مشاركات ملفات SMB Azure

ينطبق على: ✔️ مشاركات الملفات للشركات الصغيرة والمتوسطة

تقدم Azure Files بروتوكولين قياسيين صناعيين لتركيب Azure مشاركة الملفات: بروتوكول Server Message Block (SMB) وبروتوكول نظام ملفات الشبكة Network File System (NFS). Azure Files يتيح لك اختيار بروتوكول نظام الملفات الأنسب لعبء عملك. مشاركات ملفات Azure لا تدعم الوصول إلى مشاركة ملفات Azure فردية باستخدام بروتوكولي SMB وNFS، رغم أنه يمكنك إنشاء مشاركات ملفات SMB وNFS داخل نفس حساب التخزين. لجميع مشاركات الملفات، يقدم Azure Files مشاركات ملفات من مستوى المؤسسات يمكن التوسع لتلبية احتياجات التخزين الخاصة بك ويمكن الوصول إليها في نفس الوقت من قبل آلاف العملاء.

تغطي هذه المقالة مشاركات ملفات SMB Azure. للحصول على معلومات حول NFS Azure مشاركات الملفات، انظر NFS Azure ملفات shares.

السيناريوهات الشائعة

يتم استخدام مشاركات ملفات SMB للعديد من التطبيقات بما في ذلك مشاركات ملفات المستخدم النهائي ومشاركات الملفات التي تدعم قواعد البيانات والتطبيقات. غالباً ما تُستخدم مشاركات ملف SMB في السيناريوهات التالية:

• مشاركات ملفات المستخدم النهائي مثل مشاركات الفرق والأدلة الرئيسية
• تخزين الدعم لتطبيقات Windows، مثل قواعد بيانات SQL Server أو تطبيقات خط الأعمال المكتوبة لواجهات برمجة تطبيقات أنظمة الملفات المحلية Win32 أو .NET
• تطوير التطبيقات والخدمات الجديدة، خاصة إذا كان ذلك التطبيق أو الخدمة تتطلب إخراج عشوائيا وتخزينا هرميا

الميزات

يدعم Azure Files الميزات الرئيسية ل SMB و Azure اللازمة لنشر مشاركات ملفات SMB الإنتاجية:

• التوفر المستمر للشركات الصغيرة والمتوسطة (CA)
• قوائم التحكم في الانضمام إلى نطاق AD والوصول التقديري (DACLs)
• نسخ احتياطي متكامل بدون خادم مع Azure Backup
• عزل الشبكة مع نقاط النهاية الخاصة في Azure
• معدل نقل شبكة عالي باستخدام SMB Multichannel (مشاركة ملفات SSD فقط)
• تشفير قنوات SMB بما في ذلك AES-256-GCM، AES-128-GCM، وAES-128-CCM
• دعم الإصدار السابق من خلال VSS لقطات مشاركة مدمجة
• الحذف التلقائي البرمجي في مشاركات ملفات Azure لمنع الحذف العرضي
• إمكانية مشاركة الملفات عبر الإنترنت مع SMB 3.0+ الآمن للإنترنت

يمكن تثبيت مشاركات ملفات SMB مباشرة في الموقع المحلي أو يمكن أيضا تخزينها cache on-place باستخدام Azure File Sync.

دعم Windows SMB وميزات Azure Files

يوضح الجدول التالي دعم Windows لإصدار SMB، وSMB Multichannel¹، وتشفير قنوات SMB عند تركيب Azure مشاركة الملفات. استخدم هذا الجدول لتحديد متطلبات دعم الميزات والأمان لأنظمة التشغيل العميلة التي تصل إلى مشاركة ملفات Azure الخاصة بك. نوصي بأخذ أحدث لوحة مفاتيح لإصدارك من Windows.

