Rozwiązywanie Azure Files problemów z uwierzytelnianiem i autoryzacją opartą na tożsamościach (SMB)

W tym artykule wymieniono typowe problemy podczas korzystania z udziałów plików platformy Azure SMB z uwierzytelnianiem opartym na tożsamościach. Zapewnia również możliwe przyczyny i rozwiązania tych problemów. Uwierzytelnianie oparte na tożsamościach nie jest obecnie obsługiwane w przypadku udziałów plików platformy Azure systemu plików NFS.

Informacje zawarte w tym artykule dotyczą

Typ udziału plików	SMB	NFS
Standardowe udziały plików (GPv2), LRS/ZRS
Standardowe udziały plików (GPv2), GRS/GZRS
Udziały plików Premium (FileStorage), LRS/ZRS

Błąd podczas uruchamiania modułu AzFilesHybrid

Podczas próby uruchomienia modułu AzFilesHybrid może wystąpić następujący błąd:

Klient nie posiada wymaganego uprawnienia.

Przyczyna: Uprawnienia usługi AD są niewystarczające

Ten problem występuje, ponieważ nie masz wymaganych uprawnień usługi Active Directory (AD) do uruchamiania modułu.

Rozwiązanie

Zapoznaj się z uprawnieniami usługi AD lub skontaktuj się z administratorem usługi AD, aby zapewnić wymagane uprawnienia.

Błąd 5 podczas instalowania udziału plików platformy Azure

Podczas próby zainstalowania udziału plików może wystąpić następujący błąd:

Wystąpił błąd systemu 5. Odmowa dostępu.

Przyczyna: Uprawnienia na poziomie udziału są nieprawidłowe

Jeśli użytkownicy końcowi uzyskują dostęp do udziału plików platformy Azure przy użyciu uwierzytelniania Active Directory Domain Services (AD DS) lub Microsoft Entra Domain Services, dostęp do udziału plików kończy się niepowodzeniem z powodu błędu "Odmowa dostępu", jeśli uprawnienia na poziomie udziału są nieprawidłowe.

Uwaga

Ten błąd może być spowodowany przez problemy inne niż nieprawidłowe uprawnienia na poziomie udziału. Aby uzyskać informacje na temat innych możliwych przyczyn i rozwiązań, zobacz Rozwiązywanie problemów z łącznością i dostępem Azure Files.

Rozwiązanie

Sprawdź, czy uprawnienia są poprawnie skonfigurowane:

• Active Directory Domain Services (AD DS) zobacz Przypisywanie uprawnień na poziomie udziału.

  Przypisania uprawnień na poziomie udziału są obsługiwane dla grup i użytkowników, którzy zostali zsynchronizowani z usług AD DS do Tożsamość Microsoft Entra przy użyciu Microsoft Entra Connect Sync lub Microsoft Entra Connect cloud sync. Upewnij się, że grupy i użytkownicy, do których przypisano uprawnienia na poziomie udziału, nie są nieobsługiwanymi grupami "tylko w chmurze".

• Microsoft Entra Domain Services zobacz Przypisywanie uprawnień na poziomie udziału.

Błąd AadDsTenantNotFound podczas włączania uwierzytelniania Microsoft Entra Domain Services dla Azure Files "Nie można zlokalizować aktywnych dzierżaw z identyfikatorem dzierżawy Microsoft Entra identyfikatorem dzierżawy"

Przyczyna

Błąd AadDsTenantNotFound występuje podczas próby włączenia uwierzytelniania Microsoft Entra Domain Services dla Azure Files na koncie magazynu, na którym Microsoft Entra Domain Services nie jest tworzona na Microsoft Entra dzierżawy skojarzonej subskrypcji.

