SMB Azure fájlmegosztások

A következőkre vonatkozik: ✔️ SMB-fájlmegosztások

Az Azure Files nagyvállalati szintű fájlmegosztásokat kínál, amelyek a tárolási igényeknek megfelelően skálázhatók, és több ezer ügyfél egyidejűleg is elérhetők. Azure Files két iparági szabványnak megfelelő protokollt kínál Azure fájlmegosztások csatlakoztatásához: a Kiszolgáló üzenetblokk (SMB) protokollt és a Network Fájlrendszer (NFS) protokollt. Válassza ki a számítási feladatnak leginkább megfelelő protokollt. Azure Files nem támogatja az egyes Azure fájlmegosztások elérését mind az SMB, mind az NFS protokollal, bár SMB- és NFS-fájlmegosztásokat is létrehozhat ugyanazon a tárfiókon belül.

Ez a cikk az SMB Azure fájlmegosztásokat ismerteti. Az NFS Azure fájlmegosztásokról további információt a NFS Azure fájlmegosztásokról talál.

Gyakori forgatókönyvek

SMB-fájlmegosztások használata számos alkalmazáshoz, beleértve az adatbázisokat és alkalmazásokat visszahelyező végfelhasználói fájlmegosztásokat és fájlmegosztásokat. SMB-fájlmegosztások használata a következő esetekben:

• Végfelhasználói fájlmegosztások, például csoportmegosztások és otthoni könyvtárak
• Háttértár Windows-alapú alkalmazásokhoz, például SQL Server adatbázisokhoz vagy üzletági alkalmazásokhoz
• Új alkalmazás- és szolgáltatásfejlesztés, különösen akkor, ha véletlenszerű I/O- és hierarchikus tárolásra van szüksége

Funkciók

Azure Files támogatja az SMB és Azure főbb funkcióit, amelyek szükségesek az SMB-fájlmegosztások éles környezeti telepítéséhez.

• SMB folyamatos rendelkezésre állás (CA)
• AD-tartományhoz való csatlakozás és diszkrecionális hozzáférés-vezérlési listák (DACLs)
• Integrált szerver nélküli biztonsági mentés az Azure Backup segítségével
• Hálózatelkülönítés Azure privát végpontokkal
• Magas hálózati átviteli sebesség többcsatornás SMB használatával (csak SSD-fájlmegosztások esetén)
• SMB-csatornatitkosítás, beleértve az AES-256-GCM, az AES-128-GCM és az AES-128-CCM protokollt
• Korábbi verzió támogatása VSS integrált megosztási pillanatképeken keresztül
• Automatikus helyreállítható törlés Azure fájlmegosztásokon a véletlen törlés megakadályozása érdekében
• Igény szerint interneten elérhető fájlmegosztások internetes SMB 3.0+ protokollal

Az SMB-fájlmegosztásokat közvetlenül csatlakoztathatja, vagy helyben gyorsítótárazhatja őket az Azure File Sync használatával.

Windows SMB-támogatás és Azure Files funkciók

Az alábbi táblázat bemutatja a Windows támogatást az SMB-verziót, az SMB Multichannel¹-t és az SMB csatornatitkosítást illetően Azure fájlmegosztások felcsatlakoztatása során. Ezzel a táblázattal meghatározhatja a Azure fájlmegosztáshoz hozzáférő ügyfél operációs rendszerek funkciótámogatási és biztonsági követelményeit. Használja a Windows-verziójához tartozó legfrissebb KB-cikket.

