Azure Dosyalar kimlik tabanlı kimlik doğrulaması ve yetkilendirme sorunlarını giderme (SMB)

Bu makalede, kimlik tabanlı kimlik doğrulaması ile SMB Azure dosya paylaşımları kullanılırken karşılaşılan yaygın sorunlar listelenir. Ayrıca bu sorunların olası nedenlerini ve çözümlerini sağlar. Kimlik tabanlı kimlik doğrulaması şu anda NFS Azure dosya paylaşımları için desteklenmiyor.

Uygulandığı öğe

Dosya paylaşımı türü	SMB	NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS
Standart dosya paylaşımları (GPv2), GRS/GZRS
Premium dosya paylaşımları (FileStorage), LRS/ZRS

AzFilesHybrid modülünü çalıştırırken hata oluştu

AzFilesHybrid modülünü çalıştırmaya çalıştığınızda aşağıdaki hatayı alabilirsiniz:

Gerekli ayrıcalık istemci tarafından tutulmaz.

Neden: AD izinleri yetersiz

Modülü çalıştırmak için gerekli Active Directory (AD) izinlerine sahip olmadığınız için bu sorun oluşur.

Çözüm

Gerekli ayrıcalıkları sağlamak için AD ayrıcalıklarına bakın veya AD yöneticinize başvurun.

Azure dosya paylaşımını bağlarken hata 5

Bir dosya paylaşımını bağlamaya çalıştığınızda aşağıdaki hatayı alabilirsiniz:

Sistem hatası 5 oluştu. Erişim reddedildi.

Neden: Paylaşım düzeyi izinleri yanlış

Son kullanıcılar Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Domain Services kimlik doğrulamasını kullanarak Azure dosya paylaşımına erişiyorsa, paylaşım düzeyi izinler yanlışsa dosya paylaşımına erişim "Erişim reddedildi" hatasıyla başarısız olur.

Not

Bu hata, yanlış paylaşım düzeyi izinleri dışındaki sorunlardan kaynaklanıyor olabilir. Diğer olası nedenler ve çözümler hakkında bilgi için bkz. Azure Dosyalar bağlantı ve erişim sorunlarını giderme.

Çözüm

İzinlerin doğru yapılandırıldığını doğrulayın:

• Active Directory Etki Alanı Hizmetleri (AD DS) bkz . Paylaşım düzeyi izinleri atama.

  Paylaşım düzeyi izin atamaları, AD DS'den Microsoft Entra Connect Sync veya Microsoft Entra Connect bulut eşitlemesi kullanılarak Microsoft Entra ID'ye eşitlenen gruplar ve kullanıcılar için desteklenir. Paylaşım düzeyi izinlerine atanan grupların ve kullanıcıların desteklenmeyen "yalnızca bulut" grupları olmadığını onaylayın.

• Microsoft Entra Domain Services bkz. Paylaşım düzeyi izinleri atama.

Azure Dosyalar için Microsoft Entra Domain Services kimlik doğrulamasını etkinleştirmede AadDsTenantNotFound hatası "Microsoft Entra kiracı kimliği kiracı kimliğine sahip etkin kiracılar bulunamıyor"

Neden

AadDsTenantNotFound hatası, ilişkili aboneliğin Microsoft Entra kiracısı üzerinde Microsoft Entra Domain Services'ın oluşturulmadığı bir depolama hesabında Azure Dosyalar için Microsoft Entra Domain Services kimlik doğrulamasını etkinleştirmeye çalıştığınızda oluşur.

Çözüm

Depolama hesabınızın dağıtılacağı aboneliğin Microsoft Entra kiracısı üzerinde Microsoft Entra Domain Services'ı etkinleştirin. Yönetilen etki alanı oluşturmak için Microsoft Entra kiracısının yönetici ayrıcalıklarına ihtiyacınız vardır. Microsoft Entra kiracısının yöneticisi değilseniz, yöneticiye başvurun ve Microsoft Entra Domain Services tarafından yönetilen etki alanı oluşturmak ve yapılandırmak için adım adım kılavuzu izleyin.

