Udziały plików Azure SMB

2025-05-03

Usługa Azure Files oferuje dwa standardowe protokoły do montowania udziału plików Azure: protokół SMB (Server Message Block) i protokół NFS (Network File System). Usługa Azure Files umożliwia wybranie protokołu systemu plików, który jest najlepszy dla obciążenia. Udziały plików platformy Azure nie obsługują jednoczesnego dostępu do pojedynczego udziału plików przy użyciu protokołów SMB i NFS, chociaż można tworzyć udziały plików SMB i NFS w tym samym koncie magazynowym. W przypadku wszystkich udziałów plików, usługa Azure Files oferuje udziały plików klasy korporacyjnej, które można skalować elastycznie, aby spełniać potrzeby magazynowania i które są dostępne współbieżnie dla tysięcy użytkowników.

W tym artykule opisano udziały plików platformy Azure protokołu SMB. Aby uzyskać informacje o udziałach plików platformy Azure NFS, zobacz Udziały plików platformy Azure NFS.

Odnosi się do

Model zarządzania	Model rozliczania	Poziom mediów	Redundancja
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Lokalna sieć (LRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Strefa (ZRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Geo (GRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Strefa geograficzna (GZRS)
Microsoft.Storage	Zaprovisionowana wersja 1	SSD klasy premium	Lokalna sieć (LRS)
Microsoft.Storage	Zaprovisionowana wersja 1	SSD klasy premium	Strefa (ZRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Lokalna sieć (LRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Strefa (ZRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Geo (GRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Strefa geograficzna (GZRS)

Typowe scenariusze

Udziały plików SMB są wykorzystywane w wielu aplikacjach, w tym udziałach plików dla użytkowników końcowych oraz udziałach plików, które stanowią podstawę dla baz danych i aplikacji. Udziały plików SMB są często używane w następujących scenariuszach:

Udziały plików użytkownika końcowego, takie jak udziały zespołu, katalogi macierzyste itp.
Magazyn danych dla aplikacji opartych na systemie Windows, takich jak bazy danych SQL Server lub aplikacje biznesowe typu LOB napisane dla lokalnych interfejsów API systemu plików Win32 lub .NET.
Tworzenie nowych aplikacji i usług, szczególnie jeśli wymagają one losowego dostępu do danych i przechowywania w strukturze hierarchicznej.

Funkcje

Usługa Azure Files obsługuje główne funkcje protokołu SMB i platformy Azure potrzebne do wdrożeń produkcyjnych udziałów plików SMB:

Dołączanie do domeny usługi AD i uznaniowe listy kontroli dostępu (DACLS).
Zintegrowana bezserwerowa kopia zapasowa z usługą Azure Backup.
Izolacja sieci za pomocą prywatnych punktów końcowych w platformie Azure.
Wysoka przepływność sieci przy użyciu protokołu SMB Multichannel (tylko udziały plików SSD).
Szyfrowanie kanału SMB, w tym AES-256-GCM, AES-128-GCM i AES-128-CCM.
Obsługa poprzedniej wersji za pomocą migawek zintegrowanych udostępnień z użyciem technologii VSS.
Automatyczne przywracalne usuwanie udziałów plików Azure, aby zapobiec przypadkowemu usunięciu.
Opcjonalnie dostępne w internecie udziały plików z protokołem SMB 3.0+ zapewniającym bezpieczne połączenia.

Udziały plików SMB mogą być instalowane bezpośrednio lokalnie lub mogą być buforowane lokalnie za pomocą usługi Azure File Sync.

Zabezpieczenia

Wszystkie dane przechowywane w usłudze Azure Files są szyfrowane w spoczynku przy użyciu szyfrowania usługi Azure Storage (SSE). Szyfrowanie usługi Storage działa podobnie do funkcji BitLocker w systemie Windows: dane są szyfrowane poniżej poziomu systemu plików. Ponieważ dane są szyfrowane na poziomie systemu plików udziału plików platformy Azure, przy zapisie na dysk nie musisz mieć dostępu do klucza głównego na kliencie, aby odczytywać lub zapisywać dane w udziale plików platformy Azure. Szyfrowanie danych w stanie spoczynku dotyczy zarówno protokołów SMB, jak i NFS.

