Megosztás a következőn keresztül:

SMB Azure-fájlmegosztás csatlakoztatása Windows rendszeren

A következőkre vonatkozik: ✔️ SMB Azure-fájlmegosztások

Az Azure Files a Microsoft könnyen használható felhőalapú fájlrendszere. Ez a cikk bemutatja, hogyan csatlakoztathat SMB Azure-fájlmegosztást Windowsra és Windows Serverre.

Az Azure Files csak SSD-fájlmegosztásokon támogatja a többcsatornás SMB-t .

Windows-verzió SMB-verzió Azure Files SMB többcsatornás támogatás Maximális SMB-csatornatitkosítás
Windows Server 2025 SMB 3.1.1 Igen AES-256-GCM
Windows 11, 24H2-es verzió SMB 3.1.1 Igen AES-256-GCM
Windows 11, 23H2-es verzió SMB 3.1.1 Igen AES-256-GCM
Windows 11, 22H2-es verzió SMB 3.1.1 Igen AES-256-GCM
Windows 10, 22H2-es verzió SMB 3.1.1 Igen AES-128-GCM
Windows Server 2022 SMB 3.1.1 Igen AES-256-GCM
Windows 11, 21H2-es verzió SMB 3.1.1 Igen AES-256-GCM
Windows 10, 21H2-es verzió SMB 3.1.1 Igen AES-128-GCM
Windows 10, 21H1 verzió SMB 3.1.1 Igen, KB5003690 vagy újabb esetén AES-128-GCM
Windows Server, 20H2 verzió SMB 3.1.1 Igen, KB5003690 vagy újabb esetén AES-128-GCM
Windows 10, 20H2 verzió SMB 3.1.1 Igen, KB5003690 vagy újabb esetén AES-128-GCM
Windows Server, 2004-es verzió SMB 3.1.1 Igen, KB5003690 vagy újabb esetén AES-128-GCM
Windows 10, 2004-es verzió SMB 3.1.1 Igen, KB5003690 vagy újabb esetén AES-128-GCM
Windows Server 2019 SMB 3.1.1 Igen, KB5003703 vagy újabb esetén AES-128-GCM
Windows 10, 1809-es verzió SMB 3.1.1 Igen, KB5003703 vagy újabb esetén AES-128-GCM
Windows Server 2016 SMB 3.1.1 Igen, a KB5004238 vagy újabb frissítés esetén, valamint az alkalmazott beállításkulcs esetén. AES-128-GCM
Windows 10, 1607-es verzió SMB 3.1.1 Igen, a KB5004238 vagy újabb frissítés esetén, valamint az alkalmazott beállításkulcs esetén. AES-128-GCM
Windows 10, 1507-es verzió SMB 3.1.1 Igen, KB5004249 vagy újabb esetén és alkalmazott beállításkulcs esetén AES-128-GCM
Windows Server 2012 R21 KKV 3.0 Nem AES-128-CCM
Windows Server 20121 KKV 3.0 Nem AES-128-CCM
Windows 8.12 KKV 3.0 Nem AES-128-CCM
Windows Server 2008 R2 2 SMB 2.1 Nem Nem támogatott
Windows 72 SMB 2.1 Nem Nem támogatott

1A Windows Server 2012 és a Windows Server 2012 R2 rendszeres Microsoft-támogatása véget ért. A biztonsági frissítésekhez csak a kiterjesztett biztonsági frissítés (ESU) programon keresztül vásárolhat további támogatást.

2 AWindows 7, a Windows 8 és a Windows Server 2008 R2 Microsoft-támogatása véget ért. Határozottan javasoljuk, hogy migrálja ezeket az operációs rendszereket.

Feljegyzés

Javasoljuk, hogy a Legújabb TUDÁSBÁZIS-t használja a Windows verziójához.

Győződjön meg arról, hogy a 445-ös port nyitva van

Az SMB protokollnak meg kell nyitnia a 445-ös TCP-portot. A kapcsolatok sikertelenek lesznek, ha a 445-ös port le van tiltva. A PowerShell-parancsmaggal ellenőrizheti, hogy a tűzfal vagy az internetszolgáltató blokkolja-e a Test-NetConnection 445-ös portot. További információ: A 445-ös port le van tiltva.

