Azure-bestandsshare koppelen

  • Artikel

Voordat u aan dit artikel begint, moet u ervoor zorgen dat u machtigingen op map- en bestandsniveau hebt gelezen via SMB.

Het proces dat in dit artikel wordt beschreven, controleert of uw SMB-bestandsshare en toegangsmachtigingen correct zijn ingesteld en of u uw SMB Azure-bestandsshare kunt koppelen. Houd er rekening mee dat het enige tijd kan duren voordat roltoewijzing op shareniveau wordt doorgevoerd.

Meld u aan bij de client met behulp van de referenties van de identiteit waarvoor u machtigingen hebt verleend.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestandsshares (GPv2), LRS/ZRS Yes No
Standaardbestandsshares (GPv2), GRS/GZRS Yes No
Premium bestandsshares (FileStorage), LRS/ZRS Yes No

Vereisten voor koppelen

Voordat u de Azure-bestandsshare kunt koppelen, moet u ervoor zorgen dat u de volgende vereisten hebt doorlopen:

  • Als u de bestandsshare koppelt vanaf een client die eerder is verbonden met de bestandsshare met behulp van uw opslagaccountsleutel, moet u ervoor zorgen dat u de verbinding met de share hebt verbroken, de permanente referenties van de opslagaccountsleutel hebt verwijderd en momenteel AD DS-referenties gebruikt voor verificatie. Voor instructies over het verwijderen van referenties in de cache met de sleutel van het opslagaccount en het verwijderen van bestaande SMB-verbindingen voordat u een nieuwe verbinding met AD DS- of Microsoft Entra-referenties initialiseert, volgt u het proces in twee stappen op de pagina Veelgestelde vragen.
  • Uw client moet een niet-gempte netwerkverbinding met uw AD DS hebben. Als uw machine of VM zich buiten het netwerk bevindt dat wordt beheerd door uw AD DS, moet u VPN inschakelen om AD DS te bereiken voor verificatie.

De bestandsshare koppelen vanaf een aan een domein gekoppelde VM

Voer het Onderstaande PowerShell-script uit of gebruik Azure Portal om de Azure-bestandsshare permanent te koppelen en toe te wijzen aan station Z: in Windows. Als Z: al in gebruik is, vervangt u deze door een beschikbare stationsletter. Het script controleert of dit opslagaccount toegankelijk is via TCP-poort 445. Dit is de poort die SMB gebruikt. Vergeet niet om de tijdelijke aanduidingen te vervangen door uw eigen waarden. Zie Een Azure-bestandsshare gebruiken met Windows voor meer informatie.

Tenzij u aangepaste domeinnamen gebruikt, moet u Azure-bestandsshares koppelen met behulp van het achtervoegselfile.core.windows.net, zelfs als u een privé-eindpunt voor uw share instelt.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

U kunt de net-use opdracht ook gebruiken vanuit een Windows-prompt om de bestandsshare te koppelen. Vergeet niet om uw eigen waarden te vervangen en <FileShareName> te vervangen<YourStorageAccountName>.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Als u problemen ondervindt, raadpleegt u Kan Geen Azure-bestandsshares koppelen met AD-referenties.

Koppel de bestandsshare vanaf een niet-domein-gekoppelde VM of een VM die is gekoppeld aan een ander AD-domein

Niet-aan een domein gekoppelde VM's of VM's die zijn gekoppeld aan een ander AD-domein dan het opslagaccount, hebben toegang tot Azure-bestandsshares als ze geen netwerkconnectiviteit hebben met de domeincontrollers en expliciete referenties (gebruikersnaam en wachtwoord) opgeven. De gebruiker die toegang heeft tot de bestandsshare, moet een identiteit en referenties hebben in het AD-domein waaraan het opslagaccount is gekoppeld.

Als u een bestandsshare wilt koppelen vanaf een niet-domein-gekoppelde VM, gebruikt u de notatie username@domainFQDN, waarbij domainFQDN de volledig gekwalificeerde domeinnaam is. Hierdoor kan de client contact opnemen met de domeincontroller om Kerberos-tickets aan te vragen en te ontvangen. U kunt de waarde van domeinFQDN ophalen door deze uit te voeren (Get-ADDomain).Dnsroot in Active Directory PowerShell.

