你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure NetApp 文件通过卷即服务产品/服务提供云驻留存储,将 NAS 协议用作向最终用户交付的机制。 SMB 是受支持的 NAS 协议之一,提供用于 Azure NetApp 文件卷,其中包括以下常规功能:
- 集中式数据,供一个或多个客户端在任何给定时间同时访问。
- 协调锁管理,可控制对文件的访问,防止未拥有锁的用户或应用程序写入锁定的文件。
- 通过文件和文件夹权限实现精细访问控制。
- 通过共享权限共享访问控制。
- 用户和组身份验证服务。
如何在 Azure NetApp 文件中配置 SMB
Azure NetApp 文件中的 SMB 是通过首先在 NetApp 帐户中创建 Active Directory 连接来配置的,该连接提供了 Azure NetApp 文件卷所需的信息,这些卷已启用 SMB 来加入并利用 Active Directory 域服务。
若要详细了解如何在 Azure NetApp 文件中配置 SMB,请参阅:
- 创建用于 Azure NetApp 文件的 SMB 卷
- 为 Azure NetApp 文件创建双重协议卷
- 了解 Active Directory 域服务站点设计和 Azure NetApp 文件规划指南
- 了解 Azure NetApp 文件中的 Kerberos
Azure NetApp 文件中的 SMB 服务器支持
在创建 SMB 服务器时,使用 Azure NetApp 文件的 SMB 提供了大量功能和配置常量。 下表概述了有关 Azure NetApp 文件中的 SMB 服务器安全选项的具体信息。
| 功能 | 定义 | 值 | 在 Azure NetApp 文件中是否可配置? |
|---|---|---|---|
| Kerberos (SMB) | 提供对 SMB 共享的安全访问的身份验证协议。 | 空值 | 否 - 在创建 SMB 服务器帐户时自动配置。 |
| Kerberos 最大时间倾斜 | 允许 Kerberos 客户端和 KDC 不同步的最长时间。 | 5 分钟 | 否 |
| Kerberos 票证生存期 | Kerberos 票证在需要续订之前在 Azure NetApp 文件中保持有效的时长。 | 10 分钟 | 否(但可在 KDC 和 NAS 客户端上配置) |
| Kerberos 票证最长续订时间 | 在需要获取新票证之前可续订 Kerberos 票证的时长。 | 7 天 | 否(但可在 KDC 和 NAS 客户端上配置) |
| Kerberos | 密钥发行中心 (KDC) 连接超时 在尝试连接到 Kerberos KDC 之前超时前的时长 | 3 秒 | 否 |
| 需要 SMB 签名 | 确定是否需要 SMB 签名才能允许访问。 启用此项后,没有 SMB 签名的客户端将无法访问 SMB 共享。 禁用此项后,启用了 SMB 签名的客户端将使用 SMB 签名,而没有 SMB 签名的客户端将进行访问而无需 SMB 签名。 SMB 签名可能会显著影响性能。 | False | 否 |
| LDAP 签名 | 确定 LDAP 连接是否将通过 LDAP 签名使用安全连接。 | False | 是(Active Directory 连接) |
| LM 兼容性级别 | 受支持的 LAN 管理器兼容性。 | NTLMv2 Kerberos |
否(如果需要,请从域控制器禁用 NTLMv2) |
| SMBv1 | SMB 版本 1 | 已禁用 | 否(Azure NetApp 文件不支持 SMBv1) |
| SMBv2 用于域控制器连接 | 使用 SMBv2 或更高版本连接到域控制器。 | 已启用 | 否 |
| SMB 加密用于域控制器连接 | 需要禁用域控制器与 Azure NetApp 文件之间的对话加密 | 是(Active Directory 连接) | |
