Monter un partage de fichiers Azure
Avant de commencer la lecture de cet article, vous devez avoir lu l’article Configurer les autorisations au niveau des répertoires et des fichiers sur SMB.
Le processus décrit dans cet article vérifie que votre partage de fichiers SMB et vos autorisations d’accès sont correctement configurés, et que vous pouvez monter votre partage de fichiers Azure SMB. Pour rappel, l’attribution de rôles au niveau du partage peut prendre un certain temps.
Connectez-vous au client en utilisant les informations d’identification de l’identité à laquelle vous avez accordé des autorisations.
S’applique à
| Type de partage de fichiers | SMB | NFS |
|---|---|---|
| Partages de fichiers Standard (GPv2), LRS/ZRS |  |
 |
| Partages de fichiers Standard (GPv2), GRS/GZRS | |
|
| Partages de fichiers Premium (FileStorage), LRS/ZRS | |
|
Composants requis du montage
Avant de monter le partage de fichiers Azure, assurez-vous que vous avez tenu compte des composants requis ci-après :
- Si vous montez le partage de fichiers à partir d’un client qui l’a précédemment connecté au partage de fichiers à l’aide de votre clé de compte de stockage, assurez-vous que vous avez déconnecté le partage, supprimé les informations d’identification persistantes de la clé de compte de stockage et que vous utilisez actuellement des informations d’identification relatives à AD DS pour l’authentification. Pour obtenir des instructions sur la suppression des informations d’identification mises en cache avec la clé de compte de stockage et la suppression des connexions SMB existantes avant d’initialiser une nouvelle connexion avec les informations d’identification AD DS ou Microsoft Entra, suivez le processus en deux étapes décrit dans la page Questions fréquentes (FAQ).
- Votre client doit disposer d’une connectivité réseau sans entraves à votre AD DS. Si votre machine ou machine virtuelle ne se trouve pas sur le réseau géré par votre instance AD DS, vous devez activer le VPN de façon à atteindre AD DS à des fins d’authentification.
Monter le partage de fichiers Azure à partir d’une machine virtuelle jointe à un domaine
Exécutez le script PowerShell ci-dessous ou utilisez le Portail Azure pour monter de façon permanente le partage de fichiers Azure et le mapper au lecteur Z: sur Windows. Si Z: est déjà utilisé, remplacez-le par une lettre de lecteur disponible. Le script vérifie si ce compte de stockage est accessible via le port TCP 445, qui est le port que SMB utilise. Remplacez les valeurs d’espace réservé par vos propres valeurs. Pour plus d’informations, consultez Utiliser un partage de fichiers Azure avec Windows.
À moins que vous n’utilisiez des noms de domaine personnalisés, vous devez monter les partages de fichiers Azure à l’aide du suffixe file.core.windows.net, même si vous configurez un point de terminaison privé pour votre partage.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Vous pouvez également utiliser la commande net-use à partir d’une invite Windows pour monter le partage de fichiers. Assurez-vous de remplacer <YourStorageAccountName> et <FileShareName> par vos propres valeurs.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Si vous rencontrez des problèmes, consultez Impossible de monter des partages de fichiers Azure avec des informations d’identification AD.
Monter le partage de fichiers depuis une machine virtuelle non jointe à un domaine ou d’une machine virtuelle jointe à un autre domaine AD
Les machines virtuelles ou machines virtuelles non jointes à un domaine AD différent du compte de stockage peuvent accéder aux partages de fichiers Azure s’ils n’ont pas de connectivité réseau non limitée aux contrôleurs de domaine et fournissent des informations d’identification explicites (nom d’utilisateur et mot de passe). L’utilisateur qui accède au partage de fichiers doit avoir une identité et des informations d’identification dans le domaine AD auquel le compte de stockage est joint.
Pour monter un partage de fichiers à partir d’une machine virtuelle non jointe à un domaine, utilisez la notation username@domainFQDN, où domainFQDN est le nom de domaine complet. Cela permet au client de contacter le contrôleur de domaine pour demander et recevoir des tickets Kerberos. Vous pouvez obtenir la valeur de domainFQDN en exécutant (Get-ADDomain).Dnsroot dans Active Directory PowerShell.
