Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ SMB Azure-Dateifreigaben
Azure Files ist das benutzerfreundliche Clouddateisystem von Microsoft. In diesem Artikel erfahren Sie, wie Sie eine SMB Azure-Dateifreigabe auf Windows und Windows Server einbinden.
Azure Files unterstützt SMB Multichannel nur auf SSD-Dateifreigaben.
| Windows-Version | SMB-Version | Azure Files SMB Multichannel | Maximale SMB-Kanalverschlüsselung |
|---|---|---|---|
| Windows Server 2025 | SMB 3.1.1 | Ja | AES-256-GCM |
| Windows 11, Version 24H2 | SMB 3.1.1 | Ja | AES-256-GCM |
| Windows 11, Version 23H2 | SMB 3.1.1 | Ja | AES-256-GCM |
| Windows 11, Version 22H2 | SMB 3.1.1 | Ja | AES-256-GCM |
| Windows 10, Version 22H2 | SMB 3.1.1 | Ja | AES-128-GCM |
| Windows Server 2022 | SMB 3.1.1 | Ja | AES-256-GCM |
| Windows 11, Version 21H2 | SMB 3.1.1 | Ja | AES-256-GCM |
| Windows 10, Version 21H2 | SMB 3.1.1 | Ja | AES-128-GCM |
| Windows 10, Version 21H1 | SMB 3.1.1 | Ja, mit KB5003690 oder neuer | AES-128-GCM |
| Windows Server, Version 20H2 | SMB 3.1.1 | Ja, mit KB5003690 oder neuer | AES-128-GCM |
| Windows 10, Version 20H2 | SMB 3.1.1 | Ja, mit KB5003690 oder neuer | AES-128-GCM |
| Windows Server, Version 2004 | SMB 3.1.1 | Ja, mit KB5003690 oder neuer | AES-128-GCM |
| Windows 10, Version 2004 | SMB 3.1.1 | Ja, mit KB5003690 oder neuer | AES-128-GCM |
| Windows Server 2019 | SMB 3.1.1 | Ja, mit KB5003703 oder neuer | AES-128-GCM |
| Windows 10, Version 1809 | SMB 3.1.1 | Ja, mit KB5003703 oder neuer | AES-128-GCM |
| Windows Server 2016 | SMB 3.1.1 | Ja, mit KB5004238 oder neuer und angewendetem Registrierungsschlüssel | AES-128-GCM |
| Windows 10, Version 1607 | SMB 3.1.1 | Ja, mit KB5004238 oder neuer und angewendetem Registrierungsschlüssel | AES-128-GCM |
| Windows 10, Version 1507 | SMB 3.1.1 | Ja, mit KB5004249 oder neuer und angewendetem Registrierungsschlüssel | AES-128-GCM |
| Windows Server 2012 R21 | SMB 3.0 | Nein | AES-128-CCM |
| Windows Server 20121 | SMB 3.0 | Nein | AES-128-CCM |
| Windows 8.12 | SMB 3.0 | Nein | AES-128-CCM |
| Windows Server 2008 R22 | SMB 2.1 | Nein | Nicht unterstützt |
| Windows 72 | SMB 2.1 | Nein | Nicht unterstützt |
1Der reguläre Microsoft-Support für Windows Server 2012 und Windows Server 2012 R2 wurde beendet. Es ist möglich, zusätzlichen Support nur für Sicherheitsupdates über das ESU-Programm (Extended Security Update) zu erwerben.
2Der reguläre Microsoft-Support für Windows 7, Windows 8 und Windows Server 2008 R2 wurde beendet. Wir empfehlen dringend, von diesen Betriebssystemen wegzumigrieren.
Hinweis
Es empfiehlt sich, die neueste KB für Ihre Windows-Version zu verwenden.
Sicherstellen, dass Port 445 geöffnet ist
Das SMB-Protokoll erfordert, dass TCP-Port 445 geöffnet ist. Die Verbindungsherstellungen sind nicht erfolgreich, wenn Port 445 blockiert ist. Mit dem PowerShell-Cmdlet Test-NetConnection können Sie überprüfen, ob Ihre Firewall oder Ihr Internetdienstanbieter den Port 445 blockiert. Weitere Informationen finden Sie unter Port 445 ist blockiert.
