Proxy- en firewallinstellingen van Azure File SyncAzure File Sync proxy and firewall settings

Azure File Sync uw on-premises servers verbonden met Azure Files, waardoor synchronisatie van meerdere locaties en functies voor cloudopslaglagen mogelijk zijn.Azure File Sync connects your on-premises servers to Azure Files, enabling multi-site synchronization and cloud tiering features. Als zodanig moet een on-premises server zijn verbonden met internet.As such, an on-premises server must be connected to the internet. Een IT-beheerder moet het beste pad bepalen voor de server om azure-cloudservices te bereiken.An IT admin needs to decide the best path for the server to reach into Azure cloud services.

Dit artikel biedt inzicht in specifieke vereisten en opties die beschikbaar zijn om uw server op een veilige manier te verbinden met Azure File Sync.This article will provide insight into specific requirements and options available to successfully and securely connect your server to Azure File Sync.

We raden u aan om Aandachtspunten voor Azure File Sync-netwerken te lezen voordat u dit artikel verder leest.We recommend reading Azure File Sync networking considerations prior to reading this how to guide.

OverzichtOverview

Azure File Sync fungeert als een orchestration-service tussen uw Windows Server, uw Azure-bestands share en verschillende andere Azure-services om gegevens te synchroniseren, zoals beschreven in uw synchronisatiegroep.Azure File Sync acts as an orchestration service between your Windows Server, your Azure file share, and several other Azure services to sync data as described in your sync group. Als Azure File Sync goed wilt werken, moet u uw servers configureren om te communiceren met de volgende Azure-services:For Azure File Sync to work correctly, you will need to configure your servers to communicate with the following Azure services:

  • Azure StorageAzure Storage
  • Azure File SyncAzure File Sync
  • Azure Resource ManagerAzure Resource Manager
  • VerificatieservicesAuthentication services

Notitie

De Azure File Sync-agent op Windows Server initieert alle aanvragen voor cloudservices, wat tot gevolg heeft dat alleen uitgaand verkeer vanuit het perspectief van de firewall hoeft te worden bekeken.The Azure File Sync agent on Windows Server initiates all requests to cloud services which results in only having to consider outbound traffic from a firewall perspective.
Geen enkele Azure-service initieert een verbinding met de Azure File Sync agent.No Azure service initiates a connection to the Azure File Sync agent.

PoortenPorts

Azure File Sync verplaatst bestandsgegevens en metagegevens uitsluitend via HTTPS en vereist dat poort 443 uitgaand is geopend.Azure File Sync moves file data and metadata exclusively over HTTPS and requires port 443 to be open outbound. Als gevolg hiervan wordt al het verkeer versleuteld.As a result all traffic is encrypted.

Netwerken en speciale verbindingen met AzureNetworks and special connections to Azure

De Azure File Sync agent heeft geen vereisten met betrekking tot speciale kanalen, zoals ExpressRoute,enzovoort naar Azure.The Azure File Sync agent has no requirements regarding special channels like ExpressRoute, etc. to Azure.

Azure File Sync werkt via alle beschikbare middelen die toegang hebben tot Azure, automatisch aanpassen aan verschillende netwerkkenmerken, zoals bandbreedte, latentie en beheer bieden voor afstemming.Azure File Sync will work through any means available that allow reach into Azure, automatically adapting to various network characteristics like bandwidth, latency as well as offering admin control for fine-tuning. Op dit moment zijn niet alle functies beschikbaar.Not all features are available at this time. Als u specifiek gedrag wilt configureren, laat het ons dan weten via Azure Files UserVoice.If you would like to configure specific behavior, let us know via Azure Files UserVoice.

ProxyProxy

Azure File Sync biedt ondersteuning voor app-specifieke en machinebrede proxy-instellingen.Azure File Sync supports app-specific and machine-wide proxy settings.

App-specifieke proxyinstellingen staan de configuratie van een proxy toe die specifiek is Azure File Sync verkeer.App-specific proxy settings allow configuration of a proxy specifically for Azure File Sync traffic. App-specifieke proxy-instellingen worden ondersteund op agentversie 4.0.1.0 of hoger en kunnen worden geconfigureerd tijdens de installatie van de agent of met behulp van de powershell-cmdlet Set-StorageSyncProxyConfiguration.App-specific proxy settings are supported on agent version 4.0.1.0 or newer and can be configured during the agent installation or by using the Set-StorageSyncProxyConfiguration PowerShell cmdlet.