Domyślnie wszystkie udziały plików platformy Azure mają włączone szyfrowanie podczas przesyłania, więc dozwolone są tylko instalowanie protokołu SMB przy użyciu protokołu SMB 3.x z szyfrowaniem. Instalacji od klientów, którzy nie obsługują protokołu SMB 3.x z szyfrowaniem kanału SMB, są odrzucane, jeśli szyfrowanie podczas przesyłania jest włączone.

Usługa Azure Files obsługuje usługę AES-256-GCM z użyciem protokołu SMB 3.1.1 w przypadku użycia z systemem Windows Server 2022 lub Windows 11. Protokół SMB 3.1.1 obsługuje również usługi AES-128-GCM i SMB 3.0 obsługują protokół AES-128-CCM. Usługa AES-128-GCM jest domyślnie negocjowana w systemie Windows 10 w wersji 21H1 ze względów wydajności.

Szyfrowanie podczas przesyłania dla udziału plików platformy Azure można wyłączyć. Po wyłączeniu szyfrowania usługa Azure Files zezwala na użycie SMB 2.1 i SMB 3.x bez szyfrowania. Głównym powodem wyłączenia szyfrowania podczas przesyłania jest obsługa starszej aplikacji, która musi być uruchomiona w starszym systemie operacyjnym, takim jak Windows Server 2008 R2 lub starsza dystrybucja systemu Linux. Usługa Azure Files zezwala tylko na połączenia SMB 2.1 w tym samym regionie Azure, w którym znajduje się udział plików. Klient SMB 2.1 znajdujący się poza tym regionem, na przykład sieć lokalna lub inny region Azure, nie może uzyskać dostępu do udziału plików.

Ustawienia protokołu SMB

Usługa Azure Files oferuje wiele ustawień, które wpływają na zachowanie, wydajność i zabezpieczenia protokołu SMB. Są one skonfigurowane dla wszystkich udziałów plików platformy Azure w ramach konta przechowywania.

SMB Multichannel

Protokół SMB Multichannel umożliwia klientowi protokołu SMB 3.x ustanawianie wielu połączeń sieciowych z zasobem plików SMB. Usługa Azure Files obsługuje protokół SMB Multichannel w udziałach plików SSD. Funkcja SMB Multichannel jest teraz domyślnie włączona we wszystkich regionach świadczenia usługi Azure.

Aby wyświetlić stan funkcji SMB Multichannel, przejdź do konta magazynu zawierającego udziały plików SSD i wybierz pozycję Udziały plików w nagłówku Magazyn danych w spisie treści konta magazynu. Powinieneś zobaczyć stan SMB Multichannel w sekcji Ustawienia udostępniania plików. Jeśli go nie widzisz, upewnij się, że twoje konto pamięci jest typu FileStorage.

Aby włączyć lub wyłączyć funkcję SMB Multichannel, wybierz bieżący stan (włączony lub wyłączony w zależności od stanu). Wynikowe okno dialogowe zawiera przełącznik umożliwiający włączenie lub wyłączenie funkcji SMB Multichannel. Wybierz żądany stan i wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający okno dialogowe umożliwiające włączanie/wyłączanie funkcji SMB Multichannel.

Aby uzyskać stan SMB Multichannel, użyj cmdlet Get-AzStorageFileServiceProperty. Pamiętaj, aby zastąpić <resource-group> i <storage-account> odpowiednimi wartościami dla środowiska, zanim uruchomisz te polecenia PowerShell.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 
$defaultSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $defaultSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Aby włączyć/wyłączyć funkcję SMB Multichannel, użyj polecenia cmdlet Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Aby uzyskać stan funkcji SMB Multichannel, użyj az storage account file-service-properties show polecenia . Pamiętaj, aby zastąpić <resource-group> i <storage-account> odpowiednimi wartościami dla twojego środowiska przed uruchomieniem tych poleceń Bash.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Aby włączyć/wyłączyć funkcję SMB Multichannel, użyj az storage account file-service-properties update polecenia .

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Włączanie funkcji SMB Multichannel w starszych systemach operacyjnych

Obsługa funkcji SMB Multichannel w usłudze Azure Files wymaga zapewnienia, że system Windows ma zastosowane wszystkie odpowiednie poprawki. Kilka starszych wersji systemu Windows, w tym Windows Server 2016, Windows 10 w wersji 1607 i Windows 10 w wersji 1507, wymaga ustawienia dodatkowych kluczy rejestru dla wszystkich odpowiednich poprawek SMB Multichannel, które mają być stosowane w w pełni poprawionych instalacji. Jeśli korzystasz z nowszej wersji systemu Windows niż te trzy wersje, nie jest wymagana żadna dodatkowa akcja.