Ha az Azure-fájlmegosztást SMB-n keresztül szeretné csatlakoztatni az Azure-on kívülről a 445-ös port megnyitása nélkül, használhat pont–hely VPN-t.

Ahhoz, hogy azure-fájlmegosztást használhasson a nyilvános végponton keresztül azon az Azure-régión kívül, amelyben üzemeltetett , például helyszíni vagy egy másik Azure-régióban, az operációs rendszernek támogatnia kell az SMB 3.x-et. A Windows azon régebbi verziói, amelyek csak az SMB 2.1-et támogatják, nem tudják csatlakoztatni az Azure-fájlmegosztásokat a nyilvános végponton keresztül.

Identitásalapú hitelesítés használata

A biztonság és a hozzáférés-vezérlés javítása érdekében konfigurálhatja az identitásalapú hitelesítést és a tartományhoz való csatlakozást az ügyfelekhez. Ez lehetővé teszi az Active Directory vagy a Microsoft Entra-identitás használatát a fájlmegosztás eléréséhez a tárfiókkulcs használata helyett.

Ahhoz, hogy identitásalapú hitelesítéssel csatlakoztathassa az Azure-fájlmegosztásokat, a következőket kell elvégeznie:

  • Ossza ki a megosztási szintű engedélyeket , és konfigurálja a címtár- és fájlszintű engedélyeket. Ne feledje, hogy a megosztási szintű szerepkör-hozzárendelés érvénybe lépése eltarthat egy ideig.
  • Ha olyan ügyfélről csatlakoztatja a fájlmegosztást, amely korábban a tárfiókkulcsával csatlakozott a fájlmegosztáshoz, győződjön meg arról, hogy először leválasztja a megosztást, és eltávolítja a tárfiókkulcs állandó hitelesítő adatait. A gyorsítótárazott hitelesítő adatok eltávolítására és a meglévő SMB-kapcsolatok törlésére vonatkozó utasításokért az Active Directory Domain Services (AD DS) vagy a Microsoft Entra hitelesítő adataival való új kapcsolat inicializálása előtt kövesse a gyakori kérdések kétlépéses folyamatát.
  • Ha az AD-forrás AD DS vagy Microsoft Entra Kerberos, az ügyfélnek akadálytalan hálózati kapcsolattal kell rendelkeznie az AD DS-hez. Ha a gép vagy a virtuális gép kívül esik az AD DS által felügyelt hálózaton, engedélyeznie kell a VPN-t az AD DS hitelesítéshez való eléréséhez.
  • Jelentkezzen be az ügyfélbe annak az AD DS-nek vagy Microsoft Entra-identitásnak a hitelesítő adataival, amelyekhez ön engedélyt adott.

Ha problémákba ütközik, olvassa el az Azure-fájlmegosztások AD-hitelesítő adatokkal való csatlakoztatásának sikertelenségével foglalkozó témakört.

Azure-fájlmegosztás használata a Windows használatával

Az Azure-fájlmegosztások Windowson való használatához csatlakoztatnia kell azokat, azaz hozzájuk kell rendelnie egy meghajtó betűjelét vagy egy csatlakoztatási pont elérési útját, vagy pedig az UNC-útvonalukon keresztül érheti el azokat. Az Azure-fájlmegosztások csatlakoztatásához jelenleg nem támogatott a közös hozzáférésű jogosultságkódok (SAS-jogkivonatok).

Feljegyzés

Az üzletági (LOB) alkalmazásoknak az Azure-ba való SMB-fájlmegosztásra számító gyakori mintája, hogy egy Azure-fájlmegosztást használnak alternatívaként egy dedikált Windows-fájlkiszolgáló azure-beli virtuális gépen (VM) való futtatásához. Egy LOB-alkalmazás Azure-fájlmegosztás használatára történő sikeres migrálásának egyik fontos szempontja, hogy számos alkalmazás a virtuális gép felügyeleti fiókja helyett egy korlátozott rendszerengedélyekkel rendelkező dedikált szolgáltatásfiók környezetében fut. Ezért győződjön meg róla, hogy az Azure-fájlmegosztáshoz szükséges hitelesítő adatokat a szolgáltatásfiók helyett a rendszergazdai fiókon keresztül csatlakoztatja/menti.

