Sumber daya berbagi berkas Azure SMB

Berlaku untuk: ✔️ berbagi file Azure SMB

Azure Files menawarkan dua protokol standar industri untuk memasang berbagi file Azure: protokol Server Message Block (SMB) dan protokol Network File System (NFS). Azure Files memungkinkan Anda memilih protokol sistem file yang paling cocok untuk beban kerja Anda. Azure berbagi file tidak mendukung akses berbagi file Azure individu dengan protokol SMB dan NFS, meskipun Anda dapat membuat berbagi file SMB dan NFS dalam akun penyimpanan yang sama. Untuk semua berbagi file, Azure Files menawarkan berbagi file tingkat perusahaan yang dapat ditingkatkan skalanya untuk memenuhi kebutuhan penyimpanan Anda dan dapat diakses secara bersamaan oleh ribuan klien.

Artikel ini membahas berbagi file Azure SMB. Untuk informasi tentang berkas NFS Azure, lihat berkas NFS Azure.

Skenario umum

Berbagi file SMB digunakan untuk banyak aplikasi termasuk berbagi file pengguna akhir dan berbagi file yang mendukung database dan aplikasi. Berbagi file SMB sering digunakan dalam skenario berikut:

• Berbagi file oleh pengguna akhir seperti berbagi oleh tim dan direktori pribadi
• Penyimpanan cadangan untuk aplikasi berbasis Windows, seperti database SQL Server atau aplikasi lini bisnis yang ditulis untuk Win32 atau .NET API sistem file lokal
• Pengembangan aplikasi dan layanan baru, terutama jika aplikasi atau layanan tersebut memiliki persyaratan untuk IO acak dan penyimpanan hierarkis

Fitur

Azure Files mendukung fitur utama SMB dan Azure yang diperlukan untuk penyebaran produksi berbagi file SMB:

• Ketersediaan Berkelanjutan SMB (CA)
• Gabungan domain AD dan daftar kontrol akses diskresi (DACL)
• Pencadangan tanpa server terintegrasi dengan Azure Backup
• Isolasi jaringan menggunakan private endpoint Azure
• Throughput jaringan tinggi menggunakan SMB Multichannel (hanya berbagi file SSD)
• Enkripsi saluran SMB termasuk AES-256-GCM, AES-128-GCM, dan AES-128-CCM
• Dukungan versi sebelumnya melalui rekam jepret berbagi terintegrasi VSS
• Penghapusan sementara otomatis pada berbagi file Azure untuk mencegah penghapusan yang tidak disengaja
• Secara opsional berbagi file yang dapat diakses internet dengan SMB 3.0+ yang aman internet

Berbagi file SMB dapat dipasang langsung di lokasi atau juga dapat di-cache secara lokal dengan Azure File Sync.

Keamanan

Semua data yang disimpan dalam Azure Files dienkripsi saat tidak aktif menggunakan enkripsi layanan penyimpanan (SSE) Azure. Enkripsi layanan penyimpanan berfungsi mirip dengan BitLocker pada Windows: data dienkripsi di bawah tingkat sistem file. Karena data dienkripsi di bawah sistem file Azure file share, dan karena data dikodekan ke disk, Anda tidak perlu memiliki akses ke kunci dasar pada klien untuk membaca atau menulis pada Azure file share. Enkripsi saat data diistirahatkan berlaku untuk kedua protokol SMB dan NFS.

Secara default, semua file shares Azure memiliki enkripsi diaktifkan saat transit, sehingga hanya mount SMB menggunakan SMB 3.x dengan enkripsi yang diizinkan. Pemasangan dari klien yang tidak mendukung SMB 3.x dengan enkripsi saluran SMB ditolak jika enkripsi saat transit diaktifkan.

Azure Files mendukung AES-256-GCM dengan SMB 3.1.1 saat digunakan dengan Windows Server 2022 atau Windows 11. SMB 3.1.1 juga mendukung AES-128-GCM dan SMB 3.0 mendukung AES-128-CCM. AES-128-GCM dinegosiasikan secara default pada Windows 10, versi 21H1 karena alasan performa.

Anda dapat menonaktifkan enkripsi saat transit untuk berbagi file Azure. Saat enkripsi dinonaktifkan, Azure Files mengizinkan SMB 2.1 dan SMB 3.x tanpa enkripsi. Alasan utama untuk menonaktifkan enkripsi saat transit adalah untuk mendukung aplikasi warisan yang harus dijalankan pada sistem operasi yang lebih lama, seperti Windows Server 2008 R2 atau distribusi Linux yang lebih lama. Azure Files hanya mengizinkan koneksi SMB 2.1 dalam wilayah Azure yang sama dengan berbagi file Azure; klien SMB 2.1 di luar wilayah Azure berbagi file Azure, seperti lokal atau di wilayah Azure yang berbeda, tidak dapat mengakses berbagi file.

