Inställningar för Azure File Sync-proxy och brandväggar

Azure File Sync ansluter dina lokala servrar till Azure Files, vilket möjliggör synkronisering av flera platser och funktioner för molnnivåindelning. Därför måste en lokal server vara ansluten till Internet. En IT-administratör måste bestämma den bästa vägen för servern att nå in i Azure-molntjänster.

Den här artikeln innehåller information om specifika krav och alternativ som är tillgängliga för att ansluta servern till Azure File Sync på ett säkert sätt.

Vi rekommenderar att du läser Azure File Sync nätverksöverväganden innan du läser den här guiden.

Översikt

Azure File Sync fungerar som en orkestreringstjänst mellan din Windows Server, din Azure-filresurs och flera andra Azure-tjänster för att synkronisera data enligt beskrivningen i synkroniseringsgruppen. För att Azure File Sync ska fungera korrekt måste du konfigurera servrarna så att de kommunicerar med följande Azure-tjänster:

  • Azure Storage
  • Azure File Sync
  • Azure Resource Manager
  • Autentiseringstjänster

Anteckning

Den Azure File Sync agenten på Windows Server initierar alla begäranden till molntjänster, vilket resulterar i att endast behöva överväga utgående trafik ur ett brandväggsperspektiv. Ingen Azure-tjänst initierar en anslutning till Azure File Sync-agenten.

Portar

Azure File Sync flyttar fildata och metadata exklusivt via HTTPS och kräver att port 443 är öppen utgående. Därför krypteras all trafik.

Nätverk och särskilda anslutningar till Azure

Den Azure File Sync agenten har inga krav på särskilda kanaler som ExpressRoute osv. till Azure.

Azure File Sync kommer att arbeta med alla tillgängliga medel som gör det möjligt att nå till Azure, automatiskt anpassa sig till olika nätverksegenskaper som bandbredd, svarstid samt erbjuda administratörskontroll för finjustering.

Proxy

Azure File Sync stöder appspecifika och datoromfattande proxyinställningar.

Appspecifika proxyinställningar tillåter konfiguration av en proxy specifikt för Azure File Sync trafik. Appspecifika proxyinställningar stöds på agentversion 4.0.1.0 eller senare och kan konfigureras under agentinstallationen eller med hjälp av Set-StorageSyncProxyConfiguration PowerShell-cmdlet.

PowerShell-kommandon för att konfigurera appspecifika proxyinställningar:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>

Om proxyservern till exempel kräver autentisering med användarnamn och lösenord kör du följande PowerShell-kommandon:

# IP address or name of the proxy server.
$Address="127.0.0.1"

# The port to use for the connection to the proxy.
$Port=8080

# The user name for a proxy.
$UserName="user_name"

# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString

$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)

# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"

Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds

Proxyinställningarna för hela datorn är transparenta för Azure File Sync-agenten eftersom hela trafiken på servern dirigeras via proxyn.

Du kan konfigurera datorövergripande proxyinställningar med hjälp av stegen nedan:

  1. Konfigurera proxyinställningar för .NET-program

    • Redigera dessa två filer:
      C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
      C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    • Lägg till avsnittet <system.net> i machine.config-filerna (under <avsnittet system.serviceModel> ). Ändra 127.0.01:8888 till IP-adressen och porten för proxyservern.

      <system.net>
         <defaultProxy enabled="true" useDefaultCredentials="true">
           <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" />
         </defaultProxy>
      </system.net>
      
  2. Ange WinHTTP-proxyinställningarna

    Anteckning

    Det finns flera metoder (WPAD, PAC-fil, netsh osv.) för att konfigurera en Windows Server att använda en proxyserver. Stegen nedan beskriver hur du konfigurerar proxyinställningarna med netsh, men alla metoder som anges i dokumentationen Konfigurera proxyserverinställningar i Windows stöds.

    • Kör följande kommando från en upphöjd kommandotolk eller PowerShell för att se den befintliga proxyinställningen:

      netsh winhttp show proxy

    • Kör följande kommando från en upphöjd kommandotolk eller PowerShell för att ange proxyinställningen (ändra 127.0.01:8888 till IP-adressen och porten för proxyservern):

      netsh winhttp set proxy 127.0.0.1:8888

  3. Starta om storage sync agent-tjänsten genom att köra följande kommando från en upphöjd kommandotolk eller PowerShell:

    net stop filesyncsvc

    Obs! Tjänsten Storage Sync Agent (filesyncsvc) startar automatiskt när den har stoppats.

