Impostazioni di proxy e firewall di Sincronizzazione file di AzureAzure File Sync proxy and firewall settings

Sincronizzazione file di Azure connette i server locali a File di Azure abilitando la sincronizzazione tra più siti e funzionalità di suddivisione in livelli cloud.Azure File Sync connects your on-premises servers to Azure Files, enabling multi-site synchronization and cloud tiering features. È necessario quindi che un server locale sia connesso a InternetAs such, an on-premises server must be connected to the internet. e che un amministratore IT scelga il percorso migliore per consentire al server di accedere ai servizi cloud di Azure.An IT admin needs to decide the best path for the server to reach into Azure cloud services.

Questo articolo offre informazioni dettagliate sui requisiti e le opzioni disponibili per connettere un server a Sincronizzazione file di Azure in modo sicuro ed efficiente.This article will provide insight into specific requirements and options available to successfully and securely connect your server to Azure File Sync.

Prima di seguire questa guida pratica, è consigliabile leggere Considerazioni sulla rete per Sincronizzazione file di Azure.We recommend reading Azure File Sync networking considerations prior to reading this how to guide.

PanoramicaOverview

Sincronizzazione file di Azure svolge la funzione di servizio di orchestrazione tra Windows Server, la condivisione file di Azure e altri servizi di Azure per la sincronizzazione dei dati, come descritto nel gruppo di sincronizzazione.Azure File Sync acts as an orchestration service between your Windows Server, your Azure file share, and several other Azure services to sync data as described in your sync group. Per consentire il corretto funzionamento di Sincronizzazione file di Azure, è necessario configurare i server in modo che possano comunicare con i servizi di Azure seguenti:For Azure File Sync to work correctly, you will need to configure your servers to communicate with the following Azure services:

  • Archiviazione di AzureAzure Storage
  • Sincronizzazione file di AzureAzure File Sync
  • Azure Resource ManagerAzure Resource Manager
  • Servizi di autenticazioneAuthentication services

Nota

L'agente Sincronizzazione file di Azure in Windows Server avvia tutte le richieste ai servizi cloud ed è quindi necessario tenere conto del traffico in uscita solo dal punto di vista del firewall.The Azure File Sync agent on Windows Server initiates all requests to cloud services which results in only having to consider outbound traffic from a firewall perspective.
Nessun servizio di Azure avvia una connessione all'agente Sincronizzazione file di Azure.No Azure service initiates a connection to the Azure File Sync agent.

PortePorts

Sincronizzazione file di Azure sposta i dati e i metadati dei file solo su connessioni HTTPS e richiede che la porta 443 sia aperta in uscita.Azure File Sync moves file data and metadata exclusively over HTTPS and requires port 443 to be open outbound. Tutto il traffico, quindi, viene crittografato.As a result all traffic is encrypted.

Reti e connessioni speciali ad AzureNetworks and special connections to Azure

L'agente Sincronizzazione file di Azure non presenta alcun requisito in merito a canali speciali come ExpressRoute e altri diretti ad Azure.The Azure File Sync agent has no requirements regarding special channels like ExpressRoute, etc. to Azure.

Sincronizzazione file di Azure interagisce con qualsiasi mezzo disponibile che consenta di accedere ad Azure adattandosi automaticamente alle varie caratteristiche di rete, come la latenza e la larghezza di banda, e offrendo il controllo amministrativo per l'ottimizzazione.Azure File Sync will work through any means available that allow reach into Azure, automatically adapting to various network characteristics like bandwidth, latency as well as offering admin control for fine-tuning. Non sono ancora disponibili tutte le funzionalità.Not all features are available at this time. Per configurare un comportamento specifico, è possibile usare UserVoice per File di Azure.If you would like to configure specific behavior, let us know via Azure Files UserVoice.

ProxyProxy

Sincronizzazione file di Azure supporta impostazioni proxy a livello di computer specifiche per l'app.Azure File Sync supports app-specific and machine-wide proxy settings.

Le impostazioni proxy specifiche dell'app consentono la configurazione di un proxy specifico per il traffico sincronizzazione file di Azure.App-specific proxy settings allow configuration of a proxy specifically for Azure File Sync traffic. Le impostazioni proxy specifiche per le app sono supportate nella versione 4.0.1.0 o versioni successive dell'agente e possono essere configurate durante l'installazione dell'agente oppure usando il cmdlet Set-StorageSyncProxyConfiguration di PowerShell.App-specific proxy settings are supported on agent version 4.0.1.0 or newer and can be configured during the agent installation or by using the Set-StorageSyncProxyConfiguration PowerShell cmdlet.