إصدار Windows	إصدار SMB	SMB متعدد القنوات (SSD فقط)	الحد الأقصى لتشفير قناة SMB
Windows Server 2025	SMB 3.1.1	‏‏نعم‬	AES-256-GCM
Windows 11، الإصدار 24H2	SMB 3.1.1	‏‏نعم‬	AES-256-GCM
Windows 11، الإصدار 23H2	SMB 3.1.1	‏‏نعم‬	AES-256-GCM
Windows 11، الإصدار 22H2	SMB 3.1.1	‏‏نعم‬	AES-256-GCM
Windows 10، الإصدار 22H2	SMB 3.1.1	‏‏نعم‬	AES-128-GCM
Windows Server 2022	SMB 3.1.1	‏‏نعم‬	AES-256-GCM
Windows 11، الإصدار 21H2	SMB 3.1.1	‏‏نعم‬	AES-256-GCM
Windows 10، الإصدار 21H2	SMB 3.1.1	‏‏نعم‬	AES-128-GCM
Windows 10، الإصدار 21H1	SMB 3.1.1	نعم، مع KB5003690 أو أحدث	AES-128-GCM
Windows Server، الإصدار 20H2	SMB 3.1.1	نعم، مع KB5003690 أو أحدث	AES-128-GCM
Windows 10، الإصدار 20H2	SMB 3.1.1	نعم، مع KB5003690 أو أحدث	AES-128-GCM
Windows Server، إصدار 2004	SMB 3.1.1	نعم، مع KB5003690 أو أحدث	AES-128-GCM
Windows 10، الإصدار 2004	SMB 3.1.1	نعم، مع KB5003690 أو أحدث	AES-128-GCM
Windows Server 2019	SMB 3.1.1	نعم، مع KB5003703 أو أحدث	AES-128-GCM
Windows 10، الإصدار 1809	SMB 3.1.1	نعم، مع KB5003703 أو أحدث	AES-128-GCM
Windows Server 2016	SMB 3.1.1	نعم، مع KB5004238 أو أحدث ومفتاح التسجيل المطبق	AES-128-GCM
Windows 10، الإصدار 1607	SMB 3.1.1	نعم، مع KB5004238 أو أحدث ومفتاح التسجيل المطبق	AES-128-GCM
Windows 10، الإصدار 1507	SMB 3.1.1	نعم، مع KB5004249 أو أحدث ومفتاح التسجيل المطبق	AES-128-GCM
Windows Server 2012 R22	بروتوكول Server Message Block 3.0	لا.	AES-128-CCM
Windows Server 20122	بروتوكول Server Message Block 3.0	لا.	AES-128-CCM
Windows 8.13	بروتوكول Server Message Block 3.0	لا.	AES-128-CCM
Windows Server 2008 R23	SMB: 2.1	لا.	غير مدعوم
Windows 73	SMB: 2.1	لا.	غير مدعوم

¹Azure Files يدعم SMB متعدد القنوات فقط على مشاركة ملفات SSD.

²الدعم العادي Microsoft ل Windows Server 2012 Windows Server 2012 R2 قد انتهى الآن. يمكنك شراء دعم إضافي لتحديثات الأمان فقط من خلال برنامج تحديث الأمان الموسع (ESU).

³Microsoft انتهى دعم Windows 7 و Windows 8 و Windows Server 2008. نوصي بشدة بالترحيل من أنظمة التشغيل هذه.

إعدادات بروتوكول SMB

يقدم Azure Files إعدادات متعددة تؤثر على سلوك وأداء وأمان بروتوكول SMB. يتم تكوين هذه القواعد لجميع مشاركات ملفات Azure داخل حساب تخزين.

التوفر المستمر للشركات الصغيرة والمتوسطة

يدعم Azure Files التوافر المستمر للوحدات الصغيرة والمتوسطة (CA) لمساعدة التطبيقات على البقاء متاحة أثناء أحداث البنية التحتية المؤقتة. التوافر المستمر هو قدرة في بروتوكول SMB تسمح لمقابض الملفات المفتوحة بالبقاء على قيد الحياة خلال الانقطاعات القصيرة، مثل تجاوز الخادم أو اضطرابات الشبكة القصيرة. جميع مشاركات ملفات SMB Azure متاحة بشكل افتراضي بشكل مستمر. لا يمكن تعطيل هذا الإعداد.

