Montaje de un recurso compartido de archivos de Azure de SMB en Windows

Se aplica a: ✔️ Recursos compartidos de archivos Azure SMB

Azure Files es el sencillo sistema de archivos en la nube de Microsoft. En este artículo se muestra cómo montar un recurso compartido de archivos de Azure SMB en Windows y Windows Server.

Azure Files solo admite SMB Multicanal en comparticiones de archivos SSD.

Versión de Windows	Versión de SMB	SMB multicanal de Azure Files	Cifrado máximo del canal SMB
Windows Server 2025	SMB 3.1.1	Sí	AES-256-GCM
Windows 11, versión 24H2	SMB 3.1.1	Sí	AES-256-GCM
Windows 11, versión 23H2	SMB 3.1.1	Sí	AES-256-GCM
Windows 11, versión 22H2	SMB 3.1.1	Sí	AES-256-GCM
Windows 10, versión 22H2	SMB 3.1.1	Sí	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Sí	AES-256-GCM
Windows 11, versión 21H2	SMB 3.1.1	Sí	AES-256-GCM
Windows 10, versión 21H2	SMB 3.1.1	Sí	AES-128-GCM
Windows 10, versión 21H1	SMB 3.1.1	Sí, con KB5003690 o posterior	AES-128-GCM
Windows Server, versión 20H2	SMB 3.1.1	Sí, con KB5003690 o posterior	AES-128-GCM
Windows 10, versión 20H2	SMB 3.1.1	Sí, con KB5003690 o posterior	AES-128-GCM
Windows Server, versión 2004	SMB 3.1.1	Sí, con KB5003690 o posterior	AES-128-GCM
Windows 10, versión 2004	SMB 3.1.1	Sí, con KB5003690 o posterior	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Sí, con KB5003703 o posterior	AES-128-GCM
Windows 10, versión 1809	SMB 3.1.1	Sí, con KB5003703 o posterior	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Sí, con KB5004238 o más reciente, y una clave del Registro aplicada	AES-128-GCM
Windows 10, versión 1607	SMB 3.1.1	Sí, con KB5004238 o más reciente, y una clave del Registro aplicada	AES-128-GCM
Windows 10, versión 1507	SMB 3.1.1	Sí, con KB5004249 o más reciente, y una clave del Registro aplicada	AES-128-GCM
Windows Server 2012 R21	SMB 3.0	No	AES-128-CCM
Windows Server 20121	SMB 3.0	No	AES-128-CCM
Windows 8.12	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R22	SMB 2.1	No	No compatible
Windows 72	SMB 2.1	No	No compatible

¹El soporte técnico habitual de Microsoft para Windows 2012 y Windows Server 2012 R2 ha finalizado. Es posible adquirir soporte técnico adicional para las actualizaciones de seguridad solo a través del programa Actualización de seguridad extendida (ESU).

²El soporte técnico de Microsoft para Windows 7, Windows 8 y Windows Server 2008 R2 ha finalizado. Se recomienda encarecidamente migrar de estos sistemas operativos.

Nota

Se recomienda disponer de la KB más reciente para su versión de Windows.

Asegúrese de que el puerto 445 está abierto

El protocolo SMB requiere que el puerto TCP 445 esté abierto. Se producirá un error en las conexiones si se bloquea el puerto 445. Puede comprobar si el firewall o ISP está bloqueando el puerto 445 con el cmdlet de PowerShell Test-NetConnection. Para más información, consulte El puerto 445 está bloqueado.

Si desea montar el recurso compartido de archivos de Azure a través de SMB desde fuera de Azure sin abrir el puerto 445, puede usar una VPN de punto a sitio.

Para usar un recurso compartido de archivos de Azure por medio del punto de conexión público fuera de la región de Azure en la que se hospeda, bien sea en el entorno local o en otra región de Azure, el sistema operativo debe admitir SMB 3.x. Las versiones anteriores de Windows que solo admiten SMB 2.1 no pueden montar recursos compartidos de archivos de Azure por medio del punto de conexión público.

Uso de la autenticación basada en identidad

Para mejorar la seguridad y el control de acceso, puede configurar la autenticación basada en identidad y unir sus clientes a un dominio. Esto le permite usar la identidad de Active Directory o Microsoft Entra para acceder al recurso compartido de archivos en lugar de usar una clave de cuenta de almacenamiento.

