Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure anfitriões de sessão do Virtual Desktop (AVD) e Windows 365 PCs na Cloud necessitam de conectividade a dois endereços IP da plataforma Azure. Estes endereços fornecem acesso aos principais serviços de infraestrutura que suportam o aprovisionamento, a monitorização do estado de funcionamento, a identidade e a comunicação da plataforma.
O tráfego para estes endereços funciona ao nível dos recursos de infraestrutura da plataforma Azure. Comporta-se de forma diferente do tráfego para os pontos finais baseados em FQDN e tem de ser processado em conformidade.
Este artigo explica o que são estes endereços IP, por que motivo são essenciais, como diferem de outros pontos finais e como garantir que a conectividade é bem-sucedida.
Visão Geral
Azure anfitriões de sessão do Virtual Desktop e Windows 365 PCs na Cloud necessitam de conectividade aos seguintes endereços IP:
| Endereço | Protocolo | Porta de Saída | Finalidade | Etiqueta de serviço |
|---|---|---|---|---|
169.254.169.254 |
TCP | 80 | Azure Instance Metadata Service (IMDS) | N/D |
168.63.129.16 |
TCP | 80, 32526 | Monitorização do estado de funcionamento do Anfitrião de Sessões | N/D |
Importante
Estes endereços são utilizados em todas as regiões Azure e ambientes de cloud, incluindo Azure cloud pública, Azure Governamental e Azure China. A perda de conectividade a qualquer um dos endereços causa falhas de aprovisionamento, problemas de relatórios de estado de funcionamento e degradação do serviço.
Azure Instance Metadata Service (169.254.169.254)
Azure Instance Metadata Service (IMDS) é um ponto final da API REST que fornece informações sobre uma máquina virtual em execução. O software dentro da Máquina Virtual (VM) utiliza o IMDS para integrar com o ambiente Azure.
As VMs utilizam o IMDS para obter:
Identidade e dados de configuração da VM
Tokens de identidade gerida para autenticação em serviços Azure
Eventos agendados e notificações de manutenção
Metadados como região, zona de disponibilidade, tamanho da VM e configuração de rede
O endereço 169.254.169.254 é um endereço IP local de ligação. Não é encaminhável e acessível apenas a partir da VM. Os pedidos para este endereço nunca saem do anfitrião físico. O Azure hipervisor interceta e responde ao tráfego localmente.
O IMDS funciona ao nível do hipervisor. Não é afetada por grupos de segurança de rede, rotas definidas pelo utilizador ou regras de Firewall do Azure. No entanto, a configuração do sistema operativo dentro da VM, como firewalls de anfitriões ou clientes VPN, pode bloquear o acesso.
Azure monitorização do estado de funcionamento da plataforma (168.63.129.16)
O endereço 168.63.129.16 é um endereço IP público virtual utilizado pelos serviços de plataforma Azure para comunicar com VMs. Este endereço também é denominado ponto final WireServer.
As VMs utilizam este endereço para:
Monitorização do estado de funcionamento e comunicação de heartbeat do agente da VM do Azure
Resolução de DNS ao utilizar o DNS fornecido pelo Azure
Comunicação DHCP para atribuição e renovação de endereços IP
O tráfego para 168.63.129.16 atravessa o Azure recursos de infraestrutura de rede virtual. Azure encaminhamento da plataforma aplica um processamento especial para garantir que o endereço permanece acessível em redes com configurações restritivas de segurança ou encaminhamento.
Diferenças dos pontos finais padrão
Área de Trabalho Virtual do Azure e Windows 365 também precisam de conectividade a pontos finais baseados em FQDN, como serviços do plano de controlo, Microsoft Entra ID, etc. O tráfego para esses pontos finais comporta-se como o tráfego padrão da Internet para endereços IP públicos. Parte deste tráfego, como o RDP, requer otimização nas redes dos clientes, mas geralmente pode ser tratado como pontos finais públicos normais.
No entanto, o tráfego para 169.254.169.254 e 168.63.129.16 tem um comportamento diferente.
Azure interno e não encaminhável. Estes endereços fazem parte de Azure infraestrutura de plataforma interna. Não são pontos finais da Internet, não resolve através de DNS públicos e não podem ser acedidos a partir de redes externas Azure ou no local.
Não podem ser protegidos por proxies, uma vez que os servidores proxy não conseguem aceder a estes endereços. As tentativas de enviar este tráfego através de um proxy não serão bem-sucedidas, seja através de ficheiros PAC, Política de Grupo ou definições de proxy de aplicações.
Não podem atravessar túneis VPN ou gateways Web seguros. Os clientes VPN e os agentes de gateway Web seguros que operam no modo de túnel completo ou de túnel forçado capturam todo o tráfego da VM. Quando capturam tráfego para estes endereços, a conectividade falha porque os endereços não estão acessíveis através de túneis VPN ou infraestrutura de segurança de terceiros.
Parcialmente protegido por Azure encaminhamento da plataforma. Azure rede inclui proteções para garantir a conectividade a estes endereços na camada de recursos de infraestrutura. As rotas predefinidas, como 0.0.0.0/0 e a maioria das regras do grupo de segurança de rede, não bloqueiam este tráfego. No entanto, estas proteções não se aplicam à configuração dentro da VM nem às regras de rede explícitas que visam estes endereços ou as respetivas etiquetas de serviço.
