Azure NetApp Files 透過磁碟區即服務供應專案提供雲端常駐記憶體,並使用 NAS 通訊協定作為傳遞機制給終端使用者。 SMB 是其中一種支援的 NAS 通訊協定,可用來與 Azure NetApp Files 磁碟區搭配使用,並包含下列一般功能:
- 一或多個用戶端在任何指定時間同時存取的集中式數據。
- 協調鎖定管理來控制對檔案的存取,以防止使用者或未擁有鎖定的應用程式寫入鎖定的檔案。
- 透過檔案和資料夾許可權進行細微的訪問控制。
- 透過共用許可權共用訪問控制。
- 使用者和群組驗證服務。
如何在 Azure NetApp Files 中設定 SMB
Azure NetApp Files 中的 SMB 是先在 NetApp 帳戶中建立 Active Directory 連線來設定,這會提供已啟用 SMB 的 Azure NetApp Files 磁碟區加入及利用 Active Directory 網域服務所需的資訊。
如需如何在 Azure NetApp Files 中設定 SMB 的詳細資訊,請參閱:
- 建立適用於 Azure NetApp Files 的 SMB 磁碟區
- 建立 Azure NetApp Files 的雙重通訊協定磁碟區
- 了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針
- 了解 Azure NetApp Files 中的 Kerberos
Azure NetApp Files 中的 SMB 伺服器支援
使用 Azure NetApp Files 的 SMB 會在建立 SMB 伺服器時提供大量功能和組態常數。 下表概述 Azure NetApp Files 中 SMB 伺服器安全性選項的相關細節。
| 功能 | 定義 | 值 | 可在 Azure NetApp Files 中設定? |
|---|---|---|---|
| Kerberos (SMB) | 驗證通訊協定,以提供SMB共用的安全存取。 | N/A | 否 – 在建立 SMB 伺服器帳戶時自動設定。 |
| 最大 Kerberos 時間扭曲 | Kerberos 用戶端和 KDC 同步處理所允許的時間上限。 | 5 分鐘 | No |
| Kerberos 票證存留期 | 在需要更新 Kerberos 票證之前,Kerberos 票證在 Azure NetApp Files 中維持有效時間。 | 10 分鐘 | 否 (但可在 KDC 和 NAS 用戶端上設定) |
| 最大 Kerberos 票證更新 | 需要取得新的票證之前,可以更新 Kerberos 票證的時間長度。 | 7 天 | 否 (但可在 KDC 和 NAS 用戶端上設定) |
| Kerberos | 密鑰發佈中心 (KDC) 連線逾時之前,嘗試連線到 Kerberos KDC 之前多久才會逾時 | 3 秒 | No |
| 需要SMB簽署 | 判斷是否需要SMB簽署,才能允許存取。 啟用此功能時,沒有SMB簽署的用戶端將無法存取SMB共用。 停用此選項時,已啟用SMB簽署的用戶端將會使用SMB簽署,而沒有SMB簽署的用戶端則不需要SMB簽署即可存取。 SMB 簽署可能會對效能造成相當大的影響。 | False | No |
| LDAP 簽署 | 判斷LDAP連線是否會透過LDAP簽署使用安全連線。 | False | 是 (Active Directory 連線) |
| LM 相容性層級 | 支援的 LAN 管理員相容性。 | NTLMv2 Kerberos |
否 (如有需要,請從域控制器停用NTLMv2) |
| SMBv1 | SMB 第 1 版 | 已停用 | 否 (Azure NetApp Files 不支援 SMBv1) |
| 域控制器連線的SMBv2 | 使用SMBv2或更新的域控制器連線。 | 已啟用 | No |
| 域控制器連線的SMB加密 | 域控制器與已停用 Azure NetApp Files 之間的交談需要加密 | 是 (Active Directory 連線) | |
