Megosztás a következőn keresztül:


Az Azure File Sync proxy- és tűzfalbeállításai

Az Azure File Sync csatlakoztatja a helyszíni kiszolgálókat az Azure Fileshoz, lehetővé téve a többhelyes szinkronizálást és a felhőbeli rétegzési funkciókat. Ezért egy helyszíni kiszolgálónak csatlakoznia kell az internethez. Egy informatikai rendszergazdának el kell döntenie, hogy melyik a legjobb út ahhoz, hogy a kiszolgáló elérje az Azure-felhőszolgáltatásokat.

Ez a cikk betekintést nyújt a kiszolgáló és az Azure File Sync sikeres és biztonságos csatlakoztatásához elérhető konkrét követelményekbe és lehetőségekbe.

Javasoljuk, hogy az útmutató elolvasása előtt olvassa el az Azure File Sync hálózatkezelési szempontjait .

Áttekintés

Az Azure File Sync vezénylési szolgáltatásként működik a Windows Server, az Azure-fájlmegosztás és számos más Azure-szolgáltatás között az adatok szinkronizálásához a szinkronizálási csoportban leírtak szerint. Ahhoz, hogy az Azure File Sync megfelelően működjön, konfigurálnia kell a kiszolgálókat a következő Azure-szolgáltatásokkal való kommunikációhoz:

  • Azure Storage
  • Azure File Sync
  • Azure Resource Manager
  • Hitelesítési szolgáltatások

Feljegyzés

A Windows Serveren futó Azure File Sync-ügynök minden kérést kezdeményez a felhőszolgáltatásokhoz, ezért csak tűzfal szempontjából kell figyelembe vennie a kimenő forgalmat. Egyetlen Azure-szolgáltatás sem kezdeményez kapcsolatot az Azure File Sync-ügynökkel.

Portok

Az Azure File Sync kizárólag HTTPS-en keresztül helyezi át a fájladatokat és a metaadatokat, és a 443-as portot kimenő forgalomra kell megnyitni. Ennek eredményeként minden forgalom titkosítva van.

Hálózatok és speciális kapcsolatok az Azure-hoz

Az Azure File Sync-ügynöknek nincsenek követelményei az Azure-ba irányuló speciális csatornákra, például az ExpressRoute-ra stb. vonatkozóan.

Az Azure File Sync minden elérhető eszközzel működik, amely lehetővé teszi az Azure-ba való elérést, automatikusan alkalmazkodik a hálózati jellemzőkhöz, például a sávszélességhez és a késéshez, valamint rendszergazdai vezérlést kínál a finomhangoláshoz.

Proxy

Az Azure File Sync támogatja az alkalmazásspecifikus és a gépi proxybeállításokat.

Az alkalmazásspecifikus proxybeállítások lehetővé teszik a proxy konfigurálását kifejezetten az Azure File Sync-forgalomhoz. Az alkalmazásspecifikus proxybeállítások az ügynök 4.0.1.0-s vagy újabb verziójában támogatottak, és az ügynök telepítésekor vagy a Set-StorageSyncProxyConfiguration PowerShell-parancsmag használatával konfigurálhatók. A parancsmaggal adja vissza a Get-StorageSyncProxyConfiguration jelenleg konfigurált proxybeállításokat. Az üres eredmény azt jelzi, hogy nincsenek konfigurálva proxybeállítások. A meglévő proxykonfiguráció eltávolításához használja a Remove-StorageSyncProxyConfiguration parancsmagot.

alkalmazásspecifikus proxybeállítások konfigurálására alkalmas PowerShell-parancsok használatával konfigurálhatók:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Ha például a proxykiszolgáló felhasználónév és jelszó megadását kéri a hitelesítéshez, futtassa az alábbi PowerShell-parancsokat:

# IP address or name of the proxy server.
$Address="http://127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

A gépszintű proxybeállítások transzparensek az Azure File Sync-ügynök számára, mivel a kiszolgáló teljes forgalma a proxyn keresztül lesz irányítva.

