Ustawienia serwera proxy i zapory usługi Azure File Sync

Usługa Azure File Sync łączy serwery lokalne z usługą Azure Files, umożliwiając synchronizację wielu lokacji i funkcje obsługi warstw w chmurze. W związku z tym serwer lokalny musi być połączony z Internetem. Administrator IT musi wybrać najlepszą ścieżkę, aby serwer dotarł do usług w chmurze platformy Azure.

Ten artykuł zawiera szczegółowe informacje o określonych wymaganiach i opcjach dostępnych do pomyślnego i bezpiecznego łączenia serwera z usługą Azure File Sync.

Zalecamy zapoznanie się z zagadnieniami dotyczącymi sieci usługi Azure File Sync przed przeczytaniem tego przewodnika.

Omówienie

Usługa Azure File Sync działa jako usługa orkiestracji między systemem Windows Server, udziałem plików platformy Azure i kilkoma innymi usługami platformy Azure w celu synchronizacji danych zgodnie z opisem w grupie synchronizacji. Aby usługa Azure File Sync działała prawidłowo, należy skonfigurować serwery do komunikowania się z następującymi usługami platformy Azure:

• Azure Storage
• Azure File Sync
• Azure Resource Manager
• Usługi uwierzytelniania

Uwaga

Agent usługi Azure File Sync w systemie Windows Server inicjuje wszystkie żądania do usług w chmurze, co powoduje tylko konieczność rozważenia ruchu wychodzącego z perspektywy zapory. Żadna usługa platformy Azure nie inicjuje połączenia z agentem usługi Azure File Sync.

Porty

Usługa Azure File Sync przenosi dane plików i metadane wyłącznie za pośrednictwem protokołu HTTPS i wymaga otwarcia portu 443 dla ruchu wychodzącego. W związku z tym cały ruch jest szyfrowany.

Sieci i połączenia specjalne z platformą Azure

Agent usługi Azure File Sync nie ma wymagań dotyczących specjalnych kanałów, takich jak ExpressRoute, itp. na platformie Azure.

Usługa Azure File Sync będzie działać za pomocą wszelkich dostępnych środków, które umożliwiają dostęp do platformy Azure, automatycznie dostosowując się do cech sieci, takich jak przepustowość i opóźnienie, a także oferują kontrolę administratora na potrzeby precyzyjnego dostrajania.

Proxy

Usługa Azure File Sync obsługuje ustawienia serwera proxy specyficzne dla aplikacji i całego komputera.

Ustawienia serwera proxy specyficzne dla aplikacji umożliwiają konfigurację serwera proxy specjalnie dla ruchu usługi Azure File Sync. Ustawienia serwera proxy specyficzne dla aplikacji są obsługiwane w wersji 4.0.1.0 lub nowszej i można je skonfigurować podczas instalacji agenta lub za pomocą Set-StorageSyncProxyConfiguration polecenia cmdlet programu PowerShell.

Polecenia programu PowerShell służące do konfigurowania ustawień serwera proxy specyficznych dla aplikacji:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Jeśli na przykład serwer proxy wymaga uwierzytelniania przy użyciu nazwy użytkownika i hasła, uruchom następujące polecenia programu PowerShell:

# IP address or name of the proxy server.
$Address="http://127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Ustawienia serwera proxy dla całej maszyny są niewidoczne dla agenta usługi Azure File Sync, ponieważ cały ruch serwera jest kierowany przez serwer proxy.

Aby skonfigurować ustawienia serwera proxy dla maszyny, wykonaj następujące czynności:

1. Konfigurowanie ustawień serwera proxy dla aplikacji platformy .NET

   • Edytuj te dwa pliki:
     C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
     C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

   • Dodaj sekcję <system.net> w plikach machine.config (poniżej <sekcji system.serviceModel> ). Zmień wartość 127.0.01:8888 na adres IP i port serwera proxy.

