Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Proces opisany w tym artykule sprawdza, czy udział plików SMB i uprawnienia dostępu są poprawnie skonfigurowane oraz czy można zamontować udział plików Azure SMB.
Dotyczy
| Model zarządzania | Model rozliczania | Poziom mediów | Redundancja | Małe i Średnie Przedsiębiorstwa (SMB) | System plików sieciowych (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Lokalne (LRS) |
|
|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Strefa (ZRS) |
|
|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Geo (GRS) |
|
|
| Microsoft.Storage | Przygotowana wersja 2 | HDD (standardowa) | Strefa geograficzna (GZRS) |
|
|
| Microsoft.Storage | Zaprovisionowana wersja 1 | SSD klasy premium | Lokalne (LRS) |
|
|
| Microsoft.Storage | Zaprovisionowana wersja 1 | SSD klasy premium | Strefa (ZRS) |
|
|
| Microsoft.Storage | Płać według zużycia | HDD (standardowa) | Lokalne (LRS) |
|
|
| Microsoft.Storage | Płać według zużycia | HDD (standardowa) | Strefa (ZRS) |
|
|
| Microsoft.Storage | Płać według zużycia | HDD (standardowa) | Geo (GRS) |
|
|
| Microsoft.Storage | Płać według zużycia | HDD (standardowa) | Strefa geograficzna (GZRS) |
|
|
Wymagania wstępne dotyczące instalowania
Przed zainstalowaniem udziału plików platformy Azure upewnij się, że spełnisz następujące wymagania wstępne:
- Upewnij się, że przypisujesz uprawnienia na poziomie udziału i konfigurujesz uprawnienia na poziomie katalogu i pliku. Pamiętaj, że przypisanie roli na poziomie udziału może zająć trochę czasu.
- Jeśli instalujesz udział plików z klienta, który wcześniej nawiązał połączenie z udziałem plików przy użyciu klucza konta magazynu, najpierw odinstaluj udział i usuń trwałe poświadczenia klucza konta magazynu. Aby uzyskać instrukcje dotyczące usuwania buforowanych poświadczeń i skasowania istniejących połączeń SMB przed zainicjowaniem nowego połączenia z usługą Active Directory Domain Services (AD DS) lub poświadczeniami Microsoft Entra, wykonaj proces dwuetapowy na stronie Często zadawanych pytań.
- Jeśli źródłem usługi AD są usługi AD DS lub Microsoft Entra Kerberos, klient musi mieć niezmpedowaną łączność sieciową z usługami AD DS. Jeśli maszyna lub maszyna wirtualna znajduje się poza siecią zarządzaną przez usługi AD DS, musisz włączyć sieć VPN, aby nawiązać połączenie z usługami AD DS na potrzeby uwierzytelniania.
- Zaloguj się do klienta, korzystając z poświadczeń tożsamości AD DS lub Microsoft Entra, której nadano uprawnienia.
Instalowanie udziału plików z maszyny wirtualnej przyłączonej do domeny
Uruchom następujący skrypt programu PowerShell lub użyj portalu Azure, aby trwale zamontować udział plików Azure i zamapować go na dysk Z: (lub żądaną ścieżkę instalacji) w systemie Windows. Ponieważ użytkownik jest już uwierzytelniony, nie trzeba podawać klucza konta magazynowego. Skrypt sprawdza, czy to konto magazynowe jest dostępne za pośrednictwem portu TCP 445, który jest używany przez SMB. Pamiętaj, aby zastąpić wartości elementów zastępczych własnymi wartościami. Aby uzyskać więcej informacji, zobacz Używanie udziału plików platformy Azure z systemem Windows.
Jeśli nie używasz niestandardowych nazw domen, należy zamontować udostępnione pliki Azure przy użyciu sufiksu file.core.windows.net, nawet jeśli skonfigurujesz prywatny punkt końcowy dla swojego udziału.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Możesz również użyć net use polecenia z poziomu wiersza polecenia systemu Windows, aby zainstalować udział plików. Pamiętaj, aby zastąpić <YourStorageAccountName> i <FileShareName> własnymi wartościami.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Jeśli wystąpią problemy, zobacz Nie można zamontować udziałów plików Azure przy użyciu poświadczeń AD.
Instalowanie udziału plików z maszyny wirtualnej nieprzyłączonej do domeny lub maszyny wirtualnej przyłączonej do innej domeny Active Directory
Jeśli źródło usługi AD znajduje się w lokalnych usługach AD DS, to maszyny wirtualne, które nie są członkami domeny lub są przyłączone do innej domeny usługi AD niż konto magazynu, mogą uzyskać dostęp do udziałów plików platformy Azure, pod warunkiem że mają niezakłóconą łączność sieciową z kontrolerami domeny AD i podadzą jawne poświadczenia. Użytkownik, który uzyskuje dostęp do udziału plików, musi mieć tożsamość i poświadczenia w domenie AD, do której jest przyłączone konto magazynowe.
Jeśli źródłem usługi AD jest usługa Microsoft Entra Domain Services, klient musi mieć niezmpedowaną łączność sieciową z kontrolerami domeny dla usług Microsoft Entra Domain Services, co wymaga skonfigurowania sieci VPN typu lokacja-lokacja lub sieci VPN typu punkt-lokacja. Użytkownik uzyskujący dostęp do udziału plików musi mieć tożsamość Microsoft Entra zsynchronizowaną z Entra ID do Microsoft Entra Domain Services w zarządzanej domenie Microsoft Entra Domain Services.