A számítógépre vonatkozó proxybeállítások konfigurálásához kövesse az alábbi lépéseket:

  1. Proxybeállítások konfigurálása .NET-alkalmazások esetében

    • Szerkessze a következő két fájlt:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • Adja hozzá a <system.net> szakaszt a machine.config fájlokban (a <system.serviceModel> szakasz alatt). Módosítsa a 127.0.01:8888 címet a proxykiszolgáló IP-címére és portjára.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. A WinHTTP-proxybeállítások megadása

    Feljegyzés

    A Windows Server proxykiszolgáló használatára való konfigurálásához számos módszer létezik (WPAD, PAC-fájl, netsh stb.). Az alábbi lépések bemutatja, hogyan konfigurálhatja a proxybeállításokat, netsh de a Windows dokumentációjában a proxykiszolgáló beállításainak konfigurálása című cikkben felsorolt módszerek támogatottak.

    • Futtassa a következő parancsot egy rendszergazda jogú parancssorból vagy a PowerShellben a meglévő proxybeállítások megtekintéséhez:

      netsh winhttp show proxy

    • Futtassa a következő parancsot egy rendszergazda jogú parancssorból vagy a PowerShellből a proxybeállítás beállításához (módosítsa a 127.0.01:8888 értéket a proxykiszolgáló IP-címére és portára):

      netsh winhttp set proxy 127.0.0.1:8888

  3. Indítsa újra a Storage Sync Agent szolgáltatást a következő parancs rendszergazda jogú parancssorból vagy a PowerShellben való futtatásával:

    net stop filesyncsvc

    Megjegyzés: A Storage Sync Agent (FileSyncSvc) szolgáltatás automatikusan újraindul a leállítását követően.

Firewall

Ahogy az előző szakaszban is említettük, a 443-as portnak kimenőnek kell lennie. Az adatközpontban, ágban vagy régióban lévő szabályzatok alapján a porton keresztüli forgalom további korlátozása adott tartományokra lehet kívánatos vagy kötelező.

Az alábbi táblázat a kommunikációhoz szükséges tartományokat ismerteti:

Szolgáltatás Nyilvános felhővégpont Azure Government-végpont Használat
Azure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Minden felhasználói (például PowerShell-) hívás ezen az URL-címen halad át, beleértve a kezdeti kiszolgálóregisztrációs hívást is.
Microsoft Entra ID https://login.windows.net
https://login.microsoftonline.com
https://aadcdn.msftauth.net
https://login.microsoftonline.us Az Azure Resource Manager hívásait hitelesített felhasználónak kell kezdeményeznie. A siker érdekében ezt az URL-címet kell használni a felhasználó hitelesítéséhez.
Microsoft Entra ID https://graph.microsoft.com/ https://graph.microsoft.com/ Az Azure File Sync üzembe helyezésének részeként egy szolgáltatásnév lesz létrehozva az előfizetés Microsoft Entra ID-jában. Erre ez az URL-cím szolgál. Ennek a szolgáltatásnévnek az a rendeltetése, hogy delegálja a jogosultságok egy minimális halmazát az Azure File Sync szolgáltatásnak. Az Azure File Sync kezdeti beállítását végző felhasználónak előfizetés-tulajdonosi jogosultságokkal rendelkező hitelesített felhasználónak kell lennie.
Microsoft Entra ID https://secure.aadcdn.microsoftonline-p.com https://secure.aadcdn.microsoftonline-p.com
(ugyanaz, mint a nyilvános felhővégpont URL-címe)
Ezt az URL-címet szólítja meg az Azure File Sync kiszolgálóregisztrációs felhasználói felülete által használt hitelesítési Active Directory-kódtár a rendszergazda bejelentkeztetéséhez.
Azure Storage *.core.windows.net *.core.usgovcloudapi.net Amikor a kiszolgáló fájlt tölt le, a kiszolgáló hatékonyabban hajtja végre ezt az adatáthelyezést, ha közvetlenül kommunikál az Azure-fájlmegosztással a tárfiókban. A kiszolgáló rendelkezik egy SAS-kulccsal, amely csak a cél fájlmegosztáshoz engedélyezi a hozzáférést.
Azure File Sync *.one.microsoft.com
*.afs.azure.net
*.afs.azure.us A kiszolgáló kezdeti regisztrációját követően a kiszolgáló egy regionális URL-címet kap az abban a régióban lévő Azure File Sync szolgáltatáspéldányhoz. A kiszolgáló az URL-cím használatával közvetlenül és hatékonyan kommunikálhat a szinkronizálását végző példánnyal.
Microsoft PKI https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
Az Azure File Sync-ügynök telepítése után a PKI URL-címe szolgál az Azure File Sync szolgáltatással és az Azure-fájlmegosztással való kommunikációhoz szükséges köztes tanúsítványok letöltésére. Az OCSP URL-címével ellenőrizhető a tanúsítvány állapota.
Microsoft Update *.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
*.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
Az Azure File Sync-ügynök telepítése után a Microsoft Update URL-címei szolgálnak az Azure File Sync-ügynök frissítéseinek letöltésére.

