。 还可以在用户定义的路由 (UDR) 中使用服务标记来自定义流量路由行为。
Azure Firewall 还支持 FQDN 标记,这些标记表示与著名的 Azure 和其他 Microsoft 服务关联的一组完全限定域名(FQDN)。 Azure Virtual Desktop 没有可以作为 FQDN 替代方案来取消阻止以允许网络流量的 IP 地址范围列表。 如果使用下一代防火墙(NGFW),则需要使用为Azure IP 地址创建的动态列表,以确保可以连接。 有关详细信息,请参阅 使用 Azure Firewall 来保护Azure Virtual Desktop部署。
Azure Virtual Desktop 提供服务标签和 FQDN 标签条目。 建议使用服务标记和 FQDN 标记来简化Azure网络配置。
会话主机虚拟机
下表是会话主机 VM 访问 Azure Virtual Desktop 所需的 FQDN 和终结点的列表。 所有条目都是出站条目;无需为Azure Virtual Desktop打开入站端口。
| 地址 | 协议 | 出站端口 | 目的 | 服务标记 |
|---|---|---|---|---|
| login.partner.microsoftonline.cn | TCP | 443 | Microsoft联机服务的身份验证 | |
51.5.0.0/16 |
UDP | 3478 | 中继 RDP 连接 | WindowsVirtualDesktop |
| *.wvd.azure.cn | TCP | 443 | 服务流量,包括基于 TCP 的 RDP 连接 | WindowsVirtualDesktop |
| mooncake.warmpath.chinacloudapi.cn | TCP | 443 | 代理流量 | AzureCloud |
| monitoring.core.chinacloudapi.cn | TCP | 443 | 代理流量 | AzureCloud |
| *xt.blob.core.chinacloudapi.cn | TCP | 443 | 代理流量 | AzureCloud |
| *.servicebus.chinacloudapi.cn | TCP | 443 | 代理流量 | AzureCloud |
| *xt.table.core.chinacloudapi.cn | TCP | 443 | 代理流量 | AzureCloud |
| *xt.queue.core.chinacloudapi.cn | TCP | 443 | 代理流量 | AzureCloud |
| kms.core.chinacloudapi.cn | TCP | 1688 | Windows激活 | Internet |
| mrsglobalstcne2mc.blob.core.chinacloudapi.cn | TCP | 443 | 代理和 SXS 堆栈更新 | AzureCloud |
| wvdportalcontainer.blob.core.chinacloudapi.cn | TCP | 443 | Azure门户支持 | AzureCloud |
| 169.254.169.254 | TCP | 80 | Azure实例元数据服务终结点 | 不适用 |
| 168.63.129.16 | TCP | 80 | 会话主机健康监控 | 不适用 |
| crl.digincert.cn | TCP | 443 | 证书 | 不适用 |
| microsoft.com | TCP | 443 | 证书 | 不适用 |
*.aikcertaia.microsoft.com |
TCP | 80 | 证书 | 不适用 |
azcsprodeusaikpublish.blob.core.windows.net |
TCP | 80 | 证书 | 不适用 |
*.microsoftaik.azure.net |
TCP | 80 | 证书 | 不适用 |
ctldl.windowsupdate.com |
TCP | 80 | 证书 | 不适用 |
| *.prod.warm.ingest.monitor.core.chinacloudapi.cn | TCP | 443 | 代理流量 | |
| *.service.rdweb.wvd.azure.cn/arm/webclient | TCP | 443 | 服务流量 | WindowsVirtualDesktop |
| *.rdweb.wvd.azure.cn/arm/webclient | TCP | 443 | 服务流量 | 不适用 |
| *.windows.static.microsoft | TCP | 443 | 服务流量 | 不适用 |
重要
