Az Azure File Sync proxy- és tűzfalbeállításai

Cikk
04/10/2024

Az Azure File Sync csatlakoztatja a helyszíni kiszolgálókat az Azure Fileshoz, lehetővé téve a többhelyes szinkronizálást és a felhőbeli rétegzési funkciókat. Ezért egy helyszíni kiszolgálónak csatlakoznia kell az internethez. Egy informatikai rendszergazdának el kell döntenie, hogy melyik a legjobb út ahhoz, hogy a kiszolgáló elérje az Azure-felhőszolgáltatásokat.

Ez a cikk betekintést nyújt a kiszolgáló és az Azure File Sync sikeres és biztonságos csatlakoztatásához elérhető konkrét követelményekbe és lehetőségekbe.

Javasoljuk, hogy az útmutató elolvasása előtt olvassa el az Azure File Sync hálózatkezelési szempontjait .

Áttekintés

Az Azure File Sync vezénylési szolgáltatásként működik a Windows Server, az Azure-fájlmegosztás és számos más Azure-szolgáltatás között az adatok szinkronizálásához a szinkronizálási csoportban leírtak szerint. Ahhoz, hogy az Azure File Sync megfelelően működjön, konfigurálnia kell a kiszolgálókat a következő Azure-szolgáltatásokkal való kommunikációhoz:

Azure Storage
Azure File Sync
Azure Resource Manager
Hitelesítési szolgáltatások

Feljegyzés

A Windows Serveren futó Azure File Sync-ügynök minden kérést kezdeményez a felhőszolgáltatásokhoz, ezért csak tűzfal szempontjából kell figyelembe vennie a kimenő forgalmat. Egyetlen Azure-szolgáltatás sem kezdeményez kapcsolatot az Azure File Sync-ügynökkel.

Portok

Az Azure File Sync kizárólag HTTPS-en keresztül helyezi át a fájladatokat és a metaadatokat, és a 443-as portot kimenő forgalomra kell megnyitni. Ennek eredményeként minden forgalom titkosítva van.

Hálózatok és speciális kapcsolatok az Azure-hoz

Az Azure File Sync-ügynöknek nincsenek követelményei az Azure-ba irányuló speciális csatornákra, például az ExpressRoute-ra stb. vonatkozóan.

Az Azure File Sync minden elérhető eszközzel működik, amely lehetővé teszi az Azure-ba való elérést, automatikusan alkalmazkodik a hálózati jellemzőkhöz, például a sávszélességhez és a késéshez, valamint rendszergazdai vezérlést kínál a finomhangoláshoz.

Proxy

Az Azure File Sync támogatja az alkalmazásspecifikus és a gépi proxybeállításokat.

Az alkalmazásspecifikus proxybeállítások lehetővé teszik a proxy konfigurálását kifejezetten az Azure File Sync-forgalomhoz. Az alkalmazásspecifikus proxybeállítások az ügynök 4.0.1.0-s vagy újabb verziójában támogatottak, és az ügynök telepítésekor vagy a Set-StorageSyncProxyConfiguration PowerShell-parancsmag használatával konfigurálhatók.

alkalmazásspecifikus proxybeállítások konfigurálására alkalmas PowerShell-parancsok használatával konfigurálhatók:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Ha például a proxykiszolgáló felhasználónév és jelszó megadását kéri a hitelesítéshez, futtassa az alábbi PowerShell-parancsokat:

# IP address or name of the proxy server.
$Address="http://127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

A gépszintű proxybeállítások transzparensek az Azure File Sync-ügynök számára, mivel a kiszolgáló teljes forgalma a proxyn keresztül lesz irányítva.