Windows Server 2016 i Windows 10 w wersji 1607

Aby włączyć wszystkie poprawki SMB Multichannel dla systemów Windows Server 2016 i Windows 10 w wersji 1607, uruchom następujące polecenie programu PowerShell:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 w wersji 1507

Aby włączyć wszystkie poprawki SMB Multichannel dla systemu Windows 10 w wersji 1507, uruchom następujące polecenie programu PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Ustawienia zabezpieczeń protokołu SMB

Usługa Azure Files uwidacznia ustawienia, które umożliwiają przełączenie protokołu SMB na bardziej zgodne lub bezpieczniejsze, w zależności od wymagań organizacji. Domyślnie usługa Azure Files jest skonfigurowana jako maksymalnie zgodna, dlatego należy pamiętać, że ograniczenie tych ustawień może spowodować, że niektórzy klienci nie będą mogli nawiązać połączenia.

Usługa Azure Files udostępnia następujące ustawienia:

Wersje protokołu SMB: które wersje protokołu SMB są dozwolone. Obsługiwane wersje protokołu to SMB 3.1.1, SMB 3.0 i SMB 2.1. Domyślnie wszystkie wersje protokołu SMB są dozwolone, chociaż protokół SMB 2.1 jest niedozwolony, jeśli opcja "wymaga bezpiecznego transferu" jest włączona, ponieważ protokół SMB 2.1 nie obsługuje szyfrowania podczas przesyłania.
Metody uwierzytelniania: które metody uwierzytelniania protokołu SMB są dozwolone. Obsługiwane metody uwierzytelniania obejmują NTLMv2 (tylko klucz konta magazynu danych) i Kerberos. Domyślnie wszystkie metody uwierzytelniania są dozwolone. Usunięcie NTLMv2 uniemożliwia użycie klucza konta magazynu do zamontowania udziału plików na platformie Azure. Usługa Azure Files nie obsługuje uwierzytelniania NTLM dla poświadczeń domeny.
Szyfrowanie biletów Kerberos: które algorytmy szyfrowania są dozwolone. Obsługiwane algorytmy szyfrowania to AES-256 (zalecane) i RC4-HMAC.
Szyfrowanie kanału SMB: które algorytmy szyfrowania kanału SMB są dozwolone. Obsługiwane algorytmy szyfrowania to AES-256-GCM, AES-128-GCM i AES-128-CCM. Jeśli wybierzesz tylko usługę AES-256-GCM, musisz poinformować klientów, aby używali go, otwierając terminal programu PowerShell jako administrator na każdym kliencie i uruchamiając polecenie Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Korzystanie z usługi AES-256-GCM nie jest obsługiwane na klientach z systemem Windows starszych niż Windows 11/Windows Server 2022.

Ustawienia zabezpieczeń protokołu SMB można wyświetlać i zmieniać przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia. Wybierz odpowiednią kartę, aby zobaczyć kroki pobierania i ustawiania ustawień zabezpieczeń protokołu SMB. Należy pamiętać, że te ustawienia są sprawdzane po ustanowieniu sesji SMB i jeśli nie zostaną spełnione, instalacja sesji SMB kończy się niepowodzeniem z powodu błędu "STATUS_ACCESS_DENIED".

Aby wyświetlić lub zmienić ustawienia zabezpieczeń protokołu SMB przy użyciu witryny Azure Portal, wykonaj następujące kroki:

Zaloguj się do witryny Azure Portal i wyszukaj konta usługi Storage. Wybierz konto magazynu, dla którego chcesz wyświetlić lub zmienić ustawienia zabezpieczeń protokołu SMB.
W menu serwisowego wybierz Magazyn danych>Udziały plików.
W obszarze Ustawienia udziału plików wybierz wartość skojarzoną z Zabezpieczeniami. Jeśli ustawienia zabezpieczeń nie zostały zmodyfikowane, ta wartość jest domyślnie ustawiona na Wartość Maksymalna zgodność.
W obszarze Profil wybierz pozycję Maksymalna zgodność, Maksymalne zabezpieczenia lub Niestandardowy. Wybranie pozycji Niestandardowe umożliwia utworzenie profilu niestandardowego dla wersji protokołu SMB, szyfrowania kanału SMB, mechanizmów uwierzytelniania i szyfrowania biletów Kerberos.