Wenn Sie Ihre Azure-Dateifreigabe über SMB von außerhalb von Azure bereitstellen möchten, ohne Port 445 zu öffnen, können Sie ein Point-to-Site-VPN verwenden.
Wenn Sie eine Azure-Dateifreigabe über den öffentlichen Endpunkt außerhalb der Azure-Region verwenden möchten, in der sie gehostet wird (beispielsweise lokal oder in einer anderen Azure-Region), muss das Betriebssystem SMB 3.x unterstützen. Ältere Versionen von Windows, die nur SMB 2.1 unterstützen, können Azure-Dateifreigaben nicht über den öffentlichen Endpunkt einbinden.
Verwenden der identitätsbasierten Authentifizierung
Um die Sicherheits- und Zugriffssteuerung zu verbessern, können Sie identitätsbasierte Authentifizierung und Domänenbeitritt zu Ihren Clients konfigurieren. Auf diese Weise können Sie Ihre Active Directory- oder Microsoft Entra-Identität verwenden, um auf die Dateifreigabe zuzugreifen, anstatt einen Speicherkontoschlüssel zu verwenden.
Bevor Sie eine Azure-Dateifreigabe mithilfe der identitätsbasierten Authentifizierung einbinden können, müssen Sie Folgendes abschließen:
- Weisen Sie Berechtigungen auf Freigabeebene zu, und konfigurieren Sie Verzeichnis- und Dateiebenenberechtigungen. Beachten Sie, dass es einige Zeit dauern kann, bis die Rollenzuweisung auf Freigabeebene wirksam wird.
- Wenn Sie die Dateifreigabe von einem Client einbinden, der zuvor mit der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels verbunden war, müssen Sie die Freigabe zunächst trennen und die persistenten Anmeldeinformationen des Speicherkontoschlüssels entfernen. Anweisungen zum Entfernen zwischengespeicherter Anmeldeinformationen und zum Löschen vorhandener SMB-Verbindungen, bevor Sie eine neue Verbindung mit Active Directory Domain Services (AD DS) oder Microsoft Entra-Anmeldeinformationen initialisieren, finden Sie im zweistufigen Prozess auf der FAQ.
- Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, muss Ihr Client uneingeschränkte Netzwerkkonnektivität mit Ihrem AD DS haben. Wenn Sich Ihr Computer oder Ihre VM außerhalb des netzwerks befindet, das von Ihrem AD DS verwaltet wird, müssen Sie VPN aktivieren, um AD DS für die Authentifizierung zu erreichen.
- Melden Sie sich mit den Anmeldeinformationen der AD DS- oder Microsoft Entra-Identität, für die Sie Berechtigungen erteilt haben, beim Client an.
Wenn Probleme auftreten, lesen Sie die Informationen unter Azure-Dateifreigaben mit AD-Anmeldeinformationen können nicht eingebunden werden.
Azure-Dateifreigabe unter Windows verwenden
Zum Verwenden einer Azure-Dateifreigabe mit Windows müssen Sie diese entweder einbinden, d. h. ihr einen Laufwerkbuchstaben oder Bereitstellungspunktpfad zuweisen, oder über ihren UNC-Pfad darauf zugreifen. SAS-Token (Shared Access Signature) werden derzeit nicht für die Einbindung von Azure-Dateifreigaben unterstützt.
Hinweis
Ein allgemeines Muster für das Migrieren von Branchenanwendungen per Lift & Shift, die eine SMB-Dateifreigabe an Azure erwarten, ist die Verwendung einer Azure-Dateifreigabe als Alternative für die Ausführung eines dedizierten Windows-Dateiservers auf einer Azure-VM. Ein wichtiger Aspekt für die erfolgreiche Migration einer Branchenanwendung zur Verwendung einer Azure-Dateifreigabe ist, dass viele Anwendungen im Kontext eines dedizierten Dienstkontos mit begrenzten Berechtigungen anstatt des VM-Administratorkontos ausgeführt werden. Daher müssen Sie sicherstellen, dass Sie die Anmeldeinformationen für die Azure-Dateifreigabe aus dem Kontext des Dienstkontos und nicht Ihres Administratorkontos einbinden/speichern.
