Montar uma partilha de ficheiros do Azure
Antes de começar este artigo, certifique-se de ter lido configurar permissões de diretório e nível de arquivo sobre SMB.
O processo descrito neste artigo verifica se suas permissões de compartilhamento de arquivos e acesso SMB estão configuradas corretamente e se você pode montar seu compartilhamento de arquivos SMB Azure. Lembre-se de que a atribuição de função de nível de compartilhamento pode levar algum tempo para entrar em vigor.
Entre no cliente usando as credenciais da identidade à qual você concedeu permissões.
Aplica-se a
| Tipo de partilhas de ficheiros | SMB | NFS |
|---|---|---|
| Partilhas de ficheiros Standard (GPv2), LRS/ZRS |  |
 |
| Partilhas de ficheiros Standard (GPv2), GRS/GZRS | |
|
| Partilhas de ficheiros Premium (FileStorage), LRS/ZRS | |
|
Pré-requisitos de montagem
Antes de montar o compartilhamento de arquivos do Azure, verifique se você passou pelos seguintes pré-requisitos:
- Se estiver a montar a partilha de ficheiros a partir de um cliente que se tenha ligado anteriormente à partilha de ficheiros utilizando a chave da sua conta de armazenamento, certifique-se de que desligou a partilha, removeu as credenciais persistentes da chave da conta de armazenamento e está atualmente a utilizar credenciais do AD DS para autenticação. Para obter instruções sobre como remover credenciais armazenadas em cache com chave de conta de armazenamento e excluir conexões SMB existentes antes de inicializar uma nova conexão com credenciais do AD DS ou do Microsoft Entra, siga o processo de duas etapas na página de perguntas frequentes.
- O cliente deve ter conectividade de rede desimpedida com o AD DS. Se o computador ou a VM estiver fora da rede gerida pelo AD DS, terá de ativar a VPN para aceder ao AD DS para autenticação.
Monte o compartilhamento de arquivos a partir de uma VM associada a um domínio
Execute o script do PowerShell abaixo ou use o portal do Azure para montar persistentemente o compartilhamento de arquivos do Azure e mapeá-lo para a unidade Z: no Windows. Se Z: a ser utilizado, substitua por uma letra de unidade disponível. O script verificará se essa conta de armazenamento está acessível através da porta TCP 445, que é a porta que o SMB usa. Lembre-se de substituir os valores de espaço reservado por seus próprios valores. Para obter mais informações, consulte Usar um compartilhamento de arquivos do Azure com o Windows.
A menos que você esteja usando nomes de domínio personalizados, você deve montar compartilhamentos de arquivos do Azure usando o sufixo file.core.windows.net, mesmo se você configurar um ponto de extremidade privado para seu compartilhamento.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Você também pode usar o net-use comando de um prompt do Windows para montar o compartilhamento de arquivos. Lembre-se de substituir <YourStorageAccountName> e <FileShareName> com seus próprios valores.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Se você tiver problemas, consulte Não é possível montar compartilhamentos de arquivos do Azure com credenciais do AD.
Monte o compartilhamento de arquivos de uma VM não associada ao domínio ou de uma VM ingressada em um domínio do AD diferente
VMs não associadas a domínio ou VMs que ingressaram em um domínio do AD diferente da conta de armazenamento podem acessar compartilhamentos de arquivos do Azure se tiverem conectividade de rede desimpedida com os controladores de domínio e fornecerem credenciais explícitas (nome de usuário e senha). O usuário que acessa o compartilhamento de arquivos deve ter uma identidade e credenciais no domínio do AD ao qual a conta de armazenamento está associada.
Para montar um compartilhamento de arquivos a partir de uma VM não associada a um domínio, use a notação username@domainFQDN, onde domainFQDN é o nome de domínio totalmente qualificado. Isso permitirá que o cliente entre em contato com o controlador de domínio para solicitar e receber tíquetes Kerberos. Você pode obter o valor de domainFQDN executando (Get-ADDomain).Dnsroot no Ative Directory PowerShell.
