SMB Azure-bestandsshares

Azure Files biedt twee industriestandaard protocollen voor het koppelen van een Azure-bestandsshare: het SMB-protocol (Server Message Block) en het NFS-protocol (Network File System). Met Azure Files kunt u het bestandssysteemprotocol kiezen dat het meest geschikt is voor uw workload. Azure-bestandsshares bieden geen ondersteuning voor toegang tot een afzonderlijke Azure-bestandsshare met zowel de SMB- als NFS-protocollen, hoewel u SMB- en NFS-bestandsshares binnen hetzelfde opslagaccount kunt maken. Voor alle bestandsshares biedt Azure Files hoogwaardige bestandsshares die omhoog kunnen worden geschaald om te voldoen aan uw opslagbehoeften en die gelijktijdig kunnen worden geopend door duizenden clients.

In dit artikel worden Azure-bestandsshares met SMB besproken. Voor informatie over NFS Azure-bestandsshares, zie NFS Azure-bestandsshares.

Van toepassing op

Beheermodel	Betaalmodel	Medianiveau	Redundantie	Kleine en Middelgrote Ondernemingen (SMB)	Network File System (NFS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	Lokaal (LRS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	Zone (ZRS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	Aardrijkskunde (GRS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	GeoZone (GZRS)
Microsoft.Opslag	Geconfigureerd v1	SSD (van hoge kwaliteit)	Lokaal (LRS)
Microsoft.Opslag	Geconfigureerd v1	SSD (van hoge kwaliteit)	Zone (ZRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	Lokaal (LRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	Zone (ZRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	Aardrijkskunde (GRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	GeoZone (GZRS)

Algemene scenario's

SMB-bestandsshares worden gebruikt voor veel toepassingen, waaronder bestandsshares van eindgebruikers en bestandsshares die back-ups maken van databases en toepassingen. SMB-bestandsshares worden vaak gebruikt in de volgende scenario's:

• Bestandsshares van eindgebruikers, zoals team-deelbestanden, thuismappen, enzovoort.
• Back-up van opslag voor Windows-toepassingen, zoals SQL Server-databases of Line-Of-Business-toepassingen die zijn geschreven voor Win32- of .NET-API's van het lokale bestandssysteem.
• Nieuwe toepassings- en serviceontwikkeling, met name als die toepassing of service een vereiste heeft voor willekeurige IO en hiërarchische opslag.

Kenmerken

Azure Files ondersteunt de belangrijkste functies van SMB en Azure die nodig zijn voor productie-implementaties van SMB-bestandsshares:

• AD-domeindeelname en discretionaire toegangsbeheerlijsten (DACL's).
• Geïntegreerde serverloze back-up met Azure Backup.
• Netwerkisolatie met privé-eindpunten van Azure.
• Hoge netwerkdoorvoer met SMB Multichannel (alleen SSD-bestandsdeling).
• SMB-kanaalversleuteling, waaronder AES-256-GCM, AES-128-GCM en AES-128-CCM.
• Ondersteuning van eerdere versies via momentopnamen van geïntegreerde VSS-shares.
• Automatisch zacht verwijderen van bestanden op Azure-bestandsshares om onbedoelde verwijderingen te voorkomen.
• Optioneel internettoegankelijke bestandsdeling met internetveilige SMB 3.0+.

SMB-bestandsshares kunnen rechtstreeks on-premises worden gekoppeld of on-premises worden gecachet met Azure File Sync.

Veiligheid

Alle gegevens die zijn opgeslagen in Azure Files worden inactief versleuteld met behulp van Azure Storage Service Encryption (SSE). Versleuteling van de opslagservice werkt op dezelfde manier als BitLocker op Windows: gegevens worden versleuteld onder het bestandssysteemniveau. Omdat gegevens worden versleuteld onder het bestandssysteem van de Azure-bestandsshare (vanwege codering naar de schijf) hoeft u geen toegang te hebben tot de onderliggende sleutel op de client om naar de Azure-bestandsshare te kunnen lezen of schrijven. Inactieve versleuteling geldt voor zowel SMB- als NFS-protocollen.

Standaard is versleuteling ingeschakeld voor alle Azure-bestandsshares, dus alleen SMB-koppelingen met behulp van SMB 3.x met versleuteling zijn toegestaan. Koppelingen van clients die geen ondersteuning bieden voor SMB 3.x met SMB-kanaalversleuteling, worden geweigerd als versleuteling tijdens overdracht is ingeschakeld.