Comandi di PowerShell per configurare le impostazioni proxy specifiche dell'app:PowerShell commands to configure app-specific proxy settings:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Le impostazioni proxy a livello di computer sono trasparenti per l'agente sincronizzazione file di Azure perché l'intero traffico del server viene instradato attraverso il proxy.Machine-wide proxy settings are transparent to the Azure File Sync agent as the entire traffic of the server is routed through the proxy.

Per configurare le impostazioni proxy a livello di computer, attenersi alla procedura seguente:To configure machine-wide proxy settings, follow the steps below:

  1. Configurare le impostazioni proxy per le applicazioni .NETConfigure proxy settings for .NET applications

    • Modificare questi due file:Edit these two files:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configC:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.configC:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • Aggiungere la sezione <system.net> nel file machine.config (sotto la sezione <system.serviceModel>).Add the <system.net> section in the machine.config files (below the <system.serviceModel> section). Modificare 127.0.01:8888 per l'indirizzo IP e la porta del server proxy.Change 127.0.01:8888 to the IP address and port for the proxy server.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. Configurare le impostazioni del proxy WinHTTPSet the WinHTTP proxy settings

    • Eseguire il comando seguente da un prompt dei comandi con privilegi elevati o PowerShell per visualizzare le impostazioni del proxy esistente:Run the following command from an elevated command prompt or PowerShell to see the existing proxy setting:

      Visualizzare il proxy netsh winhttpnetsh winhttp show proxy

    • Eseguire il comando seguente da un prompt dei comandi con privilegi elevati o PowerShell per impostare le impostazioni del proxy (modificare 127.0.01:8888 per l'indirizzo IP e la porta del server proxy):Run the following command from an elevated command prompt or PowerShell to set the proxy setting (change 127.0.01:8888 to the IP address and port for the proxy server):

      Impostare il proxy netsh winhttp 127.0.0.1:8888netsh winhttp set proxy 127.0.0.1:8888

  3. Riavviare il servizio Storage Sync Agent eseguendo il comando seguente da un prompt dei comandi con privilegi elevati o da PowerShell:Restart the Storage Sync Agent service by running the following command from an elevated command prompt or PowerShell:

    net stop filesyncsvcnet stop filesyncsvc

    Nota: il servizio Storage Sync Agent (filesyncsvc) si avvia in modo automatico dopo l'arresto.Note: The Storage Sync Agent (filesyncsvc) service will auto-start once stopped.

FirewallFirewall

Come indicato in una sezione precedente, la porta 443 deve essere aperta in uscita.As mentioned in a previous section, port 443 needs to be open outbound. In base ai criteri definiti a livello di data center, ramo o area geografica, è possibile che sia necessario o preferibile limitare il traffico su questa porta a domini specifici.Based on policies in your datacenter, branch or region, further restricting traffic over this port to specific domains may be desired or required.

La tabella seguente illustra i domini necessari per la comunicazione:The following table describes the required domains for communication:

ServizioService Endpoint cloud pubblicoPublic cloud endpoint Endpoint di Azure per enti pubbliciAzure Government endpoint UtilizzoUsage
Azure Resource ManagerAzure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Qualsiasi chiamata utente (ad esempio, PowerShell) giunge o passa attraverso questo URL, inclusa la chiamata di registrazione iniziale del server.Any user call (like PowerShell) goes to/through this URL, including the initial server registration call.
Azure Active DirectoryAzure Active Directory https://login.windows.net
https://login.microsoftonline.com
https://login.microsoftonline.us Le chiamate di Azure Resource Manager devono essere effettuate da un utente autenticato.Azure Resource Manager calls must be made by an authenticated user. Per l'autenticazione utente viene usato questo URL.To succeed, this URL is used for user authentication.
Azure Active DirectoryAzure Active Directory https://graph.microsoft.com/ https://graph.microsoft.com/ Nel corso del processo di distribuzione di Sincronizzazione file di Azure verrà creata un'entità servizio nella sessione di Azure Active Directory associata alla sottoscrizione.As part of deploying Azure File Sync, a service principal in the subscription's Azure Active Directory will be created. A tale scopo viene usato questo URL.This URL is used for that. Questa entità viene usata per delegare una quantità minima di diritti al servizio Sincronizzazione file di Azure.This principal is used for delegating a minimal set of rights to the Azure File Sync service. L'utente che esegue la configurazione iniziale di Sincronizzazione file di Azure deve essere un utente autenticato con privilegi di proprietario della sottoscrizione.The user performing the initial setup of Azure File Sync must be an authenticated user with subscription owner privileges.
Azure Active DirectoryAzure Active Directory https://secure.aadcdn.microsoftonline-p.com Usare l'URL dell'endpoint pubblico.Use the public endpoint URL. Questo URL è accessibile dalla libreria di autenticazione Active Directory utilizzata dall'interfaccia utente di registrazione Sincronizzazione file di Azure server per accedere all'amministratore.This URL is accessed by the Active Directory authentication library that the Azure File Sync server registration UI uses to log in the administrator.
Archiviazione di AzureAzure Storage *.core.windows.net*.core.windows.net *. core.usgovcloudapi.net*.core.usgovcloudapi.net Quando il server scarica un file, esegue lo spostamento dati in modo più efficiente se comunica direttamente con la condivisione file di Azure nell'account di archiviazione.When the server downloads a file, then the server performs that data movement more efficiently when talking directly to the Azure file share in the Storage Account. Il server ha una chiave di firma di accesso condiviso che consente l'accesso solo a specifiche condivisioni file.The server has a SAS key that only allows for targeted file share access.
Sincronizzazione file di AzureAzure File Sync *.one.microsoft.com*.one.microsoft.com
*. afs.azure.net*.afs.azure.net
*. afs.azure.us*.afs.azure.us Dopo la registrazione iniziale, il server riceve un URL regionale relativo all'istanza del servizio Sincronizzazione file di Azure disponibile in quell'area.After initial server registration, the server receives a regional URL for the Azure File Sync service instance in that region. Il server può usare l'URL per comunicare direttamente e in modo efficiente con l'istanza che gestisce la sincronizzazione.The server can use the URL to communicate directly and efficiently with the instance handling its sync.
Infrastruttura a chiave pubblica MicrosoftMicrosoft PKI https://www.microsoft.com/pki/mscorp/cps
http://ocsp.msocsp.com
https://www.microsoft.com/pki/mscorp/cps
http://ocsp.msocsp.com
Dopo l'installazione dell'agente di Sincronizzazione file di Azure, l'URL dell'infrastruttura a chiave pubblica viene usato per scaricare i certificati intermedi necessari per comunicare con il servizio Sincronizzazione file di Azure e la condivisione file di Azure.Once the Azure File Sync agent is installed, the PKI URL is used to download intermediate certificates required to communicate with the Azure File Sync service and Azure file share. L'URL OCSP viene usato per controllare lo stato di un certificato.The OCSP URL is used to check the status of a certificate.
Microsoft UpdateMicrosoft Update *.update.microsoft.com*.update.microsoft.com
*.download.windowsupdate.com*.download.windowsupdate.com
*.dl.delivery.mp.microsoft.com*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com*.emdl.ws.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.windowsupdate.com*.download.windowsupdate.com
*.dl.delivery.mp.microsoft.com*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com*.emdl.ws.microsoft.com
Una volta installato l'agente di Sincronizzazione file di Azure, gli URL Microsoft Update vengono utilizzati per scaricare gli aggiornamenti dell'agente di Sincronizzazione file di Azure.Once the Azure File Sync agent is installed, the Microsoft Update URLs are used to download Azure File Sync agent updates.

Importante

Quando si consente il traffico a * . AFS.Azure.NET, il traffico è possibile solo per il servizio di sincronizzazione.When allowing traffic to *.afs.azure.net, traffic is only possible to the sync service. Non sono presenti altri servizi Microsoft che usano questo dominio.There are no other Microsoft services using this domain. Quando si consente il traffico a *.one.microsoft.com, il traffico dal server non è più limitato solo al servizio di sincronizzazione.When allowing traffic to *.one.microsoft.com, traffic to more than just the sync service is possible from the server. Nei sottodomini sono infatti disponibili molti altri servizi Microsoft.There are many more Microsoft services available under subdomains.