Einbinden der Azure-Dateifreigabe
Sie können eine SMB-Azure-Dateifreigabe unter Windows über das Azure-Portal oder Azure PowerShell einbinden.
Führen Sie die folgenden Schritte aus, um eine Azure-Dateifreigabe im Azure-Portal bereitzustellen:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu dem Speicherkonto, das die Dateifreigabe enthält, die Sie einbinden möchten.
Klicken Sie auf Dateifreigaben.
Wählen Sie die Dateifreigabe aus, die Sie einbinden möchten.
Wählen Sie Verbinden.
Wählen Sie den Laufwerkbuchstaben aus, unter dem die Freigabe eingebunden werden soll.
Wählen Sie unter der AuthentifizierungsmethodeActive Directory oder Microsoft Entra aus. Sollten Sie eine Meldung erhalten, dass die identitätsbasierte Authentifizierung für Ihr Speicherkonto nicht konfiguriert ist, konfigurieren Sie diese anhand einer der in der Übersicht zur identitätsbasierten Authentifizierung beschriebenen Methoden und versuchen Sie erneut, die Freigabe einzubinden.
Wählen Sie "Skript anzeigen" aus, und kopieren Sie dann das bereitgestellte Skript.
Fügen Sie das Skript in eine Shell auf dem Host ein, auf dem Sie die Dateifreigabe einbinden möchten, und führen Sie es aus.
Sie haben nun ihre Azure-Dateifreigabe eingebunden.
Binden Sie die Azure-Dateifreigabe über die Windows-Befehlszeile ein.
Zum Einbinden der Dateifreigabe können Sie auch den net use Befehl über eine Windows-Eingabeaufforderung verwenden.
Einbinden der Dateifreigabe über einen in die Domäne eingebundenen virtuellen Computer
Um die Dateifreigabe von einer domänengebundenen VM aus einzubinden, führen Sie den folgenden Befehl über eine Windows-Eingabeaufforderung aus. Denken Sie daran, <YourStorageAccountName> und <FileShareName> durch Ihre eigenen Werte zu ersetzen.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer oder einen virtuellen Computer, der in eine andere AD-Domäne eingebunden ist
Wenn Ihre AD-Quelle lokales AD DS ist, können nicht in die Domäne eingebundene VMs oder VMs, die mit einer anderen AD-Domäne verbunden sind als das Speicherkonto, auf Azure-Dateifreigaben zugreifen, wenn sie ungehinderte Netzwerkkonnektivität zu den AD-Domänencontrollern haben und explizite Anmeldeinformationen bereitstellen. Der Benutzer, der auf die Dateifreigabe zugreift, muss über eine Identität und Anmeldeinformationen in der AD-Domäne verfügen, zu der das Speicherkonto beigetreten ist.
Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, muss der Client über uneingeschränkte Netzwerkkonnektivität zu den Domänencontrollern für Microsoft Entra Domain Services verfügen, was die Einrichtung eines Site-to-Site- oder Point-to-Site-VPN erfordert. Der Benutzer, der auf die Dateifreigabe zugreift, muss über eine Identität (eine Microsoft Entra-Identität, die von Microsoft Entra ID mit Microsoft Entra Domain Services synchronisiert wurde) in der verwalteten Domäne von Microsoft Entra Domain Services verfügen.
Verwenden Sie die Notation username@domainFQDN, wobei domainFQDN der vollqualifizierte Domänenname ist, um eine Dateifreigabe von einer nicht domänenverbundenen VM einzubinden. Dadurch kann der Client den Domänencontroller kontaktieren, um Kerberos-Tickets anzufordern und zu empfangen. Sie können den Wert von domainFQDN abrufen, indem Sie (Get-ADDomain).Dnsroot in Active Directory PowerShell ausführen.
Beispiel:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, können Sie auch Anmeldeinformationen wie DOMAINNAME\Benutzername angeben, wobei DOMAINNAME die Domäne "Microsoft Entra Domain Services" und "Benutzername " der Benutzername der Identität in Microsoft Entra Domain Services ist:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Binden Sie die Azure-Dateifreigabe mithilfe des Speicherkontozugriffsschlüssels ein.
