Proxy- und Firewalleinstellungen der Azure-Dateisynchronisierung
Die Azure-Dateisynchronisierung verbindet Ihre lokalen Server mit Azure Files, wodurch Synchronisierung für mehrere Standorte und Cloudtiering-Funktionalität ermöglicht werden. Daher muss ein lokaler Server eine Verbindung mit dem Internet haben. Ein IT-Administrator muss den besten Weg festlegen, auf dem der Server zu den Azure-Clouddiensten gelangt.
Dieser Artikel gibt einen Einblick in die speziellen Anforderungen und Optionen, die verfügbar sind, um Ihren Server mit der Azure-Dateisynchronisierung erfolgreich und sicher zu verbinden.
Wir empfehlen Ihnen, vor dem Lesen dieses Leitfadens den Artikel Azure-Dateisynchronisierung – Überlegungen zum Netzwerkbetrieb zu lesen.
Übersicht
Die Azure-Dateisynchronisierung fungiert als Orchestrierungsdienst zwischen Ihrem Windows-Server, Ihrer Azure-Dateifreigabe und mehreren anderen Azure-Diensten, um Daten so zu synchronisieren, wie dies in Ihrer Synchronisierungsgruppe beschrieben ist. Damit die Azure-Dateisynchronisierung einwandfrei funktioniert, müssen Sie Ihre Server so konfigurieren, dass sie mit den folgenden Azure-Diensten kommunizieren:
- Azure Storage
- Azure-Dateisynchronisierung
- Azure Resource Manager
- Authentifizierungsdienste
Hinweis
Der Azure-Dateisynchronisierungs-Agent unter Windows Server initiiert alle Anforderungen an die Clouddienste, was dazu führt, dass aus Sicht einer Firewall nur ausgehender Datenverkehr berücksichtigt werden muss. Keiner der Azure-Dienste initiiert eine Verbindung mit dem Azure-Dateisynchronisierungs-Agent.
Ports
Die Azure-Dateisynchronisierung bewegt Dateidaten und Metadaten ausschließlich über HTTPS und erfordert, dass Port 443 für ausgehenden Datenverkehr geöffnet ist. Infolgedessen wird der gesamte Datenverkehr verschlüsselt.
Netzwerke und spezielle Verbindungen mit Azure
Der Azure-Dateisynchronisierungs-Agent hat keine Anforderungen hinsichtlich spezieller Kanäle wie ExpressRoute usw. zu Azure.
Die Azure-Dateisynchronisierung nutzt alle verfügbaren Mittel, die eine Verbindung zu Azure ermöglichen, und passt sich automatisch an Netzwerkeigenschaften wie Bandbreite und Wartezeit an, wobei der Administrator die Feinabstimmung vornehmen kann.
Proxy
Die Azure-Dateisynchronisierung unterstützt App-spezifische und computerweite Proxyeinstellungen.
App-spezifische Proxyeinstellungen ermöglichen es, einen Proxy speziell für den Datenverkehr der Azure-Dateisynchronisierung zu konfigurieren. App-spezifische Proxy-Einstellungen werden ab Version 4.0.1.0 des Agents unterstützt und können während der Installation des Agents oder mit dem PowerShell-Cmdlet Set-StorageSyncProxyConfiguration
konfiguriert werden. Verwenden Sie das Cmdlet Get-StorageSyncProxyConfiguration
, um Proxyeinstellungen zurückzugeben, die derzeit konfiguriert sind. Ein leeres Ergebnis gibt an, dass keine Proxyeinstellungen konfiguriert sind. Verwenden Sie das Cmdlet Remove-StorageSyncProxyConfiguration
, um die vorhandene Proxykonfiguration zu entfernen.
PowerShell-Befehle zum Konfigurieren von App-spezifischen Proxyeinstellungen:
Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address <url> -Port <port number> -ProxyCredential <credentials>
Wenn Ihr Proxyserver z. B. eine Authentifizierung mit einem Benutzernamen und einem Kennwort erfordert, führen Sie die folgenden PowerShell-Befehle aus:
# IP address or name of the proxy server.
$Address="http://127.0.0.1"
# The port to use for the connection to the proxy.
$Port=8080
# The user name for a proxy.
$UserName="user_name"
# Please type or paste a string with a password for the proxy.
$SecurePassword = Read-Host -AsSecureString
$Creds = New-Object System.Management.Automation.PSCredential ($UserName, $SecurePassword)
# Please verify that you have entered the password correctly.
Write-Host $Creds.GetNetworkCredential().Password
Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Set-StorageSyncProxyConfiguration -Address $Address -Port $Port -ProxyCredential $Creds
Die computerweiten Proxyeinstellungen sind für den Azure-Dateisynchronisierungs-Agent transparent, da der gesamte Datenverkehr des Servers über den Proxy geleitet wird.
