kimlik tabanlı kimlik doğrulaması ve yetkilendirme sorunlarını (SMB) Azure Dosyalar giderme

Bu makalede, kimlik tabanlı kimlik doğrulaması ile SMB Azure dosya paylaşımları kullanılırken karşılaşılan yaygın sorunlar listelenir. Ayrıca bu sorunların olası nedenleri ve çözümleri de sağlanır. Kimlik tabanlı kimlik doğrulaması şu anda NFS Azure dosya paylaşımları için desteklenmemaktadır.

Şunlara uygulanır

Dosya paylaşımı türü	Küçük ve Orta Büyüklükteki İşletme (SMB)	Ağ Dosya Sistemi (NFS)
Standart dosya paylaşımları (GPv2), LRS/ZRS
Standart dosya paylaşımları (GPv2), GRS/GZRS
Premium dosya paylaşımları (filestorage), LRS/ZRS

AzFilesHybrid modülünü çalıştırırken hata oluştu

AzFilesHybrid modülünü çalıştırmayı denediğinizde aşağıdaki hatayı alabilirsiniz:

Gerekli bir ayrıcalık istemci tarafından tutulmaz.

Neden: AD izinleri yetersiz

Modülü çalıştırmak için gerekli Active Directory (AD) izinlerine sahip olmadığınız için bu sorun oluşur.

Çözüm

Gerekli ayrıcalıkları sağlamak için AD ayrıcalıklarına bakın veya AD yöneticinize başvurun.

Azure dosya paylaşımını bağlarken hata 5

Bir dosya paylaşımını bağlamaya çalıştığınızda aşağıdaki hatayı alabilirsiniz:

Sistem hatası 5 oluştu. Erişim reddedildi.

Neden: Paylaşım düzeyi izinleri yanlış

Son kullanıcılar kimlik tabanlı kimlik doğrulaması kullanarak Azure dosya paylaşımına erişiyorsa, paylaşım düzeyi izinler yanlışsa dosya paylaşımına erişim "Erişim reddedildi" hatasıyla başarısız olur.

Not

Bu hata, yanlış paylaşım düzeyi izinleri dışındaki sorunlardan kaynaklanıyor olabilir. Diğer olası nedenler ve çözümler hakkında bilgi için bkz. Azure Dosyalar bağlantı ve erişim sorunlarını giderme.

Çözüm

İzinlerin doğru yapılandırıldığını doğrulayın. Bkz. Paylaşım düzeyi izinleri atama.

Azure Dosyalar için Microsoft Entra Etki Alanı Hizmetleri kimlik doğrulamasını etkinleştirirken "Microsoft Entra kiracı kimliğine sahip etkin kiracılar bulunamıyor" hatası

Neden

Microsoft Entra Domain Services'ın ilişkili aboneliğin Microsoft Entra kiracısı üzerinde oluşturulmadığı bir depolama hesabında Azure Dosyalar için Microsoft Entra Domain Services kimlik doğrulamasını etkinleştirmeye çalıştığınızda AadDsTenantNotFound hatası oluşur.

Çözüm

Depolama hesabınızın dağıtıldığı aboneliğin Microsoft Entra kiracısı üzerinde Microsoft Entra Etki Alanı Hizmetleri'ni etkinleştirin. Bir yönetilen etki alanı oluşturmak için Microsoft Entra kiracısının yönetici ayrıcalıklarına sahip olmanız gerekir. Microsoft Entra kiracısının yöneticisi değilseniz, yöneticiye başvurun ve Microsoft Entra Domain Services tarafından yönetilen etki alanı oluşturmak ve yapılandırmak için adım adım yönergeleri izleyin.

Hata: Yeni eklenen tüm URI'ler, doğrulanmış bir kiracı etki alanı, kiracı kimliği veya uygulama kimliği içermelidir.

Neden

Bu hata, Microsoft Entra ID uygulama güvenlik gereksinimlerini karşılamayan bir yeniden yönlendirme URI'si veya tanımlayıcı URI'si eklerken Azure Dosyalar için kimlik tabanlı kimlik doğrulaması yapılandırması sırasında oluşur.

Microsoft Entra ID, uygulama tanımlayıcı URI'leri ve yeniden yönlendirme URI'leri üzerinde kısıtlamalar uygular. Yeni eklenen URI'ler aşağıdakilerden birine başvurmalıdır:

• Kiracı tarafından doğrulanmış özel etki alanı
• Microsoft Entra kiracı kimliği
• Uygulama (istemci) kimliği

URI, doğrulanmamış bir etki alanı, bir .local host adı veya kiracıyla ilişkilendirilmemiş rastgele bir URL kullanıyorsa, varsayılan kiracı ilkesi tarafından istek engellenir.

Bu davranış Microsoft Entra Id tarafından uygulanır ve Azure Dosyalar hizmetine özgü değildir.

Daha fazla bilgi için bkz. Microsoft Entra uygulamalarının tanımlayıcı URI'leri üzerindeki kısıtlamalarYönlendirme URI'si (yanıt URL'si) ana hattı ve kısıtlamalarıMicrosoft Entra Id'nizde özel etki alanı adlarını yönetme

Çözüm

Azure Dosyalar için uygulama kaydını veya kimlik tabanlı kimlik doğrulamasını yapılandırırken, herhangi bir yeniden yönlendirme URI'sinin veya tanımlayıcı URI'sinin desteklenen biçimlerden birini kullandığından emin olun:

• Kiracı tarafından doğrulanan özel bir etki alanı kullanın
• Microsoft Entra kiracı kimliğini kullanma
• Uygulama (istemci) kimliğini kullanma

Doğrulanmamış etki alanları, .local konak adları veya rastgele URL'ler kullanmayın, çünkü bunlar Microsoft Entra ID kiracı ilkesi tarafından reddedilecektir. Kiracınızda hangi etki alanlarının doğrulandığından emin değilseniz, Microsoft Entra yönetim merkezindeki Özel etki alanı adları bölümünü gözden geçirin veya kiracı yöneticinize başvurun.

