Problemen met verificatie en autorisatie op basis van Azure Files identiteit (SMB) oplossen

In dit artikel worden veelvoorkomende problemen beschreven bij het gebruik van SMB Azure-bestandsshares met verificatie op basis van identiteit. Het biedt ook mogelijke oorzaken en oplossingen voor deze problemen. Verificatie op basis van identiteit wordt momenteel niet ondersteund voor NFS Azure-bestandsshares.

Van toepassing op

Type bestandsshare	SMB	NFS
Standaardbestandsshares (GPv2), LRS/ZRS
Standaard bestandsshares (GPv2), GRS/GZRS
Premium-bestandsshares (FileStorage), LRS/ZRS

Fout bij het uitvoeren van de AzFilesHybrid-module

Wanneer u de module AzFilesHybrid probeert uit te voeren, kan het volgende foutbericht worden weergegeven:

De client beschikt niet over een vereiste bevoegdheid.

Oorzaak: AD-machtigingen zijn onvoldoende

Dit probleem treedt op omdat u niet beschikt over de vereiste Active Directory-machtigingen (AD) om de module uit te voeren.

Oplossing

Raadpleeg de AD-bevoegdheden of neem contact op met uw AD-beheerder om de vereiste bevoegdheden op te geven.

Fout 5 bij het koppelen van een Azure-bestandsshare

Wanneer u een bestandsshare probeert te koppelen, kan het volgende foutbericht worden weergegeven:

Systeemfout 5 is opgetreden. De toegang wordt geweigerd.

Oorzaak: machtigingen op shareniveau zijn onjuist

Als eindgebruikers toegang hebben tot de Azure-bestandsshare met behulp van Active Directory Domain Services (AD DS) of Microsoft Entra Domeinservices verificatie, mislukt de toegang tot de bestandsshare met de fout 'Toegang is geweigerd' als machtigingen op shareniveau onjuist zijn.

Opmerking

Deze fout kan worden veroorzaakt door andere problemen dan onjuiste machtigingen op shareniveau. Zie Problemen met Azure Files connectiviteit en toegang oplossen voor meer informatie over andere mogelijke oorzaken en oplossingen.

Oplossing

Controleer of de machtigingen correct zijn geconfigureerd:

• Active Directory Domain Services (AD DS) zie Machtigingen op shareniveau toewijzen.

  Machtigingstoewijzingen op shareniveau worden ondersteund voor groepen en gebruikers die vanuit AD DS zijn gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect Sync of Microsoft Entra Connect-cloudsynchronisatie. Controleer of groepen en gebruikers waaraan machtigingen op shareniveau zijn toegewezen, geen niet-ondersteunde 'cloud-only'-groepen zijn.

• Microsoft Entra Domeinservicesmachtigingen op shareniveau toewijzen.

Fout AadDsTenantNotFound bij het inschakelen van Microsoft Entra Domeinservices-verificatie voor Azure Files 'Kan actieve tenants niet vinden met tenant-id Microsoft Entra tenant-id'

Oorzaak

Fout AadDsTenantNotFound treedt op wanneer u Microsoft Entra Domeinservices-verificatie probeert in te schakelen voor Azure Files op een opslagaccount waarbij Microsoft Entra Domeinservices niet is gemaakt op de Microsoft Entra tenant van het bijbehorende abonnement.

Oplossing

Schakel Microsoft Entra Domeinservices in op de Microsoft Entra tenant van het abonnement waarnaar uw opslagaccount is geïmplementeerd. U hebt beheerdersbevoegdheden van de Microsoft Entra tenant nodig om een beheerd domein te maken. Als u niet de beheerder bent van de Microsoft Entra tenant, neemt u contact op met de beheerder en volgt u de stapsgewijze instructies om een Microsoft Entra Domeinservices beheerd domein te maken en te configureren.

Kan Azure-bestandsshares niet koppelen met AD-referenties

Stappen voor zelfdiagnose

Zorg er eerst voor dat u de stappen hebt gevolgd om Azure Files AD DS-verificatie in te schakelen.

