Конфигурации корпоративного брандмауэра для поддержки трафика WNS

Общие сведения

Многие предприятия используют брандмауэры для блокировки нежелательного сетевого трафика и портов; К сожалению, это также может блокировать важные вещи, такие как обмен данными службы уведомлений Windows. Это означает, что все уведомления, отправленные через WNS, будут удалены в определенных конфигурациях сети. Чтобы избежать этого, администраторы сети могут добавить список утвержденных полных доменных имен WNS или ВИРТУАЛЬНЫХ IP-адресов в список исключений, чтобы разрешить трафик WNS передаваться через брандмауэр.

Поддержка прокси-сервера

Примечание.

Push-уведомления WNS могут не поддерживать прокси-серверы. Существует множество различных настроек прокси-сервера и сред, и не все конфигурации гарантированно работают с WNS. Для наилучших результатов подключение к WNS должно быть прямым подключением, однако можно использовать VPN-интерфейсы.

Мы приветствуем любые отзывы о поддержке прокси-сервера. Отправьте отзыв и отправьте запрос https://aka.ms/windowsappsdk на отслеживание интереса к поддержке прокси-сервера для WNS. Вы можете добавить метку "area-Notifications" в вашу проблему, чтобы ускорить видимость с помощью команды уведомлений.

Какие сведения следует добавить в список разрешений

Ниже приведен список, содержащий полные доменные имена, IP-адреса и диапазоны IP-адресов, используемые службой уведомлений Windows.

Внимание

Мы настоятельно рекомендуем разрешить список по полное доменное имя, так как они не изменятся. Если вы разрешаете список по полному доменному имени, вам не нужно также разрешать диапазоны IP-адресов.

Внимание

Диапазоны IP-адресов периодически изменяются; из-за этого они не включены на эту страницу. Если вы хотите просмотреть список диапазонов IP-адресов, можно скачать файл из Центра загрузки: ВИРТУАЛЬНЫЕ IP-адреса службы уведомлений Windows (WNS) и диапазоны IP-адресов. Регулярно проверяйте обратную копию, чтобы убедиться, что у вас есть самые актуальные сведения.

Полные доменные имена, IP-адреса, IP-адреса и порты

Независимо от метода, выбранного ниже, необходимо разрешить сетевой трафик в перечисленные назначения через порт 443. Каждый из элементов в следующем XML-документе описан в таблице, следующей за ней (в терминах и нотациях). Диапазоны IP-адресов были намеренно оставлены из этого документа, чтобы поощрять использование только полных доменных имен, так как полные доменные имена останутся постоянными. Однако xml-файл, содержащий полный список, можно скачать из Центра загрузки: ВИРТУАЛЬНЫЕ IP-адреса и диапазоны IP-адресов службы уведомлений Windows (WNS). Новые ip-адреса или диапазоны IP-адресов будут эффективными через неделю после отправки.

<?xml version="1.0" encoding="UTF-8"?>
<WNSPublicIpAddresses xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
    <!-- This file contains the FQDNs, VIPs, and IP address ranges used by the Windows Notification Service. A new text file will be uploaded every time a new VIP or IP range is released in production.  Please copy the below information and perform the necessary changes on your site. Endpoints in CloudService nodes are used for cloud services to send notifications to WNS. Endpoints in Client nodes are used by devices to receive notifications from WNS. --> 
    <CloudServiceDNS>
    <DNS FQDN="*.notify.windows.com"/>
    </CloudServiceDNS>
    <ClientDNS>
        <DNS FQDN="*.wns.windows.com"/>
        <DNS FQDN="*.notify.live.net"/>
    </ClientDNS>
    <CloudServiceIPs>
        <IpRange Subnet=""/>
        <!-- See the file in Download Center for the complete list of IP ranges -->
    </CloudServiceIPs>
    <ClientIPsIPv4>
        <IpRange Subnet=""/>
        <!-- See the file in Download Center for the complete list of IP ranges -->
    </ClientIPsIPv4>
    <IdentityServiceDNS>
        <DNS FQDN="login.microsoftonline.com"/>
        <DNS FQDN="login.live.com"/>
    </IdentityServiceDNS>
</WNSPublicIpAddresses>

Термины и нотации

Ниже описаны нотации и элементы, используемые в приведенном выше фрагменте XML.

Термин Описание
Нотация dot-decimal (т. е. 64.4.28.0/26) Точечная нотация — это способ описания диапазона IP-адресов. Например, 64.4.28.0/26 означает, что первые 26 битов 64.4.28.0 являются константами, а последние 6 бит являются переменными. В этом случае диапазон IPv4 равен 64.4.28.0 – 64.4.28.63.
ClientDNS Это фильтры полного доменного имени (FQDN) для клиентских устройств (компьютеров Windows, настольных компьютеров), получающих уведомления от WNS. Они должны быть разрешены через брандмауэр, чтобы клиенты WNS использовали функции WNS. Рекомендуется разрешить список полных доменных имен вместо диапазонов IP/VIP, так как они никогда не изменятся.
ClientIPsIPv4 Это IPv4-адреса серверов, к которым обращается клиентские устройства (компьютеры Windows, настольные компьютеры), получающие уведомления от WNS.
CloudServiceDNS Это фильтры полного доменного имени (FQDN) для серверов WNS, которые облачная служба будет взаимодействовать с отправкой уведомлений в WNS. Они должны быть разрешены через брандмауэр, чтобы службы отправляли уведомления WNS. Рекомендуется разрешить список полных доменных имен вместо диапазонов IP/VIP, так как они никогда не изменятся.
CloudServiceIPs CloudServiceIPs — это ip-адреса серверов, используемых для облачных служб для отправки уведомлений в WNS.

Диапазоны общедоступных IP-адресов службы push-уведомлений Майкрософт (MPNS)

Если вы используете устаревшую службу уведомлений, MPNS, диапазоны IP-адресов, которые необходимо добавить в список разрешений, доступны в Центре загрузки: диапазоны общедоступных IP-адресов службы push-уведомлений Майкрософт (MPNS).