Azure dosya paylaşımları AD kimlik bilgileriyle bağlanamıyor

Kendi kendine tanılama adımları

İlk olarak, Azure Dosyalar AD DS Kimlik Doğrulamasını etkinleştirme adımlarını izlediğinize emin olun.

İkincisi, Azure dosya paylaşımını depolama hesabı anahtarıyla bağlamayı deneyin. Paylaşım bağlanamıyorsa istemcinin çalıştığı ortamı doğrulamanıza yardımcı olması için AzFileDiagnostics dosyasını indirin. AzFileDiagnostics, Azure Dosyalar için erişim hatasına neden olabilecek uyumsuz istemci yapılandırmalarını algılayabilir, kendi kendine düzeltme hakkında açıklayıcı yönergeler verebilir ve tanılama izlemelerini toplayabilir.

Üçüncüsü, oturum açmış AD kullanıcısıyla Debug-AzStorageAccountAuth AD yapılandırmanızda bir dizi temel denetim gerçekleştirmek için cmdlet'ini çalıştırabilirsiniz. Bu cmdlet AzFilesHybrid v0.1.2+ üzerinde desteklenir.

1. Hedef depolama hesabında sahip izni olan bir AD kullanıcısı olarak Azure PowerShell'de etkileşimli olarak oturum açın:

   Connect-AzAccount
   

2. cmdlet'ini Debug-AzStorageAccountAuth çalıştırın:

   $ResourceGroupName = "<resource-group-name-here>"
   $StorageAccountName = "<storage-account-name-here>"
   
   Debug-AzStorageAccountAuth `
       -StorageAccountName $StorageAccountName `
       -ResourceGroupName $ResourceGroupName `
       -Verbose
   

Cmdlet bu denetimleri sırayla gerçekleştirir ve hatalar için rehberlik sağlar:

1. CheckADObjectPasswordIsCorrect: Depolama hesabını temsil eden AD kimliğinde yapılandırılan parolanın, depolama hesabı kerb1 veya kerb2 anahtarıyla eşlendiğinden emin olun. Parola yanlışsa, parolayı sıfırlamak için Update-AzStorageAccountADObjectPassword komutunu çalıştırabilirsiniz.
2. CheckADObject: Active Directory'de depolama hesabını temsil eden ve doğru SPN'ye (hizmet asıl adı) sahip bir nesne olduğunu onaylayın. SPN doğru ayarlanmamışsa SPN'yi yapılandırmak için hata ayıklama cmdlet'inde döndürülen Set-AD cmdlet'ini çalıştırın.
3. CheckDomainJoined: İstemci makinesinin AD'ye etki alanına katıldığını doğrulayın. Makineniz AD'ye katılmamışsa etki alanına katılma yönergeleri için Bir Bilgisayarı Etki Alanına Ekleme bölümüne bakın.
4. CheckPort445Connectivity: 445 numaralı bağlantı noktasının SMB bağlantısı için açılıp açılmadiğini denetleyin. Bağlantı noktası 445 açık değilse Azure Dosyalar ile ilgili bağlantı sorunları için AzFileDiagnostics sorun giderme aracına bakın.
5. CheckSidHasAadUser: Oturum açan AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini denetleyin. Belirli bir AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini aramak istiyorsanız giriş parametrelerinde ve -UserName değerini belirtebilirsiniz-Domain. Belirli bir SID için ilişkili bir Microsoft Entra kullanıcısı olup olmadığını denetler.
6. CheckAadUserHasSid: Oturum açan AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini denetleyin. Belirli bir AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini aramak istiyorsanız giriş parametrelerinde ve -UserName değerini belirtebilirsiniz-Domain. Belirli bir Microsoft Entra kullanıcısı için SID'sini denetler. Bu denetimi çalıştırmak için, Microsoft Entra kullanıcısının -ObjectId nesne kimliğiyle birlikte parametresini sağlamanız gerekir.
7. CheckGetKerberosTicket: Depolama hesabına bağlanmak için bir Kerberos bileti almayı deneme. Geçerli bir Kerberos belirteci yoksa, cmdlet'ini klist get cifs/storage-account-name.file.core.windows.net çalıştırın ve hata kodunu inceleyerek anahtar alma hatasının nedenini belirleyin.
8. CheckStorageAccountDomainJoined: AD kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini ve hesabın AD özelliklerinin doldurulup doldurulmadığını denetleyin. Aksi takdirde , Azure Dosyalar'da AD DS kimlik doğrulamasını etkinleştirin.
9. CheckUserRbacAssignment: AD kimliğinin, Azure Dosyalar erişmek için paylaşım düzeyinde izinler sağlamak için uygun RBAC rol atamasına sahip olup olmadığını denetleyin. Aksi takdirde , paylaşım düzeyi iznini yapılandırın. (AzFilesHybrid v0.2.3+'da desteklenir)
10. CheckUserFileAccess: AD kimliğinin Azure Dosyalar erişmek için uygun dizin/dosya iznine (Windows ACL' ler) sahip olup olmadığını denetleyin. Aksi takdirde dizin/dosya düzeyi iznini yapılandırın. Bu denetimi çalıştırmak için, erişim hatalarını ayıklamak -FilePath istediğiniz bağlı dosyanın yolunun yanı sıra parametresini sağlamanız gerekir. (AzFilesHybrid v0.2.3+'da desteklenir)
11. CheckKerberosTicketEncryption: Depolama hesabının Kerberos anahtarı tarafından kullanılan şifreleme türünü kabul etmek için yapılandırılıp yapılandırılmamış olduğunu denetleyin. (AzFilesHybrid v0.2.5+'ta desteklenir)
12. CheckChannelEncryption: Depolama hesabının istemci tarafından kullanılan SMB kanalı şifreleme türünü kabul etmek üzere yapılandırılıp yapılandırılmamış olduğunu denetleyin. (AzFilesHybrid v0.2.5+'ta desteklenir)
13. CheckDomainLineOfSight: İstemcinin etki alanı denetleyicisine ağ bağlantısının engellenip tanımlanmadığını denetleyin. (AzFilesHybrid v0.2.5+'ta desteklenir)
14. CheckDefaultSharePermission: Varsayılan paylaşım düzeyi izninin yapılandırılıp yapılandırılmamış olduğunu denetleyin. (AzFilesHybrid v0.2.5+'ta desteklenir)
15. CheckAadKerberosRegistryKeyIsOff: Microsoft Entra Kerberos kayıt defteri anahtarının kapalı olup olmadığını denetleyin. Anahtar açıksa, yükseltilmiş bir komut isteminden çalıştırarak reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0 kapatın ve makinenizi yeniden başlatın. (AzFilesHybrid v0.2.9+'da desteklenir)