Probeer vervolgens de Azure-bestandsshare te koppelen met de sleutel van het opslagaccount. Als de share niet kan worden gekoppeld, downloadt u AzFileDiagnostics om u te helpen de clientomgeving te valideren. AzFileDiagnostics kan incompatibele clientconfiguraties detecteren die toegangsfouten kunnen veroorzaken voor Azure Files, prescriptieve richtlijnen geven voor zelfoplossing en de diagnostische traceringen verzamelen.

Ten derde kunt u de Debug-AzStorageAccountAuth cmdlet uitvoeren om een set basiscontroles uit te voeren op uw AD-configuratie met de aangemelde AD-gebruiker. Deze cmdlet wordt ondersteund op AzFilesHybrid v0.1.2+ versie. U moet deze cmdlet uitvoeren met een AD-gebruiker met eigenaarsmachtigingen voor het doelopslagaccount.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

De cmdlet voert deze controles op volgorde uit en biedt richtlijnen voor fouten:

1. CheckADObjectPasswordIsCorrect: Zorg ervoor dat het wachtwoord dat is geconfigureerd voor de AD-identiteit die het opslagaccount vertegenwoordigt, overeenkomt met dat van de sleutel van het opslagaccount kerb1 of kerb2. Als het wachtwoord onjuist is, kunt u Update-AzStorageAccountADObjectPassword uitvoeren om het wachtwoord opnieuw in te stellen.
2. CheckADObject: Controleer of er een object in de Active Directory is dat het opslagaccount vertegenwoordigt en de juiste SPN (service-principalnaam) heeft. Als de SPN niet correct is ingesteld, voert u de Set-AD cmdlet uit die wordt geretourneerd in de cmdlet voor foutopsporing om de SPN te configureren.
3. CheckDomainJoined: Controleer of de clientcomputer lid is van een domein aan AD. Als uw computer niet lid is van een domein aan AD, raadpleegt u Een computer toevoegen aan een domein voor instructies voor domeindeelname.
4. CheckPort445Connectivity: Controleer of poort 445 is geopend voor SMB-verbinding. Als poort 445 niet is geopend, raadpleegt u het hulpprogramma voor probleemoplossing AzFileDiagnostics voor verbindingsproblemen met Azure Files.
5. CheckSidHasAadUser: Controleer of de aangemelde AD-gebruiker is gesynchroniseerd met Microsoft Entra ID. Als u wilt opzoeken of een specifieke AD-gebruiker wordt gesynchroniseerd met Microsoft Entra ID, kunt u de -UserName en -Domain opgeven in de invoerparameters. Voor een bepaalde SID wordt gecontroleerd of er een Microsoft Entra gebruiker is gekoppeld.
6. CheckAadUserHasSid: Controleer of de aangemelde AD-gebruiker is gesynchroniseerd met Microsoft Entra ID. Als u wilt opzoeken of een specifieke AD-gebruiker wordt gesynchroniseerd met Microsoft Entra ID, kunt u de -UserName en -Domain opgeven in de invoerparameters. Voor een bepaalde Microsoft Entra gebruiker wordt de SID gecontroleerd. Als u deze controle wilt uitvoeren, moet u de -ObjectId parameter opgeven, samen met de object-id van de Microsoft Entra gebruiker.
7. CheckGetKerberosTicket: Probeer een Kerberos-ticket op te halen om verbinding te maken met het opslagaccount. Als er geen geldig Kerberos-token is, voert u de klist get cifs/storage-account-name.file.core.windows.net cmdlet uit en onderzoekt u de foutcode om de oorzaak van de fout bij het ophalen van het ticket vast te stellen.
8. CheckStorageAccountDomainJoined: Controleer of de AD-verificatie is ingeschakeld en of de AD-eigenschappen van het account zijn ingevuld. Zo niet, schakelt u AD DS-verificatie in op Azure Files.
9. CheckUserRbacAssignment: Controleer of de AD-identiteit de juiste RBAC-roltoewijzing heeft om machtigingen op shareniveau te bieden voor toegang tot Azure Files. Zo niet, configureert u de machtiging op shareniveau. (Ondersteund op AzFilesHybrid v0.2.3+ versie)
10. CheckUserFileAccess: Controleer of de AD-identiteit de juiste map-/bestandsmachtiging (Windows-ACL's) heeft voor toegang tot Azure Files. Zo niet, configureert u de machtiging op map-/bestandsniveau. Als u deze controle wilt uitvoeren, moet u de -FilePath parameter opgeven, samen met het pad van het gekoppelde bestand waartoe u fouten wilt opsporen in de toegang. (Ondersteund op AzFilesHybrid v0.2.3+ versie)
11. CheckAadKerberosRegistryKeyIsOff: Controleer of de Microsoft Entra Kerberos-registersleutel is uitgeschakeld. Als de sleutel is ingeschakeld, voert u uit reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0 vanaf een opdrachtprompt met verhoogde bevoegdheid om deze uit te schakelen en start u de computer opnieuw op. (Ondersteund op AzFilesHybrid v0.2.9+ versie)

