Ustawienia serwera proxy i zapory usługi Azure File SyncAzure File Sync proxy and firewall settings

Azure File Sync serwery lokalne z usługą Azure Files, umożliwiając synchronizację wielu lokacji i funkcje warstw w chmurze.Azure File Sync connects your on-premises servers to Azure Files, enabling multi-site synchronization and cloud tiering features. W związku z tym serwer lokalnie musi być połączony z Internetem.As such, an on-premises server must be connected to the internet. Administrator IT musi wybrać najlepszą ścieżkę dla serwera, aby uzyskać dostęp do usług w chmurze platformy Azure.An IT admin needs to decide the best path for the server to reach into Azure cloud services.

Ten artykuł zawiera szczegółowe informacje o określonych wymaganiach i opcjach dostępnych w celu pomyślnego i bezpiecznego połączenia serwera z Azure File Sync.This article will provide insight into specific requirements and options available to successfully and securely connect your server to Azure File Sync.

Zalecamy przeczytanie Azure File Sync zagadnienia dotyczące sieci przed przeczytaniem tego przewodnika.We recommend reading Azure File Sync networking considerations prior to reading this how to guide.

OmówienieOverview

Azure File Sync działa jako usługa orkiestracji między systemem Windows Server, twoim udziałem plików platformy Azure i kilkoma innymi usługami platformy Azure w celu synchronizowania danych zgodnie z opisem w grupie synchronizacji.Azure File Sync acts as an orchestration service between your Windows Server, your Azure file share, and several other Azure services to sync data as described in your sync group. Aby Azure File Sync działały prawidłowo, należy skonfigurować serwery do komunikowania się z następującymi usługami platformy Azure:For Azure File Sync to work correctly, you will need to configure your servers to communicate with the following Azure services:

  • Azure StorageAzure Storage
  • Azure File SyncAzure File Sync
  • Azure Resource ManagerAzure Resource Manager
  • Usługi uwierzytelnianiaAuthentication services

Uwaga

Agent Azure File Sync w systemie Windows Server inicjuje wszystkie żądania do usług w chmurze, co powoduje, że trzeba uwzględniać tylko ruch wychodzący z perspektywy zapory.The Azure File Sync agent on Windows Server initiates all requests to cloud services which results in only having to consider outbound traffic from a firewall perspective.
Żadna usługa platformy Azure nie inicjuje połączenia z Azure File Sync agenta.No Azure service initiates a connection to the Azure File Sync agent.

PortyPorts

Azure File Sync przenosi dane plików i metadane wyłącznie za pośrednictwem protokołu HTTPS i wymaga otwartego ruchu wychodzącego na porcie 443.Azure File Sync moves file data and metadata exclusively over HTTPS and requires port 443 to be open outbound. W związku z tym cały ruch jest szyfrowany.As a result all traffic is encrypted.

Sieci i połączenia specjalne z platformą AzureNetworks and special connections to Azure

Agent Azure File Sync nie ma żadnych wymagań dotyczących specjalnych kanałów, takich jak usługa ExpressRouteitp. do platformy Azure.The Azure File Sync agent has no requirements regarding special channels like ExpressRoute, etc. to Azure.

Azure File Sync będzie działać przy użyciu dowolnych dostępnych środków, które umożliwiają dostęp do platformy Azure, automatycznie dostosowując się do różnych cech sieci, takich jak przepustowość, opóźnienie, a także oferując kontrolę administratora w celu dostrajania.Azure File Sync will work through any means available that allow reach into Azure, automatically adapting to various network characteristics like bandwidth, latency as well as offering admin control for fine-tuning. Nie wszystkie funkcje są obecnie dostępne.Not all features are available at this time. Jeśli chcesz skonfigurować określone zachowanie, daj nam znać za pośrednictwem Azure Files UserVoice.If you would like to configure specific behavior, let us know via Azure Files UserVoice.

Serwer proxyProxy

Azure File Sync obsługuje ustawienia serwera proxy specyficzne dla aplikacji i komputera.Azure File Sync supports app-specific and machine-wide proxy settings.

Ustawienia serwera proxy specyficzne dla aplikacji umożliwiają konfigurację serwera proxy specjalnie Azure File Sync ruchu.App-specific proxy settings allow configuration of a proxy specifically for Azure File Sync traffic. Ustawienia serwera proxy specyficzne dla aplikacji są obsługiwane w wersji 4.0.1.0 lub nowszej agenta i można je skonfigurować podczas instalacji agenta lub za pomocą polecenia cmdlet programu Set-StorageSyncProxyConfiguration PowerShell.App-specific proxy settings are supported on agent version 4.0.1.0 or newer and can be configured during the agent installation or by using the Set-StorageSyncProxyConfiguration PowerShell cmdlet.

