Azure NetApp Files は、エンド ユーザーへの配信メカニズムとして NAS プロトコルを使用して、サービスとしてのボリュームの機能を介し、クラウド常駐ストレージを提供します。 SMB は、Azure NetApp Files ボリュームでの使用向けにサポートが提供されている NAS プロトコルの 1 つであり、次の一般的な機能が含まれています。
- 任意の時点で同時に 1 つ以上のクライアントによりアクセスされる、一元化されたデータ。
- ロックされたファイルに、そのロックを所有していないユーザーまたはアプリケーションが書き込むことを防ぐための、ファイルへのアクセスを制御する協調的なロック管理。
- ファイルとフォルダーのアクセス許可による詳細なアクセス制御。
- 共有アクセス許可を介しての共有アクセス制御。
- ユーザーとグループの認証サービス。
Azure NetApp Files 内での SMB の構成方法
Azure NetApp Files 内で SMB を構成するには、最初に NetApp アカウントに Active Directory 接続を作成します。これにより、 Active Directory ドメイン サービスに参加し利用するために SMB が有効になっている、Azure NetApp Files ボリュームが必要とする情報が提供されます。
Azure NetApp Files 内で SMB を構成する方法の詳細については、次を参照してください。
- Azure NetApp Files の SMB ボリュームを作成する
- Azure NetApp Files のデュアルプロトコル ボリュームを作成する
- Active Directory Domain Services サイトの設計と Azure NetApp Files の計画に関するガイドラインを理解する
- Azure NetApp Files での Kerberos を理解する
Azure NetApp Files での SMB サーバーのサポート
SMB を使用する Azure NetApp Files では、SMB サーバーの作成時に豊富な機能と構成定数が提供されます。 次の表に、Azure NetApp Files における SMB サーバーのセキュリティ オプションに関する詳細をまとめます。
| 機能 | Definition | 値 | Azure NetApp Files 内での構成は可能ですか? |
|---|---|---|---|
| Kerberos (SMB) | SMB 共有への安全なアクセスを提供する認証プロトコル。 | 該当なし | いいえ – SMB サーバー アカウントの作成時に自動的に構成が行なわれます。 |
| Kerberos の最大時間スキュー | Kerberos クライアントと KDC で、同期から外れることが許容される最大の時間。 | 5 分 | いいえ |
| Kerberos チケットの有効期間 | 更新する必要が生じるまで、Azure NetApp Files 内の Kerberos チケットが有効な状態を維持する期間。 | 10 分 | いいえ (ただし、KDC と NAS クライアントでは構成できます) |
| Kerberos チケットの最大更新期間 | 新しいチケットを取得する必要が生じる前の、Kerberos チケットの更新が可能な期間。 | 7 日 | いいえ (ただし、KDC と NAS クライアントでは構成できます) |
| Kerberos | キー配布センター (KDC) 接続のタイムアウト Kerberos KDC への接続が試行されてからタイムアウトになるまでの時間 | 3 秒 | いいえ |
| SMB 署名が必要 | アクセスを許可するために SMB 署名が必要かどうかを決定します。 これを有効にすると、SMB 署名のないクライアントは SMB 共有にアクセスできなくなります。 これを無効にすると、SMB 署名が有効になっているクライアントでは SMB 署名を使用し、同時に SMB 署名のないクライアントも、SMB 署名の必要なくアクセスできるようになります。 SMB 署名は、パフォーマンスに大きな影響を与える可能性があります。 | いいえ | いいえ |
| LDAP 署名 | LDAP 接続が LDAP 署名を介する安全な接続を使用するかどうかを決定します。 | いいえ | はい (Active Directory 接続) |
| LM の互換性レベル | サポートされている LAN マネージャーの互換性。 | NTLMv2 Kerberos |