Windows verzió	SMB-verzió	Többcsatornás SMB (csak SSD)	Maximális SMB-csatornatitkosítás
Windows Server 2025	SMB 3.1.1	Igen	AES-256-GCM
Windows 11, 24H2-es verzió	SMB 3.1.1	Igen	AES-256-GCM
Windows 11, 23H2-es verzió	SMB 3.1.1	Igen	AES-256-GCM
Windows 11, 22H2-es verzió	SMB 3.1.1	Igen	AES-256-GCM
Windows 10, 22H2-es verzió	SMB 3.1.1	Igen	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Igen	AES-256-GCM
Windows 11, 21H2-es verzió	SMB 3.1.1	Igen	AES-256-GCM
Windows 10, 21H2-es verzió	SMB 3.1.1	Igen	AES-128-GCM
Windows 10, 21H1-es verzió	SMB 3.1.1	Igen, KB5003690 vagy újabb esetén	AES-128-GCM
Windows Server, 20H2-es verzió	SMB 3.1.1	Igen, KB5003690 vagy újabb esetén	AES-128-GCM
Windows 10, 20H2-es verzió	SMB 3.1.1	Igen, KB5003690 vagy újabb esetén	AES-128-GCM
Windows Server, 2004-es verzió	SMB 3.1.1	Igen, KB5003690 vagy újabb esetén	AES-128-GCM
Windows 10, 2004-es verzió	SMB 3.1.1	Igen, KB5003690 vagy újabb esetén	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Igen, KB5003703 vagy újabb esetén	AES-128-GCM
Windows 10, 1809-es verzió	SMB 3.1.1	Igen, KB5003703 vagy újabb esetén	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Igen, a KB5004238 vagy újabb frissítés esetén, valamint az alkalmazott beállításkulcs esetén.	AES-128-GCM
Windows 10, 1607-es verzió	SMB 3.1.1	Igen, a KB5004238 vagy újabb frissítés esetén, valamint az alkalmazott beállításkulcs esetén.	AES-128-GCM
Windows 10, 1507-es verzió	SMB 3.1.1	Igen, KB5004249 vagy újabb esetén és alkalmazott beállításkulcs esetén	AES-128-GCM
Windows Server 2012 R22	SMB 3.0	No	AES-128-CCM
Windows Server 20122	SMB 3.0	No	AES-128-CCM
Windows 8.13	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R23	SMB 2.1	No	Nem támogatott
Windows 73	SMB 2.1	No	Nem támogatott

¹Azure Files csak SSD-fájlmegosztásokon támogatja a SMB Multichannel.

²A Windows Server 2012 és Windows Server 2012 R2 Microsoft támogatása véget ért. A biztonsági frissítésekhez további támogatást csak a Kiterjesztett biztonsági frissítés (ESU) programon keresztül vásárolhat.

³Microsoft Windows 7, Windows 8.1 és Windows Server 2008 R2 támogatása véget ért. Migrálás ezekről az operációs rendszerekről.

SMB protokollbeállítások

Azure Files több beállítást is kínál, amelyek befolyásolják az SMB protokoll viselkedését, teljesítményét és biztonságát. Ezek Azure Azure tárfiókon belüli klasszikus fájlmegosztásokhoz vannak konfigurálva.

SMB folyamatos rendelkezésre állása

Azure Files támogatja az SMB folyamatos rendelkezésre állását (CA) annak érdekében, hogy az alkalmazások elérhetők maradjanak az átmeneti infrastruktúra-események során. A folyamatos rendelkezésre állás az SMB protokoll képessége, amely rövid megszakítások, például kiszolgálói feladatátvételek vagy rövid hálózati fennakadások esetén aktív marad a nyitott fájlkezelők számára. Alapértelmezés szerint minden SMB Azure fájlmegosztás folyamatosan elérhető. Ez a beállítás nem tiltható le.

Mit biztosít a folyamatos rendelkezésre állás?

A folyamatos rendelkezésre állás a következő előnyöket biztosítja:

• Állandó fájlkezelők, amelyek túlélik az átmeneti hibákat
• Az I/O-műveletek zökkenőmentes helyreállítása hibaváltás után
• Adatkonzisztencia az infrastruktúraváltások során
• Az alkalmazáskimaradás kockázatának csökkentése

Ha rövid kapcsolatkimaradás történik, az SMB-ügyfelek automatikusan újrapróbálkoznak a műveleteken, és újra megnyitják a fájlokat anélkül, hogy az alkalmazásnak újra kellene nyitnia őket. Ez a viselkedés különösen fontos a hosszú ideig futó fájl munkameneteket karbantartó számítási feladatok esetében.