     <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
          <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
        </defaultProxy>
     </system.net>
     

2. Konfigurowanie ustawień WinHTTP serwera proxy

   Uwaga

   Istnieje kilka metod (WPAD, plik PAC, netsh itp.), aby skonfigurować system Windows Server do korzystania z serwera proxy. W poniższych krokach opisano sposób konfigurowania ustawień serwera proxy przy użyciu dowolnej netsh metody wymienionej w dokumentacji Konfigurowanie ustawień serwera proxy w dokumentacji systemu Windows .

   • Uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień lub w programie PowerShell, aby wyświetlić istniejące ustawienie serwera proxy:

     netsh winhttp show proxy

   • Uruchom następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień lub programu PowerShell, aby ustawić ustawienie serwera proxy (zmień wartość 127.0.01:8888 na adres IP i port serwera proxy):

     netsh winhttp set proxy 127.0.0.1:8888

3. Uruchom ponownie usługę Agent synchronizacji magazynu, uruchamiając następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień lub w programie PowerShell:

   net stop filesyncsvc

   Uwaga: usługa Agent synchronizacji magazynu (filesyncsvc) zostanie uruchomiona automatycznie po zatrzymaniu.

Firewall

Jak wspomniano w poprzedniej sekcji, port 443 musi być otwarty wychodzący. Na podstawie zasad w centrum danych, gałęzi lub regionie można dodatkowo ograniczyć ruch przez ten port do określonych domen lub być wymagany.

W poniższej tabeli opisano wymagane domeny do komunikacji:

Usługa	Punkt końcowy chmury publicznej	Punkt końcowy platformy Azure Government	Użycie
Azure Resource Manager	https://management.azure.com	https://management.usgovcloudapi.net	Każde wywołanie użytkownika (takie jak program PowerShell), w tym wywołanie początkowej rejestracji serwera, przechodzi do tego adresu URL lub przez ten adres URL.
Tożsamość Microsoft Entra	https://login.windows.net https://login.microsoftonline.com https://aadcdn.msftauth.net	https://login.microsoftonline.us	Wywołania usługi Azure Resource Manager muszą być wykonywane przez uwierzytelnionego użytkownika. W celu zapewnienia pomyślnego działania ten adres URL służy do uwierzytelniania użytkownika.
Tożsamość Microsoft Entra	https://graph.microsoft.com/	https://graph.microsoft.com/	W ramach wdrażania usługi Azure File Sync zostanie utworzona jednostka usługi w usłudze Microsoft Entra ID subskrypcji. Ten adres URL służy do tego celu. Ta jednostka służy do delegowania minimalnego zestawu praw do usługi Azure File Sync. Użytkownik wykonujący początkową konfigurację usługi Azure File Sync musi być uwierzytelnionym użytkownikiem z uprawnieniami właściciela subskrypcji.
Tożsamość Microsoft Entra	https://secure.aadcdn.microsoftonline-p.com	https://secure.aadcdn.microsoftonline-p.com (taki sam jak adres URL punktu końcowego chmury publicznej)	Ten adres URL jest uzyskiwany przez bibliotekę uwierzytelniania usługi Active Directory używaną przez interfejs użytkownika rejestracji serwera Azure File Sync do logowania się administratora.
Azure Storage	*.core.windows.net	*.core.usgovcloudapi.net	Podczas pobierania pliku serwer wykonuje to przenoszenie danych wydajniej, komunikując się bezpośrednio z udziałem plików platformy Azure na koncie magazynu. Serwer ma klucz sygnatury dostępu współdzielonego, który zezwala tylko na dostęp do docelowego udziału plików.
Azure File Sync	*.one.microsoft.com *.afs.azure.net	*.afs.azure.us	Po początkowej rejestracji serwera serwer otrzymuje regionalny adres URL wystąpienia usługi Azure File Sync w tym regionie. Serwer może używać adresu URL do bezpośredniej i wydajnej komunikacji z wystąpieniem obsługującym synchronizację.
Infrastruktura kluczy publicznych firmy Microsoft	https://www.microsoft.com/pki/mscorp/cps http://crl.microsoft.com/pki/mscorp/crl/ http://mscrl.microsoft.com/pki/mscorp/crl/ http://ocsp.msocsp.com http://ocsp.digicert.com/ http://crl3.digicert.com/	https://www.microsoft.com/pki/mscorp/cps http://crl.microsoft.com/pki/mscorp/crl/ http://mscrl.microsoft.com/pki/mscorp/crl/ http://ocsp.msocsp.com http://ocsp.digicert.com/ http://crl3.digicert.com/	Po zainstalowaniu agenta Azure File Sync adres URL infrastruktury kluczy publicznych (PKI) służy do pobierania certyfikatów pośrednich wymaganych do komunikowania się z usługą Azure File Sync i udziałem plików platformy Azure. Adres URL protokołu OCSP służy do sprawdzania stanu certyfikatu.
Microsoft Update	*.update.microsoft.com *.download.windowsupdate.com *.ctldl.windowsupdate.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com	*.update.microsoft.com *.download.windowsupdate.com *.ctldl.windowsupdate.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com	Po zainstalowaniu agenta Azure File Sync adresy URL usługi Microsoft Update są używane do pobierania aktualizacji agenta Azure File Sync.

