Compartir vía


Montaje de un recurso compartido de archivos de SMB de Azure

El proceso descrito en este artículo comprueba que su recurso compartido de archivos SMB y los permisos de acceso se hayan configurado correctamente y que pueda montar su recurso compartido de archivos SMB de Azure.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Sí No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Sí No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Sí No

Requisitos previos de montaje

Antes de poder montar el recurso compartido de archivos de Azure, asegúrese de que ha superado los requisitos previos siguientes:

  • Asegúrese de que ha asignado permisos de nivel de recurso compartido y permisos de directorio y nivel de archivo configurados. Recuerde que la asignación de roles de nivel de recurso compartido puede tardar un tiempo en surtir efecto.
  • Si va a montar el recurso compartido de archivos desde un cliente que se ha conectado previamente al recurso compartido de archivos mediante la clave de la cuenta de almacenamiento, asegúrese de que ha desconectado el recurso compartido y quitado las credenciales persistentes de la clave de la cuenta de almacenamiento. Para obtener instrucciones sobre cómo quitar las credenciales almacenadas en caché y eliminar las conexiones SMB existentes antes de inicializar una nueva conexión con Active Directory Domain Services (AD DS) o credenciales de Microsoft Entra, siga el proceso de dos pasos en la página de Preguntas más frecuentes.
  • Si el origen de AD es AD DS o Microsoft Entra Kerberos, el cliente debe tener conectividad de red no impedida a AD DS. Si el equipo o la máquina virtual está fuera de la red administrada por AD DS, tendrá que habilitar la VPN a fin de acceder a AD DS para la autenticación.
  • Inicie sesión en el cliente con las credenciales de la identidad de AD DS o Microsoft Entra a la que concedió permisos.

Montaje del recurso compartido de archivos desde una VM unida al dominio

Ejecute el siguiente script de PowerShell o use Azure Portal para montar de manera persistente el recurso compartido de archivos de Azure y asignarlo a la unidad Z: en Windows. Si Z ya está en uso, reemplácelo por una letra de unidad disponible. Como se autenticó, no será necesario que proporcione la clave de cuenta de almacenamiento. El script comprobará si esta cuenta de almacenamiento es accesible a través del puerto TCP 445, que es el puerto que SMB usa. Reemplace los valores del marcador de posición por los suyos propios. Para más información, consulte Uso de un recurso compartido de archivos de Azure con Windows.

A menos que use nombres de dominio personalizados, debe montar recursos compartidos de archivos de Azure mediante el sufijo file.core.windows.net, incluso aunque configure un punto de conexión privado para el recurso compartido.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

También puede usar el comando net-use desde una ventana del sistema de Windows para montar el recurso compartido de archivos. Recuerde reemplazar <YourStorageAccountName> y <FileShareName> por sus valores propios.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Si tiene problemas, consulte No se pueden montar recursos compartidos de archivos de Azure con las credenciales de AD.

Montaje del recurso compartido de archivos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio de AD diferente

Si el origen de AD es local de AD DS, las máquinas virtuales no unidas a un dominio o las máquinas virtuales que están unidas a un dominio de AD diferente de la cuenta de almacenamiento pueden acceder a recursos compartidos de archivos de Azure si tienen conectividad de red no impedida a los controladores de dominio de AD y proporcionan credenciales explícitas (nombre de usuario y contraseña). El usuario que accede al recurso compartido de archivos debe tener una identidad y credenciales en el dominio de AD al que está unida la cuenta de almacenamiento.

Si el origen de AD es Microsoft Entra Domain Services, la máquina virtual debe tener conectividad de red no impedida a los controladores de dominio de Microsoft Entra Domain Services, que se encuentran en Azure. Normalmente, esto requiere configurar una VPN de sitio a sitio o de punto a sitio. El usuario que accede al recurso compartido de archivos debe tener una identidad (una identidad de Microsoft Entra sincronizada desde Microsoft Entra ID a Microsoft Entra Domain Services) en el dominio administrado de Microsoft Entra Domain Services.

Para montar un recurso compartido de archivos desde una máquina virtual no unida a un dominio, use la notación username@domainFQDN, donde domainFQDN es el nombre de dominio completo. Esto permitirá al cliente ponerse en contacto con el controlador de dominio para solicitar y recibir vales de Kerberos. Es posible obtener el valor de domainFQDN ejecutando (Get-ADDomain).Dnsroot en el PowerShell de Active Directory.