Se * . AFS.Azure.NET o * . One.Microsoft.com è troppo ampio, è possibile limitare la comunicazione del server consentendo la comunicazione solo con istanze internazionali esplicite del servizio file di Azure Sync.If *.afs.azure.net or *.one.microsoft.com is too broad, you can limit the server's communication by allowing communication to only explicit regional instances of the Azure Files Sync service. Le istanze da scegliere dipendono dall'area del servizio di sincronizzazione archiviazione in cui è stato distribuito e registrato il server.Which instance(s) to choose depends on the region of the storage sync service you have deployed and registered the server to. Tale area è chiamata "URL dell'endpoint primario" nella tabella seguente.That region is called "Primary endpoint URL" in the table below.

Per ragioni di continuità aziendale e ripristino di emergenza (BCDR) è possibile che siano state specificate condivisioni file di Azure in un account di archiviazione con ridondanza geografica (GRS).For business continuity and disaster recovery (BCDR) reasons you may have specified your Azure file shares in a globally redundant (GRS) storage account. In tal caso, le condivisioni file di Azure eseguiranno il failover nell'area abbinata se si verifica un'interruzione duratura a livello di area.If that is the case, then your Azure file shares will fail over to the paired region in the event of a lasting regional outage. Sincronizzazione file di Azure usa le stesse associazioni a livello di area della risorsa di archiviazione.Azure File Sync uses the same regional pairings as storage. Quindi, se si usano gli account di archiviazione GRS, è necessario abilitare URL aggiuntivi per consentire al server di comunicare con l'area abbinata per Sincronizzazione file di Azure. La tabella seguente chiama questa "area abbinata".So if you use GRS storage accounts, you need to enable additional URLs to allow your server to talk to the paired region for Azure File Sync. The table below calls this "Paired region". Inoltre, vi è anche un URL del profilo di gestione traffico che deve essere abilitato.Additionally, there is a traffic manager profile URL that needs to be enabled as well. In questo modo il traffico di rete può essere indirizzato di nuovo con facilità all'area abbinata in caso di failover ed è chiamato "URL di individuazione" nella tabella seguente.This will ensure network traffic can be seamlessly re-routed to the paired region in the event of a fail-over and is called "Discovery URL" in the table below.