Pengaturan protokol SMB

Azure Files menawarkan beberapa pengaturan yang memengaruhi perilaku, performa, dan keamanan protokol SMB. Ini dikonfigurasi untuk semua berbagi file Azure dalam akun penyimpanan.

Ketersediaan Berkelanjutan SMB

Azure Files mendukung Ketersediaan Berkelanjutan (CA) SMB untuk membantu aplikasi tetap tersedia selama peristiwa infrastruktur sementara. Ketersediaan berkelanjutan adalah kemampuan protokol SMB yang memungkinkan handle berkas terbuka agar dapat bertahan menghadapi gangguan singkat, seperti failover server atau gangguan jaringan singkat. Semua file share Azure SMB tersedia secara kontinu secara default. Pengaturan ini tidak dapat dinonaktifkan.

Manfaat dari ketersediaan berkelanjutan

Ketersediaan berkelanjutan memberikan manfaat berikut:

• Handel file persisten yang bertahan dari kegagalan sementara
• Pemulihan operasi I/O secara transparan setelah failover
• Konsistensi data selama transisi infrastruktur
• Mengurangi risiko gangguan aplikasi

Jika terjadi gangguan konektivitas singkat, klien SMB secara otomatis mencoba kembali operasi dan membangun kembali akses untuk membuka file tanpa memerlukan aplikasi untuk membukanya kembali. Perilaku ini sangat penting untuk beban kerja yang mempertahankan sesi file yang berjalan lama.

Cara kerja ketersediaan berkelanjutan

Ketersediaan berkelanjutan bergantung pada handel SMB persisten. Selama gangguan sementara, yang biasanya berlangsung hingga beberapa menit, pernyataan berikut berlaku:

• Handle file terbuka tetap valid.
• Klien SMB mencoba kembali operasi I/O yang tertunda.
• Azure Files secara transparan melanjutkan operasi setelah konektivitas dipulihkan.

Karena Azure Files memprioritaskan kebenaran dan durabilitas, klien menunggu dan mencoba kembali alih-alih segera gagal dalam operasi.

Perilaku pemutusan selama kehilangan konektivitas

Karena perilaku coba lagi yang diperlukan ketersediaan berkelanjutan, operasi SMB mungkin membutuhkan waktu lebih lama untuk kehabisan waktu selama gangguan jaringan.

Misalnya, Anda mungkin mengalami hal berikut:

• Windows klien SMB mungkin mengulangi operasi selama beberapa menit sebelum mengembalikan kesalahan.
• Aplikasi mungkin tampak jeda sementara saat koneksi dibuat ulang.

Perilaku ini dirancang karena membantu mempertahankan integritas penanganan dan mencegah kerusakan data. Beban kerja yang sering terputus, seperti laptop yang sering berpindah jaringan atau koneksi jaringan yang tidak stabil, mungkin mengalami waktu tunggu yang lebih lama sebelum terjadi kegagalan.

SMB Multichannel

SMB Multichannel mengaktifkan klien SMB 3.x untuk membuat beberapa koneksi jaringan ke berbagi file SMB. Azure Files mendukung SMB Multichannel pada berbagi file SSD. Untuk klien Windows, SMB Multichannel sekarang diaktifkan secara default di semua wilayah Azure.

Untuk melihat status SMB Multichannel, navigasikan ke akun penyimpanan yang berisi berbagi file SSD Anda dan pilih Berbagi file di bawah judul Penyimpanan data di daftar isi akun penyimpanan. Anda akan melihat status SMB Multichannel di bawah bagian Pengaturan berbagi file . Jika Anda tidak melihatnya, pastikan akun penyimpanan Anda adalah jenis akun FileStorage.

Cuplikan layar bagian berbagi file dalam akun penyimpanan menyoroti pengaturan SMB Multichannel.

Untuk mengaktifkan atau menonaktifkan SMB Multichannel, pilih status saat ini (Diaktifkan atau Dinonaktifkan tergantung pada status). Dialog yang dihasilkan menyediakan tombol untuk mengaktifkan atau menonaktifkan SMB Multichannel. Pilih kondisi yang diinginkan dan pilih Simpan.

Cuplikan layar dialog untuk mengaktifkan/menonaktifkan fitur SMB Multichannel.

Untuk mendapatkan status SMB Multichannel, gunakan cmdlet . Ganti dan dengan nilai yang sesuai untuk lingkungan Anda sebelum menjalankan perintah PowerShell ini.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Untuk mengaktifkan/menonaktifkan SMB Multichannel, gunakan cmdlet .

