Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il processo descritto in questo articolo verifica che le autorizzazioni di accesso e condivisione file SMB siano configurate correttamente e che sia possibile montare la condivisione file di Azure SMB.
Si applica a
| Modello di gestione | Modello di fatturazione | Livello supporti | Ridondanza | Piccole e Medie Imprese (PMI) | NFS (Network File System) |
|---|---|---|---|---|---|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Locale |
|
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Della zona |
|
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | Geografica |
|
|
| Microsoft.Storage | Con provisioning v2 | HDD (standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Con provisioning v1 | SSD (Premium) | Locale |
|
|
| Microsoft.Storage | Con provisioning v1 | SSD (Premium) | Della zona |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | Locale |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | Della zona |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | Geografica |
|
|
| Microsoft.Storage | Pagamento in base al consumo | HDD (standard) | GeoZone (GZRS) |
|
|
Prerequisiti di montaggio
Prima di poter montare la condivisione file di Azure, assicurarsi di completare i prerequisiti seguenti:
- Assicurarsi di assegnare autorizzazioni a livello di condivisione e configurare le autorizzazioni a livello di directory e file. Tenere presente che l'assegnazione di ruolo a livello di condivisione può richiedere del tempo.
- Se si monta la condivisione file da un client che in precedenza si è connesso alla condivisione file utilizzando la chiave del tuo account di archiviazione, assicurati di smontare prima la condivisione e di rimuovere le credenziali persistenti della chiave dell'account di archiviazione. Per istruzioni su come rimuovere le credenziali memorizzate nella cache ed eliminare le connessioni SMB esistenti prima di inizializzare una nuova connessione con le credenziali di Dominio di Active Directory Services (AD DS) o Microsoft Entra, seguire il processo in due passaggi nella pagina domande frequenti.
- Se l'origine di Active Directory è Active Directory Domain Services o Microsoft Entra Kerberos, il client deve avere connettività di rete non implementata ad Active Directory Domain Services. Se il computer o la macchina virtuale si trova all'esterno della rete gestita da Active Directory Domain Services, è necessario abilitare la VPN per raggiungere Active Directory Domain Services per l'autenticazione.
- Accedere al client usando le credenziali dell'identità di Active Directory Domain Services o Microsoft Entra a cui sono state concesse le autorizzazioni.
Montare la condivisione file da una macchina virtuale aggiunta a un dominio
Eseguire lo script di PowerShell seguente o usare il portale di Azure per montare in modo permanente la condivisione file di Azure ed eseguirne il mapping all'unità Z: (o al percorso di montaggio desiderato) in Windows. Poiché l'autenticazione è già stata eseguita, non è necessario fornire la chiave dell'account di archiviazione. Lo script verifica se questo account di archiviazione è accessibile tramite la porta TCP 445, ovvero la porta usata da SMB. Ricordarsi di sostituire i valori segnaposto con valori personalizzati. Per altre informazioni, vedere Usare una condivisione file di Azure con Windows.
A meno che non si usino nomi di dominio personalizzati, è consigliabile montare condivisioni file di Azure usando il suffisso file.core.windows.net, anche se si configura un endpoint privato per la condivisione.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
È anche possibile usare il net use comando da un prompt di Windows per montare la condivisione file. Ricordarsi di sostituire <YourStorageAccountName> e <FileShareName> con i propri valori.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Se si verificano problemi, vedere Impossibile montare condivisioni file di Azure con le credenziali di AD.
Montare la condivisione file da una macchina virtuale non aggiunta a un dominio o da una macchina virtuale aggiunta a un dominio di Active Directory diverso
Se l'origine di Active Directory è su server locali, le VM non collegate al dominio o collegate a un dominio AD diverso da quello dell'account di archiviazione possono accedere alle condivisioni file di Azure se dispongono di una connettività di rete senza ostacoli verso i controller di dominio AD e forniscono credenziali esplicite. L'utente che accede alla condivisione file deve avere un'identità e credenziali nel dominio DI ACTIVE Directory a cui è stato aggiunto l'account di archiviazione.
Se la tua origine AD è Microsoft Entra Domain Services, il client deve avere connettività di rete non ostruita ai controller di dominio di Microsoft Entra Domain Services, che richiede la configurazione di una VPN da sito a sito o da punto a sito. L'utente che accede alla condivisione file deve avere un'identità (un'identità di Microsoft Entra sincronizzata da Microsoft Entra ID a Microsoft Entra Domain Services) nel dominio gestito di Microsoft Entra Domain Services.