いいえ (必要に応じてドメイン コントローラーから NTLMv2 を無効にします) |
| SMBv1 | SMB バージョン 1 | 無効 | いいえ (Azure NetApp Files は SMBv1 をサポートしていません) |
| ドメイン コントローラー接続用の SMBv2 | ドメイン コントローラーへの接続に SMBv2 以上を使用します。 | Enabled | いいえ |
| ドメイン コントローラー接続用の SMB 暗号化 | ドメイン コントローラーと Azure NetApp Files の間の通信に暗号化を要求します。無効 | はい (Active Directory 接続) | |
| SMB 接続用の AES 暗号化の種類 | Azure NetApp Files ボリュームへの SMB 接続用の、AES 暗号化の種類を許可します | 無効 | はい (Active Directory 接続) |
| チャネル バインドを試行 | ドメイン コントローラーでの チャネル バインド の使用をサポートします。 | Enabled | いいえ |
| 許可されている Kerberos 暗号化の種類 | SMB Kerberos 向けに許可されている暗号化の種類。 クライアントとサーバーでサポートされている、最も強力な暗号化の種類が使用されます。 | RC4 DES AES-128* AES-256* |
はい* (Active Directory 接続で AES を有効にすることで、AES がサポートされるかどうかを制御します。それ以外の場合は、RC4 と DES のみがサポートおよび使用されます) |
次の表に、Azure NetApp Files 用 SMB サーバー機能のオプション構成を示します。 現在、これらのすべてのオプションは Azure NetApp Files で構成することができませんが、SMB 経由で Azure NetApp Files ボリュームに接続する際に起きる動作を認識しておくことは有用です。
| 機能 | Definition | 値 |
|---|---|---|
| モード ビットの読み取り許可の実行 | SMB クライアントは、UNIX モード ビットを使用する実行可能ファイルを実行できなくなります | 無効 |
| SMBv1 | SMB バージョン 1 のサポート | 無効 |
| SMBv2.x | SMB バージョン 2.x のサポート | Enabled |
| SMBv3.x | SMB バージョン 3 と 3.1.x のサポート | Enabled |
| 高度なスパース ファイルのサポート | SMB 経由での FSCTL_QUERY_ALLOCATED_RANGES コマンドと FSCTL_SET_ZERO_DATA コマンドのサポートを有効にします。 FSCTL_QUERY_ALLOCATED_RANGES: このファイル システム制御コード (FSCTL) は、実際に割り当てられているファイルの範囲を、SMB クライアントが照会できるようにします。 つまり、ファイル システムには、これらの範囲を代表して割り当てられたブロックがあります。 この FSCTL は、DBCC チェック ワークフローの一部として MS SQL Server によって使用されます。 また、Hyper-V でも使用されます。 FSCTL_SET_ZERO_DATA: この FSCTL では、拡張範囲に対して SMB クライアントがゼロを書き込むことを許可します。 この FSCTL を使用すると、クライアントは、1 回の操作でゼロになるファイル内のデータ最大長まで、ゼロの値セットを書き込むことができます。 さらに、ブロックが並べられたゼロ書き込みの範囲では、ゼロで埋められたブロックを書き込む代わりに穴を開けることもできます。 Azure NetApp Files は、割り当てられていないブロックの代わりにゼロを返します。 この FSCTL は、DBCC チェック ワークフローと Hyper-V の一部として、MS SQL Server によって使用されます。 |
Enabled |