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Azure CLI

Untuk mendapatkan status SMB Multichannel, gunakan perintah . Ganti dan dengan nilai yang sesuai untuk lingkungan Anda sebelum menjalankan perintah ini.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Untuk mengaktifkan/menonaktifkan SMB Multichannel, gunakan perintah .

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Mengaktifkan SMB Multichannel pada sistem operasi yang lebih lama

Dukungan untuk SMB Multichannel di Azure Files mengharuskan memastikan Windows menerapkan semua patch yang relevan. Beberapa versi Windows yang lebih lama, termasuk Server Windows 2016, Windows 10 versi 1607, dan Windows 10 versi 1507, memerlukan kunci registri tambahan untuk diatur agar semua perbaikan SMB Multichannel yang relevan diterapkan pada instalasi yang sepenuhnya di-patch. Jika Anda menjalankan versi Windows yang lebih baru dari ketiga versi ini, tidak diperlukan tindakan tambahan.

Server Windows 2016 dan Windows 10 versi 1607

Untuk mengaktifkan semua perbaikan SMB Multichannel untuk Server Windows 2016 dan Windows 10 versi 1607, jalankan perintah PowerShell berikut:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 versi 1507

Untuk mengaktifkan semua perbaikan SMB Multichannel untuk Windows 10 versi 1507, jalankan perintah PowerShell berikut:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Pengaturan keamanan SMB

Azure Files mengekspos pengaturan yang memungkinkan Anda mengaktifkan protokol SMB agar lebih kompatibel atau lebih aman, tergantung pada persyaratan organisasi Anda. Secara default, Azure Files dikonfigurasi agar kompatibel secara maksimal, jadi perlu diingat bahwa membatasi pengaturan ini dapat menyebabkan beberapa klien tidak dapat terhubung.

Azure Files mengekspos pengaturan berikut:

• Versi UKM: Versi UKM mana yang diizinkan. Versi protokol yang didukung adalah SMB 3.1.1, SMB 3.0, dan SMB 2.1. Secara default, semua versi SMB diizinkan, meskipun SMB 2.1 tidak diizinkan jika "memerlukan transfer yang aman" diaktifkan, karena SMB 2.1 tidak mendukung enkripsi saat transit.
• Metode autentikasi: Metode autentikasi SMB mana yang diizinkan. Metode autentikasi yang didukung adalah NTLMv2 (hanya kunci akun penyimpanan) dan Kerberos. Secara default, semua metode autentikasi diizinkan. Menghapus NTLMv2 mencegah penggunaan kunci akun penyimpanan untuk memasang berbagi file Azure. Azure Files tidak mendukung penggunaan autentikasi NTLM untuk kredensial domain.
• Enkripsi tiket Kerberos: Algoritme enkripsi mana yang diizinkan. Algoritma enkripsi yang didukung adalah AES-256 (disarankan) and RC4-HMAC.
• Enkripsi saluran SMB: Algoritme enkripsi saluran SMB mana yang diizinkan. Algoritma enkripsi yang didukung adalah AES-256-GCM, AES-128-GCM, dan AES-128-CCM. Jika Anda hanya memilih AES-256-GCM, Anda harus memberi tahu klien untuk menggunakannya dengan membuka terminal PowerShell sebagai administrator pada setiap klien dan menjalankan . Menggunakan AES-256-GCM tidak didukung pada klien Windows yang lebih lama dari Windows 11/Windows Server 2022.

Anda dapat melihat dan mengubah pengaturan keamanan SMB menggunakan portal Azure, PowerShell, atau CLI. Pilih tab yang diinginkan untuk melihat langkah-langkah tentang cara mendapatkan dan mengatur pengaturan keamanan SMB. Perhatikan bahwa pengaturan ini diperiksa ketika sesi SMB dibuat dan jika tidak terpenuhi, penyiapan sesi SMB gagal dengan kesalahan "STATUS_ACCESS_DENIED".

Untuk melihat atau mengubah pengaturan keamanan SMB menggunakan portal Azure, ikuti langkah-langkah berikut:

1. Masuk ke portal Azure dan cari akun Storage. Pilih akun penyimpanan yang ingin Anda lihat atau ubah pengaturan keamanan SMB.

2. Dari menu layanan, pilihBerbagi file.

3. Di bagian Pengaturan berbagi file, pilih nilai yang terkait dengan Keamanan. Jika Anda belum mengubah pengaturan keamanan, nilai ini diatur secara default ke Kompatibilitas maksimum.

   Cuplikan layar memperlihatkan tempat menampilkan dan mengubah pengaturan keamanan SMB.