Par exemple :
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Remarque
Azure Files ne prend pas en charge la traduction des SID en UPN pour les utilisateurs et les groupes à partir d’une machine virtuelle non jointe à un domaine ou jointe à un autre domaine via l’Explorateur de fichiers Windows. Vous pouvez afficher les propriétaires de fichiers/répertoires ou afficher/modifier les autorisations NTFS via l’Explorateur de fichiers Windows uniquement à partir de machines virtuelles jointes à un domaine.
Monter des partages de fichiers à l’aide de noms de domaine personnalisés
Si vous ne souhaitez pas monter de partages de fichiers Azure à l’aide du suffixe file.core.windows.net, vous pouvez modifier le suffixe du nom du compte de stockage associé au partage de fichiers Azure, puis ajouter un enregistrement CNAME (nom canonique) pour router le nouveau suffixe au point de terminaison du compte de stockage. Les instructions suivantes s’appliquent uniquement aux environnements comprenant une seule forêt. Pour savoir comment configurer des environnements ayant au moins deux forêts, consultez Utiliser Azure Files avec plusieurs forêts Active Directory.
Remarque
Azure Files prend uniquement en charge la configuration d’enregistrements CNAME en utilisant le nom du compte de stockage en tant que préfixe de domaine. Si vous ne souhaitez pas utiliser le nom du compte de stockage en tant que préfixe, utilisez des espaces de noms DFS.
Dans cet exemple, nous avons le domaine Active Directory onpremad1.com ainsi qu’un compte de stockage appelé mystorageaccount, qui contient des partages de fichiers Azure SMB. Tout d’abord, nous devons modifier le suffixe SPN du compte de stockage pour mapper mystorageaccount.onpremad1.com à mystorageaccount.file.core.windows.net.
Cela permet aux clients de monter le partage avec net use \\mystorageaccount.onpremad1.com, car les clients de onpremad1 savent qu’il faut effectuer une recherche dans onpremad1.com afin de trouver la ressource appropriée pour ce compte de stockage.
Pour utiliser cette méthode, effectuez les étapes suivantes :
Vérifiez que vous avez configuré l’authentification basée sur l’identité, et que vous avez synchronisé vos comptes d’utilisateur AD à Microsoft Entra ID.
Modifiez le SPN du compte de stockage à l’aide de l’outil
setspn. Vous pouvez trouver<DomainDnsRoot>en exécutant la commande Active Directory PowerShell suivante :(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Ajoutez une entrée CNAME à l’aide du Gestionnaire DNS Active Directory et suivez les étapes ci-dessous pour chaque compte de stockage du domaine auquel le compte de stockage est joint. Si vous utilisez un point de terminaison privé, ajoutez l’entrée CNAME pour mapper à son nom.
- Ouvrez le Gestionnaire DNS Active Directory.
- Accédez à votre domaine (par exemple, onpremad1.com).
- Accédez à « Zones de recherche directe ».
- Sélectionnez le nœud nommé d’après votre domaine (par exemple, onpremad1.com) et cliquez avec le bouton droit sur Nouvel alias (CNAME).
- Pour le nom de l’alias, entrez le nom de votre compte de stockage.
- Pour le nom de domaine complet (FQDN), entrez
<storage-account-name>.<domain-name>, par exemple moncomptedestockage.onpremad1.com. La partie nom d’hôte du FQDN doit correspondre au nom du compte de stockage. Sinon, vous obtenez une erreur de type accès refusé durant la configuration de la session SMB. - Pour le nom de domaine complet de l’hôte cible, entrez
<storage-account-name>.file.core.windows.net - Sélectionnez OK.
Vous devez à présent pouvoir monter le partage de fichiers à l’aide de storageaccount.domainname.com. Vous pouvez également monter le partage de fichiers à l’aide de la clé de compte de stockage.
Étapes suivantes
Si l’identité que vous avez créée dans AD DS pour représenter le compte de stockage se trouve dans un domaine ou une unité d’organisation qui impose la rotation des mots de passe, vous devrez peut-être mettre à jour le mot de passe de l’identité de votre compte de stockage dans AD DS.