A folyamatos rendelkezésre állás működése

A folyamatos rendelkezésre állás állandó SMB-leírókra támaszkodik. Átmeneti megszakítás esetén, amely általában több percig tart, a következő utasítások érvényesek:

• A fájlleírók megnyitása érvényes marad.
• Az SMB-ügyfél újrapróbálkozza a függőben lévő I/O-műveleteket.
• Azure Files transzparensen folytatja a műveleteket a kapcsolat visszaállítása után.

Mivel Azure Files rangsorolja a helyességet és a tartósságot, az ügyfél a művelet azonnali meghiúsulása helyett várakozik és újrapróbálkzik.

Időtúllépési viselkedés a kapcsolat elvesztése során

A folyamatos rendelkezésre álláshoz szükséges újrapróbálkozási viselkedés miatt az SMB-műveletek hosszabb időtúllépést is igénybe vehetnek a hálózati megszakítások során.

Előfordulhat például, hogy a következőket tapasztalja:

• Windows SMB-ügyfelek néhány percig újrapróbálkozhatnak, mielőtt hibát adnak vissza.
• Előfordulhat, hogy az alkalmazások ideiglenesen szünetelnek, amíg a kapcsolat újra létrejön.

Ez a viselkedés azért tervezett, mert segít megőrizni az integritást, és megelőzni az adatsérülést. Gyakran megszakadó munkaterhelések, például a roaming laptopok vagy az instabil hálózati kapcsolatok, hosszabb várakozási időt tapasztalhatnak, mielőtt a hibák visszaérkeznek.

SMB többcsatornás

Az SMB Multichannel lehetővé teszi, hogy egy SMB 3.x-ügyfél több hálózati kapcsolatot létesítsen egy SMB-fájlmegosztáshoz. Azure Files csak SSD-fájlmegosztásokon támogatja a többcsatornás SMB-t. Windows ügyfelek esetében az SMB Multichannel alapértelmezés szerint engedélyezve van minden Azure régióban. A legtöbb forgatókönyvben, különösen a többszálas számítási feladatokban az ügyfelek jobb teljesítményt látnak az SMB Multichannel használatával. Bizonyos konkrét forgatókönyvek, például egyszálas számítási feladatok vagy tesztelési célokra azonban érdemes lehet letiltani a többcsatornás SMB-t. További részletekért lásd az SMB Multichannelt .

Biztonság

Azure Files az összes inaktív adatot titkosítja Azure storage service encryption (SSE) használatával. Dönthet úgy is, hogy titkosítja az átvitel alatt lévő adatokat.

Adatok nyugalmi állapotban történő titkosítása

A tárolási szolgáltatás titkosítása a BitLockerhez hasonlóan működik Windows: a fájlrendszer szintjén lévő adatokat titkosítja. Mivel az adatok a lemezre kódolt Azure fájlmegosztás fájlrendszere alatt titkosítva van, nem kell hozzáférnie az ügyfél mögöttes kulcsához a Azure fájlmegosztás olvasásához vagy írásához.

Titkosítás az átvitel során

Azure Files dedikált Require Encryption in Transit for SMB beállítást biztosít, amellyel önállóan szabályozhatja, hogy szükséges-e titkosítás Azure fájlmegosztásokhoz való SMB-hozzáféréshez. Ez a protokollonkénti beállítás részletesebb vezérlést biztosít, mint a tárfiókszintű biztonságos átvitelhez szükséges beállítás, amely most csak a REST/HTTPS-forgalomra vonatkozik. A Azure portállal létrehozott új tárfiókok esetében alapértelmezés szerint engedélyezve van a Require Encryption in Transit for SMB, így csak az SMB 3.x titkosítást használó SMB-csatlakoztatások engedélyezettek. Az SMB 3.x-es SMB-csatornatitkosítást nem támogató ügyfelek csatlakoztatásait a rendszer elutasítja, ha engedélyezve van az átvitel közbeni titkosítás. Az Azure PowerShell, Azure CLI vagy a FileREST API segítségével létrehozott tárfiókok esetében a Require Encryption in Transit for SMB beállítás Nincs kiválasztva, hogy biztosítsák a visszamenőleges kompatibilitást.