Ważne

W przypadku zezwalania na ruch do *.afs.azure.net ruch jest możliwy tylko dla usługi synchronizacji. Nie ma żadnych innych usługi firmy Microsoft przy użyciu tej domeny. W przypadku zezwalania na ruch do *.one.microsoft.com ruch do więcej niż tylko usługi synchronizacji jest możliwy z serwera. Istnieje o wiele więcej usługi firmy Microsoft dostępnych w poddomenach.

Jeśli wartość *.afs.azure.net lub *.one.microsoft.com jest zbyt szeroka, możesz ograniczyć komunikację serwera, zezwalając na komunikację tylko jawnie wystąpień regionalnych usługi Azure File Sync. Które wystąpienia do wyboru zależą od regionu wdrożonej i zarejestrowanej usługi synchronizacji magazynu. Ten region nosi nazwę "Podstawowy adres URL punktu końcowego" w poniższej tabeli.

Ze względu na ciągłość działania i odzyskiwanie po awarii (BCDR) być może utworzono udziały plików platformy Azure na koncie magazynu skonfigurowanym dla magazynu geograficznie nadmiarowego (GRS). W takim przypadku udziały plików platformy Azure przejdą w tryb failover do sparowanego regionu w razie trwałej awarii regionalnej. Usługa Azure File Sync używa tych samych par regionalnych, co magazyn. Dlatego jeśli używasz kont magazynu GRS, musisz włączyć dodatkowe adresy URL, aby umożliwić serwerowi komunikację z sparowanym regionem usługi Azure File Sync. Poniższa tabela wywołuje ten "sparowany region". Ponadto istnieje również adres URL profilu usługi Traffic Manager, który musi być również włączony. Dzięki temu ruch sieciowy może być bezproblemowo ponownie kierowany do sparowanego regionu w przypadku przejścia w tryb failover i jest nazywany "adresem URL odnajdywania" w poniższej tabeli.