Als u alleen een subselectie van de vorige controles wilt uitvoeren, kunt u de -Filter parameter gebruiken, samen met een door komma's gescheiden lijst met controles die moeten worden uitgevoerd. Als u bijvoorbeeld alle controles wilt uitvoeren met betrekking tot machtigingen op shareniveau (RBAC), gebruikt u de volgende PowerShell-cmdlets:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -Filter CheckSidHasAadUser,CheckUserRbacAssignment `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Als u de bestandsshare hebt gekoppeld aan X:en als u alleen de controle wilt uitvoeren met betrekking tot machtigingen op bestandsniveau (Windows ACL's), kunt u de volgende PowerShell-cmdlets uitvoeren:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"

Debug-AzStorageAccountAuth `
    -Filter CheckUserFileAccess `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -FilePath $FilePath `
    -Verbose

Kan machtigingen op map-/bestandsniveau (Windows-ACL's) niet configureren met Windows Bestandenverkenner

Symptoom

U kunt een van de hieronder beschreven symptomen ondervinden bij het configureren van Windows-ACL's met Bestandenverkenner op een gekoppelde bestandsshare:

• Nadat u op Machtiging bewerken hebt geklikt op het tabblad Beveiliging, wordt de wizard Machtigingen niet geladen.
• Wanneer u probeert een nieuwe gebruiker of groep te selecteren, wordt op de domeinlocatie niet het juiste AD DS-domein weergegeven.
• U gebruikt meerdere AD-forests en krijgt het volgende foutbericht: 'De Active Directory-domeincontrollers die nodig zijn om de geselecteerde objecten in de volgende domeinen te vinden, zijn niet beschikbaar. Zorg ervoor dat de Active Directory-domeincontrollers beschikbaar zijn en probeer de objecten opnieuw te selecteren.

Oplossing

U wordt aangeraden machtigingen op map-/bestandsniveau te configureren met behulp van icacls in plaats van Windows Bestandenverkenner.

Fouten bij het uitvoeren van Join-AzStorageAccountForAuth cmdlet

Fout: 'De adreslijstservice kan geen relatieve id toewijzen'

Deze fout kan optreden als een domeincontroller met de FSMO-rol RID-hoofd niet beschikbaar is of is verwijderd uit het domein en is hersteld vanuit een back-up. Controleer of alle domeincontrollers actief en beschikbaar zijn.

Fout: 'Kan positionele parameters niet binden omdat er geen namen zijn opgegeven'

Deze fout wordt waarschijnlijk geactiveerd door een syntaxisfout in de Join-AzStorageAccountforAuth opdracht. Controleer de opdracht op spelfouten of syntaxisfouten en controleer of de nieuwste versie van de AzFilesHybrid-module (https://github.com/Azure-Samples/azure-files-samples/releases) is geïnstalleerd.

Azure Files ondersteuning voor on-premises AD DS-verificatie voor AES-256 Kerberos-versleuteling

Azure Files ondersteunt AES-256 Kerberos-versleuteling voor AD DS-verificatie vanaf de AzFilesHybrid-module v0.2.2. AES-256 is de aanbevolen versleutelingsmethode en dit is de standaardversleutelingsmethode vanaf AzFilesHybrid module v0.2.5. Als u AD DS-verificatie hebt ingeschakeld met een moduleversie lager dan v0.2.2, moet u de meest recente AzFilesHybrid-module downloaden en de onderstaande PowerShell uitvoeren. Als u AD DS-verificatie nog niet hebt ingeschakeld voor uw opslagaccount, volgt u deze richtlijnen.