A számítógépre vonatkozó proxybeállítások konfigurálásához kövesse az alábbi lépéseket:

Proxybeállítások konfigurálása .NET-alkalmazások esetében
- Szerkessze a következő két fájlt:
  C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
  C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
- Adja hozzá a <system.net> szakaszt a machine.config fájlokban (a <system.serviceModel> szakasz alatt). Módosítsa a 127.0.01:8888 címet a proxykiszolgáló IP-címére és portjára.
```
<system.net>
   <defaultProxy enabled="true" useDefaultCredentials="true">
     <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
   </defaultProxy>
</system.net>
```
A WinHTTP-proxybeállítások megadása

Feljegyzés

A Windows Server proxykiszolgáló használatára való konfigurálásához számos módszer létezik (WPAD, PAC-fájl, netsh stb.). Az alábbi lépések bemutatja, hogyan konfigurálhatja a proxybeállításokat, netsh de a Windows dokumentációjában a proxykiszolgáló beállításainak konfigurálása című cikkben felsorolt módszerek támogatottak.
- Futtassa a következő parancsot egy rendszergazda jogú parancssorból vagy a PowerShellben a meglévő proxybeállítások megtekintéséhez:
  
  netsh winhttp show proxy
- Futtassa a következő parancsot egy rendszergazda jogú parancssorból vagy a PowerShellből a proxybeállítás beállításához (módosítsa a 127.0.01:8888 értéket a proxykiszolgáló IP-címére és portára):
  
  netsh winhttp set proxy 127.0.0.1:8888
Indítsa újra a Storage Sync Agent szolgáltatást a következő parancs rendszergazda jogú parancssorból vagy a PowerShellben való futtatásával:

net stop filesyncsvc

Megjegyzés: A Storage Sync Agent (FileSyncSvc) szolgáltatás automatikusan újraindul a leállítását követően.

Firewall

Ahogy az előző szakaszban is említettük, a 443-as portnak kimenőnek kell lennie. Az adatközpontban, ágban vagy régióban lévő szabályzatok alapján a porton keresztüli forgalom további korlátozása adott tartományokra lehet kívánatos vagy kötelező.

Az alábbi táblázat a kommunikációhoz szükséges tartományokat ismerteti:

Szolgáltatás	Nyilvános felhővégpont	Azure Government-végpont	Használat
Azure Resource Manager	`https://management.azure.com`	`https://management.usgovcloudapi.net`	Minden felhasználói (például PowerShell-) hívás ezen az URL-címen halad át, beleértve a kezdeti kiszolgálóregisztrációs hívást is.
Microsoft Entra ID	`https://login.windows.net` `https://login.microsoftonline.com` `https://aadcdn.msftauth.net`	`https://login.microsoftonline.us`	Az Azure Resource Manager hívásait hitelesített felhasználónak kell kezdeményeznie. A siker érdekében ezt az URL-címet kell használni a felhasználó hitelesítéséhez.
Microsoft Entra ID	`https://graph.microsoft.com/`	`https://graph.microsoft.com/`	Az Azure File Sync üzembe helyezésének részeként egy szolgáltatásnév lesz létrehozva az előfizetés Microsoft Entra ID-jában. Erre ez az URL-cím szolgál. Ennek a szolgáltatásnévnek az a rendeltetése, hogy delegálja a jogosultságok egy minimális halmazát az Azure File Sync szolgáltatásnak. Az Azure File Sync kezdeti beállítását végző felhasználónak előfizetés-tulajdonosi jogosultságokkal rendelkező hitelesített felhasználónak kell lennie.
Microsoft Entra ID	`https://secure.aadcdn.microsoftonline-p.com`	`https://secure.aadcdn.microsoftonline-p.com` (ugyanaz, mint a nyilvános felhővégpont URL-címe)	Ezt az URL-címet szólítja meg az Azure File Sync kiszolgálóregisztrációs felhasználói felülete által használt hitelesítési Active Directory-kódtár a rendszergazda bejelentkeztetéséhez.
Azure Storage	*.core.windows.net	*.core.usgovcloudapi.net	Amikor a kiszolgáló fájlt tölt le, a kiszolgáló hatékonyabban hajtja végre ezt az adatáthelyezést, ha közvetlenül kommunikál az Azure-fájlmegosztással a tárfiókban. A kiszolgáló rendelkezik egy SAS-kulccsal, amely csak a cél fájlmegosztáshoz engedélyezi a hozzáférést.
Azure File Sync	.one.microsoft.com .afs.azure.net	*.afs.azure.us	A kiszolgáló kezdeti regisztrációját követően a kiszolgáló egy regionális URL-címet kap az abban a régióban lévő Azure File Sync szolgáltatáspéldányhoz. A kiszolgáló az URL-cím használatával közvetlenül és hatékonyan kommunikálhat a szinkronizálását végző példánnyal.
Microsoft PKI	`https://www.microsoft.com/pki/mscorp/cps` `http://crl.microsoft.com/pki/mscorp/crl/` `http://mscrl.microsoft.com/pki/mscorp/crl/` `http://ocsp.msocsp.com` `http://ocsp.digicert.com/` `http://crl3.digicert.com/`	`https://www.microsoft.com/pki/mscorp/cps` `http://crl.microsoft.com/pki/mscorp/crl/` `http://mscrl.microsoft.com/pki/mscorp/crl/` `http://ocsp.msocsp.com` `http://ocsp.digicert.com/` `http://crl3.digicert.com/`	Az Azure File Sync-ügynök telepítése után a PKI URL-címe szolgál az Azure File Sync szolgáltatással és az Azure-fájlmegosztással való kommunikációhoz szükséges köztes tanúsítványok letöltésére. Az OCSP URL-címével ellenőrizhető a tanúsítvány állapota.
Microsoft Update	.update.microsoft.com .download.windowsupdate.com .ctldl.windowsupdate.com .dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com	.update.microsoft.com .download.windowsupdate.com .ctldl.windowsupdate.com .dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com	Az Azure File Sync-ügynök telepítése után a Microsoft Update URL-címei szolgálnak az Azure File Sync-ügynök frissítéseinek letöltésére.

