Diese Seite ist eine Referenz für alle möglichen Ports und Protokolle, die für die Kommunikation innerhalb einer typischen Horizon Cloud Service on Microsoft Azure-Bereitstellung in Horizon Cloud Service - next-gen verwendet werden. Verwenden Sie diese Tabellen, um sicherzustellen, dass Ihre Netzwerkkonfiguration und Firewalls den Kommunikationsdatenverkehr zulassen, der für eine erfolgreiche Bereitstellung und den täglichen Betrieb erforderlich ist.
Die für Ihre spezielle Bereitstellung erforderlichen Ports und Protokolle hängen teilweise davon ab, welche Funktionen Sie für Ihre Horizon Cloud Service on Microsoft Azure-Bereitstellung auswählen. Wenn Sie eine bestimmte Komponente oder ein bestimmtes Protokoll nicht verwenden möchten, ist der erforderliche Kommunikationsdatenverkehr für Ihre Zwecke nicht erforderlich, und Sie können die mit dieser Komponente verknüpften Ports ignorieren. Beispiel: Wenn Ihre Endbenutzer nur das Blast Extreme-Anzeigeprotokoll verwenden, ist das Zulassen der PCoIP-Ports keine Voraussetzung.
Für Horizon Edge erforderliche Ports und Protokolle
Wenn Sie Horizon-Infrastrukturüberwachung aktivieren, wird Horizon Edge im zugehörigen Abonnement bereitgestellt und konfiguriert. In der folgenden Tabelle sind die Ports und Protokolle aufgeführt, die während des Aktivierungsvorgangs benötigt werden. Die Appliance wird bereitgestellt und konfiguriert die Manager-VMs, damit sie die vorgesehenen Überwachungsdaten von diesen Komponenten erfassen kann. In dieser Tabelle sind auch die Ports und Protokolle aufgeführt, die während des stabilen Betriebs zur Erfassung der Daten, für die die Appliance ausgelegt ist, erforderlich sind.
| Quelle | Ziel | Ports | Protokolle | Zweck |
|---|---|---|---|---|
| Horizon Edge | Unified Access Gateway VMs | 9443 | HTTPS | Dieser Port wird von der Edge-VM über das Verwaltungs-Subnetz verwendet, um Einstellungen in der Unified Access Gateway-Konfiguration des Edge zu konfigurieren. Diese Port-Anforderung gilt bei der erstmaligen Bereitstellung einer Unified Access Gateway-Konfiguration und bei der Bearbeitung eines Edge, um eine Unified Access Gateway-Konfiguration hinzuzufügen oder die Einstellungen für diese Unified Access Gateway-Konfiguration zu aktualisieren, sowie bei der Überwachung der Sitzungsstatistiken vom Unified Access Gateway. |
| Horizon Edge | Domänencontroller | Kerberos: 88 LDAP: 389, 3268 DAPS: 636, 3269 |
TCP UDP |
Registrieren Ihrer Horizon Cloud NextGen bei der Domäne und für die SSO-Anmeldung und regelmäßige Erkennung von Domänencontrollern. Diese Ports sind für LDAP- oder LDAPS-Dienste erforderlich, wenn LDAP/LDAPS in diesem Workflow angegeben wird. LDAP ist die Standardeinstellung für die meisten Mandanten. Ziel ist der Server, der eine Domänencontrollerrolle in der Active Directory-Konfiguration enthält. |
| Horizon Edge | AD-Zertifikatsdienste | 135 und ein Port im Bereich von 49152 bis 65535 | RPC/TCP | Verbinden mit der Microsoft-Zertifizierungsstelle (AD CS), um kurzfristige Zertifikate für True SSO zu erhalten. Der Horizon Edge verwendet TCP-Port 135 für die anfängliche RPC-Kommunikation und anschließend einen Port im Bereich von 49152 bis 65535 für die Kommunikation mit AD CS (Active Directory-Zertifikatdienste). |