Belangrijk

Als u eerder RC4-versleuteling gebruikte en het opslagaccount bijwerkt om AES-256 te gebruiken, moet u uitvoeren klist purge op de client en vervolgens de bestandsshare opnieuw koppelen om nieuwe Kerberos-tickets op te halen met AES-256.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName

Als onderdeel van de update draait de cmdlet de Kerberos-sleutels, wat nodig is om over te schakelen naar AES-256. Het is niet nodig om terug te draaien, tenzij u beide wachtwoorden opnieuw wilt genereren.

Gebruikersidentiteit die voorheen de roltoewijzing Eigenaar of Inzender had, heeft nog steeds toegang tot de opslagaccountsleutel

De rollen Eigenaar en Inzender van opslagaccount bieden de mogelijkheid om de opslagaccountsleutels weer te geven. De sleutel van het opslagaccount biedt volledige toegang tot de gegevens van het opslagaccount, inclusief bestandsshares, blobcontainers, tabellen en wachtrijen, en beperkte toegang tot de Azure Files beheerbewerkingen via de verouderde beheer-API's die beschikbaar zijn via de FileREST-API. Als u roltoewijzingen wijzigt, moet u er rekening mee houden dat de gebruikers die worden verwijderd uit de rol Eigenaar of Inzender, toegang tot het opslagaccount kunnen blijven behouden via opgeslagen opslagaccountsleutels.

Oplossing 1

U kunt dit probleem eenvoudig oplossen door de sleutels van het opslagaccount te roteren. We raden u aan de toetsen één voor één te draaien en de toegang van de ene naar de andere te schakelen terwijl ze worden geroteerd. Er zijn twee typen gedeelde sleutels die het opslagaccount biedt: de opslagaccountsleutels, die superbeheerderstoegang bieden tot de gegevens van het opslagaccount, en de Kerberos-sleutels, die fungeren als een gedeeld geheim tussen het opslagaccount en de Windows Server Active Directory domeincontroller voor Windows Server Active Directory Scenario 's.

Als u de Kerberos-sleutels van een opslagaccount wilt draaien, raadpleegt u Het wachtwoord van uw opslagaccount-id bijwerken in AD DS.

Portal

Navigeer naar het gewenste opslagaccount in de Azure Portal. Selecteer in de inhoudsopgave voor het gewenste opslagaccount de optie Toegangssleutels onder de kop Beveiliging en netwerken . Selecteer in het deelvenster Toegangssleutelde optie Toets draaien boven de gewenste toets.

PowerShell

Met het volgende script worden beide sleutels voor het opslagaccount geroteerd. Als u sleutels wilt verwisselen tijdens het draaien, moet u aanvullende logica in uw script opgeven om dit scenario af te handelen. Vergeet niet om en <storage-account> te vervangen door <resource-group> de juiste waarden voor uw omgeving.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key1"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key2"

Azure CLI

Met het volgende script worden beide sleutels voor het opslagaccount geroteerd. Als u sleutels wilt verwisselen tijdens het draaien, moet u aanvullende logica in uw script opgeven om dit scenario af te handelen. Vergeet niet om en <storage-account> te vervangen door <resource-group> de juiste waarden voor uw omgeving.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "primary"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "secondary"

De API-machtigingen instellen voor een zojuist gemaakte toepassing

Nadat u Microsoft Entra Kerberos-verificatie hebt ingeschakeld, moet u expliciet beheerderstoestemming verlenen aan de nieuwe Microsoft Entra toepassing die is geregistreerd in uw Microsoft Entra tenant om uw configuratie te voltooien. U kunt de API-machtigingen vanuit de Azure Portal configureren door deze stappen uit te voeren.

1. Open Microsoft Entra ID.
2. Selecteer App-registraties in het linkerdeelvenster.
3. Selecteer Alle toepassingen in het rechterdeelvenster.
4. Selecteer de toepassing met de naam die overeenkomt met [Opslagaccount] $storageAccountName.file.core.windows.net.
5. Selecteer API-machtigingen in het linkerdeelvenster.
6. Selecteer Machtigingen toevoegen onderaan de pagina.
7. Selecteer Beheerderstoestemming verlenen voor 'DirectoryName'.