Polecenia programu PowerShell służące do konfigurowania ustawień serwera proxy specyficznych dla aplikacji:PowerShell commands to configure app-specific proxy settings:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Jeśli na przykład serwer proxy wymaga uwierzytelnienia przy użyciu nazwy użytkownika i hasła, uruchom następujące polecenia programu PowerShell:For example, if your proxy server requires authentication with a user name and password, run the following PowerShell commands:

# IP address or name of the proxy server.
$Address="127.0.0.1"  

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name" 

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Ustawienia serwera proxy dla całej maszyny są niewidoczne Azure File Sync agenta, ponieważ cały ruch serwera jest przekierowyny przez serwer proxy.Machine-wide proxy settings are transparent to the Azure File Sync agent as the entire traffic of the server is routed through the proxy.

Aby skonfigurować ustawienia serwera proxy dla maszyny, wykonaj następujące czynności:To configure machine-wide proxy settings, follow the steps below:

  1. Konfigurowanie ustawień serwera proxy dla aplikacji .NETConfigure proxy settings for .NET applications

    • Edytuj te dwa pliki:Edit these two files:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configC:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.configC:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • Dodaj sekcję <system.net> w machine.config plików (poniżej <system.serviceModel> sekcji).Add the <system.net> section in the machine.config files (below the <system.serviceModel> section). Zmień adres 127.0.01:8888 na adres IP i port serwera proxy.Change 127.0.01:8888 to the IP address and port for the proxy server.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. Ustawianie ustawień serwera proxy WinHTTPSet the WinHTTP proxy settings

    Uwaga

    Istnieje kilka metod (WPAD, plik PAC, netsh itp.) do konfigurowania systemu Windows Server do korzystania z serwera proxy.There are several methods (WPAD, PAC file, netsh, etc.) to configure a Windows Server to use a proxy server. Poniższe kroki obejmują sposób konfigurowania ustawień serwera proxy przy użyciu narzędzia netsh, ale obsługiwana jest dowolna metoda wymieniona w dokumentacji Konfigurowanie ustawień serwera proxy w systemie Windows.The steps below cover how to configure the proxy settings using netsh but any method listed in the Configure proxy server settings in Windows documentation is supported.

    • Uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień lub w programie PowerShell, aby wyświetlić istniejące ustawienie serwera proxy:Run the following command from an elevated command prompt or PowerShell to see the existing proxy setting:

      netsh winhttp show proxynetsh winhttp show proxy

    • Uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień lub w programie PowerShell, aby ustawić ustawienie serwera proxy (zmień wartość 127.0.01:8888 na adres IP i port serwera proxy):Run the following command from an elevated command prompt or PowerShell to set the proxy setting (change 127.0.01:8888 to the IP address and port for the proxy server):

      netsh winhttp set proxy 127.0.0.1:8888netsh winhttp set proxy 127.0.0.1:8888

  3. Uruchom ponownie usługę agenta synchronizacji magazynu, uruchamiając następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień lub w programie PowerShell:Restart the Storage Sync Agent service by running the following command from an elevated command prompt or PowerShell:

    net stop filesyncsvcnet stop filesyncsvc

    Uwaga: Usługa agenta synchronizacji magazynu (filesyncsvc) zostanie automatycznie uruchamiana po zatrzymaniu.Note: The Storage Sync Agent (filesyncsvc) service will auto-start once stopped.

FirewallFirewall

Jak wspomniano w poprzedniej sekcji, port 443 musi być otwarty dla ruchu wychodzącego.As mentioned in a previous section, port 443 needs to be open outbound. Na podstawie zasad w centrum danych, gałęzi lub regionie może być konieczne lub wymagane dalsze ograniczenie ruchu przez ten port do określonych domen.Based on policies in your datacenter, branch or region, further restricting traffic over this port to specific domains may be desired or required.