Por conseguinte, é essencial garantir que os seguintes problemas de configuração não estão presentes no seu ambiente:
Problemas de configuração na VM
A maioria dos problemas de conectividade deve-se à configuração dentro da VM e não ao Azure configuração de camada de rede.
Clientes VPN e agentes de gateway Web seguros
As organizações implementam clientes VPN ou agentes de gateway Web seguros em PCs cloud e anfitriões de sessão para impor políticas de segurança. Os exemplos incluem zscaler Internet Access, Acesso à Internet do Microsoft Entra, PaloAlto Global Protect, etc.
Quando estes agentes são executados no modo de túnel forçado, redirecionam todo o tráfego através de um adaptador virtual. Esta configuração pode incluir tráfego para Azure endereços da plataforma, o que interrompe a conectividade.
O que marcar:
Utilize o túnel dividido para que Azure tráfego da plataforma permaneça local
Configurar regras explícitas de ignorar ou exclusão para 169.254.169.254 e 168.63.129.16
Configuração de proxy e PAC
As definições de proxy aplicadas através de ficheiros PAC, Política de Grupo, WinHTTP, WinINET ou definições específicas da aplicação podem fazer com que a VM seja proxy Azure tráfego da plataforma.
O que marcar:
Os ficheiros PAC devolvem uma ligação direta para estes endereços
As listas de desativação do proxy incluem ambos os endereços
As definições de proxy ao nível do utilizador e do computador são revistas
Regras de firewall do anfitrião
As firewalls baseadas no anfitrião ou o software de proteção de ponto final podem bloquear o tráfego TCP de saída.
O que marcar:
Permitir tráfego TCP de saída para 169.254.169.254 na porta 80
Permitir tráfego TCP de saída para 168.63.129.16 nas portas 80 e 32526
Software de filtragem de rede e segurança de pontos finais
As ferramentas Antivírus, Deteções de Pontos Finais & Resposta (EDR) ou Prevenção de Perda de Dados (DLP) podem incluir funcionalidades de inspeção de rede.
O que marcar:
Certifique-se de que estas ferramentas não bloqueiam ou inspecionam o tráfego para estes endereços
Adicionar regras de permissão ou exclusão baseadas em IP sempre que necessário
Azure problemas de configuração da camada de rede
Grupos de segurança de rede
Azure define etiquetas de serviço para estes pontos finais:
AzurePlatformIMDS para 169.254.169.254
AzurePlatformDNS para 168.63.129.16
As regras de negação explícitas direcionadas para estas etiquetas de serviço podem interferir com a conectividade.
O que marcar:
Remover regras de negação direcionadas para estas etiquetas ou endereços de serviço
Certifique-se de que as regras restritivas de negação de todas as saídas incluem regras de permissão explícitas para estas etiquetas de serviço
Rotas definidas pelo utilizador e aplicações virtuais de rede
Azure o encaminhamento da plataforma garante normalmente a acessibilidade, independentemente das rotas predefinidas. No entanto, rotas explícitas ou topologias de encaminhamento complexas podem causar problemas.
O que marcar:
Nenhuma rota visa explicitamente 169.254.169.254 ou 168.63.129.16
As firewalls ou aplicações virtuais de rede no caminho permitem o tráfego de saída para estes endereços e portas
Azure verificações de estado de funcionamento da Ligação de Rede
Windows 365 Enterprise utiliza ligações de rede Azure para aprovisionar PCs na Cloud. Cada ligação inclui verificações de estado de funcionamento automatizadas que validam a conectividade de rede.
Que verificações de estado de funcionamento validam
Conectividade dos recursos de infraestrutura de rede aos pontos finais da plataforma Azure
Configuração do grupo de segurança de rede
Configuração da tabela de rotas
Resolução de DNS com o DNS fornecido pelo Azure
Que verificações de estado de funcionamento não validam
Clientes VPN ou agentes de gateway Web seguros instalados após o aprovisionamento
Configuração de proxy ou PAC aplicada através de Política de Grupo ou Intune
Alojar regras de firewall ou software de segurança de ponto final
Configuração aplicada dentro da VM após a atribuição
Um marcar de estado de funcionamento aprovado confirma que a rede Azure permite o tráfego da plataforma. Não garante que os PCs cloud ou os anfitriões de sessão possam chegar a estes pontos finais após a aplicação da configuração na VM.
Resumo
A conectividade a 169.254.169.254 e 168.63.129.16 é necessária para Área de Trabalho Virtual do Azure e Windows 365. O bloqueio destes pontos finais origina problemas de aprovisionamento e operacionais com o Windows 365 e o Área de Trabalho Virtual do Azure.
Estes endereços são pontos finais de plataforma Azure internos. O tráfego para estes endereços não pode ser proxied, intercetado ou encaminhado através de túneis VPN ou gateways Web seguros.
A maioria das falhas de conectividade deve-se à configuração dentro da VM, como clientes VPN, definições de proxy, firewalls de anfitriões ou software de segurança de ponto final. Os problemas de camada de rede são menos comuns, mas podem ocorrer quando as regras explícitas visam estes endereços ou as respetivas etiquetas de serviço.
Azure as verificações de estado de funcionamento da Ligação de Rede validam apenas a conectividade da camada de rede. Não detetam problemas de configuração na VM.