Sdílet prostřednictvím

Připojení sdílené složky Azure SMB ve Windows

Platí pro: ✔️ Sdílené soubory Azure SMB

Služba Soubory Azure je snadno použitelný cloudový systém souborů od Microsoftu. V tomto článku se dozvíte, jak připojit sdílenou složku Azure SMB ve Windows a Windows Serveru.

Služba Soubory Azure podporuje protokol SMB Multichannel pouze ve sdílených složkách SSD.

Verze Windows Verze protokolu SMB Azure Files SMB Multichannel Maximální šifrování kanálu SMB
Windows Server 2025 SMB 3.1.1 Ano AES-256-GCM
Windows 11 verze 24H2 SMB 3.1.1 Ano AES-256-GCM
Windows 11, verze 23H2 SMB 3.1.1 Ano AES-256-GCM
Windows 11, verze 22H2 SMB 3.1.1 Ano AES-256-GCM
Windows 10, verze 22H2 SMB 3.1.1 Ano AES-128-GCM
Windows Server 2022 SMB 3.1.1 Ano AES-256-GCM
Windows 11 verze 21H2 SMB 3.1.1 Ano AES-256-GCM
Windows 10 verze 21H2 SMB 3.1.1 Ano AES-128-GCM
Windows 10 verze 21H1 SMB 3.1.1 Ano, s KB5003690 nebo novější AES-128-GCM
Windows Server verze 20H2 SMB 3.1.1 Ano, s KB5003690 nebo novější AES-128-GCM
Windows 10 verze 20H2 SMB 3.1.1 Ano, s KB5003690 nebo novější AES-128-GCM
Windows Server, verze 2004 SMB 3.1.1 Ano, s KB5003690 nebo novější AES-128-GCM
Windows 10 verze 2004 SMB 3.1.1 Ano, s KB5003690 nebo novější AES-128-GCM
Windows Server 2019 SMB 3.1.1 Ano, s aktualizací KB5003703 nebo novější AES-128-GCM
Windows 10 verze 1809 SMB 3.1.1 Ano, s aktualizací KB5003703 nebo novější AES-128-GCM
Windows Server 2016 SMB 3.1.1 Ano, s KB5004238 nebo novějším a použitým klíčem registru AES-128-GCM
Windows 10 verze 1607 SMB 3.1.1 Ano, s KB5004238 nebo novějším a použitým klíčem registru AES-128-GCM
Windows 10 verze 1507 SMB 3.1.1 Ano, s KB5004249 nebo novějším a použitým klíčem registru AES-128-GCM
Windows Server 2012 R21 SMB 3.0 Ne AES-128-CCM
Windows Server 20121 SMB 3.0 Ne AES-128-CCM
Windows 8.12 SMB 3.0 Ne AES-128-CCM
Windows Server 2008 R22 SMB 2.1 Ne Nepodporováno
Windows 72 SMB 2.1 Ne Nepodporováno

1Běžná podpora Společnosti Microsoft pro Windows Server 2012 a Windows Server 2012 R2 skončila. Další podporu aktualizací zabezpečení je možné zakoupit pouze prostřednictvím programu Extended Security Update (ESU).

2Podpora systému Windows 7, Windows 8 a Windows Server 2008 R2 skončila. Důrazně doporučujeme migrovat z těchto operačních systémů.

Poznámka:

Doporučujeme nainstalovat nejnovější kumulativní aktualizaci pro vaši verzi Windows.

Ujistěte se, že je otevřený port 445.

Protokol SMB vyžaduje, aby byl otevřený port TCP 445. Pokud je port 445 zablokovaný, připojení selžou. Pomocí rutiny Test-NetConnection PowerShell můžete zkontrolovat, jestli brána firewall nebo ISP neblokují port 445. Další informace najdete v tématu o zablokování portu 445.

Pokud chcete připojit sdílenou složku Azure přes protokol SMB mimo Azure bez otevření portu 445, můžete použít síť VPN typu point-to-site.

Aby bylo možné použít sdílenou složku Azure prostřednictvím veřejného koncového bodu mimo oblast Azure, ve které je hostovaná, například místně nebo v jiné oblasti Azure, musí operační systém podporovat protokol SMB 3.x. Starší verze Windows, které podporují jenom protokol SMB 2.1, nemůžou připojit sdílené složky Azure přes veřejný koncový bod.

Použití ověřování založeného na identitě

Pokud chcete zlepšit zabezpečení a řízení přístupu, můžete nakonfigurovat ověřování na základě identit a připojení klientů k doméně. To vám umožní používat active directory nebo identitu Microsoft Entra pro přístup ke sdílené složce místo použití klíče účtu úložiště.