Azure Files ondersteunt AES-256-GCM met SMB 3.1.1 bij gebruik met Windows Server 2022 of Windows 11. SMB 3.1.1 ondersteunt ook AES-128-GCM en SMB 3.0 ondersteunt AES-128-CCM. AES-128-GCM wordt standaard gebruikt op Windows 10, versie 21H1 om prestatievoordelen.

U kunt versleuteling tijdens overdracht uitschakelen voor een Azure-bestandsshare. Wanneer versleuteling is uitgeschakeld, staat Azure Files SMB 2.1 en SMB 3.x zonder versleuteling toe. De primaire reden voor het uitschakelen van versleuteling tijdens overdracht is het ondersteunen van een verouderde toepassing die moet worden uitgevoerd op een ouder besturingssysteem, zoals Windows Server 2008 R2 of oudere Linux-distributie. Azure Files staat alleen SMB 2.1-verbindingen toe binnen dezelfde Azure-regio als de Azure-bestandsshare; een SMB 2.1-client buiten de Azure-regio van de Azure-bestandsshare, zoals on-premises of in een andere Azure-regio, heeft geen toegang tot de bestandsshare.

SMB-protocolinstellingen

Azure Files biedt meerdere instellingen die van invloed zijn op het gedrag, de prestaties en de beveiliging van het SMB-protocol. Deze zijn geconfigureerd voor alle Azure-bestandsshares binnen een opslagaccount.

SMB Multikanaal

SMB Multichannel stelt een SMB 3.x-client in staat om meerdere netwerkverbindingen te maken met een SMB-bestandsshares. Azure Files ondersteunt SMB Multichannel op SSD bestandsshares. SMB Multichannel is nu standaard in alle Azure-regio's ingeschakeld.

Portaal

Als u de status van SMB meerdere kanalen wilt weergeven, gaat u naar het opslagaccount met uw SSD-bestandsshares en selecteert u Bestandsshares onder de kop Gegevensopslag in de inhoudsopgave van het opslagaccount. U ziet nu de status van SMB Meerdere kanalen in de sectie Instellingen voor bestandsshares . Als u dit niet ziet, controleert u of uw opslagaccount van het type FileStorage-account is.

Als u SMB meerdere kanalen wilt in- of uitschakelen, selecteert u de huidige status (ingeschakeld of uitgeschakeld , afhankelijk van de status). Het resulterende dialoogvenster bevat een wisselknop om SMB meerdere kanalen in of uit te schakelen. Selecteer de gewenste status en selecteer Opslaan.

PowerShell

Gebruik de Get-AzStorageFileServiceProperty cmdlet om de status van SMB Multichannel te verkrijgen. Vergeet niet om <resource-group> en <storage-account> te vervangen met de juiste waarden voor uw omgeving alvorens deze PowerShell-opdrachten uit te voeren.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 
$defaultSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $defaultSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Als u SMB meerdere kanalen wilt in- of uitschakelen, gebruikt u de Update-AzStorageFileServiceProperty cmdlet.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Azure CLI

Gebruik de az storage account file-service-properties show opdracht om de status van SMB Multichannel op te halen. Vergeet niet <resource-group> en <storage-account> te vervangen door de juiste waarden voor uw omgeving voordat u deze Bash-opdrachten uitvoert.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Gebruik de az storage account file-service-properties update opdracht om SMB meerdere kanalen in of uit te schakelen.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

SMB-multikanaal inschakelen op oudere besturingssystemen

Ondersteuning voor SMB meerdere kanalen in Azure Files vereist dat Windows alle relevante patches heeft toegepast. Voor verschillende oudere Windows-versies, waaronder Windows Server 2016, Windows 10 versie 1607 en Windows 10 versie 1507, moeten extra registersleutels worden ingesteld voor alle relevante SMB-oplossingen voor meerdere kanalen die moeten worden toegepast op volledig gepatchte installaties. Als u een versie van Windows uitvoert die nieuwer is dan deze drie versies, is er geen extra actie vereist.

Windows Server 2016 en Windows 10 versie 1607

Voer de volgende PowerShell-opdracht uit om alle SMB-oplossingen voor meerdere kanalen in te schakelen voor Windows Server 2016 en Windows 10 versie 1607:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 versie 1507

Voer de volgende PowerShell-opdracht uit om alle SMB-oplossingen voor meerdere kanalen in te schakelen voor Windows 10 versie 1507:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

SMB-beveiligingsinstellingen

Azure Files stelt instellingen beschikbaar waarmee u het SMB-protocol kunt in- of uitschakelen om compatibeler of veiliger te zijn, afhankelijk van de vereisten van uw organisatie. Standaard is Azure Files zo geconfigureerd dat ze maximaal compatibel zijn. Houd er dus rekening mee dat het beperken van deze instellingen ertoe kan leiden dat sommige clients geen verbinding kunnen maken.

Azure Files maakt de volgende instellingen beschikbaar:

• SMB-versies: welke versies van SMB zijn toegestaan. Ondersteunde protocolversies zijn SMB 3.1.1, SMB 3.0 en SMB 2.1. Standaard zijn alle SMB-versies toegestaan, hoewel SMB 2.1 niet is toegestaan als 'veilige overdracht vereisen' is ingeschakeld, omdat SMB 2.1 geen ondersteuning biedt voor versleuteling tijdens overdracht.
• Verificatiemethoden: welke SMB-verificatiemethoden zijn toegestaan. Ondersteunde verificatiemethoden zijn NTLMv2 (alleen opslagaccountsleutel) en Kerberos. Standaard zijn alle verificatiemethoden toegestaan. Het verwijderen van NTLMv2 staat niet toe dat de opslagaccount-sleutel wordt gebruikt om de Azure-bestandsshare te mounten. Azure Files biedt geen ondersteuning voor het gebruik van NTLM-verificatie voor domeinreferenties.
• Kerberos-ticketversleuteling: welke versleutelingsalgoritmen zijn toegestaan. Ondersteunde versleutelingsalgoritmen zijn AES-256 (aanbevolen) en RC4-HMAC.
• SMB-kanaalversleuteling: welke algoritmen voor SMB-kanaalversleuteling zijn toegestaan. Ondersteunde versleutelingsalgoritmen zijn AES-256-GCM, AES-128-GCM en AES-128-CCM. Als u alleen AES-256-GCM selecteert, moet u aan clients laten weten dat deze moeten worden gebruikt door een PowerShell-terminal te openen als beheerder op elke client en deze uit te voeren Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Het gebruik van AES-256-GCM wordt niet ondersteund op Windows-clients ouder dan Windows 11/Windows Server 2022.

U kunt de SMB-beveiligingsinstellingen bekijken en wijzigen met behulp van Azure Portal, PowerShell of CLI. Selecteer het gewenste tabblad om de stappen te zien voor het ophalen en instellen van de SMB-beveiligingsinstellingen. Houd er rekening mee dat deze instellingen worden gecontroleerd wanneer er een SMB-sessie tot stand is gebracht en indien niet voldaan, mislukt de installatie van de SMB-sessie met de fout 'STATUS_ACCESS_DENIED'.

Portaal

Als u de SMB-beveiligingsinstellingen wilt weergeven of wijzigen met behulp van Azure Portal, voert u de volgende stappen uit:

1. Meld u aan bij Azure Portal en zoek naar Opslagaccounts. Selecteer het opslagaccount waarvoor u de SMB-beveiligingsinstellingen wilt weergeven of wijzigen.

2. Selecteer In het servicemenu deoptie Bestandsshares>.

3. Selecteer onder Instellingen voor bestandsshare de waarde die is gekoppeld aan Beveiliging. Als u de beveiligingsinstellingen niet hebt gewijzigd, wordt deze waarde standaard ingesteld op Maximale compatibiliteit.

   

4. Selecteer onder Profielde optie Maximale compatibiliteit, Maximale beveiliging of Aangepast. Als u Aangepast selecteert, kunt u een aangepast profiel maken voor SMB-protocolversies, SMB-kanaalversleuteling, verificatiemechanismen en Kerberos-ticketversleuteling.

   

Nadat u de gewenste beveiligingsinstellingen hebt ingevoerd, selecteert u Opslaan.

PowerShell

Gebruik de Get-AzStorageFileServiceProperty cmdlet om de SMB-protocolinstellingen op te halen. Vergeet niet om <resource-group> en <storage-account> te vervangen door de juiste waarden voor uw omgeving. Als u uw SMB-beveiligingsinstellingen opzettelijk hebt ingesteld op null, bijvoorbeeld door SMB-kanaalversleuteling uit te schakelen, raadpleegt u de instructies in het script over het uitcommentariëren van bepaalde regels.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Afhankelijk van de beveiligings-, prestatie- en compatibiliteitsvereisten van uw organisatie, kunt u de SMB-protocolinstellingen wijzigen. Met de volgende PowerShell-opdracht worden uw SMB-bestandsshares beperkt tot alleen de veiligste opties.

Belangrijk

Het beperken van SMB Azure-bestandsshares tot alleen de veiligste opties kan ertoe leiden dat sommige clients geen verbinding kunnen maken. AES-256-GCM is bijvoorbeeld geïntroduceerd als optie voor SMB-kanaalversleuteling vanaf Windows Server 2022 en Windows 11. Dit betekent dat oudere clients die geen ondersteuning bieden voor AES-256-GCM geen verbinding kunnen maken. Als u alleen AES-256-GCM selecteert, moet u Windows Server 2022- en Windows 11-clients alleen AES-256-GCM laten gebruiken door een PowerShell-terminal te openen als beheerder op elke client en deze uit te voeren Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Azure CLI

Gebruik de az storage account file-service-properties show opdracht om de status van de SMB-beveiligingsinstellingen op te halen. Vergeet niet <resource-group> en <storage-account> te vervangen door de juiste waarden voor uw omgeving voordat u deze Bash-opdrachten uitvoert. Als u uw SMB-beveiligingsinstellingen opzettelijk hebt ingesteld op null, bijvoorbeeld door SMB-kanaalversleuteling uit te schakelen, raadpleegt u de instructies in het script over het uitcommentariëren van bepaalde regels.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Afhankelijk van de beveiligings-, prestatie- en compatibiliteitsvereisten van uw organisatie, kunt u de SMB-protocolinstellingen wijzigen. Met de volgende Azure CLI-opdracht beperkt u uw SMB-bestandsshares tot alleen de veiligste opties.

Belangrijk

Het beperken van SMB Azure-bestandsshares tot alleen de veiligste opties kan ertoe leiden dat sommige clients geen verbinding kunnen maken. AES-256-GCM is bijvoorbeeld geïntroduceerd als optie voor SMB-kanaalversleuteling vanaf Windows Server 2022 en Windows 11. Dit betekent dat oudere clients die geen ondersteuning bieden voor AES-256-GCM geen verbinding kunnen maken. Als u alleen AES-256-GCM selecteert, moet u Windows Server 2022- en Windows 11-clients alleen AES-256-GCM laten gebruiken door een PowerShell-terminal te openen als beheerder op elke client en deze uit te voeren Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Beperkingen

SMB-bestandsshares in Azure Files ondersteunen een subset van functies die worden ondersteund door het SMB-protocol en het NTFS-bestandssysteem. Hoewel de meeste use cases en toepassingen deze functies niet vereisen, werken sommige toepassingen mogelijk niet goed met Azure Files als ze afhankelijk zijn van niet-ondersteunde functies. De volgende functies worden niet ondersteund:

• SMB Direct
• SMB-mapverhuur
• VSS voor SMB-bestandsshares (hiermee kunnen VSS-providers hun gegevens naar de SMB-bestandsshare schrijven voordat er een snapshot wordt gemaakt)
• Alternatieve gegevensstreams
• Uitgebreide kenmerken
• Objectidentificatoren
• vaste koppelingen
• Zachte koppelingen
• Reparsepunten
• Sparse-bestanden
• Korte bestandsnamen (alias 8.3)
• Compressie

Regionale beschikbaarheid

SMB Azure-bestandsshares zijn beschikbaar in elke Azure-regio, inclusief alle openbare en onafhankelijke regio's. SSD-bestandsshares zijn beschikbaar in een subset van regio's.

Volgende stappen

• Een Azure Files-implementatie plannen
• Een Azure-bestandsshare maken
• Koppel SMB-bestandsshares aan uw voorkeursbesturingssysteem:
  • SMB-bestandsshares koppelen in Windows
  • SMB-bestandsshares koppelen in Linux
  • Toegang krijgen tot SMB-bestandsdeling op macOS