Im Azure-Portal wird ein PowerShell-Skript bereitgestellt, mit dem Sie Ihre Dateifreigabe mithilfe des Speicherkontoschlüssels direkt auf einem Host einbinden können. Aus Sicherheitsgründen wird jedoch empfohlen, die identitätsbasierte Authentifizierung anstelle des Speicherkontoschlüssels zu verwenden. Wenn Sie den Speicherkontoschlüssel verwenden müssen, befolgen Sie die Bereitstellungsanweisungen, wählen Sie jedoch unter der Authentifizierungsmethode den Speicherkontoschlüssel aus.
Ein Speicherkontoschlüssel ist ein Administratorschlüssel für ein Speicherkonto, der Administratorberechtigungen für alle Dateien und Ordner in der Dateifreigabe, auf die Sie zugreifen, sowie für alle Dateifreigaben und anderen Speicherressourcen (Blobs, Warteschlangen, Tabellen usw.) in Ihrem Speicherkonto umfasst. Sie finden Ihren Speicherkontoschlüssel im Azure-Portal, indem Sie zum Speicherkonto navigieren und Sicherheits- und> auswählen oder das Get-AzStorageAccountKey PowerShell-Cmdlet verwenden.
Einbinden der Azure-Dateifreigabe über den Explorer
Öffnen Sie den Datei-Explorer, indem Sie ihn über das Startmenü öffnen oder die Win-Taste + E drücken.
Navigieren Sie im linken Fensterbereich zu Dieser PC. Dadurch ändern sich die verfügbaren Menüs auf dem Menüband. Wählen Sie im Menü „Computer“ die Option Netzlaufwerk verbinden aus.
Wählen Sie den Laufwerkbuchstaben aus, und geben Sie den UNC-Pfad zu Ihrer Azure-Dateifreigabe ein. Das UNC-Pfadformat ist
\\<storageAccountName>.file.core.windows.net\<fileShareName>. Beispiel:\\anexampleaccountname.file.core.windows.net\file-share-name. Aktivieren Sie das Kontrollkästchen Mit anderen Anmeldeinformationen anmelden. Wählen Sie Fertig stellen aus.
Wählen Sie Weitere Optionen>Anderes Konto verwenden aus. Verwenden Sie den Speicherkontonamen unter E-Mail-Adresse und einen Speicherkontoschlüssel als Kennwort. Klicken Sie auf OK.
Verwenden Sie die Azure-Dateifreigabe wie gewünscht.
Wenn Sie die Einbindung der Azure-Dateifreigabe wieder aufheben möchten, klicken Sie im Explorer unter Netzwerkadressen mit der rechten Maustaste auf den Eintrag für die Freigabe, und wählen Sie Trennen aus.
Hinweis
Azure Files unterstützt keine SID-zu-UPN-Übersetzung für Benutzer und Gruppen von einer nicht in eine Domäne eingebundenen VM oder einer VM, die über den Windows-Datei-Explorer zu einer anderen Domäne beigetreten ist. Wenn Sie Datei-/Verzeichnisbesitzer anzeigen oder NTFS-Berechtigungen über den Windows-Datei-Explorer anzeigen/ändern möchten, können Sie dies nur über in die Domäne eingebundene VMs tun.
