مشاركة عبر

تحميل مشاركة ملف SMB Azure

  • مقالة

تتحقق العملية الموضحة في هذه المقالة من إعداد مشاركة ملف SMB وأذونات الوصول بشكل صحيح وأنه يمكنك تحميل مشاركة ملف SMB Azure.

ينطبق على

نوع مشاركة الملف SMB NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS) ‏‏نعم‬ لا
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS) ‏‏نعم‬ لا
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS) ‏‏نعم‬ لا

المتطلبات الأساسية للإدخال

قبل أن تتمكن من تحميل مشاركة ملف Azure، تأكد من أنك قد مررت بالمتطلبات الأساسية التالية:

  • تأكد من تعيين أذونات على مستوى المشاركة وتكوين أذونات الدليل ومستوى الملف. تذكر أن تعيين الدور على مستوى المشاركة قد يستغرق بعض الوقت حتى يصبح ساري المفعول.
  • إذا كنت تقوم بتحميل مشاركة الملف من عميل متصل مسبقا بمشاركة الملف باستخدام مفتاح حساب التخزين، فتأكد من قطع اتصال المشاركة وإزالة بيانات الاعتماد الثابتة لمفتاح حساب التخزين. للحصول على إرشادات حول كيفية إزالة بيانات الاعتماد المخزنة مؤقتا وحذف اتصالات SMB الموجودة قبل تهيئة اتصال جديد مع بيانات اعتماد خدمات مجال Active Directory (AD DS) أو Microsoft Entra، اتبع العملية المكونة من خطوتين في صفحة الأسئلة المتداولة.
  • إذا كان مصدر AD الخاص بك هو AD DS أو Microsoft Entra Kerberos، يجب أن يكون لدى العميل اتصال شبكة دون عوائق ب AD DS الخاص بك. إذا كان جهازك أو الجهاز الظاهري خارج الشبكة التي يديرها AD DS، فستحتاج إلى تمكين VPN للوصول إلى AD DS للمصادقة.
  • سجل الدخول إلى العميل باستخدام بيانات اعتماد هوية AD DS أو Microsoft Entra التي منحت الأذونات لها.

تحميل مشاركة الملف من جهاز ظاهري مرتبط بالمجال

قم بتشغيل البرنامج النصي PowerShell التالي أو استخدم مدخل Microsoft Azure لتحميل مشاركة ملف Azure باستمرار وتعيينه إلى محرك الأقراص Z: على Windows. إذا كان Z: قيد الاستخدام بالفعل، فاستبدله بحرف محرك أقراص متوفر. نظرا لأنه تمت مصادقتك، فلن تحتاج إلى توفير مفتاح حساب التخزين. سيتحقق البرنامج النصي لمعرفة ما إذا كان حساب التخزين هذا يمكن الوصول إليه عبر منفذ TCP 445، وهو المنفذ الذي يستخدمه SMB. تذكر أن تستبدل قيم العنصر النائب بقيمك الخاصة. لمزيد من المعلومات، راجع استخدام مشاركة ملف Azure مع Windows.

ما لم تكن تستخدم أسماء مجالات مخصصة، يجب تحميل مشاركات ملفات Azure باستخدام اللاحقة file.core.windows.net، حتى إذا قمت بإعداد نقطة نهاية خاصة لمشاركتك.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

يمكنك أيضا استخدام net-use الأمر من موجه Windows لتحميل مشاركة الملف. تذكر استبدال <YourStorageAccountName> و <FileShareName> بقيمك الخاصة.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

إذا واجهت مشكلات، فشاهد تعذر تحميل مشاركات ملفات Azure باستخدام بيانات اعتماد AD.

تحميل مشاركة الملف من جهاز ظاهري غير مرتبط بالمجال أو جهاز ظاهري مرتبط بمجال AD مختلف

إذا كان مصدر AD الخاص بك هو AD DS محلي، فيمكن للأجهزة الظاهرية أو الأجهزة الظاهرية غير المرتبطة بالمجال والمنضمة إلى مجال AD مختلف عن حساب التخزين الوصول إلى مشاركات ملفات Azure إذا كان لديها اتصال شبكة دون عوائق بوحدات تحكم مجال AD وتوفير بيانات اعتماد صريحة (اسم المستخدم وكلمة المرور). يجب أن يكون لدى المستخدم الذي يصل إلى مشاركة الملف هوية وبيانات اعتماد في مجال AD يتم ربط حساب التخزين به.

إذا كان مصدر AD الخاص بك هو Microsoft Entra Domain Services، يجب أن يكون لدى الجهاز الظاهري اتصال شبكة دون عوائق بوحدات التحكم بالمجال لخدمات مجال Microsoft Entra، الموجودة في Azure. يتطلب هذا عادة إعداد VPN من موقع إلى موقع أو من نقطة إلى موقع. يجب أن يكون لدى المستخدم الذي يصل إلى مشاركة الملف هوية (هوية Microsoft Entra تمت مزامنتها من معرف Microsoft Entra إلى Microsoft Entra Domain Services) في المجال المدار Microsoft Entra Domain Services.