| Horizon Edge | DNS-Server | 53 und 853 | TCP UDP |
DNS-Dienste |
| Horizon Edge | *.file.core.windows.net | 445 | TCP | Greifen Sie auf Dateifreigaben zu, die für die App Volumes-Workflows zum Importieren von Paketen und Replizieren der Pakete über Dateifreigaben hinweg bereitgestellt werden. |
| Horizon Edge |
|
443 | TCP | Wird für den programmgesteuerten Zugriff auf den Azure Blob Storage und zum Hochladen der Horizon Edge-Protokolle bei Bedarf verwendet. Wird zum Herunterladen von Docker-Images für die Erstellung der erforderlichen Horizon Edge-Module verwendet, die für die Überwachung, SSO, UAG-Updates usw. geeignet sind. |
| Horizon Edge | horizonedgeprod.azurecr.io | 443 | TCP | Wird zur Authentifizierung während des Herunterladens von Docker-Images für die Erstellung der erforderlichen Horizon Edge-Module verwendet, die für die Überwachung, SSO, UAG-Updates usw. geeignet sind. |
| Horizon Edge | *.azure-devices.net | 443 | TCP | Appliance, die für die Kommunikation mit der Cloud-Steuerungsebene, zum Herunterladen von Konfigurationen für das Modul der Appliance und zum Aktualisieren des Laufzeitstatus des Appliance-Moduls verwendet wird. Die aktuellen konkreten Endpoints lauten wie folgt: Nordamerika:
Europa:
Japan:
|
| Horizon Edge | vmwareprod.wavefront.com | 443 | TCP | Wird zum Senden von Betriebsmetriken an VMware Tanzu Observability by Wavefront verwendet. VMware Operatoren erhalten die Daten, um Kunden zu unterstützen. Tanzu Observability ist eine Streaming-Analyseplattform. Sie können Ihre Daten an Tanzu Observability senden und die Daten in benutzerdefinierten Dashboards anzeigen und mit ihnen interagieren. Weitere Informationen finden Sie in der Dokumentation zu VMware Tanzu Observability by Wavefront. |
| Horizon Edge | *.data.vmwservices.com | 443 | TCP | Zum Senden von Ereignissen oder Metriken an Workspace ONE Intelligence für die Überwachung von Daten. Weitere Informationen finden Sie unter Workspace ONE Intelligence. Die aktuellen konkreten Endpoints lauten wie folgt:
|
| Horizon Edge | login.microsoftonline.com | 443 | TCP | Wird in der Regel von Anwendungen zur Authentifizierung beim Microsoft Azure-Dienst verwendet. |
| Horizon Edge | management.azure.com | 443 | TCP | Wird für Anforderungen der Edge-API an die Azure Resource Manager-Endpoints zur Verwendung von Microsoft Azure Resource Manager-Diensten verwendet. Microsoft Azure Resource Manager stellt eine konsistente Verwaltungsebene zum Ausführen von Aufgaben über Azure PowerShell, Azure CLI, Azure-Portal, REST-API und Client SDKs bereit. |
| Horizon Edge | *.horizon.vmware.com Regionsspezifisch US
EU
JP
|
443 | TCP | Appliance, die für die Kommunikation mit der Cloud-Steuerungsebene und für Tag-2-Vorgänge verwendet wird. |
| Horizon Edge | NTP-Server | 123 | UDP | NTP-Dienste |
Port- und Protokollanforderungen für Unified Access Gateway-VMs
Zusätzlich zu den primären Port- und Protokollanforderungen, die in der obigen Tabelle aufgeführt sind, beziehen sich die Ports und Protokolle in den folgenden Tabellen auf die Gateways, die Sie für den laufenden Betrieb nach der Bereitstellung konfiguriert haben.