ما الذي توفره التوفران المستمر

يوفر التوفر المستمر الفوائد التالية:

• مقابض الملفات الدائمة التي تنجو من الأعطال المؤقتة
• الاسترداد الشفاف لعمليات الإدخال/الإخراج بعد التحويل
• اتساق البيانات أثناء انتقالات البنية التحتية
• تقليل خطر تعطل التطبيق

إذا حدث انقطاع مؤقت في الاتصال، يقوم عملاء SMB بإعادة محاولة العمليات تلقائيا وإعادة الوصول إلى الملفات المفتوحة دون الحاجة إلى التطبيق لإعادة فتحها. هذا السلوك مهم بشكل خاص لأحمال العمل التي تحافظ على جلسات الملفات الطويلة.

كيف يعمل التوافر المستمر

يعتمد التوافر المستمر على مقابض SMB المستمرة. خلال الانقطاع العابر، الذي يستمر عادة لعدة دقائق، تنطبق العبارات التالية:

• تظل معالجات الملفات المفتوحة صالحة.
• يعيد عميل SMB المحاولة في انتظار عمليات الإدخال/الإخراج.
• Azure Files يستأنف العمليات بشكل شفاف بمجرد استعادة الاتصال.

نظرا لأن Azure Files يعطي الأولوية للصحة والمتانة، ينتظر العميل ويعيد المحاولة بدلا من فشل العملية فورا.

سلوك الوقت المستقطع أثناء فقدان الاتصال

نظرا لسلوك إعادة المحاولة الذي يتطلبه التوافر المستمر، قد تستغرق عمليات SMB وقتا أطول لتنتهي أثناء انقطاعات الشبكة.

على سبيل المثال، قد تواجه ما يلي:

• قد يعيد عملاء Windows SMB محاولة العمليات لعدة دقائق قبل أن يظهر خطأ.
• قد تبدو التطبيقات وكأنها تتوقف مؤقتا أثناء إعادة الاتصال.

هذا السلوك مصمم لأنه يساعد في الحفاظ على سلامة البيانات والتعامل معها ومنع تلف البيانات. قد تشهد أحمال العمل التي تنقطع الاتصال بشكل متكرر، مثل أجهزة اللابتوب المتجولة أو الاتصالات غير المستقرة في الشبكة، أوقات انتظار أطول قبل إعادة حدوث أعطال.

SMB متعدد القنوات

تُمكّن SMB Multichannel عميل SMB 3.x من إنشاء اتصالات شبكة متعددة إلى مشاركة ملف SMB. يدعم Azure Files SMB Multichannel على مشاركة ملفات SSD. بالنسبة لعملاء Windows، أصبح SMB Multichannel مفعلا افتراضيا في جميع مناطق Azure.

Portal

لعرض حالة SMB Multichannel، انتقل إلى حساب التخزين الذي يحتوي على مشاركات ملفات SSD وحدد File shares ضمن عنوان تخزين البيانات في جدول محتويات حساب التخزين. يجب أن تشاهد حالة SMB Multichannel ضمن قسم File share settings. إذا لم تتمكن من رؤيته، فتأكد من أن حساب التخزين الخاص بك من نوع حساب FileStorage.

لتمكين أو تعطيل SMB Multichannel، حدد الحالة الحالية (ممكّن أو معطل بناءً على الحالة). يوفر مربع الحوار الناتج مفتاح تبديل لتمكين أو تعطيل SMB Multichannel. حدد الحالة المطلوبة وحدد Save.