Azure dosya paylaşımları AD kimlik bilgileriyle bağlanamıyor

Kendi kendine tanılama adımları

İlk olarak, Azure Dosyalar AD DS Kimlik Doğrulamasını etkinleştirme adımlarını izlediğinize emin olun.

İkincisi, Azure dosya paylaşımını depolama hesabı anahtarıyla bağlamayı deneyin. Paylaşım bağlanamıyorsa istemcinin çalıştığı ortamı doğrulamanıza yardımcı olması için AzFileDiagnostics'i indirin. AzFileDiagnostics, Azure Dosyalar için erişim hatasına neden olabilecek uyumsuz istemci yapılandırmalarını algılayabilir, kendi kendine düzeltme konusunda açıklayıcı yönergeler verebilir ve tanılama izlemelerini toplayabilir.

Üçüncüsü, oturum açmış AD kullanıcısı ile AD yapılandırmanızda bir dizi temel denetim gerçekleştirmek için cmdlet'ini çalıştırabilirsiniz Debug-AzStorageAccountAuth . Bu cmdlet AzFilesHybrid v0.1.2+ sürümünde desteklenir. Bu cmdlet'i hedef depolama hesabında sahip izni olan bir AD kullanıcısı ile çalıştırmanız gerekir.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Cmdlet bu denetimleri sırayla gerçekleştirir ve hatalar için rehberlik sağlar:

1. CheckADObjectPasswordIsCorrect: Depolama hesabını temsil eden AD kimliğinde yapılandırılan parolanın, depolama hesabı kerb1 veya kerb2 anahtarıyla eşlendiğinden emin olun. Parola yanlışsa, parolayı sıfırlamak için Update-AzStorageAccountADObjectPassword komutunu çalıştırabilirsiniz.
2. CheckADObject: Active Directory'de depolama hesabını temsil eden ve doğru SPN'ye (hizmet sorumlusu adı) sahip bir nesne olduğunu onaylayın. SPN doğru ayarlanmamışsa, SPN'yi yapılandırmak için hata ayıklama cmdlet'inde döndürülen cmdlet'i çalıştırın Set-AD .
3. CheckDomainJoined: İstemci makinesinin AD'ye etki alanına katılmış olduğunu doğrulayın. Makineniz AD'ye katılmamışsa etki alanına katılma yönergeleri için Bir Bilgisayarı Etki Alanına Ekleme bölümüne bakın.
4. CheckPort445Connectivity: SMB bağlantısı için 445 numaralı bağlantı noktasının açık olup olmadığını denetleyin. Bağlantı noktası 445 açık değilse Azure Dosyalar ile ilgili bağlantı sorunları için AzFileDiagnostics sorun giderme aracına bakın.
5. CheckSidHasAadUser: Oturum açan AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini denetleyin. Belirli bir AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğine bakmak istiyorsanız giriş parametrelerinde ve -Domain değerini belirtebilirsiniz-UserName. Belirli bir SID için ilişkili bir Microsoft Entra kullanıcısı olup olmadığını denetler.
6. CheckAadUserHasSid: Oturum açan AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini denetleyin. Belirli bir AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğine bakmak istiyorsanız giriş parametrelerinde ve -Domain değerini belirtebilirsiniz-UserName. Belirli bir Microsoft Entra kullanıcısı için SID'sini denetler. Bu denetimi çalıştırmak için, Microsoft Entra kullanıcısının -ObjectId nesne kimliğiyle birlikte parametresini sağlamanız gerekir.
7. CheckGetKerberosTicket: Depolama hesabına bağlanmak için bir Kerberos bileti almayı deneme. Geçerli bir Kerberos belirteci yoksa, cmdlet'ini klist get cifs/storage-account-name.file.core.windows.net çalıştırın ve hata kodunu inceleyerek anahtar alma hatasının nedenini belirleyin.
8. CheckStorageAccountDomainJoined: AD kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini ve hesabın AD özelliklerinin doldurulup doldurulmadığını denetleyin. Aksi takdirde Azure Dosyalar'da AD DS kimlik doğrulamasını etkinleştirin.
9. CheckUserRbacAssignment: AD kimliğinin Azure Dosyalar'a erişmek için paylaşım düzeyinde izinler sağlamak için uygun RBAC rol atamasına sahip olup olmadığını denetleyin. Aksi takdirde , paylaşım düzeyi iznini yapılandırın. (AzFilesHybrid v0.2.3+ sürümünde desteklenir)
10. CheckUserFileAccess: AD kimliğinin Azure Dosyalar'a erişmek için uygun dizin/dosya iznine (Windows ACL'leri) sahip olup olmadığını denetleyin. Aksi takdirde dizin/dosya düzeyi iznini yapılandırın. Bu denetimi çalıştırmak için, erişim hatalarını ayıklamak -FilePath istediğiniz bağlı dosyanın yolu ile birlikte parametresini sağlamanız gerekir. (AzFilesHybrid v0.2.3+ sürümünde desteklenir)
11. CheckAadKerberosRegistryKeyIsOff: Microsoft Entra Kerberos kayıt defteri anahtarının kapalı olup olmadığını denetleyin. Anahtar açıksa, yükseltilmiş bir komut isteminden çalıştırarak reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0 kapatın ve ardından makinenizi yeniden başlatın. (AzFilesHybrid v0.2.9+ sürümünde desteklenir)

