Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Proces popsaný v tomto článku ověří, že je správně nastavená sdílená složka SMB a přístupová oprávnění a že můžete připojit sdílenou složku SMB Azure.
Vztahuje se na
| Model správy | Model fakturace | Mediální vrstva | Přebytečnost | Malé a střední podniky (MSP) | Síťový souborový systém (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | Zajištěno v2 | HDD (standard) | Místní (LRS) |
|
|
| Microsoft.Storage | Zajištěno v2 | HDD (standard) | Zóna (ZRS) |
|
|
| Microsoft.Storage | Zajištěno v2 | HDD (standard) | Geografie (GRS) |
|
|
| Microsoft.Storage | Zajištěno v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Poskytnuto v1 | SSD (Premium) | Místní (LRS) |
|
|
| Microsoft.Storage | Poskytnuto v1 | SSD (Premium) | Zóna (ZRS) |
|
|
| Microsoft.Storage | Platba dle skutečné spotřeby | HDD (standard) | Místní (LRS) |
|
|
| Microsoft.Storage | Platba dle skutečné spotřeby | HDD (standard) | Zóna (ZRS) |
|
|
| Microsoft.Storage | Platba dle skutečné spotřeby | HDD (standard) | Geografie (GRS) |
|
|
| Microsoft.Storage | Platba dle skutečné spotřeby | HDD (standard) | GeoZone (GZRS) |
|
|
Požadavky na montáž
Než budete moct připojit sdílenou složku Azure, ujistěte se, že splňujete následující požadavky:
- Ujistěte se, že přiřazujete oprávnění na úrovni sdílené složkya nakonfigurujete oprávnění na úrovni adresáře a souboru. Mějte na paměti, že přiřazení role na úrovni sdílené složky může nějakou dobu trvat.
- Pokud připojujete sdílenou složku z klienta, který se dříve připojil ke sdílené složce pomocí klíče účtu úložiště, ujistěte se, že nejprve odpojíte sdílenou složku a odeberete trvalé přihlašovací údaje klíče účtu úložiště. Pokyny k odebrání přihlašovacích údajů uložených v mezipaměti a odstranění existujících připojení SMB před inicializací nového připojení se službou Active Directory Domain Services (AD DS) nebo přihlašovacími údaji Microsoft Entra najdete podle dvou kroků na stránce Nejčastější dotazy.
- Pokud je vaším zdrojem AD DS nebo Microsoft Entra Kerberos, váš klient musí mít neomezené síťové připojení k vaší službě AD DS. Pokud je váš počítač nebo virtuální počítač mimo síť spravovanou vaší službou AD DS, musíte povolit vpn, aby se mohla připojit ke službě AD DS kvůli ověřování.
- Přihlaste se k klientovi pomocí přihlašovacích údajů služby AD DS nebo identity Microsoft Entra, ke které jste udělili oprávnění.
Připojení sdílené složky z virtuálního počítače připojeného k doméně
Spusťte následující skript PowerShellu nebo pomocí webu Azure Portal trvale připojte sdílenou složku Azure a namapujte ji na jednotku Z: (nebo požadovanou cestu připojení) ve Windows. Vzhledem k tomu, že jste již ověřeni, nemusíte zadávat klíč účtu úložiště. Skript zkontroluje, jestli je tento účet úložiště přístupný přes port TCP 445, což je port, který protokol SMB používá. Nezapomeňte nahradit zástupné hodnoty vlastními hodnotami. Další informace najdete v tématu Použití sdílené složky Azure s Windows.
Pokud nepoužíváte vlastní názvy domén, měli byste připojit sdílené složky Azure pomocí přípony file.core.windows.net, a to i v případě, že jste pro sdílenou složku nastavili privátní koncový bod.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Také můžete použít příkaz net use z příkazového řádku systému Windows k připojení sdílené složky. Nezapomeňte nahradit <YourStorageAccountName> a <FileShareName> použít vlastní hodnoty.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Pokud narazíte na problémy, přečtěte si téma Nelze připojit sdílené složky Azure pomocí přihlašovacích údajů Active Directory.
Připojení sdílené složky z virtuálního počítače, který není připojený k doméně, nebo virtuálního počítače připojeného k jiné doméně AD
Pokud je váš zdroj AD místní služba AD DS, pak virtuální počítače nepřipojené k doméně nebo virtuální počítače připojené k jiné doméně AD než je doména účtu úložiště, mohou získat přístup k Azure souborovým sdílením, pokud mají nerušené síťové připojení k řadičům domény AD a poskytují explicitní přihlašovací údaje. Uživatel, který přistupuje ke sdílené složce, musí mít identitu a přihlašovací údaje v doméně AD, ke které je účet úložiště připojený.