Por exemplo:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Nota
Os Arquivos do Azure não oferecem suporte à conversão de SID para UPN para usuários e grupos de uma VM que não ingressou no domínio ou de uma VM ingressada em um domínio diferente por meio do Explorador de Arquivos do Windows. Se pretender visualizar proprietários de ficheiros/diretórios ou visualizar/modificar permissões NTFS através do Explorador de Ficheiros do Windows, pode fazê-lo apenas a partir de VMs associadas ao domínio.
Montar compartilhamentos de arquivos usando nomes de domínio personalizados
Se não quiser montar compartilhamentos de arquivos do Azure usando o sufixo file.core.windows.net, você pode modificar o sufixo do nome da conta de armazenamento associado ao compartilhamento de arquivos do Azure e adicionar um registro de nome canônico (CNAME) para rotear o novo sufixo para o ponto de extremidade da conta de armazenamento. As instruções a seguir são apenas para ambientes de floresta única. Para saber como configurar ambientes com duas ou mais florestas, consulte Usar arquivos do Azure com várias florestas do Ative Directory.
Nota
Os Arquivos do Azure dão suporte apenas à configuração de CNAMES usando o nome da conta de armazenamento como um prefixo de domínio. Se você não quiser usar o nome da conta de armazenamento como um prefixo, considere usar namepaces DFS.
Neste exemplo, temos o domínio do Ative Directory onpremad1.com e temos uma conta de armazenamento chamada mystorageaccount que contém compartilhamentos de arquivos SMB Azure. Primeiro, precisamos modificar o sufixo SPN da conta de armazenamento para mapear mystorageaccount.onpremad1.com para mystorageaccount.file.core.windows.net.
Isso permitirá que os clientes montem o compartilhamento com net use \\mystorageaccount.onpremad1.com porque os clientes em onpremad1 saberão pesquisar onpremad1.com para encontrar o recurso adequado para essa conta de armazenamento.
Para usar esse método, conclua as seguintes etapas:
Certifique-se de que configurou a autenticação baseada em identidade e sincronizou a(s) sua(s) conta(s) de utilizador do AD com o Microsoft Entra ID.
Modifique o SPN da conta de armazenamento usando a
setspnferramenta. Você pode encontrar<DomainDnsRoot>executando o seguinte comando do PowerShell do Ative Directory:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Adicione uma entrada CNAME usando o Gerenciador DNS do Ative Directory e siga as etapas abaixo para cada conta de armazenamento no domínio ao qual a conta de armazenamento está associada. Se você estiver usando um ponto de extremidade privado, adicione a entrada CNAME para mapear para o nome do ponto de extremidade privado.
- Abra o Gerenciador de DNS do Ative Directory.
- Aceda ao seu domínio (por exemplo, onpremad1.com).
- Vá para "Zonas de pesquisa direta".
- Selecione o nó com o nome do seu domínio (por exemplo, onpremad1.com) e clique com o botão direito do mouse em Novo Alias (CNAME).
- Para o nome do alias, insira o nome da sua conta de armazenamento.
- Para o nome de domínio totalmente qualificado (FQDN), digite
<storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. A parte do nome do host do FQDN deve corresponder ao nome da conta de armazenamento. Caso contrário, você receberá um erro de acesso negado durante a configuração da sessão SMB. - Para o FQDN do host de destino, digite
<storage-account-name>.file.core.windows.net - Selecione OK.
Agora você deve ser capaz de montar o compartilhamento de arquivos usando storageaccount.domainname.com. Você também pode montar o compartilhamento de arquivos usando a chave da conta de armazenamento.
Próximos passos
Se a identidade criada no AD DS para representar a conta de armazenamento estiver em um domínio ou UO que imponha a rotação de senha, talvez seja necessário atualizar a senha da identidade da conta de armazenamento no AD DS.