Delen via

Een SMB Azure-bestandsshare koppelen

  • Artikel

Het proces dat in dit artikel wordt beschreven, controleert of uw SMB-bestandsshare en toegangsmachtigingen correct zijn ingesteld en of u uw SMB Azure-bestandsshare kunt koppelen.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestandsshares (GPv2), LRS/ZRS Ja Nee
Standaardbestandsshares (GPv2), GRS/GZRS Ja Nee
Premium bestandsshares (FileStorage), LRS/ZRS Ja Nr.

Vereisten voor koppelen

Voordat u de Azure-bestandsshare kunt koppelen, moet u ervoor zorgen dat u de volgende vereisten hebt doorlopen:

  • Zorg ervoor dat u machtigingen op shareniveau hebt toegewezen en dat u machtigingen op map- en bestandsniveau hebt geconfigureerd. Houd er rekening mee dat het enige tijd kan duren voordat roltoewijzing op shareniveau wordt doorgevoerd.
  • Als u de bestandsshare koppelt vanaf een client die eerder is verbonden met de bestandsshare met behulp van uw opslagaccountsleutel, moet u ervoor zorgen dat u de verbinding met de share hebt verbroken en de permanente referenties van de sleutel van het opslagaccount hebt verwijderd. Voor instructies over het verwijderen van referenties in de cache en het verwijderen van bestaande SMB-verbindingen voordat u een nieuwe verbinding met Active Directory-domein Services (AD DS) of Microsoft Entra-referenties initialiseert, volgt u het proces in twee stappen op de pagina Veelgestelde vragen.
  • Als uw AD-bron AD DS of Microsoft Entra Kerberos is, moet uw client een niet-gempte netwerkverbinding met uw AD DS hebben. Als uw machine of VM zich buiten het netwerk bevindt dat wordt beheerd door uw AD DS, moet u VPN inschakelen om AD DS te bereiken voor verificatie.
  • Meld u aan bij de client met behulp van de referenties van de AD DS- of Microsoft Entra-identiteit waarvoor u machtigingen hebt verleend.

De bestandsshare koppelen vanaf een aan een domein gekoppelde VM

Voer het volgende PowerShell-script uit of gebruik Azure Portal om de Azure-bestandsshare permanent te koppelen en toe te wijzen aan station Z: in Windows. Als Z: al in gebruik is, vervangt u deze door een beschikbare stationsletter. Omdat u bent geverifieerd, hoeft u de sleutel van het opslagaccount niet op te geven. Het script controleert of dit opslagaccount toegankelijk is via TCP-poort 445. Dit is de poort die SMB gebruikt. Vergeet niet om de tijdelijke aanduidingen te vervangen door uw eigen waarden. Zie Een Azure-bestandsshare gebruiken met Windows voor meer informatie.

Tenzij u aangepaste domeinnamen gebruikt, moet u Azure-bestandsshares koppelen met behulp van het achtervoegselfile.core.windows.net, zelfs als u een privé-eindpunt voor uw share instelt.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

U kunt de net-use opdracht ook gebruiken vanuit een Windows-prompt om de bestandsshare te koppelen. Vergeet niet om uw eigen waarden te vervangen en <FileShareName> te vervangen<YourStorageAccountName>.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Als u problemen ondervindt, raadpleegt u Kan Geen Azure-bestandsshares koppelen met AD-referenties.

Koppel de bestandsshare vanaf een niet-domein-gekoppelde VM of een VM die is gekoppeld aan een ander AD-domein

Als uw AD-bron on-premises AD DS is, hebben niet-domein-gekoppelde VM's of VM's die lid zijn van een ander AD-domein dan het opslagaccount toegang tot Azure-bestandsshares als ze niet-gempte netwerkconnectiviteit met de AD-domeincontrollers hebben en expliciete referenties (gebruikersnaam en wachtwoord) hebben. De gebruiker die toegang heeft tot de bestandsshare, moet een identiteit en referenties hebben in het AD-domein waaraan het opslagaccount is gekoppeld.

Als uw AD-bron Microsoft Entra Domain Services is, moet de VIRTUELE machine een niet-gempte netwerkverbinding hebben met de domeincontrollers voor Microsoft Entra Domain Services, die zich in Azure bevinden. Hiervoor moet u meestal een site-naar-site- of punt-naar-site-VPN instellen. De gebruiker die toegang heeft tot de bestandsshare, moet een identiteit hebben (een Microsoft Entra-identiteit die is gesynchroniseerd van Microsoft Entra ID naar Microsoft Entra Domain Services) in het beheerde domein van Microsoft Entra Domain Services.