W poniższej tabeli opisano domeny wymagane do komunikacji:The following table describes the required domains for communication:

UsługaService Punkt końcowy chmury publicznejPublic cloud endpoint Azure Government punkt końcowyAzure Government endpoint UżycieUsage
Azure Resource ManagerAzure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Każde wywołanie użytkownika (takie jak program PowerShell) przechodzi do/za pośrednictwem tego adresu URL, w tym początkowego wywołania rejestracji serwera.Any user call (like PowerShell) goes to/through this URL, including the initial server registration call.
Azure Active DirectoryAzure Active Directory https://login.windows.net
https://login.microsoftonline.com
https://login.microsoftonline.us Azure Resource Manager muszą być wykonane przez uwierzytelnionego użytkownika.Azure Resource Manager calls must be made by an authenticated user. Aby osiągnąć sukces, ten adres URL jest używany do uwierzytelniania użytkowników.To succeed, this URL is used for user authentication.
Azure Active DirectoryAzure Active Directory https://graph.microsoft.com/ https://graph.microsoft.com/ W ramach wdrażania Azure File Sync zostanie utworzona główna Azure Active Directory subskrypcji.As part of deploying Azure File Sync, a service principal in the subscription's Azure Active Directory will be created. Ten adres URL jest w tym celu używany.This URL is used for that. Ten podmiot zabezpieczeń służy do delegowania minimalnego zestawu praw do usługi Azure File Sync service.This principal is used for delegating a minimal set of rights to the Azure File Sync service. Użytkownik wykonujący początkową konfigurację Azure File Sync musi być uwierzytelnionym użytkownikiem z uprawnieniami właściciela subskrypcji.The user performing the initial setup of Azure File Sync must be an authenticated user with subscription owner privileges.
Azure Active DirectoryAzure Active Directory https://secure.aadcdn.microsoftonline-p.com Użyj adresu URL publicznego punktu końcowego.Use the public endpoint URL. Ten adres URL jest uzyskiwany przez bibliotekę uwierzytelniania usługi Active Directory używaną przez interfejs Azure File Sync rejestracji serwera do logowania administratora.This URL is accessed by the Active Directory authentication library that the Azure File Sync server registration UI uses to log in the administrator.
Azure StorageAzure Storage *.core.windows.net*.core.windows.net *.core.usgovcloudapi.net*.core.usgovcloudapi.net Gdy serwer pobiera plik, ten serwer wykonuje ten ruch danych wydajniej podczas bezpośredniej rozmowy z udziałem plików platformy Azure na koncie magazynu.When the server downloads a file, then the server performs that data movement more efficiently when talking directly to the Azure file share in the Storage Account. Serwer ma klucz sygnatury dostępu współdzielonego, który zezwala tylko na dostęp do docelowego udziału plików.The server has a SAS key that only allows for targeted file share access.
Azure File SyncAzure File Sync *.one.microsoft.com*.one.microsoft.com
*.afs.azure.net*.afs.azure.net
*.afs.azure.us*.afs.azure.us Po początkowej rejestracji serwera serwer otrzymuje regionalny adres URL dla Azure File Sync usługi w tym regionie.After initial server registration, the server receives a regional URL for the Azure File Sync service instance in that region. Serwer może używać adresu URL do bezpośredniej i wydajnej komunikacji z wystąpieniem obsługym jego synchronizacji.The server can use the URL to communicate directly and efficiently with the instance handling its sync.
Microsoft PKIMicrosoft PKI https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
Po zainstalowaniu Azure File Sync adres URL PKI jest używany do pobierania certyfikatów pośrednich wymaganych do komunikowania się z usługą Azure File Sync i udziałem plików platformy Azure.Once the Azure File Sync agent is installed, the PKI URL is used to download intermediate certificates required to communicate with the Azure File Sync service and Azure file share. Adres URL OCSP służy do sprawdzania stanu certyfikatu.The OCSP URL is used to check the status of a certificate.
Microsoft UpdateMicrosoft Update *.update.microsoft.com*.update.microsoft.com
*.download.windowsupdate.com*.download.windowsupdate.com
*.ctldl.windowsupdate.com*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com*.emdl.ws.microsoft.com
*.update.microsoft.com*.update.microsoft.com
*.download.windowsupdate.com*.download.windowsupdate.com
*.ctldl.windowsupdate.com*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com*.emdl.ws.microsoft.com
Po zainstalowaniu Azure File Sync agenta Microsoft Update url są używane do pobierania Azure File Sync aktualizacji agenta.Once the Azure File Sync agent is installed, the Microsoft Update URLs are used to download Azure File Sync agent updates.

Ważne

Zezwalając na ruch * do afs.azure.net, ruch jest możliwy tylko do usługi synchronizacji.When allowing traffic to *.afs.azure.net, traffic is only possible to the sync service. Nie ma żadnych innych usługi firmy Microsoft tej domeny.There are no other Microsoft services using this domain. Zezwalając na ruch do one.microsoft.com, ruch do więcej niż tylko usługi synchronizacji * jest możliwy z serwera.When allowing traffic to *.one.microsoft.com, traffic to more than just the sync service is possible from the server. W poddomenach usługi firmy Microsoft dostępnych jest o wiele więcej aplikacji.There are many more Microsoft services available under subdomains.