A meglévő tárfiókok esetében az SMB-hez tartozó átvitel titkosításának megkövetelése kezdetben Nem kijelöltként jelenik meg. Bár nincs kiválasztva, a biztonságos átvitelhez szükséges beállítás továbbra is szabályozza az SMB titkosítási viselkedését. Miután explicit módon konfigurálta az előírt titkosítást az SMB átvitelhez, ez a beállítás elsőbbséget élvez az SMB hozzáférés felett, függetlenül az előírt biztonságos átvitel értéktől.

Azure Files támogatja az AES-256-GCM-et az SMB 3.1.1-es verziójával, ha Windows Server 2022 vagy Windows 11 használ. Az SMB 3.1.1 az AES-128-GCM-et is támogatja, az SMB 3.0 pedig az AES-128-CCM-et. Az AES-128-GCM alapértelmezetten van beállítva a Windows 10 21H1-es verzióján teljesítménybeli okokból.

A Azure fájlmegosztások átvitel közbeni titkosítását letilthatja. Ha a titkosítás le van tiltva, Azure Files engedélyezi az SMB 2.1-et és az SMB 3.x-et titkosítás nélkül. Az átvitel közbeni titkosítás letiltásának elsődleges oka egy régebbi operációs rendszeren , például Windows Server 2008 R2-n vagy régebbi Linux-disztribúción futó régebbi alkalmazások támogatása. Azure Files csak az SMB 2.1-kapcsolatokat engedélyezi ugyanabban a Azure régióban, mint a Azure fájlmegosztás. A Azure fájlmegosztás Azure régióján kívüli SMB 2.1-ügyfél, például a helyszíni vagy egy másik Azure régióban nem tudja elérni a fájlmegosztást.

SMB biztonsági beállítások

Azure Files olyan beállításokat tesz elérhetővé, amelyekkel az SMB protokoll kompatibilisebbé vagy biztonságosabbá tehető a szervezet igényeitől függően. Alapértelmezés szerint a Azure Files maximálisan kompatibilisnek van konfigurálva, ezért ne feledje, hogy a beállítások korlátozása miatt egyes ügyfelek nem tudnak csatlakozni.

Azure Files a következő beállításokat teszi elérhetővé:

• SMB-verziók: Az SMB mely verziói engedélyezettek. Támogatott protokollverziók: SMB 3.1.1, SMB 3.0 és SMB 2.1. Alapértelmezés szerint minden SMB-verzió engedélyezett, bár az SMB 2.1 nem engedélyezett, ha engedélyezve van az SMB-hez szükséges titkosítás (vagy ha a biztonságos átvitelhez szükséges beállítás szabályozza az SMB viselkedését), mert az SMB 2.1 nem támogatja az átvitel közbeni titkosítást.
• Hitelesítési módszerek: Mely SMB hitelesítési módszerek engedélyezettek. A támogatott hitelesítési módszerek az NTLMv2 (csak tárfiókkulcs) és a Kerberos. Alapértelmezés szerint minden hitelesítési módszer engedélyezett. Az NTLMv2 eltávolítása nem engedélyezi a tárfiókkulcs használatával a Azure fájlmegosztás csatlakoztatását. Azure Files nem támogatja az NTLM-hitelesítés használatát a tartományi hitelesítő adatokhoz.
• Kerberos-jegytitkosítás: Mely titkosítási algoritmusok engedélyezettek. A támogatott titkosítási algoritmusok az AES-256 (erősen ajánlott) és az RC4-HMAC.
• SMB-csatornatitkosítás: Mely SMB-csatornatitkosítási algoritmusok engedélyezettek. A támogatott titkosítási algoritmusok az AES-256-GCM, az AES-128-GCM és az AES-128-CCM. Ha csak az AES-256-GCM-et választja, meg kell adnia a csatlakozó ügyfeleknek, hogy használják. Ehhez minden ügyfélen meg kell nyitnia egy PowerShell-terminált rendszergazdaként, és futtatnia Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$falsekell. Az AES-256-GCM használata nem támogatott Windows Windows 11/Windows Server 2022-nél régebbi ügyfeleken.

