Azure 파일 공유 탑재

  • 아티클

이 문서를 시작하기 전에 SMB에 대한 디렉터리 및 파일 수준 권한 구성을 읽어 보세요.

이 문서에 설명된 프로세스는 SMB 파일 공유 및 액세스 권한이 올바르게 설정되어 있고 SMB Azure 파일 공유를 탑재할 수 있는지 확인합니다. 공유 수준 역할 할당은 적용하는 데 다소 시간이 걸릴 수 있습니다.

권한을 부여한 ID의 자격 증명을 사용하여 클라이언트에 로그인합니다.

적용 대상

파일 공유 유형 SMB NFS
표준 파일 공유(GPv2), LRS/ZRS Yes No
표준 파일 공유(GPv2), GRS/GZRS Yes No
프리미엄 파일 공유(FileStorage), LRS/ZRS Yes No

필수 구성 요소 탑재

Azure 파일 공유를 탑재하려면 먼저 다음 필수 구성 요소를 확인해야 합니다.

  • 이전에 내 스토리지 계정 키를 사용하여 파일 공유에 연결한 클라이언트에서 파일 공유를 탑재하는 경우 공유를 끊고 스토리지 계정 키의 영구 자격 증명을 제거했는지 확인하고, 현재 인증에 AD DS 자격 증명을 사용하고 있는지 확인합니다. AD DS 또는 Microsoft Entra 자격 증명을 사용하여 새 연결을 초기화하기 전에 스토리지 계정 키를 사용하여 캐시된 자격 증명을 제거하고 기존 SMB 연결을 삭제하는 방법에 대한 지침은 FAQ 페이지의 2단계 프로세스를 따르세요.
  • 클라이언트는 AD DS에 대한 방해받지 않는 네트워크 연결이 있어야 합니다. 컴퓨터 또는 VM이 AD DS에서 관리하는 네트워크 외부에 있는 경우 인증을 위해 VPN이 AD DS에 도달하도록 설정해야 합니다.

도메인 가입 VM에서 파일 공유 탑재

아래의 PowerShell 스크립트를 실행하거나 Azure Portal을 사용하여 Azure 파일 공유를 영구적으로 탑재하고 Windows의 Z: 드라이브에 매핑합니다. Z:가 이미 사용 중인 경우 사용 가능한 드라이브 문자로 대체합니다. 스크립트는 SMB가 사용하는 포트인 TCP 포트 445를 통해 이 스토리지 계정에 액세스할 수 있는지 확인합니다. 예제의 자리 표시자 값은 실제 값으로 바꾸세요. 자세한 내용은 Windows에서 Azure 파일 공유 사용을 참조하세요.

사용자 지정 도메인 이름을 사용하지 않는 한 공유에 대한 프라이빗 엔드포인트를 설정한 경우에도 접미사 file.core.windows.net을 사용하여 Azure 파일 공유를 탑재해야 합니다.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Windows 프롬프트에서 net-use 명령을 사용하여 파일 공유를 탑재할 수도 있습니다. <YourStorageAccountName><FileShareName>을 고유한 값으로 바꾸어야 합니다.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

문제가 발생하면 AD 자격 증명을 사용하여 Azure 파일 공유를 탑재할 수 없음을 참조하세요.

도메인에 가입되지 않은 VM 또는 다른 AD 도메인 가입된 VM에서 파일 공유 탑재

다른 AD에 조인된 비도기본 조인된 VM 또는 VM은 할 일기본 컨트롤러에 대한 네트워크 연결이 방해받지 않는 경우 스토리지 계정과 기본 Azure 파일 공유에 액세스할 수 있으며 명시적 자격 증명(사용자 이름 및 암호)을 제공할 수 있습니다. 파일 공유에 액세스하는 사용자는 스토리지 계정이 연결된 AD 도메인에 ID 및 자격 증명이 있어야 합니다.

도메인에 가입되지 않은 VM에서 파일 공유를 탑재하려면 username@domainFQDN 표기법을 사용합니다. 여기서 domainFQDN은 정규화된 도메인 이름입니다. 이렇게 하면 클라이언트가 도메인 컨트롤러에 연결하여 Kerberos 티켓을 요청하고 받을 수 있습니다. Active Directory PowerShell에서 (Get-ADDomain).Dnsroot를 실행하여 domainFQDN 값을 가져올 수 있습니다.

예시:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

참고 항목

Azure Files는 Windows 파일 탐색기 통해 비-do기본 조인된 VM 또는 다른 작업에 조인된 VM의 사용자 및 그룹에 대한 SID기본에서 UPN으로의 번역을 지원하지 않습니다. Windows 파일 탐색기 통해 파일/디렉터리 소유자를 보거나 NTFS 권한을 보거나 수정하려는 경우 조인된 VM에서만 기본 수 있습니다.

사용자 지정 do기본 이름을 사용하여 파일 공유 탑재

접미사를 file.core.windows.net사용하여 Azure 파일 공유를 탑재하지 않으려면 Azure 파일 공유와 연결된 스토리지 계정 이름의 접미사를 수정한 다음 CNAME(정식 이름) 레코드를 추가하여 새 접미사를 스토리지 계정의 엔드포인트로 라우팅할 수 있습니다. 다음 지침은 단일 포리스트 환경에만 사용됩니다. 둘 이상의 포리스트가 있는 환경을 구성하는 방법을 알아보려면 여러 Active Directory 포리스트에서 Azure Files 사용을 참조 하세요.

참고 항목

Azure Files는 스토리지 계정 이름을 do기본 접두사로 사용하여 CNAMES 구성만 지원합니다. 스토리지 계정 이름을 접두사로 사용하지 않으려면 DFS 네임스페이스를 사용하는 것이 좋습니다.

이 예제에서는 Active Directory가 onpremad1.com 기본 SMB Azure 파일 공유를 포함하는 mystorageaccount라는 스토리지 계정이 있습니다. 먼저 스토리지 계정의 SPN 접미사를 수정하여 mystorageaccount.onpremad1.com mystorageaccount.file.core.windows.net 매핑해야 합니다.

이렇게 하면 onpremad1의 클라이언트가 onpremad1.com 검색하여 해당 스토리지 계정에 대한 적절한 리소스를 찾을 수 있으므로 클라이언트가 공유 net use \\mystorageaccount.onpremad1.com 를 탑재할 수 있습니다.

이 방법을 사용하려면 다음 단계를 완료합니다.

  1. ID 기반 인증을 설정하고 AD 사용자 계정을 Microsoft Entra ID와 동기화했는지 확인합니다.

  2. 도구를 사용하여 스토리지 계정의 SPN을 수정합니다 setspn . Active Directory PowerShell 명령 (Get-AdDomain).DnsRoot를 실행하여 <DomainDnsRoot>를 찾을 수 있습니다.

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Active Directory DNS 관리자를 사용하여 CNAME 항목을 추가하고 스토리지 계정이 조인된 도메인의 각 스토리지 계정에 대해 아래 단계를 수행합니다. 프라이빗 엔드포인트를 사용하는 경우 프라이빗 엔드포인트 이름에 매핑할 CNAME 항목을 추가합니다.

    1. Active Directory DNS 관리자를 엽니다.
    2. 도메인(예: onpremad1.com)으로 이동합니다.
    3. "정방향 조회 영역"으로 이동합니다.
    4. 도메인의 이름을 따서 명명된 노드(예: onpremad1.com)를 선택하고 새 별칭(CNAME)을 마우스 오른쪽 단추로 클릭합니다.
    5. 별칭 이름으로 스토리지 계정 이름을 입력합니다.
    6. FQDN(정규화된 도메인 이름)의 경우 <storage-account-name>.<domain-name>(예: mystorageaccount.onpremad1.com)을 입력합니다. FQDN의 호스트 이름 부분은 스토리지 계정 이름과 일치해야 합니다. 그렇지 않으면 SMB 세션 설정 중에 액세스 거부 오류가 발생합니다.
    7. 대상 호스트 FQDN으로 <storage-account-name>.file.core.windows.net을 입력합니다.
    8. 확인을 선택합니다.

이제 storageaccount.do기본name.com 사용하여 파일 공유를 탑재할 수 있습니다. 스토리지 계정 키를 사용하여 파일 공유를 탑재할 수도 있습니다.

다음 단계

스토리지 계정을 나타내기 위해 AD DS에서 만든 ID가 암호 순환을 적용하는 도메인 또는 OU에 있는 경우 AD DS에서 스토리지 계정 ID의 암호를 업데이트해야 할 수 있습니다.