CloudCloud RegionRegion URL dell'endpoint primarioPrimary endpoint URL Area associataPaired region URL di individuazioneDiscovery URL
PubblicoPublic Australia orientaleAustralia East https: / /australiaeast01.AFS.Azure.NEThttps://australiaeast01.afs.azure.net
https: / /Kailani-Aue.One.Microsoft.comhttps://kailani-aue.one.microsoft.com
Australia sud-orientaleAustralia Southeast https: / /TM-australiaeast01.AFS.Azure.NEThttps://tm-australiaeast01.afs.azure.net
https: / /TM-Kailani-Aue.One.Microsoft.comhttps://tm-kailani-aue.one.microsoft.com
PubblicoPublic Australia sud-orientaleAustralia Southeast https: / /australiasoutheast01.AFS.Azure.NEThttps://australiasoutheast01.afs.azure.net
https: / /Kailani-aus.One.Microsoft.comhttps://kailani-aus.one.microsoft.com
Australia orientaleAustralia East https: / /TM-australiasoutheast01.AFS.Azure.NEThttps://tm-australiasoutheast01.afs.azure.net
https: / /TM-Kailani-aus.One.Microsoft.comhttps://tm-kailani-aus.one.microsoft.com
PubblicoPublic Brasile meridionaleBrazil South https: / /brazilsouth01.AFS.Azure.NEThttps://brazilsouth01.afs.azure.net Stati Uniti centro-meridionaliSouth Central US https: / /TM-brazilsouth01.AFS.Azure.NEThttps://tm-brazilsouth01.afs.azure.net
PubblicoPublic Canada centraleCanada Central https: / /canadacentral01.AFS.Azure.NEThttps://canadacentral01.afs.azure.net
https: / /Kailani-CAC.One.Microsoft.comhttps://kailani-cac.one.microsoft.com
Canada orientaleCanada East https: / /TM-canadacentral01.AFS.Azure.NEThttps://tm-canadacentral01.afs.azure.net
https: / /TM-Kailani-CAC.One.Microsoft.comhttps://tm-kailani-cac.one.microsoft.com
PubblicoPublic Canada orientaleCanada East https: / /canadaeast01.AFS.Azure.NEThttps://canadaeast01.afs.azure.net
https: / /Kailani-CAE.One.Microsoft.comhttps://kailani-cae.one.microsoft.com
Canada centraleCanada Central https: / /TM-canadaeast01.AFS.Azure.NEThttps://tm-canadaeast01.afs.azure.net
https: / /TM-Kailani.CAE.One.Microsoft.comhttps://tm-kailani.cae.one.microsoft.com
PubblicoPublic India centraleCentral India https: / /centralindia01.AFS.Azure.NEThttps://centralindia01.afs.azure.net
https: / /Kailani-cin.One.Microsoft.comhttps://kailani-cin.one.microsoft.com
India meridionaleSouth India https: / /TM-centralindia01.AFS.Azure.NEThttps://tm-centralindia01.afs.azure.net
https: / /TM-Kailani-cin.One.Microsoft.comhttps://tm-kailani-cin.one.microsoft.com
PubblicoPublic Stati Uniti centraliCentral US https: / /centralus01.AFS.Azure.NEThttps://centralus01.afs.azure.net
https: / /Kailani-CUS.One.Microsoft.comhttps://kailani-cus.one.microsoft.com
Stati Uniti orientali 2East US 2 https: / /TM-centralus01.AFS.Azure.NEThttps://tm-centralus01.afs.azure.net
https: / /TM-Kailani-CUS.One.Microsoft.comhttps://tm-kailani-cus.one.microsoft.com
PubblicoPublic Asia orientaleEast Asia https: / /eastasia01.AFS.Azure.NEThttps://eastasia01.afs.azure.net
https: / /kailani11.One.Microsoft.comhttps://kailani11.one.microsoft.com
Asia sud-orientaleSoutheast Asia https: / /TM-eastasia01.AFS.Azure.NEThttps://tm-eastasia01.afs.azure.net
https: / /TM-kailani11.One.Microsoft.comhttps://tm-kailani11.one.microsoft.com
PubblicoPublic Stati Uniti orientaliEast US https: / /eastus01.AFS.Azure.NEThttps://eastus01.afs.azure.net
https: / /kailani1.One.Microsoft.comhttps://kailani1.one.microsoft.com
Stati Uniti occidentaliWest US https: / /TM-eastus01.AFS.Azure.NEThttps://tm-eastus01.afs.azure.net
https: / /TM-kailani1.One.Microsoft.comhttps://tm-kailani1.one.microsoft.com
PubblicoPublic Stati Uniti orientali 2East US 2 https: / /eastus201.AFS.Azure.NEThttps://eastus201.afs.azure.net
https: / /Kailani-ESS.One.Microsoft.comhttps://kailani-ess.one.microsoft.com
Stati Uniti centraliCentral US https: / /TM-eastus201.AFS.Azure.NEThttps://tm-eastus201.afs.azure.net
https: / /TM-Kailani-ESS.One.Microsoft.comhttps://tm-kailani-ess.one.microsoft.com
PubblicoPublic Germania settentrionaleGermany North https: / /germanynorth01.AFS.Azure.NEThttps://germanynorth01.afs.azure.net Germania centro-occidentaleGermany West Central https: / /TM-germanywestcentral01.AFS.Azure.NEThttps://tm-germanywestcentral01.afs.azure.net
PubblicoPublic Germania centro-occidentaleGermany West Central https: / /germanywestcentral01.AFS.Azure.NEThttps://germanywestcentral01.afs.azure.net Germania settentrionaleGermany North https: / /TM-germanynorth01.AFS.Azure.NEThttps://tm-germanynorth01.afs.azure.net
PubblicoPublic Giappone orientaleJapan East https: / /japaneast01.AFS.Azure.NEThttps://japaneast01.afs.azure.net Giappone occidentaleJapan West https: / /TM-japaneast01.AFS.Azure.NEThttps://tm-japaneast01.afs.azure.net
PubblicoPublic Giappone occidentaleJapan West https: / /japanwest01.AFS.Azure.NEThttps://japanwest01.afs.azure.net Giappone orientaleJapan East https: / /TM-japanwest01.AFS.Azure.NEThttps://tm-japanwest01.afs.azure.net
PubblicoPublic Corea centraleKorea Central https: / /koreacentral01.AFS.Azure.NET/https://koreacentral01.afs.azure.net/ Corea meridionaleKorea South https: / /TM-koreacentral01.AFS.Azure.NET/https://tm-koreacentral01.afs.azure.net/
PubblicoPublic Corea meridionaleKorea South https: / /koreasouth01.AFS.Azure.NET/https://koreasouth01.afs.azure.net/ Corea centraleKorea Central https: / /TM-koreasouth01.AFS.Azure.NET/https://tm-koreasouth01.afs.azure.net/