Als u een bestandsshare wilt koppelen vanaf een niet-domein-gekoppelde VM, gebruikt u de notatie username@domainFQDN, waarbij domainFQDN de volledig gekwalificeerde domeinnaam is. Hierdoor kan de client contact opnemen met de domeincontroller om Kerberos-tickets aan te vragen en te ontvangen. U kunt de waarde van domeinFQDN ophalen door deze uit te voeren (Get-ADDomain).Dnsroot in Active Directory PowerShell.

Voorbeeld:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Als uw AD-bron Microsoft Entra Domain Services is, kunt u ook referenties opgeven, zoals DOMAINNAME\username , waarbij DOMAINNAME het Domein van Microsoft Entra Domain Services is en gebruikersnaam de gebruikersnaam van de identiteit is in Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Notitie

Azure Files biedt geen ondersteuning voor SID naar UPN-vertaling voor gebruikers en groepen van een niet-domein gekoppelde VM of een VM die is gekoppeld aan een ander domein via Windows Bestandenverkenner. Als u bestands-/mapeigenaren wilt weergeven of NTFS-machtigingen wilt weergeven/wijzigen via Windows Bestandenverkenner, kunt u dit alleen doen vanaf vm's die lid zijn van een domein.

Bestandsshares koppelen met aangepaste domeinnamen

Als u Geen Azure-bestandsshares wilt koppelen met behulp van het achtervoegsel file.core.windows.net, kunt u het achtervoegsel wijzigen van de naam van het opslagaccount dat is gekoppeld aan de Azure-bestandsshare en vervolgens een CNAME-record (canonieke naam) toevoegen om het nieuwe achtervoegsel naar het eindpunt van het opslagaccount te routeren. De volgende instructies zijn alleen voor omgevingen met één forest. Zie Azure Files gebruiken met meerdere Active Directory-forests voor meer informatie over het configureren van omgevingen met twee of meer forests.

Notitie

Azure Files biedt alleen ondersteuning voor het configureren van CNAMES met behulp van de naam van het opslagaccount als een domeinvoorvoegsel. Als u de naam van het opslagaccount niet als voorvoegsel wilt gebruiken, kunt u overwegen DFS-naampaces te gebruiken.

In dit voorbeeld hebben we het Active Directory-domein onpremad1.com en hebben we een opslagaccount met de naam mystorageaccount dat SMB Azure-bestandsshares bevat. Eerst moeten we het SPN-achtervoegsel van het opslagaccount wijzigen om mystorageaccount.onpremad1.com toe te wijzen aan mystorageaccount.file.core.windows.net.

Hierdoor kunnen clients de share koppelen omdat net use \\mystorageaccount.onpremad1.com clients in onpremad1 weten onpremad1.com te zoeken naar de juiste resource voor dat opslagaccount.

Voer de volgende stappen uit om deze methode te gebruiken:

  1. Zorg ervoor dat u verificatie op basis van identiteit hebt ingesteld. Als uw AD-bron AD DS of Microsoft Entra Kerberos is, controleert u of u uw AD-gebruikersaccount(s) hebt gesynchroniseerd met Microsoft Entra ID.

  2. Wijzig de SPN van het opslagaccount met behulp van het setspn hulpprogramma. U kunt deze vinden <DomainDnsRoot> door de volgende Active Directory PowerShell-opdracht uit te voeren: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Voeg een CNAME-vermelding toe met Active Directory DNS Manager en volg de onderstaande stappen voor elk opslagaccount in het domein waaraan het opslagaccount is toegevoegd. Als u een privé-eindpunt gebruikt, voegt u de CNAME-vermelding toe om toe te wijzen aan de naam van het privé-eindpunt.

    1. Open Active Directory DNS Manager.
    2. Ga naar uw domein (bijvoorbeeld onpremad1.com).
    3. Ga naar 'Zones voor forward lookup'.
    4. Selecteer het knooppunt met de naam van uw domein (bijvoorbeeld onpremad1.com) en klik met de rechtermuisknop op Nieuwe alias (CNAME).
    5. Voer de naam van uw opslagaccount in als aliasnaam.
    6. Voer <storage-account-name>voor de FQDN (Fully Qualified Domain Name) .<domain-name>in, zoals mystorageaccount.onpremad1.com. Het hostnaamgedeelte van de FQDN moet overeenkomen met de naam van het opslagaccount. Anders krijgt u een foutmelding dat de toegang is geweigerd tijdens de installatie van de SMB-sessie.
    7. Voer .file.core.windows.net in <storage-account-name>voor de FQDN van de doelhost
    8. Selecteer OK.

U moet nu de bestandsshare kunnen koppelen met behulp van storageaccount.domainname.com. U kunt de bestandsshare ook koppelen met behulp van de sleutel van het opslagaccount.

Volgende stap

Als de identiteit die u in AD DS hebt gemaakt om het opslagaccount weer te geven zich in een domein of organisatie-eenheid bevindt die wachtwoordrotatie afdwingt, moet u mogelijk het wachtwoord van uw opslagaccount-id bijwerken in AD DS.