Para poder montar un recurso compartido de archivos de Azure mediante la autenticación basada en identidad, debe completar lo siguiente:

• Asigne permisos de nivel de recurso compartido y configure permisos de directorio y de nivel de archivo. Recuerde que la asignación de roles a nivel de compartición puede tardar algún tiempo en hacer efecto.
• Si va a montar el recurso compartido de archivos desde un cliente que se ha conectado previamente al recurso compartido de archivos mediante la clave de la cuenta de almacenamiento, asegúrese de desmontar primero el recurso compartido y quitar las credenciales persistentes de la clave de la cuenta de almacenamiento. Para obtener instrucciones sobre cómo quitar las credenciales almacenadas en caché y eliminar las conexiones SMB existentes antes de inicializar una nueva conexión con Active Directory Domain Services (AD DS) o credenciales de Microsoft Entra, siga el proceso de dos pasos en las preguntas más frecuentes.
• Si el origen de AD es AD DS o Microsoft Entra Kerberos, su cliente debe tener una conexión de red sin restricciones a AD DS. Si la máquina o la máquina virtual están fuera de la red administrada por AD DS, debe habilitar la VPN para acceder a AD DS para la autenticación.
• Inicie sesión en el cliente con las credenciales de la identidad de AD DS o Microsoft Entra a la que ha concedido permisos.

Si tiene problemas, consulte No se pueden montar recursos compartidos de archivos de Azure con credenciales de AD.

Uso de un recurso compartido de archivos de Azure con Windows

Para usar un recurso compartido de archivos de Azure con Windows, debe montarlo, lo que significa asignarle una letra de unidad o una ruta de acceso a un punto de montaje, o acceder a él mediante su ruta de acceso UNC. Actualmente no se admiten tokens de firma de acceso compartido (SAS) para el montaje de recursos compartidos de archivos de Azure.

Nota

Un patrón común para levantar y cambiar las aplicaciones de línea de negocio (LOB) que esperan que un recurso compartido de archivos SMB a Azure es usar un recurso compartido de archivos de Azure como alternativa para ejecutar un servidor de archivos de Windows dedicado en una máquina virtual (VM) de Azure. Un aspecto importante que se debe tener en cuenta para migrar correctamente una aplicación de línea de negocio para usar un recurso compartido de archivos de Azure es que muchas aplicaciones se ejecutan en el contexto de una cuenta de servicio dedicada con permisos de sistema limitados y no en la cuenta administrativa de la máquina virtual. Por lo tanto, debe asegurarse de montar o guardar las credenciales del recurso compartido de archivos de Azure desde el contexto de la cuenta de servicio y no de la cuenta administrativa.

Montaje del recurso compartido de archivos de Azure

Puede montar un recurso compartido de archivos de Azure SMB en Windows mediante Azure Portal o Azure PowerShell.

Portal

Para montar un recurso compartido de archivos de Azure mediante Azure Portal, siga estos pasos:

1. Inicie sesión en Azure Portal.

2. Vaya a la cuenta de almacenamiento que contiene el recurso compartido de archivos que le gustaría montar.

3. Seleccione Recursos compartidos de archivos.

4. Seleccione el recurso compartido de archivos que desea montar.

   

5. Seleccione Conectar.

   

6. Seleccione la letra de unidad en la que montar el recurso compartido.

7. En Método de autenticación, seleccione Active Directory o Microsoft Entra. Si ve un mensaje que indica que la autenticación basada en identidades no está configurada para la cuenta de almacenamiento, configúrela en función de uno de los métodos descritos en la introducción a la autenticación basada en identidades e intente volver a montar el recurso compartido.

8. Seleccione Mostrar script y copie el script proporcionado.

   

9. Pegue el script en un shell del host en el que desea montar el recurso compartido de archivos y ejecútelo.

Ya ha montado el recurso compartido de archivos de Azure.

PowerShell

Ejecute el siguiente script de PowerShell o para montar el recurso compartido de Azure de manera persistente desde una máquina virtual unida a un dominio y asignarla a la unidad Z: (o la ruta de montaje deseada) en Windows. El script comprueba si esta cuenta de almacenamiento es accesible a través del puerto TCP 445, que es el puerto que usa SMB. Recuerde reemplazar los valores de plantilla por sus propios valores.

A menos que use nombres de dominio personalizados, debe montar comparticiones de archivos de Azure mediante el sufijo file.core.windows.net, incluso si configura un punto de conexión privado para la compartición.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Ya ha montado el recurso compartido de archivos de Azure.

Montaje del recurso compartido de archivos de Azure mediante la línea de comandos de Windows

También puede usar el comando net use desde una ventana del sistema de Windows para montar el recurso compartido de archivos.