PowerShell-opdrachten voor het configureren van app-specifieke proxyinstellingen:PowerShell commands to configure app-specific proxy settings:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Als uw proxyserver bijvoorbeeld verificatie met een gebruikersnaam en wachtwoord vereist, voert u de volgende PowerShell-opdrachten uit:For example, if your proxy server requires authentication with a user name and password, run the following PowerShell commands:

# IP address or name of the proxy server.
$Address="127.0.0.1"  

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name" 

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Proxy-instellingen voor de gehele machine zijn transparant voor Azure File Sync agent, omdat het hele verkeer van de server via de proxy wordt doorgeleid.Machine-wide proxy settings are transparent to the Azure File Sync agent as the entire traffic of the server is routed through the proxy.

Volg de onderstaande stappen voor het configureren van proxyinstellingen voor een gehele machine:To configure machine-wide proxy settings, follow the steps below:

  1. Proxy-instellingen configureren voor .NET-toepassingenConfigure proxy settings for .NET applications

    • Bewerk deze twee bestanden:Edit these two files:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configC:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.configC:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • Voeg de sectie <system.net> toe in de machine.config bestanden (onder de sectie <system.serviceModel>).Add the <system.net> section in the machine.config files (below the <system.serviceModel> section). Wijzig 127.0.01:8888 in het IP-adres en de poort voor de proxyserver.Change 127.0.01:8888 to the IP address and port for the proxy server.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. De WinHTTP-proxyinstellingen instellenSet the WinHTTP proxy settings

    Notitie

    Er zijn verschillende methoden (WPAD, PAC-bestand, netsh, enzovoort) om een Windows-server te configureren voor het gebruik van een proxyserver.There are several methods (WPAD, PAC file, netsh, etc.) to configure a Windows Server to use a proxy server. In de onderstaande stappen wordt beschreven hoe u de proxyinstellingen configureert met behulp van netsh, maar elke methode die wordt vermeld in de documentatie Proxyserverinstellingen configureren in Windows wordt ondersteund.The steps below cover how to configure the proxy settings using netsh but any method listed in the Configure proxy server settings in Windows documentation is supported.

    • Voer de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid of PowerShell om de bestaande proxy-instelling te zien:Run the following command from an elevated command prompt or PowerShell to see the existing proxy setting:

      netsh winhttp show proxynetsh winhttp show proxy

    • Voer de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid of PowerShell om de proxy-instelling in te stellen (wijzig 127.0.01:8888 in het IP-adres en de poort voor de proxyserver):Run the following command from an elevated command prompt or PowerShell to set the proxy setting (change 127.0.01:8888 to the IP address and port for the proxy server):

      netsh winhttp set proxy 127.0.0.1:8888netsh winhttp set proxy 127.0.0.1:8888

  3. Start de opslagsynchronisatieagentservice opnieuw door de volgende opdracht uit te voeren vanaf een opdrachtprompt met verhoogde bevoegdheid of PowerShell:Restart the Storage Sync Agent service by running the following command from an elevated command prompt or PowerShell:

    net stop filesyncsvcnet stop filesyncsvc

    Opmerking: de service Opslagsynchronisatieagent (filesyncsvc) start automatisch nadat deze is gestopt.Note: The Storage Sync Agent (filesyncsvc) service will auto-start once stopped.

FirewallFirewall

Zoals vermeld in een vorige sectie, moet poort 443 uitgaand zijn geopend.As mentioned in a previous section, port 443 needs to be open outbound. Op basis van beleid in uw datacenter, vertakking of regio kan verdere beperking van verkeer via deze poort tot specifieke domeinen gewenst of vereist zijn.Based on policies in your datacenter, branch or region, further restricting traffic over this port to specific domains may be desired or required.