PubblicoPublic Stati Uniti centro-settentrionaliNorth Central US https: / /northcentralus01.AFS.Azure.NEThttps://northcentralus01.afs.azure.net Stati Uniti centro-meridionaliSouth Central US https: / /TM-northcentralus01.AFS.Azure.NEThttps://tm-northcentralus01.afs.azure.net
PubblicoPublic Europa settentrionaleNorth Europe https: / /northeurope01.AFS.Azure.NEThttps://northeurope01.afs.azure.net
https: / /kailani7.One.Microsoft.comhttps://kailani7.one.microsoft.com
Europa occidentaleWest Europe https: / /TM-northeurope01.AFS.Azure.NEThttps://tm-northeurope01.afs.azure.net
https: / /TM-kailani7.One.Microsoft.comhttps://tm-kailani7.one.microsoft.com
PubblicoPublic Stati Uniti centro-meridionaliSouth Central US https: / /southcentralus01.AFS.Azure.NEThttps://southcentralus01.afs.azure.net Stati Uniti centro-settentrionaliNorth Central US https: / /TM-southcentralus01.AFS.Azure.NEThttps://tm-southcentralus01.afs.azure.net
PubblicoPublic India meridionaleSouth India https: / /southindia01.AFS.Azure.NEThttps://southindia01.afs.azure.net
https: / /Kailani-sin.One.Microsoft.comhttps://kailani-sin.one.microsoft.com
India centraleCentral India https: / /TM-southindia01.AFS.Azure.NEThttps://tm-southindia01.afs.azure.net
https: / /TM-Kailani-sin.One.Microsoft.comhttps://tm-kailani-sin.one.microsoft.com
PubblicoPublic Asia sud-orientaleSoutheast Asia https: / /southeastasia01.AFS.Azure.NEThttps://southeastasia01.afs.azure.net
https: / /kailani10.One.Microsoft.comhttps://kailani10.one.microsoft.com
Asia orientaleEast Asia https: / /TM-southeastasia01.AFS.Azure.NEThttps://tm-southeastasia01.afs.azure.net
https: / /TM-kailani10.One.Microsoft.comhttps://tm-kailani10.one.microsoft.com
PubblicoPublic Svizzera settentrionaleSwitzerland North https: / /switzerlandnorth01.AFS.Azure.NEThttps://switzerlandnorth01.afs.azure.net
https: / /TM-switzerlandnorth01.AFS.Azure.NEThttps://tm-switzerlandnorth01.afs.azure.net
Svizzera occidentaleSwitzerland West https: / /switzerlandwest01.AFS.Azure.NEThttps://switzerlandwest01.afs.azure.net
https: / /TM-switzerlandwest01.AFS.Azure.NEThttps://tm-switzerlandwest01.afs.azure.net
PubblicoPublic Svizzera occidentaleSwitzerland West https: / /switzerlandwest01.AFS.Azure.NEThttps://switzerlandwest01.afs.azure.net
https: / /TM-switzerlandwest01.AFS.Azure.NEThttps://tm-switzerlandwest01.afs.azure.net
Svizzera settentrionaleSwitzerland North https: / /switzerlandnorth01.AFS.Azure.NEThttps://switzerlandnorth01.afs.azure.net
https: / /TM-switzerlandnorth01.AFS.Azure.NEThttps://tm-switzerlandnorth01.afs.azure.net
PubblicoPublic Regno Unito meridionaleUK South https: / /uksouth01.AFS.Azure.NEThttps://uksouth01.afs.azure.net
https: / /Kailani-UKS.One.Microsoft.comhttps://kailani-uks.one.microsoft.com
Regno Unito occidentaleUK West https: / /TM-uksouth01.AFS.Azure.NEThttps://tm-uksouth01.afs.azure.net
https: / /TM-Kailani-UKS.One.Microsoft.comhttps://tm-kailani-uks.one.microsoft.com
PubblicoPublic Regno Unito occidentaleUK West https: / /ukwest01.AFS.Azure.NEThttps://ukwest01.afs.azure.net
https: / /Kailani-UKW.One.Microsoft.comhttps://kailani-ukw.one.microsoft.com
Regno Unito meridionaleUK South https: / /TM-ukwest01.AFS.Azure.NEThttps://tm-ukwest01.afs.azure.net
https: / /TM-Kailani-UKW.One.Microsoft.comhttps://tm-kailani-ukw.one.microsoft.com
PubblicoPublic Stati Uniti centro-occidentaliWest Central US https: / /westcentralus01.AFS.Azure.NEThttps://westcentralus01.afs.azure.net West US 2West US 2 https: / /TM-westcentralus01.AFS.Azure.NEThttps://tm-westcentralus01.afs.azure.net
PubblicoPublic Europa occidentaleWest Europe https: / /westeurope01.AFS.Azure.NEThttps://westeurope01.afs.azure.net
https: / /kailani6.One.Microsoft.comhttps://kailani6.one.microsoft.com
Europa settentrionaleNorth Europe https: / /TM-westeurope01.AFS.Azure.NEThttps://tm-westeurope01.afs.azure.net
https: / /TM-kailani6.One.Microsoft.comhttps://tm-kailani6.one.microsoft.com
PubblicoPublic Stati Uniti occidentaliWest US https: / /westus01.AFS.Azure.NEThttps://westus01.afs.azure.net
https: / /Kailani.One.Microsoft.comhttps://kailani.one.microsoft.com
Stati Uniti orientaliEast US https: / /TM-westus01.AFS.Azure.NEThttps://tm-westus01.afs.azure.net
https: / /TM-Kailani.One.Microsoft.comhttps://tm-kailani.one.microsoft.com
PubblicoPublic West US 2West US 2 https: / /westus201.AFS.Azure.NEThttps://westus201.afs.azure.net Stati Uniti centro-occidentaliWest Central US https: / /TM-westus201.AFS.Azure.NEThttps://tm-westus201.afs.azure.net
Enti governativiGovernment US Gov ArizonaUS Gov Arizona https: / /usgovarizona01.AFS.Azure.UShttps://usgovarizona01.afs.azure.us US Gov TexasUS Gov Texas https: / /TM-usgovarizona01.AFS.Azure.UShttps://tm-usgovarizona01.afs.azure.us
Enti governativiGovernment US Gov TexasUS Gov Texas https: / /usgovtexas01.AFS.Azure.UShttps://usgovtexas01.afs.azure.us US Gov ArizonaUS Gov Arizona https: / /TM-usgovtexas01.AFS.Azure.UShttps://tm-usgovtexas01.afs.azure.us
  • Se si usano account di archiviazione con ridondanza locale (LRS) o con ridondanza della zona (ZRS), è sufficiente abilitare l'URL elencato in "URL dell'endpoint primario".If you use locally redundant (LRS) or zone redundant (ZRS) storage accounts, you only need to enable the URL listed under "Primary endpoint URL".