Fontos

Ha engedélyezi a *.afs.azure.net felé történő forgalmat, csak a szinkronizálási szolgáltatás felé lehet forgalmat engedélyezni. Nincs más Microsoft-szolgáltatások, amely ezt a tartományt használja. Ha engedélyezi a *.one.microsoft.com felé történő forgalmat, a kiszolgálóról a szinkronizálási szolgáltatáson kívül többre is lehet forgalmat bonyolítani. Több Microsoft-szolgáltatások érhető el az altartományokban.

Ha a *.afs.azure.net vagy a *.one.microsoft.com túl széles, korlátozhatja a kiszolgáló kommunikációját úgy, hogy csak az Azure File Sync szolgáltatás explicit regionális példányai számára engedélyezi a kommunikációt. A kiválasztandó példány(ok) attól függenek, hogy melyik társzinkronizálási szolgáltatást telepítette és regisztrálta a kiszolgálót. Ezt a régiót az alábbi táblázatban "Elsődleges végpont URL-jének" nevezzük.

Elképzelhető, hogy üzletmenet-folytonossági és vészhelyreállítási (BCDR) okokból georedundáns tárolással (GRS) konfigurált tárfiókban hozta létre az Azure-fájlmegosztásokat. Ha így van, akkor az Azure-fájlmegosztások feladatát tartós regionális kimaradás esetén a párosított régió veszi át. Az Azure File Sync a tárral azonos régiópárosításokat használ. Ha tehát GRS-tárfiókokat használ, engedélyeznie kell a további URL-címeket, hogy a kiszolgáló az Azure File Sync párosított régiójával kommunikálhasson. Az alábbi táblázat ezt a "párosított régiót" hívja meg. Emellett van egy Traffic Manager-profil URL-címe is, amelyet engedélyezni kell. Ez biztosítja, hogy a hálózati forgalom zökkenőmentesen át lehessen irányítani a párosított régióba feladatátvétel esetén, és az alábbi táblázatban "Felderítési URL-címnek" nevezzük.

