Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El proceso descrito en este artículo comprueba que su recurso compartido de archivos SMB y los permisos de acceso se hayan configurado correctamente y que pueda montar su recurso compartido de archivos SMB de Azure.
Se aplica a
| Modelo de administración | Modelo de facturación | Nivel multimedia | Redundancia | SMB | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | Aprovisionado v2 | HDD (estándar) | Local (LRS) |  |
 |
| Microsoft.Storage | Aprovisionado v2 | HDD (estándar) | Zona (ZRS) | |
|
| Microsoft.Storage | Aprovisionado v2 | HDD (estándar) | Geo (GRS) | |
|
| Microsoft.Storage | Aprovisionado v2 | HDD (estándar) | GeoZone (GZRS) | |
|
| Microsoft.Storage | Aprovisionado v1 | SSD (Premium) | Local (LRS) | |
|
| Microsoft.Storage | Aprovisionado v1 | SSD (Premium) | Zona (ZRS) | |
|
| Microsoft.Storage | Pago por uso | HDD (estándar) | Local (LRS) | |
|
| Microsoft.Storage | Pago por uso | HDD (estándar) | Zona (ZRS) | |
|
| Microsoft.Storage | Pago por uso | HDD (estándar) | Geo (GRS) | |
|
| Microsoft.Storage | Pago por uso | HDD (estándar) | GeoZone (GZRS) | |
|
Requisitos previos de montaje
Para poder montar el recurso compartido de archivos de Azure, asegúrese de completar los siguientes requisitos previos:
- Asegúrese de que asigna permisos de nivel de recurso compartido y configura permisos de nivel de archivo y directorio. Recuerde que la asignación de roles a nivel de compartición puede tardar un tiempo en hacerse efectivo.
- Si va a montar el recurso compartido de archivos desde un cliente que se ha conectado previamente al recurso compartido de archivos mediante la clave de la cuenta de almacenamiento, asegúrese de desmontar primero el recurso compartido y quitar las credenciales persistentes de la clave de la cuenta de almacenamiento. Para obtener instrucciones sobre cómo quitar las credenciales almacenadas en caché y eliminar las conexiones SMB existentes antes de inicializar una nueva conexión con Active Directory Domain Services (AD DS) o credenciales de Microsoft Entra, siga el proceso de dos pasos en la página de Preguntas más frecuentes.
- Si el origen de AD es AD DS o Microsoft Entra Kerberos, el cliente debe tener conectividad de red no impedida a AD DS. Si la máquina o la máquina virtual están fuera de la red administrada por AD DS, debe habilitar la VPN para acceder a AD DS para la autenticación.
- Inicie sesión en el cliente con las credenciales de la identidad de AD DS o Microsoft Entra a la que ha concedido permisos.
Montaje del recurso compartido de archivos desde una VM unida al dominio
Ejecute el siguiente script de PowerShell o use Azure Portal para montar de manera persistente el recurso compartido de archivos de Azure y asignarlo a la unidad Z: (o la ruta de montaje deseada) en Windows. Dado que ya está autenticado, no es necesario proporcionar la clave de la cuenta de almacenamiento. El script comprueba si esta cuenta de almacenamiento es accesible a través del puerto TCP 445, que es el puerto que usa SMB. Reemplace los valores de marcador de posición por los suyos propios. Para más información, consulte Uso de un recurso compartido de archivos de Azure con Windows.
A menos que use nombres de dominio personalizados, debe montar recursos compartidos de archivos de Azure mediante el sufijo file.core.windows.net, incluso aunque configure un punto de conexión privado para el recurso compartido.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
También puede usar el comando net use desde una ventana del sistema de Windows para montar el recurso compartido de archivos. Recuerde reemplazar <YourStorageAccountName> y <FileShareName> por sus valores propios.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Si tiene problemas, consulte No se pueden montar recursos compartidos de archivos de Azure con las credenciales de AD.
Montaje del recurso compartido de archivos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio de AD diferente
Si el origen de AD es AD DS local, entonces las máquinas virtuales que no están unidas a un dominio, o las máquinas virtuales unidas a un dominio de AD diferente al de la cuenta de almacenamiento, pueden acceder a recursos compartidos de archivos de Azure si tienen conectividad de red sin restricciones a los controladores de dominio de AD y proporcionan credenciales explícitas. El usuario que accede al recurso compartido de archivos debe tener una identidad y credenciales en el dominio de AD al que está unida la cuenta de almacenamiento.
Si su origen de AD es Microsoft Entra Domain Services, el cliente debe tener conectividad de red sin impedimentos a los controladores de dominio de Microsoft Entra Domain Services, lo cual requiere configurar una VPN de sitio a sitio o de punto a sitio. El usuario que accede al recurso compartido de archivos debe tener una identidad (una identidad de Microsoft Entra sincronizada desde Microsoft Entra ID a Microsoft Entra Domain Services) en el dominio administrado de Microsoft Entra Domain Services.