Montaje del recurso compartido de archivos desde una VM unida al dominio

Para montar el recurso compartido de archivos desde una máquina virtual unida a un dominio, ejecute el siguiente comando desde un símbolo del sistema de Windows. Recuerde reemplazar <YourStorageAccountName> y <FileShareName> por sus propios valores.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Montaje del recurso compartido de archivos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio de AD diferente

Si el origen de AD es el AD DS local, las máquinas virtuales que no están unidas a un dominio o las que están unidas a un dominio de AD diferente al de la cuenta de almacenamiento pueden acceder a los recursos compartidos de archivos de Azure si cuentan con conectividad de red sin restricciones hacia los controladores de dominio de AD y proporcionan credenciales explícitas. El usuario que accede al recurso compartido de archivos debe tener una identidad y credenciales en el dominio de AD al que está unida la cuenta de almacenamiento.

Si el origen de AD es Microsoft Entra Domain Services, el cliente debe tener conectividad de red sin restricciones a los controladores de dominio de Microsoft Entra Domain Services, lo que requiere configurar una VPN de sitio a sitio o de punto a sitio. El usuario que accede al recurso compartido de archivos debe tener una identidad (una identidad de Microsoft Entra sincronizada desde microsoft Entra ID a Microsoft Entra Domain Services) en el dominio administrado de Microsoft Entra Domain Services.

Para montar un recurso compartido de archivos desde una máquina virtual no unida a un dominio, use la notación nombre_de_usuario@FQDN_de_dominio, donde FQDN_de_dominio es el nombre de dominio completo, lo que permitirá al cliente ponerse en contacto con el controlador de dominio para solicitar y recibir los vales Kerberos. Para obtener el valor de domainFQDN, ejecute (Get-ADDomain).Dnsroot en Active Directory PowerShell.

Por ejemplo:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Si el origen del AD es los Servicios de Dominio de Microsoft Entra, también puede proporcionar credenciales como DOMAINNAME\username, donde DOMAINNAME es el dominio de los Servicios de Dominio de Microsoft Entra y username es el nombre de usuario de la identidad en los Servicios de Dominio de Microsoft Entra.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Monte el recurso compartido de archivos de Azure usando la clave de cuenta de almacenamiento (no recomendado)

Azure Portal proporciona un script de PowerShell que puede usar para montar el recurso compartido de archivos directamente en un host mediante la clave de cuenta de almacenamiento. Sin embargo, se recomienda usar la autenticación basada en identidades en lugar de la clave de la cuenta de almacenamiento por motivos de seguridad. Si debe usar la clave de cuenta de almacenamiento, siga las instrucciones de montaje, pero en Método de autenticación, seleccione Clave de cuenta de almacenamiento.

Una clave de cuenta de almacenamiento es una clave de administrador para una cuenta de almacenamiento, lo que incluye los permisos de administrador de todos los archivos y carpetas dentro de un recurso compartido de archivos al que accede, y de todos los recursos compartidos de archivos y otros recursos de almacenamiento (blobs, colas, tablas, etc.) contenidos en la cuenta de almacenamiento. Para encontrar la clave de la cuenta de almacenamiento en Azure Portal, vaya a la cuenta de almacenamiento y seleccione Seguridad y> de red, o bien puede usar el Get-AzStorageAccountKey cmdlet de PowerShell.

Montaje del recurso compartido de archivos de Azure con el Explorador de archivos

1. Abra el Explorador de archivos desde el menú Inicio, o bien presione las teclas Win+E.

2. Vaya a Este PC en el lado izquierdo de la ventana. Esta operación cambiará los menús disponibles en la barra de herramientas. En el menú Equipo, seleccione Conectar a unidad de red.

   

3. Seleccione la letra de unidad y escriba la ruta de acceso UNC al recurso compartido de archivos de Azure. El formato de ruta de acceso UNC es \\<storageAccountName>.file.core.windows.net\<fileShareName>. Por ejemplo: \\anexampleaccountname.file.core.windows.net\file-share-name. Active la casilla Conectar con credenciales diferentes. Seleccione Finalizar.

   

4. Seleccione Más opciones>Usar otra cuenta. En Dirección de correo electrónico, use el nombre de la cuenta de almacenamiento y una clave de cuenta de almacenamiento como contraseña. Seleccione Aceptar.

   

5. Use el recurso compartido de archivos de Azure como prefiera.

   

6. Cuando esté listo para desmontar el recurso compartido de archivos de Azure, haga clic con el botón derecho en la entrada del recurso compartido en Ubicaciones de red en el Explorador de archivos y seleccione Desconectar.

