Montera en Azure-filresurs
Innan du börjar den här artikeln måste du läsa konfigurera katalog- och filnivåbehörigheter över SMB.
Processen som beskrivs i den här artikeln verifierar att SMB-filresursen och åtkomstbehörigheterna har konfigurerats korrekt och att du kan montera din SMB Azure-filresurs. Kom ihåg att rolltilldelning på resursnivå kan ta lite tid att börja gälla.
Logga in på klienten med autentiseringsuppgifterna för den identitet som du har beviljat behörighet till.
Gäller för
| Typ av filresurs | SMB | NFS |
|---|---|---|
| Standardfilresurser (GPv2), LRS/ZRS |  |
 |
| Standardfilresurser (GPv2), GRS/GZRS | |
|
| Premiumfilresurser (FileStorage), LRS/ZRS | |
|
Monteringskrav
Innan du kan montera Azure-filresursen kontrollerar du att du har gått igenom följande krav:
- Om du monterar filresursen från en klient som tidigare har anslutit till filresursen med hjälp av din lagringskontonyckel kontrollerar du att du har kopplat från resursen, tagit bort lagringskontonyckelns beständiga autentiseringsuppgifter och använder AD DS-autentiseringsuppgifter för autentisering. Anvisningar om hur du tar bort cachelagrade autentiseringsuppgifter med lagringskontonyckel och tar bort befintliga SMB-anslutningar innan du initierar en ny anslutning med AD DS- eller Microsoft Entra-autentiseringsuppgifter finns i tvåstegsprocessen på sidan Vanliga frågor och svar.
- Klienten måste ha en obehindrat nätverksanslutning till din AD DS. Om datorn eller den virtuella datorn ligger utanför nätverket som hanteras av din AD DS måste du aktivera en VPN för att nå AD DS för autentisering.
Montera filresursen från en domänansluten virtuell dator
Kör PowerShell-skriptet nedan eller använd Azure-portalen för att beständigt montera Azure-filresursen och mappa den för att köra Z: i Windows. Om Z: redan används ersätter du det med en tillgänglig enhetsbeteckning. Skriptet kontrollerar om det här lagringskontot är tillgängligt via TCP-port 445, vilket är den port som SMB använder. Kom ihåg att ersätta platshållarvärdena med dina egna värden. Mer information finns i Använda en Azure-filresurs med Windows.
Om du inte använder anpassade domännamn bör du montera Azure-filresurser med suffixet file.core.windows.net, även om du konfigurerar en privat slutpunkt för din resurs.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Du kan också använda net-use kommandot från en Windows-prompt för att montera filresursen. Kom ihåg att ersätta <YourStorageAccountName> och <FileShareName> med dina egna värden.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Om du stöter på problem läser du Det går inte att montera Azure-filresurser med AD-autentiseringsuppgifter.
Montera filresursen från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan AD-domän
Icke-domänanslutna virtuella datorer eller virtuella datorer som är anslutna till en annan AD-domän än lagringskontot kan komma åt Azure-filresurser om de har obehindrat nätverksanslutning till domänkontrollanterna och anger explicita autentiseringsuppgifter (användarnamn och lösenord). Användaren som kommer åt filresursen måste ha en identitet och autentiseringsuppgifter i AD-domänen som lagringskontot är anslutet till.
Om du vill montera en filresurs från en icke-domänansluten virtuell dator använder du notationen username@domainFQDN, där domainFQDN är det fullständigt kvalificerade domännamnet. Detta gör att klienten kan kontakta domänkontrollanten för att begära och ta emot Kerberos-biljetter. Du kan hämta värdet för domainFQDN genom att köra (Get-ADDomain).Dnsroot i Active Directory PowerShell.
Till exempel:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Kommentar
Azure Files stöder inte SID-till UPN-översättning för användare och grupper från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan domän via Windows Utforskaren. Om du vill visa fil-/katalogägare eller visa/ändra NTFS-behörigheter via Windows Utforskaren kan du bara göra det från domänanslutna virtuella datorer.
Montera filresurser med anpassade domännamn
Om du inte vill montera Azure-filresurser med suffixet file.core.windows.netkan du ändra suffixet för lagringskontonamnet som är associerat med Azure-filresursen och sedan lägga till en kanonisk namnpost (CNAME) för att dirigera det nya suffixet till slutpunkten för lagringskontot. Följande instruktioner gäller endast för miljöer med en enda skog. Information om hur du konfigurerar miljöer som har två eller flera skogar finns i Använda Azure Files med flera Active Directory-skogar.
Kommentar
Azure Files stöder endast konfiguration av CNAMES med lagringskontonamnet som ett domänprefix. Om du inte vill använda lagringskontots namn som prefix bör du överväga att använda DFS-namnavstånd.
I det här exemplet har vi Active Directory-domänen onpremad1.com och vi har ett lagringskonto med namnet mystorageaccount som innehåller SMB Azure-filresurser. Först måste vi ändra SPN-suffixet för lagringskontot för att mappa mystorageaccount.onpremad1.com till mystorageaccount.file.core.windows.net.
Detta gör det möjligt för klienter att montera resursen med net use \\mystorageaccount.onpremad1.com eftersom klienter i onpremad1 vet att söka onpremad1.com för att hitta rätt resurs för lagringskontot.
Utför följande steg för att använda den här metoden:
Kontrollera att du har konfigurerat identitetsbaserad autentisering och synkroniserat dina AD-användarkonton till Microsoft Entra-ID.
Ändra SPN för lagringskontot med hjälp av
setspnverktyget. Du hittar<DomainDnsRoot>genom att köra följande Active Directory PowerShell-kommando:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Lägg till en CNAME-post med Active Directory DNS Manager och följ stegen nedan för varje lagringskonto i domänen som lagringskontot är anslutet till. Om du använder en privat slutpunkt lägger du till CNAME-posten för att mappa till det privata slutpunktsnamnet.
- Öppna Active Directory DNS Manager.
- Gå till din domän (till exempel onpremad1.com).
- Gå till "Framåtblickande zoner".
- Välj noden med namnet efter din domän (till exempel onpremad1.com) och högerklicka på Nytt alias (CNAME).
- Ange namnet på ditt lagringskonto för aliasnamnet.
- För det fullständigt kvalificerade domännamnet (FQDN) anger du
<storage-account-name>.<domain-name>, till exempel mystorageaccount.onpremad1.com. Värdnamnets del av FQDN måste matcha lagringskontots namn. Annars får du ett felmeddelande om nekad åtkomst under SMB-sessionskonfigurationen. - För målvärdens FQDN anger du
<storage-account-name>.file.core.windows.net - Välj OK.
Nu bör du kunna montera filresursen med hjälp av storageaccount.domainname.com. Du kan också montera filresursen med hjälp av lagringskontonyckeln.
Gå vidare
Om den identitet som du skapade i AD DS för att representera lagringskontot finns i en domän eller organisationsenhet som tillämpar lösenordsrotation kan du behöva uppdatera lösenordet för lagringskontots identitet i AD DS.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för