Felsöka Azure Files problem med identitetsbaserad autentisering och auktorisering (SMB)

Applies to: ✔️ SMB Azure fildelningar

Sammanfattning

Den här artikeln innehåller vanliga problem när du använder identitetsbaserad autentisering med SMB Azure-filresurser och ger möjliga orsaker och lösningar. Använd den här guiden för att diagnostisera och åtgärda autentiseringsfel, behörighetsproblem och Kerberos-konfigurationsproblem.

Fel vid körning av AzFilesHybrid-modulen

När du försöker köra AzFilesHybrid-modulen kan du få följande fel:

Klienten har inte behörighet som krävs.

Orsak: AD-behörigheter är otillräckliga

Det här problemet beror på att du inte har de behörigheter som krävs služba Active Directory (AD) för att köra modulen.

Lösning

Se AD-behörigheterna eller kontakta AD-administratören för att ange de behörigheter som krävs.

Fel 5 vid montering av en Azure fildelning

När du försöker montera en filresurs kan du få följande fel:

Systemfel 5 har uppstått. Åtkomst nekas.

Orsak: Behörigheter på resursnivå är felaktiga

Om slutanvändarna får åtkomst till Azure-filresursen med hjälp av identitetsbaserad autentisering misslyckas åtkomsten till filresursen med felet "Åtkomst nekas" om behörigheter på resursnivå är felaktiga.

Anteckning

Det här felet kan orsakas av andra problem än felaktiga behörigheter på resursnivå. Information om andra möjliga orsaker och lösningar finns i Felsöka Azure Files anslutning och åtkomstproblem.

Lösning

Kontrollera att behörigheterna har konfigurerats korrekt. Se Tilldela behörigheter på delningsnivå.

Fel AadDsTenantNotFound vid aktivering av Microsoft Entra Domain Services-autentisering för Azure Files "Det går inte att hitta aktiva klienter med klient-ID Microsoft Entra klient-ID"

Orsak

Felet AadDsTenantNotFound inträffar när du försöker aktivera Microsoft Entra Domain Services-autentisering för Azure Files på ett lagringskonto där Microsoft Entra Domain Services inte har skapats i klientorganisationen för den associerade prenumerationen.

Lösning

Aktivera Microsoft Entra Domain Services på den Microsoft Entra klientorganisationen för prenumerationen som ditt lagringskonto har distribuerats till. Du behöver administratörsbehörighet för Microsoft Entra klientorganisation för att skapa en hanterad domän. Om du inte är administratör för Microsoft Entra-klientorganisationen kontaktar du administratören och följer den stegvisa vägledningen för att skapa och konfigurera en microsoft entra Domain Services-hanterad domän.

Fel: Alla nyligen tillagda URI:er måste innehålla en klientorganisationsverifierad domän, klientorganisations-ID eller app-ID

Orsak

Det här felet uppstår under konfigurationen av identitetsbaserad autentisering för Azure Files när du lägger till en omdirigerings-URI eller identifierar-URI som inte uppfyller microsoft Entra ID-programsäkerhetskraven.

Microsoft Entra ID tillämpar begränsningar för URI:er för programidentifierare och omdirigerings-URI:er. Nyligen tillagda URI:er måste referera till något av följande värden:

• En klientverifierad anpassad domän
• Klient-ID för Microsoft Entra
• Applikationens (klientens) ID

Om en URI använder en overifierad domän, ett .local värdnamn eller en godtycklig URL som inte är associerad med klientorganisationen blockerar standardklientprincipen begäran.

Microsoft Entra-ID tillämpar det här beteendet och är inte specifikt för Azure Files-tjänsten.

Mer information finns i:

• Begränsningar på identifierar-URI:er för Microsoft Entra applikationer
• Disposition och begränsningar för omdirigerings-URI (svars-URL)
• Hantera anpassade domännamn i din Microsoft Entra ID

Lösning

När du konfigurerar programregistrering eller identitetsbaserad autentisering för Azure Files kontrollerar du att omdirigerings-URI eller identifierar-URI använder något av de format som stöds:

• Använda en klientverifierad anpassad domän
• Använda Microsoft Entra klientorganisations-ID
• Använda programmets (klient)-ID:t

Använd inte overifierade domäner, .local värdnamn eller godtyckliga URL:er eftersom Microsoft Entra ID-klientprincipen avvisar dessa värden. Om du är osäker på vilka domäner som verifieras i din klientorganisation kan du läsa avsnittet Anpassade domännamn i administrationscentret för Microsoft Entra eller kontakta klientadministratören.

