Megosztás a következőn keresztül:

Azure-fájlmegosztás csatlakoztatása

  • Cikk

A cikk megkezdése előtt ellenőrizze, hogy elolvasta-e a címtár- és fájlszintű engedélyek SMB-en keresztüli konfigurálását.

A cikkben ismertetett folyamat ellenőrzi, hogy az SMB-fájlmegosztás és a hozzáférési engedélyek megfelelően vannak-e beállítva, és hogy csatlakoztathatja-e az SMB Azure-fájlmegosztást. Ne feledje, hogy a megosztási szintű szerepkör-hozzárendelés érvénybe lépése eltarthat egy ideig.

Jelentkezzen be az ügyfélbe annak az identitásnak a hitelesítő adataival, amely számára engedélyt adott.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Igen Nem
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Igen Nem
Prémium fájlmegosztások (FileStorage), LRS/ZRS Igen Nem

Csatlakoztatási előfeltételek

Az Azure-fájlmegosztás csatlakoztatása előtt győződjön meg arról, hogy elvégezte az alábbi előfeltételeket:

  • Ha olyan ügyfélről csatlakoztatja a fájlmegosztást, amely korábban a tárfiókkulcsával csatlakozott a fájlmegosztáshoz, győződjön meg arról, hogy leválasztotta a megosztást, eltávolította a tárfiókkulcs állandó hitelesítő adatait, és jelenleg AD DS-hitelesítő adatokat használ a hitelesítéshez. A gyorsítótárazott hitelesítő adatok tárfiók-kulccsal való eltávolítására és a meglévő SMB-kapcsolatok törlésére vonatkozó utasításokért az AD DS-vel vagy a Microsoft Entra hitelesítő adataival való új kapcsolat inicializálása előtt kövesse a kétlépéses folyamatot a GYIK oldalon.
  • Az ügyfélnek akadálytalan hálózati kapcsolattal kell rendelkeznie az AD DS-hez. Ha a gép vagy virtuális gép az AD DS által felügyelt hálózaton kívül található, engedélyeznie kell a VPN-t az AD DS eléréséhez és a hitelesítés elvégzéséhez.

A fájlmegosztás csatlakoztatása tartományhoz csatlakoztatott virtuális gépről

Futtassa az alábbi PowerShell-szkriptet, vagy használja az Azure Portalt az Azure-fájlmegosztás állandó csatlakoztatásához és a Z meghajtóra való leképezéséhez Windows rendszeren. Ha a Z: már használatban van, cserélje le egy elérhető meghajtóbetűjelre. A szkript ellenőrzi, hogy ez a tárfiók elérhető-e a 445-ös TCP-porton keresztül, amely az SMB által használt port. Ne felejtse el lecserélni a helyőrző értékeket a saját értékeire. További információ: Azure-fájlmegosztás használata a Windowssal.

Ha nem egyéni tartományneveket használ, akkor is csatlakoztatnia kell az Azure-fájlmegosztásokat az utótag file.core.windows.nethasználatával, még akkor is, ha privát végpontot állít be a megosztáshoz.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

A windowsos parancssorból származó parancsot is használhatja net-use a fájlmegosztás csatlakoztatásához. Ne felejtse el lecserélni <YourStorageAccountName> a <FileShareName> saját értékeit.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Ha problémákba ütközik, olvassa el az Azure-fájlmegosztások AD-hitelesítő adatokkal való csatlakoztatásának sikertelenségével foglalkozó témakört.

A fájlmegosztás csatlakoztatása nem tartományhoz csatlakoztatott virtuális gépről vagy egy másik AD-tartományhoz csatlakoztatott virtuális gépről

A nem tartományhoz csatlakoztatott virtuális gépek vagy virtuális gépek, amelyek a tárfióktól eltérő AD-tartományhoz csatlakoznak, hozzáférhetnek az Azure-fájlmegosztásokhoz, ha nem engedélyezett hálózati kapcsolattal rendelkeznek a tartományvezérlőkkel, és explicit hitelesítő adatokat (felhasználónevet és jelszót) adnak meg. A fájlmegosztáshoz hozzáférő felhasználónak identitással és hitelesítő adatokkal kell rendelkeznie abban az AD-tartományban, amelyhez a tárfiók csatlakozik.

Ha nem tartományhoz csatlakoztatott virtuális gépről szeretne fájlmegosztást csatlakoztatni, használja a username@domainFQDN jelölést, ahol a domainFQDN a teljes tartománynév. Ez lehetővé teszi, hogy az ügyfél kapcsolatba lépjen a tartományvezérlővel, hogy Kerberos-jegyeket kérjen és fogadjon. A domainFQDN értékét az Active Directory PowerShellben futtatva (Get-ADDomain).Dnsroot szerezheti be.