Mogelijke fouten bij het inschakelen van Microsoft Entra Kerberos-verificatie voor hybride gebruikers

U kunt de volgende fouten tegenkomen bij het inschakelen van Microsoft Entra Kerberos-verificatie voor hybride gebruikersaccounts.

Fout: beheerderstoestemming verlenen uitgeschakeld

In sommige gevallen kan Microsoft Entra beheerder de mogelijkheid uitschakelen om beheerderstoestemming te verlenen aan Microsoft Entra toepassingen. Hieronder ziet u een schermopname van hoe dit eruit kan zien in de Azure Portal.

Als dit het geval is, vraagt u de Microsoft Entra-beheerder om beheerderstoestemming te verlenen voor de nieuwe Microsoft Entra toepassing. Als u uw beheerders wilt zoeken en weergeven, selecteert u rollen en beheerders en selecteert u vervolgens Cloudtoepassingsbeheerder.

Fout: 'De aanvraag voor Azure AD Graph is mislukt met code BadRequest'

Oorzaak 1: een beleid voor toepassingsbeheer verhindert dat referenties worden gemaakt

Wanneer u Microsoft Entra Kerberos-verificatie inschakelt, kan deze fout optreden als aan de volgende voorwaarden wordt voldaan:

1. U gebruikt de bèta-/preview-functie van toepassingsbeheerbeleid.
2. U (of uw beheerder) hebt een tenantbreed beleid ingesteld dat:
   • Heeft geen begindatum of een begindatum vóór 1 januari 2019.
   • Hiermee stelt u een beperking in voor wachtwoorden van service-principals, waardoor aangepaste wachtwoorden niet worden toegestaan of een maximale levensduur van het wachtwoord wordt ingesteld van minder dan 365,5 dagen.

Er is momenteel geen tijdelijke oplossing voor deze fout.

Oorzaak 2: er bestaat al een toepassing voor het opslagaccount

Deze fout kan ook optreden als u Microsoft Entra Kerberos-verificatie eerder hebt ingeschakeld via handmatige beperkte preview-stappen. Als u de bestaande toepassing wilt verwijderen, kan de klant of de IT-beheerder het volgende script uitvoeren. Als u dit script uitvoert, wordt de oude handmatig gemaakte toepassing verwijderd en kan de nieuwe ervaring de zojuist gemaakte toepassing automatisch maken en beheren. Nadat de verbinding met Microsoft Graph is gestart, meldt u zich aan bij de microsoft Graph-opdrachtregelprogramma's op uw apparaat en verleent u machtigingen voor de app.

$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"

$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
   Remove-MgApplication -ObjectId $application.ObjectId
}

Fout: het wachtwoord van de service-principal is verlopen in Microsoft Entra ID

Als u eerder Microsoft Entra Kerberos-verificatie hebt ingeschakeld via handmatige beperkte preview-stappen, wordt het wachtwoord voor de service-principal van het opslagaccount ingesteld om elke zes maanden te verlopen. Zodra het wachtwoord is verlopen, kunnen gebruikers geen Kerberos-tickets meer ophalen naar de bestandsshare.

Om dit te verhelpen, hebt u twee opties: draai het wachtwoord van de service-principal in Microsoft Entra elke zes maanden of volg deze stappen om Microsoft Entra Kerberos uit te schakelen, de bestaande toepassing te verwijderen en Microsoft Entra Kerberos opnieuw te configureren.

Zorg ervoor dat u domeineigenschappen (domainName en domainGUID) opslaat voordat u Microsoft Entra Kerberos uitschakelt, omdat u deze tijdens de herconfiguratie nodig hebt als u machtigingen op map- en bestandsniveau wilt configureren met Windows Bestandenverkenner. Als u domeineigenschappen niet hebt opgeslagen, kunt u nog steeds machtigingen op map-/bestandsniveau configureren met behulp van icacls als tijdelijke oplossing.

1. Microsoft Entra Kerberos uitschakelen
2. De bestaande toepassing verwijderen
3. Microsoft Entra Kerberos opnieuw configureren via de Azure Portal

Zodra u Microsoft Entra Kerberos opnieuw hebt geconfigureerd, wordt de zojuist gemaakte toepassing automatisch gemaakt en beheerd.