Nota

Azure Files no admite la traducción de SID a UPN para usuarios y grupos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio diferente a través del Explorador de archivos de Windows. Si desea ver los propietarios de archivos o directorios o ver o modificar permisos NTFS a través del Explorador de archivos de Windows, puede hacerlo solo desde máquinas virtuales unidas a un dominio.

Acceso a un recurso compartido de archivos de Azure a través de su ruta de acceso UNC

No es necesario montar el recurso compartido de archivos de Azure en una letra de unidad para usarlo. Puede acceder directamente al recurso compartido de archivos de Azure usando la ruta de acceso UNC, escriba lo siguiente en Explorador de archivos. Asegúrese de reemplazar storageaccountname por el nombre de la cuenta de almacenamiento y myfileshare por el nombre del recurso compartido de archivos:

\\storageaccountname.file.core.windows.net\myfileshare

Se le pedirá que inicie sesión con sus credenciales de red. Inicie sesión con la suscripción de Azure en la que ha creado la cuenta de almacenamiento y el recurso compartido de archivos. Si no se le solicitan, puede agregar las credenciales mediante el siguiente comando:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Para la nube de Azure Government, cambie el nombre del servidor a:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Montaje de recursos compartidos de archivos mediante nombres de dominio personalizados

Si no desea montar recursos compartidos de archivos de Azure mediante el sufijo file.core.windows.net, puede modificar el sufijo del nombre de la cuenta de almacenamiento asociado al recurso compartido de archivos de Azure y, a continuación, agregar un registro de nombre canónico (CNAME) para enrutar el nuevo sufijo al punto de conexión de la cuenta de almacenamiento. Las instrucciones siguientes son solo para entornos de bosque único. Para obtener información sobre cómo configurar entornos que tienen dos o más bosques, consulte Uso de Azure Files con varios bosques de Active Directory.

Nota

Azure Files solo admite la configuración de CNAMES mediante el nombre de la cuenta de almacenamiento como prefijo de dominio. Si no quiere usar el nombre de la cuenta de almacenamiento como prefijo, considere la posibilidad de usar espacios de nombres DFS.

En este ejemplo, tenemos el dominio de Active Directory onpremad1.com y tenemos una cuenta de almacenamiento denominada mystorageaccount que contiene recursos compartidos de archivos de Azure SMB. En primer lugar, es necesario modificar el sufijo SPN de la cuenta de almacenamiento para asignar mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.

Puede montar el recurso compartido de archivos con net use \\mystorageaccount.onpremad1.com porque los clientes de onpremad1 saben buscar onpremad1.com para encontrar el recurso adecuado para esa cuenta de almacenamiento.

Para usar este método, complete los pasos siguientes:

1. Asegúrese de configurar la autenticación basada en identidades. Si el origen de AD es AD DS o Microsoft Entra Kerberos, asegúrese de sincronizar las cuentas de usuario de AD con el identificador de Microsoft Entra.

2. Modifique el SPN de la cuenta de almacenamiento mediante la setspn herramienta . Para encontrar <DomainDnsRoot> , ejecute el siguiente comando de PowerShell de Active Directory: (Get-AdDomain).DnsRoot

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Agregue una entrada CNAME mediante el Administrador de DNS de Active Directory. Si usa un punto de conexión privado, agregue la entrada CNAME para asignarla al nombre del punto de conexión privado.

   1. Abra el Administrador de DNS de Active Directory.
   2. Vaya al dominio (por ejemplo, onpremad1.com).
   3. Vaya a "Zonas de búsqueda directa".
   4. Seleccione el nodo denominado después del dominio (por ejemplo, onpremad1.com) y haga clic con el botón derecho en Nuevo alias (CNAME).
   5. Para el nombre del alias, introduzca el nombre de su cuenta de almacenamiento.
   6. Para el nombre de dominio completo (FQDN), escriba <storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. La parte de nombre de host del FQDN debe coincidir con el nombre de la cuenta de almacenamiento. Si el nombre de host no coincide con el nombre de la cuenta de almacenamiento, el montaje produce un error de acceso denegado.
   7. En el FQDN del host de destino, escriba <storage-account-name>.file.core.windows.net
   8. Seleccione Aceptar.

Ahora debería ser capaz de montar el recurso para compartir archivos utilizando storageaccount.domainname.com.

Pasos siguientes

Consulte los vínculos siguientes para más información sobre Azure Files:

• Planeamiento de una implementación de Azure Files
• P+F
• Solucionar problemas de Azure Files