Det går inte att montera Azure-fildelningar med AD-autentiseringsuppgifter

Självdiagnostiksteg

Kontrollera först att du har följt stegen för att aktiv Azure Files AD DS-autentisering.

För det andra, försök ansluta Azure-filresurs med lagringskontonyckel. Om delningen inte kan monteras, ladda ner AzFileDiagnostics för att hjälpa dig att validera den miljö klienten körs i. AzFileDiagnostics kan identifiera inkompatibla klientkonfigurationer som kan orsaka åtkomstfel för Azure Files, ge förebyggande vägledning om självkorrigering och samla in diagnostikspårningarna.

För det tredje kör du cmdleten Debug-AzStorageAccountAuth för att utföra en uppsättning grundläggande kontroller av AD-konfigurationen med den inloggade AD-användaren. Den här cmdleten stöds på AzFilesHybrid v0.1.2+.

1. Logga in på Azure PowerShell interaktivt som en AD-användare som har ägarbehörighet för mållagringskontot:

   Connect-AzAccount
   

2. Kör cmdleten Debug-AzStorageAccountAuth :

   $ResourceGroupName = "<resource-group-name-here>"
   $StorageAccountName = "<storage-account-name-here>"
   
   Debug-AzStorageAccountAuth `
       -StorageAccountName $StorageAccountName `
       -ResourceGroupName $ResourceGroupName `
       -Verbose
   

Cmdleten utför dessa kontroller i följd och ger vägledning för fel:

1. CheckADObjectPasswordIsCorrect: Kontrollera att lösenordet som konfigurerats för DEN AD-identitet som representerar lagringskontot matchar lagringskontots kerb1- eller kerb2-nyckel. Om lösenordet är felaktigt kör du Update-AzStorageAccountADObjectPassword för att återställa lösenordet.
2. CheckADObject: Bekräfta att det finns ett objekt i služba Active Directory som representerar lagringskontot och har rätt SPN (tjänstens huvudnamn). Om SPN inte är rätt konfigurerat kan du konfigurera SPN genom att köra cmdleten Set-AD som returneras i felsöknings-cmdleten.
3. CheckDomainJoined: Kontrollera att klientdatorn är domänansluten till AD. Om datorn inte är domänansluten till AD kan du läsa anvisningarna för att ansluta en dator till en domän för domänanslutning.
4. CheckPort445Connectivity: Kontrollera om port 445 är öppen för SMB-anslutning. Om port 445 inte är öppen kan du läsa felsökningsverktyget AzFileDiagnostics för anslutningsproblem med Azure Files.
5. CheckSidHasAadUser: Kontrollera om den inloggade AD-användaren har synkroniserats till Microsoft Entra ID. Om du vill kontrollera om en specifik AD-användare synkroniseras med Microsoft Entra ID anger du -UserName och -Domain i indataparametrarna. För ett visst SID kontrollerar det om det finns en Microsoft Entra ID associerad användare.
6. CheckAadUserHasSid: Kontrollera om den inloggade AD-användaren har synkroniserats till Microsoft Entra ID. Om du vill kontrollera om en specifik AD-användare synkroniseras med Microsoft Entra ID anger du -UserName och -Domain i indataparametrarna. För en viss Microsoft Entra ID användare kontrollerar den dess SID. Om du vill köra den här kontrollen anger du parametern -ObjectId, tillsammans med objekt-ID:t för den Microsoft Entra ID användaren.
7. CheckGetKerberosTicket: Försök att hämta en Kerberos-biljett för att ansluta till lagringskontot. Om det inte finns någon giltig Kerberos-token kör du cmdleten klist get cifs/storage-account-name.file.core.windows.net och undersöker felkoden för att fastställa orsaken till fel vid biljetthämtning.
8. CheckStorageAccountDomainJoined: Kontrollera om AD-autentiseringen är aktiverad och kontots AD-egenskaper har fyllts i. Om inte, aktivera AD DS-autentisering på Azure Files.
9. CheckUserRbacAssignment: Kontrollera om AD-identiteten har rätt RBAC-rolltilldelning för att ge behörigheter på resursnivå för åtkomst Azure Files. Om inte, konfigurerar du behörigheten på delningsnivå. (Stöds på AzFilesHybrid v0.2.3+)
10. CheckUserFileAccess: Kontrollera om AD-identiteten har rätt katalog-/filbehörighet (Windows ACL:er) för åtkomst till Azure Files. Om inte konfigurerar du behörigheten på katalog-/filnivå. Om du vill köra den här kontrollen anger du parametern -FilePath tillsammans med sökvägen till den monterade fil som du vill felsöka åtkomsten till. (Stöds på AzFilesHybrid v0.2.3+)
11. CheckKerberosTicketEncryption: Kontrollera om lagringskontot är konfigurerat för att acceptera krypteringstypen som används av Kerberos-biljetten. (Stöds på AzFilesHybrid v0.2.5+)
12. CheckChannelEncryption: Kontrollera om lagringskontot är konfigurerat för att acceptera SMB-kanalkrypteringstypen som används av klienten. (Stöds på AzFilesHybrid v0.2.5+)
13. CheckDomainLineOfSight: Kontrollera om klienten har en obehindrat nätverksanslutning till domänkontrollanten. (Stöds på AzFilesHybrid v0.2.5+)
14. Kontrollera om standardbehörigheten på delningsnivå har konfigurerats. (Stöds på AzFilesHybrid v0.2.5+)
15. CheckAadKerberosRegistryKeyIsOff: Kontrollera om Microsoft Entra Kerberos-registernyckeln är inaktiverad. Om nyckeln är på kör du reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0 från en upphöjd kommandotolk för att stänga av den och starta sedan om datorn. (Stöds på AzFilesHybrid v0.2.9+)