Fontos

Ha engedélyezi a *.afs.azure.net felé történő forgalmat, csak a szinkronizálási szolgáltatás felé lehet forgalmat engedélyezni. Nincs más Microsoft-szolgáltatások, amely ezt a tartományt használja. Ha engedélyezi a *.one.microsoft.com felé történő forgalmat, a kiszolgálóról a szinkronizálási szolgáltatáson kívül többre is lehet forgalmat bonyolítani. Több Microsoft-szolgáltatások érhető el az altartományokban.

Ha a *.afs.azure.net vagy a *.one.microsoft.com túl széles, korlátozhatja a kiszolgáló kommunikációját úgy, hogy csak az Azure File Sync szolgáltatás explicit regionális példányai számára engedélyezi a kommunikációt. A kiválasztandó példány(ok) attól függenek, hogy melyik társzinkronizálási szolgáltatást telepítette és regisztrálta a kiszolgálót. Ezt a régiót az alábbi táblázatban "Elsődleges végpont URL-jének" nevezzük.

Elképzelhető, hogy üzletmenet-folytonossági és vészhelyreállítási (BCDR) okokból georedundáns tárolással (GRS) konfigurált tárfiókban hozta létre az Azure-fájlmegosztásokat. Ha így van, akkor az Azure-fájlmegosztások feladatát tartós regionális kimaradás esetén a párosított régió veszi át. Az Azure File Sync a tárral azonos régiópárosításokat használ. Ha tehát GRS-tárfiókokat használ, engedélyeznie kell a további URL-címeket, hogy a kiszolgáló az Azure File Sync párosított régiójával kommunikálhasson. Az alábbi táblázat ezt a "párosított régiót" hívja meg. Emellett van egy Traffic Manager-profil URL-címe is, amelyet engedélyezni kell. Ez biztosítja, hogy a hálózati forgalom zökkenőmentesen át lehessen irányítani a párosított régióba feladatátvétel esetén, és az alábbi táblázatban "Felderítési URL-címnek" nevezzük.