Jeśli rozszerzenie .afs.azure.net lub .one.microsoft.com jest zbyt szerokie, można ograniczyć komunikację serwera, zezwalając na komunikację tylko jawnie wystąpieniom regionalnym usługi * * Azure Files Sync.If *.afs.azure.net or *.one.microsoft.com is too broad, you can limit the server's communication by allowing communication to only explicit regional instances of the Azure Files Sync service. Wystąpienia do wybrania zależą od regionu usługi synchronizacji magazynu, w którym wdrożono i zarejestrowano serwer.Which instance(s) to choose depends on the region of the storage sync service you have deployed and registered the server to. Ten region w poniższej tabeli nosi nazwę "Podstawowy adres URL punktu końcowego".That region is called "Primary endpoint URL" in the table below.

Ze względu na ciągłość działania i odzyskiwanie po awarii (BCDR, business continuity and disaster recovery) można było określić udziały plików platformy Azure na koncie magazynu globalnie nadmiarowego (GRS).For business continuity and disaster recovery (BCDR) reasons you may have specified your Azure file shares in a globally redundant (GRS) storage account. W takim przypadku udziały plików platformy Azure przejdą w tryb fail over w sparowanych regionach w przypadku długotrwałej awarii regionalnej.If that is the case, then your Azure file shares will fail over to the paired region in the event of a lasting regional outage. Azure File Sync używa tych samych par regionalnych co magazyn.Azure File Sync uses the same regional pairings as storage. Dlatego jeśli używasz kont magazynu GRS, musisz włączyć dodatkowe adresy URL, aby umożliwić serwerowi srozmowę ze sparowany region na potrzeby Azure File Sync. W poniższej tabeli jest to "region sparowany".So if you use GRS storage accounts, you need to enable additional URLs to allow your server to talk to the paired region for Azure File Sync. The table below calls this "Paired region". Ponadto istnieje adres URL profilu usługi Traffic Manager, który również należy włączyć.Additionally, there is a traffic manager profile URL that needs to be enabled as well. Dzięki temu ruch sieciowy może być bezproblemowo ponownie przekierowywana do sparowanego regionu w przypadku pracy awaryjnej i nosi nazwę "Adres URL odnajdywania" w poniższej tabeli.This will ensure network traffic can be seamlessly re-routed to the paired region in the event of a fail-over and is called "Discovery URL" in the table below.