In de volgende tabel worden de vereiste domeinen voor communicatie beschreven:The following table describes the required domains for communication:

ServiceService Eindpunt van openbare cloudPublic cloud endpoint Azure Government eindpuntAzure Government endpoint GebruikUsage
Azure Resource ManagerAzure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Elke aanroep van een gebruiker (zoals PowerShell) gaat naar/via deze URL, inclusief de eerste aanroep voor serverregistratie.Any user call (like PowerShell) goes to/through this URL, including the initial server registration call.
Azure Active DirectoryAzure Active Directory https://login.windows.net
https://login.microsoftonline.com
https://login.microsoftonline.us Azure Resource Manager-aanroepen moeten worden gedaan door een geverifieerde gebruiker.Azure Resource Manager calls must be made by an authenticated user. Als u wilt slagen, wordt deze URL gebruikt voor gebruikersverificatie.To succeed, this URL is used for user authentication.
Azure Active DirectoryAzure Active Directory https://graph.microsoft.com/ https://graph.microsoft.com/ Als onderdeel van het implementeren Azure File Sync, wordt er een service-principal in de Azure Active Directory van het abonnement gemaakt.As part of deploying Azure File Sync, a service principal in the subscription's Azure Active Directory will be created. Deze URL wordt hiervoor gebruikt.This URL is used for that. Deze principal wordt gebruikt voor het delegeren van een minimale set rechten aan de Azure File Sync service.This principal is used for delegating a minimal set of rights to the Azure File Sync service. De gebruiker die de initiële installatie van de Azure File Sync moet een geverifieerde gebruiker met eigenaarsbevoegdheden voor het abonnement zijn.The user performing the initial setup of Azure File Sync must be an authenticated user with subscription owner privileges.
Azure Active DirectoryAzure Active Directory https://secure.aadcdn.microsoftonline-p.com Gebruik de URL van het openbare eindpunt.Use the public endpoint URL. Deze URL wordt gebruikt door de Active Directory-verificatiebibliotheek die de Azure File Sync voor serverregistratie gebruikt om u aan te melden bij de beheerder.This URL is accessed by the Active Directory authentication library that the Azure File Sync server registration UI uses to log in the administrator.
Azure StorageAzure Storage *.core.windows.net*.core.windows.net *.core.usgovcloudapi.net*.core.usgovcloudapi.net Wanneer de server een bestand downloadt, voert de server die gegevensverkeer efficiënter uit wanneer deze rechtstreeks met de Azure-bestands share in het opslagaccount praat.When the server downloads a file, then the server performs that data movement more efficiently when talking directly to the Azure file share in the Storage Account. De server heeft een SAS-sleutel die alleen toegang tot doelbestands delen toestaat.The server has a SAS key that only allows for targeted file share access.
Azure File SyncAzure File Sync *.one.microsoft.com*.one.microsoft.com
*.afs.azure.net*.afs.azure.net
*.afs.azure.us*.afs.azure.us Na de eerste serverregistratie ontvangt de server een regionale URL voor het Azure File Sync service-exemplaar in die regio.After initial server registration, the server receives a regional URL for the Azure File Sync service instance in that region. De server kan de URL gebruiken om rechtstreeks en efficiënt te communiceren met het exemplaar dat de synchronisatie afhandelt.The server can use the URL to communicate directly and efficiently with the instance handling its sync.
Microsoft PKIMicrosoft PKI https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
Zodra de Azure File Sync agent is geïnstalleerd, wordt de PKI-URL gebruikt om tussenliggende certificaten te downloaden die nodig zijn om te communiceren met de Azure File Sync-service en De Azure-bestands share.Once the Azure File Sync agent is installed, the PKI URL is used to download intermediate certificates required to communicate with the Azure File Sync service and Azure file share. De OCSP-URL wordt gebruikt om de status van een certificaat te controleren.The OCSP URL is used to check the status of a certificate.
Microsoft UpdateMicrosoft Update *.update.microsoft.com*.update.microsoft.com
*.download.windowsupdate.com*.download.windowsupdate.com
*.ctldl.windowsupdate.com*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com*.emdl.ws.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.windowsupdate.com*.download.windowsupdate.com
*.ctldl.windowsupdate.com*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com*.emdl.ws.microsoft.com
Zodra de Azure File Sync agent is geïnstalleerd, worden de Microsoft Update-URL's gebruikt om de agentupdates Azure File Sync downloaden.Once the Azure File Sync agent is installed, the Microsoft Update URLs are used to download Azure File Sync agent updates.

Belangrijk

Wanneer verkeer naar * .afs.azure.net, is verkeer alleen mogelijk naar de synchronisatieservice.When allowing traffic to *.afs.azure.net, traffic is only possible to the sync service. Er zijn geen andere Microsoft-services dit domein gebruikt.There are no other Microsoft services using this domain. Wanneer verkeer naar .one.microsoft.com, is verkeer naar meer dan alleen de * synchronisatieservice mogelijk vanaf de server.When allowing traffic to *.one.microsoft.com, traffic to more than just the sync service is possible from the server. Er zijn veel meer Microsoft-services beschikbaar onder subdomeinen.There are many more Microsoft services available under subdomains.