Felhőbeli Régió Elsődleges végpont URL-címe Párosított régió Felderítési URL-cím
Nyilvános Kelet-Ausztrália https://australiaeast01.afs.azure.net
https://kailani-aue.one.microsoft.com
Délkelet-Ausztrália https://tm-australiaeast01.afs.azure.net
https://tm-kailani-aue.one.microsoft.com
Nyilvános Délkelet-Ausztrália https://australiasoutheast01.afs.azure.net
https://kailani-aus.one.microsoft.com
Kelet-Ausztrália https://tm-australiasoutheast01.afs.azure.net
https://tm-kailani-aus.one.microsoft.com
Nyilvános Dél-Brazília https://brazilsouth01.afs.azure.net USA déli középső régiója https://tm-brazilsouth01.afs.azure.net
Nyilvános Közép-Kanada https://canadacentral01.afs.azure.net
https://kailani-cac.one.microsoft.com
Kelet-Kanada https://tm-canadacentral01.afs.azure.net
https://tm-kailani-cac.one.microsoft.com
Nyilvános Kelet-Kanada https://canadaeast01.afs.azure.net
https://kailani-cae.one.microsoft.com
Közép-Kanada https://tm-canadaeast01.afs.azure.net
https://tm-kailani.cae.one.microsoft.com
Nyilvános Közép-India https://centralindia01.afs.azure.net
https://kailani-cin.one.microsoft.com
Dél-India https://tm-centralindia01.afs.azure.net
https://tm-kailani-cin.one.microsoft.com
Nyilvános Az USA középső régiója https://centralus01.afs.azure.net
https://kailani-cus.one.microsoft.com
USA 2. keleti régiója https://tm-centralus01.afs.azure.net
https://tm-kailani-cus.one.microsoft.com
A 21Vianet által üzemeltetett Microsoft Azure Kelet-Kína 2. régiója https://chinaeast201.afs.azure.cn Észak-Kína 2. régiója https://tm-chinaeast201.afs.azure.cn
A 21Vianet által üzemeltetett Microsoft Azure Észak-Kína 2. régiója https://chinanorth201.afs.azure.cn Kelet-Kína 2. régiója https://tm-chinanorth201.afs.azure.cn
Nyilvános Kelet-Ázsia https://eastasia01.afs.azure.net
https://kailani11.one.microsoft.com
Délkelet-Ázsia https://tm-eastasia01.afs.azure.net
https://tm-kailani11.one.microsoft.com
Nyilvános USA keleti régiója https://eastus01.afs.azure.net
https://kailani1.one.microsoft.com
USA nyugati régiója https://tm-eastus01.afs.azure.net
https://tm-kailani1.one.microsoft.com
Nyilvános USA 2. keleti régiója https://eastus201.afs.azure.net
https://kailani-ess.one.microsoft.com
Az USA középső régiója https://tm-eastus201.afs.azure.net
https://tm-kailani-ess.one.microsoft.com
Nyilvános Észak-Németország https://germanynorth01.afs.azure.net Középnyugat-Németország https://tm-germanywestcentral01.afs.azure.net
Nyilvános Középnyugat-Németország https://germanywestcentral01.afs.azure.net Észak-Németország https://tm-germanynorth01.afs.azure.net
Nyilvános Kelet-Japán https://japaneast01.afs.azure.net Nyugat-Japán https://tm-japaneast01.afs.azure.net
Nyilvános Nyugat-Japán https://japanwest01.afs.azure.net Kelet-Japán https://tm-japanwest01.afs.azure.net
Nyilvános Dél-Korea középső régiója https://koreacentral01.afs.azure.net/ Dél-Korea déli régiója https://tm-koreacentral01.afs.azure.net/
Nyilvános Dél-Korea déli régiója https://koreasouth01.afs.azure.net/ Dél-Korea középső régiója https://tm-koreasouth01.afs.azure.net/