Om du vill köra en delmarkering av de tidigare kontrollerna använder du parametern -Filter tillsammans med en kommaavgränsad lista över kontroller som ska köras. Om du till exempel vill köra alla kontroller relaterade till behörigheter på resursnivå (RBAC) använder du följande PowerShell-cmdletar:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -Filter CheckSidHasAadUser,CheckUserRbacAssignment `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Om du har filresursen monterad på X:, och om du bara vill köra kontrollen som rör behörigheter på filnivå (Windows ACL:er), kör du följande PowerShell-cmdletar:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"

Debug-AzStorageAccountAuth `
    -Filter CheckUserFileAccess `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -FilePath $FilePath `
    -Verbose

Det går inte att ansluta Azure-fildelningar med Microsoft Entra Kerberos

Självdiagnostiksteg

Se först till att du följer stegen för att aktivera Microsoft Entra Kerberos-autentisering.

För det andra kör du cmdleten Debug-AzStorageAccountAuth för att utföra en uppsättning grundläggande kontroller. Den här cmdleten stöder lagringskonton som konfigurerats för Microsoft Entra Kerberos-autentisering på AzFilesHybrid v0.3.0+.

1. Logga in på Azure PowerShell interaktivt som en AD-användare som har ägarbehörighet för mållagringskontot:

   Connect-AzAccount
   

2. Kör cmdleten Debug-AzStorageAccountAuth :

   $ResourceGroupName = "<resource-group-name-here>"
   $StorageAccountName = "<storage-account-name-here>"
   
   Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose
   

Cmdleten utför dessa kontroller i följd och ger vägledning för fel:

1. CheckPort445Connectivity: Kontrollerar om port 445 är öppen för SMB-anslutning. Om port 445 inte är öppen använder du felsökningsverktyget AzFileDiagnostics för anslutningsproblem med Azure Files.
2. CheckAADConnectivity: Söker efter Entra-anslutning. SMB-monteringar med Kerberos-autentisering kan misslyckas om klienten inte kan kontakta Entra. Om den här kontrollen misslyckas indikerar det att det finns ett nätverksfel (kanske ett brandväggs- eller VPN-problem).
3. CheckEntraObject: Bekräftar att det finns ett objekt i Entra som representerar lagringskontot och har rätt tjänsthuvudnamn (SPN). Om SPN inte är korrekt konfigurerat inaktiverar du och återaktiverar Entra Kerberos-autentisering på lagringskontot.
4. CheckRegKey: Kontrollerar om registernyckeln CloudKerberosTicketRetrieval är aktiverad. Den här registernyckeln krävs för Entra Kerberos-autentisering.
5. CheckRealmMap: Kontrollerar om användaren har konfigurerat några sfärmappningar som ansluter kontot till en annan Kerberos-sfär än KERBEROS.MICROSOFTONLINE.COM.
6. CheckAdminConsent: Kontrollerar om Entra-tjänstens huvudobjekt har beviljats administratörsmedgivande för de Microsoft Graph-behörigheter som krävs för att få en Kerberos-biljett.
7. CheckWinHttpAutoProxySvc: Kontrollerar tjänsten WinHTTP-webbproxy Auto Discovery (WinHttpAutoProxySvc), som krävs för Microsoft Entra Kerberos-autentisering. Dess tillstånd ska vara inställt på Running. Av säkerhetsskäl kan du valfritt inaktivera automatisk identifiering av webbproxy (WPAD) via registernycklar. Inaktivera dock inte hela WinHttpAutoProxySvc tjänsten eftersom den ansvarar för en mängd andra funktioner, inklusive Kerberos Key Distribution Center Proxy-begäranden (KDC Proxy).
8. CheckIpHlpScv: Söker efter ip-hjälptjänsten (iphlpsvc) som krävs för Microsoft Entra Kerberos-autentisering. Dess tillstånd ska vara inställt på Running.
9. CheckFiddlerProxy: Kontrollerar om det finns en Fiddler-proxy som förhindrar Microsoft Entra Kerberos-autentisering.
10. CheckEntraJoinType: Kontrollerar om datorn är entra-domänansluten eller hybrid-Entra-domänansluten. Det är en förutsättning för Microsoft Entra Kerberos-autentisering.

Om du vill köra en delmarkering av de tidigare kontrollerna använder du parametern -Filter tillsammans med en kommaavgränsad lista över kontroller som ska köras.

Montering till Azure Files misslyckas när du använder Entra Kerberos på grund av Kerberos-krypteringstyper som inte stöds

När du monterar en Azure filresurs med hjälp av Microsoft Entra Kerberos-autentisering misslyckas monteringsåtgärden. Loggsamlingen kan visa att Kerberos-tjänstbiljetten inte kan dekrypteras. Du kanske också upptäcker att följande registernyckel är konfigurerad: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes

Orsak

Om du konfigurerar registernyckeln SupportedEncryptionTypes med ett värde som inte inkludera AES tillåter Windows endast de krypteringstyper som anges i bitmasken. Värdet 0x7 anger till exempel att klienten endast stöder följande Kerberos-krypteringstyper:

• DES_CBC_CRC
• DES_CBC_MD5
• RC4_HMAC

Eftersom Microsoft Entra Kerberos alltid krypterar tjänstbiljetter med AES-256 (AES256-CTS-HMAC-SHA1-96), misslyckas monteringar om AES inte ingår i de krypteringstyper som kontot eller datorn stöder.

Anteckning

AES-kryptering är aktiverat som standard på moderna Windows operativsystem. Om du inte konfigurerar registernyckeln SupportedEncryptionTypes förhandlar Windows automatiskt om AES när det är tillgängligt.

Lösning

Om du vill montera Azure-filresurser med Microsoft Entra Kerberos ska du inkludera AES-256 i de krypteringstyper som stöds.

Använd något av följande alternativ:

Alternativ 1: Ta bort registernyckeln (rekommenderas om den inte är avsiktligt konfigurerad)

Om du inte avsiktligt har begränsat krypteringstyperna:

1. Ta bort registernyckeln: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
2. Starta om datorn.

När du har startat om försöker du montera filresursen igen.

Tips/Råd

Om du tar bort nyckeln återställs Windows standardbeteende, vilket gör att služba Active Directory automatiskt kan förhandla om AES för Kerberos-biljetter.

Alternativ 2: Aktivera AES-256 uttryckligen med hjälp av Grupprincip

Om din organisation kräver explicit konfigurerade Kerberos-krypteringstyper:

1. Tryck på Win + R, skriv gpedit.mscoch välj Retur.
2. Gå till: Lokal datorpolicy > Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ
3. Öppna Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos.
4. Aktivera följande krypteringstyper:
   • AES256_HMAC_SHA1
   • AES128_HMAC_SHA1 (valfritt)
5. Tillämpa ändringen och starta om datorn.

När du har startat om försöker du montera filresursen igen.

Viktigt!

Entra Kerberos kräver AES256_HMAC_SHA1 för att framgångsrikt montera Azure-fildelningar. RC4- eller DES-konfigurationer misslyckas. Mer information om registernycklar finns i Dekryptera valet av Kerberos-krypteringstyper som stöds.

Det går inte att konfigurera behörigheter på katalog- eller filnivå (Windows ACL:er) med hjälp av Utforskaren

Symtom

Du kan få något av följande symtom när du försöker konfigurera Windows-ACL:er med Utforskaren på en monterad filresurs:

• När du har klickat på Redigera behörighet under fliken Säkerhet läses inte behörighetsguiden in.
• När du försöker välja en ny användare eller grupp visas inte rätt plats i den Doménové služby Active Directory (AD DS)-domänen.
• Du använder flera AD-skogar och får följande felmeddelande: "De služba Active Directory domänkontrollanter som krävs för att hitta de markerade objekten i följande domäner är inte tillgängliga. Kontrollera att služba Active Directory domänkontrollanter är tillgängliga och försök markera objekten igen."

Lösning

I stället för att använda Utforskaren konfigurerar du behörigheter på katalog- eller filnivå med hjälp av icacls.

Det går inte att visa UserPrincipalName (UPN) för en fil- eller katalogägare i Utforskaren

Symtom

Utforskaren visar säkerhetsidentifieraren (SID) för en fil- eller katalogägare, men inte UPN.

Orsak

Utforskaren anropar ett RPC-API direkt till servern (Azure Files) för att översätta SID till ett UPN. Azure Files stöder inte det här API:et, så UPN visas inte.

Lösning

På en domänansluten klient använder du följande PowerShell-kommando för att visa alla objekt i en katalog och deras ägare, inklusive UPN:

Get-ChildItem <Path> | Get-ACL | Select Path, Owner

Fel vid körning av cmdleten Join-AzStorageAccountForAuth

Fel: "Katalogtjänsten kunde inte allokera en relativ identifierare"

Det här felet uppstår om en domänkontrollant som innehåller RID Master FSMO-rollen inte är tillgänglig eller har tagits bort från domänen och återställts från säkerhetskopian. Bekräfta att alla domänkontrollanter körs och är tillgängliga.

Fel: ”Det går inte att binda positionsparametrar eftersom inget namn angavs”

Det här felet utlöses troligen av ett syntaxfel i Join-AzStorageAccountforAuth kommandot. Kontrollera om kommandot innehåller felstavningar eller syntaxfel och kontrollera att den senaste versionen av AzFilesHybrid-modulen är installerad .

Användaridentiteten som tidigare hade rolltilldelningen Ägare eller Deltagare har fortfarande åtkomst till lagringskontonyckeln

Rollerna ägare och deltagare för lagringskontot ger möjlighet att visa en lista över lagringskontonycklarna. Lagringskontonyckeln ger fullständig åtkomst till lagringskontots data, inklusive filresurser, blobar, tabeller och köer. Det ger också begränsad åtkomst till Azure Files hanteringsåtgärder via äldre hanterings-API:er som exponeras via FileREST-API:et. Om du ändrar rolltilldelningar bör du tänka på att de användare som du tar bort från rollerna Ägare eller Deltagare kan fortsätta att ha åtkomst till lagringskontot via sparade lagringskontonycklar.

Lösning 1

Du kan enkelt åtgärda det här problemet genom att rotera lagringskontonycklarna. Rotera nycklarna en i taget och växla åtkomst från en till en annan när du roterar dem. Lagringskontot innehåller två typer av delade nycklar: lagringskontonycklarna, som ger superadministratörsåtkomst till lagringskontots data, och Kerberos-nycklarna, som fungerar som en delad hemlighet mellan lagringskontot och den Windows Server služba Active Directory domänkontrollanten för Windows Server služba Active Directory scenarier.

Information om hur du roterar Kerberos-nycklarna för ett lagringskonto finns i Uppdatera lösenordet för din lagringskontoidentitet i AD DS.

Portal

Gå till önskat lagringskonto i Azure-portalen. I innehållsförteckningen för det önskade lagringskontot väljer du Åtkomstnycklar under rubriken Säkerhet + nätverk . I fönstret Åtkomstnyckel väljer du Rotera nyckel ovanför önskad nyckel.