| FSCTL ファイル レベルのトリミング | ファイルのトリミングを使用すると、SMB クライアントは、ファイルの 1 つ以上のデータ範囲を切り詰めることができます。 トリミングされる範囲の合計長は、1 回の操作でゼロになるファイル内での、データ最大長の値によって制限されます。 この FSCTL は、ファイル システムが範囲を解放するための手がかりであり、つまり、この実行は本質的に省略可能です。 トリミングは、最初の範囲から、1 回の操作でゼロになるファイル内のデータ最大長を超えるまでの範囲で行えます。 この FSCTL は、スペース効率のために Hyper-V によって使用されます。 たとえば、ゲスト VM 内でファイルの削除が行われた場合、それを、このストレージ用の FSCTL に変換することができます。 |
Enabled |
| 1 回の操作でゼロになるファイル内のデータ最大長 | 1 回のファイル 消去操作で許容される最大サイズです。 | 32 MB |
| コピーのオフロード | ソースと宛先が同じストレージ システム上にある場合に、SMB プロトコル経由ではなく、サーバー側でファイルをコピーする | 無効 |
| TCP 接続あたりの同じユーザーによるセッションの最大数 | TCP 接続あたりの、ユーザーによる同時セッションの数を制限します。 | 2,500 |
| セッションあたりの同じツリー接続の最大数 | 同じ SMB 共有に対し同時に発生するツリー接続の数を制限します。 | 5,000 |
| 同じファイルを開ける最大数 | 同じファイルを開けられる数を制限します | 1000 |
| ボリュームあたりの最大ウォッチ数 (変更通知) | 変更通知の最大数 | 500 |
| VSS シャドウ コピー機能 | SMB 経由で Hyper-V を使用し、格納データのリモート バックアップを実行するために使用されます。 VSS シャドウ コピーは、SMB 経由の Hyper-V の使用のみでサポートされます。 | Enabled |
| SMB のポリシーをエクスポート | エクスポート ポリシーを使用すると、IP アドレス/ホスト名を介して NAS 共有をマウントできるクライアントを制御できます。 NFS マウントでは、エクスポート ポリシーを使用してアクセスを制御します。 Azure NetApp Files 内では、SMB ボリュームがこの機能を使用することはできません。 代わりに、共有アクセス許可 が SMB 共有へのアクセスを制御します。 | 無効 |
| シンボリック リンクの再解析ポイント | Azure NetApp Files では、シンボリック リンクが再解析ポイントとして表示されます。つまりシンボリック リンクは、フォルダー アイコンではなく、ショートカット アイコンとして表示されます。 SMB のシンボリック リンクは、現在、Azure NetApp Files によりサポートされていません。 |
Enabled |
| 匿名ユーザー アクセス | Azure NetApp Files ボリュームへの匿名ユーザー アクセスは許可されません。 | 無効 |
| 読み取り専用ファイルの削除 | NTFS 削除セマンティクスでは、読み取り専用属性が設定されているファイルまたはフォルダーの削除は行えません。 UNIX 削除セマンティクスでは、読み取り専用ビットが無視され、代わりに親ディレクトリのアクセス許可を使用して、ファイルまたはフォルダーを削除できるかどうかが判断されます。 既定の設定では無効になっているため、NTFS 削除セマンティクスとデュアル プロトコル ボリュームが併用されます。 | 無効 |
| ルート UNIX ユーザーにマップされた Windows 管理者 | デュアル プロトコル環境では、管理者としてリストされている Active Directory のユーザー (または Active Directory 接続で管理者として指定されたユーザー) は、 UNIX ユーザーのルートとしてマップされます。 | Enabled |
| SMB セッションが切断される前のアイドル タイムアウト | アイドル状態で放置された場合、SMB セッションは 900 秒間接続を維持します。 | 900 秒 |
| ダイナミック アクセス制御 (DAC) | Azure NetApp Files ボリュームでは、DAC はサポートされていません。 | 無効 |
| ファイル システムのセクター サイズ | Azure NetApp Files は、セクター サイズが 4,096 バイトに達すると、クライアントに報告します。 まれに、Windows アプリケーションが 512 バイトを必要とすることがありますが、これは Azure NetApp Files ではサポートされていません。 セクター サイズの要件について懸念がある場合は、アプリケーション ベンダーにお問い合わせください。 | 4,096B (4 KiB) |