Než budete moct připojit sdílenou složku Azure pomocí ověřování založeného na identitě, musíte provést následující:

  • Přiřaďte oprávnění na úrovni sdílené složkya nakonfigurujte oprávnění adresáře a na úrovni souborů. Mějte na paměti, že přiřazení role na úrovni sdílené složky může nějakou dobu trvat.
  • Pokud připojujete sdílenou složku z klienta, který se dříve připojil ke sdílené složce pomocí klíče účtu úložiště, ujistěte se, že nejprve odpojíte sdílenou složku a odeberete trvalé přihlašovací údaje klíče účtu úložiště. Pokyny k odebrání přihlašovacích údajů uložených v mezipaměti a odstranění existujících připojení SMB před inicializací nového připojení se službou Active Directory Domain Services (AD DS) nebo přihlašovacími údaji Microsoft Entra postupujte podle dvou kroků v nejčastějších dotazech.
  • Pokud je zdrojem AD DS nebo Microsoft Entra Kerberos, váš klient musí mít bezproblémové síťové připojení k vašemu AD DS. Pokud je váš počítač nebo virtuální počítač mimo síť spravovanou vaší službou AD DS, musíte povolit vpn, aby se mohla připojit ke službě AD DS kvůli ověřování.
  • Přihlaste se k klientovi pomocí přihlašovacích údajů služby AD DS nebo identity Microsoft Entra, ke které jste udělili oprávnění.

Pokud narazíte na problémy, přečtěte si téma Nejde připojit sdílené složky Azure s přihlašovacími údaji AD.

Použít sdílenou složku Azure s Windows

Pokud chcete používat sdílenou složku Azure s Windows, musíte ji buď připojit, což znamená přiřadit jí písmeno disku nebo cestu k přípojnému bodu, nebo k ní přistupovat přes její cestu UNC. Tokeny sdíleného přístupového podpisu (SAS) se v současné době nepodporují pro připojení sdílených složek Azure.

Poznámka:

Běžným vzorem pro zvedání a přesouvání obchodních aplikací (LOB), které očekávají sdílenou složku SMB do Azure, je použití sdílené složky Azure jako alternativy pro spuštění vyhrazeného souborového serveru s Windows na virtuálním počítači Azure. Jedním z důležitých aspektů úspěšné migrace LOB aplikace pro použití sdílené složky Azure je, že mnoho aplikací běží v kontextu vyhrazeného účtu služby s omezenými systémovými oprávněními, nikoli pod administrativním účtem VM. Proto je potřeba zajistit připojení a uložení přihlašovacích údajů pro sdílenou složku Azure z kontextu účtu služby, a nikoli účtu správce.

Připojte souborové úložiště Azure

Sdílenou složku Azure SMB můžete připojit ve Windows pomocí Azure portalu nebo Azure PowerShellu.

Pokud chcete připojit sdílenou složku Azure pomocí webu Azure Portal, postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Přejděte do účtu úložiště, který obsahuje sdílenou složku, kterou chcete připojit.

  3. Vyberte Sdílené složky.

  4. Vyberte sdílenou složku, kterou chcete připojit.

    Snímek obrazovky s panelem pro sdílené soubory, kde je zvýrazněno sdílení souborů.

  5. Vyberte Připojit.

    Snímek obrazovky s ikonou připojení sdílené složky

  6. Vyberte písmeno jednotky, ke které chcete sdílenou složku připojit.

  7. V části Metoda ověřování vyberte Active Directory nebo Microsoft Entra. Pokud se zobrazí zpráva, že pro váš účet úložiště není nakonfigurované ověřování založené na identitě, nakonfigurujte ji na základě jedné z metod popsaných v přehledu ověřování na základě identity a zkuste sdílenou složku připojit znovu.

  8. Vyberte Zobrazit skript a zkopírujte zadaný skript.

    Snímek obrazovky okna Připojit, tlačítko Kopírovat ve skriptu je zvýrazněno.

  9. Vložte skript do konzole na serveru, který chcete připojit ke sdílenému disku, a spusťte ho.

Nyní jste připojili sdílené úložiště Azure.

Připojení sdílené složky Azure pomocí příkazového řádku Windows

Také můžete použít příkaz net use z příkazového řádku systému Windows k připojení sdílené složky.