Nyilvános USA északi középső régiója https://northcentralus01.afs.azure.net USA déli középső régiója https://tm-northcentralus01.afs.azure.net
Nyilvános Észak-Európa https://northeurope01.afs.azure.net
https://kailani7.one.microsoft.com
Nyugat-Európa https://tm-northeurope01.afs.azure.net
https://tm-kailani7.one.microsoft.com
Nyilvános USA déli középső régiója https://southcentralus01.afs.azure.net USA északi középső régiója https://tm-southcentralus01.afs.azure.net
Nyilvános Dél-India https://southindia01.afs.azure.net
https://kailani-sin.one.microsoft.com
Közép-India https://tm-southindia01.afs.azure.net
https://tm-kailani-sin.one.microsoft.com
Nyilvános Délkelet-Ázsia https://southeastasia01.afs.azure.net
https://kailani10.one.microsoft.com
Kelet-Ázsia https://tm-southeastasia01.afs.azure.net
https://tm-kailani10.one.microsoft.com
Nyilvános Észak-Svájc https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Nyugat-Svájc https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Nyilvános Nyugat-Svájc https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Észak-Svájc https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Nyilvános Egyesült Arab Emírségek középső régiója https://uaecentral01.afs.azure.net Egyesült Arab Emírségek északi régiója https://tm-uaecentral01.afs.azure.net
Nyilvános Egyesült Arab Emírségek északi régiója https://uaenorth01.afs.azure.net Egyesült Arab Emírségek középső régiója https://tm-uaenorth01.afs.azure.net
Nyilvános Az Egyesült Királyság déli régiója https://uksouth01.afs.azure.net
https://kailani-uks.one.microsoft.com
Az Egyesült Királyság nyugati régiója https://tm-uksouth01.afs.azure.net
https://tm-kailani-uks.one.microsoft.com
Nyilvános Az Egyesült Királyság nyugati régiója https://ukwest01.afs.azure.net
https://kailani-ukw.one.microsoft.com
Az Egyesült Királyság déli régiója https://tm-ukwest01.afs.azure.net
https://tm-kailani-ukw.one.microsoft.com
Nyilvános USA nyugati középső régiója https://westcentralus01.afs.azure.net USA 2. nyugati régiója https://tm-westcentralus01.afs.azure.net
Nyilvános Nyugat-Európa https://westeurope01.afs.azure.net
https://kailani6.one.microsoft.com
Észak-Európa https://tm-westeurope01.afs.azure.net
https://tm-kailani6.one.microsoft.com
Nyilvános USA nyugati régiója https://westus01.afs.azure.net
https://kailani.one.microsoft.com
USA keleti régiója https://tm-westus01.afs.azure.net
https://tm-kailani.one.microsoft.com
Nyilvános USA 2. nyugati régiója https://westus201.afs.azure.net USA nyugati középső régiója https://tm-westus201.afs.azure.net
Államigazgatás USA-beli államigazgatás – Arizona https://usgovarizona01.afs.azure.us USA-beli államigazgatás – Texas https://tm-usgovarizona01.afs.azure.us
Államigazgatás USA-beli államigazgatás – Texas https://usgovtexas01.afs.azure.us USA-beli államigazgatás – Arizona https://tm-usgovtexas01.afs.azure.us
  • Ha helyileg redundáns tároláshoz (LRS) vagy zónaredundáns tároláshoz (ZRS) konfigurált tárfiókot használ, csak az "Elsődleges végpont URL-címe" alatt felsorolt URL-címet kell engedélyeznie.