  • Se si usano account di archiviazione con ridondanza geografica (GRS), abilitare tre URL.If you use globally redundant (GRS) storage accounts, enable three URLs.

Esempio: si distribuisce un servizio di sincronizzazione archiviazione in "West US" e si registra il server con esso.Example: You deploy a storage sync service in "West US" and register your server with it. Gli URL con cui consentire al server di comunicare per questo caso sono:The URLs to allow the server to communicate to for this case are:

  • https: / /westus01.AFS.Azure.NET (endpoint primario: Stati Uniti occidentali)https://westus01.afs.azure.net (primary endpoint: West US)
  • https: / /eastus01.AFS.Azure.NET (area di failover abbinata: Stati Uniti orientali)https://eastus01.afs.azure.net (paired fail-over region: East US)
  • https: / /TM-westus01.AFS.Azure.NET (URL di individuazione dell'area primaria)https://tm-westus01.afs.azure.net (discovery URL of the primary region)

Elenco Consenti per Sincronizzazione file di Azure indirizzi IPAllow list for Azure File Sync IP addresses

Sincronizzazione file di Azure supporta l'uso di tag di servizio, che rappresentano un gruppo di prefissi di indirizzi IP per un determinato servizio di Azure.Azure File Sync supports the use of service tags, which represent a group of IP address prefixes for a given Azure service. È possibile usare i tag di servizio per creare regole del firewall che consentono la comunicazione con il servizio Sincronizzazione file di Azure.You can use service tags to create firewall rules that enable communication with the Azure File Sync service. Il tag di servizio per Sincronizzazione file di Azure è StorageSyncService .The service tag for Azure File Sync is StorageSyncService.