Für Verbindungen, die mit Unified Access Gateway-Instanzen konfiguriert sind, muss der Datenverkehr von den Unified Access Gateway-Instanzen zu den in der folgenden Tabelle aufgeführten Zielen zugelassen werden.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Unified Access Gateway | *.horizon.vmware.com | 53 oder 443 im DMZ-Netzwerk | TCP UDP |
Unified Access Gateway muss diese Adressen jederzeit auflösen können, sonst kann der Benutzer die Sitzung nicht starten, da Unified Access Gateway den JWK-Satz von der folgenden Adresse abruft: cloud-sg-<region>-r-<DC>.horizon.vmware.com. Die aktuellen konkreten Endpoints lauten wie folgt:
|
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 22443 | TCP UDP |
Blast Extreme Bei der Verwendung von Blast Extreme wird standardmäßig der CDR-Datenverkehr (Client Drive Redirection) und der USB-Datenverkehr über diesen Port geleitet. Wenn Sie es vorziehen, kann der CDR-Datenverkehr auf den TCP 9427-Port und der USB-Umleitungsverkehr auf den TCP 32111-Port aufgeteilt werden. |
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 9427 | TCP | Optional für CDR- und MMR-Datenverkehr (Multimedia-Umleitung). |
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 32111 | TCP | Optional für USB-Umleitungsverkehr. |
| Unified Access Gateway | time.google.com | 123 | UDP | NTP-Dienste |
| Unified Access Gateway | *.blob.core.windows.net *.blob.storage.azure.net | 443 | TCP | Wird für den programmgesteuerten Zugriff auf den Azure Blob Storage für das Hochladen der Unified Access Gateway-Protokolle bei Bedarf verwendet. |
Ports und Protokolle von App Volumes
Um App Volumes-Funktionen für die Verwendung mit Horizon Cloud Service on Microsoft Azure zu unterstützen, müssen Sie Port 445 für den TCP-Protokolldatenverkehr zum Subnetz des Mandanten (Desktops) konfigurieren. Port 445 ist der KMU-Standardport für den Zugriff auf eine KMU-Dateifreigabe unter Microsoft Windows. Die AppStacks werden in einer SMB-Dateifreigabe gespeichert, die sich in derselben Ressourcengruppe wie die Pod-Manager-VMs befindet.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| App Volumes-Agent in der Basis-Import-VM, die Golden Images, Desktop-VMs, Farm-RDSH-VMs | *.file.core.windows.net | 445 | TCP | Die App Volumes-Anwendungsvirtualisierung auf den VDI-Maschinen und die Erfassung von Anwendungspaketen auf den VDI-Maschinen hängen vom Zugriff auf die Dateifreigaben ab. |
Anforderungen an VDI-Ports und -Protokolle
Die folgende Tabelle enthält die Ports und Protokolle, die für die in Ihrer Umgebung konfigurierten Desktop-Subnetze (VDI oder Mandant) erforderlich sind.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Desktop-Subnetz (Mandant) | *.horizon.vmware.com | 443 | TCP-MQTT | Für Agent-bezogene Vorgänge, wie z. B. Zertifikatsignierung mit VM-Hub und Erneuerung. Die aktuellen konkreten Endpoints lauten wie folgt: US:
EU:
JP:
|
| Desktop-Subnetz (Mandant) | Domänencontroller | 88 | TCP UDP |
Kerberos Dienstleistungen. Das Ziel ist der Server, der eine Domänencontrollerrolle in einer Active Directory-Konfiguration enthält. Das Registrieren des Edge in Active Directory ist eine Voraussetzung. |
| Desktop-Subnetz (Mandant) | Domänencontroller | Kerberos: 88 LDAP: 389, 3268 DAPS: 636, 3269 |
TCP UDP |
Diese Ports sind für LDAP- oder LDAPS-Dienste für die Konnektivität zwischen VM und Domänencontroller erforderlich. Falls das VDI keinen Domänencontroller erreichen kann, ist der Sitzungsstart nicht möglich. |
| Desktop-Subnetz (Mandant) | DNS-Server | 53 und 853 | TCP UDP |
DNS-Dienste |
| Desktop-Subnetz (Mandant) | NTP-Server | 123 | UDP | NTP-Dienste |