Als .afs.azure.net of .one.microsoft.com te breed is, kunt u de communicatie van de server beperken door communicatie toe te staan tot alleen expliciete regionale exemplaren van de * * Azure Files Sync-service.If *.afs.azure.net or *.one.microsoft.com is too broad, you can limit the server's communication by allowing communication to only explicit regional instances of the Azure Files Sync service. Welke instantie(s) u wilt kiezen, is afhankelijk van de regio van de opslagsynchronisatieservice waarin u de server hebt geïmplementeerd en geregistreerd.Which instance(s) to choose depends on the region of the storage sync service you have deployed and registered the server to. Deze regio wordt 'URL van primair eindpunt' genoemd in de onderstaande tabel.That region is called "Primary endpoint URL" in the table below.

Om redenen van bedrijfscontinuïteit en herstel na noodherstel (BCDR) hebt u uw Azure-bestands shares mogelijk opgegeven in een wereldwijd redundant opslagaccount (GRS).For business continuity and disaster recovery (BCDR) reasons you may have specified your Azure file shares in a globally redundant (GRS) storage account. Als dat het geval is, wordt voor uw Azure-bestands shares een fail overgeslagen naar de gekoppelde regio in het geval van een langdurige regionale storing.If that is the case, then your Azure file shares will fail over to the paired region in the event of a lasting regional outage. Azure File Sync maakt gebruik van dezelfde regionale paren als opslag.Azure File Sync uses the same regional pairings as storage. Dus als u GRS-opslagaccounts gebruikt, moet u extra URL's inschakelen zodat uw server kan praten met de gekoppelde regio voor Azure File Sync. In de onderstaande tabel wordt deze 'gekoppelde regio' genoemd.So if you use GRS storage accounts, you need to enable additional URLs to allow your server to talk to the paired region for Azure File Sync. The table below calls this "Paired region". Daarnaast is er een Traffic Manager-profiel-URL die ook moet worden ingeschakeld.Additionally, there is a traffic manager profile URL that needs to be enabled as well. Dit zorgt ervoor dat netwerkverkeer naadloos opnieuw kan worden gerouteerd naar de gekoppelde regio in het geval van een failover en 'Detectie-URL' wordt genoemd in de onderstaande tabel.This will ensure network traffic can be seamlessly re-routed to the paired region in the event of a fail-over and is called "Discovery URL" in the table below.