Po wprowadzeniu żądanych ustawień zabezpieczeń wybierz pozycję Zapisz.

Aby uzyskać ustawienia protokołu SMB, użyj Get-AzStorageFileServiceProperty polecenia cmdlet . Pamiętaj, aby zastąpić <resource-group> i <storage-account> odpowiednimi wartościami dla danego środowiska. Jeśli celowo ustawiono dowolne ustawienia zabezpieczeń protokołu SMB na wartość null, na przykład przez wyłączenie szyfrowania kanału SMB, zapoznaj się z instrukcjami w skrypcie dotyczącymi komentowania niektórych wierszy.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

W zależności od wymagań dotyczących zabezpieczeń, wydajności i zgodności organizacji warto zmodyfikować ustawienia protokołu SMB. Następujące polecenie programu PowerShell ogranicza udziały plików SMB do najbardziej bezpiecznych ustawień.

Ważne

Ograniczenie możliwości udziałów plików SMB na platformie Azure tylko do najbezpieczniejszych opcji może spowodować, że niektórzy klienci nie będą mogli się połączyć. Na przykład usługa AES-256-GCM została wprowadzona jako opcja szyfrowania kanału SMB począwszy od systemów Windows Server 2022 i Windows 11. Oznacza to, że starsi klienci, którzy nie obsługują usługi AES-256-GCM, nie będą mogli nawiązać połączenia. Jeśli wybierzesz tylko AES-256-GCM, musisz skonfigurować klientów z systemem Windows Server 2022 i Windows 11, aby używali tylko AES-256-GCM, otwierając terminal PowerShell jako administrator na każdym kliencie i uruchomić polecenie Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false w terminalu.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Aby uzyskać stan ustawień zabezpieczeń protokołu SMB, użyj az storage account file-service-properties show polecenia . Pamiętaj, aby zastąpić <resource-group> i <storage-account> odpowiednimi wartościami dla twojego środowiska przed uruchomieniem tych poleceń Bash. Jeśli celowo ustawiono dowolne ustawienia zabezpieczeń protokołu SMB na wartość null, na przykład przez wyłączenie szyfrowania kanału SMB, zapoznaj się z instrukcjami w skrypcie dotyczącymi komentowania niektórych wierszy.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

W zależności od wymagań dotyczących zabezpieczeń, wydajności i zgodności organizacji warto zmodyfikować ustawienia protokołu SMB. Następujące polecenie Azure CLI ogranicza udziały plików SMB tylko do najbezpieczniejszych opcji.

Ważne

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Ograniczenia

Udziały plików SMB w usłudze Azure Files obsługują podzestaw funkcji obsługiwanych przez protokół SMB i system plików NTFS. Chociaż większość przypadków użycia i aplikacji nie wymaga tych funkcji, niektóre aplikacje mogą nie działać prawidłowo z usługą Azure Files, jeśli korzystają z nieobsługiwanych funkcji. Następujące funkcje nie są obsługiwane:

SMB Direct
Dzierżawa katalogów SMB
Usługa VSS dla udziałów plików SMB (umożliwia to dostawcom usługi VSS opróżnianie danych do udziału plików SMB przed wykonaniem migawki)
Alternatywne strumienie danych
Atrybuty rozszerzone
Identyfikatory obiektów
Twarde łącza
Łącza nietrwałe
Punkty ponownej analizy
Pliki rzadkie
Krótkie nazwy plików (alias 8.3)
Kompresja

Dostępność w regionach

Udziały plików platformy Azure protokołu SMB są dostępne w każdym regionie świadczenia usługi Azure, w tym we wszystkich regionach publicznych i suwerennych. Udziały plików SSD są dostępne w podzestawie regionów.

Następne kroki

Planowanie wdrożenia usługi Azure Files
Utwórz udział plików na platformie Azure
Zainstaluj udziały plików SMB w preferowanym systemie operacyjnym:

Udostępnij za pośrednictwem