  • Ha GRS-hez konfigurált tárfiókot használ, engedélyezzen három URL-címet.

Példa: Üzembe helyez egy társzinkronizálási szolgáltatást, "West US" és regisztrálja vele a kiszolgálót. Azok az URL-címek, amelyekkel a kiszolgáló kommunikálhat az esethez:

  • https://westus01.afs.azure.net (elsődleges végpont: USA nyugati régiója)
  • https://eastus01.afs.azure.net (párosított feladatátvételi régió: USA keleti régiója)
  • https://tm-westus01.afs.azure.net (az elsődleges régió felderítési URL-címe)

Azure File Sync IP-címek engedélyezési listája

Az Azure File Sync támogatja a szolgáltatáscímkék használatát, amelyek egy adott Azure-szolgáltatáshoz tartozó IP-címelőtagok csoportjainak felelnek meg. Szolgáltatáscímkék használatával az Azure File Sync szolgáltatással való kommunikációt engedélyező tűzfalszabályokat hozhat létre. Az Azure File Sync szolgáltatáscímkéje a következő StorageSyncService: .

Ha az Azure File Syncet használja az Azure-ban, a szolgáltatáscímke nevét közvetlenül a hálózati biztonsági csoportban használhatja a forgalom engedélyezéséhez. Ennek módjáról további információt a Hálózati biztonsági csoportok című témakörben talál.

Ha helyszíni Azure File Syncet használ, a szolgáltatáscímke API-val konkrét IP-címtartományokat kérhet le a tűzfal engedélyezési listájához. Ez az információ két módon szerezhető be:

  • A szolgáltatáscímkéket támogató összes Azure-szolgáltatás IP-címtartományainak aktuális listája hetente van közzétéve a Microsoft Letöltőközpontban, JSON-dokumentum formájában. Minden Azure-felhő saját JSON-dokumentummal rendelkezik, amely az adott felhőhöz kapcsolódó IP-címtartományokkal rendelkezik:
  • A szolgáltatáscímke-felderítési API lehetővé teszi a szolgáltatáscímkék aktuális listájának programozott lekérését. Az API-felületet az automatizálási beállítások alapján használhatja:

Mivel előfordulhat, hogy a szolgáltatáscímke-felderítési API nem frissül olyan gyakran, mint a Microsoft Letöltőközpontban közzétett JSON-dokumentumok, javasoljuk, hogy a JSON-dokumentum használatával frissítse a helyszíni tűzfal engedélyezési listáját. Ez a következő módon hajtható végre:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Don't change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region isn't available. Either Azure File Sync isn't deployed there or the region doesn't exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://learn.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Ezután a tűzfal frissítéséhez használhatja a benne lévő $ipAddressRanges IP-címtartományokat. Keressen a tűzfal/hálózati berendezés webhelyén a tűzfal frissítésére vonatkozó információkat.

Szolgáltatásvégpontokkal létesített hálózati kapcsolat tesztelése

Miután regisztrált egy kiszolgálót az Azure File Sync szolgáltatásban, a parancsmag és a Test-StorageSyncNetworkConnectivity ServerRegistration.exe használható a kiszolgálóra vonatkozó összes végponttal (URL-ekkel) folytatott kommunikáció tesztelésére. Ez a parancsmag segíthet a hibaelhárításban, ha a hiányos kommunikáció megakadályozza, hogy a kiszolgáló teljes mértékben működjön az Azure File Sync szolgáltatással, és a proxy- és tűzfalkonfigurációk finomhangolásához használható.

A hálózati kapcsolati teszt futtatásához futtassa a következő PowerShell-parancsokat:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Ha a teszt sikertelen, gyűjtse össze a WinHTTP hibakeresési nyomkövetéseit a hibaelhárításhoz: netsh trace start scenario=InternetClient_dbg capture=yes overwrite=yes maxsize=1024

Futtassa újra a hálózati kapcsolati tesztet, majd állítsa le a nyomkövetések gyűjtését: netsh trace stop

Helyezze a létrehozott NetTrace.etl fájlt egy ZIP-archívumba, nyisson meg egy támogatási esetet, és ossza meg a fájlt a támogatással.

Összegzés és kockázatkorlátozás

A dokumentum korábbi listái tartalmazzák azOkat az URL-címeket, amellyel az Azure File Sync jelenleg kommunikál. A tűzfalaknak engedélyezniük kell az ezekre a tartományokra irányuló kimenő forgalmat. A Microsoft igyekszik naprakészen tartani ezt a listát.

A tartománykorlátozó tűzfalszabályok beállítása a biztonság javítására szolgáló mérték lehet. Ha ezeket a tűzfalkonfigurációkat használja, vegye figyelembe, hogy az URL-címek hozzáadódnak, és idővel változhatnak is. Rendszeresen ellenőrizze ezt a cikket.

Következő lépések