| SMB 連線的 AES 加密類型 | 允許對 Azure NetApp Files 磁碟區進行 SMB 連線的 AES 加密類型 | 已停用 | 是 (Active Directory 連線) |
| 嘗試通道系結 | 支援搭配域控制器使用 通道系結 。 | 已啟用 | No |
| 允許的 Kerberos 加密類型 | SMB Kerberos 允許的加密類型。 將會使用用戶端和伺服器支援的強式加密類型。 | RC4 DES AES-128* AES-256* |
是* (在 Active Directory 連線上啟用 AES 可控制是否支援 AES;否則僅支援/使用 RC4 和 DES) |
下表顯示 Azure NetApp Files 的 SMB 伺服器功能選項組態。 這些選項目前在 Azure NetApp Files 中都無法設定,不過,透過 SMB 連線到 Azure NetApp Files 磁碟區時,請注意這些行為仍然很有用。
| 功能 | 定義 | 值 |
|---|---|---|
| 讀取模式位的授與exec | SMB 用戶端將無法使用 UNIX 模式位執行可執行檔 | 已停用 |
| SMBv1 | SMB 第 1 版支援 | 已停用 |
| SMBv2.x | SMB 2.x 版支援 | 已啟用 |
| SMBv3.x | SMB 3 和 3.1.x 版支援 | 已啟用 |
| 進階疏鬆檔案支援 | 啟用透過SMB支援FSCTL_QUERY_ALLOCATED_RANGES和FSCTL_SET_ZERO_DATA命令。 FSCTL_QUERY_ALLOCATED_RANGES:此文件系統控制程式代碼 (FSCTL) 可讓SMB客戶端查詢實際配置的檔案範圍。 亦即:文件系統已代表這些範圍配置區塊。 MS SQL Server 會使用此 FSCTL 作為 DBCC 檢查工作流程的一部分。 Hyper-V 也會使用它。 FSCTL_SET_ZERO_DATA:此 FSCTL 可讓 SMB 用戶端為延伸範圍寫入零。 使用此 FSCTL,用戶端最多可以將零寫入一個作業中檔案中數據長度上限所設定的值。 此外,任何區塊對齊的寫入零範圍也會打孔,而不是以零填滿的寫入區塊。 Azure NetApp Files 會傳回無配置之區塊的零。 MS SQL Server 會使用此 FSCTL 作為 DBCC 檢查工作流程的一部分,以及 Hyper-V。 |
已啟用 |
| FSCTL 檔案層級修剪 | 檔案修剪可讓SMB用戶端修剪檔案的一或多個數據範圍。 將修剪的範圍合併長度受限於檔案中以一個作業為零的數據長度上限值。 此 FSCTL 是文件系統釋放範圍的提示,這表示執行本質上是選擇性的。 從第一個範圍開始,修剪直到超過檔案中以一個作業值為零的數據長度上限為止。 Hyper-V 會使用此 FSCTL 來提升空間效率。 例如,如果檔案刪除是在客體 VM 內完成,它可能會轉譯為記憶體的此 FSCTL。 |
已啟用 |
| 檔案中以一個作業為零的數據長度上限 | 單一檔案零作業允許的大小上限。 | 32 MB |
| 複製卸除 | 當來源和目的地位於相同的記憶體系統上時,而不是透過SMB通訊協定複製檔案的伺服器端複本 | 已停用 |
| 每個 TCP 連線的相同用戶會話上限 | 限制每個 TCP 連線的同時用戶會話數目。 | 2,500 |
| 每個會話的相同樹狀結構連線上限 | 限制相同SMB共享的同時樹狀結構連線數目。 | 5,000 |
| 開啟上限,相同的檔案 | 限制相同檔案上開啟的檔案數 | 1000 |
| 每個磁碟區的最大監看式(變更通知) | 變更通知數目上限 | 500 |
| VSS 陰影複製功能 | 用來執行透過SMB使用 Hyper-V 所儲存資料的遠端備份。 VSS 陰影複製僅支援透過SMB與 Hyper-V 搭配使用。 | 已啟用 |
| SMB 的導出原則 | 匯出原則允許控制哪些用戶端可以透過IP位址/主機名掛接NAS共用。 NFS 掛接會使用匯出原則來控制存取。 SMB 磁碟區在 Azure NetApp Files 中沒有此功能。 相反地, 共用許可權 是SMB共用的訪問控制。 | 已停用 |