| フェイク オープンのサポート | "フェイク オープン" は、ファイルとディレクトリの属性情報に関するクエリを実行する際のパフォーマンスを向上させるために、開いた要求と閉じた要求を Azure NetApp Files が最適化する 1 つの手法です。 この機能が理由で一部のケースにおいて、削除処理中のファイルへのアクセスを試みているクライアントに対し、保留中のファイル削除メッセージが渡されないことがあります。 | Enabled |
| UNIX 拡張機能 | UNIX 拡張機能を有効にすると、SMB サーバーは SMB 経由で、UNIX ベースのクライアントに対し POSIX/UNIX のセキュリティ情報を送信します。その後、セキュリティ情報が POSIX/UNIX セキュリティに変換されます。 このオプションは、Linux ベースのクライアント (macOS など) で SMB を利用する場合にのみ必要です。 | 無効 |
| 短い名前の検索 | SMB 制限ファイル名の []"短い名前"](/openspecs/windows_protocols/ms-fscc/18e63b13-ba43-4f5f-a5b7-11e871b71f14) では、名前が最大 8 文字、拡張子 (8.3) が 3 文字に制限されます。 この制限を超える名前は切り捨てられ、残された文字の代わりにチルダ (~) が使用されます。 たとえば、"not-a-short-name.txt" という名前のファイルは "not-a-sh~.txt." に短縮されます。 短い名前の検索 (SMB 検索では、短い名前と長い名前が検索されます) は、Azure NetApp Files では実行されません。 |
無効 |
| ゲスト ユーザー アクセス | Azure NetApp Files では、ゲスト ユーザー アクセスは拒否されます。 | 無効 |
| Null ユーザー アクセス | Azure NetApp Files では、NULL ユーザー アクセスは拒否されます。 | 無効 |
| "ドット" ファイルを非表示にする | .ssh など、名前の前に "." が付いたファイルを非表示にします。 | 無効 |
| SMB マルチチャンネル | この SMB 機能では、同じ SMB 共有マウント ポイント経由での複数の TCP 接続がサポートされるので、一部のワークロードのパフォーマンスが向上します。 | Enabled |
| マルチチャネル セッションあたりの最大接続数 | 同時に許可される、マルチチャネルを使用した TCP 接続の最大数。 一般に、4 にすれば、パフォーマンスの大幅な向上が確認できます。 | 32 |
| 大きな MTU | ネットワークの MTU サイズとは無関係です。 大きな MTU とは、SMB プロトコルで転送のために許可される最大サイズのことです。 大きな MTU は、NFS での wsize/rsize と類似です。 Azure NetApp Files では、SMB 内で最大 1 MB の転送サイズがサポートされます。 | Enabled |
| TCP ポート 139 を通じた NetBIOS | NetBIOS トラフィック用として、TCP ポート 139 が開いたまま維持されます。 | Enabled |
| UDP ポート 137 を通じた NBNS | UDP ポート 137 が、NBNS サービスに対し閉じられます。 | 無効 |
| SMB の最大クレジット数 | SMB クレジットは、クライアントが特定の接続に対して持つことができる、未処理の同時要求の数を決定します。 Azure NetApp Files では接続あたり最大 128 個まで許可されますが、Windows クライアントは、許可されている数よりも多くの同時要求を Azure NetApp Files に送信する可能性があります。 このような場合、要求は新しいクレジットが使用可能になるまで待機します。 詳細情報については、「SMB ファイル サーバーのパラメーターのチューニング」を参照してください。 | 128 |
Azure NetApp Files でサポートされていない SMB 機能
- 暗号化ファイル システム (EFS)
- 変更ジャーナルでの NT ファイル システム (NTFS) イベントのログ記録
- Microsoft ファイル レプリケーション サービス (FRS)
- Microsoft Windows インデックス作成サービス
- 階層型ストレージ管理 (HSM) 経由でのリモート ストレージ