Az Azure-fájlmegosztás csatlakoztatása

Az Azure Portal vagy az Azure PowerShell használatával csatlakoztathat egy SMB Azure-fájlmegosztást Windows rendszeren.

Ha Azure-fájlmegosztást szeretne csatlakoztatni az Azure Portalon, kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a csatlakoztatni kívánt fájlmegosztást tartalmazó tárfiókra.

  3. Válassza a Fájlmegosztások lehetőséget.

  4. Válassza ki a csatlakoztatni kívánt fájlmegosztást.

    Képernyőkép a fájlmegosztások panelről, a fájlmegosztás ki van emelve.

  5. Válassza a Kapcsolódás lehetőséget.

    Képernyőkép a fájlmegosztás csatlakozás ikonjáról.

  6. Válassza ki a meghajtó betűjelét a megosztás csatlakoztatásához.

  7. A Hitelesítési módszer csoportban válassza az Active Directory vagy a Microsoft Entra lehetőséget. Ha egy üzenet jelenik meg arról, hogy az identitásalapú hitelesítés nincs konfigurálva a tárfiókhoz, akkor az identitásalapú hitelesítés áttekintésében ismertetett módszerek egyike alapján konfigurálja, és próbálja meg újból csatlakoztatni a megosztást.

  8. Válassza a Szkript megjelenítése lehetőséget, majd másolja ki a megadott szkriptet.

    Képernyőkép a csatlakozás panelről, a szkript másolási gombja ki van emelve.

  9. Illessze be a szkriptet egy felületbe azon a gazdagépen, amelybe csatlakoztatni szeretné a fájlmegosztást, és futtassa.

Most csatlakoztatta az Azure-fájlmegosztást.

Az Azure-fájlmegosztás csatlakoztatása a Windows parancssorával

A Windows parancssorból is használhatja a net use parancsot a fájlmegosztás csatlakoztatásához.

A fájlmegosztást csatlakoztassa egy domain-hez csatlakoztatott virtuális gépről

Ha tartományhoz csatlakoztatott virtuális gépről szeretné csatlakoztatni a fájlmegosztást, futtassa a következő parancsot egy Windows parancssorból. Ne felejtse el lecserélni <YourStorageAccountName> és <FileShareName> saját értékeivel.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

A megosztott fájl csatlakoztatása nem tartományhoz kapcsolódó virtuális gépről vagy egy másik AD-tartományhoz kapcsolódó virtuális gépről

Ha az AD-forrás helyszíni AD DS, akkor a nem AD-tartományhoz csatlakoztatott virtuális gépek vagy a tárfióktól eltérő AD-tartományhoz csatlakoztatott virtuális gépek hozzáférhetnek az Azure-fájlmegosztásokhoz, ha akadálytalan hálózati kapcsolattal rendelkeznek az AD-tartományvezérlőkhöz és explicit hitelesítő adatokat biztosítanak. A fájlmegosztáshoz hozzáférő felhasználónak identitással és hitelesítő adatokkal kell rendelkeznie abban az AD-tartományban, amelyhez a tárfiók csatlakozik.

Ha az AD-forrás a Microsoft Entra Domain Services, akkor az ügyfélnek akadálytalan hálózati kapcsolattal kell rendelkeznie a Microsoft Entra Domain Services tartományvezérlőivel, amelyhez helyek közötti vagy pont–hely VPN-t kell beállítania. A fájlmegosztáshoz hozzáférő felhasználónak rendelkeznie kell egy identitással (a Microsoft Entra-azonosítóról a Microsoft Entra Domain Services szolgáltatásba szinkronizált Microsoft Entra-identitással) a Microsoft Entra Domain Services felügyelt tartományában.

Ha egy nem tartományhoz csatlakoztatott virtuális gépről szeretne fájlmegosztást csatlakoztatni, használja a username@domainFQDN formátumot, ahol a domainFQDN a teljes tartománynév, így az ügyfél kapcsolatba léphet a tartományvezérlővel, hogy Kerberos-jegyeket kérjen és kapjon. A domainFQDN értékét az Active Directory PowerShellben futtatva (Get-ADDomain).Dnsroot szerezheti be.