لتحميل مشاركة ملف من جهاز ظاهري غير مرتبط بالمجال، استخدم username@domainFQDN الترميز، حيث domainFQDN هو اسم المجال المؤهل بالكامل. سيسمح هذا للعميل بالاتصال بوحدة التحكم بالمجال لطلب تذاكر Kerberos وتلقيها. يمكنك الحصول على قيمة domainFQDN عن طريق تشغيل (Get-ADDomain).Dnsroot في Active Directory PowerShell.

على سبيل المثال:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

إذا كان مصدر AD الخاص بك هو خدمات مجال Microsoft Entra، يمكنك أيضا توفير بيانات اعتماد مثل DOMAINNAME\username حيث DOMAINNAME هو مجال Microsoft Entra Domain Services واسم المستخدم هو اسم مستخدم الهوية في Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

إشعار

لا تدعم Azure Files ترجمة SID إلى UPN للمستخدمين والمجموعات من جهاز ظاهري غير مرتبط بالمجال أو جهاز ظاهري مرتبط بمجال مختلف عبر Windows مستكشف الملفات. إذا كنت تريد عرض مالكي الملفات/الدليل أو عرض/تعديل أذونات NTFS عبر Windows مستكشف الملفات، يمكنك القيام بذلك فقط من الأجهزة الظاهرية المرتبطة بالمجال.

تحميل مشاركات الملفات باستخدام أسماء المجالات المخصصة

إذا كنت لا تريد تحميل مشاركات ملفات Azure باستخدام اللاحقة file.core.windows.net، يمكنك تعديل لاحقة اسم حساب التخزين المقترن بمشاركة ملف Azure، ثم إضافة سجل اسم متعارف عليه (CNAME) لتوجيه اللاحقة الجديدة إلى نقطة نهاية حساب التخزين. الإرشادات التالية مخصصة للبيئات أحادية الغابة فقط. لمعرفة كيفية تكوين البيئات التي تحتوي على غابتين أو أكثر، راجع استخدام ملفات Azure مع غابات Active Directory متعددة.

إشعار

تدعم Azure Files تكوين CNAMES فقط باستخدام اسم حساب التخزين كبادئة مجال. إذا كنت لا تريد استخدام اسم حساب التخزين كبادئة، ففكر في استخدام DFS namepaces.

في هذا المثال، لدينا onpremad1.com مجال Active Directory، ولدينا حساب تخزين يسمى mystorageaccount يحتوي على مشاركات ملفات SMB Azure. أولا، نحتاج إلى تعديل لاحقة SPN لحساب التخزين لتعيين mystorageaccount.onpremad1.com إلى mystorageaccount.file.core.windows.net.

سيسمح هذا للعملاء بتحميل المشاركة مع net use \\mystorageaccount.onpremad1.com لأن العملاء في onpremad1 سيعرفون البحث في onpremad1.com للعثور على المورد المناسب لحساب التخزين هذا.

لاستخدام هذا الأسلوب، أكمل الخطوات التالية:

  1. تأكد من إعداد المصادقة المستندة إلى الهوية. إذا كان مصدر AD هو AD DS أو Microsoft Entra Kerberos، فتأكد من مزامنة حساب (حسابات) مستخدم AD إلى معرف Microsoft Entra.

  2. تعديل SPN لحساب التخزين باستخدام setspn الأداة. يمكنك العثور عن <DomainDnsRoot> طريق تشغيل أمر Active Directory PowerShell التالي: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. أضف إدخال CNAME باستخدام Active Directory DNS Manager واتبع الخطوات أدناه لكل حساب تخزين في المجال الذي تم ربط حساب التخزين به. إذا كنت تستخدم نقطة نهاية خاصة، أضف إدخال CNAME لتعيين اسم نقطة النهاية الخاصة.

    1. افتح Active Directory DNS Manager.
    2. انتقل إلى مجالك (على سبيل المثال، onpremad1.com).
    3. انتقل إلى "مناطق البحث للأمام".
    4. حدد العقدة المسماة باسم مجالك (على سبيل المثال، onpremad1.com) وانقر بزر الماوس الأيمن فوق الاسم المستعار الجديد (CNAME).
    5. بالنسبة إلى الاسم المستعار، أدخل اسم حساب التخزين الخاص بك.
    6. بالنسبة إلى اسم المجال المؤهل بالكامل (FQDN)، أدخل <storage-account-name>.<domain-name>، مثل mystorageaccount.onpremad1.com. يجب أن يتطابق جزء اسم المضيف من FQDN مع اسم حساب التخزين. وإلا ستحصل على خطأ رفض الوصول أثناء إعداد جلسة SMB.
    7. بالنسبة للمضيف الهدف FQDN، أدخل <storage-account-name>.file.core.windows.net
    8. حدد موافق.

يجب أن تكون قادرا الآن على تحميل مشاركة الملف باستخدام storageaccount.domainname.com. يمكنك أيضا تحميل مشاركة الملف باستخدام مفتاح حساب التخزين.

الخطوة التالية

إذا كانت الهوية التي أنشأتها في AD DS لتمثيل حساب التخزين في مجال أو وحدة تنظيمية تفرض تدوير كلمة المرور، فقد تحتاج إلى تحديث كلمة المرور لهوية حساب التخزين في AD DS.