Pokud je vaším zdrojem služby AD Microsoft Entra Domain Services, musí mít klient neomezené síťové připojení k řadičům domén služby Microsoft Entra Domain Services, což vyžaduje nastavení VPN buď typu site-to-site, nebo point-to-site. Uživatel, který přistupuje ke sdílené složce, musí mít identitu (identitu Microsoft Entra synchronizovanou z MICROSOFT Entra ID do služby Microsoft Entra Domain Services) ve spravované doméně Microsoft Entra Domain Services.
Pokud chcete připojit sdílenou složku z virtuálního počítače, který není připojený k doméně, použijte notaci username@domainFQDN, kde domainFQDN je plně kvalifikovaný název domény, aby klient mohl kontaktovat řadič domény a požádat o lístky Kerberos a přijímat je. Hodnotu doményFQDN můžete získat spuštěním (Get-ADDomain).Dnsroot v Active Directory PowerShellu.
Příklad:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Pokud je zdrojem AD služba Microsoft Entra Domain Services, můžete také zadat přihlašovací údaje, jako například DOMAINNAME\username, kde DOMAINNAME je doména služby Microsoft Entra Domain Services a username je uživatelské jméno identity ve službě Microsoft Entra Domain Services:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Poznámka:
Azure Files nepodporuje překlad SID na UPN pro uživatele a skupiny z virtuálního počítače, který není připojen k doméně, nebo z virtuálního počítače připojeného k jiné doméně pomocí Průzkumníka souborů Windows. Pokud chcete zobrazit vlastníky souborů, adresářů nebo zobrazit nebo upravit oprávnění NTFS přes Windows Průzkumník souborů, můžete to udělat jenom z virtuálních počítačů připojených k doméně.
Připojit sdílené složky pomocí vlastních názvů domén
Pokud nechcete připojit sdílené složky Azure pomocí přípony file.core.windows.net, můžete upravit příponu názvu účtu úložiště přidruženého ke sdílené složce Azure a pak přidat záznam CNAME (Canonical Name) pro směrování nové přípony do koncového bodu účtu úložiště. Následující pokyny platí jenom pro prostředí s jednoduchou strukturou. Informace o konfiguraci prostředí se dvěma nebo více doménovými strukturami najdete v tématu Použití služby Azure Files s více doménovými strukturami Active Directory.
Poznámka:
Azure Files podporuje konfiguraci CNAMES pouze pomocí názvu účtu úložiště jako předpony domény. Pokud nechcete jako předponu použít název účtu úložiště, zvažte použití oborů názvů DFS.
V tomto příkladu máme doménu služby Active Directory onpremad1.com a účet úložiště s názvem mystorageaccount, který obsahuje SMB sdílené soubory Azure. Nejprve musíme upravit příponu hlavního názvu služby (SPN) účtu úložiště, aby se namapovat mystorageaccount.onpremad1.com na mystorageaccount.file.core.windows.net.
Sdílenou složku net use \\mystorageaccount.onpremad1.com můžete připojit, protože klienti v onpremad1 vědí, že mají hledat onpremad1.com, aby našli správný prostředek pro tento účet úložiště.
Pokud chcete použít tuto metodu, proveďte následující kroky:
Ujistěte se, že jste nastavili ověřování na základě identity. Pokud je vaším zdrojem AD DS nebo Microsoft Entra Kerberos, ujistěte se, že jste synchronizovali uživatelské účty AD s Microsoft Entra ID.
Upravte hlavní název služby (SPN) účtu úložiště pomocí
setspntohoto nástroje. Najdete<DomainDnsRoot>ho spuštěním následujícího příkazu Active Directory PowerShellu:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Přidejte položku CNAME pomocí Správce DNS služby Active Directory. Pokud používáte soukromý koncový bod, přidejte položku CNAME, která se namapuje na název soukromého koncového bodu.
- Otevřete Správce DNS služby Active Directory.
- Přejděte do své domény (například onpremad1.com).
- Přejděte do části "Dopředné zóny vyhledávání".
- Vyberte uzel pojmenovaný po vaší doméně (například onpremad1.com) a klikněte pravým tlačítkem na Nový alias (CNAME).
- Jako název aliasu zadejte název účtu úložiště.
- Jako plně kvalifikovaný název domény (FQDN) zadejte
<storage-account-name>.<domain-name>, například mystorageaccount.onpremad1.com. Část názvu hostitele v plně kvalifikovaném názvu domény (FQDN) musí odpovídat názvu účtu úložiště. Pokud název hostitele neodpovídá názvu účtu úložiště, připojení selže s chybou odepření přístupu. - Jako FQDN cílového hostitele zadejte
<storage-account-name>.file.core.windows.net - Vyberte OK.
Teď byste měli být schopni připojit sdílenou složku pomocí storageaccount.domainname.com. Sdílenou složku můžete připojit také pomocí klíče účtu úložiště.
Další krok
Pokud je identita, kterou jste vytvořili ve službě AD DS, která představuje účet úložiště, v doméně nebo organizační jednotky, která vynucuje obměnu hesel, musíte pravidelně aktualizovat heslo identity účtu úložiště ve službě AD DS.