Az SMB biztonsági beállításait a Azure portál, Azure PowerShell vagy a Azure CLI használatával tekintheti meg és módosíthatja. A kívánt fülre kattintva megtekintheti az SMB biztonsági beállításainak beolvasásával és beállításával kapcsolatos lépéseket. Vegye figyelembe, hogy ezek a beállítások az SMB-munkamenet létrehozásakor vannak ellenőrizve, és ha nem teljesülnek, az SMB-munkamenet beállítása a hibával STATUS_ACCESS_DENIEDmeghiúsul.

Portál

Ha meg szeretné tekinteni vagy módosítani szeretné az SMB biztonsági beállításait a Azure portálon, kövesse az alábbi lépéseket:

1. Jelentkezzen be a Azure portálra, és keressen Storage-fiókokat. Válassza ki azt a tárfiókot, amelyhez meg szeretné tekinteni vagy módosítani szeretné az SMB biztonsági beállításait.

2. A szolgáltatásmenüben válassza az Adattárolási>fájlmegosztások lehetőséget.

3. A Fájlmegosztás beállításai csoportban válassza ki a Biztonsághoz társított értéket.

   

4. Kifejezetten engedélyezheti vagy kikapcsolhatja az SMB átviteléhez szükséges titkosítást. A Azure portál használatával létrehozott új tárfiókok esetében ez a beállítás alapértelmezés szerint engedélyezve van.

5. A Profil csoportban válassza a Maximális kompatibilitás, a Maximális biztonság vagy az Egyéni lehetőséget. Az Egyéni beállítással egyéni profilt hozhat létre az SMB protokollverziókhoz, az SMB-csatorna titkosításához, a hitelesítési mechanizmusokhoz és a Kerberos-jegytitkosításhoz.

   Fontos

   A Maximális biztonság vagy az egyéni beállítások használata esetén előfordulhat, hogy egyes ügyfelek nem tudnak csatlakozni. Az AES-256-GCM például SMB-csatornatitkosítási lehetőségként lett bevezetve Windows Server 2022 és Windows 11 kezdve. Ez azt jelenti, hogy az AES-256-GCM-t nem támogató régebbi ügyfelek nem tudnak csatlakozni. Ha csak az AES-256-GCM-et választja, be kell állítania, hogy a Windows Server 2022 és Windows 11 ügyfelek kizárólag az AES-256-GCM-et használják. Ehhez nyisson meg egy PowerShell-terminált rendszergazdaként minden ügyfélen, majd futtassa a Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

   

Miután megadta a kívánt biztonsági beállításokat, válassza a Mentés lehetőséget.

PowerShell

Az SMB protokoll beállításainak lekéréséhez használja a Get-AzStorageFileServiceProperty parancsmagot. Cserélje le a <resource-group> és <storage-account> elemeket a környezetének megfelelő értékekre. Ha bármelyik SMB biztonsági beállítást null értékűre állítja, például az SMB-csatorna titkosításának letiltásával, tekintse meg a szkript utasításait bizonyos sorok megjegyzésével kapcsolatban.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

A szervezet biztonsági, teljesítmény- és kompatibilitási követelményeitől függően érdemes lehet módosítani az SMB protokoll beállításait. Az alábbi PowerShell-parancs csak a legbiztonságosabb beállításokra korlátozza az SMB-fájlmegosztásokat.

Fontos

Ha csak a legbiztonságosabb beállításokra korlátozza az SMB-Azure fájlmegosztásokat, előfordulhat, hogy egyes ügyfelek nem tudnak csatlakozni. Az AES-256-GCM például SMB-csatornatitkosítási lehetőségként lett bevezetve Windows Server 2022 és Windows 11 kezdve. Ez a korlátozás azt jelenti, hogy az AES-256-GCM-t nem támogató régebbi ügyfelek nem tudnak csatlakozni. Ha csak az AES-256-GCM-et választja, be kell állítania, hogy a Windows Server 2022 és Windows 11 ügyfelek kizárólag az AES-256-GCM-et használják. Ehhez nyisson meg egy PowerShell-terminált rendszergazdaként minden ügyfélen, majd futtassa a Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

A biztonsági követelményektől függően érdemes lehet engedélyezni vagy letiltani a Titkosítás megkövetelése átvitel közben beállítást az SMB-hez .