Se si usa Sincronizzazione file di Azure in Azure, è possibile usare il nome del tag di servizio direttamente nel gruppo di sicurezza di rete per consentire il traffico.If you are using Azure File Sync within Azure, you can use name of service tag directly in your network security group to allow traffic. Per altre informazioni, vedere Gruppi di sicurezza di rete.To learn more about how to do this, see Network security groups.

Se si usa Sincronizzazione file di Azure in locale, è possibile usare l'API dei tag di servizio per ottenere gli specifici intervalli di indirizzi IP per l'elenco di elementi consentiti del firewall.If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. Per recuperare queste informazioni, sono disponibili due metodi:There are two methods for getting this information:

  • L'elenco corrente degli intervalli di indirizzi IP per tutti i servizi di Azure che supportano i tag di servizio viene pubblicato settimanalmente nell'Area download Microsoft sotto forma di documento JSON.The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. Ogni cloud di Azure è associato a uno specifico documento JSON con gli intervalli di indirizzi IP pertinenti:Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • L'API di individuazione di tag di servizio (anteprima) consente il recupero a livello di codice dell'elenco corrente di tag di servizio.The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. Nella versione di anteprima questa API potrebbe restituire informazioni meno aggiornate di quelle restituite dai documenti JSON pubblicati nell'Area download Microsoft.In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. È possibile usare la superficie dell'API in base alle preferenze di automazione:You can use the API surface based on your automation preference:

Poiché l'API di individuazione tag di servizio non viene aggiornata con la stessa frequenza con cui vengono pubblicati i documenti JSON nell'area download Microsoft, è consigliabile usare il documento JSON per aggiornare l'elenco Consenti del firewall locale.Because the service tag discovery API is not updated as frequently as the JSON documents published to the Microsoft Download Center, we recommend using the JSON document to update your on-premises firewall's allow list. Attenersi alla procedura riportata di seguito:This can be done as follows:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://docs.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

È quindi possibile usare gli intervalli di indirizzi IP in $ipAddressRanges per aggiornare il firewall.You can then use the IP address ranges in $ipAddressRanges to update your firewall. Per informazioni su come aggiornare il firewall, vedere il sito Web del firewall o dell'appliance di rete.Check your firewall/network appliance's website for information on how to update your firewall.

Testare la connettività di rete agli endpoint di servizioTest network connectivity to service endpoints

Una volta che un server è stato registrato con il servizio Sincronizzazione file di Azure, è possibile utilizzare il cmdlet Test-StorageSyncNetworkConnectivity e ServerRegistration.exe per verificare le comunicazioni con tutti gli endpoint (URL) specifici del server.Once a server is registered with the Azure File Sync service, the Test-StorageSyncNetworkConnectivity cmdlet and ServerRegistration.exe can be used to test communications with all endpoints (URLs) specific to this server. Questo cmdlet consente di risolvere i problemi quando la comunicazione incompleta impedisce al server di lavorare completamente con Sincronizzazione file di Azure e può essere usata per ottimizzare le configurazioni del proxy e del firewall.This cmdlet can help troubleshoot when incomplete communication prevents the server from fully working with Azure File Sync and it can be used to fine-tune proxy and firewall configurations.

Per eseguire il test della connettività di rete, installare Sincronizzazione file di Azure Agent 9,1 o versione successiva ed eseguire i comandi di PowerShell seguenti:To run the network connectivity test, install Azure File Sync agent version 9.1 or later and run the following PowerShell commands:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Riepilogo e limitazione dei rischiSummary and risk limitation

Gli elenchi riportati in questo documento contengono gli URL con cui comunica attualmente Sincronizzazione file di Azure.The lists earlier in this document contain the URLs Azure File Sync currently communicates with. I firewall devono essere in grado di consentire il traffico in uscita da questi domini.Firewalls must be able to allow traffic outbound to these domains. Microsoft si impegna a mantenere l'elenco costantemente aggiornato.Microsoft strives to keep this list updated.

La configurazione di regole del firewall con limitazione del dominio può contribuire a migliorare la sicurezza.Setting up domain restricting firewall rules can be a measure to improve security. Se vengono usate queste configurazioni del firewall, è necessario tenere presente che nel tempo verranno aggiunti nuovi URL e potrebbero essere modificati quelli esistenti.If these firewall configurations are used, one needs to keep in mind that URLs will be added and might even change over time. Controllare periodicamente questo articolo.Check this article periodically.

Passaggi successiviNext steps