| 重新分析符號連結的點 | Azure NetApp Files 會將符號連結顯示為重新分析點,這表示符號連結會顯示為快捷方式圖示,而不是資料夾圖示。 Azure NetApp Files 目前不支援 SMB 的符號連結。 |
已啟用 |
| 匿名使用者存取 | 不允許匿名使用者存取 Azure NetApp Files 磁碟區。 | 已停用 |
| 刪除唯讀檔案 | 設定唯讀屬性時,NTFS 刪除語意不允許刪除檔案或資料夾。 UNIX 刪除語意會忽略唯讀位,而是使用父目錄許可權來判斷是否可以刪除檔案或資料夾。 默認設定已停用,這會導致使用NTFS刪除語意搭配雙重通訊協定磁碟區。 | 已停用 |
| 對應至根 UNIX 使用者的 Windows 系統管理員 | Active Directory 中列為系統管理員的使用者(或指定為 Active Directory 連線中的系統管理員的使用者)會對應為雙重通訊協議環境中的 UNIX 使用者根目錄。 | 已啟用 |
| SMB 工作階段中斷連線之前閒置逾時 | 如果保持閑置狀態,SMB 會話會保持連線 900 秒。 | 900 秒 |
| 動態 存取控制 (DAC) | Azure NetApp Files 磁碟區不支援 DAC。 | 已停用 |
| 檔系統扇區大小 | Azure NetApp Files 會將扇區大小報告為 4,096 個字節給用戶端。 在罕見的情況下,Windows 應用程式需要 512 個字節,Azure NetApp Files 中不支援此位元組。 如果扇區大小需求有疑慮,請洽詢您的應用程式廠商。 | 4,096b(4 KiB) |
| Fake open support | 「假開啟」是 Azure NetApp Files 在查詢檔案和目錄屬性資訊以提升效能時,優化開啟和關閉要求的其中一種方式。 在某些情況下,這項功能可能會導致擱置的檔案刪除訊息不會傳遞至嘗試存取正在刪除之檔案的用戶端。 | 已啟用 |
| UNIX 擴充功能 | 啟用 UNIX 延伸模組可讓 SMB 伺服器透過 SMB 將 POSIX/UNIX 安全性資訊傳輸到 UNIX 型用戶端,然後將安全性資訊轉譯為 POSIX/UNIX 安全性。 只有在利用SMB over Linux型用戶端(例如macOS)時才需要此選項。 | 已停用 |
| 搜尋簡短名稱 | []“簡短名稱”](/openspecs/windows_protocols/ms-fscc/18e63b13-ba43-4f5f-a5b7-11e871b71f14)在 SMB 中將檔名限制為最多 8 個字符,而擴展名為 3 個字符(8.3)。 超過該限制的名稱會被截斷,並使用tilde (~) 取代其餘字元。 例如,指定名稱 「not-a-short-name.txt」 的檔案會縮短為 「not-a-sh~.txt」。 搜尋簡短名稱 (SMB 尋找尋找簡短和長名稱)不會在 Azure NetApp Files 中發生。 |
已停用 |
| 來賓使用者存取 (部分機器翻譯) | Azure NetApp Files 中不允許來賓使用者存取。 | 已停用 |
| Null 使用者存取 | Azure NetApp Files 中不允許 NULL 使用者存取權。 | 已停用 |
| 隱藏 「dot」 檔案 | 隱藏名稱前面的 「.」 檔案,例如 .ssh。 | 已停用 |
| SMB 多重通道 | 此 SMB 功能支援透過相同 SMB 共用裝入點的多個 TCP 連線,為某些工作負載提供更高的效能。 | 已啟用 |
| 每個多通道會話的連線數目上限 | 使用多通道同時允許的 TCP 連線上限。 一般而言, 有四個足以看到顯著的效能提升。 | 32 |
| 大型 MTU | 與網路 MTU 大小無關。 相反地,大型 MTU 是 SMB 通訊協定允許傳輸的大小上限。 大型 MTU 類似於 NFS 中的 wsize/rsize。 Azure NetApp Files 在 SMB 中支援最多 1 MB 的傳輸大小。 | 已啟用 |