| 用于 SMB 连接的 AES 加密类型 | 允许 SMB 连接到 Azure NetApp 文件卷的 AES 加密类型 | 已禁用 | 是(Active Directory 连接) |
| 尝试通道绑定 | 支持将通道绑定与域控制器配合使用。 | 已启用 | 否 |
| 允许的 Kerberos 加密类型 | SMB Kerberos 允许的加密类型。 将使用客户端和服务器支持的最强加密类型。 | RC4 DES AES-128* AES-256* |
是*(“在 Active Directory 连接上启用 AES”控制了是否支持 AES;否则,仅支持/使用 RC4 和 DES) |
下表显示了 Azure NetApp 文件的 SMB 服务器功能选项配置。 这些选项目前在 Azure NetApp 文件中均不可配置,但是了解在通过 SMB 连接到 Azure NetApp 文件卷时看到的行为仍然很有用。
| 功能 | 定义 | 值 |
|---|---|---|
| 读取模式位的授予 exec | SMB 客户端将无法使用 UNIX 模式位运行可执行文件 | 已禁用 |
| SMBv1 | SMB 版本 1 支持 | 已禁用 |
| SMBv2.x | SMB 版本 2.x 支持 | 已启用 |
| SMBv3.x | SMB 版本 3 和 3.1.x 支持 | 已启用 |
| 高级稀疏文件支持 | 启用对 SMB 上 FSCTL_QUERY_ALLOCATED_RANGES 和 FSCTL_SET_ZERO_DATA 命令的支持。 FSCTL_QUERY_ALLOCATED_RANGES:此文件系统控制代码 (FSCTL) 允许 SMB 客户端查询实际分配的文件范围。 即:文件系统已代表这些范围分配块。 此 FSCTL 由 MS SQL Server 用作 DBCC 检查工作流的一部分。 Hyper-V 也使用它。 FSCTL_SET_ZERO_DATA:此 FSCTL 允许 SMB 客户端为扩展范围写入零。 使用此 FSCTL,客户端可以写入零,数字不超过为由一次操作置零的文件中数据的最大长度设置的值。 此外,任何与块对齐的写零范围也将执行打孔操作,而不是写入填充了零的块。 Azure NetApp 文件会返回零,而不是未分配的块。 此 FSCTL 被 MS SQL Server 用作 DBCC 检查工作流的一部分,它也被 Hyper-V 使用。 |
已启用 |
| FSCTL 文件级剪裁 | 通过文件剪裁,SMB 客户端可以剪裁文件的一个或多个数据范围。 将剪裁的范围的组合长度受到由一次操作置零的文件中数据的最大长度的值限制。 此 FSCTL 是文件系统释放范围的提示,这意味着执行在本质上是可选的。 从第一个范围开始,剪裁将一直进行到该范围,直到超出由一次操作置零的文件中数据的最大长度值。 Hyper-V 使用此 FSCTL 来提高空间效率。 例如,如果文件删除是在来宾 VM 内完成的,则对于存储,它可能会转换为此 FSCTL。 |
已启用 |
| 由一次操作置零的文件中数据的最大长度 | 单个文件置零操作允许的最大大小。 | 32 MB |
| 复制卸载 | 当源和目标在同一存储系统上时,进行文件的服务器端复制,而不是通过 SMB 协议进行复制 | 已禁用 |
| 每个 TCP 连接的相同用户会话数量上限 | 限制每个 TCP 连接的同时用户会话数。 | 2,500 |
| 每个会话的相同树连接数量上限 | 限制与同一 SMB 共享的同时树连接数量。 | 5,000 |
| 最大打开数,同一文件 | 限制在同一文件上打开的数量 | 1000 |
| 每个卷的最大监视数(更改通知) | 更改通知数量上限 | 500 |
| VSS 影子副本功能 | 用于对使用 Hyper-V over SMB 存储的数据执行远程备份。 VSS 影子副本仅支持用于 Hyper-V over SMB。 | 已启用 |
| SMB 的导出策略 | 通过导出策略,可以控制哪些客户端可通过 IP 地址/主机名装载 NAS 共享。 NFS 装载使用导出策略来控制访问。 SMB 卷在 Azure NetApp 文件中没有此功能。 相反,共享权限是 SMB 共享的访问控制。 | 已禁用 |
| 符号链接的重新分析点 | Azure NetApp 文件将符号链接显示为重新分析点,这意味着符号链接显示为快捷方式图标而不是文件夹图标。 Azure NetApp 文件目前不支持 SMB 的符号链接。 |
已启用 |
| 匿名用户访问 | 不允许对 Azure NetApp 文件卷进行匿名用户访问。 | 已禁用 |
| 删除只读文件 | 设置只读属性时,NTFS 删除语义不允许删除文件或文件夹。 UNIX 删除语义会忽略只读位,转而使用父目录权限来确定是否可以删除文件或文件夹。 默认设置处于禁用状态,这会导致将 NTFS 删除语义与双重协议卷配合使用。 | 已禁用 |
| 映射到根 UNIX 用户的 Windows 管理员 | Active Directory 中列为管理员的用户(或指定为 Active Directory 连接中的管理员的用户)将映射为双重协议环境中的 UNIX 用户根。 | 已启用 |
| SMB 会话断开连接之前的空闲超时 | 如果保持空闲状态,SMB 会话将保持连接 900 秒。 | 900 秒 |
| 动态访问控制 (DAC) | Azure NetApp 文件卷不支持 DAC。 | 已禁用 |
| 文件系统扇区大小 | Azure NetApp 文件将向客户端报告 4,096 字节的扇区大小。 在极少数情况下,Windows 应用程序需要 512 字节,Azure NetApp 文件不支持此大小。 如果担心扇区大小要求,请咨询应用程序供应商。 | 4,096b (4 KiB) |
| 假打开支持 | “假打开”(Fake open) 是 Azure NetApp 文件在查询有关文件和目录的属性信息时优化打开和关闭请求的方式之一,旨在提高性能。 在某些情况下,此功能可能会导致挂起的文件删除消息不会传递给尝试访问正在删除的文件的客户端。 | 已启用 |
| UNIX 扩展 | 如果启用 UNIX 扩展,SMB 服务器可以通过 SMB 将 POSIX/UNIX 安全信息传输到基于 UNIX 的客户端,该客户端随后将安全信息转换为 POSIX/UNIX 安全性。 只有当利用基于 SMB over Linux 的客户端(例如 macOS)时,才需要此选项。 | 已禁用 |
| 搜索短名称 | SMB 中的 []"短名称"](/openspecs/windows_protocols/ms-fscc/18e63b13-ba43-4f5f-a5b7-11e871b71f14) 将文件名称限制为名称不超过 8 个字符,扩展名不超过 3 个字符(8.3 格式)。 超出此限制的名称将被截断,并使用波形符 (~) 代替剩余字符。 例如,具有给定名称“not-a-short-name.txt”的文件会被缩短为“not-a-sh~.txt”。 不会在 Azure NetApp 文件中搜索短名称(SMB 查找功能会查找短名称和长名称)。 |
已禁用 |
| 来宾用户访问权限 | 不允许在 Azure NetApp 文件中进行来宾用户访问。 | 已禁用 |
| Null 用户访问 | 不允许在 Azure NetApp 文件中进行 NULL 用户访问。 | 已禁用 |
| 隐藏“dot”文件 | 隐藏名称前面有“.”的文件,例如 .ssh。 | 已禁用 |
| SMB 多通道 | 此 SMB 功能支持通过同一 SMB 共享装入点建立多个 TCP 连接,为某些工作负载提供更高的性能。 | 已启用 |
| 每个多通道会话的最大连接数 | 允许使用多通道同时建立的最大 TCP 连接数。 一般来说,4 个连接足以看到显著的性能提升。 | 32 |
| 大型 MTU | 与网络 MTU 大小无关。 相反,大型 MTU 是 SMB 协议允许传输的最大大小。 大型 MTU 类似于 NFS 中的 wsize/rsize。 Azure NetApp 文件支持 SMB 中高达 1 MB 的传输大小。 | 已启用 |
| 通过 TCP 端口 139 进行的 NetBIOS | 保持 TCP 端口 139 对 NetBIOS 流量打开。 | 已启用 |
| 通过 UDP 端口 137 进行的 NBNS | UDP 端口 137 对 NBNS 服务关闭。 | 已禁用 |
| SMB 最大额度 | SMB 额度确定了客户端在特定连接上可拥有的未完成的同时请求数。 Azure NetApp 文件允许每个连接最多 128 个请求,而 Windows 客户端可能会向Azure NetApp 文件发送比允许要多的同时请求数。 在这些情况下,请求会等待,直到新的额度可用。 有关详细信息,请参阅 SMB 文件服务器的优化参数。 | 128 |
Azure NetApp 文件中不支持的 SMB 功能
- 加密文件系统 (EFS)
- 变更日志中 NT 文件系统 (NTFS) 事件的日志记录
- Microsoft 文件复制服务 (FRS)
- Microsoft Windows 索引服务
- 通过分层存储管理 (HSM) 远程存储
- 来自 Windows 客户端的配额管理
- Windows 配额语义
- LMHOSTS 文件
- NTFS 本机压缩
Azure NetApp 文件中的 SMB 共享属性支持信息
| 共享属性 | 定义/注意事项 | Default |
|---|---|---|
| Oplocks | 传统的机会锁 (oplock) 和租用 oplock 在某些文件共享方案中启用 SMB 客户端,以执行对预读、后写和锁定信息的客户端缓存。 然后,客户端可以读取或写入文件,而无需定期提醒服务器它需要访问所讨论的文件。 这可减少网络流量以提高性能。 请注意,租用 oplock 是 SMB 2.1 协议及更高版本提供的增强型 oplock。 租用 oplock 允许客户端在由其自身发起的多个 SMB 打开时获取和保留客户端缓存状态。 | 已启用 |
| 可浏览 | 通过在 NetShareEnumAll 调用中排除共享,确定该共享是否在共享列表中可浏览/可见。 | 可配置 |
| 更改通知 | 目录更改通知是自动发生的共享内容列表的定期更新,无需刷新资源管理器窗口或重新连接到共享。 | 已启用 |
| 显示以前的版本 | 此属性使 SMB 共享能够在“以前的版本”选项卡下显示Azure NetApp 文件卷的快照副本。 | 已启用 |
| 显示快照 | 控制快照目录 (~snapshot) 是否对客户端可见。 如果启用,该目录可能被应用程序包含在文件系统扫描中(从而可能增加扫描时间),并且如果可能的话,应通过应用程序配置将其排除在外。 此外,如果使用脱机文件,~snapshot 也可能包含在缓存中,除非被显式排除。 | 可配置 |
| 离线文件 | 脱机文件是客户端将 SMB 共享中的数据本地缓存到客户端上来加快访问的一种方式。 在 Azure NetApp 文件中,此项设置为“手动”,这意味着 SMB 客户端需要启动文件缓存。 注意:如果在已配置脱机文件的共享上设置了“显示快照共享”属性,Windows 客户端会将所有快照副本缓存在用户主目录中的 ~snapshot 文件夹下。 如果下面一种或多种情况为 true,Windows 客户端会将所有快照副本缓存在目录下:
|
手动 |
| 基于访问权限的枚举 | 通过基于访问权限的枚举,可以配置 Azure NetApp 文件卷来隐藏没有访问权限的用户的 SMB 共享中的目录和文件。 | 可配置 |
| 加密(仅限 SMB3) | 为共享启用 SMB3 加密,这将加密客户端与 Azure NetApp 文件卷之间的 SMB 对话。 SMB3 加密可能会对 Azure NetApp 文件卷中的性能产生明显影响。 |
可配置 |
| 持续可用* | 持续可用 (CA) SMB 共享在 Azure NetApp 文件中的裸机系统之间提供锁镜像,从而提高硬件中断情况下的复原能力。 由于 SMB 共享中的锁镜像可能会影响性能,CA 共享仅适用于 SMB 共享上托管的下列工作负载:有关详细信息,请参阅为 Azure NetApp 文件创建 SMB 卷。 |
可配置 |