Rozwiązanie

Włącz Microsoft Entra Domain Services w dzierżawie Microsoft Entra subskrypcji, w ramach których wdrożono konto magazynu. Do utworzenia domeny zarządzanej potrzebne są uprawnienia administratora dzierżawy Microsoft Entra. Jeśli nie jesteś administratorem dzierżawy Microsoft Entra, skontaktuj się z administratorem i postępuj zgodnie ze wskazówkami krok po kroku, aby utworzyć i skonfigurować domenę zarządzaną Microsoft Entra Domain Services.

Nie można zainstalować udziałów plików platformy Azure przy użyciu poświadczeń usługi AD

Kroki samodzielnej diagnostyki

Najpierw upewnij się, że wykonaliśmy kroki włączania uwierzytelniania Azure Files usług AD DS.

Po drugie, spróbuj zamiast instalowania udziału plików platformy Azure przy użyciu klucza konta magazynu. Jeśli instalacja udziału nie powiedzie się, pobierz narzędzie AzFileDiagnostics , aby ułatwić zweryfikowanie środowiska uruchamiania klienta. Narzędzie AzFileDiagnostics może wykrywać niezgodne konfiguracje klienta, które mogą powodować niepowodzenie dostępu dla Azure Files, udzielać nakazowych wskazówek dotyczących samonaprawiania i zbierać ślady diagnostyki.

Po trzecie, możesz uruchomić Debug-AzStorageAccountAuth polecenie cmdlet, aby przeprowadzić zestaw podstawowych testów konfiguracji usługi AD z zalogowanym użytkownikiem usługi AD. To polecenie cmdlet jest obsługiwane w wersji AzFilesHybrid w wersji 0.1.2 lub nowszej. Należy uruchomić to polecenie cmdlet z użytkownikiem usługi AD, który ma uprawnienia właściciela na docelowym koncie magazynu.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Polecenie cmdlet wykonuje te kontrole w sekwencji i zawiera wskazówki dotyczące błędów:

1. CheckADObjectPasswordIsCorrect: Upewnij się, że hasło skonfigurowane w tożsamości usługi AD reprezentujące konto magazynu jest zgodne z hasłem kerb1 lub kerb2 konta magazynu. Jeśli hasło jest nieprawidłowe, możesz uruchomić polecenie Update-AzStorageAccountADObjectPassword , aby zresetować hasło.
2. CheckADObject: Upewnij się, że w usłudze Active Directory istnieje obiekt reprezentujący konto magazynu i ma poprawną nazwę SPN (główną nazwę usługi). Jeśli nazwa SPN nie jest poprawnie skonfigurowana, uruchom Set-AD polecenie cmdlet zwrócone w poleceniu cmdlet debugowania, aby skonfigurować nazwę SPN.
3. CheckDomainJoined: Sprawdź, czy maszyna kliencka jest przyłączona do domeny w usłudze AD. Jeśli maszyna nie jest przyłączona do domeny w usłudze AD, zapoznaj się z instrukcjami dotyczącymi dołączania komputera do domeny .
4. CheckPort445Connectivity: Sprawdź, czy port 445 jest otwarty dla połączenia SMB. Jeśli port 445 nie jest otwarty, zapoznaj się z narzędziem do rozwiązywania problemów AzFileDiagnostics, aby uzyskać informacje o problemach z łącznością z Azure Files.
5. CheckSidHasAadUser: Sprawdź, czy zalogowany użytkownik usługi AD jest synchronizowany z Tożsamość Microsoft Entra. Jeśli chcesz sprawdzić, czy określony użytkownik usługi AD jest synchronizowany z Tożsamość Microsoft Entra, możesz określić -UserName parametry i -Domain w parametrach wejściowych. W przypadku danego identyfikatora SID sprawdza, czy jest skojarzony Microsoft Entra użytkownik.
6. CheckAadUserHasSid: Sprawdź, czy zalogowany użytkownik usługi AD jest synchronizowany z Tożsamość Microsoft Entra. Jeśli chcesz sprawdzić, czy określony użytkownik usługi AD jest synchronizowany z Tożsamość Microsoft Entra, możesz określić -UserName parametry i -Domain w parametrach wejściowych. Dla danego użytkownika Microsoft Entra sprawdza swój identyfikator SID. Aby uruchomić tę kontrolę, należy podać -ObjectId parametr wraz z identyfikatorem obiektu Microsoft Entra użytkownika.
7. CheckGetKerberosTicket: Spróbuj pobrać bilet protokołu Kerberos w celu nawiązania połączenia z kontem magazynu. Jeśli nie ma prawidłowego tokenu Protokołu Kerberos, uruchom klist get cifs/storage-account-name.file.core.windows.net polecenie cmdlet i sprawdź kod błędu, aby ustalić przyczynę błędu pobierania biletu.
8. CheckStorageAccountDomainJoined: Sprawdź, czy uwierzytelnianie usługi AD zostało włączone, a właściwości usługi AD konta są wypełniane. Jeśli nie, włącz uwierzytelnianie usług AD DS na Azure Files.
9. CheckUserRbacAssignment: Sprawdź, czy tożsamość usługi AD ma odpowiednie przypisanie roli RBAC, aby zapewnić uprawnienia na poziomie udziału w celu uzyskania dostępu do Azure Files. Jeśli nie, skonfiguruj uprawnienie na poziomie udziału. (Obsługiwane w wersji AzFilesHybrid w wersji 0.2.3 lub nowszej)
10. CheckUserFileAccess: Sprawdź, czy tożsamość usługi AD ma odpowiednie uprawnienia do katalogów/plików (listy ACL systemu Windows), aby uzyskać dostęp do Azure Files. Jeśli nie, skonfiguruj uprawnienie na poziomie katalogu/pliku. Aby uruchomić to sprawdzanie, należy podać -FilePath parametr wraz ze ścieżką zainstalowanego pliku, do których chcesz debugować dostęp. (Obsługiwane w wersji AzFilesHybrid w wersji 0.2.3 lub nowszej)
11. CheckAadKerberosRegistryKeyIsOff: Sprawdź, czy klucz rejestru Microsoft Entra Kerberos jest wyłączony. Jeśli klucz jest włączony, uruchom polecenie reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0 z podwyższonym poziomem uprawnień, aby go wyłączyć, a następnie uruchom ponownie maszynę. (Obsługiwane w wersji AzFilesHybrid w wersji 0.2.9 lub nowszej)

Jeśli chcesz po prostu uruchomić podwybory poprzednich testów, możesz użyć parametru -Filter wraz z rozdzielaną przecinkami listą testów do uruchomienia. Aby na przykład uruchomić wszystkie testy związane z uprawnieniami na poziomie udziału (RBAC), użyj następujących poleceń cmdlet programu PowerShell:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -Filter CheckSidHasAadUser,CheckUserRbacAssignment `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Jeśli udział plików jest zainstalowany w programie X:i chcesz uruchomić tylko sprawdzanie związane z uprawnieniami na poziomie pliku (listy ACL systemu Windows), możesz uruchomić następujące polecenia cmdlet programu PowerShell:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"

Debug-AzStorageAccountAuth `
    -Filter CheckUserFileAccess `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -FilePath $FilePath `
    -Verbose

Nie można skonfigurować uprawnień na poziomie katalogu/pliku (listy ACL systemu Windows) w systemie Windows Eksplorator plików

Objaw

Podczas próby skonfigurowania list ACL systemu Windows z Eksplorator plików w zainstalowanym udziale plików może wystąpić jeden z objawów opisanych poniżej:

• Po kliknięciu pozycji Edytuj uprawnienie na karcie Zabezpieczenia kreator uprawnień nie zostanie załadowany.
• Podczas próby wybrania nowego użytkownika lub grupy lokalizacja domeny nie wyświetla odpowiedniej domeny usług AD DS.
• Używasz wielu lasów usługi AD i otrzymujesz następujący komunikat o błędzie: "Kontrolery domeny usługi Active Directory wymagane do znalezienia wybranych obiektów w następujących domenach nie są dostępne. Upewnij się, że kontrolery domeny usługi Active Directory są dostępne, i spróbuj ponownie wybrać obiekty.