ChmuraCloud Region (Region)Region Adres URL podstawowego punktu końcowegoPrimary endpoint URL Region sparowanyPaired region Adres URL odnajdywaniaDiscovery URL
PublicznePublic Australia WschodniaAustralia East https: / /australiaeast01.afs.azure.nethttps://australiaeast01.afs.azure.net
https: / /kailani-aue.one.microsoft.comhttps://kailani-aue.one.microsoft.com
Australia Południowo-WschodniaAustralia Southeast https: / /tm-australiaeast01.afs.azure.nethttps://tm-australiaeast01.afs.azure.net
https: / /tm-kailani-aue.one.microsoft.comhttps://tm-kailani-aue.one.microsoft.com
PublicznePublic Australia Południowo-WschodniaAustralia Southeast https: / /australiasoutheast01.afs.azure.nethttps://australiasoutheast01.afs.azure.net
https: / /kailani-aus.one.microsoft.comhttps://kailani-aus.one.microsoft.com
Australia WschodniaAustralia East https: / /tm-australiasoutheast01.afs.azure.nethttps://tm-australiasoutheast01.afs.azure.net
https: / /tm-kailani-aus.one.microsoft.comhttps://tm-kailani-aus.one.microsoft.com
PublicznePublic Brazylia PołudniowaBrazil South https: / /brazilsouth01.afs.azure.nethttps://brazilsouth01.afs.azure.net South Central USSouth Central US https: / /tm-brazilsouth01.afs.azure.nethttps://tm-brazilsouth01.afs.azure.net
PublicznePublic Kanada ŚrodkowaCanada Central https: / /canadacentral01.afs.azure.nethttps://canadacentral01.afs.azure.net
https: / /kailani-cac.one.microsoft.comhttps://kailani-cac.one.microsoft.com
Kanada WschodniaCanada East https: / /tm-canadacentral01.afs.azure.nethttps://tm-canadacentral01.afs.azure.net
https: / /tm-kailani-cac.one.microsoft.comhttps://tm-kailani-cac.one.microsoft.com
PublicznePublic Kanada WschodniaCanada East https: / /canadaeast01.afs.azure.nethttps://canadaeast01.afs.azure.net
https: / /kailani-cae.one.microsoft.comhttps://kailani-cae.one.microsoft.com
Kanada ŚrodkowaCanada Central https: / /tm-canadaeast01.afs.azure.nethttps://tm-canadaeast01.afs.azure.net
https: / /tm-kailani.cae.one.microsoft.comhttps://tm-kailani.cae.one.microsoft.com
PublicznePublic Indie ŚrodkoweCentral India https: / /centralindia01.afs.azure.nethttps://centralindia01.afs.azure.net
https: / /kailani-cin.one.microsoft.comhttps://kailani-cin.one.microsoft.com
Indie PołudnioweSouth India https: / /tm-centralindia01.afs.azure.nethttps://tm-centralindia01.afs.azure.net
https: / /tm-kailani-cin.one.microsoft.comhttps://tm-kailani-cin.one.microsoft.com
PublicznePublic Central USCentral US https: / /centralus01.afs.azure.nethttps://centralus01.afs.azure.net
https: / /kailani-cus.one.microsoft.comhttps://kailani-cus.one.microsoft.com
Wschodnie stany USA 2East US 2 https: / /tm-centralus01.afs.azure.nethttps://tm-centralus01.afs.azure.net
https: / /tm-kailani-cus.one.microsoft.comhttps://tm-kailani-cus.one.microsoft.com
PublicznePublic Azja WschodniaEast Asia https: / /eastasia01.afs.azure.nethttps://eastasia01.afs.azure.net
https: / /kailani11.one.microsoft.comhttps://kailani11.one.microsoft.com
Southeast AsiaSoutheast Asia https: / /tm-eastasia01.afs.azure.nethttps://tm-eastasia01.afs.azure.net
https: / /tm-kailani11.one.microsoft.comhttps://tm-kailani11.one.microsoft.com
PublicznePublic East USEast US https: / /eastus01.afs.azure.nethttps://eastus01.afs.azure.net
https: / /kailani1.one.microsoft.comhttps://kailani1.one.microsoft.com
Zachodnie stany USAWest US https: / /tm-eastus01.afs.azure.nethttps://tm-eastus01.afs.azure.net
https: / /tm-kailani1.one.microsoft.comhttps://tm-kailani1.one.microsoft.com
PublicznePublic Wschodnie stany USA 2East US 2 https: / /eastus201.afs.azure.nethttps://eastus201.afs.azure.net
https: / /kailani-ess.one.microsoft.comhttps://kailani-ess.one.microsoft.com
Central USCentral US https: / /tm-eastus201.afs.azure.nethttps://tm-eastus201.afs.azure.net
https: / /tm-kailani-ess.one.microsoft.comhttps://tm-kailani-ess.one.microsoft.com
PublicznePublic Niemcy PółnocneGermany North https: / /germanynorth01.afs.azure.nethttps://germanynorth01.afs.azure.net Niemcy Zachodnio-środkoweGermany West Central https: / /tm-germanywestcentral01.afs.azure.nethttps://tm-germanywestcentral01.afs.azure.net
PublicznePublic Niemcy Zachodnio-środkoweGermany West Central https: / /germanywestcentral01.afs.azure.nethttps://germanywestcentral01.afs.azure.net Niemcy PółnocneGermany North https: / /tm-germanynorth01.afs.azure.nethttps://tm-germanynorth01.afs.azure.net
PublicznePublic Japonia WschodniaJapan East https: / /japaneast01.afs.azure.nethttps://japaneast01.afs.azure.net Japonia ZachodniaJapan West https: / /tm-japaneast01.afs.azure.nethttps://tm-japaneast01.afs.azure.net
PublicznePublic Japonia ZachodniaJapan West https: / /japanwest01.afs.azure.nethttps://japanwest01.afs.azure.net Japonia WschodniaJapan East https: / /tm-japanwest01.afs.azure.nethttps://tm-japanwest01.afs.azure.net
PublicznePublic Korea ŚrodkowaKorea Central https: / /koreacentral01.afs.azure.net/https://koreacentral01.afs.azure.net/ Korea PołudniowaKorea South https: / /tm-koreacentral01.afs.azure.net/https://tm-koreacentral01.afs.azure.net/
PublicznePublic Korea PołudniowaKorea South https: / /koreasouth01.afs.azure.net/https://koreasouth01.afs.azure.net/ Korea ŚrodkowaKorea Central https: / /tm-koreasouth01.afs.azure.net/https://tm-koreasouth01.afs.azure.net/
