SMB Azure 파일 공유 탑재
이 문서에 설명된 프로세스에서는 SMB 파일 공유 및 액세스 권한이 올바르게 설정되어 있고 SMB Azure 파일 공유를 탑재할 수 있는지 확인합니다.
적용 대상
파일 공유 유형 | SMB | NFS |
---|---|---|
표준 파일 공유(GPv2), LRS/ZRS | ||
표준 파일 공유(GPv2), GRS/GZRS | ||
프리미엄 파일 공유(FileStorage), LRS/ZRS |
필수 구성 요소 탑재
Azure 파일 공유를 탑재하려면 먼저 다음 필수 구성 요소를 확인해야 합니다.
- 공유 수준 권한과 구성된 디렉터리 및 파일 수준 권한을 할당했는지 확인합니다. 공유 수준 역할 할당은 적용하는 데 다소 시간이 걸릴 수 있습니다.
- 이전에 스토리지 계정 키를 사용하여 파일 공유에 연결한 클라이언트에서 파일 공유를 탑재하는 경우 공유의 연결을 끊고 스토리지 계정 키의 영구 자격 증명을 제거했는지 확인합니다. AD DS(Active Directory 도메인 Services) 또는 Microsoft Entra 자격 증명을 사용하여 새 연결을 초기화하기 전에 캐시된 자격 증명을 제거하고 기존 SMB 연결을 삭제하는 방법에 대한 지침은 FAQ 페이지의 2단계 프로세스를 따르세요.
- AD 원본이 AD DS 또는 Microsoft Entra Kerberos인 경우 클라이언트는 AD DS에 대한 네트워크 연결이 방해받지 않아야 합니다. 컴퓨터 또는 VM이 AD DS에서 관리하는 네트워크 외부에 있는 경우 인증을 위해 VPN이 AD DS에 도달하도록 설정해야 합니다.
- 권한을 부여한 AD DS 또는 Microsoft Entra ID의 자격 증명을 사용하여 클라이언트에 로그인합니다.
도메인 가입 VM에서 파일 공유 탑재
다음 PowerShell 스크립트를 실행하거나 Azure Portal 을 사용하여 Azure 파일 공유를 영구적으로 탑재하고 Windows에서 Z: 드라이브에 매핑합니다. Z:가 이미 사용 중인 경우 사용 가능한 드라이브 문자로 대체합니다. 인증되었으므로 스토리지 계정 키를 제공할 필요가 없습니다. 스크립트는 SMB가 사용하는 포트인 TCP 포트 445를 통해 이 스토리지 계정에 액세스할 수 있는지 확인합니다. 예제의 자리 표시자 값은 실제 값으로 바꾸세요. 자세한 내용은 Windows에서 Azure 파일 공유 사용을 참조하세요.
사용자 지정 도메인 이름을 사용하지 않는 한 공유에 대한 프라이빗 엔드포인트를 설정한 경우에도 접미사 file.core.windows.net
을 사용하여 Azure 파일 공유를 탑재해야 합니다.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Windows 프롬프트에서 net-use
명령을 사용하여 파일 공유를 탑재할 수도 있습니다. <YourStorageAccountName>
및 <FileShareName>
을 고유한 값으로 바꾸어야 합니다.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
문제가 발생하면 AD 자격 증명을 사용하여 Azure 파일 공유를 탑재할 수 없음을 참조하세요.
도메인에 가입되지 않은 VM 또는 다른 AD 도메인 가입된 VM에서 파일 공유 탑재
AD 원본이 온-프레미스 AD DS인 경우 스토리지 계정과 다른 AD 도메인에 조인된 도메인에 가입되지 않은 VM 또는 VM은 AD 도메인 컨트롤러에 대한 네트워크 연결이 방해받지 않는 경우 Azure 파일 공유에 액세스하고 명시적 자격 증명(사용자 이름 및 암호)을 제공할 수 있습니다. 파일 공유에 액세스하는 사용자는 스토리지 계정이 연결된 AD 도메인에 ID 및 자격 증명이 있어야 합니다.
AD 원본이 Microsoft Entra Domain Services인 경우 VM은 Azure에 있는 Microsoft Entra Domain Services의 도메인 컨트롤러에 대한 네트워크 연결이 방해받지 않아야 합니다. 이를 위해서는 일반적으로 사이트 간 VPN 또는 지점 및 사이트 간 VPN을 설정해야 합니다. 파일 공유에 액세스하는 사용자는 Microsoft Entra Domain Services 관리되는 도메인에 ID(Microsoft Entra ID에서 Microsoft Entra Domain Services로 동기화된 Microsoft Entra ID)가 있어야 합니다.
도메인에 가입되지 않은 VM에서 파일 공유를 탑재하려면 username@domainFQDN 표기법을 사용합니다. 여기서 domainFQDN은 정규화된 도메인 이름입니다. 이렇게 하면 클라이언트가 도메인 컨트롤러에 연결하여 Kerberos 티켓을 요청하고 받을 수 있습니다. Active Directory PowerShell에서 (Get-ADDomain).Dnsroot
를 실행하여 domainFQDN 값을 가져올 수 있습니다.
예시:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
AD 원본이 Microsoft Entra Domain Services인 경우 DOMAINNAME이 Microsoft Entra Domain Services 도메인이고 사용자 이름이 Microsoft Entra Domain Services에서 ID의 사용자 이름인 DOMAINNAME\username과 같은 자격 증명을 제공할 수도 있습니다.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
참고 항목
Azure Files는 도메인에 가입되지 않은 VM 또는 Windows 파일 탐색기를 통해 다른 도메인에 가입된 VM의 사용자 및 그룹에 대해 SID에서 UPN으로의 변환을 지원하지 않습니다. Windows 파일 탐색기 통해 파일/디렉터리 소유자를 보거나 NTFS 권한을 보거나 수정하려는 경우 도메인에 가입된 VM에서만 이 작업을 수행할 수 있습니다.
사용자 지정 도메인 이름을 사용하여 파일 공유 탑재
접미사 file.core.windows.net
을 사용하여 Azure 파일 공유를 탑재하지 않으려면 Azure 파일 공유와 연결된 스토리지 계정 이름의 접미사를 수정한 다음, CNAME(정식 이름) 레코드를 추가하여 새 접미사를 스토리지 계정의 엔드포인트로 라우팅할 수 있습니다. 다음 지침은 단일 포리스트 환경에만 사용됩니다. 둘 이상의 포리스트가 있는 환경을 구성하는 방법을 알아보려면 여러 Active Directory 포리스트에서 Azure Files 사용을 참조하세요.
참고 항목
Azure Files는 스토리지 계정 이름을 도메인 접두사로 사용하는 CNAMES 구성만 지원합니다. 스토리지 계정 이름을 접두사로 사용하지 않으려면 DFS 네임스페이스를 사용하는 것이 좋습니다.
이 예제에는 Active Directory 도메인 onpremad1.com이 있고 SMB Azure 파일 공유를 포함하는 mystorageaccount라는 스토리지 계정이 있습니다. 먼저 스토리지 계정의 SPN 접미사를 수정하여 mystorageaccount.onpremad1.com을 mystorageaccount.file.core.windows.net으로 매핑해야 합니다.
이렇게 하면 onpremad1의 클라이언트가 해당 스토리지 계정에 대한 적절한 리소스를 찾기 위해 onpremad1.com을 검색해야 한다는 사실을 알게 되므로 클라이언트가 net use \\mystorageaccount.onpremad1.com
과의 공유를 탑재할 수 있습니다.
이 방법을 사용하려면 다음 단계를 완료합니다.
ID 기반 인증을 설정했는지 확인합니다. AD 원본이 AD DS 또는 Microsoft Entra Kerberos인 경우 AD 사용자 계정을 Microsoft Entra ID와 동기화했는지 확인합니다.
setspn
도구를 사용하여 스토리지 계정의 SPN을 수정합니다. Active Directory PowerShell 명령(Get-AdDomain).DnsRoot
를 실행하여<DomainDnsRoot>
를 찾을 수 있습니다.setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
Active Directory DNS 관리자를 사용하여 CNAME 항목을 추가하고 스토리지 계정이 조인된 도메인의 각 스토리지 계정에 대해 아래 단계를 수행합니다. 프라이빗 엔드포인트를 사용하는 경우 프라이빗 엔드포인트 이름에 매핑할 CNAME 항목을 추가합니다.
- Active Directory DNS 관리자를 엽니다.
- 도메인(예: onpremad1.com)으로 이동합니다.
- "정방향 조회 영역"으로 이동합니다.
- 도메인의 이름을 따서 명명된 노드(예: onpremad1.com)를 선택하고 새 별칭(CNAME)을 마우스 오른쪽 단추로 클릭합니다.
- 별칭 이름으로 스토리지 계정 이름을 입력합니다.
- FQDN(정규화된 도메인 이름)의 경우
<storage-account-name>
.<domain-name>
(예: mystorageaccount.onpremad1.com)을 입력합니다. FQDN의 호스트 이름 부분은 스토리지 계정 이름과 일치해야 합니다. 그렇지 않으면 SMB 세션 설정 중에 액세스 거부 오류가 발생합니다. - 대상 호스트 FQDN으로
<storage-account-name>
.file.core.windows.net을 입력합니다. - 확인을 선택합니다.
이제 storageaccount.domainname.com을 사용하여 파일 공유를 탑재할 수 있습니다. 스토리지 계정 키를 사용하여 파일 공유를 탑재할 수도 있습니다.
다음 단계
스토리지 계정을 나타내기 위해 AD DS에서 만든 ID가 암호 순환을 적용하는 도메인 또는 OU에 있는 경우 AD DS에서 스토리지 계정 ID의 암호를 업데이트해야 할 수 있습니다.