Rozwiązanie

Zalecamy skonfigurowanie uprawnień na poziomie katalogu/pliku przy użyciu icacls zamiast używania systemu Windows Eksplorator plików.

Błędy podczas uruchamiania polecenia cmdlet Join-AzStorageAccountForAuth

Błąd: "Usługa katalogowa nie może przydzielić identyfikatora względnego"

Ten błąd może wystąpić, jeśli kontroler domeny z rolą rid master FSMO jest niedostępny lub został usunięty z domeny i przywrócony z kopii zapasowej. Upewnij się, że wszystkie kontrolery domeny są uruchomione i dostępne.

Błąd: "Nie można powiązać parametrów pozycyjnych, ponieważ nie podano żadnych nazw"

Ten błąd jest najprawdopodobniej wyzwalany przez błąd składni w poleceniu Join-AzStorageAccountforAuth . Sprawdź polecenie pod kątem błędów pisowni lub błędów składni i sprawdź, czy zainstalowano najnowszą wersję modułu AzFilesHybrid (https://github.com/Azure-Samples/azure-files-samples/releases).

Azure Files lokalnej obsługi uwierzytelniania usług AD DS dla szyfrowania Kerberos AES-256

Azure Files obsługuje szyfrowanie Protokołu Kerberos AES-256 na potrzeby uwierzytelniania usług AD DS, począwszy od modułu AzFilesHybrid w wersji 0.2.2. AES-256 jest zalecaną metodą szyfrowania i jest to domyślna metoda szyfrowania rozpoczynająca się w module AzFilesHybrid w wersji 0.2.5. Jeśli włączono uwierzytelnianie usług AD DS z wersją modułu niższą niż wersja 0.2.2, musisz pobrać najnowszy moduł AzFilesHybrid i uruchomić program PowerShell poniżej. Jeśli na koncie magazynu nie włączono jeszcze uwierzytelniania usług AD DS, postępuj zgodnie z poniższymi wskazówkami.

Ważna

Jeśli wcześniej używasz szyfrowania RC4 i aktualizujesz konto magazynu w celu korzystania z usługi AES-256, uruchom polecenie klist purge na kliencie, a następnie ponownie zainstaluj udział plików, aby uzyskać nowe bilety Protokołu Kerberos z usługą AES-256.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName

W ramach aktualizacji polecenie cmdlet będzie obracać klucze Kerberos, co jest niezbędne do przełączenia się na usługę AES-256. Nie ma potrzeby ponownej rotacji, chyba że chcesz ponownie wygenerować oba hasła.

Tożsamość użytkownika, która wcześniej miała przypisanie roli Właściciel lub Współautor, nadal ma dostęp do klucza konta magazynu

Role Właściciel i Współautor konta magazynu umożliwiają wyświetlanie listy kluczy konta magazynu. Klucz konta magazynu umożliwia pełny dostęp do danych konta magazynu, w tym udziałów plików, kontenerów obiektów blob, tabel i kolejek oraz ograniczony dostęp do operacji zarządzania Azure Files za pośrednictwem starszych interfejsów API zarządzania uwidocznionych za pośrednictwem interfejsu API FileREST. Jeśli zmieniasz przypisania ról, należy wziąć pod uwagę, że użytkownicy usunięci z ról Właściciel lub Współautor mogą nadal utrzymywać dostęp do konta magazynu za pomocą zapisanych kluczy konta magazynu.