Például:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Feljegyzés

Az Azure Files nem támogatja a sid-to UPN-fordítást a nem tartományhoz csatlakoztatott virtuális gépekről származó felhasználók és csoportok, illetve a Windows Fájlkezelő keresztül egy másik tartományhoz csatlakoztatott virtuális gép esetében. Ha meg szeretné tekinteni a fájl-/könyvtártulajdonosokat, vagy meg szeretné tekinteni/módosítani az NTFS-engedélyeket a Windows Fájlkezelő keresztül, ezt csak tartományhoz csatlakoztatott virtuális gépekről teheti meg.

Fájlmegosztások csatlakoztatása egyéni tartománynevek használatával

Ha nem szeretné csatlakoztatni az Azure-fájlmegosztásokat az utótaggal file.core.windows.net, módosíthatja az Azure-fájlmegosztáshoz társított tárfióknév utótagját, majd hozzáadhat egy canonical name (CNAME) rekordot, amellyel az új utótagot a tárfiók végpontjára irányíthatja. Az alábbi utasítások csak egyerdős környezetekre vonatkozik. A két vagy több erdővel rendelkező környezetek konfigurálásáról további információt az Azure Files használata több Active Directory-erdővel című témakörben talál.

Feljegyzés

Az Azure Files csak a CNAMES konfigurálását támogatja tartományelőtagként a tárfióknév használatával. Ha nem szeretné előtagként használni a tárfiók nevét, fontolja meg az elosztott fájlrendszerbeli névkészletek használatát.

Ebben a példában az Active Directory-tartomány onpremad1.com, és van egy mystorageaccount nevű tárfiókunk, amely SMB Azure-fájlmegosztásokat tartalmaz. Először módosítani kell a tárfiók SPN-utótagját, hogy mystorageaccount.onpremad1.com megfeleltetjük mystorageaccount.file.core.windows.net.

Ez lehetővé teszi, hogy az ügyfelek csatlakoztatják a megosztástnet use \\mystorageaccount.onpremad1.com, mert az onpremad1-ben lévő ügyfelek tudni fogják, hogy keresnek onpremad1.com a tárfiók megfelelő erőforrásának megkereséséhez.

A módszer használatához hajtsa végre a következő lépéseket:

  1. Győződjön meg arról, hogy identitásalapú hitelesítést állított be, és szinkronizálta az AD felhasználói fiókját a Microsoft Entra-azonosítóval.

  2. Módosítsa a tárfiók egyszerű szolgáltatásnevét az setspn eszközzel. A következő Active Directory PowerShell-parancs futtatásával találhatja meg <DomainDnsRoot> : (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Adjon hozzá egy CNAME-bejegyzést az Active Directory DNS Managerrel, és kövesse az alábbi lépéseket a tárfiókhoz csatlakoztatott tartomány minden tárfiókja esetében. Ha privát végpontot használ, adja hozzá a CNAME bejegyzést a privát végpont nevére való leképezéshez.

    1. Nyissa meg az Active Directory DNS Managert.
    2. Lépjen a tartományára (például onpremad1.com).
    3. Lépjen a "Keresési zónák továbbítása" elemre.
    4. Válassza ki a tartománya után elnevezett csomópontot (például onpremad1.com), és kattintson a jobb gombbal az Új alias (CNAME) elemre.
    5. Az aliasnévhez adja meg a tárfiók nevét.
    6. A teljes tartománynévhez (FQDN) írja be <storage-account-name>a .<domain-name>, például mystorageaccount.onpremad1.com. A teljes tartománynév állomásnevének meg kell egyeznie a tárfiók nevével. Ellenkező esetben hozzáférés-megtagadási hibát fog kapni az SMB-munkamenet beállítása során.
    7. A cél gazdagép teljes tartománynevéhez írja be <storage-account-name>a .file.core.windows.net
    8. Kattintson az OK gombra.

Most már csatlakoztathatja a fájlmegosztást storageaccount.domainname.com használatával. A fájlmegosztást a tárfiók kulcsával is csatlakoztathatja.

Következő lépés

Ha az AD DS-ben a tárfiókot jelképezendő identitás olyan tartományban vagy szervezeti egységben található, amely a jelszóváltást kényszeríti, előfordulhat, hogy frissítenie kell a tárfiók identitásának jelszavát az AD DS-ben.