Felhőbeli	Régió	Elsődleges végpont URL-címe	Párosított régió	Felderítési URL-cím
Nyilvános	Kelet-Ausztrália	https://australiaeast01.afs.azure.net https://kailani-aue.one.microsoft.com	Délkelet-Ausztrália	https://tm-australiaeast01.afs.azure.net https://tm-kailani-aue.one.microsoft.com
Nyilvános	Délkelet-Ausztrália	https://australiasoutheast01.afs.azure.net https://kailani-aus.one.microsoft.com	Kelet-Ausztrália	https://tm-australiasoutheast01.afs.azure.net https://tm-kailani-aus.one.microsoft.com
Nyilvános	Dél-Brazília	https://brazilsouth01.afs.azure.net	USA déli középső régiója	https://tm-brazilsouth01.afs.azure.net
Nyilvános	Közép-Kanada	https://canadacentral01.afs.azure.net https://kailani-cac.one.microsoft.com	Kelet-Kanada	https://tm-canadacentral01.afs.azure.net https://tm-kailani-cac.one.microsoft.com
Nyilvános	Kelet-Kanada	https://canadaeast01.afs.azure.net https://kailani-cae.one.microsoft.com	Közép-Kanada	https://tm-canadaeast01.afs.azure.net https://tm-kailani.cae.one.microsoft.com
Nyilvános	Közép-India	https://centralindia01.afs.azure.net https://kailani-cin.one.microsoft.com	Dél-India	https://tm-centralindia01.afs.azure.net https://tm-kailani-cin.one.microsoft.com
Nyilvános	Az USA középső régiója	https://centralus01.afs.azure.net https://kailani-cus.one.microsoft.com	USA 2. keleti régiója	https://tm-centralus01.afs.azure.net https://tm-kailani-cus.one.microsoft.com
A 21Vianet által üzemeltetett Microsoft Azure	Kelet-Kína 2. régiója	https://chinaeast201.afs.azure.cn	Észak-Kína 2. régiója	https://tm-chinaeast201.afs.azure.cn
A 21Vianet által üzemeltetett Microsoft Azure	Észak-Kína 2. régiója	https://chinanorth201.afs.azure.cn	Kelet-Kína 2. régiója	https://tm-chinanorth201.afs.azure.cn
Nyilvános	Kelet-Ázsia	https://eastasia01.afs.azure.net https://kailani11.one.microsoft.com	Délkelet-Ázsia	https://tm-eastasia01.afs.azure.net https://tm-kailani11.one.microsoft.com
Nyilvános	USA keleti régiója	https://eastus01.afs.azure.net https://kailani1.one.microsoft.com	USA nyugati régiója	https://tm-eastus01.afs.azure.net https://tm-kailani1.one.microsoft.com
Nyilvános	USA 2. keleti régiója	https://eastus201.afs.azure.net https://kailani-ess.one.microsoft.com	Az USA középső régiója	https://tm-eastus201.afs.azure.net https://tm-kailani-ess.one.microsoft.com
Nyilvános	Észak-Németország	https://germanynorth01.afs.azure.net	Középnyugat-Németország	https://tm-germanywestcentral01.afs.azure.net
Nyilvános	Középnyugat-Németország	https://germanywestcentral01.afs.azure.net	Észak-Németország	https://tm-germanynorth01.afs.azure.net
Nyilvános	Kelet-Japán	https://japaneast01.afs.azure.net	Nyugat-Japán	https://tm-japaneast01.afs.azure.net
Nyilvános	Nyugat-Japán	https://japanwest01.afs.azure.net	Kelet-Japán	https://tm-japanwest01.afs.azure.net
Nyilvános	Dél-Korea középső régiója	https://koreacentral01.afs.azure.net/	Dél-Korea déli régiója	https://tm-koreacentral01.afs.azure.net/
Nyilvános	Dél-Korea déli régiója	https://koreasouth01.afs.azure.net/	Dél-Korea középső régiója	https://tm-koreasouth01.afs.azure.net/
Nyilvános	USA északi középső régiója	https://northcentralus01.afs.azure.net	USA déli középső régiója	https://tm-northcentralus01.afs.azure.net
Nyilvános	Észak-Európa	https://northeurope01.afs.azure.net https://kailani7.one.microsoft.com	Nyugat-Európa	https://tm-northeurope01.afs.azure.net https://tm-kailani7.one.microsoft.com
Nyilvános	USA déli középső régiója	https://southcentralus01.afs.azure.net	USA északi középső régiója	https://tm-southcentralus01.afs.azure.net
Nyilvános	Dél-India	https://southindia01.afs.azure.net https://kailani-sin.one.microsoft.com	Közép-India	https://tm-southindia01.afs.azure.net https://tm-kailani-sin.one.microsoft.com
Nyilvános	Délkelet-Ázsia	https://southeastasia01.afs.azure.net https://kailani10.one.microsoft.com	Kelet-Ázsia	https://tm-southeastasia01.afs.azure.net https://tm-kailani10.one.microsoft.com
Nyilvános	Észak-Svájc	https://switzerlandnorth01.afs.azure.net https://tm-switzerlandnorth01.afs.azure.net	Nyugat-Svájc	https://switzerlandwest01.afs.azure.net https://tm-switzerlandwest01.afs.azure.net
Nyilvános	Nyugat-Svájc	https://switzerlandwest01.afs.azure.net https://tm-switzerlandwest01.afs.azure.net	Észak-Svájc	https://switzerlandnorth01.afs.azure.net https://tm-switzerlandnorth01.afs.azure.net
Nyilvános	Egyesült Arab Emírségek középső régiója	https://uaecentral01.afs.azure.net	Egyesült Arab Emírségek északi régiója	https://tm-uaecentral01.afs.azure.net
Nyilvános	Egyesült Arab Emírségek északi régiója	https://uaenorth01.afs.azure.net	Egyesült Arab Emírségek középső régiója	https://tm-uaenorth01.afs.azure.net
Nyilvános	Az Egyesült Királyság déli régiója	https://uksouth01.afs.azure.net https://kailani-uks.one.microsoft.com	Az Egyesült Királyság nyugati régiója	https://tm-uksouth01.afs.azure.net https://tm-kailani-uks.one.microsoft.com
Nyilvános	Az Egyesült Királyság nyugati régiója	https://ukwest01.afs.azure.net https://kailani-ukw.one.microsoft.com	Az Egyesült Királyság déli régiója	https://tm-ukwest01.afs.azure.net https://tm-kailani-ukw.one.microsoft.com
Nyilvános	USA nyugati középső régiója	https://westcentralus01.afs.azure.net	USA 2. nyugati régiója	https://tm-westcentralus01.afs.azure.net
Nyilvános	Nyugat-Európa	https://westeurope01.afs.azure.net https://kailani6.one.microsoft.com	Észak-Európa	https://tm-westeurope01.afs.azure.net https://tm-kailani6.one.microsoft.com
Nyilvános	USA nyugati régiója	https://westus01.afs.azure.net https://kailani.one.microsoft.com	USA keleti régiója	https://tm-westus01.afs.azure.net https://tm-kailani.one.microsoft.com
Nyilvános	USA 2. nyugati régiója	https://westus201.afs.azure.net	USA nyugati középső régiója	https://tm-westus201.afs.azure.net
Államigazgatás	USA-beli államigazgatás – Arizona	https://usgovarizona01.afs.azure.us	USA-beli államigazgatás – Texas	https://tm-usgovarizona01.afs.azure.us
Államigazgatás	USA-beli államigazgatás – Texas	https://usgovtexas01.afs.azure.us	USA-beli államigazgatás – Arizona	https://tm-usgovtexas01.afs.azure.us