Yalnızca önceki denetimlerin bir alt bölümü çalıştırmak istiyorsanız, çalıştırılacak denetimlerin -Filter virgülle ayrılmış listesiyle birlikte parametresini kullanabilirsiniz. Örneğin, paylaşım düzeyi izinlerle (RBAC) ilgili tüm denetimleri çalıştırmak için aşağıdaki PowerShell cmdlet'lerini kullanın:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -Filter CheckSidHasAadUser,CheckUserRbacAssignment `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

dosya paylaşımına X:bağlıysanız ve yalnızca dosya düzeyi izinlerle (Windows ACL'leri) ilgili denetimi çalıştırmak istiyorsanız, aşağıdaki PowerShell cmdlet'lerini çalıştırabilirsiniz:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"

Debug-AzStorageAccountAuth `
    -Filter CheckUserFileAccess `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -FilePath $FilePath `
    -Verbose

Microsoft Entra Kerberos ile Azure dosya paylaşımları bağlanamıyor

Kendi kendine tanılama adımları

İlk olarak, Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme adımlarını izlediğinize emin olun.

İkincisi, bir dizi temel denetim gerçekleştirmek için cmdlet'ini çalıştırabilirsiniz Debug-AzStorageAccountAuth . Bu cmdlet, AzFilesHybrid v0.3.0+ üzerinde Microsoft Entra Kerberos kimlik doğrulaması için yapılandırılmış depolama hesapları için desteklenir.

1. Hedef depolama hesabında sahip izni olan bir AD kullanıcısı olarak Azure PowerShell'de etkileşimli olarak oturum açın:

   Connect-AzAccount
   

2. cmdlet'ini Debug-AzStorageAccountAuth çalıştırın:

   $ResourceGroupName = "<resource-group-name-here>"
   $StorageAccountName = "<storage-account-name-here>"
   
   Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose
   

Cmdlet bu denetimleri sırayla gerçekleştirir ve hatalar için rehberlik sağlar:

1. CheckPort445Connectivity: 445 numaralı bağlantı noktasının SMB bağlantısı için açılıp açılmadiğini denetleyin. Bağlantı noktası 445 açık değilse Azure Dosyalar ile ilgili bağlantı sorunları için AzFileDiagnostics sorun giderme aracını kullanın.
2. CheckAADConnectivity: Entra bağlantısı olup olmadığını denetleyin. İstemci Entra'ya ulaşamazsa Kerberos kimlik doğrulamasına sahip SMB bağlamaları başarısız olabilir. Bu denetim başarısız olursa bir ağ hatası (güvenlik duvarı veya VPN sorunu olabilir) olduğunu gösterir.
3. CheckEntraObject: Entra'da depolama hesabını temsil eden ve doğru hizmet asıl adına (SPN) sahip bir nesne olduğunu onaylayın. SPN doğru ayarlanmamışsa depolama hesabında Entra Kerberos kimlik doğrulamasını devre dışı bırakın ve yeniden etkinleştirin.
4. CheckRegKey: Kayıt defteri anahtarının CloudKerberosTicketRetrieval etkinleştirilip etkinleştirilmediğini denetleyin. Bu kayıt defteri anahtarı Entra Kerberos kimlik doğrulaması için gereklidir.
5. CheckRealmMap: Kullanıcının hesabını yerine başka bir Kerberos bölgesiyle birleştirecek herhangi bir bölge eşlemesi yapılandırıp yapılandırmadığını denetleyin.
6. CheckAdminConsent: Kerberos bileti almak için gereken Microsoft Graph izinleri için Entra hizmet sorumlusuna yönetici onayı verilip verilmediğini denetleyin.
7. CheckWinHttpAutoProxySvc: Microsoft Entra Kerberos kimlik doğrulaması için gereken WinHTTP Web Proxy Otomatik Bulma Hizmeti'ni (WinHttpAutoProxySvc) denetler. Durumu olarak Runningayarlanmalıdır.
8. CheckIpHlpScv: Microsoft Entra Kerberos kimlik doğrulaması için gereken IP Yardımcısı hizmetini (iphlpsvc) denetleyin. Durumu olarak Runningayarlanmalıdır.
9. CheckFiddlerProxy: Microsoft Entra Kerberos kimlik doğrulamasını engelleyen bir Fiddler proxy'si olup olmadığını denetleyin.
10. CheckEntraJoinType: Makinenin Entra etki alanına katılmış mı yoksa karma Entra etki alanına Katılmış mı olduğunu denetleyin. Bu, Microsoft Entra Kerberos kimlik doğrulaması için bir önkoşuldur.