Yalnızca önceki denetimlerin bir alt kısmını çalıştırmak istiyorsanız, çalıştırılacak denetimlerin -Filter virgülle ayrılmış listesiyle birlikte parametresini kullanabilirsiniz. Örneğin, paylaşım düzeyi izinlerle (RBAC) ilgili tüm denetimleri çalıştırmak için aşağıdaki PowerShell cmdlet'lerini kullanın:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -Filter CheckSidHasAadUser,CheckUserRbacAssignment `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

üzerinde bağlı dosya paylaşımınız X:varsa ve yalnızca dosya düzeyi izinlerle (Windows ACL'leri) ilgili denetimi çalıştırmak istiyorsanız, aşağıdaki PowerShell cmdlet'lerini çalıştırabilirsiniz:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"

Debug-AzStorageAccountAuth `
    -Filter CheckUserFileAccess `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -FilePath $FilePath `
    -Verbose

Microsoft Entra Kerberos ile Azure dosya paylaşımları bağlanamıyor

Kendi kendine tanılama adımları

İlk olarak, Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme adımlarını izlediğinize emin olun.

İkincisi, bir dizi temel denetim gerçekleştirmek için cmdlet'ini çalıştırabilirsiniz Debug-AzStorageAccountAuth . Bu cmdlet, AzFilesHybrid v0.3.0+ sürümünde Microsoft Entra Kerberos kimlik doğrulaması için yapılandırılmış depolama hesapları için desteklenir.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Cmdlet bu denetimleri sırayla gerçekleştirir ve hatalar için rehberlik sağlar:

1. CheckPort445Connectivity: SMB bağlantısı için 445 numaralı bağlantı noktasının açık olup olmadığını denetleyin. Bağlantı noktası 445 açık değilse, Azure Dosyalar ile ilgili bağlantı sorunları için AzFileDiagnostics sorun giderme aracını kullanın.
2. CheckAADConnectivity: Entra bağlantısını denetleyin. İstemci Entra'ya ulaşamazsa Kerberos kimlik doğrulamasına sahip SMB bağlamaları başarısız olabilir. Bu denetim başarısız olursa bir ağ hatası (güvenlik duvarı veya VPN sorunu olabilir) olduğunu gösterir.
3. CheckEntraObject: Entra'da depolama hesabını temsil eden ve doğru hizmet asıl adına (SPN) sahip bir nesne olduğunu onaylayın. SPN doğru ayarlanmamışsa depolama hesabında Entra Kerberos kimlik doğrulamasını devre dışı bırakın ve yeniden etkinleştirin.
4. CheckRegKey: Kayıt defteri anahtarının CloudKerberosTicketRetrieval etkinleştirilip etkinleştirilmediğini denetleyin. Bu kayıt defteri anahtarı Entra Kerberos kimlik doğrulaması için gereklidir.
5. CheckRealmMap: Kullanıcının hesabı yerine başka bir Kerberos KERBEROS.MICROSOFTONLINE.COMbölgesiyle birleştirecek bölge eşlemeleri yapılandırıp yapılandırmadığını denetleyin.
6. CheckAdminConsent: Kerberos bileti almak için gereken Microsoft Graph izinleri için Entra hizmet sorumlusuna yönetici onayı verilip verilmediğini denetleyin.