Rozwiązanie 1

Ten problem można łatwo rozwiązać, obracając klucze konta magazynu. Zalecamy obracanie kluczy pojedynczo, przełączając dostęp z jednego na drugi podczas ich rotacji. Istnieją dwa typy kluczy udostępnionych udostępnianych przez konto magazynu: klucze konta magazynu, które zapewniają dostęp administratora do danych konta magazynu, oraz klucze Kerberos, które działają jako wspólny wpis tajny między kontem magazynu a kontrolerem domeny Windows Server Active Directory dla Windows Server Active Directory Scenariuszy.

Aby obrócić klucze Kerberos konta magazynu, zobacz Aktualizowanie hasła tożsamości konta magazynu w usługach AD DS.

Portal

Przejdź do żądanego konta magazynu w Azure Portal. W spisie treści dla żądanego konta magazynu wybierz pozycję Klucze dostępu w obszarze Zabezpieczenia i sieć nagłówek. W okienku Klucz dostępu wybierz pozycję Obróć klucz powyżej żądanego klucza.

PowerShell

Poniższy skrypt spowoduje rotację obu kluczy dla konta magazynu. Jeśli chcesz zamienić klucze podczas rotacji, musisz podać dodatkową logikę w skrypcie, aby obsłużyć ten scenariusz. Pamiętaj, aby zastąpić <resource-group> elementy i <storage-account> odpowiednimi wartościami dla środowiska.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key1"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key2"

Interfejs wiersza polecenia platformy Azure

Poniższy skrypt spowoduje rotację obu kluczy dla konta magazynu. Jeśli chcesz zamienić klucze podczas rotacji, musisz podać dodatkową logikę w skrypcie, aby obsłużyć ten scenariusz. Pamiętaj, aby zastąpić <resource-group> elementy i <storage-account> odpowiednimi wartościami dla środowiska.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "primary"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "secondary"

Ustawianie uprawnień interfejsu API dla nowo utworzonej aplikacji

Po włączeniu Microsoft Entra uwierzytelniania kerberos musisz jawnie udzielić zgody administratora nowej aplikacji Microsoft Entra zarejestrowanej w dzierżawie Microsoft Entra, aby ukończyć konfigurację. Możesz skonfigurować uprawnienia interfejsu API z Azure Portal, wykonując następujące kroki.

1. Otwórz Tożsamość Microsoft Entra.
2. Wybierz pozycję Rejestracje aplikacji w okienku po lewej stronie.
3. Wybierz pozycję Wszystkie aplikacje w okienku po prawej stronie.
4. Wybierz aplikację o nazwie odpowiadającej [Konto magazynu] $storageAccountName.file.core.windows.net.
5. Wybierz pozycję Uprawnienia interfejsu API w okienku po lewej stronie.
6. Wybierz pozycję Dodaj uprawnienia w dolnej części strony.
7. Wybierz pozycję Udziel zgody administratora dla pozycji "DirectoryName".

Potencjalne błędy podczas włączania uwierzytelniania Microsoft Entra Kerberos dla użytkowników hybrydowych

Podczas włączania uwierzytelniania Microsoft Entra protokołu Kerberos dla kont użytkowników hybrydowych mogą wystąpić następujące błędy.

Błąd — udzielenie zgody administratora jest wyłączone

W niektórych przypadkach administrator Microsoft Entra może wyłączyć możliwość udzielania zgody administratora na Microsoft Entra aplikacji. Poniżej znajduje się zrzut ekranu przedstawiający, jak może to wyglądać w Azure Portal.

W takim przypadku poproś administratora Microsoft Entra o udzielenie zgody administratora na nową aplikację Microsoft Entra. Aby znaleźć i wyświetlić administratorów, wybierz role i administratorów, a następnie wybierz pozycję Administrator aplikacji w chmurze.