PowerShell

Följande skript roterar båda nycklarna för lagringskontot. Om du vill växla ut nycklar under rotationen måste du ange ytterligare logik i skriptet för att hantera det här scenariot. Ersätt <resource-group> och <storage-account> med lämpliga värden för din miljö.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key1"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key2"

Azure CLI

Följande skript roterar båda nycklarna för lagringskontot. Om du vill växla ut nycklar under rotationen måste du ange ytterligare logik i skriptet för att hantera det här scenariot. Ersätt <resource-group> och <storage-account> med lämpliga värden för din miljö.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "primary"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "secondary"

Ange API-behörigheter för ett nyligen skapat program

När du har aktiverat Microsoft Entra Kerberos-autentisering måste du uttryckligen ge administratörsmedgivande till det nya Microsoft Entra-programmet som registrerats i din Microsoft Entra klientorganisation för att slutföra konfigurationen. Du kan konfigurera API-behörigheterna från Azure-portalen genom att följa dessa steg.

1. Öppna Microsoft Entra ID.
2. Välj App registrations i det vänstra fönstret.
3. Välj Alla program i den högra rutan.
4. Välj programmet med namnet som matchar [Lagringskonto] $storageAccountName.file.core.windows.net.
5. Välj API-behörigheter i det vänstra fönstret.
6. Välj Lägg till behörigheter längst ned på sidan.
7. Välj Bevilja administratörsmedgivande för "DirectoryName".

Potentiella fel vid aktivering av Microsoft Entra Kerberos-autentisering

Du kan stöta på följande fel när du aktiverar Microsoft Entra Kerberos-autentisering.

Fel – Bevilja administratörsmedgivande inaktiverat

I vissa fall kan Microsoft Entra administratör inaktivera möjligheten att bevilja administratörsmedgivande till Microsoft Entra program. Här är en skärmbild av hur detta ser ut i Azure portalen.

Om det här villkoret finns ber du Entra-administratören att bevilja administratörsmedgivande till det nya Entra-programmet. Om du vill hitta och visa dina administratörer väljer du roller och administratörer och sedan Molnprogramadministratör.

Fel – "Begäran till Microsoft Graph misslyckades med felkoden BadRequest"

Orsak 1: En programhanteringsprincip förhindrar att autentiseringsuppgifter skapas

När du aktiverar Microsoft Entra Kerberos-autentisering kan det här felet uppstå om du (eller administratören) anger en princip för tenant-wide eller en application management policy som:

• Gäller för företagsprogrammet "Lagringsresursprovider" (app-ID a6aa9161-5291-40bb-8c5c-923b567bee3b).
• Anger en begränsning av tjänstens huvudnamnslösenord, som antingen blockerar lösenordstillägg eller begränsar den maximala livslängden för lösenord till mindre än 365,5 dagar.

Lös det här felet genom att konfigurera den felaktiga principen för att bevilja ett undantag till företagsprogrammet "Lagringsresursprovider" (app-ID a6aa9161-5291-40bb-8c5c-923b567bee3b).

Orsak 2: Det finns redan ett program för lagringskontot

Du kan också stöta på det här felet om du tidigare har aktiverat Microsoft Entra Kerberos-autentisering via manuella, begränsade förhandsgranskningssteg. Om du vill ta bort det befintliga programmet kan kunden eller it-administratören köra följande skript. När du kör det här skriptet tar du bort det gamla manuellt skapade programmet och gör att den nya upplevelsen kan skapa och hantera det nyligen skapade programmet automatiskt. När du har initierat anslutningen till Microsoft Graph loggar du in på programmet Microsoft Graph Kommandoradsverktyg på enheten och beviljar behörigheter till appen.

$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"

$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
   Remove-MgApplication -ObjectId $application.ObjectId
}

Fel – Lösenordet för tjänstens huvudnamn har upphört att gälla i Microsoft Entra ID

Om du tidigare har aktiverat Microsoft Entra Kerberos-autentisering via manuella begränsade förhandsversionssteg upphör lösenordet för lagringskontots tjänsthuvudnamn att gälla var sjätte månad. När lösenordet upphör att gälla kan användarna inte få Kerberos-biljetter för att komma åt filresursen.

För att åtgärda det här problemet kan du antingen rotera lösenordet för tjänstens huvudnamn i Microsoft Entra ID var sjätte månad eller följa dessa steg för att inaktivera Microsoft Entra Kerberos, ta bort det befintliga programmet och konfigurera om Microsoft Entra Kerberos.

Se till att spara domänegenskaper (domainName och domainGUID) innan du inaktiverar Microsoft Entra Kerberos, eftersom du behöver dem under omkonfigurationen om du vill konfigurera katalog- och filnivåbehörigheter med hjälp av Windows Utforskaren. Om du inte sparade domänegenskaper kan du fortfarande konfigurera behörigheter på katalog-/filnivå med hjälp av icacls som en lösning.

