Dela via


SMB Azure-filresurser

Azure Files erbjuder två branschstandardprotokoll för montering av Azure-filresurs: SMB-protokollet (Server Message Block) och NFS-protokollet (Network File System). Med Azure Files kan du välja det filsystemprotokoll som passar bäst för din arbetsbelastning. Azure-filresurser stöder inte åtkomst till en enskild Azure-filresurs med både SMB- och NFS-protokollen, även om du kan skapa SMB- och NFS-filresurser inom samma lagringskonto. För alla filresurser erbjuder Azure Files filresurser i företagsklass som kan skalas upp för att uppfylla dina lagringsbehov och som kan nås samtidigt av tusentals klienter.

Den här artikeln beskriver SMB Azure-filresurser. Information om NFS Azure-filresurser finns i NFS Azure-filresurser.

Vanliga scenarier

SMB-filresurser används för en mängd olika program, inklusive slutanvändarens filresurser och filresurser som säkerhetskopierar databaser och program. SMB-filresurser används ofta i följande scenarier:

  • Slutanvändares filresurser, till exempel teamresurser, hemkataloger osv.
  • Säkerhetskopiera lagring för Windows-baserade program, till exempel SQL Server-databaser eller verksamhetsspecifika program som skrivits för API:er för win32- eller .NET-lokala filsystem.
  • Ny program- och tjänstutveckling, särskilt om programmet eller tjänsten har ett krav på slumpmässig I/O och hierarkisk lagring.

Funktioner

Azure Files stöder de viktigaste funktionerna i SMB och Azure som behövs för produktionsdistribution av SMB-filresurser:

  • AD-domänanslutning och diskretionära åtkomstkontrollistor (DACLs).
  • Integrerad serverlös säkerhetskopiering med Azure Backup.
  • Nätverksisolering med privata Azure-slutpunkter.
  • Högt nätverksdataflöde med SMB Multichannel (endast premiumfilresurser).
  • SMB-kanalkryptering inklusive AES-256-GCM, AES-128-GCM och AES-128-CCM.
  • Stöd för tidigare version via VSS-integrerade resursögonblicksbilder.
  • Automatisk mjuk borttagning på Azure-filresurser för att förhindra oavsiktliga borttagningar.
  • Alternativt internettillgängliga filresurser med internetsäkra SMB 3.0+.

SMB-filresurser kan monteras direkt lokalt eller cachelagras lokalt med Azure File Sync.

Säkerhet

Alla data som lagras i Azure Files krypteras i vila med azure storage service encryption (SSE). Kryptering av lagringstjänst fungerar på samma sätt som BitLocker i Windows: data krypteras under filsystemnivån. Eftersom data krypteras under Azure-filresursens filsystem, eftersom de är kodade till disken, behöver du inte ha åtkomst till den underliggande nyckeln på klienten för att läsa eller skriva till Azure-filresursen. Kryptering i vila gäller för både SMB- och NFS-protokollen.

Som standard har alla Azure-lagringskonton kryptering under överföring aktiverat. Det innebär att när du monterar en filresurs via SMB (eller kommer åt den via FileREST-protokollet) tillåter Azure Files endast anslutningen om den görs med SMB 3.x med kryptering eller HTTPS. Klienter som inte stöder SMB 3.x med SMB-kanalkryptering kan inte montera Azure-filresursen om kryptering under överföring är aktiverat.

Azure Files stöder AES-256-GCM med SMB 3.1.1 när det används med Windows Server 2022 eller Windows 11. SMB 3.1.1 stöder även AES-128-GCM och SMB 3.0 stöder AES-128-CCM. AES-128-GCM förhandlas som standard på Windows 10 version 21H1 av prestandaskäl.

Du kan inaktivera kryptering under överföring för ett Azure-lagringskonto. När krypteringen är inaktiverad tillåter Azure Files även SMB 2.1 och SMB 3.x utan kryptering. Den främsta orsaken till att inaktivera kryptering under överföring är att stödja ett äldre program som måste köras på ett äldre operativsystem, till exempel Windows Server 2008 R2 eller äldre Linux-distribution. Azure Files tillåter endast SMB 2.1-anslutningar inom samma Azure-region som Azure-filresursen. en SMB 2.1-klient utanför Azure-regionen för Azure-filresursen, till exempel lokalt eller i en annan Azure-region, kommer inte att kunna komma åt filresursen.

SMB-protokollinställningar

Azure Files erbjuder flera inställningar som påverkar SMB-protokollets beteende, prestanda och säkerhet. Dessa konfigureras för alla Azure-filresurser i ett lagringskonto.

SMB Multichannel

SMB Multichannel gör det möjligt för en SMB 3.x-klient att upprätta flera nätverksanslutningar till en SMB-filresurs. Azure Files stöder SMB Multichannel på Premium-filresurser (filresurser i fillagringskontotypen FileStorage). Det finns ingen extra kostnad för att aktivera SMB Multichannel i Azure Files. SMB Multichannel är nu aktiverat som standard i alla Azure-regioner.

Om du vill visa status för SMB Multichannel går du till lagringskontot som innehåller dina premiumfilresurser och väljer Filresurser under rubriken Datalagring i innehållsförteckningen för lagringskontot. Status för SMB Multichannel visas under avsnittet Inställningar för filresurs.