PowerShell

للحصول على حالة SMB Multichannel، استخدم الأمر cmdlet Get-AzStorageFileServiceProperty. استبدل <resource-group> القيم المناسبة لبيئتك قبل <storage-account> تشغيل أوامر PowerShell هذه.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

لتمكين/تعطيل SMB Multichannel، استخدم Update-AzStorageFileServiceProperty cmdlet.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

للحصول على حالة SMB Multichannel، استخدم الأمر az storage account file-service-properties show. استبدل <resource-group> القيم المناسبة لبيئتك قبل <storage-account> تشغيل هذه الأوامر.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

لتمكين/تعطيل SMB Multichannel، استخدم الأمر az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

تمكين SMB Multichannel على أنظمة التشغيل القديمة

دعم SMB Multichannel في Azure Files يتطلب التأكد من تطبيق جميع التحديثات ذات الصلة على Windows. تتطلب عدة إصدارات أقدم من Windows، بما في ذلك Windows Server 2016، Windows 10 الإصدار 1607، وإصدار Windows 10 1507، تعيين مفاتيح سجل إضافية لجميع إصلاحات SMB متعددة القنوات ذات الصلة على التثبيتات المعدلة بالكامل. إذا كنت تستخدم نسخة من Windows أحدث من هذه الإصدارات الثلاثة، فلا حاجة لإجراء إضافي.

Windows Server 2016 و Windows 10 الإصدار 1607

لتمكين جميع إصلاحات SMB Multichannel لنظام Windows Server 2016 وإصدار Windows 10 1607، قم بتشغيل أمر PowerShell التالي:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

إصدار Windows 10 1507

لتمكين جميع إصلاحات SMB Multichannel لإصدار Windows 10 1507، قم بتشغيل أمر PowerShell التالي:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

الأمان

جميع البيانات المخزنة في Azure Files مشفرة أثناء السكون باستخدام تشفير خدمة تخزين Azure (SSE). يمكنك أيضا اختيار تشفير البيانات أثناء النقل.

التشفير في حالة السكون

يعمل تشفير خدمات التخزين بطريقة مشابهة ل BitLocker على Windows: حيث يتم تشفير البيانات تحت مستوى نظام الملفات. نظرا لأن البيانات مشفرة تحت نظام ملفات مشاركة الملفات Azure، حيث يتم ترميزها على القرص، فلا تحتاج إلى الوصول إلى المفتاح الأساسي على العميل لقراءة أو كتابة في مشاركة الملفات Azure.

التشفير أثناء النقل

يوفر Azure Files إعداد مخصص Require Encryption أثناء النقل ل SMB يتيح لك التحكم بشكل مستقل فيما إذا كان التشفير مطلوبا للوصول إلى SMBs إلى Azure مشاركة الملفات. يوفر هذا الإعداد لكل بروتوكول تحكما أكثر تفصيلا من إعداد النقل الآمن على مستوى حساب التخزين، والذي ينطبق الآن فقط على حركة مرور REST/HTTPS. بالنسبة لحسابات التخزين الجديدة التي تم إنشاؤها باستخدام بوابة Azure، يتم تفعيل Require Encryption أثناء النقل ل SMB بشكل افتراضي، لذا يسمح فقط بتركيبات SMB باستخدام SMB 3.x مع التشفير. يتم رفض التركيبات من العملاء الذين لا يدعمون SMB 3.x مع تشفير قناة SMB عند تفعيل التشفير أثناء النقل. حسابات التخزين التي تم إنشاؤها باستخدام Azure PowerShell أو Azure CLI أو مجموعة FileREST API تتطلب التشفير أثناء النقل ل SMB ك Not selected لضمان التوافق مع الإصدارات السابقة.

بالنسبة لحسابات التخزين الحالية، يظهر في البداية طلب تشفير أثناء النقل للشركات الصغيرة والمتوسطةكغير محدد. على الرغم من عدم اختياره، يستمر إعداد النقل الآمن المطلوب في التحكم في سلوك تشفير SMB. بمجرد أن تقوم بتكوين Demand Encryption in Transit للشركة الصغيرة والمتوسطة بشكل صريح، يصبح هذا الإعداد أولوية للوصول إلى SMB، بغض النظر عن قيمة النقل الآمن المطلوبة .

