Bereitstellen einer Azure-Dateifreigabe

  • Artikel

Stellen Sie sicher, dass Sie Konfigurieren von Berechtigungen auf Verzeichnis- und Dateiebene über SMB gelesen haben, bevor Sie mit diesem Artikel beginnen.

Mit dem in diesem Artikel beschriebenen Verfahren wird überprüft, ob Ihre SMB-Dateifreigabe und die Zugriffsberechtigungen korrekt eingerichtet sind und ob Sie Ihre SMB Azure-Dateifreigabe einbinden können. Beachten Sie, dass es einige Zeit dauern kann, bis die Rollenzuweisung auf Freigabeebene wirksam wird.

Melden Sie sich beim Client mit den Anmeldeinformationen der Identität an, der Sie Berechtigungen erteilt haben.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Yes No
Standard-Dateifreigaben (GPv2), GRS/GZRS Yes No
Premium-Dateifreigaben (FileStorage), LRS/ZRS Yes No

Voraussetzungen für die Einbindung

Bevor Sie die Azure-Dateifreigabe einbinden können, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  • Wenn Sie die Dateifreigabe von einem Client einbinden, der zuvor die Dateifreigabe mithilfe Ihres Speicherkontoschlüssels verbunden war, müssen Sie die Freigabe zunächst entkoppeln, die persistenten Anmeldeinformationen des Speicherkontoschlüssels entfernen und AD DS-Anmeldeinformationen für die Authentifizierung verwenden. Anweisungen zum Entfernen zwischengespeicherter Anmeldeinformationen mit dem Speicherkontoschlüssel und zum Löschen vorhandener SMB-Verbindungen vor dem Herstellen einer neuen Verbindung mit AD DS- oder Microsoft Entra-Anmeldeinformationen finden Sie auf der Seite mit häufig gestellten Fragen.
  • Ihr Client muss über eine uneingeschränkte Netzwerkverbindung mit Ihrer AD DS-Instanz verfügen. Wenn Ihr Computer oder Ihre VM sich außerhalb des Netzwerks befindet, das von Ihrer AD DS-Instanz verwaltet wird, müssen Sie VPN aktivieren, um AD DS für die Authentifizierung erreichen zu können.

Einbinden der Dateifreigabe über einen in die Domäne eingebundenen virtuellen Computer

Führen Sie das PowerShell-Skript unten aus, oder verwenden Sie das Azure-Portal, um die Azure-Dateifreigabe dauerhaft einzubinden und sie unter Windows dem Laufwerk „Z:“ zuzuordnen. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Das Skript überprüft, ob auf dieses Speicherkonto über den TCP-Port 445 zugegriffen werden kann, der für SMB verwendet wird. Denken Sie daran, die Platzhalterwerte durch Ihre eigenen Werte zu ersetzen. Weitere Informationen finden Sie unter Verwenden einer Azure-Dateifreigabe mit Windows.

Sofern Sie keine benutzerdefinierten Domänennamen verwenden, sollten Sie Azure-Dateifreigaben mit dem Suffix file.core.windows.net einbinden, auch wenn Sie einen privaten Endpunkt für Ihre Freigabe eingerichtet haben.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Zum Einbinden der Dateifreigabe können Sie auch den net-use Befehl über eine Windows-Eingabeaufforderung verwenden. Ersetzen Sie <YourStorageAccountName> und <FileShareName> durch Ihre eigenen Werte.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Wenn Probleme auftreten, lesen Sie die Informationen unter Azure-Dateifreigaben mit AD-Anmeldeinformationen können nicht eingebunden werden.

Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer oder einem virtuellen Computer, der einer anderen AD-Domäne hinzugefügt ist

Nicht in die Domäne eingebundene VMs oder VMs, die in eine andere AD-Domäne als das Speicherkonto eingebunden sind, können auf Azure-Dateifreigaben zugreifen, wenn sie eine ungehinderte Netzwerkverbindung zu den Domänencontrollern haben und explizite Anmeldeinformationen (Benutzername und Kennwort) bereitstellen. Benutzer*innen, die auf die Dateifreigabe zugreifen, müssen über eine Identität und Anmeldeinformationen in der AD-Domäne verfügen, in die das Speicherkonto eingebunden ist.

Verwenden Sie zum Einbinden einer Dateifreigabe von einer nicht in die Domäne eingebundenen VM die Notation benutzername@domaenenFQDN, wobei domaenenFQDN der vollqualifizierte Domänenname ist. Dies ermöglicht es dem Client, sich mit dem Domänencontroller in Verbindung zu setzen, um Kerberos-Tickets anzufordern und zu empfangen. Sie können den Wert von domaenenFQDN abrufen, indem Sie (Get-ADDomain).Dnsroot in Active Directory PowerShell ausführen.