En skärmbild av avsnittet filresurser med i lagringskontot som markerar inställningen SMB Multichannel

Om du vill aktivera eller inaktivera SMB Multichannel väljer du aktuell status (Aktiverad eller Inaktiverad beroende på status). Den resulterande dialogrutan innehåller en växlingsknapp för att aktivera eller inaktivera SMB Multichannel. Välj önskat tillstånd och välj Spara.

En skärmbild av dialogrutan för att aktivera/inaktivera funktionen SMB Multichannel.

Aktivera SMB Multichannel på äldre operativsystem

Stöd för SMB Multichannel i Azure Files kräver att alla relevanta korrigeringar tillämpas i Windows. Flera äldre Windows-versioner, inklusive Windows Server 2016, Windows 10 version 1607 och Windows 10 version 1507, kräver att ytterligare registernycklar anges för att alla relevanta SMB Multichannel-korrigeringar ska tillämpas på fullständigt korrigerade installationer. Om du kör en version av Windows som är nyare än dessa tre versioner krävs ingen ytterligare åtgärd.

Windows Server 2016 och Windows 10 version 1607

Om du vill aktivera alla SMB Multichannel-korrigeringar för Windows Server 2016 och Windows 10 version 1607 kör du följande PowerShell-kommando:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 version 1507

Om du vill aktivera alla SMB Multichannel-korrigeringar för Windows 10 version 1507 kör du följande PowerShell-kommando:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

SMB-säkerhetsinställningar

Azure Files visar inställningar som gör att du kan växla SMB-protokollet så att det blir mer kompatibelt eller säkrare, beroende på organisationens krav. Som standard är Azure Files konfigurerat att vara maximalt kompatibelt, så tänk på att en begränsning av dessa inställningar kan leda till att vissa klienter inte kan ansluta.

Azure Files visar följande inställningar:

  • SMB-versioner: Vilka versioner av SMB som tillåts. Protokollversioner som stöds är SMB 3.1.1, SMB 3.0 och SMB 2.1. Som standard tillåts alla SMB-versioner, även om SMB 2.1 inte tillåts om "kräver säker överföring" är aktiverat, eftersom SMB 2.1 inte stöder kryptering under överföring.
  • Autentiseringsmetoder: Vilka SMB-autentiseringsmetoder tillåts. Autentiseringsmetoder som stöds är NTLMv2 (endast lagringskontonyckel) och Kerberos. Som standard tillåts alla autentiseringsmetoder. Om du tar bort NTLMv2 tillåts inte att använda lagringskontonyckeln för att montera Azure-filresursen. Azure Files stöder inte användning av NTLM-autentisering för domänautentiseringsuppgifter.
  • Kerberos-biljettkryptering: Vilka krypteringsalgoritmer tillåts. Krypteringsalgoritmer som stöds är AES-256 (rekommenderas) och RC4-HMAC.
  • SMB-kanalkryptering: Vilka SMB-kanalkrypteringsalgoritmer tillåts. Krypteringsalgoritmer som stöds är AES-256-GCM, AES-128-GCM och AES-128-CCM. Om du bara väljer AES-256-GCM måste du be anslutande klienter att använda den genom att öppna en PowerShell-terminal som administratör på varje klient och köra Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Användning av AES-256-GCM stöds inte på Windows-klienter som är äldre än Windows 11/Windows Server 2022.

Du kan visa och ändra SMB-säkerhetsinställningarna med hjälp av Azure Portal, PowerShell eller CLI. Välj önskad flik för att se stegen för hur du hämtar och anger SMB-säkerhetsinställningarna. Observera att de här inställningarna kontrolleras när en SMB-session upprättas och om den inte uppfylls misslyckas SMB-sessionskonfigurationen med felet "STATUS_ACCESS_DENIED".

Följ dessa steg om du vill visa eller ändra SMB-säkerhetsinställningarna med hjälp av Azure Portal:

  1. Sök efter Lagringskonton och välj det lagringskonto som du vill visa säkerhetsinställningarna för.

  2. Välj Datalagring>Filresurser.

  3. Under Filresursinställningar väljer du det värde som är associerat med Säkerhet. Om du inte har ändrat säkerhetsinställningarna går det här värdet som standard till Maximal kompatibilitet.

    En skärmbild som visar var du kan ändra SMB-säkerhetsinställningarna.

  4. Under Profil väljer du Maximal kompatibilitet, Maximal säkerhet eller Anpassad. Genom att välja Anpassad kan du skapa en anpassad profil för SMB-protokollversioner, SMB-kanalkryptering, autentiseringsmekanismer och Kerberos-biljettkryptering.

    En skärmbild som visar dialogrutan för att ändra SMB-säkerhetsinställningarna för SMB-protokollversioner, SMB-kanalkryptering, autentiseringsmekanismer och Kerberos-biljettkryptering.

När du har angett önskade säkerhetsinställningar väljer du Spara.

Begränsningar

SMB-filresurser i Azure Files stöder en delmängd funktioner som stöds av SMB-protokollet och NTFS-filsystemet. Även om de flesta användningsfall och program inte kräver dessa funktioner kanske vissa program inte fungerar korrekt med Azure Files om de förlitar sig på funktioner som inte stöds. Följande funktioner stöds inte:

Regional tillgänglighet

SMB Azure-filresurser är tillgängliga i alla Azure-regioner, inklusive alla offentliga och nationella regioner. Premium SMB-filresurser är tillgängliga i en delmängd av regioner.

Nästa steg