Freigeben über


Einbinden einer SMB Azure-Dateifreigabe

Mit dem in diesem Artikel beschriebenen Verfahren wird überprüft, ob Ihre SMB-Dateifreigabe und die Zugriffsberechtigungen korrekt eingerichtet sind und ob Sie Ihre SMB Azure-Dateifreigabe einbinden können.

Gilt für:

Verwaltungsmodell Abrechnungsmodell Medienebene Redundanz KMU NFS (falls abgekürzt von Network File System gemeint)
Microsoft.Storage Bereitgestellt v2 HDD (Standard) Lokal (LRS) Ja Nein
Microsoft.Storage Bereitgestellt v2 HDD (Standard) Zone (ZRS) Ja Nein
Microsoft.Storage Bereitgestellt v2 HDD (Standard) Geo (GRS) Ja Nein
Microsoft.Storage Bereitgestellt v2 HDD (Standard) GeoZone (GZRS) Ja Nein
Microsoft.Storage Bereitgestellt v1 SSD (Premium) Lokal (LRS) Ja Nein
Microsoft.Storage Bereitgestellt v1 SSD (Premium) Zone (ZRS) Ja Nein
Microsoft.Storage Nutzungsbasierte Bezahlung HDD (Standard) Lokal (LRS) Ja Nein
Microsoft.Storage Nutzungsbasierte Bezahlung HDD (Standard) Zone (ZRS) Ja Nein
Microsoft.Storage Nutzungsbasierte Bezahlung HDD (Standard) Geo (GRS) Ja Nein
Microsoft.Storage Nutzungsbasierte Bezahlung HDD (Standard) GeoZone (GZRS) Ja Nein

Montagevoraussetzungen

Bevor Sie die Azure-Dateifreigabe einbinden können, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Stellen Sie sicher, dass Sie Berechtigungen auf Freigabeebene zuweisen und Berechtigungen auf Verzeichnis- und Dateiebene konfigurieren. Beachten Sie, dass es einige Zeit dauern kann, bis die Rollenzuweisung auf Freigabeebene wirksam wird.
  • Wenn Sie die Dateifreigabe von einem Client einbinden, der zuvor mit der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels verbunden war, müssen Sie die Freigabe zunächst trennen und die persistenten Anmeldeinformationen des Speicherkontoschlüssels entfernen. Anweisungen zum Entfernen zwischengespeicherter Anmeldeinformationen und zum Löschen vorhandener SMB-Verbindungen vor dem Herstellen einer neuen Verbindung mit Active Directory Domain Services (AD DS)- oder Microsoft Entra-Anmeldeinformationen finden Sie auf der FAQ-Seite zum Zwei-Schritt-Prozess.
  • Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, benötigt Ihr Client unbehinderte Netzwerkkonnektivität mit Ihrem AD DS. Wenn Sich Ihr Computer oder Ihre VM außerhalb des netzwerks befindet, das von Ihrem AD DS verwaltet wird, müssen Sie VPN aktivieren, um AD DS für die Authentifizierung zu erreichen.
  • Melden Sie sich beim Client mit den Anmeldeinformationen der AD DS- oder Microsoft Entra-Identität an, für die Sie Berechtigungen erteilt haben.

Einbinden der Dateifreigabe über einen in die Domäne eingebundenen virtuellen Computer

Führen Sie das folgende PowerShell-Skript aus, oder verwenden Sie das Azure-Portal , um die Azure-Dateifreigabe dauerhaft bereitzustellen und sie laufwerksbasiertem Laufwerk Z: (oder dem gewünschten Bereitstellungspfad) unter Windows zuzuordnen. Da Sie bereits authentifiziert sind, müssen Sie den Speicherkontoschlüssel nicht angeben. Das Skript überprüft, ob auf dieses Speicherkonto über TCP-Port 445 zugegriffen werden kann. Dies ist der Port-SMB. Denken Sie daran, die Platzhalterwerte durch Ihre eigenen Werte zu ersetzen. Weitere Informationen finden Sie unter Verwenden einer Azure-Dateifreigabe mit Windows.

Sofern Sie keine benutzerdefinierten Domänennamen verwenden, sollten Sie Azure-Dateifreigaben mit dem Suffix file.core.windows.net einbinden, auch wenn Sie einen privaten Endpunkt für Ihre Freigabe eingerichtet haben.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Zum Einbinden der Dateifreigabe können Sie auch den net use Befehl über eine Windows-Eingabeaufforderung verwenden. Ersetzen Sie <YourStorageAccountName> und <FileShareName> durch Ihre eigenen Werte.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Wenn Probleme auftreten, lesen Sie die Informationen unter Azure-Dateifreigaben mit AD-Anmeldeinformationen können nicht eingebunden werden.

Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer oder einen virtuellen Computer, der in eine andere AD-Domäne eingebunden ist

Wenn Ihre AD-Quelle ein lokales AD DS ist, können nicht in die Domäne eingebundene VMs oder VMs, die mit einer anderen AD-Domäne als das Speicherkonto verbunden sind, auf Azure-Dateifreigaben zugreifen, wenn sie unbehinderte Netzwerkkonnektivität zu den AD-Domänencontrollern haben und explizite Anmeldeinformationen bereitstellen. Benutzer*innen, die auf die Dateifreigabe zugreifen, müssen über eine Identität und Anmeldeinformationen in der AD-Domäne verfügen, in die das Speicherkonto eingebunden ist.

Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, muss der Client über eine unbehinderte Netzwerkkonnektivität mit den Domänencontrollern für Microsoft Entra Domain Services verfügen, was die Einrichtung eines Site-to-Site- oder Point-to-Site-VPN erfordert. Der Benutzer, der auf die Dateifreigabe zugreift, muss über eine Identität (eine Microsoft Entra-Identität, die von Microsoft Entra ID mit Microsoft Entra Domain Services synchronisiert wird) in der verwalteten Microsoft Entra Domain Services-Domäne verfügen.

Um eine Dateifreigabe von einer nicht in die Domäne eingebundenen VM einzubinden, verwenden Sie die Notation Benutzername@DomäneFQDN, wobei DomäneFQDN der vollqualifizierte Domänenname ist, damit der Client den Domänencontroller kontaktieren kann, um Kerberos-Tickets anzufordern und zu erhalten. Sie können den Wert von domaenenFQDN abrufen, indem Sie (Get-ADDomain).Dnsroot in Active Directory PowerShell ausführen.

Zum Beispiel:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, können Sie Anmeldeinformationen wie DOMAINNAME\username bereitstellen, wobei DOMAINNAME die Microsoft Entra Domain Services-Domäne und username der Benutzernamen der Identität in Microsoft Entra Domain Services ist:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Hinweis

Azure Files unterstützt nicht die Übersetzung von SIDs in UPNs für Benutzer*innen und Gruppen einer VM, die nicht mit einer Domäne verbunden ist, oder einer VM, die über den Windows Datei-Explorer mit einer anderen Domäne verbunden ist. Wenn Sie die Besitzer von Dateien/Verzeichnissen anzeigen oder NTFS-Berechtigungen über den Windows-Datei-Explorer anzeigen/ändern möchten, können Sie dies nur von in eine Domäne eingebundenen VMs aus tun.

Einbinden von Dateifreigaben mit benutzerdefinierten Domänennamen

Wenn Sie Azure-Dateifreigaben nicht mit dem Suffix file.core.windows.net einbinden möchten, können Sie das Suffix des mit der Azure-Dateifreigabe verknüpften Speicherkontonamens ändern und dann einen CNAME-Eintrag hinzufügen, um das neue Suffix an den Endpunkt des Speicherkontos weiterzuleiten. Die folgenden Anweisungen gelten nur für Umgebungen mit einer einzigen Gesamtstruktur. Wie Sie Umgebungen mit zwei oder mehr Gesamtstrukturen konfigurieren können, erfahren Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.

Hinweis

Azure Files unterstützt nur die Konfiguration von CNAMES unter Verwendung des Namens des Speicherkontos als Domain-Präfix. Wenn Sie den Namen des Speicherkontos nicht als Präfix verwenden möchten, können Sie DFS-Namespaces verwenden.

In diesem Beispiel haben wir die Active Directory-Domäne onpremad1.com, und wir haben ein Speicherkonto namens mystorageaccount, das SMB Azure-Dateifreigaben enthält. Zunächst müssen wir das SPN-Suffix des Speicherkontos ändern, um mystorageaccount.onpremad1.com auf mystorageaccount.file.core.windows.net abzubilden.

Sie können die Dateifreigabe mit net use \\mystorageaccount.onpremad1.com einbinden, da Clients in onpremad1 wissen, dass sie onpremad1.com durchsuchen müssen, um die richtige Ressource für dieses Speicherkonto zu finden.

Führen Sie die folgenden Schritte aus, um diese Methode zu verwenden:

  1. Stellen Sie sicher, dass Sie die identitätsbasierte Authentifizierung einrichten. Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, stellen Sie sicher, dass Sie Ihre AD-Benutzerkonten mit Microsoft Entra-ID synchronisiert haben.

  2. Ändern Sie den SPN des Speicherkontos mithilfe des Tools setspn. Sie können <DomainDnsRoot> ermitteln, indem Sie den folgenden Active Directory-PowerShell-Befehl ausführen: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
    
  3. Fügen Sie einen CNAME-Eintrag mit Active Directory DNS Manager hinzu. Wenn Sie einen privaten Endpunkt verwenden, fügen Sie den CNAME-Eintrag hinzu, der dem Namen des privaten Endpunkts zugeordnet werden soll.

    1. Öffnen Sie Active Directory-DNS-Manager.
    2. Wechseln Sie zu Ihrer Domäne (z. B. onpremad1.com).
    3. Navigieren Sie zu „Forward-Lookup-Zonen“.
    4. Wählen Sie den Knoten aus, der nach Ihrer Domäne benannt ist (z. B. onpremad1.com), und klicken Sie mit der rechten Maustaste auf Neuer Alias (CNAME).
    5. Geben Sie als Aliasname den Namen Ihres Speicherkontos ein.
    6. Geben Sie für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) <storage-account-name>.<domain-name> ein, z. B. mystorageaccount.onpremad1.com. Der Teil Hostname des FQDN muss mit dem Namen des Speicherkontos übereinstimmen. Wenn der Hostname nicht mit dem Namen des Speicherkontos übereinstimmt, schlägt die Bereitstellung mit einem Fehler "Zugriff verweigert" fehl.
    7. Geben Sie als FQDN des Zielhosts <storage-account-name>.file.core.windows.net ein.
    8. Klickan Sie auf OK.

Sie sollten nun in der Lage sein, die Dateifreigabe über storageaccount.domainname.com einzubinden. Sie können die Dateifreigabe auch über den Schlüssel des Speicherkontos einbinden.

Nächster Schritt

Wenn sich die Identität, die Sie in AD DS zur Repräsentation des Speicherkontos erstellt haben, in einer Domäne oder OU befindet, die die Kennwortrotation erzwingt, müssen Sie das Kennwort Ihrer Speicherkontoidentität in AD DS regelmäßig aktualisieren.