Um computerweite Proxyeinstellungen zu konfigurieren, führen Sie in die folgenden Schritte aus:
Konfigurieren von Proxyeinstellungen für .NET-Anwendungen
Bearbeiten Sie diese beiden Dateien:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.configFügen Sie den Abschnitt <system.net> in den Dateien „machine.config“ (unter dem Abschnitt <system.serviceModel>) hinzu. Ändern Sie 127.0.01:8888 in die IP-Adresse und den Port des Proxyservers.
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy autoDetect="false" bypassonlocal="false" proxyaddress="http://127.0.0.1:8888" usesystemdefault="false" /> </defaultProxy> </system.net>
Festlegen der WinHTTP-Proxyeinstellungen
Hinweis
Es gibt mehrere Methoden (WPAD, PAC-Datei, Netsh usw.), um einen Windows Server für die Verwendung eines Proxyservers zu konfigurieren. In den folgenden Schritten wird beschrieben, wie Sie die Proxy-Einstellungen mithilfe von
netsh
konfigurieren, aber jede Methode, die in der Dokumentation Konfigurieren von Proxy-Servereinstellungen in Windows aufgeführt ist, wird unterstützt.Führen Sie den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten oder in PowerShell aus, um die vorhandene Proxyeinstellung anzuzeigen:
netsh winhttp show proxy
Führen den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten oder in PowerShell aus, um die Proxyeinstellung festzulegen (ändern Sie 127.0.01:8888 in die IP-Adresse und den Port für den Proxyserver):
netsh winhttp set proxy 127.0.0.1:8888
Starten Sie den Storage-Synchronisierungs-Agent-Dienst neu, indem Sie den folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten oder in PowerShell ausführen:
net stop filesyncsvc
Hinweis: Der Storage-Synchronisierungs-Agent-Dienst (filesyncsvc) wird automatisch gestartet, nachdem er beendet wurde.
Firewall
Wie in einem vorhergehenden Abschnitt erwähnt, muss Port 443 für ausgehenden Datenverkehr geöffnet sein. Entsprechend den Richtlinien in Ihrem Rechenzentrum, Ihrer Niederlassung oder Ihrer Region kann eine weitere Beschränkung des Datenverkehrs über diesen Port auf bestimmte Domänen erwünscht oder erforderlich sein.
In der folgenden Tabelle sind die für eine Kommunikation erforderlichen Domänen beschrieben:
Dienst | Öffentlicher Cloudendpunkt | Azure Government-Endpunkt | Verwendung |
---|---|---|---|
Azure Resource Manager | https://management.azure.com |
https://management.usgovcloudapi.net |
Jeder Benutzeraufruf (etwa PowerShell) geht an/über diese URL, dazu gehört auch der erstmalige Serverregistrierungsaufruf. |
Microsoft Entra ID | https://login.windows.net https://login.microsoftonline.com https://aadcdn.msftauth.net |
https://login.microsoftonline.us |
Azure Resource Manager-Aufrufe müssen von einem authentifizierten Benutzer vorgenommen werden. Um erfolgreich zu sein, wird diese URL für die Benutzerauthentifizierung verwendet. |
Microsoft Entra ID | https://graph.microsoft.com/ |
https://graph.microsoft.com/ |
Im Rahmen der Bereitstellung der Azure-Dateisynchronisierung wird ein Dienstprinzipal in Microsoft Entra ID des Abonnements erstellt. Diese URL wird dazu verwendet. Dieser Prinzipal wird dazu verwendet, einen minimalen Satz von Berechtigungen an den Azure-Dateisynchronisierungsdienst zu delegieren. Der Benutzer, der die erste Einrichtung der Azure-Dateisynchronisierung ausführt, muss ein authentifizierter Benutzer mit Abonnementbesitzerberechtigungen sein. |