يدعم Azure Files AES-256-GCM مع SMB 3.1.1 عند استخدامه مع Windows Server 2022 أو Windows 11. يدعم SMB 3.1.1 أيضاً AES-128-GCM ويدعم SMB 3.0 AES-128-CCM. يتم التفاوض على AES-128-GCM بشكل افتراضي على Windows 10، الإصدار 21H1 لأسباب تتعلق بالأداء.

يمكنك تعطيل التشفير أثناء النقل لمشاركة ملفات Azure. عند تعطيل التشفير، يسمح Azure Files ب SMB 2.1 وSMB 3.x بدون تشفير. السبب الرئيسي لتعطيل التشفير أثناء النقل هو دعم تطبيق قديم يجب تشغيله على نظام تشغيل أقدم، مثل Windows Server 2008 R2 أو توزيعات Linux الأقدم. يسمح Azure Files فقط باتصالات SMB 2.1 ضمن نفس منطقة Azure التي تتعامل معها Azure لمشاركة الملفات؛ لا يمكن لعميل SMB 2.1 خارج منطقة Azure في مشاركة الملفات الخاصة ب Azure، مثل الأنظمة المحلية أو في منطقة Azure مختلفة، الوصول إلى مشاركة الملفات.

إعدادات أمان SMB

يعرض Azure Files إعدادات تتيح لك تبديل بروتوكول SMB ليكون أكثر توافقا أو أمانا، حسب متطلبات مؤسستك. افتراضيا، Azure Files مهيأ ليكون متوافقا إلى أقصى حد، لذا ضع في اعتبارك أن تقييد هذه الإعدادات قد يمنع بعض العملاء من الاتصال.

يعرض Azure Files الإعدادات التالية:

• إصدارات SMB: إصدارات SMB المسموح بها. إصدارات البروتوكول المدعومة هي SMB 3.1.1 وSMB 3.0 وSMB 2.1. بشكل افتراضي، جميع إصدارات SMB مسموح بها، على الرغم من أن SMB 2.1 غير مسموح به إذا كان Demand Encryption in Transit for SMB مفعلا (أو إذا كان إعداد Secure Transfer required يتحكم في سلوك SMB)، لأن SMB 2.1 لا يدعم التشفير أثناء النقل.
• طرق المصادقة: طرق مصادقة SMB المسموح بها. أساليب المصادقة المدعومة هي NTLMv2 (مفتاح حساب التخزين فقط) وKerberos. افتراضياً، يُسمح بجميع طرق المصادقة. إزالة NTLMv2 تمنع استخدام مفتاح حساب التخزين لتركيب مشاركة ملفات Azure. Azure Files لا يدعم استخدام مصادقة NTLM لبيانات اعتماد النطاق.
• تشفير بطاقة Kerberos: خوارزميات التشفير المسموح بها. خوارزميات التشفير المدعومة هي AES-256 (موصى به بشدة) وRC4-HMAC.
• تشفير قناة SMB: ما هي خوارزميات تشفير قناة SMB المسموح بها. خوارزميات التشفير المدعومة هي AES-256-GCM وAES-128-GCM وAES-128-CCM. إذا قمت بتحديد AES-256-GCM فقط، فستحتاج إلى إخبار العملاء المتصلين باستخدامه عن طريق فتح محطة PowerShell كمسؤول على كل عميل وتشغيل Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. استخدام AES-256-GCM غير مدعوم على عملاء Windows الأقدم من Windows 11/Windows Server 2022.

يمكنك عرض وتغيير إعدادات الأمان SMB باستخدام بوابة Azure أو Azure PowerShell أو Azure CLI. حدد علامة التبويب المطلوبة للاطلاع على الخطوات المتعلقة بكيفية الحصول على إعدادات أمان SMB وتعيينها. لاحظ أن هذه الإعدادات يتم تفعيلها عند إنشاء جلسة SMB وإذا لم يتم تحقيقها، يفشل إعداد جلسة SMB مع الخطأ STATUS_ACCESS_DENIED.