Brandvägg

Som vi nämnde i föregående avsnitt måste port 443 vara öppen utgående. Baserat på principer i ditt datacenter, din gren eller din region kan det vara önskvärt eller nödvändigt att ytterligare begränsa trafik över den här porten till specifika domäner.

I följande tabell beskrivs de domäner som krävs för kommunikation:

Tjänst Slutpunkt för offentligt moln Azure Government slutpunkt Användning
Azure Resource Manager https://management.azure.com https://management.usgovcloudapi.net Alla användaranrop (till exempel PowerShell) går till/via den här URL:en, inklusive det första serverregistreringsanropet.
Azure Active Directory https://login.windows.net
https://login.microsoftonline.com
https://login.microsoftonline.us Azure Resource Manager-anrop måste göras av en autentiserad användare. För att lyckas används den här URL:en för användarautentisering.
Azure Active Directory https://graph.microsoft.com/ https://graph.microsoft.com/ Som en del av distributionen av Azure File Sync skapas ett huvudnamn för tjänsten i prenumerationens Azure Active Directory. Den här URL:en används för det. Det här huvudkontot används för att delegera en minimal uppsättning rättigheter till Azure File Sync-tjänsten. Användaren som utför den första installationen av Azure File Sync måste vara en autentiserad användare med behörighet som prenumerationsägare.
Azure Active Directory https://secure.aadcdn.microsoftonline-p.com Använd den offentliga slutpunkts-URL:en. Den här URL:en nås av Active Directory-autentiseringsbiblioteket som användargränssnittet för Azure File Sync serverregistrering använder för att logga in administratören.
Azure Storage *.core.windows.net *.core.usgovcloudapi.net När servern laddar ned en fil utför servern dataflytten mer effektivt när de pratar direkt med Azure-filresursen i lagringskontot. Servern har en SAS-nyckel som endast tillåter riktad filresursåtkomst.
Azure File Sync *.one.microsoft.com
*.afs.azure.net
*.afs.azure.us Efter den första serverregistreringen får servern en regional URL för den Azure File Sync tjänstinstansen i den regionen. Servern kan använda URL:en för att kommunicera direkt och effektivt med instansen som hanterar synkroniseringen.
Microsoft PKI https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
https://www.microsoft.com/pki/mscorp/cps
http://crl.microsoft.com/pki/mscorp/crl/
http://mscrl.microsoft.com/pki/mscorp/crl/
http://ocsp.msocsp.com
http://ocsp.digicert.com/
http://crl3.digicert.com/
När Azure File Sync agenten har installerats används PKI-URL:en för att ladda ned mellanliggande certifikat som krävs för att kommunicera med Azure File Sync-tjänsten och Azure-filresursen. OCSP-URL:en används för att kontrollera status för ett certifikat.
Microsoft Update *.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
*.update.microsoft.com
*.download.windowsupdate.com
*.ctldl.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
När Azure File Sync-agenten har installerats används url:erna för Microsoft Update för att ladda ned Azure File Sync agentuppdateringar.

Viktigt

När trafik tillåts till *.afs.azure.net är trafik endast möjligt för synkroniseringstjänsten. Det finns inga andra Microsoft tjänster som använder den här domänen. När trafik tillåts till *.one.microsoft.com är trafik till mer än bara synkroniseringstjänsten möjlig från servern. Det finns många fler Microsoft tjänster som är tillgängliga under underdomäner.

Om *.afs.azure.net eller *.one.microsoft.com är för bred kan du begränsa serverns kommunikation genom att endast tillåta kommunikation till explicita regionala instanser av Azure File Sync-tjänsten. Vilka instanser som ska väljas beror på regionen för den lagringssynkroniseringstjänst som du har distribuerat och registrerat servern för. Den regionen kallas "Primär slutpunkts-URL" i tabellen nedan.