Připojení sdílené složky z virtuálního počítače připojeného k doméně

Pokud chcete připojit sdílenou složku z virtuálního počítače připojeného k doméně, spusťte z příkazového řádku Windows následující příkaz. Nezapomeňte nahradit <YourStorageAccountName> a <FileShareName> použít vlastní hodnoty.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Připojení sdílené složky z virtuálního počítače, který není připojený k doméně, nebo virtuálního počítače připojeného k jiné doméně AD

Pokud je váš zdroj AD místní nasazení AD DS, pak virtuální počítače, které nejsou připojeny k doméně, nebo virtuální počítače připojené k jiné doméně AD než je účet úložiště, mohou přistupovat ke sdíleným složkám Azure, pokud mají neomezené síťové připojení k řadičům domény AD a poskytují explicitní přihlašovací údaje. Uživatel, který přistupuje ke sdílené složce, musí mít identitu a přihlašovací údaje v doméně AD, ke které je účet úložiště připojený.

Pokud je zdrojem služby AD Služba Microsoft Entra Domain Services, musí mít klient nerušené síťové připojení k řadičům domény Microsoft Entra Domain Services, což vyžaduje nastavení VPN typu site-to-site nebo point-to-site. Uživatel, který přistupuje ke sdílené složce, musí mít identitu (identitu Microsoft Entra synchronizovanou z MICROSOFT Entra ID do služby Microsoft Entra Domain Services) ve spravované doméně Microsoft Entra Domain Services.

Pokud chcete připojit sdílenou složku z virtuálního počítače, který není připojený k doméně, použijte notaci username@domainFQDN, kde domainFQDN je plně kvalifikovaný název domény, aby klient mohl kontaktovat řadič domény, požádat o Kerberos tickets a přijímat je. Hodnotu doményFQDN můžete získat spuštěním (Get-ADDomain).Dnsroot v Active Directory PowerShellu.

Například:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Pokud je zdrojem SLUŽBY AD služba Microsoft Entra Domain Services, můžete také zadat přihlašovací údaje, jako je DOMAINNAME\username , kde DOMAINNAME je doména služby Microsoft Entra Domain Services a uživatelské jméno je uživatelské jméno identity ve službě Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Azure Portal poskytuje skript PowerShellu, který můžete použít k připojení sdílené složky přímo k hostiteli pomocí klíče účtu úložiště. Z bezpečnostních důvodů ale doporučujeme místo klíče účtu úložiště používat ověřování založené na identitě. Pokud musíte použít klíč účtu úložiště, postupujte podle pokynů k připojení, ale v části Metoda ověřování vyberte klíč účtu úložiště.

Klíč účtu úložiště je klíč správce pro účet úložiště, včetně oprávnění správce ke všem souborům a složkám v rámci sdílené složky, ke které přistupujete, a pro všechny sdílené složky a další prostředky úložiště (objekty blob, fronty, tabulky atd.) obsažené v účtu úložiště. Klíč účtu úložiště najdete na webu Azure Portal tak, že přejdete na účet úložiště a vyberete Přístupové klíče zabezpečení a sítě>, nebo můžete použít rutinu PowerShellu.Get-AzStorageAccountKey

Připojte sdílenou složku Azure pomocí Průzkumníka souborů

  1. Otevřete Průzkumník souborů tak, že ho otevřete z nabídky Start nebo stisknete klávesovou zkratku Win+E.

  2. Přejděte na Tento počítač na levé straně okna. Tím se změní nabídky, které jsou dostupné na pásu karet. V nabídce Počítač vyberte Namapovat síťovou jednotku.

    Snímek obrazovky s rozevírací nabídkou Mapovat síťovou jednotku

  3. Vyberte písmeno jednotky a zadejte cestu UNC ke sdílené složce Azure. Formát cesty UNC je \\<storageAccountName>.file.core.windows.net\<fileShareName>. Například: \\anexampleaccountname.file.core.windows.net\file-share-name. Zaškrtněte políčko Připojit pomocí různých přihlašovacích údajů . Vyberte Dokončit.

    Snímek obrazovky s dialogovým oknem Mapovat síťovou jednotku

  4. Vyberte Další možnosti>Použít jiný účet. V části E-mailová adresa použijte název účtu úložiště a jako heslo použijte klíč účtu úložiště. Vyberte OK.

    Snímek obrazovky dialogového okna s přihlašovacími údaji sítě s výběrem jiného účtu

  5. Používejte sdílenou složku Azure, jak potřebujete.

    Snímek obrazovky znázorňující, že sdílená složka Azure je teď připojená

  6. Až budete připraveni sdílenou složku Azure odpojit, klikněte pravým tlačítkem myši na položku sdílené složky v umístěních v síti v Průzkumník souborů a vyberte Odpojit.