| Desktop-Subnetz (Mandant) | *.blob.core.windows.net | 443 | TCP | DCT-Protokollpaket-Upload. Wenn ein Kundenadministrator nach der Anforderungsverarbeitung auf die DCT-Protokollsammlung für eine beliebige VM klickt, wird das Paket aus dem VDI in den Blob hochgeladen, um das Paket zum Download über die Horizon Universal Console bereitzustellen. |
| Desktop-Subnetz (Mandant) | Horizon Edge | 31883 | TCP-MQTT UDP |
Horizon Agent, der auf VM zu MQTT ausgeführt wird, das auf Edge läuft. |
| Desktop-Subnetz (Mandant) | Horizon Edge | 32443 | TCP | Single Sign-On, wenn der Microsoft Azure Edge das Format „Edge-Gateway (VM)“ aufweist. |
| Desktop-Subnetz (Mandant) | Horizon Edge | 443 | TCP | Single Sign-On, wenn der Microsoft Azure Edge das Format „Edge-Gateway (AKS)“ aufweist. |
| Desktop-Subnetz (Mandant) und Verwaltungs-Subnetz | softwareupdate.vmware.com | 443 | TCP | VMware-Softwarepaketserver. Dient zum Herunterladen von Updates der Agent-bezogenen Software, die bei den Image-bezogenen Vorgängen des Systems und beim automatisierten Agent-Update verwendet wird. |
| Desktop-Subnetz (Mandant) | Private Link-Endpoint | 443 | TCP | Desktop-Konnektivität zum Verbindungsdienst in der Cloud-Steuerungsebene. |
| Desktop-Subnetz (Mandant) und Verwaltungs-Subnetz | AD-Zertifikatsdienste | 135 und 445 und ein Port im Bereich von 49152 bis 6553 | RPC/TCP | Zum Hinzufügen von Desktops zur Domäne. |
Port- und Protokollanforderungen für Datenverkehr über Endbenutzerverbindungen
Ausführliche Informationen über die verschiedenen Horizon Clients, die Ihre Endbenutzer mit Ihrer Virtuelle Horizon Edge-Appliance verwenden können, finden Sie auf der Horizon Client-Dokumentationsseite unter https://docs.vmware.com/de/VMware-Horizon-Client/index.html. Welche Ports geöffnet sein müssen, damit der Datenverkehr von den Verbindungen der Endbenutzer ihre virtuellen Desktops und Remoteanwendungen erreicht, hängt von der Wahl ab, die Sie für die Verbindung Ihrer Endbenutzer treffen.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Microsoft Azure-Lastausgleichsdienst für diese Unified Access Gateway-Instanzen | 443 | TCP | Zur Übertragung von CDR, MMR, USB-Umleitung und getunneltem RDP-Datenverkehr. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. |
| Horizon Client | Microsoft Azure-Lastausgleichsdienst für diese Unified Access Gateway-Instanzen | 8443 oder 443 | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für Datenverkehr über Horizon Client. |
| Horizon Client | Microsoft Azure-Lastausgleichsdienst für diese Unified Access Gateway-Instanzen | 443 | UDP | Blast Extreme über das Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleichsdienst für diese Unified Access Gateway-Instanzen | 8443 | UDP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für Datenverkehr (adaptiver Datenverkehr). |
| Browser | Microsoft Azure-Lastausgleichsdienst für diese Unified Access Gateway-Instanzen | 443 | TCP | Zur Übertragung von CDR, MMR, USB-Umleitung und getunneltem RDP-Datenverkehr. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. |
| Browser | Microsoft Azure-Lastausgleichsdienst für diese Unified Access Gateway-Instanzen | 8443 oder 443 | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr vom Horizon HTML Access-Client (Webclient). |
| Horizon Client/Browser | *.horizon.vmware.com | 443 | TCP | Wenn der Kunde nach der Anmeldung und der Auflistung der Startobjekte auf „Desktop starten“ klickt, erfolgt die Umleitung des Protokolldatenverkehrs zum Unified Access Gateway von einer dieser URLs, die auf dem zum Zeitpunkt des Onboarding ausgewählten Standort der Kundenorganisation basiert. Die aktuellen konkreten Endpoints lauten wie folgt:
|