Microsoft Entra ID | https://secure.aadcdn.microsoftonline-p.com |
https://secure.aadcdn.microsoftonline-p.com (entspricht der URL des Endpunkts der öffentlichen Cloud) |
Auf diese URL wird von der Active Directory-Authentifizierungsbibliothek zugegriffen, die von der Benutzeroberfläche für die Registrierung beim Azure-Dateisynchronisierungsserver zum Anmelden des Administrators verwendet wird. |
Azure Storage (in englischer Sprache) | *.core.windows.net | *.core.usgovcloudapi.net | Beim Herunterladen einer Datei auf dem Server wird diese Datenverschiebung effizienter ausgeführt, wenn eine direkte Verbindung zwischen dem Server und der Azure-Dateifreigabe im Speicherkonto besteht. Der Server hat einen SAS-Schlüssel, der nur gezielten Dateifreigabezugriff zulässt. |
Azure-Dateisynchronisierung | *.one.microsoft.com *.afs.azure.net |
*.afs.azure.us | Nach der erstmaligen Serverregistrierung erhält der Server eine regionale URL für die Azure-Dateisynchronisierungs-Dienstinstanz in dieser Region. Der Server kann über die URL direkt und effizient mit der Instanz kommunizieren, die seine Synchronisierung verwaltet. |
Microsoft PKI | https://www.microsoft.com/pki/mscorp/cps http://crl.microsoft.com/pki/mscorp/crl/ http://mscrl.microsoft.com/pki/mscorp/crl/ http://ocsp.msocsp.com http://ocsp.digicert.com/ http://crl3.digicert.com/ |
https://www.microsoft.com/pki/mscorp/cps http://crl.microsoft.com/pki/mscorp/crl/ http://mscrl.microsoft.com/pki/mscorp/crl/ http://ocsp.msocsp.com http://ocsp.digicert.com/ http://crl3.digicert.com/ |
Sobald der Agent für die Azure-Dateisynchronisierung installiert ist, werden über die PKI-URL Zwischenzertifikate heruntergeladen, die für die Kommunikation mit dem Azure-Dateisynchronisierungsdienst und der Azure-Dateifreigabe erforderlich sind. Mithilfe der OCSP-URL wird der Status eines Zertifikats überprüft. |
Microsoft Update | *.update.microsoft.com *.download.windowsupdate.com *.ctldl.windowsupdate.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com |
*.update.microsoft.com *.download.windowsupdate.com *.ctldl.windowsupdate.com *.dl.delivery.mp.microsoft.com *.emdl.ws.microsoft.com |
Nachdem der Azure-Dateisynchronisierungs-Agent installiert wurde, werden Updates für diesen über die Microsoft Update-URLs heruntergeladen. |
Wichtig
Wenn Datenverkehr über *.afs.azure.net zugelassen wird, ist er nur für den Synchronisierungsdienst möglich. Es gibt keine anderen Microsoft-Dienste, die diese Domäne verwenden. Wenn Datenverkehr über *.one.microsoft.com zugelassen wird, kann Datenverkehr vom Server nicht nur an den Synchronisierungsdienst, sondern auch an weitere Stellen gesendet werden. Es gibt viele weitere Microsoft-Dienste unter Unterdomänen.
Wenn „*.afs.azure.net“ oder „*.one.microsoft.com“ zu ausgedehnt ist, können Sie die Kommunikation des Servers begrenzen, indem Sie eine Kommunikation nur für explizite regionale Instanzen des Azure-Dateisynchronisierung-Diensts zulassen. Welche Instanz(en) ausgewählt werden muss/müssen, hängt von der Region des Speichersynchronisierungsdienst ab, für den Sie den Server bereitgestellt und registriert haben. Diese Region heißt in der folgenden Tabelle „Primäre Endpunkt-URL“.
Für Business Continuity und Disaster Recovery (BCDR) haben Sie Ihre Azure-Dateifreigaben möglicherweise in einem Speicherkonto erstellt, dass für die georedundante Speicherung (GRS) konfiguriert ist. Wenn das der Fall ist, werden Ihre Azure-Dateifreigaben im Falle eines dauerhaften regionalen Ausfalls auf die gekoppelte Region übertragen. Die Azure-Dateisynchronisierung verwendet die gleichen regionalen Kombinationen als Speicher. Wenn Sie also GRS-Speicherkonten verwenden, müssen Sie zusätzliche URLs aktivieren, damit Ihr Server mit der gekoppelten Region für die Azure-Dateisynchronisierung kommunizieren kann. In der folgenden Tabelle wird dies als „gekoppelte Region“ bezeichnet. Darüber hinaus muss eine Traffic Manager-Profil-URL aktiviert werden. Dadurch wird sichergestellt, dass der Netzwerkverkehr im Falle eines Failover nahtlos zur gekoppelten Region umgeleitet werden kann. Dies wird in der nachstehenden Tabelle als „Ermittlungs-URL“ bezeichnet.
Cloud | Region | URL des primären Endpunkts | Regionspaar | Ermittlungs-URL |
---|---|---|---|---|
Öffentlich | Australien (Osten) | https://australiaeast01.afs.azure.net https://kailani-aue.one.microsoft.com |
Australien, Südosten | https://tm-australiaeast01.afs.azure.net https://tm-kailani-aue.one.microsoft.com |
Öffentlich | Australien, Südosten | https://australiasoutheast01.afs.azure.net https://kailani-aus.one.microsoft.com |
Australien (Osten) | https://tm-australiasoutheast01.afs.azure.net https://tm-kailani-aus.one.microsoft.com |
Öffentlich | Brasilien Süd | https://brazilsouth01.afs.azure.net | USA Süd Mitte | https://tm-brazilsouth01.afs.azure.net |
Öffentlich | Kanada, Mitte | https://canadacentral01.afs.azure.net https://kailani-cac.one.microsoft.com |
Kanada, Osten | https://tm-canadacentral01.afs.azure.net https://tm-kailani-cac.one.microsoft.com |
Öffentlich | Kanada, Osten | https://canadaeast01.afs.azure.net https://kailani-cae.one.microsoft.com |
Kanada, Mitte | https://tm-canadaeast01.afs.azure.net https://tm-kailani.cae.one.microsoft.com |
Öffentlich | Indien, Mitte | https://centralindia01.afs.azure.net https://kailani-cin.one.microsoft.com |
Indien (Süden) | https://tm-centralindia01.afs.azure.net https://tm-kailani-cin.one.microsoft.com |
Öffentlich | USA (Mitte) | https://centralus01.afs.azure.net https://kailani-cus.one.microsoft.com |
USA (Ost) 2 | https://tm-centralus01.afs.azure.net https://tm-kailani-cus.one.microsoft.com |
Microsoft Azure von 21Vianet | China, Osten 2 | https://chinaeast201.afs.azure.cn | China, Norden 2 | https://tm-chinaeast201.afs.azure.cn |
Microsoft Azure von 21Vianet | China, Norden 2 | https://chinanorth201.afs.azure.cn | China, Osten 2 | https://tm-chinanorth201.afs.azure.cn |
Öffentlich | Asien, Osten | https://eastasia01.afs.azure.net https://kailani11.one.microsoft.com |
Asien, Südosten | https://tm-eastasia01.afs.azure.net https://tm-kailani11.one.microsoft.com |
Öffentlich | East US | https://eastus01.afs.azure.net https://kailani1.one.microsoft.com |
USA (Westen) | https://tm-eastus01.afs.azure.net https://tm-kailani1.one.microsoft.com |
Öffentlich | USA (Ost) 2 | https://eastus201.afs.azure.net https://kailani-ess.one.microsoft.com |
USA (Mitte) | https://tm-eastus201.afs.azure.net https://tm-kailani-ess.one.microsoft.com |
Öffentlich | Deutschland, Norden | https://germanynorth01.afs.azure.net | Deutschland, Westen-Mitte | https://tm-germanywestcentral01.afs.azure.net |
Öffentlich | Deutschland, Westen-Mitte | https://germanywestcentral01.afs.azure.net | Deutschland, Norden | https://tm-germanynorth01.afs.azure.net |