- Windows クライアントからのクォータ管理
- Windows クォータ セマンティクス
- LMHOSTS ファイル
- NTFS のネイティブ圧縮
Azure NetApp Files での SMB 共有プロパティのサポート情報
| 共有プロパティ | 定義/考慮事項 | 既定値 |
|---|---|---|
| oplock | 従来の便宜的ロック (oplock) とリース oplock では、特定のファイル共有シナリオにおいて、先行読み取り、後続書き込み、ロック情報のクライアント側キャッシュを SMB クライアントが実行できるようにします。 その後でクライアントは、対象のファイルにアクセスする必要があることをサーバーに定期的に通知することなく、ファイルの読み取りまたは書き込みを行うことができます。 これにより、ネットワーク トラフィックを減らすことでパフォーマンスが向上します。 リース oplock は、SMB 2.1 プロトコル以降で使用可能になった、強化版の oplock であることに注意してください。 リース oplocks を使用すると、SMB 自体を元にして開かれた複数の SMB 間で、クライアントはクライアント キャッシュの状態を取得して保持できます。 | Enabled |
| 閲覧可能 | 共有を NetShareEnumAll 呼び出し内で除外することによって、共有が共有リストで閲覧または表示可能かどうかを決定します。 | 構成可能 |
| 変更通知 | ディレクトリ変更通知は、エクスプローラー ウィンドウの更新や共有への再接続を必要とせずに自動的に発生する、共有コンテンツ リストの定期的な更新です。 | Enabled |
| 以前のバージョンを表示 | このプロパティでは、SMB 共有の [以前のバージョン] タブの下に、Azure NetApp Files ボリュームのスナップショットのコピーを表示できるようにします。 | Enabled |
| スナップショットの表示 | クライアントに対し、スナップショット ディレクトリ (~snapshot) が表示されるかどうかを制御します。 有効にした場合、このディレクトリはアプリケーション別のファイル システム スキャンに含まれることがあり (スキャン時間が長くなる可能性があるので)、可能であればアプリケーション構成を使用して除外する必要があります。 また、オフライン ファイルを使用する場合、(明示的に除外しない限り) ~snapshot がキャッシュに含まれる可能性があります。 | 構成可能 |
| オフライン ファイル | オフライン ファイルは、クライアントが SMB 共有内のデータをローカルにキャッシュして、アクセスを高速化するための手段です。 Azure NetApp Files において、これは "手動" に設定されているので、SMB クライアントがファイル キャッシュを開始する必要があります。 注: オフライン ファイルが構成されている共有で [スナップショット共有の表示] プロパティが設定されている場合、Windows クライアントは、ユーザーのホーム ディレクトリで ~snapshot フォルダーの下にある、すべてのスナップショット コピーをキャッシュします。 次のいずれかに該当する場合、Windows クライアントはディレクトリの下で、すべてのスナップショット コピーをキャッシュします。
|
手動 |
| アクセス ベースの列挙 | アクセス ベースの列挙は、アクセス許可のないユーザーからは SMB 共有内のディレクトリとファイルが見えなくなるように、Azure NetApp Files ボリュームを構成するための方法です。 | 構成可能 |
| 暗号化 (SMB3 のみ) | 共有の SMB3 暗号化を有効にします。これにより、クライアントと Azure NetApp Files ボリューム間の SMB 通信が暗号化されます。 SMB3 暗号化は、Azure NetApp Files ボリュームのパフォーマンスに大きな影響を与える可能性があります。 |
構成可能 |
| 継続的に使用可能* | 継続的に利用可能 (CA) な SMB 共有では、Azure NetApp Files のベア メタル システム間でロックのミラーリングを提供して、ハードウェアの障害が発生した場合の回復性を向上させます。 SMB 共有におけるロックのミラーリングのパフォーマンスに影響する可能性があるため、CA 共有が適しているのは、SMB 共有でホストされている次のワークロードに対してのみです。
|
構成可能 |