Ha helyileg redundáns tároláshoz (LRS) vagy zónaredundáns tároláshoz (ZRS) konfigurált tárfiókot használ, csak az "Elsődleges végpont URL-címe" alatt felsorolt URL-címet kell engedélyeznie.
Ha GRS-hez konfigurált tárfiókot használ, engedélyezzen három URL-címet.

Példa: Üzembe helyez egy társzinkronizálási szolgáltatást, "West US" és regisztrálja vele a kiszolgálót. Azok az URL-címek, amelyekkel a kiszolgáló kommunikálhat az esethez:

https://westus01.afs.azure.net (elsődleges végpont: USA nyugati régiója)

https://eastus01.afs.azure.net (párosított feladatátvételi régió: USA keleti régiója)

https://tm-westus01.afs.azure.net (az elsődleges régió felderítési URL-címe)

Azure File Sync IP-címek engedélyezési listája

Az Azure File Sync támogatja a szolgáltatáscímkék használatát, amelyek egy adott Azure-szolgáltatáshoz tartozó IP-címelőtagok csoportjainak felelnek meg. Szolgáltatáscímkék használatával az Azure File Sync szolgáltatással való kommunikációt engedélyező tűzfalszabályokat hozhat létre. Az Azure File Sync szolgáltatáscímkéje a következő StorageSyncService: .