Yalnızca önceki denetimlerin bir alt bölümü çalıştırmak istiyorsanız, çalıştırılacak denetimlerin -Filter virgülle ayrılmış listesiyle birlikte parametresini kullanabilirsiniz.

Desteklenmeyen Kerberos şifreleme türleri nedeniyle Entra Kerberos kullanılırken Azure Dosyalara bağlama başarısız oluyor

Entra Kerberos kimlik doğrulamasını kullanarak bir Azure dosya paylaşımını bağlarken bağlama işlemi başarısız olur. Günlük toplama, Kerberos hizmet biletinin şifresinin çözülemeyeceğini gösterebilir. Aşağıdaki kayıt defteri anahtarının da yapılandırıldığını fark edebilirsiniz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes

Neden

SupportedEncryptionTypes Kayıt defteri anahtarı AES içermeyen bir değerle yapılandırılmışsa, Windows yalnızca bit maskesinde belirtilen şifreleme türlerine izin verir. Örneğin, değeri 0x7 istemcinin yalnızca aşağıdaki Kerberos şifreleme türlerini desteklediğini gösterir:

• DES_CBC_CRC
• DES_CBC_MD5
• RC4_HMAC

Entra Kerberos hizmet biletlerini her zaman AES-256 (AES256-CTS-HMAC-SHA1-96) ile şifrelediğinden, AES hesap veya makine için desteklenen şifreleme türlerine dahil değilse bağlamalar başarısız olur.

Not

AES şifrelemesi, modern Windows işletim sistemlerinde varsayılan olarak etkindir. SupportedEncryptionTypes Kayıt defteri anahtarı yapılandırılmamışsa, Windows kullanılabilir olduğunda otomatik olarak AES anlaşması yapacaktır.

Çözüm

Entra Kerberos kullanarak Azure dosya paylaşımlarını başarıyla bağlamak için, desteklenen şifreleme türlerine AES-256 eklenmelidir.

Aşağıdaki seçeneklerden birini kullanın:

Seçenek 1: Kayıt defteri anahtarını kaldırın (kasıtlı olarak yapılandırılmadıysa önerilir)

Şifreleme türleri kasıtlı olarak kısıtlanmadıysa:

1. Kayıt defteri anahtarını silin: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
2. Bilgisayarı yeniden başlatın.

Yeniden başlattıktan sonra dosya paylaşımını bağlamayı yeniden deneyin.

İpucu

Anahtarın kaldırılması Windows varsayılan davranışını geri yükler ve Active Directory'nin Kerberos anahtarları için AES üzerinde otomatik olarak anlaşmasını sağlar.

Seçenek 2: Grup İlkesi'ni kullanarak AES-256'yı açıkça etkinleştirme

Kuruluşunuz açıkça yapılandırılmış Kerberos şifreleme türleri gerektiriyorsa:

1. Win + R tuşlarına basın, yazın gpedit.mscve Enter'ı seçin.
2. Şu konuma gidin: Yerel Bilgisayar İlkesi > Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Güvenlik Seçenekleri
3. Ağ Güvenliği:Kerberos için izin verilen şifreleme türlerini yapılandırın.
4. Aşağıdaki şifreleme türlerini etkinleştirin:
   • AES256_HMAC_SHA1
   • AES128_HMAC_SHA1 (isteğe bağlı)
5. Değişikliği uygulayın ve bilgisayarı yeniden başlatın.

Yeniden başlattıktan sonra dosya paylaşımını bağlamayı yeniden deneyin.

Önemli

Entra Kerberos, Azure dosya paylaşımlarını başarıyla bağlamak için AES256_HMAC_SHA1 gerektirir. RC4 veya YALNıZCA DES yapılandırmaları başarısız olur. Kayıt defteri anahtarları hakkında daha fazla bilgi edinmek için bkz. Desteklenen Kerberos Şifreleme Türleri Seçiminin Şifresini Çözme.

Windows Dosya Gezgini ile dizin/dosya düzeyinde izinler (Windows ACL'leri) yapılandırılamıyor

Belirti

Bağlı bir dosya paylaşımında Windows ACL'lerini Windows Dosya Gezgini ile yapılandırmaya çalışırken aşağıda açıklanan belirtilerden biriyle karşılaşabilirsiniz:

• Güvenlik sekmesinin altında İzni düzenle'ye tıkladıktan sonra İzin sihirbazı yüklenmez.
• Yeni bir kullanıcı veya grup seçmeye çalıştığınızda, etki alanı konumu doğru AD DS etki alanının görüntülenmemesi.
• Birden çok AD ormanı kullanıyorsunuz ve şu hata mesajını alıyorsunuz: "Aşağıdaki etki alanlarında seçili nesneleri bulmak için gereken Active Directory etki alanı denetleyicileri kullanılamıyor. Active Directory etki alanı denetleyicilerinin kullanılabilir olduğundan emin olun ve nesneleri yeniden seçmeyi deneyin."