För affärskontinuitet och haveriberedskap (BCDR) kan du ha skapat dina Azure-filresurser i ett lagringskonto som har konfigurerats för geo-redundant lagring (GRS). Om så är fallet redundansväxlar dina Azure-filresurser till den kopplade regionen i händelse av ett varaktigt regionalt avbrott. Azure File Sync använder samma regionala par som lagring. Så om du använder GRS-lagringskonton måste du aktivera ytterligare URL:er så att servern kan kommunicera med den kopplade regionen för Azure File Sync. Tabellen nedan anropar den här "länkade regionen". Dessutom finns det en traffic manager-profil-URL som också måste aktiveras. Detta säkerställer att nätverkstrafiken sömlöst kan dirigeras om till den länkade regionen i händelse av en redundansväxling och kallas "Identifierings-URL" i tabellen nedan.

Moln Region URL för primär slutpunkt Länkad region Identifierings-URL
Offentliga Australien, östra https://australiaeast01.afs.azure.net
https://kailani-aue.one.microsoft.com
Australien, sydöstra https://tm-australiaeast01.afs.azure.net
https://tm-kailani-aue.one.microsoft.com
Offentliga Australien, sydöstra https://australiasoutheast01.afs.azure.net
https://kailani-aus.one.microsoft.com
Australien, östra https://tm-australiasoutheast01.afs.azure.net
https://tm-kailani-aus.one.microsoft.com
Offentliga Brasilien, södra https://brazilsouth01.afs.azure.net USA, södra centrala https://tm-brazilsouth01.afs.azure.net
Offentliga Kanada, centrala https://canadacentral01.afs.azure.net
https://kailani-cac.one.microsoft.com
Kanada, östra https://tm-canadacentral01.afs.azure.net
https://tm-kailani-cac.one.microsoft.com
Offentliga Kanada, östra https://canadaeast01.afs.azure.net
https://kailani-cae.one.microsoft.com
Kanada, centrala https://tm-canadaeast01.afs.azure.net
https://tm-kailani.cae.one.microsoft.com
Offentliga Indien, centrala https://centralindia01.afs.azure.net
https://kailani-cin.one.microsoft.com
Indien, södra https://tm-centralindia01.afs.azure.net
https://tm-kailani-cin.one.microsoft.com
Offentliga USA, centrala https://centralus01.afs.azure.net
https://kailani-cus.one.microsoft.com
USA, östra 2 https://tm-centralus01.afs.azure.net
https://tm-kailani-cus.one.microsoft.com
Offentliga Asien, östra https://eastasia01.afs.azure.net
https://kailani11.one.microsoft.com
Sydostasien https://tm-eastasia01.afs.azure.net
https://tm-kailani11.one.microsoft.com
Offentliga East US https://eastus01.afs.azure.net
https://kailani1.one.microsoft.com
USA, västra https://tm-eastus01.afs.azure.net
https://tm-kailani1.one.microsoft.com
Offentliga USA, östra 2 https://eastus201.afs.azure.net
https://kailani-ess.one.microsoft.com
Central US https://tm-eastus201.afs.azure.net
https://tm-kailani-ess.one.microsoft.com
Offentliga Tyskland, norra https://germanynorth01.afs.azure.net Tyskland, västra centrala https://tm-germanywestcentral01.afs.azure.net
Offentliga Tyskland, västra centrala https://germanywestcentral01.afs.azure.net Tyskland, norra https://tm-germanynorth01.afs.azure.net