4. Di bagian Profil, pilih Kompatibilitas maksimum, Keamanan maksimum, atau Kustom. Memilih Kustom memungkinkan Anda membuat profil kustom untuk versi protokol SMB, enkripsi saluran SMB, mekanisme autentikasi, dan enkripsi tiket Kerberos.

   Cuplikan layar memperlihatkan dialog untuk mengubah pengaturan keamanan SMB untuk versi protokol SMB, enkripsi saluran SMB, mekanisme autentikasi, dan enkripsi tiket Kerberos.

Setelah Anda memasukkan pengaturan keamanan yang diinginkan, pilih Simpan.

Untuk mendapatkan setelan protokol SMB, gunakan cmdlet. Ingatlah untuk mengganti dan dengan nilai yang sesuai untuk lingkungan Anda. Jika Anda sengaja mengatur salah satu pengaturan keamanan SMB Anda ke null, misalnya dengan menonaktifkan enkripsi saluran SMB, lihat instruksi dalam skrip tentang mengomentari baris tertentu.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Bergantung pada persyaratan keamanan, performa, dan kompatibilitas organisasi, Anda mungkin ingin mengubah pengaturan protokol SMB. Perintah PowerShell berikut membatasi pembagian file SMB Anda hanya pada opsi yang paling aman.

Penting

Membatasi berbagi file Azure SMB hanya untuk opsi yang paling aman dapat mengakibatkan beberapa klien tidak dapat tersambung. Misalnya, AES-256-GCM diperkenalkan sebagai opsi untuk enkripsi saluran SMB mulai Windows Server 2022 dan Windows 11. Ini berarti bahwa klien lama yang tidak mendukung AES-256-GCM tidak akan dapat terhubung. Jika Anda hanya memilih AES-256-GCM, Anda harus memberi tahu klien Windows Server 2022 dan Windows 11 untuk hanya menggunakan AES-256-GCM dengan membuka terminal PowerShell sebagai administrator pada setiap klien dan menjalankan Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Azure CLI

Untuk mendapatkan status pengaturan keamanan SMB, gunakan perintah . Ingatlah untuk mengganti dan dengan nilai yang sesuai untuk lingkungan Anda sebelum menjalankan perintah Bash ini. Jika Anda sengaja mengatur salah satu pengaturan keamanan SMB Anda ke null, misalnya dengan menonaktifkan enkripsi saluran SMB, lihat instruksi dalam skrip tentang mengomentari baris tertentu.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Bergantung pada persyaratan keamanan, performa, dan kompatibilitas organisasi, Anda mungkin ingin mengubah pengaturan protokol SMB. Perintah Azure CLI berikut membatasi berbagi file SMB Anda hanya untuk opsi yang paling aman.

Penting

Membatasi berbagi file Azure SMB hanya untuk opsi yang paling aman dapat mengakibatkan beberapa klien tidak dapat tersambung. Misalnya, AES-256-GCM diperkenalkan sebagai opsi untuk enkripsi saluran SMB mulai Windows Server 2022 dan Windows 11. Ini berarti bahwa klien lama yang tidak mendukung AES-256-GCM tidak akan dapat terhubung. Jika Anda hanya memilih AES-256-GCM, Anda harus memberi tahu klien Windows Server 2022 dan Windows 11 untuk hanya menggunakan AES-256-GCM dengan membuka terminal PowerShell sebagai administrator pada setiap klien dan menjalankan Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Batasan

Berbagi file SMB di Azure Files mendukung subset fitur yang didukung oleh protokol SMB dan sistem file NTFS. Meskipun sebagian besar kasus penggunaan dan aplikasi tidak memerlukan fitur ini, beberapa aplikasi mungkin tidak berfungsi dengan baik dengan Azure Files jika mengandalkan fitur yang tidak didukung. Fitur-fitur berikut tidak didukung:

• SMB Direct
• Penyewaan direktori UMKM
• VSS untuk berbagi file SMB (ini memungkinkan penyedia VSS untuk menyiram data mereka ke berbagi file SMB sebelum rekam jepret diambil)
• Aliran data alternatif
• Atribut yang diperluas
• Pengidentifikasi objek
• Tautan keras
• Tautan sementara
• Titik Reparse
• File Jarang
• Nama file pendek (8.3 alias)
• Compression

Ketersediaan regional

Berbagi file SMB Azure tersedia di setiap wilayah Azure, termasuk semua wilayah publik dan berdaulat. Berbagi file SSD tersedia di sebagian wilayah.

Langkah berikutnya

• Rencana untuk penyebaran Azure Files
• Buat berbagi file Azure
• Pasang berbagi file SMB pada sistem operasi pilihan Anda:
  • Apat berbagi file SMB pada Windows
  • Memasang file SMB yang dibagikan di Linux
  • Memasang file SMB yang dibagikan di macOS