Fout 1326: de gebruikersnaam of het wachtwoord is onjuist bij het gebruik van een privékoppeling

Als u verbinding maakt met een opslagaccount via een privé-eindpunt/privékoppeling met behulp van Microsoft Entra Kerberos-verificatie, wordt de client gevraagd om referenties wanneer u probeert een bestandsshare te koppelen via net use of een andere methode. De gebruiker typt waarschijnlijk zijn referenties in, maar de referenties worden geweigerd.

Oorzaak

Dit komt doordat de SMB-client heeft geprobeerd Kerberos te gebruiken, maar dit is mislukt, zodat deze terugvalt op het gebruik van NTLM-verificatie en Azure Files geen ondersteuning biedt voor het gebruik van NTLM-verificatie voor domeinreferenties. De client kan geen Kerberos-ticket naar het opslagaccount krijgen omdat de private link-FQDN niet is geregistreerd bij een bestaande Microsoft Entra toepassing.

Oplossing

De oplossing is om de privateLink FQDN toe te voegen aan de Microsoft Entra toepassing van het opslagaccount voordat u de bestandsshare koppelt. U kunt de vereiste identifierUris toevoegen aan het toepassingsobject met behulp van de Azure Portal door deze stappen uit te voeren.

1. Open Microsoft Entra ID.

2. Selecteer App-registraties in het linkerdeelvenster.

3. Selecteer Alle toepassingen.

4. Selecteer de toepassing met de naam die overeenkomt met [Opslagaccount] $storageAccountName.file.core.windows.net.

5. Selecteer Manifest in het linkerdeelvenster.

6. Kopieer en plak de bestaande inhoud zodat u een dubbele kopie hebt.

7. Bewerk het JSON-manifest. Voeg voor elke <storageAccount>.file.core.windows.net vermelding een bijbehorende <storageAccount>.privatelink.file.core.windows.net vermelding toe. Als uw manifest bijvoorbeeld de volgende waarde heeft voor identifierUris:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net"
   ],
   

   Vervolgens moet u het identifierUris veld als volgt bewerken:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net",
   
       "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net",
       "HOST/<storageaccount>.privatelink.file.core.windows.net",
       "CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "HTTP/<storageaccount>.privatelink.file.core.windows.net"
   ],
   

8. Controleer de inhoud en selecteer Opslaan om het toepassingsobject bij te werken met de nieuwe identifierUris.

9. Werk eventuele interne DNS-verwijzingen bij zodat deze verwijzen naar de privékoppeling.

10. Probeer de share opnieuw te koppelen.

Fout AADSTS50105

De aanvraag is onderbroken door de volgende fout AADSTS50105:

De beheerder heeft de toepassing 'Naam van bedrijfstoepassing' geconfigureerd om gebruikers te blokkeren, tenzij ze specifiek toegang krijgen (toegewezen) tot de toepassing. De aangemelde gebruiker {EmailHidden} is geblokkeerd omdat deze geen direct lid is van een groep met toegang, noch rechtstreeks toegang heeft gekregen van een beheerder. Neem contact op met uw beheerder om toegang tot deze toepassing toe te wijzen.

Oorzaak

Als u 'toewijzing vereist' instelt voor de bijbehorende bedrijfstoepassing, kunt u geen Kerberos-ticket krijgen en wordt Microsoft Entra aanmeldingslogboeken een fout weergegeven, zelfs als gebruikers of groepen aan de toepassing zijn toegewezen.

Oplossing

Selecteer toewijzing vereist voor Microsoft Entra toepassing voor het opslagaccount niet, omdat we geen rechten vullen in het Kerberos-ticket dat wordt geretourneerd naar de aanvrager. Zie Fout AADSTS50105 - De aangemelde gebruiker is niet toegewezen aan een rol voor de toepassing voor meer informatie.

Zie ook

• Problemen met Azure Files oplossen
• Problemen met Azure Files prestaties oplossen
• Problemen met Azure Files-connectiviteit (SMB) oplossen
• Algemene problemen met Azure Files SMB in Linux oplossen
• Algemene problemen met Azure Files NFS in Linux oplossen
• Problemen met Azure File Sync oplossen

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.