Bijvoorbeeld:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Notitie

Azure Files biedt geen ondersteuning voor SID naar UPN-vertaling voor gebruikers en groepen van een niet-domein gekoppelde VM of een VM die is gekoppeld aan een ander domein via Windows Bestandenverkenner. Als u bestands-/mapeigenaren wilt weergeven of NTFS-machtigingen wilt weergeven/wijzigen via Windows Bestandenverkenner, kunt u dit alleen doen vanaf vm's die lid zijn van een domein.

Bestandsshares koppelen met aangepaste domeinnamen

Als u Geen Azure-bestandsshares wilt koppelen met behulp van het achtervoegsel file.core.windows.net, kunt u het achtervoegsel wijzigen van de naam van het opslagaccount dat is gekoppeld aan de Azure-bestandsshare en vervolgens een CNAME-record (canonieke naam) toevoegen om het nieuwe achtervoegsel naar het eindpunt van het opslagaccount te routeren. De volgende instructies zijn alleen voor omgevingen met één forest. Zie Azure Files gebruiken met meerdere Active Directory-forests voor meer informatie over het configureren van omgevingen met twee of meer forests.

Notitie

Azure Files biedt alleen ondersteuning voor het configureren van CNAMES met behulp van de naam van het opslagaccount als een domeinvoorvoegsel. Als u de naam van het opslagaccount niet als voorvoegsel wilt gebruiken, kunt u overwegen DFS-naampaces te gebruiken.

In dit voorbeeld hebben we het Active Directory-domein onpremad1.com en hebben we een opslagaccount met de naam mystorageaccount dat SMB Azure-bestandsshares bevat. Eerst moeten we het SPN-achtervoegsel van het opslagaccount wijzigen om mystorageaccount.onpremad1.com toe te wijzen aan mystorageaccount.file.core.windows.net.

Hierdoor kunnen clients de share koppelen omdat net use \\mystorageaccount.onpremad1.com clients in onpremad1 weten onpremad1.com te zoeken naar de juiste resource voor dat opslagaccount.

Voer de volgende stappen uit om deze methode te gebruiken:

  1. Zorg ervoor dat u verificatie op basis van identiteit hebt ingesteld en uw AD-gebruikersaccount(s) hebt gesynchroniseerd met Microsoft Entra-id.

  2. Wijzig de SPN van het opslagaccount met behulp van het setspn hulpprogramma. U kunt deze vinden <DomainDnsRoot> door de volgende Active Directory PowerShell-opdracht uit te voeren: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Voeg een CNAME-vermelding toe met Active Directory DNS Manager en volg de onderstaande stappen voor elk opslagaccount in het domein waaraan het opslagaccount is toegevoegd. Als u een privé-eindpunt gebruikt, voegt u de CNAME-vermelding toe om toe te wijzen aan de naam van het privé-eindpunt.

    1. Open Active Directory DNS Manager.
    2. Ga naar uw domein (bijvoorbeeld onpremad1.com).
    3. Ga naar 'Zones voor forward lookup'.
    4. Selecteer het knooppunt met de naam van uw domein (bijvoorbeeld onpremad1.com) en klik met de rechtermuisknop op Nieuwe alias (CNAME).
    5. Voer de naam van uw opslagaccount in als aliasnaam.
    6. Voer <storage-account-name>voor de FQDN (Fully Qualified Domain Name) .<domain-name>in, zoals mystorageaccount.onpremad1.com. Het hostnaamgedeelte van de FQDN moet overeenkomen met de naam van het opslagaccount. Anders krijgt u een foutmelding dat de toegang is geweigerd tijdens de installatie van de SMB-sessie.
    7. Voer .file.core.windows.net in <storage-account-name>voor de FQDN van de doelhost
    8. Selecteer OK.

U moet nu de bestandsshare kunnen koppelen met behulp van storageaccount.domainname.com. U kunt de bestandsshare ook koppelen met behulp van de sleutel van het opslagaccount.

Volgende stappen

Als de identiteit die u in AD DS hebt gemaakt om het opslagaccount weer te geven zich in een domein of organisatie-eenheid bevindt die wachtwoordrotatie afdwingt, moet u mogelijk het wachtwoord van uw opslagaccount-id bijwerken in AD DS.