CloudCloud RegionRegion URL van primair eindpuntPrimary endpoint URL Gekoppelde regioPaired region Detectie-URLDiscovery URL
OpenbaarPublic Australië - oostAustralia East https: / /australiaeast01.afs.azure.nethttps://australiaeast01.afs.azure.net
https: / /kailani-aue.one.microsoft.comhttps://kailani-aue.one.microsoft.com
Australië - zuidoostAustralia Southeast https: / /tm-australiaeast01.afs.azure.nethttps://tm-australiaeast01.afs.azure.net
https: / /tm-kailani-aue.one.microsoft.comhttps://tm-kailani-aue.one.microsoft.com
OpenbaarPublic Australië - zuidoostAustralia Southeast https: / /australiasoutheast01.afs.azure.nethttps://australiasoutheast01.afs.azure.net
https: / /kailani-aus.one.microsoft.comhttps://kailani-aus.one.microsoft.com
Australië - oostAustralia East https: / /tm-australiasoutheast01.afs.azure.nethttps://tm-australiasoutheast01.afs.azure.net
https: / /tm-kailani-aus.one.microsoft.comhttps://tm-kailani-aus.one.microsoft.com
OpenbaarPublic Brazilië - zuidBrazil South https: / /brazilsouth01.afs.azure.nethttps://brazilsouth01.afs.azure.net VS - zuid-centraalSouth Central US https: / /tm-brazilsouth01.afs.azure.nethttps://tm-brazilsouth01.afs.azure.net
OpenbaarPublic Canada - middenCanada Central https: / /canadacentral01.afs.azure.nethttps://canadacentral01.afs.azure.net
https: / /kailani-cac.one.microsoft.comhttps://kailani-cac.one.microsoft.com
Canada - oostCanada East https: / /tm-canadacentral01.afs.azure.nethttps://tm-canadacentral01.afs.azure.net
https: / /tm-kailani-cac.one.microsoft.comhttps://tm-kailani-cac.one.microsoft.com
OpenbaarPublic Canada - oostCanada East https: / /canadaeast01.afs.azure.nethttps://canadaeast01.afs.azure.net
https: / /kailani-cae.one.microsoft.comhttps://kailani-cae.one.microsoft.com
Canada - middenCanada Central https: / /tm-canadaeast01.afs.azure.nethttps://tm-canadaeast01.afs.azure.net
https: / /tm-kailani.cae.one.microsoft.comhttps://tm-kailani.cae.one.microsoft.com
OpenbaarPublic India - centraalCentral India https: / /centralindia01.afs.azure.nethttps://centralindia01.afs.azure.net
https: / /kailani-cin.one.microsoft.comhttps://kailani-cin.one.microsoft.com
India - zuidSouth India https: / /tm-centralindia01.afs.azure.nethttps://tm-centralindia01.afs.azure.net
https: / /tm-kailani-cin.one.microsoft.comhttps://tm-kailani-cin.one.microsoft.com
OpenbaarPublic Central USCentral US https: / /centralus01.afs.azure.nethttps://centralus01.afs.azure.net
https: / /kailani-cus.one.microsoft.comhttps://kailani-cus.one.microsoft.com
VS - oost 2East US 2 https: / /tm-centralus01.afs.azure.nethttps://tm-centralus01.afs.azure.net
https: / /tm-kailani-cus.one.microsoft.comhttps://tm-kailani-cus.one.microsoft.com
OpenbaarPublic Azië - oostEast Asia https: / /eastasia01.afs.azure.nethttps://eastasia01.afs.azure.net
https: / /kailani11.one.microsoft.comhttps://kailani11.one.microsoft.com
Azië - zuidoostSoutheast Asia https: / /tm-eastasia01.afs.azure.nethttps://tm-eastasia01.afs.azure.net
https: / /tm-kailani11.one.microsoft.comhttps://tm-kailani11.one.microsoft.com
OpenbaarPublic VS - oostEast US https: / /eastus01.afs.azure.nethttps://eastus01.afs.azure.net
https: / /kailani1.one.microsoft.comhttps://kailani1.one.microsoft.com
VS - westWest US https: / /tm-eastus01.afs.azure.nethttps://tm-eastus01.afs.azure.net
https: / /tm-kailani1.one.microsoft.comhttps://tm-kailani1.one.microsoft.com
OpenbaarPublic VS - oost 2East US 2 https: / /eastus201.afs.azure.nethttps://eastus201.afs.azure.net
https: / /kailani-ess.one.microsoft.comhttps://kailani-ess.one.microsoft.com
Central USCentral US https: / /tm-eastus201.afs.azure.nethttps://tm-eastus201.afs.azure.net
https: / /tm-kailani-ess.one.microsoft.comhttps://tm-kailani-ess.one.microsoft.com
OpenbaarPublic Duitsland - noordGermany North https: / /germanynorth01.afs.azure.nethttps://germanynorth01.afs.azure.net Duitsland - west-centraalGermany West Central https: / /tm-germanywestcentral01.afs.azure.nethttps://tm-germanywestcentral01.afs.azure.net
OpenbaarPublic Duitsland - west-centraalGermany West Central https: / /germanywestcentral01.afs.azure.nethttps://germanywestcentral01.afs.azure.net Duitsland - noordGermany North https: / /tm-germanynorth01.afs.azure.nethttps://tm-germanynorth01.afs.azure.net
OpenbaarPublic Japan - oostJapan East https: / /japaneast01.afs.azure.nethttps://japaneast01.afs.azure.net Japan - westJapan West https: / /tm-japaneast01.afs.azure.nethttps://tm-japaneast01.afs.azure.net
OpenbaarPublic Japan - westJapan West https: / /japanwest01.afs.azure.nethttps://japanwest01.afs.azure.net Japan - oostJapan East https: / /tm-japanwest01.afs.azure.nethttps://tm-japanwest01.afs.azure.net
OpenbaarPublic Korea - centraalKorea Central https: / /koreacentral01.afs.azure.net/https://koreacentral01.afs.azure.net/ Korea - zuidKorea South https: / /tm-koreacentral01.afs.azure.net/https://tm-koreacentral01.afs.azure.net/
OpenbaarPublic Korea - zuidKorea South https: / /koreasouth01.afs.azure.net/https://koreasouth01.afs.azure.net/ Korea - centraalKorea Central https: / /tm-koreasouth01.afs.azure.net/https://tm-koreasouth01.afs.azure.net/