我们已完成对用于代理流量的 URL 的转换。 我们不再支持以下 URL。 为防止会话主机 VM 因此而显示“需要协助”状态,你必须允许 URL (如果尚未允许)。 如果在更改之前已显式允许以下 URL,还应删除这些 URL:
| 地址 | 协议 | 出站端口 | 目的 | 服务标记 |
|---|---|---|---|---|
production.diagnostics.monitoring.core.chinacloudapi.cn |
TCP | 443 | 代理流量 | AzureCloud |
*xt.blob.core.chinacloudapi.cn |
TCP | 443 | 代理流量 | AzureCloud |
*eh.servicebus.chinacloudapi.cn |
TCP | 443 | 代理流量 | AzureCloud |
*xt.table.core.chinacloudapi.cn |
TCP | 443 | 代理流量 | AzureCloud |
*xt.queue.core.chinacloudapi.cn |
TCP | 443 | 代理流量 | AzureCloud |
下表列出了会话主机虚拟机可能还需要访问的用于其他服务的可选 FQDN 和终结点:
| 地址 | 出站 TCP 端口 | 目的 | Azure 云世纪互联 |
|---|---|---|---|
| *.chinacloudapi.cn | 443 | Azure联机服务的身份验证 | login.chinacloudapi.cn |
| *.events.data.microsoft.com | 443 | 遥测服务 | 无 |
| www.msftconnecttest.com | 443 | 检测 OS 是否已连接到 Internet | 无 |
| *.prod.do.dsp.mp.microsoft.com | 443 | Windows Update | 无 |
| *.sfx.ms | 443 | OneDrive 客户端软件的更新 | oneclient.sfx.ms |
| *.digicert.com | 443 | 证书吊销检查 | 无 |
| *.azure-dns.com | 443 | Azure DNS解析 | 无 |
| *.azure-dns.net | 443 | Azure DNS解析 | 无 |
提示
对于涉及服务流量的 FQDN,你必须使用通配符 (*)。
对于代理流量,如果不想使用通配符,下面介绍了如何查找要允许的特定 FQDN:
- 确保会话主机已注册到主机池。
- 在会话主机上,打开 Event 查看器, 然后转到 Windows logs>Application>WVD-Agent 并查找事件 ID 3701。
- 解锁在事件 ID 3701 下找到的 FQDN。 事件 ID 3701 下的 FQDN 是特定于区域的。 需要对要在其中部署会话主机的每个Azure区域使用相关的 FQDN 重复此过程。
最终用户设备
任何使用 Remote Desktop 客户端 连接到 Azure Virtual Desktop 的设备都必须能够访问以下 FQDN 和终结点。 若要获得可靠的客户端体验,必须允许这些 FQDN 和终结点。 不支持阻止访问这些 FQDN 和终结点,否则会影响服务功能。
| 地址 | 出站 TCP 端口 | 目的 | 客户 | Microsoft Azure 由世纪互联运营 |
|---|---|---|---|---|
| *.wvd.azure.cn | 443 | 服务流量 | 全部 | *.wvd.azure.cn |
| *.servicebus.chinacloudapi.cn | 443 | 数据排查 | 全部 | *.servicebus.chinacloudapi.cn |
| go.microsoft.com | 443 | Microsoft FWLinks | 全部 | 无 |
| aka.ms | 443 | Microsoft URL 缩短器 | 全部 | 无 |
| learn.microsoft.com | 443 | 文档 | 全部 | 无 |
| privacy.microsoft.com | 443 | 隐私声明 | 全部 | 无 |
| query.prod.cms.rt.microsoft.com | 443 | 下载 MSI 以更新客户端。 自动更新所必需的。 | Windows桌面 | 无 |
如果使用的是具有受限 Internet 访问的封闭网络,则可能需要允许此处列出的 FQDN 进行证书检查:Azure证书颁发机构详细信息 |Azure Learn。
后续步骤
若要了解如何在 Azure Firewall 中取消阻止这些 FQDN 和终结点,请参阅 使用 Azure Firewall 来保护 Azure Virtual Desktop。
有关网络连接的详细信息,请参阅 了解Azure Virtual Desktop网络连接