1. Inaktivera Microsoft Entra Kerberos
2. Ta bort det befintliga programmet
3. Omkonfigurera Microsoft Entra Kerberos via Azure Portal

När du konfigurerar om Microsoft Entra Kerberos skapar och hanterar den nya upplevelsen det nyskapade programmet automatiskt.

Fel 1326 – Användarnamnet eller lösenordet är felaktigt när du använder privat länk

Om du ansluter till ett lagringskonto via en privat slutpunkt med hjälp av Microsoft Entra Kerberos-autentisering uppmanas du att ange autentiseringsuppgifter när du försöker montera en filresurs med hjälp av net use eller någon annan metod. Om du anger dina autentiseringsuppgifter avvisas autentiseringsuppgifterna.

Orsak

Det här felet beror på att SMB-klienten försöker använda Kerberos men misslyckas, så det återgår till att använda NTLM-autentisering. Azure Files stöder inte användning av NTLM-autentisering för domänautentiseringsuppgifter. Klienten kan inte hämta en Kerberos-biljett till lagringskontot eftersom det privata länk-FQDN inte är registrerat i något befintligt Entra-program.

Lösning

Lägg till privateLink-FQDN:en i lagringskontots Entra-program innan du monterar filresursen. Du kan lägga till de obligatoriska identifierUris i programobjektet genom att använda Azure-portalen och följa de här stegen:

1. Öppna Microsoft Entra ID.

2. Välj App registrations i det vänstra fönstret.

3. Välj Alla program.

4. Välj programmet med namnet som matchar [Lagringskonto] $storageAccountName.file.core.windows.net.

5. Välj Manifest i den vänstra rutan.

6. Kopiera och klistra in det befintliga innehållet så att du har en duplicerad kopia.

7. Redigera JSON-manifestet. Lägg till en motsvarande <storageAccount>.file.core.windows.net post för varje <storageAccount>.privatelink.file.core.windows.net post. Om manifestet till exempel har följande värde för identifierUris:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net"
   ],
   

   Redigera sedan fältet identifierUris till följande:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net",
   
       "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net",
       "HOST/<storageaccount>.privatelink.file.core.windows.net",
       "CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "HTTP/<storageaccount>.privatelink.file.core.windows.net"
   ],
   

8. Granska innehållet och välj Spara för att uppdatera programobjektet med den nya identifierarenUris.

9. Uppdatera eventuella interna DNS-referenser så att de pekar på den privata länken.

10. Försök att ansluta delningen igen.

Tillfälliga autentiseringsfel efter nätverksändringar när du använder Microsoft Entra Kerberos

Symtom

Windows klienter som använder Microsoft Entra Kerberos-autentisering för att komma åt Azure Files tillfälligt förlora åtkomst efter en nätverksändring (till exempel VPN-återanslutning, Wi-Fi ändra, viloläge eller återuppta). Åtkomsten kan misslyckas tills användaren loggar ut och loggar in igen på Windows.

Orsak

Det här problemet inträffar på grund av ett känt Windows beteende. Vissa nätverksändringar rensar den cachelagrade KDC-proxykonfigurationen på klienten. När KDC-proxykonfigurationen tas bort kan klienten inte uppdatera Kerberos-tjänstbiljetter från Microsoft Entra ID.

Även om användarens primära uppdateringstoken (PRT) förblir giltig hindrar den saknade KDC-proxykonfigurationen klienten från att få en ny tjänstbiljett, så autentiseringen misslyckas.

Den här begränsningen gäller för den Windows klienten. Azure Files eller Microsoft Entra ID konfigurationen orsakar inte det här problemet.

Lösning

Option one: Logga ut och logga in igen till Windows för att återställa åtkomsten genom att hämta en ny PRT, som innehåller en uppdaterad Ticket Granting Ticket (TGT) och KDC-proxykonfiguration. Den här processen resulterar dock i en dålig användarupplevelse.

Alternativ två: Konfigurera en grupprincipinställning för att spara KDC-proxykonfigurationen på klienten, vilket minskar autentiseringsavbrott som orsakas av nätverksändringar.

1. Konfigurera KDC-proxyinställningar med hjälp av grupprincip.

2. Öppna Grupprinciphantering och redigera den tillämpliga policyn.