PublicznePublic Północno-środkowe stany USANorth Central US https: / /northcentralus01.afs.azure.nethttps://northcentralus01.afs.azure.net South Central USSouth Central US https: / /tm-northcentralus01.afs.azure.nethttps://tm-northcentralus01.afs.azure.net
PublicznePublic Europa PółnocnaNorth Europe https: / /northeurope01.afs.azure.nethttps://northeurope01.afs.azure.net
https: / /kailani7.one.microsoft.comhttps://kailani7.one.microsoft.com
West EuropeWest Europe https: / /tm-northeurope01.afs.azure.nethttps://tm-northeurope01.afs.azure.net
https: / /tm-kailani7.one.microsoft.comhttps://tm-kailani7.one.microsoft.com
PublicznePublic South Central USSouth Central US https: / /southcentralus01.afs.azure.nethttps://southcentralus01.afs.azure.net Północno-środkowe stany USANorth Central US https: / /tm-southcentralus01.afs.azure.nethttps://tm-southcentralus01.afs.azure.net
PublicznePublic Indie PołudnioweSouth India https: / /southindia01.afs.azure.nethttps://southindia01.afs.azure.net
https: / /kailani-sin.one.microsoft.comhttps://kailani-sin.one.microsoft.com
Indie ŚrodkoweCentral India https: / /tm-southindia01.afs.azure.nethttps://tm-southindia01.afs.azure.net
https: / /tm-kailani-sin.one.microsoft.comhttps://tm-kailani-sin.one.microsoft.com
PublicznePublic Southeast AsiaSoutheast Asia https: / /southeastasia01.afs.azure.nethttps://southeastasia01.afs.azure.net
https: / /kailani10.one.microsoft.comhttps://kailani10.one.microsoft.com
Azja WschodniaEast Asia https: / /tm-southeastasia01.afs.azure.nethttps://tm-southeastasia01.afs.azure.net
https: / /tm-kailani10.one.microsoft.comhttps://tm-kailani10.one.microsoft.com
PublicznePublic Korea PółnocnaSwitzerland North https: / /switzerlandnorth01.afs.azure.nethttps://switzerlandnorth01.afs.azure.net
https: / /tm-switzerlandnorth01.afs.azure.nethttps://tm-switzerlandnorth01.afs.azure.net
Szwajcaria ZachodniaSwitzerland West https: / /switzerlandwest01.afs.azure.nethttps://switzerlandwest01.afs.azure.net
https: / /tm-switzerlandwest01.afs.azure.nethttps://tm-switzerlandwest01.afs.azure.net
PublicznePublic Europa ZachodniaSwitzerland West https: / /switzerlandwest01.afs.azure.nethttps://switzerlandwest01.afs.azure.net
https: / /tm-switzerlandwest01.afs.azure.nethttps://tm-switzerlandwest01.afs.azure.net
Korea PółnocnaSwitzerland North https: / /switzerlandnorth01.afs.azure.nethttps://switzerlandnorth01.afs.azure.net
https: / /tm-switzerlandnorth01.afs.azure.nethttps://tm-switzerlandnorth01.afs.azure.net
PublicznePublic Południowe Zjednoczone KrólestwoUK South https: / /uksouth01.afs.azure.nethttps://uksouth01.afs.azure.net
https: / /kailani-uks.one.microsoft.comhttps://kailani-uks.one.microsoft.com
Zachodnie Zjednoczone KrólestwoUK West https: / /tm-uksouth01.afs.azure.nethttps://tm-uksouth01.afs.azure.net
https: / /tm-kailani-uks.one.microsoft.comhttps://tm-kailani-uks.one.microsoft.com
PublicznePublic Zachodnie Zjednoczone KrólestwoUK West https: / /ukwest01.afs.azure.nethttps://ukwest01.afs.azure.net
https: / /kailani-ukw.one.microsoft.comhttps://kailani-ukw.one.microsoft.com
Południowe Zjednoczone KrólestwoUK South https: / /tm-ukwest01.afs.azure.nethttps://tm-ukwest01.afs.azure.net
https: / /tm-kailani-ukw.one.microsoft.comhttps://tm-kailani-ukw.one.microsoft.com
PublicznePublic Zachodnio-środkowe stany USAWest Central US https: / /westcentralus01.afs.azure.nethttps://westcentralus01.afs.azure.net Zachodnie stany USA 2West US 2 https: / /tm-westcentralus01.afs.azure.nethttps://tm-westcentralus01.afs.azure.net
PublicznePublic West EuropeWest Europe https: / /westeurope01.afs.azure.nethttps://westeurope01.afs.azure.net
https: / /kailani6.one.microsoft.comhttps://kailani6.one.microsoft.com
Europa PółnocnaNorth Europe https: / /tm-westeurope01.afs.azure.nethttps://tm-westeurope01.afs.azure.net
https: / /tm-kailani6.one.microsoft.comhttps://tm-kailani6.one.microsoft.com
PublicznePublic Zachodnie stany USAWest US https: / /westus01.afs.azure.nethttps://westus01.afs.azure.net
https: / /kailani.one.microsoft.comhttps://kailani.one.microsoft.com
East USEast US https: / /tm-westus01.afs.azure.nethttps://tm-westus01.afs.azure.net
https: / /tm-kailani.one.microsoft.comhttps://tm-kailani.one.microsoft.com
PublicznePublic Zachodnie stany USA 2West US 2 https: / /westus201.afs.azure.nethttps://westus201.afs.azure.net Zachodnio-środkowe stany USAWest Central US https: / /tm-westus201.afs.azure.nethttps://tm-westus201.afs.azure.net
Instytucje rządoweGovernment US Gov ArizonaUS Gov Arizona https: / /usgovarizona01.afs.azure.ushttps://usgovarizona01.afs.azure.us US Gov TeksasUS Gov Texas https: / /tm-usgovarizona01.afs.azure.ushttps://tm-usgovarizona01.afs.azure.us
Instytucje rządoweGovernment US Gov TeksasUS Gov Texas https: / /usgovtexas01.afs.azure.ushttps://usgovtexas01.afs.azure.us US Gov ArizonaUS Gov Arizona https: / /tm-usgovtexas01.afs.azure.ushttps://tm-usgovtexas01.afs.azure.us
  • Jeśli używasz kont magazynu lokalnie nadmiarowego (LRS) lub strefowo nadmiarowego (ZRS), wystarczy włączyć adres URL wymieniony w obszarze "Podstawowy adres URL punktu końcowego".If you use locally redundant (LRS) or zone redundant (ZRS) storage accounts, you only need to enable the URL listed under "Primary endpoint URL".

