Windows11 24H2 でAzureFilesのマウントができなくなった

(株)平賀 藤本 直樹 0 評価のポイント
2024-11-15T07:16:05.3866667+00:00

下記のような構成で、ストレージアカウントのファイル共有をSMBでマウントして運用しています。

・オンプレミスのActiveDirectoryドメインコントローラーでEntra Connectを使用してEntraIDに同期

・ストレージアカウントでIDベースのアクセス(AD DS構成)を構成

・既定の共有レベルのアクセス許可は「認証されているすべてのユーザーとグループについてアクセス許可を有効にする」を選択し、「記憶域ファイルデータのSMB共有の管理者特権の共同作成者」を割り当てている

この状態で、Windows10およびWindows11 23H2まではマウントできていたのですが、

Windows11 24H2にアップデートしたところマウントができず、資格情報の入力画面が表示されるようになってしまいました。

資格情報の入力で、ストレージアカウントおよびアクセスキーを入力すればマウントはできますが、

ACLの設定が効かないため、組織での運用には適しません。

何か、24H2での特別な要件があるのでしょうか。

Azure
Azure
Microsoft が管理する世界のデータ センター ネットワークを介してアプリケーションとサービスを構築、配置、および管理するインフラストラクチャおよびクラウド コンピューティング プラットフォーム。
495 件の質問
Active Directory
Active Directory
Windows Server に含まれるディレクトリベースのテクノロジのセット。
32 件の質問
0 件のコメント コメントはありません
{count} 件の投票

1 件の回答

並べ替え方法: 最も役に立つ
  1. チャブーン 1,706 評価のポイント MVP
    2024-11-19T07:43:32.41+00:00

    チャブーンです。

    この件ですが、Azure FilesのAD DSの設定には、以下の2つが必須です。

    • Azure Files接続時に、クライアントがドメインコントローラーと直接通信・名前解決ができる
    • Microsoft Entra Kerberosとの併用の際に[ホスト名から Kerberos 領域へのマッピングを定義する]ポリシーの設定を行っていること

    https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-identity-auth-hybrid-identities-enable?tabs=azure-portal%2Cgpo#configure-coexistence-with-storage-accounts-using-on-premises-ad-ds


    クライアントで次のグループ ポリシーを構成します。管理用テンプレート\システム\Kerberos\ホスト名から Kerberos 領域へのマッピングを定義する

    ポリシーを 有効 に設定します

    次に、表示... ボタンをクリックして、ホスト名から領域へのマッピングのリストを定義します。 AD DS 用に構成されたストレージ アカウントごとに、以下のエントリを追加します。

    値 は、AD DS 対応ストレージ アカウントのホスト名であり、<あなたの ストレージ アカウント名>.file.core.windows.net となります

    値の名前 は AD DS 領域名です


    切り分けのためにグループポリシーの設定を行ってみることは有効かとおもいます。それでだめ、ということであれば、クライアントがドメインコントローラーと直接通信できないことが原因の可能性が高いです。オンプレミス環境を再確認してみてください。


お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。