Çözüm

Windows Dosya Gezgini yerine icacl'leri kullanarak dizin/dosya düzeyi izinlerini yapılandırmanızı öneririz.

Dosya Gezgini'de bir dosya/dizin sahibinin UserPrincipalName (UPN) görüntülenemiyor

Belirti

Dosya Gezgini, bir dosya/dizin sahibinin güvenlik tanımlayıcısını (SID) görüntüler, ancak UPN'yi görüntülemez.

Neden

Dosya Gezgini, SID'yi UPN'ye çevirmek için bir RPC API'sini doğrudan sunucuya (Azure Dosyalar) çağırır. Azure Dosyalar bu API'yi desteklemediğinden UPN görüntülenmez.

Çözüm

Etki alanına katılmış bir istemcide, bir dizindeki tüm öğeleri ve UPN de dahil olmak üzere sahiplerini görüntülemek için aşağıdaki PowerShell komutunu kullanın:

Get-ChildItem <Path> | Get-ACL | Select Path, Owner

Join-AzStorageAccountForAuth cmdlet'ini çalıştırırken oluşan hatalar

Hata: “Dizin hizmeti göreli bir tanımlayıcı ayıramıyor”

İşlemlerin RID Yöneticisi FSMO rolünü barındıran etki alanı denetleyicisi kullanılamıyorsa veya etki alanında kaldırıldıysa ve yedekten geri yüklendiyse bu hata oluşabilir. Tüm Etki Alanı Denetleyicilerinin çalıştığını ve kullanılabilir olduğunu onaylayın.

Hata: "Hiçbir ad verilmediğinden konum parametreleri bağlanamıyor"

Bu hata büyük olasılıkla komuttaki bir söz dizimi hatasıyla Join-AzStorageAccountforAuth tetikleniyor. Yazım hataları veya söz dizimi hataları için komutunu denetleyin ve AzFilesHybrid modülünün (https://github.com/Azure-Samples/azure-files-samples/releases) en son sürümünün yüklü olduğunu doğrulayın.

AES-256 Kerberos şifrelemesi için şirket içi AD DS Kimlik Doğrulaması desteği Azure Dosyalar

Azure Dosyalar, AzFilesHybrid modülü v0.2.2 ile başlayarak AD DS kimlik doğrulaması için AES-256 Kerberos şifrelemesini destekler. AES-256 önerilen şifreleme yöntemidir ve AzFilesHybrid modülü v0.2.5'te başlayan varsayılan şifreleme yöntemidir. AD DS kimlik doğrulamasını v0.2.2'den düşük bir modül sürümüyle etkinleştirdiyseniz en son AzFilesHybrid modülünü indirmeniz ve aşağıdaki PowerShell betiğini çalıştırmanız gerekir. Depolama hesabınızda AD DS kimlik doğrulamayı henüz etkinleştirmediyseniz bu kılavuzu izleyin.

Önemli

Daha önce RC4 şifrelemesi kullandıysanız ve depolama hesabını AES-256 kullanacak şekilde güncelleştirdiyseniz, istemcide çalıştırıp klist purge AES-256 ile yeni Kerberos biletleri almak için dosya paylaşımını yeniden bağlamanız gerekir.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName

Güncelleştirmenin bir parçası olarak cmdlet, AES-256'ya geçmek için gereken Kerberos anahtarlarını döndürür. Her iki parolayı da yeniden oluşturmak istemediğiniz sürece geri döndürmeniz gerekmez.

Daha önce Sahip veya Katkıda Bulunan rol atamasının sahibi olan kullanıcı kimliği hala depolama hesabı anahtarı erişimine sahip

Depolama hesabı Sahibi ve Katkıda Bulunan rolleri, depolama hesabı anahtarlarını listeleme olanağı verir. Depolama hesabı anahtarı, dosya paylaşımları, bloblar, tablolar ve kuyruklar dahil olmak üzere depolama hesabının verilerine tam erişim sağlar. Ayrıca, FileREST API aracılığıyla kullanıma sunulan eski yönetim API'leri aracılığıyla Azure Dosyalar yönetim işlemlerine sınırlı erişim sağlar. Rol atamalarını değiştiriyorsanız, Sahip veya Katkıda Bulunan rollerinden kaldırılan kullanıcıların kayıtlı depolama hesabı anahtarları aracılığıyla depolama hesabına erişmeye devam edebilir.

1\. Çözüm

Depolama hesabı anahtarlarını döndürerek bu sorunu kolayca çözebilirsiniz. Anahtarları teker teker döndürmenizi, döndürüldükçe bir anahtardan diğerine geçmenizi öneririz. Depolama hesabının sağladığı iki tür paylaşılan anahtar vardır: depolama hesabının verilerine süper yönetici erişimi sağlayan depolama hesabı anahtarları ve depolama hesabı ile Windows Server Active Directory senaryoları için Windows Server Active Directory etki alanı denetleyicisi arasında paylaşılan bir gizli dizi olarak işlev gösteren Kerberos anahtarları.

Depolama hesabının Kerberos anahtarlarını döndürmek için bkz. AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme.

Portal

Azure portalında istediğiniz depolama hesabına gidin. İstenen depolama hesabının içindekiler tablosunda Güvenlik + ağ başlığı altında Erişim anahtarları'nı seçin. Erişim tuşu bölmesinde, istediğiniz anahtarın üzerindeki Anahtarı döndür'ü seçin.