Öffentlich | Japan, Osten | https://japaneast01.afs.azure.net | Japan, Westen | https://tm-japaneast01.afs.azure.net |
Öffentlich | Japan, Westen | https://japanwest01.afs.azure.net | Japan, Osten | https://tm-japanwest01.afs.azure.net |
Öffentlich | Korea, Mitte | https://koreacentral01.afs.azure.net/ | Korea, Süden | https://tm-koreacentral01.afs.azure.net/ |
Öffentlich | Korea, Süden | https://koreasouth01.afs.azure.net/ | Korea, Mitte | https://tm-koreasouth01.afs.azure.net/ |
Öffentlich | USA Nord Mitte | https://northcentralus01.afs.azure.net | USA Süd Mitte | https://tm-northcentralus01.afs.azure.net |
Öffentlich | Nordeuropa | https://northeurope01.afs.azure.net https://kailani7.one.microsoft.com |
Europa, Westen | https://tm-northeurope01.afs.azure.net https://tm-kailani7.one.microsoft.com |
Öffentlich | USA Süd Mitte | https://southcentralus01.afs.azure.net | USA Nord Mitte | https://tm-southcentralus01.afs.azure.net |
Öffentlich | Indien (Süden) | https://southindia01.afs.azure.net https://kailani-sin.one.microsoft.com |
Indien, Mitte | https://tm-southindia01.afs.azure.net https://tm-kailani-sin.one.microsoft.com |
Öffentlich | Asien, Südosten | https://southeastasia01.afs.azure.net https://kailani10.one.microsoft.com |
Asien, Osten | https://tm-southeastasia01.afs.azure.net https://tm-kailani10.one.microsoft.com |
Öffentlich | Schweiz, Norden | https://switzerlandnorth01.afs.azure.net https://tm-switzerlandnorth01.afs.azure.net |
Schweiz, Westen | https://switzerlandwest01.afs.azure.net https://tm-switzerlandwest01.afs.azure.net |
Öffentlich | Schweiz, Westen | https://switzerlandwest01.afs.azure.net https://tm-switzerlandwest01.afs.azure.net |
Schweiz, Norden | https://switzerlandnorth01.afs.azure.net https://tm-switzerlandnorth01.afs.azure.net |
Öffentlich | VAE, Mitte | https://uaecentral01.afs.azure.net | Vereinigte Arabische Emirate, Norden | https://tm-uaecentral01.afs.azure.net |
Öffentlich | Vereinigte Arabische Emirate, Norden | https://uaenorth01.afs.azure.net | VAE, Mitte | https://tm-uaenorth01.afs.azure.net |
Öffentlich | UK, Süden | https://uksouth01.afs.azure.net https://kailani-uks.one.microsoft.com |
UK, Westen | https://tm-uksouth01.afs.azure.net https://tm-kailani-uks.one.microsoft.com |
Öffentlich | UK, Westen | https://ukwest01.afs.azure.net https://kailani-ukw.one.microsoft.com |
UK, Süden | https://tm-ukwest01.afs.azure.net https://tm-kailani-ukw.one.microsoft.com |
Öffentlich | USA, Westen-Mitte | https://westcentralus01.afs.azure.net | USA, Westen 2 | https://tm-westcentralus01.afs.azure.net |
Öffentlich | Europa, Westen | https://westeurope01.afs.azure.net https://kailani6.one.microsoft.com |
Nordeuropa | https://tm-westeurope01.afs.azure.net https://tm-kailani6.one.microsoft.com |
Öffentlich | USA (Westen) | https://westus01.afs.azure.net https://kailani.one.microsoft.com |
East US | https://tm-westus01.afs.azure.net https://tm-kailani.one.microsoft.com |
Öffentlich | USA, Westen 2 | https://westus201.afs.azure.net | USA, Westen-Mitte | https://tm-westus201.afs.azure.net |
Behörden | US Gov Arizona | https://usgovarizona01.afs.azure.us | US Gov Texas | https://tm-usgovarizona01.afs.azure.us |
Behörden | US Gov Texas | https://usgovtexas01.afs.azure.us | US Gov Arizona | https://tm-usgovtexas01.afs.azure.us |
Wenn Sie ein Speicherkonto verwenden, das für die lokale redundante Speicherung (LRS) oder für die zonenredundante Speicherung (ZRS) konfiguriert ist, müssen Sie nur die unter „URL des primären Endpunkts“ aufgeführte URL aktivieren.
Wenn Sie ein Speicherkonto verwenden, das für die georedundante Speicherung (GRS) konfiguriert ist, müssen Sie drei URLs aktivieren.