OpenbaarPublic VS - noord-centraalNorth Central US https: / /northcentralus01.afs.azure.nethttps://northcentralus01.afs.azure.net VS - zuid-centraalSouth Central US https: / /tm-northcentralus01.afs.azure.nethttps://tm-northcentralus01.afs.azure.net
OpenbaarPublic Europa - noordNorth Europe https: / /northeurope01.afs.azure.nethttps://northeurope01.afs.azure.net
https: / /kailani7.one.microsoft.comhttps://kailani7.one.microsoft.com
Europa -westWest Europe https: / /tm-northeurope01.afs.azure.nethttps://tm-northeurope01.afs.azure.net
https: / /tm-kailani7.one.microsoft.comhttps://tm-kailani7.one.microsoft.com
OpenbaarPublic VS - zuid-centraalSouth Central US https: / /southcentralus01.afs.azure.nethttps://southcentralus01.afs.azure.net VS - noord-centraalNorth Central US https: / /tm-southcentralus01.afs.azure.nethttps://tm-southcentralus01.afs.azure.net
OpenbaarPublic India - zuidSouth India https: / /southindia01.afs.azure.nethttps://southindia01.afs.azure.net
https: / /kailani-sin.one.microsoft.comhttps://kailani-sin.one.microsoft.com
India - centraalCentral India https: / /tm-southindia01.afs.azure.nethttps://tm-southindia01.afs.azure.net
https: / /tm-kailani-sin.one.microsoft.comhttps://tm-kailani-sin.one.microsoft.com
OpenbaarPublic Azië - zuidoostSoutheast Asia https: / /southeastasia01.afs.azure.nethttps://southeastasia01.afs.azure.net
https: / /kailani10.one.microsoft.comhttps://kailani10.one.microsoft.com
Azië - oostEast Asia https: / /tm-southeastasia01.afs.azure.nethttps://tm-southeastasia01.afs.azure.net
https: / /tm-kailani10.one.microsoft.comhttps://tm-kailani10.one.microsoft.com
OpenbaarPublic Zwitserland - noordSwitzerland North https: / /switzerlandnorth01.afs.azure.nethttps://switzerlandnorth01.afs.azure.net
https: / /tm-switzerlandnorth01.afs.azure.nethttps://tm-switzerlandnorth01.afs.azure.net
Zwitserland - westSwitzerland West https: / /switzerlandwest01.afs.azure.nethttps://switzerlandwest01.afs.azure.net
https: / /tm-switzerlandwest01.afs.azure.nethttps://tm-switzerlandwest01.afs.azure.net
OpenbaarPublic Zwitserland - westSwitzerland West https: / /switzerlandwest01.afs.azure.nethttps://switzerlandwest01.afs.azure.net
https: / /tm-switzerlandwest01.afs.azure.nethttps://tm-switzerlandwest01.afs.azure.net
Zwitserland - noordSwitzerland North https: / /switzerlandnorth01.afs.azure.nethttps://switzerlandnorth01.afs.azure.net
https: / /tm-switzerlandnorth01.afs.azure.nethttps://tm-switzerlandnorth01.afs.azure.net
OpenbaarPublic Verenigd Koninkrijk ZuidUK South https: / /uksouth01.afs.azure.nethttps://uksouth01.afs.azure.net
https: / /kailani-uks.one.microsoft.comhttps://kailani-uks.one.microsoft.com
Verenigd Koninkrijk WestUK West https: / /tm-uksouth01.afs.azure.nethttps://tm-uksouth01.afs.azure.net
https: / /tm-kailani-uks.one.microsoft.comhttps://tm-kailani-uks.one.microsoft.com
OpenbaarPublic Verenigd Koninkrijk WestUK West https: / /ukwest01.afs.azure.nethttps://ukwest01.afs.azure.net
https: / /kailani-ukw.one.microsoft.comhttps://kailani-ukw.one.microsoft.com
Verenigd Koninkrijk ZuidUK South https: / /tm-ukwest01.afs.azure.nethttps://tm-ukwest01.afs.azure.net
https: / /tm-kailani-ukw.one.microsoft.comhttps://tm-kailani-ukw.one.microsoft.com
OpenbaarPublic VS - west-centraalWest Central US https: / /westcentralus01.afs.azure.nethttps://westcentralus01.afs.azure.net VS - west 2West US 2 https: / /tm-westcentralus01.afs.azure.nethttps://tm-westcentralus01.afs.azure.net
OpenbaarPublic Europa -westWest Europe https: / /westeurope01.afs.azure.nethttps://westeurope01.afs.azure.net
https: / /kailani6.one.microsoft.comhttps://kailani6.one.microsoft.com
Europa - noordNorth Europe https: / /tm-westeurope01.afs.azure.nethttps://tm-westeurope01.afs.azure.net
https: / /tm-kailani6.one.microsoft.comhttps://tm-kailani6.one.microsoft.com
OpenbaarPublic VS - westWest US https: / /westus01.afs.azure.nethttps://westus01.afs.azure.net
https: / /kailani.one.microsoft.comhttps://kailani.one.microsoft.com
VS - oostEast US https: / /tm-westus01.afs.azure.nethttps://tm-westus01.afs.azure.net
https: / /tm-kailani.one.microsoft.comhttps://tm-kailani.one.microsoft.com
OpenbaarPublic VS - west 2West US 2 https: / /westus201.afs.azure.nethttps://westus201.afs.azure.net VS - west-centraalWest Central US https: / /tm-westus201.afs.azure.nethttps://tm-westus201.afs.azure.net
OverheidGovernment VS (overheid) - ArizonaUS Gov Arizona https: / /usgovarizona01.afs.azure.ushttps://usgovarizona01.afs.azure.us VS (overheid) - TexasUS Gov Texas https: / /tm-usgovarizona01.afs.azure.ushttps://tm-usgovarizona01.afs.azure.us
OverheidGovernment VS (overheid) - TexasUS Gov Texas https: / /usgovtexas01.afs.azure.ushttps://usgovtexas01.afs.azure.us VS (overheid) - ArizonaUS Gov Arizona https: / /tm-usgovtexas01.afs.azure.ushttps://tm-usgovtexas01.afs.azure.us
  • Als u lokaal redundante (LRS) of zone-redundante (ZRS)-opslagaccounts gebruikt, hoeft u alleen de URL in te stellen die wordt vermeld onder Primaire eindpunt-URL.If you use locally redundant (LRS) or zone redundant (ZRS) storage accounts, you only need to enable the URL listed under "Primary endpoint URL".