Poznámka:

Azure Files nepodporuje překlad SID na hlavní název uživatele (UPN) pro uživatele a skupiny z nečlenského virtuálního počítače nebo virtuálního počítače připojeného k jiné doméně pomocí Průzkumníka souborů Windows. Pokud chcete zobrazit vlastníky souborů, adresářů nebo zobrazit nebo upravit oprávnění NTFS prostřednictvím Průzkumníka souborů Windows, můžete to udělat jenom z virtuálních počítačů připojených k doméně.

Přístup ke sdílené složce Azure prostřednictvím cesty UNC

Nemusíte připojit sdílenou složku Azure k písmenu jednotky, abyste ji mohli použít. Ke svému sdílenému úložišti Azure můžete přistupovat přímo pomocí UNC cesty zadáním následujícího v Průzkumníku souborů. Nezapomeňte nahradit název účtu úložiště názvem vašeho účtu úložiště a myfileshare názvem sdílené složky:

\\storageaccountname.file.core.windows.net\myfileshare

Zobrazí se výzva, abyste se přihlásili pomocí svých síťových přihlašovacích údajů. Přihlaste se pomocí předplatného Azure, ve kterém jste vytvořili účet úložiště a sdílenou složku. Pokud se nezobrazí výzva k zadání přihlašovacích údajů, můžete přihlašovací údaje přidat pomocí následujícího příkazu:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

V případě cloudu Azure Government změňte název serveru na:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Připojte sdílené složky pomocí vlastních doménových jmen

Pokud nechcete připojit sdílené složky Azure pomocí přípony file.core.windows.net, můžete upravit příponu názvu účtu úložiště přidruženého ke sdílené složce Azure a pak přidat záznam CNAME (Canonical Name) pro směrování nové přípony do koncového bodu účtu úložiště. Následující pokyny platí jenom pro jednodoménová prostředí. Informace o konfiguraci prostředí se dvěma nebo více doménovými strukturami najdete v Použití služby Azure Files s více doménovými strukturami Active Directory.

Poznámka:

Azure Files podporuje konfiguraci CNAMES pouze pomocí názvu účtu úložiště jako předpony domény. Pokud nechcete jako předponu použít název účtu úložiště, zvažte použití oborů názvů DFS.

V tomto příkladu máme doménu služby Active Directory onpremad1.com a máme účet úložiště s názvem mystorageaccount , který obsahuje sdílené složky Smb Azure. Nejprve musíme upravit příponu hlavního názvu služby (SPN) účtu úložiště tak, aby mapovat mystorageaccount.onpremad1.com na mystorageaccount.file.core.windows.net.

Sdílenou složku net use \\mystorageaccount.onpremad1.com můžete připojit, protože klienti v onpremad1 vědí, že mají hledat na onpremad1.com, aby našli správný prostředek pro tento účet pro úložiště.

Pokud chcete použít tuto metodu, proveďte následující kroky:

  1. Ujistěte se, že jste nastavili ověřování na základě identity. Pokud je vaším zdrojem AD DS nebo Microsoft Entra Kerberos, ujistěte se, že jste synchronizovali vaše uživatelské účty AD s Microsoft Entra ID.

  2. Upravte hlavní název služby (SPN) účtu úložiště pomocí setspn tohoto nástroje. Najdete <DomainDnsRoot> ho spuštěním následujícího příkazu Active Directory PowerShellu: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Přidejte položku CNAME pomocí Správce DNS služby Active Directory. Pokud používáte privátní koncový bod, přidejte položku CNAME mapující na jeho název.

    1. Otevřete Správce DNS služby Active Directory.
    2. Přejděte do své domény (například onpremad1.com).
    3. Přejděte na "Dopředné zóny vyhledávání".
    4. Vyberte uzel pojmenovaný po vaší doméně (například onpremad1.com) a klikněte pravým tlačítkem na Nový alias (CNAME).
    5. Jako název aliasu zadejte název účtu úložiště.
    6. Jako plně kvalifikovaný název domény (FQDN) zadejte <storage-account-name>.<domain-name>, například mystorageaccount.onpremad1.com. Část hostname plně kvalifikovaného názvu domény musí odpovídat názvu účtu úložiště. Pokud název hostitele neodpovídá názvu účtu úložiště, připojení selže s chybou odepření přístupu.
    7. Jako plně kvalifikovaný název domény cílového hostitele zadejte <storage-account-name>.file.core.windows.net
    8. Vyberte OK.

Teď byste měli být schopni připojit sdílenou složku pomocí storageaccount.domainname.com.

Další kroky

Další informace o službě Soubory Azure najdete na těchto odkazech:

  • Last updated on