Beispiel: Sie stellen einen Speichersynchronisierungsdienst in "West US"
bereit und registrieren damit Ihren Server. Die URLs, mit denen der Server in diesem Fall kommunizieren kann, sind:
- https://westus01.afs.azure.net (primärer Endpunkt: USA, Westen)
- https://eastus01.afs.azure.net (gekoppelte Failoverregion: USA, Osten)
- https://tm-westus01.afs.azure.net (Ermittlungs-URL der primären Region)
Zulassungsliste für Azure-Dateisynchronisierungs-IP-Adressen
Die Azure-Dateisynchronisierung unterstützt die Verwendung von Diensttags, die eine Gruppe von IP-Adresspräfixen für einen bestimmten Azure-Dienst darstellen. Sie können Diensttags verwenden, um Firewallregeln zu erstellen, die die Kommunikation mit dem Azure-Dateisynchronisierungsdienst ermöglichen. Das Diensttag für die Azure-Dateisynchronisierung ist StorageSyncService
.
Wenn Sie die Azure-Dateisynchronisierung innerhalb von Azure verwenden, können Sie den Namen des Diensttags direkt in Ihrer Netzwerksicherheitsgruppe verwenden, um den Datenverkehr zuzulassen. Weitere Informationen zur Vorgehensweise finden Sie unter Netzwerksicherheitsgruppen.
Wenn Sie DIE Azure-Dateisynchronisierung lokal verwenden, können Sie die API für Diensttags verwenden, um bestimmte IP-Adressbereiche für die Zulassungsliste Ihrer Firewall zu erhalten. Es gibt zwei Methoden zum Abrufen dieser Informationen:
- Die aktuelle Liste der IP-Adressbereiche für alle Azure-Dienste, die Diensttags unterstützen, wird wöchentlich im Microsoft Download Center in Form eines JSON-Dokuments veröffentlicht. Es gibt für jede Azure-Cloud ein eigenes JSON-Dokument mit den IP-Adressbereichen, die für diese Cloud relevant sind:
- Die API zur Ermittlung von Diensttags ermöglicht die programmgesteuerte Abfrage der aktuellen Liste von Diensttags. Sie können je nach Ihren Automatisierungsvorlieben auch die API-Benutzeroberfläche verwenden:
Da die API zur Ermittlung von Diensttags möglicherweise nicht so häufig aktualisiert wird wie die JSON-Dokumente, die im Microsoft Download Center veröffentlicht werden, empfehlen wir die Verwendung des JSON-Dokuments zur Aktualisierung der Zulassungsliste Ihrer lokalen Firewall. Gehen Sie dazu folgendermaßen vor:
# The specific region to get the IP address ranges for. Replace westus2 with the desired region code
# from Get-AzLocation.
$region = "westus2"
# The service tag for Azure File Sync. Don't change unless you're adapting this
# script for another service.
$serviceTag = "StorageSyncService"
# Download date is the string matching the JSON document on the Download Center.
$possibleDownloadDates = 0..7 | `
ForEach-Object { [System.DateTime]::Now.AddDays($_ * -1).ToString("yyyyMMdd") }
# Verify the provided region
$validRegions = Get-AzLocation | `
Where-Object { $_.Providers -contains "Microsoft.StorageSync" } | `
Select-Object -ExpandProperty Location
if ($validRegions -notcontains $region) {
Write-Error `
-Message "The specified region $region isn't available. Either Azure File Sync isn't deployed there or the region doesn't exist." `
