Настройка брандмауэра и прокси-сервера предприятия для поддержки трафика WNSEnterprise Firewall and Proxy Configurations to Support WNS Traffic

ФонBackground

Многие предприятия используют брандмауэры для блокировки нежелательного сетевого трафика и портов. к сожалению, это также может блокировать такие важные вещи, как связь со службой уведомлений Windows.Many enterprises use firewalls to block unwanted network traffic and ports; unfortunately, this can also block important things like Windows Notification Service communications. Это означает, что все уведомления, отправляемые через WNS, будут удалены при определенных конфигурациях сети.This means all notifications sent through WNS will be dropped under certain network configurations. Чтобы избежать этого, администраторы сети могут добавить список утвержденных полных доменных имен WNS или виртуальных IP-адресов в их список исключений, чтобы разрешить передачу трафика WNS через брандмауэр.To avoid this, network admins can add the list of approved WNS FQDNs or VIPs to their exemption list to allow the WNS traffic to pass through the firewall. Ниже приведены дополнительные сведения о том, как и что следует добавить, а также о поддержке различных типов прокси.Below are more details on how and what to add, as well as support for different proxy types.

Поддержка прокси-сервераProxy Support

Примечание

Push-уведомления WNS в Windows не поддерживают все прокси-серверы в настоящее время.WNS Push Notifications on Windows doesn't support all proxies currently. Для достижения лучших результатов соединение с WNS должно быть прямым подключением.For best results, the connection to WNS must be a direct connection.

Мы активно изучаем различные конфигурации сети, прокси-серверы и брандмауэры.We are actively investigating different network configurations, proxies, and firewalls. В ближайшее время мы будем обновлять эту страницу с более подробными сведениями о распространенных корпоративных сценариях и поддержке WNS.We will update this page with more details on common enterprise scenarios and WNS support soon.

Какие сведения следует добавить в разрешенныхWhat information should be added to the allowlist

Ниже приведен список, содержащий полные доменные имена, VIP и IP-адреса, используемые службой уведомлений Windows.Below is a list that contains the FQDNs, VIPs, and IP address ranges used by the Windows Notification Service.

Важно!

Мы настоятельно рекомендуем разрешить список по полному доменному имени, так как они не изменятся.We strongly suggest that you allow list by FQDN, because these will not change. При разрешении списка по полному доменному имени не нужно разрешать диапазоны IP-адресов.If you allow list by FQDN, you do not need to also allow the IP address ranges.

Важно!

Диапазоны IP-адресов будут периодически изменяться; по этой причине они не включаются на эту страницу.The IP address ranges will change periodically; because of this, they are not included on this page. Если вы хотите просмотреть список диапазонов IP-адресов, скачайте файл из центра загрузки: VIP и диапазоны IP-адресов службы уведомлений Windows (WNS).If you want to see the list of IP ranges, you can download the file from Download Center: Windows Notification Service (WNS) VIP and IP Ranges. Регулярно проверяйте его, чтобы убедиться, что у вас есть самые последние сведения.Please check back regularly to make sure you have the most up-to-date information.

Полные доменные имена, VIP, IP-адреса и портыFQDNs, VIPs, IPs, and Ports

Независимо от метода, выбранного ниже, необходимо разрешить сетевой трафик к указанным местам назначения через порт 443.Regardless of the method you choose from below, you'll need to allow network traffic to the listed destinations through port 443. Каждый из элементов в следующем XML-документе объясняется в таблице, следующей за ней (в терминах и нотациях).Each of the elements in the following XML document is explained in the table that follows it (in Terms and Notations). Диапазоны IP-адресов были намеренно оставлены в этом документе, чтобы помочь вам использовать только полные доменные имена, так как FQDN будет оставаться постоянным.The IP ranges were intentionally left out of this document to encourage you to use only the FQDNs as the FQDNs will remain constant. Однако можно скачать XML-файл, содержащий полный список, из центра загрузки: VIP и диапазоны IP-адресов службы уведомлений Windows (WNS).However, you can download the XML file containing the complete list from Download Center: Windows Notification Service (WNS) VIP and IP Ranges. Новые VIP или диапазоны IP-адресов будут действовать на одну неделю после отправки.New VIPs or IP ranges will be effective one week after they are uploaded.