Portal

لعرض أو تغيير إعدادات أمان الشركات الصغيرة والمتوسطة باستخدام بوابة Azure، اتبع الخطوات التالية:

1. سجل الدخول إلى بوابة Azure وابحث عن <>حسابات التخزين. حدد حساب التخزين الذي تريد عرض إعدادات أمان SMB له أو تغييرها.

2. من قائمة الخدمة، حدد Data storage>File shares.

3. ضمن إعدادات مشاركة الملف، حدد القيمة المقترنة بـ الأمان.

   

4. يمكنك تفعيل أو تعطيل طلب تشفير أثناء النقل للشركات الصغيرة والمتوسطة بشكل صريح. بالنسبة لحسابات التخزين الجديدة التي تم إنشاؤها باستخدام بوابة Azure، يتم تفعيل هذا الإعداد افتراضيا.

5. ضمن ملف التعريف، حدد الحد الأقصى للتوافق أو الحد الأقصى للأمان أو مخصص. يتيح لك تحديد مخصص إنشاء ملف تعريف مخصص لإصدارات بروتوكول SMB وتشفير قناة SMB وآليات المصادقة وتشفير تذكرة Kerberos.

   هام

   اختيار أقصى أمان أو استخدام إعدادات مخصصة قد يؤدي إلى عدم قدرة بعض العملاء على الاتصال. على سبيل المثال، تم تقديم AES-256-GCM كخيار لتشفير قنوات SMB بدءا من Windows Server 2022 و Windows 11. وهذا يعني أن العملاء الأقدم الذين لا يدعمون AES-256-GCM لن يتمكنوا من الاتصال. إذا اخترت فقط AES-256-GCM، عليك أن تخبر عملاء Windows Server 2022 و Windows 11 باستخدام AES-256-GCM فقط عن طريق فتح محطة PowerShell كمسؤول على كل عميل وتشغيل Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

   

بعد إدخال إعدادات الأمان المطلوبة، حدد حفظ.

PowerShell

للحصول على إعدادات بروتوكول SMB، استخدم Get-AzStorageFileServiceProperty cmdlet. استبدل <resource-group> القيم <storage-account> المناسبة لبيئتك. إذا قمت بتعيين أي من إعدادات أمان SMB بشكل متعمد إلى قيمة خالية، على سبيل المثال عن طريق تعطيل تشفير قناة SMB، فشاهد الإرشادات الموجودة في البرنامج النصي حول التعليق على أسطر معينة.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

استنادا إلى متطلبات الأمان والأداء والتوافق لمؤسستك، قد تحتاج إلى تعديل إعدادات بروتوكول SMB. يقيد أمر PowerShell التالي مشاركات ملفات SMB بالخيارات الأكثر أماناً فقط.

هام

تقييد مشاركة ملفات SMB Azure على الخيارات الأكثر أمانا قد يؤدي إلى عدم قدرة بعض العملاء على الاتصال. على سبيل المثال، تم تقديم AES-256-GCM كخيار لتشفير قنوات SMB بدءا من Windows Server 2022 و Windows 11. وهذا يعني أن العملاء الأقدم الذين لا يدعمون AES-256-GCM لن يتمكنوا من الاتصال. إذا اخترت فقط AES-256-GCM، عليك أن تخبر عملاء Windows Server 2022 و Windows 11 باستخدام AES-256-GCM فقط عن طريق فتح محطة PowerShell كمسؤول على كل عميل وتشغيل Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

اعتمادا على متطلبات الأمان لديك، قد ترغب في تفعيل أو تعطيل إعداد Require Encryption أثناء النقل للشركات الصغيرة والمتوسطة .

