Sdílet prostřednictvím

Připojení sdílené složky Azure SMB

  • Článek

Proces popsaný v tomto článku ověří, že je správně nastavená sdílená složka SMB a přístupová oprávnění a že můžete připojit sdílenou složku SMB Azure.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Požadavky na připojení

Než budete moct připojit sdílenou složku Azure, ujistěte se, že jste prošli následujícími požadavky:

  • Ujistěte se, že jste přiřadili oprávnění na úrovni sdílené složky a nakonfigurovali oprávnění adresáře a souboru. Mějte na paměti, že přiřazení role na úrovni sdílené složky může nějakou dobu trvat.
  • Pokud připojujete sdílenou složku z klienta, který se dříve připojil ke sdílené složce pomocí klíče účtu úložiště, ujistěte se, že jste odpojili sdílenou složku a odebrali trvalé přihlašovací údaje klíče účtu úložiště. Pokyny k odebrání přihlašovacích údajů uložených v mezipaměti a odstranění existujících připojení SMB před inicializací nového připojení se službou Doména služby Active Directory Services (AD DS) nebo přihlašovacími údaji Microsoft Entra postupujte podle dvou kroků na stránce Nejčastější dotazy.
  • Pokud je zdrojem ad ds nebo Microsoft Entra Kerberos, váš klient musí mít nešifrované síťové připojení k vaší službě AD DS. Pokud se váš počítač nebo virtuální počítač nachází mimo síť spravovanou službou AD DS, budete muset povolit síť VPN, aby bylo možné se připojit ke službě AD DS za účelem ověření.
  • Přihlaste se k klientovi pomocí přihlašovacích údajů služby AD DS nebo identity Microsoft Entra, ke které jste udělili oprávnění.

Připojení sdílené složky z virtuálního počítače připojeného k doméně

Spusťte následující skript PowerShellu nebo pomocí webu Azure Portal trvale připojte sdílenou složku Azure a namapujte ji na jednotku Z: ve Windows. Pokud se již používá jednotka Z:, nahraďte ji jiným dostupným písmenem. Vzhledem k tomu, že jste byli ověřeni, nebudete muset zadat klíč účtu úložiště. Skript zkontroluje, jestli je tento účet úložiště přístupný přes port TCP 445, což je port, který protokol SMB používá. Nezapomeňte nahradit zástupné hodnoty vlastními hodnotami. Další informace najdete v tématu Použití sdílené složky Azure s Windows.

Pokud nepoužíváte vlastní názvy domén, měli byste připojit sdílené složky Azure pomocí přípony file.core.windows.net, a to i v případě, že jste pro sdílenou složku nastavili privátní koncový bod.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

K připojení sdílené složky můžete použít net-use také příkaz z příkazového řádku systému Windows. Nezapomeňte nahradit <YourStorageAccountName> a <FileShareName> použít vlastní hodnoty.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Pokud narazíte na problémy, přečtěte si téma Nejde připojit sdílené složky Azure s přihlašovacími údaji AD.

Připojení sdílené složky z virtuálního počítače, který není připojený k doméně, nebo virtuálního počítače připojeného k jiné doméně AD

Pokud je váš zdroj AD místní služba AD DS, pak virtuální počítače nebo virtuální počítače, které nejsou připojené k doméně připojené k jiné doméně AD, než je účet úložiště, mají přístup ke sdíleným složkám Azure, pokud mají nekompilované síťové připojení k řadičům domény AD a poskytují explicitní přihlašovací údaje (uživatelské jméno a heslo). Uživatel, který přistupuje ke sdílené složce, musí mít identitu a přihlašovací údaje v doméně AD, ke které je účet úložiště připojený.

Pokud je vaším zdrojem AD Služba Microsoft Entra Domain Services, musí mít virtuální počítač nekompilované síťové připojení k řadičům domény pro službu Microsoft Entra Domain Services, která se nachází v Azure. Obvykle to vyžaduje nastavení vpn typu site-to-site nebo point-to-site. Uživatel, který přistupuje ke sdílené složce, musí mít identitu (identitu Microsoft Entra synchronizovanou z MICROSOFT Entra ID do služby Microsoft Entra Domain Services) ve spravované doméně Microsoft Entra Domain Services.

Pokud chcete připojit sdílenou složku z virtuálního počítače, který není připojený k doméně, použijte notaci username@domainFQDN, kde název doményFQDN je plně kvalifikovaný název domény. To klientovi umožní kontaktovat řadič domény a požádat o přijetí lístků Protokolu Kerberos. Hodnotu doményFQDN můžete získat spuštěním (Get-ADDomain).Dnsroot v Active Directory PowerShellu.