PowerShell

Aşağıdaki betik, depolama hesabı için her iki anahtarı da döndürür. Döndürme sırasında anahtarları değiştirmek istiyorsanız, bu senaryoyu işlemek için betiğinizde ek mantık sağlamanız gerekir. ve <resource-group> değerlerini ortamınız için uygun değerlerle değiştirmeyi <storage-account> unutmayın.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key1"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
New-AzStorageAccountKey `
    -ResourceGroupName $resourceGroupName `
    -Name $storageAccountName `
    -KeyName "key2"

Azure CLI

Aşağıdaki betik, depolama hesabı için her iki anahtarı da döndürür. Döndürme sırasında anahtarları değiştirmek istiyorsanız, bu senaryoyu işlemek için betiğinizde ek mantık sağlamanız gerekir. ve <resource-group> değerlerini ortamınız için uygun değerlerle değiştirmeyi <storage-account> unutmayın.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# Rotate primary key (key 1). You should switch to key 2 before rotating key 1.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "primary"

# Rotate secondary key (key 2). You should switch to the new key 1 before rotating key 2.
az storage account keys renew \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --key "secondary"

Yeni oluşturulan bir uygulamada API izinlerini ayarlama

Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirdikten sonra, yapılandırmanızı tamamlamak için Microsoft Entra kiracınızda kayıtlı yeni Microsoft Entra uygulamasına açıkça yönetici onayı vermelisiniz. Aşağıdaki adımları izleyerek Azure portalından API izinlerini yapılandırabilirsiniz.

1. Microsoft Entra Id'yi açın.
2. Sol bölmede Uygulama kayıtları'nı seçin.
3. Sağ bölmede Tüm Uygulamalar'ı seçin.
4. [Storage Account] $storageAccountName.file.core.windows.net adlı uygulamayı seçin.
5. Sol bölmede API izinleri'ni seçin.
6. Sayfanın alt kısmındaki İzin ekle'yi seçin.
7. "DirectoryName" için yönetici onayı ver'i seçin.

Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken olası hatalar

Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken aşağıdaki hatalarla karşılaşabilirsiniz.

Hata - Yönetici onayı verme devre dışı bırakıldı

Bazı durumlarda, Microsoft Entra yöneticisi Microsoft Entra uygulamalarına yönetici onayı verme özelliğini devre dışı bırakabilir. Azure portalında bunun nasıl göründüğüne ilişkin bir ekran görüntüsü aşağıdadır.

Böyle bir durumda, Microsoft Entra yöneticinizden yeni Microsoft Entra uygulamasına yönetici onayı vermesini isteyin. Yöneticilerinizi bulmak ve görüntülemek için rol ve yönetici'yi ve ardından Bulut Uygulama Yöneticisi'ni seçin.

Hata - "Azure AD Graph isteği BadRequest koduyla başarısız oldu"

Neden 1: Uygulama yönetimi ilkesi kimlik bilgilerinin oluşturulmasını engelliyor

Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken aşağıdaki koşullar karşılanırsa bu hatayla karşılaşabilirsiniz:

1. Uygulama yönetimi ilkelerinin beta/önizleme özelliğini kullanıyorsunuz.
2. Siz (veya yöneticiniz) kiracı genelinde şu ilkeyi ayarladınız:
   • Başlangıç tarihi yok veya 1 Ocak 2019'un öncesinde bir başlangıç tarihi var.
   • Özel parolalara izin vermeyen veya 365,5 günden daha az parola ömrü ayarlayan hizmet sorumlusu parolalarına yönelik bir kısıtlama ayarlar.

Şu anda bu hata için geçici bir çözüm yoktur.

Neden 2: Depolama hesabı için bir uygulama zaten var

Microsoft Entra Kerberos kimlik doğrulamayı el ile sınırlı önizleme adımlarıyla etkinleştirdiyseniz de bu hatayla karşılaşabilirsiniz. Mevcut uygulamayı silmek için müşteri veya BT yöneticisi aşağıdaki betiği çalıştırabilir. Bu betiği çalıştırmak, el ile oluşturulan eski uygulamayı kaldırır ve yeni deneyimin yeni oluşturulan uygulamayı otomatik olarak oluşturmasına ve yönetmesine olanak sağlar. Microsoft Graph bağlantısını başlatdıktan sonra cihazınızdaKi Microsoft Graph Komut Satırı Araçları uygulamasında oturum açın ve uygulamaya izin verin.

$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"

$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
   Remove-MgApplication -ObjectId $application.ObjectId
}

Hata - Microsoft Entra Id'de hizmet sorumlusu parolasının süresi doldu

El ile sınırlı önizleme adımları aracılığıyla Microsoft Entra Kerberos kimlik doğrulamasını daha önce etkinleştirdiyseniz, depolama hesabının hizmet sorumlusunun parolasının süresi altı ayda bir dolacak şekilde ayarlanır. Parolanın süresi dolduktan sonra kullanıcılar dosya paylaşımına Kerberos biletleri alamaz.

Bunu azaltmak için iki seçeneğiniz vardır: Microsoft Entra'da hizmet sorumlusu parolasını altı ayda bir döndürün veya Microsoft Entra Kerberos'u devre dışı bırakmak, mevcut uygulamayı silmek ve Microsoft Entra Kerberos'u yeniden yapılandırmak için bu adımları izleyin.