  • Als u wereldwijd redundante opslagaccounts (GRS) gebruikt, moet u drie URL's inschakelen.If you use globally redundant (GRS) storage accounts, enable three URLs.

Voorbeeld: U implementeert een opslagsynchronisatieservice in "West US" en registreert uw server bij deze service.Example: You deploy a storage sync service in "West US" and register your server with it. De URL's waarmee de server in dit geval kan communiceren, zijn:The URLs to allow the server to communicate to for this case are:

  • https: / /westus01.afs.azure.net (primair eindpunt: VS - west)https://westus01.afs.azure.net (primary endpoint: West US)
  • https: / /eastus01.afs.azure.net (gekoppelde fail-over regio: VS - oost)https://eastus01.afs.azure.net (paired fail-over region: East US)
  • https: / /tm-westus01.afs.azure.net (detectie-URL van de primaire regio)https://tm-westus01.afs.azure.net (discovery URL of the primary region)

Lijst met toegestane Azure File Sync IP-adressenAllow list for Azure File Sync IP addresses

Azure File Sync ondersteunt het gebruik van servicetags, die een groep IP-adres voorvoegsels voor een bepaalde Azure-service vertegenwoordigen.Azure File Sync supports the use of service tags, which represent a group of IP address prefixes for a given Azure service. U kunt servicetags gebruiken om firewallregels te maken die communicatie met de Azure File Sync service mogelijk maken.You can use service tags to create firewall rules that enable communication with the Azure File Sync service. De servicetag voor Azure File Sync is StorageSyncService .The service tag for Azure File Sync is StorageSyncService.

Als u een Azure File Sync azure gebruikt, kunt u de naam van de servicetag rechtstreeks in uw netwerkbeveiligingsgroep gebruiken om verkeer toe te staan.If you are using Azure File Sync within Azure, you can use name of service tag directly in your network security group to allow traffic. Zie Netwerkbeveiligingsgroepen voor meer informatie over hoe u dit doet.To learn more about how to do this, see Network security groups.