Chmura	Region (Region)	Podstawowy adres URL punktu końcowego	Region sparowany	Adres URL odnajdywania
Publiczne	Australia Wschodnia	https://australiaeast01.afs.azure.net https://kailani-aue.one.microsoft.com	Australia Południowo-Wschodnia	https://tm-australiaeast01.afs.azure.net https://tm-kailani-aue.one.microsoft.com
Publiczne	Australia Południowo-Wschodnia	https://australiasoutheast01.afs.azure.net https://kailani-aus.one.microsoft.com	Australia Wschodnia	https://tm-australiasoutheast01.afs.azure.net https://tm-kailani-aus.one.microsoft.com
Publiczne	Brazylia Południowa	https://brazilsouth01.afs.azure.net	South Central US	https://tm-brazilsouth01.afs.azure.net
Publiczne	Kanada Środkowa	https://canadacentral01.afs.azure.net https://kailani-cac.one.microsoft.com	Kanada Wschodnia	https://tm-canadacentral01.afs.azure.net https://tm-kailani-cac.one.microsoft.com
Publiczne	Kanada Wschodnia	https://canadaeast01.afs.azure.net https://kailani-cae.one.microsoft.com	Kanada Środkowa	https://tm-canadaeast01.afs.azure.net https://tm-kailani.cae.one.microsoft.com
Publiczne	Indie Środkowe	https://centralindia01.afs.azure.net https://kailani-cin.one.microsoft.com	Indie Południowe	https://tm-centralindia01.afs.azure.net https://tm-kailani-cin.one.microsoft.com
Publiczne	Środkowe stany USA	https://centralus01.afs.azure.net https://kailani-cus.one.microsoft.com	Wschodnie stany USA 2	https://tm-centralus01.afs.azure.net https://tm-kailani-cus.one.microsoft.com
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet	Chiny Wschodnie 2	https://chinaeast201.afs.azure.cn	Chiny Północne 2	https://tm-chinaeast201.afs.azure.cn
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet	Chiny Północne 2	https://chinanorth201.afs.azure.cn	Chiny Wschodnie 2	https://tm-chinanorth201.afs.azure.cn
Publiczne	Azja Wschodnia	https://eastasia01.afs.azure.net https://kailani11.one.microsoft.com	Southeast Asia	https://tm-eastasia01.afs.azure.net https://tm-kailani11.one.microsoft.com
Publiczne	Wschodnie stany USA	https://eastus01.afs.azure.net https://kailani1.one.microsoft.com	Zachodnie stany USA	https://tm-eastus01.afs.azure.net https://tm-kailani1.one.microsoft.com
Publiczne	Wschodnie stany USA 2	https://eastus201.afs.azure.net https://kailani-ess.one.microsoft.com	Środkowe stany USA	https://tm-eastus201.afs.azure.net https://tm-kailani-ess.one.microsoft.com
Publiczne	Niemcy Północne	https://germanynorth01.afs.azure.net	Niemcy Środkowo-Zachodnie	https://tm-germanywestcentral01.afs.azure.net
Publiczne	Niemcy Środkowo-Zachodnie	https://germanywestcentral01.afs.azure.net	Niemcy Północne	https://tm-germanynorth01.afs.azure.net
Publiczne	Japonia Wschodnia	https://japaneast01.afs.azure.net	Japonia Zachodnia	https://tm-japaneast01.afs.azure.net
Publiczne	Japonia Zachodnia	https://japanwest01.afs.azure.net	Japonia Wschodnia	https://tm-japanwest01.afs.azure.net
Publiczne	Korea Środkowa	https://koreacentral01.afs.azure.net/	Korea Południowa	https://tm-koreacentral01.afs.azure.net/
Publiczne	Korea Południowa	https://koreasouth01.afs.azure.net/	Korea Środkowa	https://tm-koreasouth01.afs.azure.net/
Publiczne	Północno-środkowe stany USA	https://northcentralus01.afs.azure.net	South Central US	https://tm-northcentralus01.afs.azure.net
Publiczne	Europa Północna	https://northeurope01.afs.azure.net https://kailani7.one.microsoft.com	West Europe	https://tm-northeurope01.afs.azure.net https://tm-kailani7.one.microsoft.com
Publiczne	South Central US	https://southcentralus01.afs.azure.net	Północno-środkowe stany USA	https://tm-southcentralus01.afs.azure.net
Publiczne	Indie Południowe	https://southindia01.afs.azure.net https://kailani-sin.one.microsoft.com	Indie Centralne	https://tm-southindia01.afs.azure.net https://tm-kailani-sin.one.microsoft.com
Publiczne	Southeast Asia	https://southeastasia01.afs.azure.net https://kailani10.one.microsoft.com	Azja Wschodnia	https://tm-southeastasia01.afs.azure.net https://tm-kailani10.one.microsoft.com
Publiczne	Szwajcaria Północna	https://switzerlandnorth01.afs.azure.net https://tm-switzerlandnorth01.afs.azure.net	Szwajcaria Zachodnia	https://switzerlandwest01.afs.azure.net https://tm-switzerlandwest01.afs.azure.net
Publiczne	Szwajcaria Zachodnia	https://switzerlandwest01.afs.azure.net https://tm-switzerlandwest01.afs.azure.net	Szwajcaria Północna	https://switzerlandnorth01.afs.azure.net https://tm-switzerlandnorth01.afs.azure.net
Publiczne	Środkowe Zjednoczone Emiraty Arabskie	https://uaecentral01.afs.azure.net	Północne Zjednoczone Emiraty Arabskie	https://tm-uaecentral01.afs.azure.net
Publiczne	Północne Zjednoczone Emiraty Arabskie	https://uaenorth01.afs.azure.net	Środkowe Zjednoczone Emiraty Arabskie	https://tm-uaenorth01.afs.azure.net
Publiczne	Południowe Zjednoczone Królestwo	https://uksouth01.afs.azure.net https://kailani-uks.one.microsoft.com	Zachodnie Zjednoczone Królestwo	https://tm-uksouth01.afs.azure.net https://tm-kailani-uks.one.microsoft.com
Publiczne	Zachodnie Zjednoczone Królestwo	https://ukwest01.afs.azure.net https://kailani-ukw.one.microsoft.com	Południowe Zjednoczone Królestwo	https://tm-ukwest01.afs.azure.net https://tm-kailani-ukw.one.microsoft.com
Publiczne	Zachodnio-środkowe stany USA	https://westcentralus01.afs.azure.net	Zachodnie stany USA 2	https://tm-westcentralus01.afs.azure.net
Publiczne	West Europe	https://westeurope01.afs.azure.net https://kailani6.one.microsoft.com	Europa Północna	https://tm-westeurope01.afs.azure.net https://tm-kailani6.one.microsoft.com
Publiczne	Zachodnie stany USA	https://westus01.afs.azure.net https://kailani.one.microsoft.com	East US	https://tm-westus01.afs.azure.net https://tm-kailani.one.microsoft.com
Publiczne	Zachodnie stany USA 2	https://westus201.afs.azure.net	Zachodnio-środkowe stany USA	https://tm-westus201.afs.azure.net
Instytucje rządowe	US Gov Arizona	https://usgovarizona01.afs.azure.us	US Gov Teksas	https://tm-usgovarizona01.afs.azure.us
Instytucje rządowe	US Gov Teksas	https://usgovtexas01.afs.azure.us	US Gov Arizona	https://tm-usgovtexas01.afs.azure.us

• Jeśli używasz konta magazynu skonfigurowanego dla magazynu lokalnie nadmiarowego (LRS) lub magazynu strefowo nadmiarowego (ZRS), wystarczy włączyć adres URL wymieniony w obszarze "Podstawowy adres URL punktu końcowego".

• Jeśli używasz konta magazynu skonfigurowanego dla magazynu GRS, włącz trzy adresy URL.

Przykład: usługa synchronizacji magazynu jest wdrażana w "West US" usłudze i rejestrujesz na nim serwer. Adresy URL umożliwiające serwerowi komunikowanie się w tym przypadku:

• https://westus01.afs.azure.net (podstawowy punkt końcowy: Zachodnie stany USA)
• https://eastus01.afs.azure.net (sparowany region trybu failover: Wschodnie stany USA)
• https://tm-westus01.afs.azure.net (adres URL odnajdywania regionu podstawowego)

Lista dozwolonych adresów IP usługi Azure File Sync

Usługa Azure File Sync obsługuje użycie tagów usługi, które reprezentują grupę prefiksów adresów IP dla danej usługi platformy Azure. Za pomocą tagów usługi można tworzyć reguły zapory, które umożliwiają komunikację z usługą Azure File Sync. Tag usługi dla usługi Azure File Sync to StorageSyncService.

Jeśli używasz usługi Azure File Sync na platformie Azure, możesz użyć nazwy tagu usługi bezpośrednio w sieciowej grupie zabezpieczeń, aby zezwolić na ruch. Aby dowiedzieć się więcej o tym, jak to zrobić, zobacz Sieciowe grupy zabezpieczeń.

Jeśli używasz lokalnej usługi Azure File Sync, możesz użyć interfejsu API tagów usługi, aby uzyskać określone zakresy adresów IP dla listy dozwolonych zapory. Istnieją dwie metody uzyskiwania tych informacji:

• Bieżąca lista zakresów adresów IP dla wszystkich tagów usługi obsługujących usługi platformy Azure jest publikowana co tydzień w Centrum pobierania Microsoft w formie dokumentu JSON. Każda chmura platformy Azure ma własny dokument JSON z zakresami adresów IP istotnych dla tej chmury:
  • Publiczna platforma Azure
  • Wersja platformy Azure dla administracji USA
  • Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
  • Azure (Niemcy)
• Interfejs API odnajdywania tagów usługi umożliwia programowe pobieranie bieżącej listy tagów usługi. Możesz użyć powierzchni interfejsu API na podstawie preferencji automatyzacji:
  • Interfejs API REST
  • Azure PowerShell
  • Interfejs wiersza polecenia platformy Azure

Ponieważ interfejs API odnajdywania tagów usługi może nie być aktualizowany tak często, jak dokumenty JSON opublikowane w Centrum pobierania Microsoft, zalecamy użycie dokumentu JSON w celu zaktualizowania listy dozwolonych zapory lokalnej. Można to zrobić w następujący sposób:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://learn.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Następnie możesz użyć zakresów adresów IP w programie, $ipAddressRanges aby zaktualizować zaporę. Sprawdź witrynę internetową zapory/urządzenia sieciowego, aby uzyskać informacje na temat aktualizowania zapory.

Testowanie łączności sieciowej z punktami końcowymi usługi

Po zarejestrowaniu serwera w usłudze Test-StorageSyncNetworkConnectivity Azure File Sync polecenie cmdlet i ServerRegistration.exe mogą służyć do testowania komunikacji ze wszystkimi punktami końcowymi (adresami URL) specyficznymi dla tego serwera. To polecenie cmdlet może pomóc w rozwiązywaniu problemów, gdy niekompletna komunikacja uniemożliwia serwerowi pełną pracę z usługą Azure File Sync i może służyć do dostosowywania konfiguracji serwera proxy i zapory.

Aby uruchomić test łączności sieciowej, uruchom następujące polecenia programu PowerShell:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Jeśli test zakończy się niepowodzeniem, zbierz ślady debugowania WinHTTP, aby rozwiązać problemy: netsh trace start scenario=InternetClient_dbg capture=yes overwrite=yes maxsize=1024

Uruchom ponownie test łączności sieciowej, a następnie zatrzymaj zbieranie śladów: netsh trace stop

Umieść wygenerowany NetTrace.etl plik w archiwum ZIP, otwórz zgłoszenie do pomocy technicznej i udostępnij plik z pomocą techniczną.

Podsumowanie i ograniczenie ryzyka

Listy wymienione wcześniej w tym dokumencie zawierają adresy URL, z którymi obecnie komunikuje się usługa Azure File Sync. Zapory muszą mieć możliwość zezwalania na ruch wychodzący do tych domen. Firma Microsoft stara się aktualizować tę listę.

Skonfigurowanie domeny ograniczającej reguły zapory może być środkiem zwiększającym bezpieczeństwo. Jeśli te konfiguracje zapory są używane, pamiętaj, że adresy URL zostaną dodane, a nawet mogą ulec zmianie w czasie. Okresowo sprawdzaj ten artykuł.

Następne kroki

• Planowanie wdrażania usługi Azure File Sync
• Wdrażanie usługi Azure File Sync
• Monitorowanie usługi Azure File Sync