Подключение файлового ресурса Azure

Прежде чем начать эту статью, убедитесь, что вы ознакомились с разрешениями на уровне каталога и файлов по протоколу S МБ.

Процесс, описанный в этой статье, проверяет правильность настройки общей папки S МБ и разрешений доступа, а также правильность подключения S МБ общей папки Azure. Помните, что назначение ролей на уровне общего ресурса может занять некоторое время.

Войдите в клиент, используя учетные данные удостоверения, которым вы предоставили разрешения.

Применяется к

Тип общей папки	SMB	NFS
Стандартные общие папки (GPv2), LRS/ZRS
Стандартные общие папки (GPv2), GRS/GZRS
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS

Предварительные требования для подключения

Прежде чем подключить общую папку Azure, убедитесь, что вы выполнили следующие предварительные требования:

• Если вы подключаете общую папку из клиента, который ранее подключен к общей папке с помощью ключа учетной записи хранения, убедитесь, что вы отключили общую папку, удалили постоянные учетные данные ключа учетной записи хранения и в настоящее время используют учетные данные AD DS для проверки подлинности. Инструкции по удалению кэшированных учетных данных с ключом учетной записи хранения и удалению существующих подключений S МБ перед инициализацией нового подключения с учетными данными AD DS или Microsoft Entra выполните двухэтапный процесс на странице часто задаваемых вопросов.
• Клиент должен иметь неодновременное сетевое подключение к AD DS. Если компьютер или виртуальная машина находится за пределами сети, управляемой AD DS, необходимо включить VPN для доступа к AD DS для проверки подлинности.

Подключение общей папки с виртуальной машины, присоединенной к домену

Запустите приведенный ниже скрипт PowerShell или используйте портал Azure для постоянного подключения общей папки Azure и сопоставления его с диском Z в Windows. Если носитель "Z:" уже используется, укажите букву доступного диска. Скрипт проверка, чтобы узнать, доступна ли эта учетная запись хранения через TCP-порт 445, который является портом S МБ используется. Не забудьте заменить значения заполнителей собственными значениями. Дополнительные сведения см. в статье Использование общей папки Azure с Windows.

Если вы не используете личные доменные имена, необходимо подключить общие папки Azure с помощью суффикса file.core.windows.net, даже если вы настроили частную конечную точку для общей папки.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Вы также можете использовать net-use команду из командной строки Windows для подключения общей папки. Не забудьте заменить <YourStorageAccountName> и <FileShareName> с собственными значениями.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

При возникновении проблем см. статью "Не удается подключить общие папки Azure с учетными данными AD".

Подключение общей папки из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену AD

Не присоединенные к домену виртуальные машины или виртуальные машины, присоединенные к другому домену AD, могут получить доступ к общим папкам Azure, если они не подключены к контроллерам домена и предоставляют явные учетные данные (имя пользователя и пароль). Пользователь, обращаюющийся к общей папке, должен иметь удостоверение и учетные данные в домене AD, к которому присоединена учетная запись хранения.

Чтобы подключить общую папку из виртуальной машины, не присоединенной к домену, используйте нотацию username@domainFQDN, где доменFQDN является полным доменным именем. Это позволит клиенту связаться с контроллером домена, чтобы запрашивать и получать билеты Kerberos. Значение domainFQDN можно получить, выполнив в (Get-ADDomain).Dnsroot Active Directory PowerShell.

Рассмотрим пример.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Примечание.

Файлы Azure не поддерживает перевод идентификаторов безопасности в имя участника-пользователя для пользователей и групп из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену через Windows проводник. Если вы хотите просматривать разрешения NTFS на основе файлов, каталогов или просматривать или изменять разрешения NTFS с помощью Windows проводник, это можно сделать только из виртуальных машин, присоединенных к домену.

Подключение общих папок с помощью пользовательских доменных имен

Если вы не хотите подключить общие папки Azure с помощью суффикса file.core.windows.net, можно изменить суффикс имени учетной записи хранения, связанной с общей папкой Azure, а затем добавить каноническое имя (CNAME), чтобы направить новый суффикс в конечную точку учетной записи хранения. Ниже приведены инструкции только для сред с одним лесом. Сведения о настройке сред с двумя или более лесами см. в разделе "Использование Файлы Azure с несколькими лесами Active Directory".

Примечание.

Файлы Azure поддерживает только настройку CNAMES с использованием имени учетной записи хранения в качестве префикса домена. Если вы не хотите использовать имя учетной записи хранения в качестве префикса, рассмотрите возможность использования имен DFS.

В этом примере у нас есть домен Active Directory onpremad1.com, а у нас есть учетная запись хранения mystorageaccount, содержащая общие папки S МБ Azure. Сначала необходимо изменить суффикс имени субъекта-службы учетной записи хранения, чтобы сопоставить mystorageaccount.onpremad1.com с mystorageaccount.file.core.windows.net.

Это позволит клиентам подключить общую папку, net use \\mystorageaccount.onpremad1.com так как клиенты в onpremad1 будут знать, чтобы искать onpremad1.com , чтобы найти соответствующий ресурс для этой учетной записи хранения.

Чтобы использовать этот метод, выполните следующие действия.

1. Убедитесь, что вы настроили проверку подлинности на основе удостоверений и синхронизировали учетные записи пользователей AD с идентификатором Microsoft Entra.

2. Измените имя субъекта-службы учетной записи хранения с помощью setspn средства. Чтобы найти <DomainDnsRoot> , выполните следующую команду Active Directory PowerShell: (Get-AdDomain).DnsRoot

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Добавьте запись CNAME с помощью диспетчера DNS Active Directory и выполните приведенные ниже действия для каждой учетной записи хранения в домене, к которому присоединена учетная запись хранения. Если вы используете частную конечную точку, добавьте запись CNAME для сопоставления с именем частной конечной точки.

   1. Откройте диспетчер DNS Active Directory.
   2. Перейдите к домену (например, onpremad1.com).
   3. Перейдите в раздел "Зоны прямого просмотра".
   4. Выберите узел с именем домена (например, onpremad1.com) и щелкните правой кнопкой мыши новый псевдоним (CNAME).
   5. В поле псевдонима введите имя учетной записи хранения.
   6. Для полного доменного имени (FQDN) введите <storage-account-name>.<domain-name>, например mystorageaccount.onpremad1.com. Имя узла полного доменного имени должно соответствовать имени учетной записи хранения. В противном случае во время настройки сеанса S МБ появится ошибка отказа в доступе.
   7. Для полного доменного имени целевого узла введите <storage-account-name>.file.core.windows.net
   8. Нажмите ОК.

Теперь вы сможете подключить общую папку с помощью storageaccount.domainname.com. Вы также можете подключить общую папку с помощью ключа учетной записи хранения.

Следующие шаги

Если удостоверение, созданное в AD DS для представления учетной записи хранения, находится в домене или подразделении, которое применяет смену паролей, может потребоваться обновить пароль удостоверения учетной записи хранения в AD DS.