Als u Azure File Sync on-premises gebruikt, kunt u de servicetag-API gebruiken om specifieke IP-adresbereiken op te halen voor de lijst met toegestane IP-adressen van uw firewall.If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. Er zijn twee manieren om deze informatie op te halen:There are two methods for getting this information:

  • De huidige lijst met IP-adresbereiken voor alle Azure-services die servicetags ondersteunen, wordt wekelijks in het Microsoft Downloadcentrum gepubliceerd in de vorm van een JSON-document.The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. Elke Azure-cloud heeft zijn eigen JSON-document met de IP-adresbereiken die relevant zijn voor die cloud:Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • Met de API voor servicetagdetectie (preview-versie) kunt u de huidige lijst met servicetags programmatisch ophalen.The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. In de preview-versie kan de API voor servicetagdetectie informatie retourneren die minder actueel is dan informatie die wordt geretourneerd uit de JSON-documenten die in het Microsoft Downloadcentrum worden gepubliceerd.In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. U kunt het API-gebied gebruiken op basis van uw automatiseringsvoorkeur:You can use the API surface based on your automation preference:

Omdat de servicetagdetectie-API niet zo vaak wordt bijgewerkt als de JSON-documenten die naar het Microsoft Downloadcentrum zijn gepubliceerd, wordt u aangeraden het JSON-document te gebruiken om de lijst met toegestane bestanden van uw on-premises firewall bij te werken.Because the service tag discovery API is not updated as frequently as the JSON documents published to the Microsoft Download Center, we recommend using the JSON document to update your on-premises firewall's allow list. U kunt dit als volgt doen:This can be done as follows:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://docs.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Vervolgens kunt u de IP-adresbereiken in gebruiken $ipAddressRanges om uw firewall bij te werken.You can then use the IP address ranges in $ipAddressRanges to update your firewall. Controleer de website van uw firewall/netwerkapparaat voor informatie over het bijwerken van uw firewall.Check your firewall/network appliance's website for information on how to update your firewall.

Netwerkverbinding met service-eindpunten testenTest network connectivity to service endpoints

Zodra een server is geregistreerd bij de Azure File Sync-service, kunnen de Test-StorageSyncNetworkConnectivity-cmdlet en ServerRegistration.exe worden gebruikt om de communicatie te testen met alle eindpunten (URL's) die specifiek zijn voor deze server.Once a server is registered with the Azure File Sync service, the Test-StorageSyncNetworkConnectivity cmdlet and ServerRegistration.exe can be used to test communications with all endpoints (URLs) specific to this server. Deze cmdlet kan helpen bij het oplossen van problemen wanneer onvolledige communicatie voorkomt dat de server volledig werkt met Azure File Sync en kan worden gebruikt om proxy- en firewallconfiguraties af te stemmen.This cmdlet can help troubleshoot when incomplete communication prevents the server from fully working with Azure File Sync and it can be used to fine-tune proxy and firewall configurations.

Als u de netwerkverbindingstest wilt uitvoeren, installeert Azure File Sync agent versie 9.1 of hoger en voert u de volgende PowerShell-opdrachten uit:To run the network connectivity test, install Azure File Sync agent version 9.1 or later and run the following PowerShell commands:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Samenvatting en risicobeperkingSummary and risk limitation

De lijsten eerder in dit document bevatten de URL's Azure File Sync momenteel met communiceert.The lists earlier in this document contain the URLs Azure File Sync currently communicates with. Firewalls moeten uitgaand verkeer naar deze domeinen kunnen toestaan.Firewalls must be able to allow traffic outbound to these domains. Microsoft streeft ernaar deze lijst bijgewerkt te houden.Microsoft strives to keep this list updated.

Het instellen van firewallregels voor domeinbeperkendheid kan een maatstaf zijn om de beveiliging te verbeteren.Setting up domain restricting firewall rules can be a measure to improve security. Als deze firewallconfiguraties worden gebruikt, moet u er rekening mee houden dat URL's worden toegevoegd en zelfs in de tijd kunnen veranderen.If these firewall configurations are used, one needs to keep in mind that URLs will be added and might even change over time. Lees dit artikel regelmatig.Check this article periodically.

Volgende stappenNext steps