  • Jeśli używasz kont magazynu globalnie nadmiarowego (GRS), włącz trzy adresy URL.If you use globally redundant (GRS) storage accounts, enable three URLs.

Przykład: Wdrożysz usługę synchronizacji magazynu w usłudze "West US" i zarejestrujesz w nim serwer.Example: You deploy a storage sync service in "West US" and register your server with it. Adresy URL umożliwiające serwerowi komunikowanie się w tym przypadku to:The URLs to allow the server to communicate to for this case are:

  • https: / /westus01.afs.azure.net (podstawowy punkt końcowy: Zachodnie stany USA)https://westus01.afs.azure.net (primary endpoint: West US)
  • https: / /eastus01.afs.azure.net (sparowany region trybu fail over: Wschodnie usa)https://eastus01.afs.azure.net (paired fail-over region: East US)
  • https: / /tm-westus01.afs.azure.net (adres URL odnajdywania regionu podstawowego)https://tm-westus01.afs.azure.net (discovery URL of the primary region)

Lista zezwalań dla Azure File Sync adresów IPAllow list for Azure File Sync IP addresses

Azure File Sync obsługuje użycie tagów usługi, które reprezentują grupę prefiksów adresów IP dla danej usługi platformy Azure.Azure File Sync supports the use of service tags, which represent a group of IP address prefixes for a given Azure service. Tagi usług umożliwiają tworzenie reguł zapory umożliwiających komunikację z Azure File Sync usługą.You can use service tags to create firewall rules that enable communication with the Azure File Sync service. Tag usługi dla Azure File Sync to StorageSyncService .The service tag for Azure File Sync is StorageSyncService.

Jeśli używasz usługi Azure File Sync platformie Azure, możesz użyć nazwy tagu usługi bezpośrednio w sieciowej grupie zabezpieczeń, aby zezwolić na ruch.If you are using Azure File Sync within Azure, you can use name of service tag directly in your network security group to allow traffic. Aby dowiedzieć się więcej o tym, jak to zrobić, zobacz Sieciowe grupy zabezpieczeń.To learn more about how to do this, see Network security groups.