-ErrorAction Stop
}
# Get the Azure cloud. This should automatically based on the context of
# your Az PowerShell login, however if you manually need to populate, you can find
# the correct values using Get-AzEnvironment.
$azureCloud = Get-AzContext | `
Select-Object -ExpandProperty Environment | `
Select-Object -ExpandProperty Name
# Build the download URI
$downloadUris = @()
switch($azureCloud) {
"AzureCloud" {
$downloadUris = $possibleDownloadDates | ForEach-Object {
"https://download.microsoft.com/download/7/1/D/71D86715-5596-4529-9B13-DA13A5DE5B63/ServiceTags_Public_$_.json"
}
}
"AzureUSGovernment" {
$downloadUris = $possibleDownloadDates | ForEach-Object {
"https://download.microsoft.com/download/6/4/D/64DB03BF-895B-4173-A8B1-BA4AD5D4DF22/ServiceTags_AzureGovernment_$_.json"
}
}
"AzureChinaCloud" {
$downloadUris = $possibleDownloadDates | ForEach-Object {
"https://download.microsoft.com/download/9/D/0/9D03B7E2-4B80-4BF3-9B91-DA8C7D3EE9F9/ServiceTags_China_$_.json"
}
}
"AzureGermanCloud" {
$downloadUris = $possibleDownloadDates | ForEach-Object {
"https://download.microsoft.com/download/0/7/6/076274AB-4B0B-4246-A422-4BAF1E03F974/ServiceTags_AzureGermany_$_.json"
}
}
default {
Write-Error -Message "Unrecognized Azure Cloud: $_" -ErrorAction Stop
}
}
# Find most recent file
$found = $false
foreach($downloadUri in $downloadUris) {
try { $response = Invoke-WebRequest -Uri $downloadUri -UseBasicParsing } catch { }
if ($response.StatusCode -eq 200) {
$found = $true
break
}
}
if ($found) {
# Get the raw JSON
$content = [System.Text.Encoding]::UTF8.GetString($response.Content)
# Parse the JSON
$serviceTags = ConvertFrom-Json -InputObject $content -Depth 100
# Get the specific $ipAddressRanges
$ipAddressRanges = $serviceTags | `
Select-Object -ExpandProperty values | `
Where-Object { $_.id -eq "$serviceTag.$region" } | `
Select-Object -ExpandProperty properties | `
Select-Object -ExpandProperty addressPrefixes
} else {
# If the file cannot be found, that means there hasn't been an update in
# more than a week. Please verify the download URIs are still accurate
# by checking https://zcusa.951200.xyz/azure/virtual-network/service-tags-overview
Write-Verbose -Message "JSON service tag file not found."
return
}
Anschließend können Sie die IP-Adressbereiche in $ipAddressRanges
verwenden, um Ihre Firewall zu aktualisieren. Auf der Website Ihrer Firewall-/Netzwerkappliance finden Sie Informationen zum Aktualisieren der Firewall.
Testen der Netzwerkkonnektivität mit Dienstendpunkten
Nach der Registrierung eines Servers beim Azure-Dateisynchronisierungsdienst können das Cmdlet Test-StorageSyncNetworkConnectivity
und die Datei „ServerRegistration.exe“ dazu verwendet werden, die Kommunikation mit allen für diesen Server spezifischen Endpunkten (URLs) zu testen. Dieses Cmdlet kann Sie bei der Problembehandlung unterstützen, wenn unvollständige Kommunikation den Server daran hindert, vollständig mit der Azure-Dateisynchronisierung zu arbeiten. Es kann außerdem zum Optimieren der Proxy- und Firewallkonfigurationen verwendet werden.
Führen Sie die folgenden PowerShell-Befehle aus, um den Netzwerkkonnektivitätstest auszuführen:
Import-Module "C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll"
Test-StorageSyncNetworkConnectivity
Wenn der Test fehlschlägt, sammeln Sie WinHTTP-Debugablaufverfolgungen zur Problembehandlung: netsh trace start scenario=InternetClient_dbg capture=yes overwrite=yes maxsize=1024
Führen Sie den Netzwerkkonnektivitätstest erneut aus, und beenden Sie dann die Erfassung der Ablaufverfolgungen: netsh trace stop
Fügen Sie die generierte NetTrace.etl
-Datei in ein ZIP-Archiv ein, öffnen Sie einen Supportfall, und senden Sie die Datei an den Support.
Zusammenfassung und Risikobegrenzung
Die Listen weiter oben in diesem Dokument enthalten die URLs, mit denen die Azure-Dateisynchronisierung derzeit kommuniziert. Firewalls müssen in der Lage sein, ausgehenden Datenverkehr zu diesen Domänen zuzulassen. Microsoft ist bestrebt, diese Liste auf dem neuesten Stand zu halten.
Ein Einrichten von domäneneinschränkenden Firewallregeln kann eine Maßnahme sein, die Sicherheit zu verbessern. Wenn Sie diese Firewall-Konfigurationen verwenden, müssen Sie bedenken, dass URLs hinzugefügt und im Verlauf der Zeit vielleicht geändert werden. Lesen Sie diesen Artikel in regelmäßigen Abständen.