3. Gå till Administrationsmallar>System>Kerberos>Ange KDC-proxyservrar för Kerberos-klienter.

4. Välj Aktiverad.

5. Under Alternativ väljer du Visa för att öppna dialogrutan Visa innehåll.

6. Lägg till följande mappning och ersätt Microsoft_Entra_tenant_id med ditt Microsoft Entra klient-ID. Inkludera utrymmet efter https och före stängningen /.

   Värdenamn	Värde
   KERBEROS.MICROSOFTONLINE.COM	<https login.microsoftonline.com:443:your_Microsoft_Entra_tenant_id/kerberos />

7. Välj OK och välj sedan Använd.

När du har tillämpat den här principen behåller Windows klienter KDC-proxykonfigurationen över nätverksändringar, vilket minskar autentiseringsstörningarna.

Autentiseringen stoppas efter cirka 10 timmar när du använder Microsoft Entra Kerberos

Symtom

Windows klienter som använder Microsoft Entra Kerberos-autentisering för att komma åt Azure Files förlora åtkomst efter cirka 10 timmars kontinuerlig användning. Åtkomsten återställs först när användaren loggar ut och loggar in igen på Windows.

Orsak

Det här problemet beror på en känd begränsning i Microsoft Entra Kerberos-autentisering. Microsoft Entra ID stöder för närvarande inte att förnya Ticket Granting Tickets (TGT).

I Microsoft Entra Kerberos-scenarier hämtar användaren TGT som en del av sin primära uppdateringstoken (PRT). Eftersom TGT-förnyelse inte stöds kan klienten inte uppdatera TGT när den har upphört att gälla. När TGT upphör att gälla kan klienten inte få nya serviceärenden, vilket orsakar autentiseringsfel.

Att logga ut från och sedan logga in igen i Windows löser problemet genom att du får en ny PRT, som innehåller en ny TGT. Detta är en känd begränsning för Microsoft Entra Kerberos och orsakas inte av Azure Files konfiguration.

Lösning

Som en riskreducerande åtgärd konfigurerar du en molnförtroenderelation mellan lokala Doménové služby Active Directory (AD DS) och Microsoft Entra ID när du använder Azure Files.

När du konfigurerar ett molnförtroende får Windows klienter sin TGT från AD DS i stället för Microsoft Entra ID. TGT:er som utfärdats av AD DS kan förnyas, så du undviker problemet med utgångna biljetter som uppstår med Entra Kerberos. Den TGT som utfärdats av AD DS byts därefter mot en Entra-referens-TGT, som används för att hämta tjänstbiljetter för Azure Files.

Den här åtgärden gäller endast för klienter som är:

• AD DS-domänansluten, eller
• Hybrid Microsoft Entra ansluten
• Molnbaserade klienter (endast Microsoft Entra) kan inte använda den här lösningen.

Om du vill tillämpa den här åtgärden konfigurerar du ett molnförtroende mellan lokal AD DS och Microsoft Entra ID för åtkomst till Azure Files. Stegvis vägledning finns i Konfigurera ett molnförtroende för Azure Files autentisering.

Fel AADSTS50105

Symtom

Begäran avbröts av följande fel AADSTS50105:

Administratören konfigurerade programmet "Företagsprogramnamn" för att blockera användare såvida de inte uttryckligen beviljas (tilldelad) åtkomst till programmet. Den inloggade användaren {EmailHidden} blockeras eftersom de inte är direkt medlem i en grupp med åtkomst och inte heller har tilldelats direkt av en administratör. Kontakta administratören för att tilldela åtkomst till det här programmet.

Orsak

Om du konfigurerar tilldelning som krävs för motsvarande företagsprogram kan du inte få en Kerberos-biljett. Inloggningsloggar i Entra visar ett fel trots att användare eller grupper har tilldelats till programmet.

Lösning

Välj inte Tilldelning krävs för Microsoft Entra program för lagringskontot eftersom processen inte fyller i rättigheter i Kerberos-biljetten som returneras till beställaren. Mer information finns i Fel AADSTS50105 – Den inloggade användaren har inte tilldelats någon roll för programmet.

Se även

• Felsöka Azure Files
• Felsöka prestanda på Azure Files
• Felsöka anslutningsproblem med Azure Files (SMB)
• Felsöka Azure Files allmänna SMB-problem i Linux
• Felsöka Azure Files allmänna NFS-problem i Linux
• Felsöka problem med Azure File Sync