用于支持 WNS 流量的企业防火墙配置

项目
04/06/2023

背景

许多企业使用防火墙来阻止不需要的网络流量和端口；遗憾的是，这也可能会阻止 Windows 通知服务通信之类的重要事项。这意味着，在某些网络配置下，通过 WNS 发送的所有通知会被丢弃。为避免出现这种情况，网络管理员可以将已批准的 WNS FQDN 或 VIP 的列表添加到其免除列表，以允许 WNS 流量通过防火墙。

代理支持

注意

WNS 推送通知不支持代理。为了获得最佳结果，与 WNS 的连接必须是直接连接，但是可以使用 VPN 接口。

欢迎提供有关代理支持的任何反馈。请将你的反馈定向到 https://aka.ms/windowsappsdk 并提交问题，以便我们跟踪用户对 WNS 的代理支持的兴趣。可以为问题添加“区域通知”标签，以便通知团队更快地看到它。

应将哪些信息添加到允许列表

下面是一个列表，其中包含 Windows 通知服务使用的 FQDN、VIP 和 IP 地址范围。

重要

强烈建议你允许按 FQDN 列出信息，因为这些不会更改。如果允许按 FQDN 列出信息，则不需要同时允许 IP 地址范围。

重要

IP 地址范围会定期更改，因此不包括在此页中。若要查看 IP 范围列表，可以从此下载中心下载文件：Windows 通知服务 (WNS) VIP 和 IP 范围。请定期查看以确保获取最新信息。

FQDN、VIP、IP 和端口

无论从下面选择哪种方法，都需要允许通过端口 443 向所列目标发送网络流量。以下 XML 文档中的每个元素都在随后的表中（在术语和表示法中）进行了说明。此文档中特意遗漏了 IP 范围，以鼓励你只使用 FQDN，因为 FQDN 将保持不变。但是，你可以从此下载中心下载包含完整列表的 XML 文件：Windows 通知服务 (WNS) VIP 和 IP 范围。新的 VIP 或 IP 范围将在上传一周后生效。

<?xml version="1.0" encoding="UTF-8"?>
<WNSPublicIpAddresses xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
    <!-- This file contains the FQDNs, VIPs, and IP address ranges used by the Windows Notification Service. A new text file will be uploaded every time a new VIP or IP range is released in production.  Please copy the below information and perform the necessary changes on your site. Endpoints in CloudService nodes are used for cloud services to send notifications to WNS. Endpoints in Client nodes are used by devices to receive notifications from WNS. --> 
    <CloudServiceDNS>
    <DNS FQDN="*.notify.windows.com"/>
    </CloudServiceDNS>
    <ClientDNS>
        <DNS FQDN="*.wns.windows.com"/>
        <DNS FQDN="*.notify.live.net"/>
    </ClientDNS>
    <CloudServiceIPs>
        <IpRange Subnet=""/>
        <!-- See the file in Download Center for the complete list of IP ranges -->
    </CloudServiceIPs>
    <ClientIPsIPv4>
        <IpRange Subnet=""/>
        <!-- See the file in Download Center for the complete list of IP ranges -->
    </ClientIPsIPv4>
    <IdentityServiceDNS>
        <DNS FQDN="login.microsoftonline.com"/>
        <DNS FQDN="login.live.com"/>
    </IdentityServiceDNS>
</WNSPublicIpAddresses>

术语和表示法

下面是上述 XML 代码片段中使用的表示法和元素的说明。

术语	说明
点分十进制格式（例如 64.4.28.0/26）	点分十进制格式是一种描述 IP 地址范围的方法。例如，64.4.28.0/26 表示 64.4.28.0 的前 26 位是常量，最后 6 位是变量。在此示例中，IPv4 范围为 64.4.28.0 - 64.4.28.63。
ClientDNS	它们是从 WNS 接收通知的客户端设备（Windows 电脑、桌面）的完全限定的域名 (FQDN) 筛选器。若要使 WNS 客户端使用 WNS 功能，必须通过防火墙允许使用它们。建议按 FQDN 而不是 IP/VIP 范围来加入允许列表，因为它们将永远不会更改。
ClientIPsIPv4	它们是从 WNS 接收通知的客户端设备（Windows 电脑、桌面）访问的服务器的 IPv4 地址。
CloudServiceDNS	它们是 WNS 服务器的完全限定的域名 (FQDN) 筛选器，你的云服务将与这些服务器通信以向 WNS 发送通知。若要让服务发送 WNS 通知，必须通过防火墙允许使用它们。建议按 FQDN 而不是 IP/VIP 范围来加入允许列表，因为它们将永远不会更改。
CloudServiceIPs	CloudServiceIPs 是用于云服务的服务器的 IPv4 地址，用于向 WNS 发送通知

Microsoft 推送通知服务 (MPNS) 公共 IP 范围

如果你使用的是旧通知服务 (MPNS)，则可从此下载中心获取那些需要添加到允许列表的 IP 地址范围：Microsoft 推送通知服务 (MPNS) 公共 IP 范围。