لتفعيل طلب تشفير أثناء النقل للشركات الصغيرة والمتوسطة على حساب التخزين، قم بتشغيل ال cmdlet التالي:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

لتعطيل طلب التشفير أثناء النقل للشركات الصغيرة والمتوسطة على حساب التخزين، قم بتشغيل ال cmdlet التالي:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

للحصول على حالة إعدادات أمان SMB، استخدم الأمر az storage account file-service-properties show. تذكر استبدال <resource-group> و<storage-account> بالقيم المناسبة لبيئتك قبل تشغيل أوامر Bash هذه. إذا قمت بتعيين أي من إعدادات أمان SMB بشكل متعمد إلى قيمة خالية، على سبيل المثال عن طريق تعطيل تشفير قناة SMB، فشاهد الإرشادات الموجودة في البرنامج النصي حول التعليق على أسطر معينة.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

اعتمادا على متطلبات الأمان والأداء والتوافق لمؤسستك، قد ترغب في تعديل إعدادات بروتوكول SMB. الأمر التالي في Azure CLI يقيد مشاركة ملفات SMB الخاصة بك بالخيارات الأكثر أمانا.

هام

تقييد مشاركة ملفات SMB Azure على الخيارات الأكثر أمانا قد يؤدي إلى عدم قدرة بعض العملاء على الاتصال. على سبيل المثال، تم تقديم AES-256-GCM كخيار لتشفير قنوات SMB بدءا من Windows Server 2022 و Windows 11. وهذا يعني أن العملاء الأقدم الذين لا يدعمون AES-256-GCM لن يتمكنوا من الاتصال. إذا اخترت فقط AES-256-GCM، عليك أن تخبر عملاء Windows Server 2022 و Windows 11 باستخدام AES-256-GCM فقط عن طريق فتح محطة PowerShell كمسؤول على كل عميل وتشغيل Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

اعتمادا على متطلبات الأمان لديك، قد ترغب في تفعيل أو تعطيل إعداد Require Encryption أثناء النقل للشركات الصغيرة والمتوسطة .

لتفعيل طلب تشفير أثناء النقل للشركات الصغيرة والمتوسطة على حساب التخزين، قم بتشغيل الأمر التالي:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

لتعطيل طلب تشفير أثناء النقل للموارد الصغيرة والمتوسطة على حساب التخزين، قم بتشغيل الأمر التالي:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

القيود

تدعم مشاركات ملفات SMB Azure مجموعة فرعية من الميزات المدعومة من بروتوكول SMB ونظام ملفات NTFS. على الرغم من أن معظم حالات الاستخدام والتطبيقات لا تتطلب هذه الميزات، إلا أن بعض التطبيقات قد لا تعمل بشكل صحيح مع Azure Files إذا اعتمدت على ميزات غير مدعومة. الميزات التالية غير مدعومة:

• SMB دايركت
• تأجير دليل SMB
• VSS لمشاركات ملفات SMB (يتيح ذلك لموفري VSS مسح بياناتهم إلى مشاركة ملف SMB قبل أخذ لقطة)
• تدفقات البيانات البديلة
• السمات الموسعة
• معرفات الكائن
• ارتباطات ثابتة
• روابط لينة
• إعادة التوزيع النقاط
• ملفات متفرقة
• أسماء ملفات قصيرة (8.3 اسم مستعار)
• ضغط

التوفر الإقليمي

تتوفر مشاركات ملفات SMB Azure في كل منطقة من مناطق Azure، بما في ذلك جميع المناطق العامة والسيادية. تتوفر مشاركات ملفات SSD في مجموعة فرعية من المناطق.

الخطوات التالية

• خطط لنشر Azure Files
• إنشاء مشاركة ملفات Azure
• تحميل مشاركات ملفات SMB على نظام التشغيل المفضل لديك:
  • تركيب مشاركة ملفات SMB على Windows
  • تحميل مشاركات ملف SMB على Linux
  • تحميل عمليات مشاركة ملفات SMB على macOS