Příklad:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Pokud je zdrojem SLUŽBY AD služba Microsoft Entra Domain Services, můžete také zadat přihlašovací údaje, jako je DOMAINNAME\username , kde DOMAINNAME je doména služby Microsoft Entra Domain Services a uživatelské jméno je uživatelské jméno identity ve službě Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Poznámka:

Azure Files nepodporuje překlad SID na hlavní název uživatele (UPN) pro uživatele a skupiny z virtuálního počítače připojeného k doméně nebo virtuálního počítače připojeného k jiné doméně přes Windows Průzkumník souborů. Pokud chcete zobrazit vlastníky souborů, adresářů nebo zobrazit nebo upravit oprávnění NTFS přes Windows Průzkumník souborů, můžete to udělat jenom z virtuálních počítačů připojených k doméně.

Připojení sdílených složek pomocí vlastních názvů domén

Pokud nechcete připojit sdílené složky Azure pomocí přípony file.core.windows.net, můžete upravit příponu názvu účtu úložiště přidruženého ke sdílené složce Azure a pak přidat záznam CNAME (Canonical Name) pro směrování nové přípony do koncového bodu účtu úložiště. Následující pokyny platí jenom pro prostředí s jednou doménovou strukturou. Informace o konfiguraci prostředí se dvěma nebo více doménovými strukturami najdete v tématu Použití služby Azure Files s více doménovými strukturami active directory.

Poznámka:

Azure Files podporuje konfiguraci CNAMES pouze pomocí názvu účtu úložiště jako předpony domény. Pokud nechcete jako předponu použít název účtu úložiště, zvažte použití oborů názvů DFS.

V tomto příkladu máme doménu služby Active Directory onpremad1.com a máme účet úložiště s názvem mystorageaccount , který obsahuje sdílené složky SMB Azure. Nejprve musíme upravit příponu hlavního názvu služby (SPN) účtu úložiště, aby se mapovat mystorageaccount.onpremad1.com na mystorageaccount.file.core.windows.net.

To umožní klientům připojit sdílenou složku net use \\mystorageaccount.onpremad1.com , protože klienti v onpremad1 budou vědět, že prohledávají onpremad1.com najít správný prostředek pro tento účet úložiště.

Pokud chcete použít tuto metodu, proveďte následující kroky:

  1. Ujistěte se, že jste nastavili ověřování na základě identity. Pokud je zdrojem ad ds nebo Microsoft Entra Kerberos, ujistěte se, že jste synchronizovali své uživatelské účty AD s Microsoft Entra ID.

  2. Upravte hlavní název služby (SPN) účtu úložiště pomocí setspn tohoto nástroje. Najdete <DomainDnsRoot> ho spuštěním následujícího příkazu Active Directory PowerShellu: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Přidejte položku CNAME pomocí Správce DNS služby Active Directory a postupujte podle následujících kroků pro každý účet úložiště v doméně, ke které je účet úložiště připojený. Pokud používáte privátní koncový bod, přidejte položku CNAME, která se mapuje na název privátního koncového bodu.

    1. Otevřete Správce DNS služby Active Directory.
    2. Přejděte do své domény (například onpremad1.com).
    3. Přejděte do části "Dopředné zóny vyhledávání".
    4. Vyberte uzel pojmenovaný po vaší doméně (například onpremad1.com) a klikněte pravým tlačítkem na Nový alias (CNAME).
    5. Jako název aliasu zadejte název účtu úložiště.
    6. Jako plně kvalifikovaný název domény (FQDN) zadejte <storage-account-name>.<domain-name>, například mystorageaccount.onpremad1.com. Část názvu hostitele plně kvalifikovaného názvu domény musí odpovídat názvu účtu úložiště. V opačném případě se během instalace relace SMB zobrazí chyba odepření přístupu.
    7. Jako plně kvalifikovaný název domény cílového hostitele zadejte <storage-account-name>.file.core.windows.net
    8. Vyberte OK.

Teď byste měli být schopni připojit sdílenou složku pomocí storageaccount.domainname.com. Sdílenou složku můžete připojit také pomocí klíče účtu úložiště.

Další krok

Pokud je identita, kterou jste vytvořili ve službě AD DS, která představuje účet úložiště, v doméně nebo organizační jednotky, která vynucuje obměnu hesel, možná budete muset aktualizovat heslo identity účtu úložiště ve službě AD DS.