Yalnızca önceki denetimlerin bir alt kısmını çalıştırmak istiyorsanız, çalıştırılacak denetimlerin -Filter virgülle ayrılmış listesiyle birlikte parametresini kullanabilirsiniz.

Windows Dosya Gezgini ile dizin/dosya düzeyi izinleri (Windows ACL'leri) yapılandırılamıyor

Belirti

Bağlı bir dosya paylaşımında Dosya Gezgini ile Windows ACL'lerini yapılandırmaya çalışırken aşağıda açıklanan belirtilerden biriyle karşılaşabilirsiniz:

• Güvenlik sekmesinin altındaki İzni düzenle'ye tıkladıktan sonra İzin sihirbazı yüklenmez.
• Yeni bir kullanıcı veya grup seçmeye çalıştığınızda, etki alanı konumu doğru AD DS etki alanını görüntülemez.
• Birden çok AD ormanı kullanıyorsunuz ve şu hata iletisini alıyorsunuz: "Aşağıdaki etki alanlarında seçili nesneleri bulmak için gereken Active Directory etki alanı denetleyicileri kullanılamıyor. Active Directory etki alanı denetleyicilerinin kullanılabilir olduğundan emin olun ve nesneleri yeniden seçmeyi deneyin."

Çözüm

Windows Dosya Gezgini yerine icacl'leri kullanarak dizin/dosya düzeyi izinlerini yapılandırmanızı öneririz.

Join-AzStorageAccountForAuth cmdlet'ini çalıştırırken oluşan hatalar

Hata: "Dizin hizmeti göreli tanımlayıcı ayıramadı"

RID Yöneticisi FSMO rolünü barındıran bir etki alanı denetleyicisi kullanılamıyorsa veya etki alanından kaldırılıp yedekten geri yüklendiyse bu hata oluşabilir. Tüm Etki Alanı Denetleyicilerinin çalıştığını ve kullanılabilir olduğunu onaylayın.

Hata: "Ad verilmediğinden konumsal parametreler bağlanamıyor"

Bu hata büyük olasılıkla komuttaki bir söz dizimi hatasıyla Join-AzStorageAccountforAuth tetikleniyor. Yanlış yazımlar veya söz dizimi hataları için komutu denetleyin ve AzFilesHybrid modülünün (https://github.com/Azure-Samples/azure-files-samples/releases) en son sürümünün yüklü olduğunu doğrulayın.

AES-256 Kerberos şifrelemesi için şirket içi Azure Dosyalar AD DS Kimlik Doğrulaması desteği

Azure Dosyalar, AzFilesHybrid modülü v0.2.2 ile başlayarak AD DS kimlik doğrulaması için AES-256 Kerberos şifrelemesini destekler. AES-256 önerilen şifreleme yöntemidir ve AzFilesHybrid modülü v0.2.5 ile başlayan varsayılan şifreleme yöntemidir. v0.2.2'den düşük bir modül sürümüyle AD DS kimlik doğrulamasını etkinleştirdiyseniz en son AzFilesHybrid modülünü indirmeniz ve aşağıdaki PowerShell'i çalıştırmanız gerekir. Depolama hesabınızda AD DS kimlik doğrulamayı henüz etkinleştirmediyseniz bu kılavuzu izleyin.

Önemli

Daha önce RC4 şifrelemesi kullandıysanız ve depolama hesabını AES-256 kullanacak şekilde güncelleştirdiyseniz, istemcide çalıştırıp klist purge AES-256 ile yeni Kerberos anahtarları almak için dosya paylaşımını yeniden bağlamanız gerekir.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName

Güncelleştirmenin bir parçası olarak cmdlet, AES-256'ya geçmek için gereken Kerberos anahtarlarını döndürür. Her iki parolayı da yeniden oluşturmak istemediğiniz sürece geri dönmenize gerek yoktur.

