AVD セッションホストの仮想マシンで、アウトバウンドのインターネット接続が必要です。
一部の Azure 環境では、新しく作成されたセッションホストの仮想マシンはインターネットへの接続が制限されています。これは、仮想ネットワークレベルでカスタムルーティングやネットワークセキュリティグループ (NSG) を使用する方法、または Active Directory GPO を介してセッションホストの仮想マシンに送られるプロキシ設定やカスタムセキュリティ構成で実現される場合があります。
Nerdio Managerが AVD セッションホストの仮想マシンの作成と管理を自動化できるようにするためには、Azure および Microsoft サービスへの以下のアクセスが可能である必要があります。
注: 追加情報や Azure 米国政府テナントに必要な URL については、必要な URL リストを参照してください。
アドレス |
アウトバウンド TCP ポート |
目的 |
サービス タグ |
|---|---|---|---|
login.microsoftonline.com |
443 |
Microsoft オンラインサービスへの認証 |
N/A |
nmwextensions.blob.core.windows.net |
443 |
Nerdio |
(以下の重要な注意事項を参照) |
*.wvd.microsoft.com |
443 |
サービストラフィック |
|
*.prod.warm.ingest.monitor.core.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
catalogartifact.azureedge.net |
443 |
Azure Marketplace |
AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
kms.core.windows.net |
1688 |
Windows アクティベーション |
インターネット |
azkms.core.windows.net |
1688 |
Windows アクティベーション |
インターネット |
mrsglobalsteus2prod.blob.core.windows.net |
443 |
エージェント、SXS スタックの更新 |
AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
443 |
Azure ポータルサポート |
Azure Cloud |
169.254.169.254 |
80 |
N/A |
|
168.63.129.16 |
80 |
N/A |
|
oneocsp.microsoft.com |
80 |
証明書 |
N/A |
www.microsoft.com |
80 |
証明書 |
N/A |
Nerdio Manager の cssa ストレージアカウント。このストレージアカウントのアドレスは、各 Nerdio Manager インストールごとに一意です。パブリック Azure クラウドでは、cssaで始まり、blob.core.windows.netで終わります。 |
N/A |
AVDエージェント、FSLogixエージェント、その他のツールのインストール。 |
N/A |
重要:
Microsoftは、以下の表に記載されているURLからの移行を完了しました。これらは以前、エージェントトラフィックに使用されていました。これらのURLはもはやサポートされていません。セッションホストVMが支援が必要の状態を表示しないようにするには、まだ許可していない場合は、*.prod.warm.ingest.monitor.core.windows.netを必ず許可してください。さらに、以前に非推奨のURLを明示的に許可していた場合は、それらを削除してください。
-
Azure DSC拡張機能は、専用のAzureサービスタグとしてはもはや利用できず、2028年3月31日に廃止されます。DSC拡張機能を有効にする前に、Azure Machine Configurationという新しいバージョンのDSCが一般に利用可能になっていることにご注意ください。Azure Machine Configuration サービスには、DSC 拡張機能の機能と、Microsoft のお客様からよく寄せられる機能が含まれています。Azure Machine Configuration には、Arc 対応サーバーを介したハイブリッドマシンサポートも含まれています。
詳細については、Azure Desired State Configuration拡張ハンドラの紹介を参照してください。
-
Microsoftは、DSC拡張機能の機能を包含するより広範なサービスタグの使用に移行しました。具体的には、DSC拡張機能が正しく動作し続けるよう、Microsoftは以下のサービスタグの使用をお勧めしています:
AzureAutomation:Azure Automation DSCが自動化サービスと通信し、構成を取得できるようにします。
GuestAndHybridManagement:仮想マシン拡張の管理機能を有効にし、DSCにも対応します。
Storage:DSC構成、スクリプト、またはモジュールがAzure Storageアカウントに格納されている場合に必要です。
KeyVault:DSC拡張機能がAzure Key Vaultから資格情報や秘密を取得する場合に必要です。
アドレス |
アウトバウンド TCP ポート |
目的 |
サービス タグ |
|---|---|---|---|
production.diagnostics.monitoring.core.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
*xt.blob.core.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
*eh.servicebus.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
*xt.table.core.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
*xt.queue.core.windows.net |
443 |
エージェントトラフィック |
AzureCloud |
Azure Virtual Desktopセッションホストは、FSLogixのファイル共有を利用する際に追加のポートを開く必要があります。FSLogixのネットワーク要件に関する追加情報については、このMicrosoftの記事を参照してください。
アドレス |
アウトバウンド TCP ポート |
目的 |
サービス タグ |
|---|---|---|---|
[ストレージのFQDN] |
445 |
FSLogixファイル共有へのSMBアクセス |
N/A |
以下の表は、セッションホストの仮想マシンが他のサービスにアクセスするために必要なオプションのURLを示しています。
| アドレス | アウトバウンド TCP ポート |
目的 |
|---|---|---|
login.windows.net |
443 |
Microsoft Online Services および Microsoft 365 にサインインします。 |
*.events.data.microsoft.com |
443 |
テレメトリーサービス |
www.msftconnecttest.com |
443 |
セッションホストがインターネットに接続されているかどうかを検出します。 |
*.prod.do.dsp.mp.microsoft.com |
443 |
Windows Update |
*.sfx.ms |
443 |
OneDriveクライアントソフトウェアの更新 |
*.digicert.com |
443 |
証明書失効チェック |
*.azure-dns.com |
443 |
Azure DNS解決 |
*.azure-dns.net |
443 |
Azure DNS解決 |
raw.githubusercontent.com |
443 |
NVIDIA GPUドライバー |
download.microsoft.com |
443 |
NVIDIA GPUドライバー |
上記の接続に加えて、一部のスクリプト化されたアクションとNerdio Manager関数は、公式ダウンロードページやオープンソースのGitHubリポジトリなど、さまざまなウェブサイトからバイナリを取得します。自動展開を利用する場合は、これらのアドレスをファイアウォールの除外項目に含める必要があります。
アドレス |
ポート |
Scripted Action |
詳細 |
|---|---|---|---|
github.com |
443 |
WVD最適化 |
追加のコードを取得します。 |
teams.microsoft.com |
443 |
MS Teams をインストールする |
MS Teamsクライアントをダウンロードします。 |
microsoft.com |
443 |
Office 365をインストールします。 |
ODTツールをダウンロードします。 |
support.zoom.us |
443 |
Zoom VDIをインストールします。 |
Zoom VDIクライアントをダウンロードします。 |
s3.amazonaws.com |
443 |
ControlUpエージェントをインストールします。 |
ControlUpエージェントをダウンロードします。 |
必要に応じて、スクリプトを読み取り適切なダウンロードを取得したうえで、ファイルを自前でホストし、スクリプトのアクションコードが自分のサーバーを指すように変更することが可能です。これにより、厳しく制限された環境でのさらなる制御が可能になりますが、メンテナンスと複雑さが増す可能性があります。
重要:
Azureプラットフォームは、一般化されたイメージから Windows 仮想マシンが作成されるときに、ISOファイルをDVD-ROMにマウントします。このため、一般化されたイメージのOSでDVD-ROMを有効にする必要があります。無効の場合、Windows VMはOOBE画面で停止してしまいます。
によって使用されるNerdio ManagerAzure DSC拡張機能は、PowerShellとWinRMを活用しています。セッションホストのVMでWinRMが無効になっていないこと、また、これらのVM上で署名されていないPowerShellスクリプトが実行できることを確認してください。WinRMや署名されていないスクリプトを制限するGPOがある場合は、セッションホストが含まれるOUを除外するか、名前のプレフィックスによる除外を作成してください。
コメント (0件のコメント)