Például:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Ha az AD-forrás a Microsoft Entra Domain Services, akkor olyan hitelesítő adatokat is megadhat, mint a DOMAINNAME\felhasználónév , ahol a TARTOMÁNYNÉV a Microsoft Entra Domain Services tartománya, a felhasználónév pedig az identitás felhasználóneve a Microsoft Entra Domain Servicesben:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Az Azure Portal egy PowerShell-szkriptet biztosít, amellyel közvetlenül csatlakoztathatja a fájlmegosztást egy gazdagéphez a tárfiókkulcs használatával. Biztonsági okokból azonban azt javasoljuk, hogy biztonsági okokból a tárfiókkulcs helyett identitásalapú hitelesítést használjunk. Ha a tárfiókkulcsot kell használnia, kövesse a csatlakoztatási utasításokat, de a Hitelesítési módszer területen válassza a Tárfiókkulcs lehetőséget.

A tárfiókkulcs egy tárfiók rendszergazdai kulcsa, beleértve a tárfiókban található összes fájlra és mappára vonatkozó rendszergazdai engedélyeket, valamint a tárfiókban található összes fájlmegosztást és egyéb tárolási erőforrást (blobokat, üzenetsorokat, táblákat stb.). A tárfiók kulcsát az Azure Portalon a tárfiókra lépve és a Security + hálózati>hozzáférési kulcsok kiválasztásával, vagy a Get-AzStorageAccountKey PowerShell-parancsmag használatával találja meg.

Az Azure-fájlmegosztás csatlakoztatása a Fájlkezelővel

  1. Nyissa meg a Fájlkezelőt a Start menüből, vagy a Win+E billentyűparancs megnyomásával.

  2. Navigáljon az Ez a gép ikonra az ablak bal oldalán található listában. Ez módosítja a szalagon elérhető menüket. A Számítógép menüben válassza a Hálózati meghajtó elemet.

    Képernyőkép a Map network drive legördülő menüről.

  3. Válassza ki a meghajtóbetűjelet, és adja meg az Azure-fájlmegosztás UNC elérési útját. Az UNC elérési út formátuma: \\<storageAccountName>.file.core.windows.net\<fileShareName>. Például: \\anexampleaccountname.file.core.windows.net\file-share-name Ellenőrizze a Csatlakozás különböző hitelesítő adatokkal jelölőnégyzetet. Válassza a Befejezés.

    Képernyőkép a Hálózatmeghajtó leképezése párbeszédpanelről.

  4. Válassza a További lehetőségek> lehetőséget. Használjon másik fiókot. Az E-mail-cím területen használja a tárfiók nevét, és jelszóként használjon egy tárfiókkulcsot. Kattintson az OK gombra.

    Képernyőkép a hálózati hitelesítő adatok párbeszédpanelről, ahol egy másik fiók kiválasztása történik.

  5. Használja az Azure-fájlmegosztást igény szerint.

    Képernyőkép arról, hogy az Azure-fájlmegosztás csatlakoztatva van.

  6. Ha készen áll az Azure-fájlmegosztás leválasztására, kattintson a jobb gombbal a megosztás bejegyzésére a Fájlkezelő hálózati helyei alatt, és válassza a Leválasztás lehetőséget.

Feljegyzés

Az Azure Files nem támogatja a sid-to UPN-fordítást a nem tartományhoz csatlakoztatott virtuális gépekről származó felhasználók és csoportok, illetve a Windows Fájlkezelőn keresztül egy másik tartományhoz csatlakoztatott virtuális gép esetében. Ha meg szeretné tekinteni a fájl-/könyvtártulajdonosokat, vagy meg szeretné tekinteni/módosítani az NTFS-engedélyeket a Windows Fájlkezelőn keresztül, ezt csak tartományhoz csatlakoztatott virtuális gépekről teheti meg.