Daha önce Sahip veya Katkıda Bulunan rol ataması olan kullanıcı kimliğinin depolama hesabı anahtarı erişimi hala var

Depolama hesabı Sahibi ve Katkıda Bulunan rolleri, depolama hesabı anahtarlarını listeleme olanağı verir. Depolama hesabı anahtarı, dosya paylaşımları, blob kapsayıcıları, tablolar ve kuyruklar dahil olmak üzere depolama hesabının verilerine tam erişim sağlar ve FileREST API'si aracılığıyla kullanıma sunulan eski yönetim API'leri aracılığıyla Azure Dosyalar yönetim işlemlerine sınırlı erişim sağlar. Rol atamalarını değiştiriyorsanız, Sahip veya Katkıda Bulunan rollerinden kaldırılan kullanıcıların kayıtlı depolama hesabı anahtarları aracılığıyla depolama hesabına erişimi sürdürmeye devam edebilir.

Çözüm 1

Depolama hesabı anahtarlarını döndürerek bu sorunu kolayca çözebilirsiniz. Anahtarları birer birer döndürmenizi ve döndürüldükçe erişimi birinden diğerine geçirmenizi öneririz. Depolama hesabının sağladığı iki tür paylaşılan anahtar vardır: depolama hesabının verilerine süper yönetici erişimi sağlayan depolama hesabı anahtarları ve depolama hesabı ile Windows Server Active Directory senaryoları için Windows Server Active Directory etki alanı denetleyicisi arasında paylaşılan bir gizli dizi işlevi gören Kerberos anahtarları.

Depolama hesabının Kerberos anahtarlarını döndürmek için bkz. AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme.

Portal

Azure portalında istediğiniz depolama hesabına gidin. İstenen depolama hesabının içindekiler tablosunda Güvenlik + ağ başlığı altında Erişim anahtarları'nı seçin. Erişim tuşu bölmesinde, istenen anahtarın üstündeki Anahtarı döndür'ü seçin.

PowerShell

Aşağıdaki betik, depolama hesabı için her iki anahtarı da döndürür. Döndürme sırasında anahtarları değiştirmek istiyorsanız, bu senaryoyu işlemek için betiğinizde ek mantık sağlamanız gerekir. ve <storage-account> değerlerini ortamınız için uygun değerlerle değiştirmeyi <resource-group> unutmayın.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key1"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key2"

Azure CLI

Aşağıdaki betik, depolama hesabı için her iki anahtarı da döndürür. Döndürme sırasında anahtarları değiştirmek istiyorsanız, bu senaryoyu işlemek için betiğinizde ek mantık sağlamanız gerekir. ve <storage-account> değerlerini ortamınız için uygun değerlerle değiştirmeyi <resource-group> unutmayın.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "primary"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "secondary"

Yeni oluşturulan bir uygulamada API izinlerini ayarlama

Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirdikten sonra, yapılandırmanızı tamamlamak için Microsoft Entra kiracınızda kayıtlı yeni Microsoft Entra uygulamasına açıkça yönetici onayı vermeniz gerekir. Aşağıdaki adımları izleyerek Azure portalından API izinlerini yapılandırabilirsiniz.

1. Microsoft Entra Id'yi açın.
2. Sol bölmede Uygulama kayıtları'nı seçin.
3. Sağ bölmede Tüm Uygulamalar'ı seçin.
4. Adı [Depolama Hesabı] $storageAccountName.file.core.windows.net ile eşleşen uygulamayı seçin.
5. Sol bölmede API izinleri'ni seçin.
6. Sayfanın alt kısmındaki İzin ekle'yi seçin.
7. "DirectoryName" için yönetici onayı ver'i seçin.

Karma kullanıcılar için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken olası hatalar

Karma kullanıcı hesapları için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken aşağıdaki hatalarla karşılaşabilirsiniz.

Hata - Yönetici onayı verme devre dışı bırakıldı

Bazı durumlarda, Microsoft Entra yöneticisi Microsoft Entra uygulamalarına yönetici onayı verme özelliğini devre dışı bırakabilir. Bunun Azure portalında nasıl görünebileceğinin ekran görüntüsü aşağıdadır.