Ha az Azure File Syncet használja az Azure-ban, a szolgáltatáscímke nevét közvetlenül a hálózati biztonsági csoportban használhatja a forgalom engedélyezéséhez. Ennek módjáról további információt a Hálózati biztonsági csoportok című témakörben talál.

Ha helyszíni Azure File Syncet használ, a szolgáltatáscímke API-val konkrét IP-címtartományokat kérhet le a tűzfal engedélyezési listájához. Ez az információ két módon szerezhető be:

A szolgáltatáscímkéket támogató összes Azure-szolgáltatás IP-címtartományainak aktuális listája hetente van közzétéve a Microsoft Letöltőközpontban, JSON-dokumentum formájában. Minden Azure-felhő saját JSON-dokumentummal rendelkezik, amely az adott felhőhöz kapcsolódó IP-címtartományokkal rendelkezik:
A szolgáltatáscímke-felderítési API lehetővé teszi a szolgáltatáscímkék aktuális listájának programozott lekérését. Az API-felületet az automatizálási beállítások alapján használhatja:

Mivel előfordulhat, hogy a szolgáltatáscímke-felderítési API nem frissül olyan gyakran, mint a Microsoft Letöltőközpontban közzétett JSON-dokumentumok, javasoljuk, hogy a JSON-dokumentum használatával frissítse a helyszíni tűzfal engedélyezési listáját. Ez a következő módon hajtható végre:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://learn.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Ezután a tűzfal frissítéséhez használhatja a benne lévő $ipAddressRanges IP-címtartományokat. Keressen a tűzfal/hálózati berendezés webhelyén a tűzfal frissítésére vonatkozó információkat.

Szolgáltatásvégpontokkal létesített hálózati kapcsolat tesztelése

Miután regisztrált egy kiszolgálót az Azure File Sync szolgáltatásban, a parancsmag és a Test-StorageSyncNetworkConnectivity ServerRegistration.exe használható a kiszolgálóra vonatkozó összes végponttal (URL-ekkel) folytatott kommunikáció tesztelésére. Ez a parancsmag segíthet a hibaelhárításban, ha a hiányos kommunikáció megakadályozza, hogy a kiszolgáló teljes mértékben működjön az Azure File Sync szolgáltatással, és a proxy- és tűzfalkonfigurációk finomhangolásához használható.

A hálózati kapcsolati teszt futtatásához futtassa a következő PowerShell-parancsokat:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Ha a teszt sikertelen, gyűjtse össze a WinHTTP hibakeresési nyomkövetéseit a hibaelhárításhoz: netsh trace start scenario=InternetClient_dbg capture=yes overwrite=yes maxsize=1024

Futtassa újra a hálózati kapcsolati tesztet, majd állítsa le a nyomkövetések gyűjtését: netsh trace stop

Helyezze a létrehozott NetTrace.etl fájlt egy ZIP-archívumba, nyisson meg egy támogatási esetet, és ossza meg a fájlt a támogatással.

Összegzés és kockázatkorlátozás

A dokumentum korábbi listái tartalmazzák azOkat az URL-címeket, amellyel az Azure File Sync jelenleg kommunikál. A tűzfalaknak engedélyezniük kell az ezekre a tartományokra irányuló kimenő forgalmat. A Microsoft igyekszik naprakészen tartani ezt a listát.

A tartománykorlátozó tűzfalszabályok beállítása a biztonság javítására szolgáló mérték lehet. Ha ezeket a tűzfalkonfigurációkat használja, vegye figyelembe, hogy az URL-címek hozzáadódnak, és idővel változhatnak is. Rendszeresen ellenőrizze ezt a cikket.