| 透過 TCP 連接埠 139 的 NetBIOS | 讓 NETBIOS 流量保持 TCP 連接埠 139 開啟。 | 已啟用 |
| NBNS over UDP 連接埠 137 | UDP 連接埠 137 已關閉至 NBNS 服務。 | 已停用 |
| SMB 最大點數 | SMB 點數決定用戶端在特定連線上可以擁有的未處理同時要求數目。 Azure NetApp Files 允許每個連線最多 128 個,而 Windows 用戶端可能會傳送比允許的更多同時要求給 Azure NetApp Files。 在這些情況下,要求會等到有新的點數可用為止。 如需詳細資訊,請參閱 微調 SMB 檔伺服器的參數。 | 128 |
Azure NetApp Files 中不支援的 SMB 功能
- 加密檔案系統 (EFS)
- 變更紀錄中 NT 檔案系統 (NTFS) 事件的記錄
- Microsoft檔案復寫服務 (FRS)
- Microsoft Windows 索引服務
- 透過階層式記憶體管理遠端記憶體 (HSM)
- 來自 Windows 用戶端的配額管理
- Windows 配額語意
- LMHOSTS 檔案
- NTFS 原生壓縮
Azure NetApp Files 中的 SMB 共用屬性支持資訊
| 共用屬性 | 定義/考慮 | 預設 |
|---|---|---|
| Oplock | 傳統機會鎖定 (oplocks) 和租用 oplock 可讓 SMB 用戶端在特定檔案共用案例中執行預先讀取、寫入後置和鎖定資訊的用戶端快取。 然後,用戶端可以讀取或寫入檔案,而不定期提醒伺服器需要存取有問題的檔案。 這可藉由減少網路流量來改善效能。 請注意,租用 oplock 是 SMB 2.1 通訊協定和更新版本的增強型 oplock。 租用作業鎖定可讓用戶端取得並保留多個SMB開啟的用戶端快取狀態,其源自本身。 | 已啟用 |
| 可擷起 | 藉由在 NetShareEnumAll 呼叫中排除共用清單,判斷共用是否可瀏覽/可見。 | 可設定 |
| 變更通知 | 目錄變更通知 是共用內容清單的定期更新,這些清單會自動發生,而不需要重新整理 [總管] 視窗或重新連線至共用。 | 已啟用 |
| 顯示舊版 | 此屬性可讓 SMB 共用在 [ 舊版] 索引標籤下顯示 Azure NetApp Files 磁碟區的快照集復本。 | 已啟用 |
| 顯示快照集 | 控制用戶端是否可以看到快照集目錄 (~snapshot)。 如果啟用,目錄可能會包含在文件系統掃描中,而且可能會增加應用程式的掃描時間,並應盡可能透過應用程式設定加以排除。 此外,如果使用離線檔案,除非明確排除,否則 ~snapshot 也可能包含在快取中。 | 可設定 |
| 離線檔案 | 離線檔案是用戶端在用戶端本機快取SMB共用中數據,以加快存取速度的方式。 在 Azure NetApp Files 中,這會設定為「手動」,這表示 SMB 客戶端必須起始檔案快取。 注意:如果在已設定離線檔案的共享上設定 [顯示快照集共用] 屬性,Windows 用戶端會在使用者主目錄的 ~snapshot 資料夾下快取所有快照集複本。 如果下列其中一項成立,Windows 用戶端會快取目錄下的所有快照集復本:
|
手動 |
| 存取型列舉 | 存取型列舉是設定 Azure NetApp Files 磁碟區,以從沒有訪問許可權的使用者隱藏 SMB 共用中的目錄和檔案。 | 可設定 |
| 加密 (僅限 SMB3) | 啟用 共用的SMB3加密 ,這會加密用戶端與Azure NetApp Files磁碟區之間的SMB交談。 SMB3 加密可能會對 Azure NetApp Files 磁碟區中的效能產生明顯影響。 |
可設定 |
| 持續可用* | 持續可用的 (CA) SMB 共用可在 Azure NetApp Files 中的裸機系統之間提供鎖定鏡像,以在硬體中斷時改善復原能力。 由於SMB共用中鎖定鏡像效能的潛在影響,CA共用僅針對裝載於SMB共用的下列工作負載而限定:如需詳細資訊,請參閱 建立 Azure NetApp Files 的 SMB 磁碟區。 |
可設定 |