Jeśli używasz lokalnego Azure File Sync, możesz użyć interfejsu API tagu usługi, aby uzyskać określone zakresy adresów IP dla listy zezwalań zapory.If you are using Azure File Sync on-premises, you can use the service tag API to get specific IP address ranges for your firewall's allow list. Istnieją dwie metody uzyskiwania tych informacji:There are two methods for getting this information:

  • Bieżąca lista zakresów adresów IP dla wszystkich usług platformy Azure, które obsługują tagi usług, jest publikowana co tydzień w Centrum pobierania Microsoft w postaci dokumentu JSON.The current list of IP address ranges for all Azure services supporting service tags are published weekly on the Microsoft Download Center in the form of a JSON document. Każda chmura platformy Azure ma własny dokument JSON z zakresami adresów IP odpowiednimi dla tej chmury:Each Azure cloud has its own JSON document with the IP address ranges relevant for that cloud:
  • Interfejs API odnajdywania tagów usług (wersja zapoznawcza) umożliwia programowe pobieranie bieżącej listy tagów usługi.The service tag discovery API (preview) allows programmatic retrieval of the current list of service tags. W wersji zapoznawczej interfejs API odnajdywania tagów usług może zwracać informacje, które są mniej aktualne niż informacje zwrócone z dokumentów JSON opublikowanych w Centrum pobierania Microsoft.In preview, the service tag discovery API may return information that's less current than information returned from the JSON documents published on the Microsoft Download Center. Powierzchni interfejsu API można używać zgodnie z preferencjami automatyzacji:You can use the API surface based on your automation preference:

Ponieważ interfejs API odnajdywania tagów usług nie jest aktualizowany tak często, jak dokumenty JSON publikowane w Centrum pobierania Microsoft, zalecamy użycie dokumentu JSON w celu zaktualizowania listy zezwalań zapory lokalnej.Because the service tag discovery API is not updated as frequently as the JSON documents published to the Microsoft Download Center, we recommend using the JSON document to update your on-premises firewall's allow list. Można to zrobić w następujący sposób:This can be done as follows:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://docs.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Następnie możesz zaktualizować zaporę przy użyciu zakresów adresów IP $ipAddressRanges w programie .You can then use the IP address ranges in $ipAddressRanges to update your firewall. Sprawdź witrynę internetową zapory/urządzenia sieciowego, aby uzyskać informacje na temat sposobu aktualizowania zapory.Check your firewall/network appliance's website for information on how to update your firewall.

Testowanie łączności sieciowej z punktami końcowymi usługiTest network connectivity to service endpoints

Po zarejestrowaniu serwera w usłudze Azure File Sync polecenia cmdlet Test-StorageSyncNetworkConnectivity i ServerRegistration.exe mogą służyć do testowania komunikacji ze wszystkimi punktami końcowymi (adresami URL) specyficznym dla tego serwera.Once a server is registered with the Azure File Sync service, the Test-StorageSyncNetworkConnectivity cmdlet and ServerRegistration.exe can be used to test communications with all endpoints (URLs) specific to this server. To polecenie cmdlet może pomóc w rozwiązywaniu problemów, gdy nieukończona komunikacja uniemożliwia serwerowi pełną pracę z usługą Azure File Sync i może służyć do dostrajania konfiguracji serwera proxy i zapory.This cmdlet can help troubleshoot when incomplete communication prevents the server from fully working with Azure File Sync and it can be used to fine-tune proxy and firewall configurations.

Aby uruchomić test łączności sieciowej, zainstaluj agenta Azure File Sync w wersji 9.1 lub nowszej i uruchom następujące polecenia programu PowerShell:To run the network connectivity test, install Azure File Sync agent version 9.1 or later and run the following PowerShell commands:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Podsumowanie i ograniczenie ryzykaSummary and risk limitation

Listy znajdujące się wcześniej w tym dokumencie zawierają adresy URL, z Azure File Sync się obecnie komunikują.The lists earlier in this document contain the URLs Azure File Sync currently communicates with. Zapory muszą mieć możliwość zezwalania na ruch wychodzący do tych domen.Firewalls must be able to allow traffic outbound to these domains. Firma Microsoft stara się aktualizować tę listę.Microsoft strives to keep this list updated.

Skonfigurowanie reguł zapory ograniczających domenę może być miarą w celu zwiększenia bezpieczeństwa.Setting up domain restricting firewall rules can be a measure to improve security. Jeśli są używane te konfiguracje zapory, należy pamiętać, że adresy URL zostaną dodane, a nawet mogą ulec zmianie w czasie.If these firewall configurations are used, one needs to keep in mind that URLs will be added and might even change over time. Okresowo sprawdzaj ten artykuł.Check this article periodically.

Następne krokiNext steps