Aby zamontować udział plików z maszyny wirtualnej, która nie jest przyłączona do domeny, użyj notacji username@domainFQDN, gdzie domainFQDN jest w pełni kwalifikowaną nazwą domeny, aby klient mógł kontaktować się z kontrolerem domeny w celu żądania i odbierania biletów Kerberos. Wartość domainFQDN można uzyskać, uruchamiając polecenie (Get-ADDomain).Dnsroot w programie PowerShell usługi Active Directory.
Na przykład:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Jeśli źródłem usługi AD jest usługa Microsoft Entra Domain Services, możesz również podać poświadczenia, takie jak DOMAINNAME\username , gdzie DOMAINNAME jest domeną usług Microsoft Entra Domain Services, a nazwa użytkownika to nazwa użytkownika tożsamości w usługach Microsoft Entra Domain Services:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Uwaga
Usługa Azure Files nie obsługuje tłumaczenia identyfikatora SID na nazwę UPN dla użytkowników i grup z maszyny wirtualnej nieprzyłączonych do domeny lub maszyny wirtualnej przyłączonej do innej domeny za pośrednictwem systemu Windows Eksplorator plików. Jeśli chcesz wyświetlić właścicieli plików/katalogów lub wyświetlić/zmodyfikować uprawnienia systemu plików NTFS za pośrednictwem systemu Windows Eksplorator plików, możesz to zrobić tylko z maszyn wirtualnych przyłączonych do domeny.
Montowanie udziałów plików z użyciem niestandardowych nazw domen
Jeśli nie chcesz instalować udziałów plików platformy Azure przy użyciu sufiksu file.core.windows.net, możesz zmodyfikować sufiks nazwy konta magazynu skojarzonego z udziałem plików platformy Azure, a następnie dodać rekord nazwy kanonicznej (CNAME), aby skierować nowy sufiks do punktu końcowego konta magazynu. Poniższe instrukcje dotyczą tylko środowisk z jednym lasem. Aby dowiedzieć się, jak skonfigurować środowiska z co najmniej dwoma lasami, zobacz Jak używać usługi Azure Files z wieloma lasami Active Directory.
Uwaga
Usługa Azure Files obsługuje tylko konfigurowanie rekordu CNAME przy użyciu nazwy konta magazynu jako prefiksu domeny. Jeśli nie chcesz używać nazwy konta magazynu jako prefiksu, rozważ użycie przestrzeni nazw systemu plików DFS.
W tym przykładzie mamy domenę Active Directory onpremad1.com oraz konto pamięci masowej o nazwie mystorageaccount, które zawiera udostępnione pliki SMB w Azure. Najpierw należy zmodyfikować sufiks SPN konta magazynowego, aby zamapować mystorageaccount.onpremad1.com na mystorageaccount.file.core.windows.net.
Udział plików można zainstalować za pomocą net use \\mystorageaccount.onpremad1.com polecenia , ponieważ klienci w środowisku onpremad1 wiedzą, aby wyszukać onpremad1.com , aby znaleźć odpowiedni zasób dla tego konta magazynu.
Aby użyć tej metody, wykonaj następujące kroki:
Upewnij się, że skonfigurowaliśmy uwierzytelnianie oparte na tożsamościach. Jeśli źródłem usługi AD są usługi AD DS lub Microsoft Entra Kerberos, upewnij się, że zsynchronizowano konta użytkowników usługi AD z identyfikatorem Microsoft Entra ID.
Zmodyfikuj nazwę SPN konta magazynu za pomocą narzędzia
setspn. Możesz znaleźć<DomainDnsRoot>, uruchamiając następujące polecenie programu PowerShell usługi Active Directory:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Dodaj wpis CNAME przy użyciu Menedżera DNS usługi Active Directory. Jeśli używasz prywatnego punktu końcowego, dodaj wpis CNAME, aby przypisać do nazwy prywatnego punktu końcowego.
- Otwórz Menedżera DNS usługi Active Directory.
- Przejdź do domeny (na przykład onpremad1.com).
- Przejdź do obszaru "Strefy wyszukiwania do przodu".
- Wybierz węzeł o nazwie Twojej domeny (na przykład onpremad1.com) i kliknij prawym przyciskiem myszy Nowy Alias (CNAME).
- W polu 'Nazwa aliasu' wprowadź nazwę konta przechowywania.
- W przypadku w pełni kwalifikowanej nazwy domeny (FQDN) wprowadź ciąg
<storage-account-name>.<domain-name>, na przykład mystorageaccount.onpremad1.com. Część nazwy hosta w pełni kwalifikowanej domeny (FQDN) musi być zgodna z nazwą konta magazynowego. Jeśli nazwa hosta nie jest zgodna z nazwą konta magazynu, instalacja zakończy się niepowodzeniem z powodu błędu odmowy dostępu. - W polu nazwa FQDN hosta docelowego wprowadź wartość
<storage-account-name>.file.core.windows.net - Wybierz przycisk OK.
Teraz powinno być możliwe zainstalowanie udziału plików przy użyciu storageaccount.domainname.com. Udział plików można również zamontować przy użyciu klucza konta magazynowego.
Następny krok
Jeśli tożsamość utworzona w usługach AD DS reprezentująca konto magazynu znajduje się w domenie lub jednostki organizacyjnej, która wymusza rotację haseł, należy okresowo aktualizować hasło tożsamości konta magazynu w usługach AD DS.