Böyle bir durumda, Microsoft Entra yöneticinizden yeni Microsoft Entra uygulamasına yönetici onayı vermesini isteyin. Yöneticilerinizi bulmak ve görüntülemek için roller ve yöneticiler'i ve ardından Bulut uygulaması yöneticisi'ni seçin.

Hata - "Azure AD Graph isteği BadRequest koduyla başarısız oldu"

Neden 1: Uygulama yönetimi ilkesi kimlik bilgilerinin oluşturulmasını engelliyor

Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken, aşağıdaki koşullar karşılanırsa bu hatayla karşılaşabilirsiniz:

1. Uygulama yönetimi ilkelerinin beta/önizleme özelliğini kullanıyorsunuz.
2. Siz (veya yöneticiniz) kiracı genelinde şu ilkeyi ayarladınız:
   • Başlangıç tarihi yok veya 1 Ocak 2019'a kadar bir başlangıç tarihi var.
   • Özel parolalara izin vermeyen veya en fazla 365,5 günden daha az parola ömrü ayarlayan hizmet sorumlusu parolalarına yönelik bir kısıtlama ayarlar.

Şu anda bu hata için geçici bir çözüm yoktur.

Neden 2: Depolama hesabı için bir uygulama zaten var

Daha önce el ile sınırlı önizleme adımları aracılığıyla Microsoft Entra Kerberos kimlik doğrulamayı etkinleştirdiyseniz de bu hatayla karşılaşabilirsiniz. Mevcut uygulamayı silmek için müşteri veya BT yöneticisi aşağıdaki betiği çalıştırabilir. Bu betiği çalıştırmak, el ile oluşturulan eski uygulamayı kaldırır ve yeni deneyimin yeni oluşturulan uygulamayı otomatik olarak oluşturmasına ve yönetmesine olanak sağlar. Microsoft Graph bağlantısını başlatdıktan sonra cihazınızdaKi Microsoft Graph Komut Satırı Araçları uygulamasında oturum açın ve uygulamaya izin verin.

$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"

$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
   Remove-MgApplication -ObjectId $application.ObjectId
}

Hata - Microsoft Entra Id'de hizmet sorumlusu parolasının süresi doldu

El ile sınırlı önizleme adımları aracılığıyla Microsoft Entra Kerberos kimlik doğrulamasını daha önce etkinleştirdiyseniz, depolama hesabının hizmet sorumlusunun parolasının süresi altı ayda bir dolacak şekilde ayarlanır. Parolanın süresi dolduktan sonra kullanıcılar dosya paylaşımına Kerberos biletleri alamaz.

Bunu azaltmak için iki seçeneğiniz vardır: Microsoft Entra'da hizmet sorumlusu parolasını altı ayda bir döndürün veya Microsoft Entra Kerberos'u devre dışı bırakmak, mevcut uygulamayı silmek ve Microsoft Entra Kerberos'u yeniden yapılandırmak için bu adımları izleyin.

Microsoft Entra Kerberos'u devre dışı bırakmadan önce etki alanı özelliklerini (domainName ve domainGUID) kaydettiğinizden emin olun, çünkü Windows Dosya Gezgini'ni kullanarak dizin ve dosya düzeyinde izinleri yapılandırmak istiyorsanız yeniden yapılandırma sırasında bunlara ihtiyacınız olacaktır. Etki alanı özelliklerini kaydetmediyseniz, geçici bir çözüm olarak icacl'leri kullanarak dizin/dosya düzeyi izinleri yapılandırmaya devam edebilirsiniz.

1. Microsoft Entra Kerberos'u devre dışı bırakma
2. Mevcut uygulamayı silme
3. Azure portalı aracılığıyla Microsoft Entra Kerberos'u yeniden yapılandırma

Microsoft Entra Kerberos'u yeniden yapılandırdıktan sonra, yeni deneyim yeni oluşturulan uygulamayı otomatik olarak oluşturur ve yönetir.