Microsoft Entra Kerberos'u devre dışı bırakmadan önce etki alanı özelliklerini (domainName ve domainGUID) kaydettiğinizden emin olun; çünkü Windows Dosya Gezgini kullanarak dizin ve dosya düzeyi izinlerini yapılandırmak istiyorsanız yeniden yapılandırma sırasında bunlara ihtiyacınız olacaktır. Etki alanı özelliklerini kaydetmediyseniz, geçici çözüm olarak icacl'leri kullanarak dizin/dosya düzeyinde izinleri yapılandırmaya devam edebilirsiniz.

1. Microsoft Entra Kerberos'u devre dışı bırakma
2. Mevcut uygulamayı silme
3. Azure portalı aracılığıyla Microsoft Entra Kerberos'u yeniden yapılandırma

Microsoft Entra Kerberos'u yeniden yapılandırdıktan sonra yeni deneyim, yeni oluşturulan uygulamayı otomatik olarak oluşturur ve yönetir.

Hata 1326 - Özel bağlantı kullanılırken kullanıcı adı veya parola yanlış

Microsoft Entra Kerberos kimlik doğrulamasını kullanarak özel bir uç nokta/özel bağlantı üzerinden depolama hesabına bağlanıyorsanız, veya başka bir yöntemle net use dosya paylaşımını bağlamaya çalışırken istemciden kimlik bilgileri istenir. Kullanıcı büyük olasılıkla kimlik bilgilerini yazar, ancak kimlik bilgileri reddedilir.

Neden

Bunun nedeni, SMB istemcisinin Kerberos kullanmayı denemesine rağmen başarısız olmasıdır; bu nedenle NTLM kimlik doğrulaması kullanmaya geri döner ve Azure Dosyalar etki alanı kimlik bilgileri için NTLM kimlik doğrulamasını desteklemez. Özel bağlantı FQDN'i mevcut Microsoft Entra uygulamasına kaydedilmediğinden istemci depolama hesabına Kerberos bileti alamıyor.

Çözüm

Çözüm, dosya paylaşımını bağlamadan önce privateLink FQDN'sini depolama hesabının Microsoft Entra uygulamasına eklemektir. Aşağıdaki adımları izleyerek Azure portalını kullanarak gerekli identifierUri'leri uygulama nesnesine ekleyebilirsiniz.

1. Microsoft Entra Id'yi açın.

2. Sol bölmede Uygulama kayıtları'nı seçin.

3. Tüm Uygulamalar'ı seçin.

4. [Storage Account] $storageAccountName.file.core.windows.net adlı uygulamayı seçin.

5. Sol bölmede Bildirim'i seçin.

6. Var olan içeriği kopyalayıp yapıştırarak yinelenen bir kopyaya sahip olmanız gerekir.

7. JSON bildirimini düzenleyin. Her <storageAccount>.file.core.windows.net giriş için karşılık gelen <storageAccount>.privatelink.file.core.windows.net bir girdi ekleyin. Örneğin, bildiriminiz için identifierUrisaşağıdaki değere sahipse:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net"
   ],
   

   Ardından alanı aşağıdaki şekilde identifierUris düzenlemeniz gerekir:

   "identifierUris": [
       "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
       "HOST/<storageaccount>.file.core.windows.net",
       "CIFS/<storageaccount>.file.core.windows.net",
       "HTTP/<storageaccount>.file.core.windows.net",
   
       "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net",
       "HOST/<storageaccount>.privatelink.file.core.windows.net",
       "CIFS/<storageaccount>.privatelink.file.core.windows.net",
       "HTTP/<storageaccount>.privatelink.file.core.windows.net"
   ],
   

8. İçeriği inceleyin ve Kaydet'i seçerek uygulama nesnesini yeni IdentifierUris ile güncelleyin.

9. Tüm iç DNS başvurularını özel bağlantıya işaret eden şekilde güncelleştirin.

10. Paylaşımı bağlamayı yeniden deneyin.

Microsoft Entra Kerberos kullanılırken ağ değişiklikleri sonrasında aralıklı kimlik doğrulaması hataları

Belirti

Azure Dosyalar'a erişmek için Microsoft Entra Kerberos kimlik doğrulamasını kullanan Windows istemcileri, bir ağ değişikliği sonrasında (örneğin, VPN yeniden bağlanma, Wi-Fi değişiklik, uyku veya sürdürme) zaman zaman erişimi kaybeder. Kullanıcı Windows'ta oturumunu kapatıp yeniden açıncaya kadar erişim başarısız olabilir.

Neden

Bu sorun, bazı ağ değişikliklerinin istemcideki önbelleğe alınmış KDC proxy yapılandırmasını temizlemesi nedeniyle bilinen bir Windows davranışından kaynaklanır. KDC proxy yapılandırması kaldırıldığında, istemci Microsoft Entra Id'den Kerberos hizmet biletlerini yenileyemez.

Kullanıcının Birincil Yenileme Belirteci (PRT) geçerliliğini korusa da, eksik KDC proxy yapılandırması istemcinin yeni bir hizmet bileti almasını engelleyerek kimlik doğrulama hatalarına neden olur.

Bu bir Windows istemci sınırlamasıdır ve Bunun nedeni Azure Dosyalar veya Microsoft Entra Id yapılandırması değildir.

Çözüm

Birinci seçenek: Oturumu kapatıp Windows'ta yeniden oturum açmak, yenilenen Bilet Verme Bileti (TGT) ve KDC proxy yapılandırması içeren yeni bir PRT getirerek erişimi geri yükler. Ancak bu, kötü bir kullanıcı deneyimine neden olur.

İkinci seçenek: KDC proxy yapılandırmasını istemcide kalıcı hale getirmek için bir Grup İlkesi ayarı yapılandırarak ağ değişikliklerinin neden olduğu kimlik doğrulama kesintilerini azaltır.