<?xml version="1.0" encoding="UTF-8"?>
<WNSPublicIpAddresses xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
    <!-- This file contains the FQDNs, VIPs, and IP address ranges used by the Windows Notification Service. A new text file will be uploaded every time a new VIP or IP range is released in production.  Please copy the below information and perform the necessary changes on your site. Endpoints in CloudService nodes are used for cloud services to send notifications to WNS. Endpoints in Client nodes are used by devices to receive notifications from WNS. --> 
    <CloudServiceDNS>
    <DNS FQDN="*.notify.windows.com"/>
    </CloudServiceDNS>
    <ClientDNS>
        <DNS FQDN="*.wns.windows.com"/>
        <DNS FQDN="*.notify.live.net"/>
    </ClientDNS>
    <CloudServiceIPs>
        <IpRange Subnet=""/>
        <!-- See the file in Download Center for the complete list of IP ranges -->
    </CloudServiceIPs>
    <ClientIPsIPv4>
        <IpRange Subnet=""/>
        <!-- See the file in Download Center for the complete list of IP ranges -->
    </ClientIPsIPv4>
    <IdentityServiceDNS>
        <DNS FQDN="login.microsoftonline.com"/>
        <DNS FQDN="login.live.com"/>
    </IdentityServiceDNS>
</WNSPublicIpAddresses>

Термины и обозначенияTerms and notations

Ниже приведены пояснения к нотациям и элементам, используемым в приведенном выше фрагменте кода XML.Below are explanations on the notations and elements used in the above XML snippet.

ТерминTerm ОписаниеExplanation
Точечная-десятичная нотация (т. е. 64.4.28.0/26)Dot-decimal notation (i.e. 64.4.28.0/26) Десятичная нотация — это способ описания диапазона IP-адресов.Dot-decimal notation is a way to describe the range of IP addresses. Например, 64.4.28.0/26 означает, что первые 26 бит 64.4.28.0 являются константами, а последние 6 бит — переменными.For example, 64.4.28.0/26 means the first 26 bits of 64.4.28.0 are constant, while the last 6 bits are variable. В этом случае диапазон IPv4 — 64.4.28.0-64.4.28.63.In this case, the IPv4 range is 64.4.28.0 - 64.4.28.63.
клиентднсClientDNS Это полные фильтры доменных имен (FQDN) для клиентских устройств (компьютеров Windows, настольных компьютеров), получающих уведомления от WNS.These are the Fully-Qualified Domain Name (FQDN) filters for the client devices (Windows PCs, desktops) receiving notifications from WNS. Они должны быть разрешены через брандмауэр, чтобы клиенты WNS могли использовать функцию WNS.These must be allowed through the firewall in order for WNS clients to use the WNS Functionality. Рекомендуется разрешить в список FQDN, а не диапазоны IP/VIP, так как они никогда не изменятся.It is recommended to allow-list by the FQDNs instead of the IP/VIP ranges, since these will never change.
ClientIPsIPv4ClientIPsIPv4 Это IPv4-адреса серверов, к которым обращаются клиентские устройства (компьютеры Windows, настольные системы), которые получают уведомления от WNS.These are the IPv4 addresses of the servers accessed by client devices (Windows PCs, desktops) receiving notifications from WNS.
клаудсервицеднсCloudServiceDNS Это фильтры полного доменного имени (FQDN) для серверов WNS, с которыми будет взаимодействовать облачная служба для отправки нотификатиос в WNS.These are the Fully-Qualified Domain Name (FQDN) filters for the WNS servers your cloud service will talk to to send notificatios to WNS. Они должны быть разрешены через брандмауэр, чтобы службы могли отправлять уведомления WNS.These must be allowed through the firewall in order for services to send WNS notifications. Рекомендуется разрешить в список FQDN, а не диапазоны IP/VIP, так как они никогда не изменятся.It is recommended to allow-list by the FQDNs instead of the IP/VIP ranges, since these will never change.
клаудсервицеипсCloudServiceIPs Клаудсервицеипс — IPv4-адреса серверов, используемых облачными службами для отправки уведомлений в WNS.CloudServiceIPs are the IPv4 addresses of the servers used for cloud services to send notifications to WNS

Диапазоны общедоступных IP-адресов Microsoft Push Notification Service (MPNS)Microsoft Push Notifications Service (MPNS) public IP ranges

Если вы используете устаревшую службу уведомлений, то диапазоны IP-адресов, которые необходимо добавить в список разрешений, доступны в центре загрузки: общедоступные IP-адреса службы push-уведомлений Майкрософт (MPNS).If you are using the legacy notification service, MPNS, the IP address ranges that you will need to add to the allow list are available from Download Center: Microsoft Push Notifications Service (MPNS) Public IP ranges.