Ha engedélyezni szeretné a titkosítás megkövetelése átvitel közben az SMB-hez a tárfiókon, futtassa a következő parancsmagot:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Ha le szeretné tiltani az SMB-hez tartozó titkosítás megkövetelése átvitel közben a tárfiókon, futtassa a következő parancsmagot:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Azure parancssori felület

Az SMB biztonsági beállításainak állapotának lekéréséhez használja a az storage account file-service-properties show parancsot. Mielőtt futtatná ezeket a Bash-parancsokat, cserélje le a(z) <resource-group> és <storage-account> helyőrzőket a környezetének megfelelő értékekre. Ha szándékosan null értékre állítja az SMB biztonsági beállításait, például az SMB-csatorna titkosításának letiltásával, tekintse meg a szkript utasításait bizonyos sorok megjegyzésével kapcsolatban.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

A szervezet biztonsági, teljesítmény- és kompatibilitási követelményeitől függően érdemes lehet módosítani az SMB protokoll beállításait. Az alábbi Azure CLI parancs csak a legbiztonságosabb beállításokra korlátozza az SMB-fájlmegosztásokat.

Fontos

Ha csak a legbiztonságosabb beállításokra korlátozza az SMB-Azure fájlmegosztásokat, előfordulhat, hogy egyes ügyfelek nem tudnak csatlakozni. Az AES-256-GCM például SMB-csatornatitkosítási lehetőségként lett bevezetve Windows Server 2022 és Windows 11 kezdve. Ez a korlátozás azt jelenti, hogy az AES-256-GCM-t nem támogató régebbi ügyfelek nem tudnak csatlakozni. Ha csak az AES-256-GCM-et választja, be kell állítania, hogy a Windows Server 2022 és Windows 11 ügyfelek kizárólag az AES-256-GCM-et használják. Ehhez nyisson meg egy PowerShell-terminált rendszergazdaként minden ügyfélen, majd futtassa a Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

A biztonsági követelményektől függően érdemes lehet engedélyezni vagy letiltani a Titkosítás megkövetelése átvitel közben beállítást az SMB-hez .

Ha engedélyezni szeretné a titkosítás megkövetelése átvitel közben az SMB-hez a tárfiókon, futtassa a következő parancsot:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Ha le szeretné tiltani az SMB-hez tartozó titkosítás megkövetelése átvitel közben a tárfiókon, futtassa a következő parancsot:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Korlátozások

Az SMB Azure fájlmegosztások támogatják az SMB protokoll és az NTFS fájlrendszer által támogatott funkciók egy részét. Bár a legtöbb használati eset és alkalmazás nem igényli ezeket a funkciókat, előfordulhat, hogy egyes alkalmazások nem működnek megfelelően a Azure Files, ha nem támogatott funkciókra támaszkodnak. A következő funkciók nem támogatottak:

• Közvetlen SMB
• SMB-címtár bérbeadása
• VSS SMB-fájlmegosztásokhoz (ez a funkció lehetővé teszi, hogy a VSS-szolgáltatók a pillanatkép készítése előtt kiürítsék az adataikat az SMB-fájlmegosztásba)
• Alternatív adatstreamek
• Kiterjesztett attribútumok
• Objektumazonosítók
• Kemény hivatkozások
• Szimbolikus hivatkozások
• Pontok újraelemzése
• Ritka fájlok
• Rövid fájlnevek (8.3 alias)
• Tömörítés

Regionális elérhetőség

Az SMB Azure fájlmegosztások minden Azure régióban elérhetők, beleértve az összes nyilvános és szuverén régiót is. Az SSD-fájlmegosztások a régiók egy részhalmazában érhetők el.

Következő lépések

• Terv Azure Files üzembe helyezéshez
• Azure fájlmegosztás létrehozása
• SMB-fájlmegosztások csatlakoztatása az előnyben részesített operációs rendszerre:
  • SMB-fájlmegosztások csatlakoztatása Windows
  • SMB-fájlmegosztások csatlakoztatása Linuxon
  • SMB-fájlmegosztások csatlakoztatása macOS rendszeren