Per montare una condivisione file da una macchina virtuale non unita a un dominio, usare la notazione username@domainFQDN, dove domainFQDN è il nome di dominio completo, per consentire al client di contattare il controller di dominio per richiedere e ricevere ticket Kerberos. È possibile ottenere il valore di domainFQDN eseguendo (Get-ADDomain).Dnsroot in Active Directory PowerShell.
Ad esempio:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Se l'origine DI Active Directory è Microsoft Entra Domain Services, è anche possibile fornire credenziali come DOMAINNAME\username dove DOMAINNAME è il dominio di Microsoft Entra Domain Services e il nome utente è il nome utente dell'identità in Microsoft Entra Domain Services:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Nota
File di Azure non supporta la conversione DAD a UPN per utenti e gruppi da una macchina virtuale non aggiunta a un dominio o una macchina virtuale aggiunta a un dominio diverso tramite Windows Esplora file. Se si desidera visualizzare i proprietari di file/directory o visualizzare/modificare le autorizzazioni NTFS tramite Windows Esplora file, è possibile farlo solo dalle macchine virtuali aggiunte a un dominio.
Montare condivisioni file usando nomi di dominio personalizzati
Se non si desidera montare condivisioni file di Azure usando il suffisso file.core.windows.net, è possibile modificare il suffisso del nome dell'account di archiviazione associato alla condivisione file di Azure e quindi aggiungere un record nome canonico (CNAME) per instradare il nuovo suffisso all'endpoint dell'account di archiviazione. Le istruzioni seguenti sono solo per gli ambienti a foresta singola. Per informazioni su come configurare gli ambienti con due o più foreste, vedere Usare File di Azure con più foreste di Active Directory.
Nota
File di Azure supporta solo la configurazione di CNAMES usando il nome dell'account di archiviazione come prefisso di dominio. Se non si vuole usare il nome dell'account di archiviazione come prefisso, è consigliabile usare gli spazi dei nomi DFS.
In questo esempio è disponibile il dominio di Active Directory onpremad1.com e si dispone di un account di archiviazione denominato mystorageaccount che contiene condivisioni file di Azure SMB. Prima di tutto, è necessario modificare il suffisso SPN dell'account di archiviazione per eseguire il mapping di mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.
È possibile montare la condivisione file con net use \\mystorageaccount.onpremad1.com perché i client in onpremad1 sanno cercare onpremad1.com per trovare la risorsa appropriata per tale account di archiviazione.
Per usare questo metodo, completare la procedura seguente:
Assicurarsi di configurare l'autenticazione basata su identità. Se l'origine di Active Directory è Active Directory Domain Services o Microsoft Entra Kerberos, assicurarsi di sincronizzare gli account utente di AD con Microsoft Entra ID.
Modificare il nome SPN dell'account di archiviazione usando lo
setspnstrumento . È possibile trovare<DomainDnsRoot>eseguendo il comando di PowerShell di Active Directory seguente:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Aggiungere un record CNAME usando Gestione DNS di Active Directory. Se si usa un endpoint privato, aggiungere la voce CNAME per eseguire il mapping al nome dell'endpoint privato.
- Aprire Gestione DNS di Active Directory.
- Passare al dominio, ad esempio onpremad1.com.
- Passare a "Zone di ricerca diretta".
- Selezionare il nodo denominato in base al dominio (ad esempio, onpremad1.com) e fare clic con il pulsante destro del mouse su Nuovo alias (CNAME).
- Per il nome dell'alias immettere il nome dell'account di archiviazione.
- Per il nome di dominio completo (FQDN), immettere
<storage-account-name>.<domain-name>, ad esempio mystorageaccount.onpremad1.com. La parte del nome host del nome di dominio completo deve corrispondere al nome dell'account di archiviazione. Se il nome host non corrisponde al nome dell'account di archiviazione, il montaggio non riesce con un errore di accesso negato. - Per il nome di dominio completo dell'host di destinazione immettere
<storage-account-name>.file.core.windows.net - Seleziona OK.
A questo momento dovrebbe essere possibile montare la condivisione file usando storageaccount.domainname.com. È anche possibile montare la condivisione file usando la chiave dell'account di archiviazione.
Passaggio successivo
Se l'identità creata in Active Directory Domain Services per rappresentare l'account di archiviazione si trova in un dominio o in un'unità organizzativa che impone la rotazione delle password, è necessario aggiornare periodicamente la password dell'identità dell'account di archiviazione in Active Directory Domain Services.