Para montar un recurso compartido de archivos desde una máquina virtual no unida a un dominio, use la notación nombre_de_usuario@FQDN_de_dominio, donde FQDN_de_dominio es el nombre de dominio completo, lo que permitirá al cliente ponerse en contacto con el controlador de dominio para solicitar y recibir los vales Kerberos. Es posible obtener el valor de domainFQDN ejecutando (Get-ADDomain).Dnsroot en el PowerShell de Active Directory.
Por ejemplo:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Si el origen de AD es Microsoft Entra Domain Services, también puede proporcionar credenciales como DOMAINNAME\username donde DOMAINNAME es el dominio de Microsoft Entra Domain Services y nombre de usuario es el nombre de usuario de la identidad en Microsoft Entra Domain Services:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Nota:
Azure Files no admite la traducción de SID a UPN para usuarios y grupos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio diferente a través del Explorador de archivos de Windows. Si desea ver los propietarios de archivos o directorios o ver o modificar permisos NTFS a través del Explorador de archivos de Windows, puede hacerlo solo desde máquinas virtuales unidas a un dominio.
Monta comparticiones de archivos usando nombres de dominio personalizados
Si no quiere montar recursos compartidos de archivos de Azure usando el sufijo file.core.windows.net, puede modificar el sufijo del nombre de la cuenta de almacenamiento asociado con el recurso compartido de archivos de Azure y, luego, agregar un registro de nombre canónico (CNAME) para enrutar el nuevo sufijo al punto de conexión de la cuenta de almacenamiento. Las instrucciones siguientes son solo para entornos de bosque único. Para obtener información sobre cómo configurar entornos que tengan dos o más bosques, consulte Uso de Azure Files con varios bosques de Active Directory.
Nota:
Azure Files solo admite la configuración de CNAME mediante el nombre de la cuenta de almacenamiento como prefijo de dominio. Si no quiere usar el nombre de la cuenta de almacenamiento como prefijo, considere la posibilidad de usar espacios de nombres DFS.
En este ejemplo, tenemos el dominio de Active Directory onpremad1.com y una cuenta de almacenamiento denominada mystorageaccount, que contiene recursos compartidos de archivos de Azure SMB. En primer lugar, es necesario modificar el sufijo SPN de la cuenta de almacenamiento para asignar mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.
Puede montar el recurso compartido de archivos con net use \\mystorageaccount.onpremad1.com porque los clientes de onpremad1 saben buscar onpremad1.com para encontrar el recurso adecuado para esa cuenta de almacenamiento.
Para usar este método, complete los pasos siguientes:
Asegúrese de configurar la autenticación basada en identidades. Si el origen de AD es AD DS o Microsoft Entra Kerberos, asegúrese de sincronizar las cuentas de usuario de AD con el identificador de Microsoft Entra.
Modifique el SPN de la cuenta de almacenamiento mediante la herramienta
setspn. Para encontrar<DomainDnsRoot>, ejecute el siguiente comando de PowerShell de Active Directory:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Agregue una entrada CNAME mediante el Administrador de DNS de Active Directory. Si usa un punto de conexión privado, agregue la entrada CNAME para asignarla al nombre del punto de conexión privado.
- Abra el Administrador DNS de Active Directory.
- Vaya a su dominio (por ejemplo, onpremad1.com).
- Vaya a "Zonas de búsqueda directa".
- Seleccione el nodo denominado después del dominio (por ejemplo, onpremad1.com) y haga clic con el botón derecho en Nuevo alias (CNAME).
- En el nombre del alias, escriba el nombre de la cuenta de almacenamiento.
- Para el nombre de dominio completo (FQDN), escriba
<storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. La parte de nombre de host del FQDN debe coincidir con el nombre de la cuenta de almacenamiento. Si el nombre de host no coincide con el nombre de la cuenta de almacenamiento, el montaje falla con un error de acceso denegado. - Para el FQDN del host de destino, escriba
<storage-account-name>.file.core.windows.net - Seleccione Aceptar.
Ahora debería poder montar el recurso compartido de archivos mediante cuenta_de_almacenamiento.nombre_de_dominio.com. También puede montar el recurso compartido mediante la clave de la cuenta de almacenamiento.
Paso siguiente
Si la identidad que creó en AD DS para representar la cuenta de almacenamiento está en un dominio o unidad organizativa que aplica la rotación de contraseñas, debe actualizar periódicamente la contraseña de la identidad de la cuenta de almacenamiento en AD DS.