Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure hosts de sesión de Virtual Desktop (AVD) y equipos en la nube de Windows 365 requieren conectividad a dos direcciones IP de plataforma Azure. Estas direcciones proporcionan acceso a los servicios de infraestructura principales que admiten el aprovisionamiento, la supervisión del estado, la identidad y la comunicación de la plataforma.
El tráfico a estas direcciones funciona en el nivel de tejido de la plataforma Azure. Se comporta de forma diferente del tráfico a los puntos de conexión basados en FQDN y debe controlarse en consecuencia.
En este artículo se explica cuáles son estas direcciones IP, por qué son esenciales, cómo se diferencian de otros puntos de conexión y cómo garantizar que la conectividad se realiza correctamente.
Información general
Azure hosts de sesión de Virtual Desktop y equipos en la nube de Windows 365 requieren conectividad con las siguientes direcciones IP:
| Dirección | Protocolo | Puerto de salida | Objetivo | Etiqueta de servicio |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Azure Servicio de metadatos de instancia (IMDS) | N/D |
168.63.129.16 |
TCP | 80, 32526 | Supervisión del estado del host de sesión | N/D |
Importante
Estas direcciones se usan en todas las regiones Azure y entornos de nube, incluidos Azure nube pública, Azure Government y Azure China. La pérdida de conectividad con cualquiera de las direcciones provoca errores de aprovisionamiento, problemas de informes de estado y degradación del servicio.
Azure Servicio de metadatos de instancia (169.254.169.254)
Azure Servicio de metadatos de instancia (IMDS) es un punto de conexión de API REST que proporciona información sobre una máquina virtual en ejecución. El software dentro de la máquina virtual (VM) usa IMDS para integrarse con el entorno de Azure.
Las máquinas virtuales usan IMDS para recuperar:
Datos de configuración e identidad de máquina virtual
Tokens de identidad administrada para la autenticación en los servicios de Azure
Eventos programados y notificaciones de mantenimiento
Metadatos como región, zona de disponibilidad, tamaño de máquina virtual y configuración de red
La dirección 169.254.169.254 es una dirección IP local de vínculo. No es enrutable y solo es accesible desde dentro de la máquina virtual. Las solicitudes a esta dirección nunca salen del host físico. El hipervisor Azure intercepta y responde al tráfico localmente.
IMDS funciona en el nivel de hipervisor. No se ve afectado por los grupos de seguridad de red, las rutas definidas por el usuario ni las reglas de Azure Firewall. Sin embargo, la configuración del sistema operativo dentro de la máquina virtual, como firewalls de host o clientes VPN, puede bloquear el acceso.
Azure supervisión del estado de la plataforma (168.63.129.16)
La dirección 168.63.129.16 es una dirección IP pública virtual usada por Azure servicios de plataforma para comunicarse con máquinas virtuales. Esta dirección también se denomina punto de conexión WireServer.
Las máquinas virtuales usan esta dirección para:
Supervisión del estado y comunicación de latidos desde el agente de máquina virtual de Azure
Resolución de DNS al usar DNS proporcionado por Azure
Comunicación DHCP para la asignación y renovación de direcciones IP
El tráfico a 168.63.129.16 atraviesa el tejido de red virtual de Azure. Azure enrutamiento de plataforma aplica un control especial para garantizar que la dirección sigue siendo accesible en redes con configuraciones de seguridad o enrutamiento restrictivas.
Diferencias con respecto a los puntos de conexión estándar
Azure Virtual Desktop y Windows 365 también requieren conectividad a puntos de conexión basados en FQDN, como servicios del plano de control, Microsoft Entra ID, etc. El tráfico a esos puntos de conexión se comporta como el tráfico de Internet estándar a direcciones IP públicas. Parte de este tráfico, como RDP, requiere optimización en las redes de clientes, pero generalmente se puede tratar como puntos de conexión públicos normales.
Sin embargo, el tráfico a 169.254.169.254 y 168.63.129.16 se comporta de manera diferente.
Azure interno y no enrutable. Estas direcciones forman parte de Azure infraestructura de plataforma interna. No son puntos de conexión de Internet, no se resuelven a través de DNS público y no se puede acceder a ellos desde fuera de Azure o desde redes locales.
No se pueden proxyar, ya que los servidores proxy no pueden acceder a estas direcciones. Los intentos de enviar este tráfico a través de un proxy no se realizarán correctamente, ya sea a través de archivos PAC, directiva de grupo o la configuración del proxy de aplicación.
No pueden atravesar túneles VPN ni puertas de enlace web seguras. Los clientes VPN y los agentes de puerta de enlace web seguros que funcionan en modo de túnel completo o túnel forzado capturan todo el tráfico de la máquina virtual. Cuando capturan el tráfico a estas direcciones, se produce un error en la conectividad porque no se puede acceder a las direcciones a través de túneles VPN o infraestructura de seguridad de terceros.
Parcialmente protegido mediante Azure enrutamiento de plataforma. Azure redes incluye protecciones para garantizar la conectividad con estas direcciones en la capa de tejido. Las rutas predeterminadas como 0.0.0.0/0 y la mayoría de las reglas de grupo de seguridad de red no bloquean este tráfico. Sin embargo, estas protecciones no se aplican a la configuración dentro de la máquina virtual ni a las reglas de red explícitas que tienen como destino estas direcciones o sus etiquetas de servicio.