Offentliga Japan, östra https://japaneast01.afs.azure.net Japan, västra https://tm-japaneast01.afs.azure.net
Offentliga Japan, västra https://japanwest01.afs.azure.net Japan, östra https://tm-japanwest01.afs.azure.net
Offentliga Sydkorea, centrala https://koreacentral01.afs.azure.net/ Sydkorea, södra https://tm-koreacentral01.afs.azure.net/
Offentliga Sydkorea, södra https://koreasouth01.afs.azure.net/ Sydkorea, centrala https://tm-koreasouth01.afs.azure.net/
Offentliga USA, norra centrala https://northcentralus01.afs.azure.net USA, södra centrala https://tm-northcentralus01.afs.azure.net
Offentliga Europa, norra https://northeurope01.afs.azure.net
https://kailani7.one.microsoft.com
Europa, västra https://tm-northeurope01.afs.azure.net
https://tm-kailani7.one.microsoft.com
Offentliga USA, södra centrala https://southcentralus01.afs.azure.net USA, norra centrala https://tm-southcentralus01.afs.azure.net
Offentliga Indien, södra https://southindia01.afs.azure.net
https://kailani-sin.one.microsoft.com
Indien, centrala https://tm-southindia01.afs.azure.net
https://tm-kailani-sin.one.microsoft.com
Offentliga Sydostasien https://southeastasia01.afs.azure.net
https://kailani10.one.microsoft.com
Asien, östra https://tm-southeastasia01.afs.azure.net
https://tm-kailani10.one.microsoft.com
Offentliga Schweiz, norra https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Schweiz, västra https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Offentliga Schweiz, västra https://switzerlandwest01.afs.azure.net
https://tm-switzerlandwest01.afs.azure.net
Schweiz, norra https://switzerlandnorth01.afs.azure.net
https://tm-switzerlandnorth01.afs.azure.net
Offentliga Storbritannien, södra https://uksouth01.afs.azure.net
https://kailani-uks.one.microsoft.com
Storbritannien, västra https://tm-uksouth01.afs.azure.net
https://tm-kailani-uks.one.microsoft.com
Offentliga Storbritannien, västra https://ukwest01.afs.azure.net
https://kailani-ukw.one.microsoft.com
Storbritannien, södra https://tm-ukwest01.afs.azure.net
https://tm-kailani-ukw.one.microsoft.com
Offentliga USA, västra centrala https://westcentralus01.afs.azure.net USA, västra 2 https://tm-westcentralus01.afs.azure.net
Offentliga Europa, västra https://westeurope01.afs.azure.net
https://kailani6.one.microsoft.com
Europa, norra https://tm-westeurope01.afs.azure.net
https://tm-kailani6.one.microsoft.com
Offentliga USA, västra https://westus01.afs.azure.net
https://kailani.one.microsoft.com
East US https://tm-westus01.afs.azure.net
https://tm-kailani.one.microsoft.com
Offentliga USA, västra 2 https://westus201.afs.azure.net USA, västra centrala https://tm-westus201.afs.azure.net
Myndigheter US Gov, Arizona https://usgovarizona01.afs.azure.us US Gov, Texas https://tm-usgovarizona01.afs.azure.us
Myndigheter US Gov, Texas https://usgovtexas01.afs.azure.us US Gov, Arizona https://tm-usgovtexas01.afs.azure.us
  • Om du använder ett lagringskonto som konfigurerats för lokalt redundant lagring (LRS) eller zonredundant lagring (ZRS) behöver du bara aktivera url:en som anges under "Primär slutpunkts-URL".