Zugreifen auf eine Azure-Dateifreigabe über den UNC-Pfad
Sie müssen die Azure-Dateifreigabe nicht über einen Laufwerkbuchstaben einbinden, um sie zu verwenden. Sie können mithilfe des UNC-Pfads direkt auf Ihre Azure-Dateifreigabe zugreifen, indem Sie im Datei-Explorer Folgendes eingeben. Ersetzen Sie storageaccountname durch den Namen Ihres Speicherkontos und myfileshare durch den Namen Ihrer Dateifreigabe:
\\storageaccountname.file.core.windows.net\myfileshare
Sie werden aufgefordert, sich mit Ihren Netzwerkanmeldeinformationen anzumelden. Melden Sie sich bei dem Azure-Abonnement an, unter dem Sie das Speicherkonto und die Dateifreigabe erstellt haben. Wenn Sie nicht zur Eingabe von Anmeldeinformationen aufgefordert werden, können Sie die Anmeldeinformationen mit dem folgenden Befehl hinzufügen:
cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey
Für Azure Government Cloud ändern Sie den Servernamen folgendermaßen:
\\storageaccountname.file.core.usgovcloudapi.net\myfileshare
Bereitstellen von Dateifreigaben mit benutzerdefinierten Domänennamen
Wenn Sie Azure-Dateifreigaben nicht mit dem Suffix file.core.windows.netbereitstellen möchten, können Sie das Suffix des Speicherkontonamens ändern, der der Azure-Dateifreigabe zugeordnet ist, und dann einen kanonischen Namen (CNAME)-Eintrag hinzufügen, um das neue Suffix an den Endpunkt des Speicherkontos weiterzuleiten. Die folgenden Anweisungen gelten nur für Einzelforest-Umgebungen. Wie Sie Umgebungen mit zwei oder mehr Gesamtstrukturen konfigurieren können, erfahren Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.
Hinweis
Azure Files unterstützt nur das Konfigurieren von CNAMES mithilfe des Speicherkontonamens als Domänenpräfix. Wenn Sie den Namen des Speicherkontos nicht als Präfix verwenden möchten, sollten Sie DFS-Namespaces verwenden.
In diesem Beispiel haben wir die Active Directory-Domäne onpremad1.com, und wir verfügen über ein Speicherkonto namens "mystorageaccount" , das SMB Azure-Dateifreigaben enthält. Zunächst müssen wir das SPN-Suffix des Speicherkontos ändern, um mystorageaccount.onpremad1.com auf mystorageaccount.file.core.windows.net abzubilden.
Sie können die Dateifreigabe mit net use \\mystorageaccount.onpremad1.com einbinden, da Clients in onpremad1 wissen, dass sie onpremad1.com durchsuchen müssen, um die richtige Ressource für dieses Speicherkonto zu finden.
Führen Sie die folgenden Schritte aus, um diese Methode zu verwenden:
Stellen Sie sicher, dass Sie die identitätsbasierte Authentifizierung einrichten. Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, stellen Sie sicher, dass Sie Ihre AD-Benutzerkonten mit Microsoft Entra-ID synchronisiert haben.
Ändern Sie den SPN des Speicherkontos mithilfe des
setspnTools. Sie können<DomainDnsRoot>finden, indem Sie den folgenden Active Directory PowerShell-Befehl ausführen:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Fügen Sie einen CNAME-Eintrag mit Active Directory DNS Manager hinzu. Wenn Sie einen privaten Endpunkt verwenden, fügen Sie den CNAME-Eintrag hinzu, um dem privaten Endpunktnamen zuzuordnen.
- Öffnen Sie den Active Directory-DNS-Manager.
- Wechseln Sie zu Ihrer Domäne (z. B. onpremad1.com).
- Wechseln Sie zu "Forward Lookup Zones".
- Wählen Sie den Knoten aus, der nach Ihrer Domäne benannt ist (z. B. onpremad1.com), und klicken Sie mit der rechten Maustaste auf "Neuer Alias (CNAME)".
- Geben Sie für den Aliasnamen Ihren Speicherkontonamen ein.
- Geben Sie
<storage-account-name>für den vollqualifizierten Domänennamen (FQDN) .<domain-name>, z. B. mystorageaccount.onpremad1.com ein. Der Hostnamenteil des FQDN muss mit dem Namen des Speicherkontos übereinstimmen. Wenn der Hostname nicht mit dem Namen des Speicherkontos übereinstimmt, schlägt die Bereitstellung mit einem Fehler "Zugriff verweigert" fehl. - Geben Sie
<storage-account-name>.file.core.windows.net für den Zielhost-FQDN ein. - Klicken Sie auf OK.
Sie sollten nun in der Lage sein, die Dateifreigabe über storageaccount.domainname.com einzubinden.
Nächste Schritte
Weitere Informationen zu Azure Files finden Sie unter diesen Links: