Delen via


SMB Azure-bestandsshares

Azure Files biedt twee industriestandaard protocollen voor het koppelen van een Azure-bestandsshare: het SMB-protocol (Server Message Block) en het NFS-protocol (Network File System). Met Azure Files kunt u het bestandssysteemprotocol kiezen dat het meest geschikt is voor uw workload. Azure-bestandsshares bieden geen ondersteuning voor toegang tot een afzonderlijke Azure-bestandsshare met zowel de SMB- als NFS-protocollen, hoewel u SMB- en NFS-bestandsshares binnen hetzelfde opslagaccount kunt maken. Voor alle bestandsshares biedt Azure Files hoogwaardige bestandsshares die omhoog kunnen worden geschaald om te voldoen aan uw opslagbehoeften en die gelijktijdig kunnen worden geopend door duizenden clients.

In dit artikel worden SMB Azure-bestandsshares behandeld. Zie NFS Azure-bestandsshares voor informatie over NFS Azure-bestandsshares.

Algemene scenario's

SMB-bestandsshares worden gebruikt voor verschillende toepassingen, waaronder bestandsshares van eindgebruikers en bestandsshares die back-ups maken van databases en toepassingen. SMB-bestandsshares worden vaak gebruikt in de volgende scenario's:

  • Bestandsshares van eindgebruikers, zoals teamshares, basismappen, enzovoort.
  • Back-up van opslag voor Windows-toepassingen, zoals SQL Server-databases of Line-Of-Business-toepassingen die zijn geschreven voor Win32- of .NET-API's van het lokale bestandssysteem.
  • Nieuwe toepassings- en serviceontwikkeling, met name als die toepassing of service een vereiste heeft voor willekeurige IO en hiërarchische opslag.

Functies

Azure Files ondersteunt de belangrijkste functies van SMB en Azure die nodig zijn voor productie-implementaties van SMB-bestandsshares:

  • AD-domeindeelname en discretionaire toegangsbeheerlijsten (DACL's).
  • Geïntegreerde serverloze back-up met Azure Backup.
  • Netwerkisolatie met privé-eindpunten van Azure.
  • Hoge netwerkdoorvoer met behulp van SMB meerdere kanalen (alleen premium bestandsshares).
  • SMB-kanaalversleuteling, waaronder AES-256-GCM, AES-128-GCM en AES-128-CCM.
  • Ondersteuning van eerdere versies via momentopnamen van geïntegreerde VSS-shares.
  • Automatisch voorlopig verwijderen op Azure-bestandsshares om onbedoelde verwijderingen te voorkomen.
  • Optioneel toegankelijk bestandsshares met internetveilige SMB 3.0+.

SMB-bestandsshares kunnen rechtstreeks on-premises worden gekoppeld of on-premises in de cache worden opgeslagen met Azure File Sync.

Beveiliging

Alle gegevens die zijn opgeslagen in Azure Files worden inactief versleuteld met behulp van Azure Storage Service Encryption (SSE). Versleuteling van de opslagservice werkt op dezelfde manier als BitLocker op Windows: gegevens worden versleuteld onder het bestandssysteemniveau. Omdat gegevens worden versleuteld onder het bestandssysteem van de Azure-bestandsshare (vanwege codering naar de schijf) hoeft u geen toegang te hebben tot de onderliggende sleutel op de client om naar de Azure-bestandsshare te kunnen lezen of schrijven. Inactieve versleuteling geldt voor zowel SMB- als NFS-protocollen.

Standaard is versleuteling in-transit ingeschakeld voor alle Azure-opslagaccounts. Dit betekent dat wanneer u een bestandsshare koppelt via SMB (of deze opent via het FileREST-protocol), Azure Files alleen de verbinding toestaat als deze is gemaakt met SMB 3.x met versleuteling of HTTPS. Clients die geen ondersteuning bieden voor SMB 3.x met SMB-kanaalversleuteling, kunnen de Azure-bestandsshare niet koppelen als versleuteling tijdens overdracht is ingeschakeld.

Azure Files ondersteunt AES-256-GCM met SMB 3.1.1 bij gebruik met Windows Server 2022 of Windows 11. SMB 3.1.1 ondersteunt ook AES-128-GCM en SMB 3.0 ondersteunt AES-128-CCM. AES-128-GCM wordt standaard onderhandeld op Windows 10, versie 21H1 om prestatieredenen.

U kunt versleuteling in transit uitschakelen voor een Azure-opslagaccount. Wanneer versleuteling is uitgeschakeld, staat Azure Files ook SMB 2.1 en SMB 3.x zonder versleuteling toe. De belangrijkste reden om versleuteling in transit uit te schakelen, is het ondersteunen van een verouderde toepassing die moet worden uitgevoerd op een ouder besturingssysteem, zoals Windows Server 2008 R2 of een oudere Linux-distributie. In Azure Files worden SMB 2.1-verbindingen alleen toegestaan binnen dezelfde Azure-regio als de Azure-bestandsshare. SMB 2.1-clients buiten de Azure-regio van de Azure-bestandsshare, zoals on-premises clients of clients in een andere Azure-regio, hebben geen toegang tot de bestandsshare.

SMB-protocolinstellingen

Azure Files biedt meerdere instellingen die van invloed zijn op het gedrag, de prestaties en de beveiliging van het SMB-protocol. Deze zijn geconfigureerd voor alle Azure-bestandsshares binnen een opslagaccount.

SMB Multikanaal

Met SMB meerdere kanalen kan een SMB 3.x-client meerdere netwerkverbindingen tot stand brengen met een SMB-bestandsshare. Azure Files ondersteunt SMB Meerdere kanalen op Premium-bestandsshares (bestandsshares in het type FileStorage-opslagaccount). Er zijn geen extra kosten verbonden aan het inschakelen van SMB meerdere kanalen in Azure Files. In de meeste Azure-regio's is SMB Meerdere kanalen standaard uitgeschakeld.

Als u de status van SMB meerdere kanalen wilt weergeven, gaat u naar het opslagaccount met uw Premium-bestandsshares en selecteert u Bestandsshares onder de kop Gegevensopslag in de inhoudsopgave van het opslagaccount. De status van de SMB Meerdere kanalen kan worden weergegeven in de sectie Bestandsshare-instellingen .

Een schermopname van de sectie bestandsshares met in het opslagaccount waarin de instelling voor meerdere kanalen voor SMB wordt gemarkeerd

Als u SMB meerdere kanalen wilt in- of uitschakelen, selecteert u de huidige status (ingeschakeld of uitgeschakeld , afhankelijk van de status). Het resulterende dialoogvenster bevat een wisselknop om SMB meerdere kanalen in of uit te schakelen. Selecteer de gewenste status en selecteer Opslaan.

Een schermopname van het dialoogvenster om de functie SMB meerdere kanalen in of uit te schakelen.

SMB meerdere kanalen inschakelen op oudere besturingssystemen

Ondersteuning voor SMB meerdere kanalen in Azure Files vereist dat Windows alle relevante patches heeft toegepast. Voor verschillende oudere Windows-versies, waaronder Windows Server 2016, Windows 10 versie 1607 en Windows 10 versie 1507, moeten extra registersleutels worden ingesteld voor alle relevante SMB-oplossingen voor meerdere kanalen die moeten worden toegepast op volledig gepatchte installaties. Als u een versie van Windows uitvoert die nieuwer is dan deze drie versies, is er geen extra actie vereist.

Windows Server 2016 en Windows 10 versie 1607

Voer de volgende PowerShell-opdracht uit om alle SMB-oplossingen voor meerdere kanalen in te schakelen voor Windows Server 2016 en Windows 10 versie 1607:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 versie 1507

Voer de volgende PowerShell-opdracht uit om alle SMB-oplossingen voor meerdere kanalen in te schakelen voor Windows 10 versie 1507:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

SMB-beveiligingsinstellingen

Azure Files stelt instellingen beschikbaar waarmee u het SMB-protocol kunt in- of uitschakelen om compatibeler of veiliger te zijn, afhankelijk van de vereisten van uw organisatie. Standaard is Azure Files zo geconfigureerd dat ze maximaal compatibel zijn. Houd er dus rekening mee dat het beperken van deze instellingen ertoe kan leiden dat sommige clients geen verbinding kunnen maken.

Azure Files maakt de volgende instellingen beschikbaar:

  • SMB-versies: welke versies van SMB zijn toegestaan. Ondersteunde protocolversies zijn SMB 3.1.1, SMB 3.0 en SMB 2.1. Standaard zijn alle SMB-versies toegestaan, hoewel SMB 2.1 niet is toegestaan als 'veilige overdracht vereisen' is ingeschakeld, omdat SMB 2.1 geen ondersteuning biedt voor versleuteling tijdens overdracht.
  • Verificatiemethoden: welke SMB-verificatiemethoden zijn toegestaan. Ondersteunde verificatiemethoden zijn NTLMv2 (alleen opslagaccountsleutel) en Kerberos. Standaard zijn alle verificatiemethoden toegestaan. Als u NTLMv2 verwijdert, wordt het gebruik van de sleutel van het opslagaccount niet toegeslagen om de Azure-bestandsshare te koppelen. Azure Files biedt geen ondersteuning voor het gebruik van NTLM-verificatie voor domeinreferenties.
  • Kerberos-ticketversleuteling: welke versleutelingsalgoritmen zijn toegestaan. Ondersteunde versleutelingsalgoritmen zijn AES-256 (aanbevolen) en RC4-HMAC.
  • SMB-kanaalversleuteling: welke algoritmen voor SMB-kanaalversleuteling zijn toegestaan. Ondersteunde versleutelingsalgoritmen zijn AES-256-GCM, AES-128-GCM en AES-128-CCM. Als u alleen AES-256-GCM selecteert, moet u aan clients laten weten dat deze moeten worden gebruikt door een PowerShell-terminal te openen als beheerder op elke client en deze uit te voeren Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Het gebruik van AES-256-GCM wordt niet ondersteund op Windows-clients ouder dan Windows 11/Windows Server 2022.

U kunt de SMB-beveiligingsinstellingen bekijken en wijzigen met behulp van Azure Portal, PowerShell of CLI. Selecteer het gewenste tabblad om de stappen te zien voor het ophalen en instellen van de SMB-beveiligingsinstellingen. Houd er rekening mee dat deze instellingen worden gecontroleerd wanneer er een SMB-sessie tot stand is gebracht en indien niet voldaan, mislukt de installatie van de SMB-sessie met de fout 'STATUS_ACCESS_DENIED'.

Als u de SMB-beveiligingsinstellingen wilt weergeven of wijzigen met behulp van Azure Portal, voert u de volgende stappen uit:

  1. Zoek naar Opslagaccounts en selecteer het opslagaccount waarvoor u de beveiligingsinstellingen wilt weergeven.

  2. Selecteer Bestandsshares voor gegevensopslag>.

  3. Selecteer onder Instellingen voor bestandsshare de waarde die is gekoppeld aan Beveiliging. Als u de beveiligingsinstellingen niet hebt gewijzigd, wordt deze waarde standaard ingesteld op Maximale compatibiliteit.

    Een schermopname die laat zien waar U SMB-beveiligingsinstellingen kunt wijzigen.

  4. Selecteer onder Profiel de optie Maximale compatibiliteit, Maximale beveiliging of Aangepast. Als u Aangepast selecteert, kunt u een aangepast profiel maken voor SMB-protocolversies, SMB-kanaalversleuteling, verificatiemechanismen en Kerberos-ticketversleuteling.

    Een schermopname van het dialoogvenster voor het wijzigen van de SMB-beveiligingsinstellingen voor SMB-protocolversies, SMB-kanaalversleuteling, verificatiemechanismen en Kerberos-ticketversleuteling.

Nadat u de gewenste beveiligingsinstellingen hebt ingevoerd, selecteert u Opslaan.

Beperkingen

SMB-bestandsshares in Azure Files ondersteunen een subset van functies die worden ondersteund door het SMB-protocol en het NTFS-bestandssysteem. Hoewel de meeste use cases en toepassingen deze functies niet vereisen, werken sommige toepassingen mogelijk niet goed met Azure Files als ze afhankelijk zijn van niet-ondersteunde functies. De volgende functies worden niet ondersteund:

Regionale beschikbaarheid

SMB Azure-bestandsshares zijn beschikbaar in elke Azure-regio, inclusief alle openbare en onafhankelijke regio's. Premium SMB-bestandsshares zijn beschikbaar in een subset van regio's.

Volgende stappen