Az Azure-fájlmegosztás elérése a UNC elérési útja által

A használatához nem kell csatlakoztatnia az Azure-fájlmegosztást egy meghajtóbetűjelhez. Az Alábbi Fájlkezelő megadásával közvetlenül elérheti az Azure-fájlmegosztást az UNC elérési útján. Mindenképpen cserélje le a storageaccountname-et a tárfiók nevére és a myfileshare-t a fájlmegosztás nevére:

\\storageaccountname.file.core.windows.net\myfileshare

A rendszer felkéri, hogy jelentkezzen be a hálózati hitelesítő adataival. Jelentkezzen be azzal az Azure-előfizetéssel, amely alatt létrehozta a tárfiókot és a fájlmegosztást. Ha a rendszer nem kéri a hitelesítő adatok megadását, a következő paranccsal veheti fel a hitelesítő adatokat:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Az Azure Government Cloud esetében módosítsa a kiszolgálónevet a következőre:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Fájlmegosztások csatlakoztatása egyéni tartománynevek használatával

Ha nem szeretné csatlakoztatni az Azure-fájlmegosztásokat az utótaggal file.core.windows.net, módosíthatja az Azure-fájlmegosztáshoz társított tárfióknév utótagját, majd hozzáadhat egy canonical name (CNAME) rekordot, amellyel az új utótagot a tárfiók végpontjára irányíthatja. Az alábbi utasítások csak egyerdős környezetekre vonatkozik. A két vagy több erdővel rendelkező környezetek konfigurálásáról további információt az Azure Files használata több Active Directory-erdővel című témakörben talál.

Feljegyzés

Az Azure Files csak a CNAMES konfigurálását támogatja tartományelőtagként a tárfióknév használatával. Ha nem szeretné előtagként használni a tárfiók nevét, fontolja meg az elosztott fájlrendszerbeli névterek használatát.

Ebben a példában az Active Directory-tartomány onpremad1.com, és van egy mystorageaccount nevű tárfiókunk, amely SMB Azure-fájlmegosztásokat tartalmaz. Először módosítani kell a tárfiók SPN-utótagját a mystorageaccount.onpremad1.commystorageaccount.file.core.windows.net való leképezéséhez.

Csatlakoztathatja a fájlmegosztást net use \\mystorageaccount.onpremad1.com, mert az onpremad1 ügyfelek tudják, hogy onpremad1.com-on kell keresni, hogy megtalálják a megfelelő erőforrást a tárfiókhoz.

A módszer használatához hajtsa végre a következő lépéseket:

  1. Győződjön meg arról, hogy identitásalapú hitelesítést állít be. Ha az AD-forrás AD DS vagy Microsoft Entra Kerberos, győződjön meg arról, hogy szinkronizálta az AD-felhasználói fiókokat a Microsoft Entra-azonosítóval.

  2. Módosítsa a tárfiók SPN-jét az setspn eszközzel. A következő Active Directory PowerShell-parancs futtatásával találhatja meg <DomainDnsRoot> : (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. CNAME-bejegyzés hozzáadása az Active Directory DNS Managerrel. Ha privát végpontot használ, adja hozzá a CNAME bejegyzést, hogy azt a privát végpont nevére térképezze fel.

    1. Nyissa meg az Active Directory DNS Managert.
    2. Menjen a domain-jára (például onpremad1.com).
    3. Lépjen az "Előrelapozási zónák" elemhez.
    4. Válassza ki a tartománya után elnevezett csomópontot (például onpremad1.com), és kattintson a jobb gombbal az Új alias (CNAME) elemre.
    5. Az aliasnévhez adja meg a tárfiókjának nevét.
    6. A teljesen minősített tartománynévhez (FQDN) adja meg a <storage-account-name>.<domain-name>, például mystorageaccount.onpremad1.com. Az FQDN hosztnevének meg kell egyeznie a tárfiók nevével. Ha a gazdagépnév nem egyezik a tárfiók nevével, a csatlakoztatás hozzáférés-megtagadással meghiúsul.
    7. A cél gazdagép teljes tartománynevéhez írja be <storage-account-name>.file.core.windows.net
    8. Kattintson az OK gombra.

Most már csatlakoztathatja a fájlmegosztást storageaccount.domainname.com használatával.

Következő lépések

Az alábbi hivatkozások további információkat tartalmaznak az Azure Filesról:

  • Last updated on