Beispiel:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Hinweis

Azure Files unterstützt nicht die Übersetzung von SIDs in UPNs für Benutzer*innen und Gruppen einer VM, die nicht mit einer Domäne verbunden ist, oder einer VM, die über den Windows Datei-Explorer mit einer anderen Domäne verbunden ist. Wenn Sie die Besitzer*innen von Dateien/Verzeichnissen anzeigen oder NTFS-Berechtigungen über den Windows Datei-Explorer anzeigen/ändern möchten, können Sie dies nur von domänenverbundenen VMs aus tun.

Einbinden von Dateifreigaben mit benutzerdefinierten Domänennamen

Wenn Sie Azure-Dateifreigaben nicht mit dem Suffix file.core.windows.net einbinden möchten, können Sie das Suffix des mit der Azure-Dateifreigabe verknüpften Speicherkontonamens ändern und dann einen CNAME-Eintrag hinzufügen, um das neue Suffix an den Endpunkt des Speicherkontos weiterzuleiten. Die folgenden Anweisungen gelten nur für Umgebungen mit einer einzigen Gesamtstruktur. Wie Sie Umgebungen mit zwei oder mehr Gesamtstrukturen konfigurieren können, erfahren Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.

Hinweis

Azure Files unterstützt nur die Konfiguration von CNAMES unter Verwendung des Namens des Speicherkontos als Domain-Präfix. Wenn Sie den Namen des Speicherkontos nicht als Präfix verwenden möchten, können Sie DFS-Namespaces verwenden.

In diesem Beispiel haben wir die Active Directory-Domäne onpremad1.com, und wir haben ein Speicherkonto namens mystorageaccount, das SMB Azure-Dateifreigaben enthält. Zunächst müssen wir das SPN-Suffix des Speicherkontos ändern, um mystorageaccount.onpremad1.com auf mystorageaccount.file.core.windows.net abzubilden.

Dadurch können die Clients die Freigabe mit net use \\mystorageaccount.onpremad1.com einbinden, da die Clients in onpremad1 wissen, dass sie onpremad1.com durchsuchen müssen, um die richtige Ressource für dieses Speicherkonto zu finden.

Führen Sie die folgenden Schritte aus, um diese Methode zu verwenden:

  1. Stellen Sie sicher, dass Sie die identitätsbasierte Authentifizierung eingerichtet und Ihr(e) AD-Benutzerkonto bzw. -konten mit Microsoft Entra ID synchronisiert haben.

  2. Ändern Sie den SPN des Speicherkontos mithilfe des Tools setspn. Sie können <DomainDnsRoot> ermitteln, indem Sie den folgenden Active Directory-PowerShell-Befehl ausführen: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Fügen Sie mithilfe von Active Directory-DNS-Manager einen CNAME-Eintrag hinzu, und führen Sie die folgenden Schritte für alle Speicherkonten in der Domäne aus, in die das Speicherkonto eingebunden ist. Wenn Sie einen privaten Endpunkt verwenden, fügen Sie den CNAME-Eintrag hinzu, der dem Namen des privaten Endpunkts zugeordnet werden soll.

    1. Öffnen Sie Active Directory-DNS-Manager.
    2. Wechseln Sie zu Ihrer Domäne (z. B. onpremad1.com).
    3. Navigieren Sie zu „Forward-Lookupzonen“.
    4. Wählen Sie den Knoten aus, der nach Ihrer Domäne benannt ist (z. B. onpremad1.com), und klicken Sie mit der rechten Maustaste auf Neuer Alias (CNAME).
    5. Geben Sie als Aliasname den Namen Ihres Speicherkontos ein.
    6. Geben Sie für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) <storage-account-name>.<domain-name> ein, z. B. mystorageaccount.onpremad1.com. Der Teil Hostname des FQDN muss mit dem Namen des Speicherkontos übereinstimmen. Andernfalls erhalten Sie bei der Einrichtung der SMB-Sitzung eine Fehlermeldung, dass der Zugriff verweigert wurde.
    7. Geben Sie als FQDN des Zielhosts <storage-account-name>.file.core.windows.net ein.
    8. Klickan Sie auf OK.

Sie sollten nun in der Lage sein, die Dateifreigabe über storageaccount.domainname.com einzubinden. Sie können die Dateifreigabe auch über den Schlüssel des Speicherkontos einbinden.

Nächste Schritte

Wenn sich die Identität, die Sie in AD DS zur Darstellung des Speicherkontos erstellt haben, in einer Domäne oder Organisationseinheit befindet, die die Kennwortrotation erzwingt, müssen Sie möglicherweise das Kennwort Ihrer Speicherkontoidentität in AD DS aktualisieren.