Hata 1326 - Özel bağlantı kullanılırken kullanıcı adı veya parola yanlış

Microsoft Entra Kerberos kimlik doğrulamasını kullanarak özel uç nokta/özel bağlantı üzerinden depolama hesabına bağlanıyorsanız, veya başka bir yöntem aracılığıyla net use dosya paylaşımını bağlamaya çalıştığınızda istemciden kimlik bilgileri istenir. Kullanıcı büyük olasılıkla kimlik bilgilerini yazar, ancak kimlik bilgileri reddedilir.

Neden

Bunun nedeni SMB istemcisinin Kerberos kullanmayı denemesi ancak başarısız olmasıdır, bu nedenle NTLM kimlik doğrulamasını kullanmaya geri döner ve Azure Dosyalar etki alanı kimlik bilgileri için NTLM kimlik doğrulamasını kullanmayı desteklemez. Özel bağlantı FQDN'sinin mevcut Microsoft Entra uygulamasına kayıtlı olmadığından istemci depolama hesabına Kerberos bileti alamıyor.

Çözüm

Çözüm, dosya paylaşımını bağlamadan önce privateLink FQDN'sini depolama hesabının Microsoft Entra uygulamasına eklemektir. Aşağıdaki adımları izleyerek Azure portalını kullanarak uygulama nesnesine gerekli identifierUri'leri ekleyebilirsiniz.

1. Microsoft Entra Id'yi açın.

2. Sol bölmede Uygulama kayıtları'nı seçin.

3. Tüm Uygulamalar'ı seçin.

4. Adı [Depolama Hesabı] $storageAccountName.file.core.windows.net ile eşleşen uygulamayı seçin.

5. Sol bölmede Bildirim'i seçin.

6. Kopyanız olması için mevcut içeriği kopyalayıp yapıştırın.

7. JSON bildirimini düzenleyin. Her <storageAccount>.file.core.windows.net giriş için karşılık gelen <storageAccount>.privatelink.file.core.windows.net bir giriş ekleyin. Örneğin, bildiriminiz için identifierUrisaşağıdaki değere sahipse:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net"
   ],
   

   Ardından alanı aşağıdaki şekilde identifierUris düzenlemeniz gerekir:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net",
   
       "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net",
       "HOST/<storageaccount>.privatelink.file.core.windows.net",
       "CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "HTTP/<storageaccount>.privatelink.file.core.windows.net"
   ],
   

8. İçeriği gözden geçirin ve kaydet'i seçerek uygulama nesnesini yeni identifierUris ile güncelleştirin.

9. İç DNS başvurularını özel bağlantıya işaret etmek için güncelleştirin.

10. Paylaşımı bağlamayı yeniden deneyin.

Hata AADSTS50105

İstek aşağıdaki hata AADSTS50105 kesildi:

Yöneticiniz, özellikle uygulamaya erişim izni verilmediği (atanan) kullanıcıları engellemek için "Kurumsal uygulama adı" uygulamasını yapılandırdı. Oturum açan '{EmailHidden}' kullanıcısı erişimi olan bir grubun doğrudan üyesi olmadığından veya yönetici tarafından doğrudan atanmış erişime sahip olmadığından engellendi. Bu uygulamaya erişim atamak için lütfen yöneticinize başvurun.

Neden

İlgili kurumsal uygulama için "atama gerekli" ayarlarsanız Kerberos bileti alamazsınız ve kullanıcılar veya gruplar uygulamaya atanmış olsa bile Microsoft Entra oturum açma günlükleri bir hata gösterir.

Çözüm

İstek sahibine geri döndürülen Kerberos anahtarındaki yetkilendirmeleri doldurmadığımız için depolama hesabı için Microsoft Entra uygulaması için atama gerekli'yi seçmeyin. Daha fazla bilgi için bkz . Hata AADSTS50105 - Oturum açmış kullanıcı uygulama için bir role atanmadı.

Ayrıca bkz.

• Azure Dosyaları sorunlarını giderme
• Azure Dosyalar performansı sorunlarını giderme
• Azure Dosyalar bağlantısı (SMB) sorunlarını giderme
• Linux'ta Azure Dosyalar genel SMB sorunlarını giderme
• Linux'ta Azure Dosyalar genel NFS sorunlarını giderme
• Azure Dosya Eşitleme sorunlarını giderme

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.