Por lo tanto, es esencial asegurarse de que los siguientes problemas de configuración no están presentes en el entorno:
Problemas de configuración en la máquina virtual
La mayoría de los problemas de conectividad se deben a la configuración dentro de la máquina virtual en lugar de a Azure configuración de la capa de red.
Clientes VPN y agentes de puerta de enlace web seguros
Las organizaciones implementan clientes VPN o agentes de puerta de enlace web seguros en equipos en la nube y hosts de sesión para aplicar directivas de seguridad. Algunos ejemplos son Zscaler Internet Access, Acceso a Internet de Microsoft Entra, PaloAlto Global Protect, etc.
Cuando estos agentes se ejecutan en modo de túnel forzado, redirigen todo el tráfico a través de un adaptador virtual. Esta configuración puede incluir tráfico a Azure direcciones de plataforma, lo que interrumpe la conectividad.
Qué comprobar:
Use la tunelización dividida para que Azure el tráfico de la plataforma siga siendo local
Configurar reglas de exclusión o omisión explícitas para 169.254.169.254 y 168.63.129.16
Configuración de proxy y PAC
La configuración de proxy aplicada a través de archivos PAC, directiva de grupo, WinHTTP, WinINET o la configuración específica de la aplicación puede hacer que la máquina virtual proxy Azure tráfico de la plataforma.
Qué comprobar:
Los archivos PAC devuelven una conexión directa para estas direcciones
Las listas de omisión de proxy incluyen ambas direcciones
Se revisa la configuración de proxy de nivel de usuario y de nivel de equipo
Reglas de firewall de host
Los firewalls basados en host o el software de endpoint protection pueden bloquear el tráfico TCP saliente.
Qué comprobar:
Permitir el tráfico TCP saliente a 169.254.169.254 en el puerto 80
Permitir el tráfico TCP saliente a 168.63.129.16 en los puertos 80 y 32526
Software de filtrado de red y seguridad de puntos de conexión
Las herramientas antivirus, detecciones de puntos de conexión & respuesta (EDR) o prevención de pérdida de datos (DLP) pueden incluir características de inspección de red.
Qué comprobar:
Asegúrese de que estas herramientas no bloquean ni inspeccionan el tráfico a estas direcciones.
Agregar reglas de exclusión o permiso basadas en IP cuando sea necesario
Azure problemas de configuración de la capa de red
Grupos de seguridad de red
Azure define etiquetas de servicio para estos puntos de conexión:
AzurePlatformIMDS para 169.254.169.254
AzurePlatformDNS para 168.63.129.16
Las reglas de denegación explícitas destinadas a estas etiquetas de servicio pueden interferir con la conectividad.
Qué comprobar:
Eliminación de reglas de denegación destinadas a estas etiquetas o direcciones de servicio
Asegúrese de que las reglas de salida de denegación restrictivas incluyan reglas de permiso explícitas para estas etiquetas de servicio.
Rutas definidas por el usuario y aplicaciones virtuales de red
Azure enrutamiento de plataforma garantiza normalmente la accesibilidad independientemente de las rutas predeterminadas. Sin embargo, las rutas explícitas o las topologías de enrutamiento complejas pueden causar problemas.
Qué comprobar:
Ninguna ruta tiene como destino explícitamente 169.254.169.254 o 168.63.129.16
Los firewalls o las aplicaciones virtuales de red de la ruta de acceso permiten el tráfico saliente a estas direcciones y puertos
Azure comprobaciones de estado de conexión de red
Windows 365 Enterprise usa conexiones de red Azure para aprovisionar equipos en la nube. Cada conexión incluye comprobaciones de estado automatizadas que validan la conectividad de red.
Qué comprobaciones de estado validan
Conectividad de tejido de red con puntos de conexión de plataforma de Azure
Configuración del grupo de seguridad de red
Configuración de la tabla de rutas
Resolución DE DNS mediante DNS proporcionado por Azure
Qué comprobaciones de estado no se validan
Clientes VPN o agentes de puerta de enlace web seguros instalados después del aprovisionamiento
Configuración de proxy o PAC aplicada a través de directiva de grupo o Intune
Reglas de firewall de host o software de seguridad de punto de conexión
Configuración aplicada dentro de la máquina virtual después de la asignación
Una comprobación de estado que pasa confirma que la red Azure permite el tráfico de la plataforma. No garantiza que los equipos en la nube o los hosts de sesión puedan llegar a estos puntos de conexión después de aplicar la configuración en la máquina virtual.
Resumen
Se requiere conectividad a 169.254.169.254 y 168.63.129.16 para Azure Virtual Desktop y Windows 365. El bloqueo de estos puntos de conexión provoca problemas operativos y de aprovisionamiento con Windows 365 y Azure Virtual Desktop.
Estas direcciones son puntos de conexión de plataforma Azure internos. El tráfico a estas direcciones no debe ser proxy, interceptado ni enrutado a través de túneles VPN ni puertas de enlace web seguras.
La mayoría de los errores de conectividad se deben a la configuración dentro de la máquina virtual, como clientes VPN, configuración de proxy, firewalls de host o software de seguridad de punto de conexión. Los problemas de la capa de red son menos comunes, pero pueden producirse cuando las reglas explícitas tienen como destino estas direcciones o sus etiquetas de servicio.
Azure comprobaciones de estado de conexión de red validan solo la conectividad de nivel de red. No detectan problemas de configuración en la máquina virtual.