Por ejemplo:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Si el origen de AD es Microsoft Entra Domain Services, también puede proporcionar credenciales como DOMAINNAME\username donde DOMAINNAME es el dominio de Microsoft Entra Domain Services y nombre de usuario es el nombre de usuario de la identidad en Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Nota:

Azure Files no admite la traducción de SID a UPN para usuarios y grupos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio diferente a través del Explorador de archivos de Windows. Si desea ver los propietarios de archivos o directorios o ver o modificar permisos NTFS a través del Explorador de archivos de Windows, puede hacerlo solo desde máquinas virtuales unidas a un dominio.

Montaje de recursos compartidos de archivos mediante nombres de dominio personalizados

Si no quiere montar recursos compartidos de archivos de Azure usando el sufijo file.core.windows.net, puede modificar el sufijo del nombre de la cuenta de almacenamiento asociado con el recurso compartido de archivos de Azure y, luego, agregar un registro de nombre canónico (CNAME) para enrutar el nuevo sufijo al punto de conexión de la cuenta de almacenamiento. Las instrucciones siguientes son solo para entornos de bosque único. Para obtener información sobre cómo configurar entornos que tengan dos o más bosques, consulte Uso de Azure Files con varios bosques de Active Directory.

Nota:

Azure Files solo admite la configuración de CNAME mediante el nombre de la cuenta de almacenamiento como prefijo de dominio. Si no quiere usar el nombre de la cuenta de almacenamiento como prefijo, considere la posibilidad de usar espacios de nombres DFS.

En este ejemplo, tenemos el dominio de Active Directory onpremad1.com y una cuenta de almacenamiento denominada mystorageaccount, que contiene recursos compartidos de archivos de Azure SMB. En primer lugar, es necesario modificar el sufijo SPN de la cuenta de almacenamiento para asignar mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.

Esto permitirá a los clientes montar el recurso compartido con net use \\mystorageaccount.onpremad1.com porque los clientes de onpremad1 sabrán buscar onpremad1.com a fin de encontrar el recurso adecuado para esa cuenta de almacenamiento.

Para usar este método, complete los pasos siguientes:

  1. Asegúrese de que ha configurado la autenticación basada en identidades. Si el origen de AD es AD DS o Microsoft Entra Kerberos, asegúrese de que ha sincronizado las cuentas de usuario de AD con Microsoft Entra ID.

  2. Modifique el SPN de la cuenta de almacenamiento mediante la herramienta setspn. Para encontrar <DomainDnsRoot>, ejecute el siguiente comando de PowerShell de Active Directory: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
    
  3. Agregue una entrada CNAME mediante el Administrador DNS de Active Directory y siga los pasos siguientes para cada cuenta de almacenamiento del dominio al que está unida la cuenta de almacenamiento. Si usa un punto de conexión privado, agregue la entrada CNAME para asignarla al nombre del punto de conexión privado.

    1. Abra el Administrador DNS de Active Directory.
    2. Vaya a su dominio (por ejemplo, onpremad1.com).
    3. Vaya a "Zonas de búsqueda directa".
    4. Seleccione el nodo denominado después del dominio (por ejemplo, onpremad1.com) y haga clic con el botón derecho en Nuevo alias (CNAME).
    5. En el nombre del alias, escriba el nombre de la cuenta de almacenamiento.
    6. Para el nombre de dominio completo (FQDN), escriba <storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. La parte de nombre de host del FQDN debe coincidir con el nombre de la cuenta de almacenamiento. De lo contrario, recibirá un error de acceso denegado durante la configuración de la sesión de SMB.
    7. Para el FQDN del host de destino, escriba <storage-account-name>.file.core.windows.net
    8. Seleccione Aceptar.

Ahora debería poder montar el recurso compartido de archivos mediante storageaccount.domainname.com. También puede montar el recurso compartido mediante la clave de la cuenta de almacenamiento.

Paso siguiente

Si la identidad que creó en AD DS para representar la cuenta de almacenamiento está en un dominio o en una unidad organizativa que aplica la rotación de contraseñas, es posible que tenga que actualizar la contraseña de la identidad de la cuenta de almacenamiento en AD DS.