  • Om du använder ett lagringskonto som konfigurerats för GRS aktiverar du tre URL:er.

Exempel: Du distribuerar en synkroniseringstjänst för lagring i "West US" och registrerar servern med den. Url:erna som servern kan kommunicera med i det här fallet är:

  • https://westus01.afs.azure.net (primär slutpunkt: USA, västra)
  • https://eastus01.afs.azure.net (länkad redundansregion: USA, östra)
  • https://tm-westus01.afs.azure.net (identifierings-URL för den primära regionen)

Tillåt lista över Azure File Sync IP-adresser

Azure File Sync stöder användning av tjänsttaggar, som representerar en grupp MED IP-adressprefix för en viss Azure-tjänst. Du kan använda tjänsttaggar för att skapa brandväggsregler som möjliggör kommunikation med Azure File Sync-tjänsten. Tjänsttaggen för Azure File Sync är StorageSyncService.

Om du använder Azure File Sync i Azure kan du använda namnet på tjänsttaggen direkt i nätverkssäkerhetsgruppen för att tillåta trafik. Mer information om hur du gör detta finns i Nätverkssäkerhetsgrupper.

Om du använder Azure File Sync lokalt kan du använda tjänsttaggens API för att hämta specifika IP-adressintervall för brandväggens lista över tillåtna. Det finns två metoder för att hämta den här informationen:

  • Den aktuella listan över IP-adressintervall för alla Azure-tjänster som stöder tjänsttaggar publiceras varje vecka på Microsoft Download Center i form av ett JSON-dokument. Varje Azure-moln har ett eget JSON-dokument med DE IP-adressintervall som är relevanta för molnet:
  • Api:et för identifiering av tjänsttaggar (förhandsversion) tillåter programmatisk hämtning av den aktuella listan över tjänsttaggar. I förhandsversionen kan API:et för identifiering av tjänsttaggar returnera information som är mindre aktuell än information som returneras från JSON-dokumenten som publicerats i Microsoft Download Center. Du kan använda API-ytan baserat på dina automatiseringsinställningar:

Eftersom api:et för identifiering av tjänsttaggar inte uppdateras lika ofta som JSON-dokumenten som publicerats i Microsoft Download Center rekommenderar vi att du använder JSON-dokumentet för att uppdatera den lokala brandväggens tillåtna lista. Detta kan göras på följande sätt:

# The specific region to get the IP address ranges for. Replace westus2 with the desired region code 
# from Get-AzLocation.
$region = "westus2"

# The service tag for Azure File Sync. Do not change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"

# Download date is the string matching the JSON document on the Download Center. 
$possibleDownloadDates = 0..7 | `
    ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }

# Verify the provided region
$validRegions = Get-AzLocation | `
    Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
    Select-Object -ExpandProperty Location

if ($validRegions -notcontains $region) {
    Write-Error `
            -Message "The specified region $region is not available. Either Azure File Sync is not deployed there or the region does not exist." `
            -ErrorAction Stop
}

# Get the Azure cloud. This should automatically based on the context of 
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
    Select-Object -ExpandProperty Environment | `
    Select-Object -ExpandProperty Name

# Build the download URI
$downloadUris = @()
switch($azureCloud) {
    "AzureCloud" { 
        $downloadUris = $possibleDownloadDates | ForEach-Object {  
            "https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
        }
    }

    "AzureUSGovernment" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
        }
    }

    "AzureChinaCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
        }
    }

    "AzureGermanCloud" {
        $downloadUris = $possibleDownloadDates | ForEach-Object { 
            "https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
        }
    }

    default {
        Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
    }
}

# Find most recent file
$found = $false 
foreach($downloadUri in $downloadUris) {
    try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
    if ($response.StatusCode -eq 200) {
        $found = $true
        break
    }
}

if ($found) {
    # Get the raw JSON 
    $content = [System.Text.Encoding]::UTF8.GetString($response.Content)

    # Parse the JSON
    $serviceTags = ConvertFrom-Json -InputObject $content -Depth 100

    # Get the specific $ipAddressRanges
    $ipAddressRanges = $serviceTags | `
        Select-Object -ExpandProperty values | `
        Where-Object { $_.id -eq "$serviceTag.$region" } | `
        Select-Object -ExpandProperty properties | `
        Select-Object -ExpandProperty addressPrefixes
} else {
    # If the file cannot be found, that means there hasn't been an update in
    # more than a week. Please verify the download URIs are still accurate
    # by checking https://learn.microsoft.com/azure/virtual-network/service-tags-overview
    Write-Verbose -Message "JSON service tag file not found."
    return
}

Du kan sedan använda IP-adressintervallen i $ipAddressRanges för att uppdatera brandväggen. Kontrollera brandväggens/nätverksinstallationens webbplats för information om hur du uppdaterar brandväggen.

Testa nätverksanslutningen till tjänstslutpunkter

När en server har registrerats med Azure File Sync-tjänsten kan Test-StorageSyncNetworkConnectivity-cmdleten och ServerRegistration.exe användas för att testa kommunikationen med alla slutpunkter (URL:er) som är specifika för den här servern. Den här cmdleten kan hjälpa dig att felsöka när ofullständig kommunikation hindrar servern från att arbeta fullt ut med Azure File Sync och den kan användas för att finjustera proxy- och brandväggskonfigurationer.

Kör nätverksanslutningstestet genom att köra följande PowerShell-kommandon:

Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity

Sammanfattning och riskbegränsning

Listorna tidigare i det här dokumentet innehåller de URL:er som Azure File Sync för närvarande kommunicerar med. Brandväggar måste kunna tillåta utgående trafik till dessa domäner. Microsoft strävar efter att hålla listan uppdaterad.

Att konfigurera domänbegränsning av brandväggsregler kan vara ett mått för att förbättra säkerheten. Om dessa brandväggskonfigurationer används måste man komma ihåg att URL:er läggs till och till och med kan ändras med tiden. Kontrollera den här artikeln med jämna mellanrum.

Nästa steg