Błąd — "Żądanie Azure AD Graph nie powiodło się z kodem BadRequest"

Przyczyna 1. Zasady zarządzania aplikacjami uniemożliwiają tworzenie poświadczeń

Podczas włączania Microsoft Entra uwierzytelniania Kerberos może wystąpić ten błąd, jeśli zostaną spełnione następujące warunki:

1. Używasz funkcji beta/wersji zapoznawczej zasad zarządzania aplikacjami.
2. Ty (lub administrator) ustawiłeś zasady dla całej dzierżawy , które:
   • Nie ma daty rozpoczęcia lub ma datę rozpoczęcia przed 1 stycznia 2019 r.
   • Ustawia ograniczenie dotyczące haseł jednostki usługi, które nie zezwalają na hasła niestandardowe lub ustawiają maksymalny okres istnienia hasła wynoszący mniej niż 365,5 dni.

Obecnie nie ma obejścia tego błędu.

Przyczyna 2. Aplikacja już istnieje dla konta magazynu

Ten błąd może również wystąpić, jeśli wcześniej włączono uwierzytelnianie Microsoft Entra protokołu Kerberos za pomocą ręcznej ograniczonej wersji zapoznawczej. Aby usunąć istniejącą aplikację, klient lub jego administrator IT może uruchomić następujący skrypt. Uruchomienie tego skryptu spowoduje usunięcie starej ręcznie utworzonej aplikacji i umożliwienie nowemu środowisku automatycznego tworzenia nowo utworzonej aplikacji i zarządzania nią. Po zainicjowaniu połączenia z programem Microsoft Graph zaloguj się do aplikacji Microsoft Graph Command Line Tools na urządzeniu i przyznaj uprawnienia aplikacji.

$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"

$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
   Remove-MgApplication -ObjectId $application.ObjectId
}

Błąd — hasło jednostki usługi wygasło w Tożsamość Microsoft Entra

Jeśli wcześniej włączono uwierzytelnianie Microsoft Entra protokołu Kerberos za pomocą ręcznej ograniczonej wersji zapoznawczej, hasło jednostki usługi konta magazynu będzie wygasać co sześć miesięcy. Po wygaśnięciu hasła użytkownicy nie będą mogli pobierać biletów Kerberos do udziału plików.

Aby rozwiązać ten problem, masz dwie opcje: obracaj hasło jednostki usługi w Microsoft Entra co sześć miesięcy lub wykonaj następujące kroki, aby wyłączyć Microsoft Entra protokołu Kerberos, usunąć istniejącą aplikację i ponownie skonfigurować Microsoft Entra Kerberos.

Pamiętaj, aby zapisać właściwości domeny (domainName i domainGUID) przed wyłączeniem Microsoft Entra protokołu Kerberos, ponieważ będą one potrzebne podczas ponownej konfiguracji, jeśli chcesz skonfigurować uprawnienia na poziomie katalogu i pliku przy użyciu systemu Windows Eksplorator plików. Jeśli nie zapisano właściwości domeny, nadal można skonfigurować uprawnienia na poziomie katalogu/pliku przy użyciu icacls jako obejścia.

1. Wyłączanie protokołu Kerberos Microsoft Entra
2. Usuwanie istniejącej aplikacji
3. Ponownie skonfiguruj Microsoft Entra kerberos za pośrednictwem Azure Portal

Po ponownym skonfigurowaniu Microsoft Entra protokołu Kerberos nowe środowisko automatycznie utworzy nowo utworzoną aplikację i będzie nią zarządzać.

Błąd 1326 — Nazwa użytkownika lub hasło są niepoprawne podczas korzystania z linku prywatnego

Jeśli nawiązujesz połączenie z kontem magazynu za pośrednictwem prywatnego punktu końcowego/łącza prywatnego przy użyciu uwierzytelniania Microsoft Entra protokołu Kerberos, podczas próby zainstalowania udziału plików za pośrednictwem net use lub innej metody klient zostanie poproszony o podanie poświadczeń. Użytkownik prawdopodobnie wpisze swoje poświadczenia, ale poświadczenia zostaną odrzucone.