1. Grup İlkesi'ni kullanarak KDC proxy ayarlarını yapılandırma
2. Grup İlkesi Yönetimi'ni açın ve ilgili ilkeyi düzenleyin
3. Şu adrese gidin: Yönetim Şablonları>Sistemi>Kerberos Kerberos>istemcileri için KDC proxy sunucularını belirtin
4. Etkin seçin
5. Seçenekler'in altında Göster'i seçerek İçeriği Göster iletişim kutusunu açın.
6. Microsoft Entra kiracı kimliğiniz ile your_Azure_AD_tenant_id'yi değiştirerek aşağıdaki eşlemeyi ekleyin.

Değerin adı	Değer
KERBEROS.MICROSOFTONLINE.COM	<https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos />

Not

Https'nin ardından ve kapatmadan önce / işaretinin önüne boşluk ekleyin.

7. Tamam'ı ve ardından Uygula'yı seçin.

Bu ilke uygulandıktan sonra, Windows istemcileri ağ değişiklikleri arasında KDC proxy yapılandırmasını korur ve kimlik doğrulama kesintilerini azaltır.

Microsoft Entra Kerberos kullanılırken kimlik doğrulaması yaklaşık 10 saat sonra durdurulur

Belirti

Azure Dosyalar'a erişmek için Microsoft Entra Kerberos kimlik doğrulamasını kullanan Windows istemcileri, yaklaşık 10 saatlik sürekli kullanımdan sonra erişimi kaybeder. Erişim yalnızca kullanıcı oturumu kapatıp Windows'ta yeniden oturum açtığında yeniden sağlanır.

Neden

Bu sorun, Microsoft Entra Kerberos kimlik doğrulamasındaki bilinen bir sınırlamadan kaynaklanır. Microsoft Entra Id şu anda Bilet Verme Biletlerinin (TGT) yenilenmesini desteklememektedir.

Microsoft Entra Kerberos senaryolarında TGT, kullanıcının Birincil Yenileme Belirtecinin (PRT) bir parçası olarak elde edilir. TGT yenilemesi desteklenmediğinden, süresi dolduğunda istemci TGT'yi yenileyemez. TGT'nin süresi dolduğunda, istemcinin yeni hizmet biletlerini alamaması kimlik doğrulama hatalarına yol açar.

Oturumu kapatıp Windows'ta yeniden oturum açmak, yeni bir TGT içeren yeni bir PRT edinerek sorunu çözer. Bu, Microsoft Entra Kerberos'un bilinen bir sınırlaması olup Azure Dosyalar yapılandırmasından kaynaklanmaz.

Çözüm

Müşteriler, Azure Dosyaları'na erişirken şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ile Microsoft Entra ID arasında bulut güvenliği kullanabilir.

Bulut güveni yapılandırıldığında, Windows istemcileri TGT'lerini Microsoft Entra Id yerine AD DS'den alır. AD DS tarafından verilen TGT'ler, Microsoft Entra Kerberos'ta görülen süre sonu davranışından kaçınarak yenilemeyi destekler. AD DS tarafından verilen TGT, ardından Azure Files için hizmet biletlerini almak üzere kullanılan Entra referans TGT ile değiştirilir.

Bu azaltma yalnızca şu istemciler için geçerlidir:

• AD DS etki alanına katılmış veya
• Karma Microsoft Entra katıldı
• Bulutta yerel (yalnızca Microsoft Entra) istemcileri bu geçici çözümü kullanamaz.

Bu azaltmayı uygulamak için, Şirket içi AD DS ile Microsoft Entra Id arasında Azure Dosyalar'a erişmek için bir bulut güveni yapılandırın. Adım adım yönergeler için bkz. Azure Dosyalar kimlik doğrulaması için bulut güveni yapılandırma

Hata AADSTS50105

Belirti

İstek aşağıdaki hata AADSTS50105 kesildi:

Yöneticiniz, özellikle uygulamaya erişim izni verilmediği (atanan) kullanıcıları engellemek için "Kurumsal uygulama adı" uygulamasını yapılandırdı. Oturum açan '{EmailHidden}' kullanıcısı erişimi olan bir grubun doğrudan üyesi olmadığından veya yönetici tarafından doğrudan atanmış erişime sahip olmadığından engellendi. Bu uygulamaya erişim atamak için lütfen yöneticinize başvurun.

Neden

İlgili kurumsal uygulama için "atama gerekli" ayarlarsanız Kerberos bileti alamazsınız ve kullanıcılar veya gruplar uygulamaya atanmış olsa bile Microsoft Entra oturum açma günlükleri bir hata gösterir.

Çözüm

Kerberos biletinde istek sahibine geri döndürülen yetkilendirmeler bulunmadığı için depolama hesabı için Microsoft Entra uygulamasına yönelik atama gereklidir seçeneğini seçmeyin. Daha fazla bilgi için bkz . Hata AADSTS50105 - Oturum açmış kullanıcı uygulama için bir role atanmadı.

Ayrıca bkz.

• Azure Dosyaları Sorun Giderme
• Azure Dosyalar performansı sorunlarını giderme
• Azure Dosyalar bağlantısı (SMB) sorunlarını giderme
• Linux'ta Azure Dosyalar genel SMB sorunlarını giderme
• Linux'ta Azure Dosyalar genel NFS sorunlarını giderme
• Azure Dosya Eşitleme sorunlarını giderme

Yardım için bize ulaşın

Sorularınız varsa Azure topluluk desteğine sorabilirsiniz. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.