Przyczyna

Dzieje się tak, ponieważ klient SMB próbował użyć protokołu Kerberos, ale nie powiodło się, dlatego wraca do korzystania z uwierzytelniania NTLM, a Azure Files nie obsługuje uwierzytelniania NTLM dla poświadczeń domeny. Klient nie może uzyskać biletu Protokołu Kerberos do konta magazynu, ponieważ nazwa FQDN łącza prywatnego nie jest zarejestrowana w żadnej istniejącej aplikacji Microsoft Entra.

Rozwiązanie

Rozwiązaniem jest dodanie nazwy FQDN privateLink do aplikacji Microsoft Entra konta magazynu przed zainstalowaniem udziału plików. Wymagane identyfikatory identyfikatorów można dodać do obiektu aplikacji przy użyciu Azure Portal, wykonując następujące kroki.

1. Otwórz Tożsamość Microsoft Entra.

2. Wybierz pozycję Rejestracje aplikacji w okienku po lewej stronie.

3. Wybierz pozycję Wszystkie aplikacje.

4. Wybierz aplikację o nazwie odpowiadającej [Konto magazynu] $storageAccountName.file.core.windows.net.

5. Wybierz pozycję Manifest w okienku po lewej stronie.

6. Skopiuj i wklej istniejącą zawartość, aby mieć zduplikowaną kopię.

7. Edytuj manifest JSON. Dla każdego <storageAccount>.file.core.windows.net wpisu dodaj odpowiedni <storageAccount>.privatelink.file.core.windows.net wpis. Jeśli na przykład manifest ma następującą wartość dla identifierUriselementu :

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net"
   ],
   

   Następnie należy edytować identifierUris pole do następujących elementów:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net",
   
       "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net",
       "HOST/<storageaccount>.privatelink.file.core.windows.net",
       "CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "HTTP/<storageaccount>.privatelink.file.core.windows.net"
   ],
   

8. Przejrzyj zawartość i wybierz pozycję Zapisz , aby zaktualizować obiekt aplikacji przy użyciu nowego identyfikatoraUris.

9. Zaktualizuj wszystkie wewnętrzne odwołania DNS, aby wskazywały łącze prywatne.

10. Spróbuj ponownie przeprowadzić instalowanie udziału.

Błąd AADSTS50105

Żądanie zostało przerwane przez następujący błąd AADSTS50105:

Administrator skonfigurował aplikację "Nazwa aplikacji przedsiębiorstwa" tak, aby blokowała użytkowników, chyba że im przyznano (przypisano) dostęp do aplikacji. Zalogowany użytkownik "{EmailHidden}" jest zablokowany, ponieważ nie jest bezpośrednim członkiem grupy z dostępem ani nie miał dostępu bezpośrednio przypisanego przez administratora. Skontaktuj się z administratorem, aby przypisać dostęp do tej aplikacji.

Przyczyna

Jeśli skonfigurowano "przypisanie wymagane" dla odpowiedniej aplikacji dla przedsiębiorstw, nie będzie można uzyskać biletu protokołu Kerberos, a Microsoft Entra dzienniki logowania będą wyświetlać błąd, nawet jeśli użytkownicy lub grupy są przypisani do aplikacji.

Rozwiązanie

Nie wybieraj pozycji Przypisanie wymagane dla aplikacji Microsoft Entra dla konta magazynu, ponieważ nie wypełniamy uprawnień w bilecie Protokołu Kerberos zwróconym do żądającego. Aby uzyskać więcej informacji, zobacz Błąd AADSTS50105 — zalogowany użytkownik nie jest przypisany do roli aplikacji.

Zobacz też

• Rozwiązywanie problemów z Azure Files
• Rozwiązywanie problemów z wydajnością Azure Files
• Rozwiązywanie problemów z łącznością Azure Files (SMB)
• Rozwiązywanie Azure Files ogólnych problemów z protokołem SMB w systemie Linux
• Rozwiązywanie Azure Files ogólnych problemów z systemem plików NFS w systemie Linux
• Rozwiązywanie problemów z Azure File Sync

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.