Partilhar via


Montar um compartilhamento de arquivos do Azure SMB

O processo descrito neste artigo verifica se suas permissões de compartilhamento de arquivos e acesso SMB estão configuradas corretamente e se você pode montar seu compartilhamento de arquivos SMB Azure.

Aplica-se a

Tipo de partilhas de ficheiros SMB NFS
Partilhas de ficheiros Standard (GPv2), LRS/ZRS Yes No
Partilhas de ficheiros Standard (GPv2), GRS/GZRS Yes No
Partilhas de ficheiros Premium (FileStorage), LRS/ZRS Yes No

Pré-requisitos de montagem

Antes de montar o compartilhamento de arquivos do Azure, verifique se você passou pelos seguintes pré-requisitos:

  • Verifique se você atribuiu permissões de nível de compartilhamento e configurou permissões de nível de diretório e arquivo. Lembre-se de que a atribuição de função de nível de compartilhamento pode levar algum tempo para entrar em vigor.
  • Se estiver a montar a partilha de ficheiros a partir de um cliente que se tenha ligado anteriormente à partilha de ficheiros utilizando a chave da sua conta de armazenamento, certifique-se de que desligou a partilha e removeu as credenciais persistentes da chave da conta de armazenamento. Para obter instruções sobre como remover credenciais armazenadas em cache e excluir conexões SMB existentes antes de inicializar uma nova conexão com os Serviços de Domínio Ative Directory (AD DS) ou credenciais do Microsoft Entra, siga o processo de duas etapas na página de Perguntas Frequentes.
  • Se a origem do AD for AD DS ou Microsoft Entra Kerberos, o cliente deverá ter conectividade de rede desimpedida com o AD DS. Se o computador ou a VM estiver fora da rede gerida pelo AD DS, terá de ativar a VPN para aceder ao AD DS para autenticação.
  • Entre no cliente usando as credenciais da identidade AD DS ou Microsoft Entra para a qual você concedeu permissões.

Monte o compartilhamento de arquivos a partir de uma VM associada a um domínio

Execute o seguinte script do PowerShell ou use o portal do Azure para montar persistentemente o compartilhamento de arquivos do Azure e mapeá-lo para a unidade Z: no Windows. Se Z: a ser utilizado, substitua por uma letra de unidade disponível. Como você foi autenticado, não precisará fornecer a chave da conta de armazenamento. O script verificará se essa conta de armazenamento está acessível através da porta TCP 445, que é a porta que o SMB usa. Lembre-se de substituir os valores de espaço reservado por seus próprios valores. Para obter mais informações, consulte Usar um compartilhamento de arquivos do Azure com o Windows.

A menos que você esteja usando nomes de domínio personalizados, você deve montar compartilhamentos de arquivos do Azure usando o sufixo file.core.windows.net, mesmo se você configurar um ponto de extremidade privado para seu compartilhamento.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Você também pode usar o net-use comando de um prompt do Windows para montar o compartilhamento de arquivos. Lembre-se de substituir <YourStorageAccountName> e <FileShareName> com seus próprios valores.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Se você tiver problemas, consulte Não é possível montar compartilhamentos de arquivos do Azure com credenciais do AD.

Monte o compartilhamento de arquivos de uma VM não associada ao domínio ou de uma VM ingressada em um domínio do AD diferente

Se a origem do AD for o AD DS local, as VMs ou VMs não associadas ao domínio que ingressaram em um domínio do AD diferente da conta de armazenamento poderão acessar compartilhamentos de arquivos do Azure se tiverem conectividade de rede desimpedida com os controladores de domínio do AD e fornecerem credenciais explícitas (nome de usuário e senha). O usuário que acessa o compartilhamento de arquivos deve ter uma identidade e credenciais no domínio do AD ao qual a conta de armazenamento está associada.

Se a origem do AD for os Serviços de Domínio Microsoft Entra, a VM deverá ter conectividade de rede desimpedida com os controladores de domínio dos Serviços de Domínio Microsoft Entra, localizados no Azure. Isso geralmente requer a configuração de uma VPN site a site ou ponto a site. O usuário que acessa o compartilhamento de arquivos deve ter uma identidade (uma identidade do Microsoft Entra sincronizada da ID do Microsoft Entra com os Serviços de Domínio do Microsoft Entra) no domínio gerenciado dos Serviços de Domínio do Microsoft Entra.

Para montar um compartilhamento de arquivos a partir de uma VM não associada a um domínio, use a notação username@domainFQDN, onde domainFQDN é o nome de domínio totalmente qualificado. Isso permitirá que o cliente entre em contato com o controlador de domínio para solicitar e receber tíquetes Kerberos. Você pode obter o valor de domainFQDN executando (Get-ADDomain).Dnsroot no Ative Directory PowerShell.

Por exemplo:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Se a origem do AD for os serviços de Domínio Microsoft Entra, você também poderá fornecer credenciais como DOMAINNAME\username , onde DOMAINNAME é o domínio dos Serviços de Domínio Microsoft Entra e username é o nome de usuário da identidade nos Serviços de Domínio Microsoft Entra:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Nota

Os Arquivos do Azure não oferecem suporte à conversão de SID para UPN para usuários e grupos de uma VM que não ingressou no domínio ou de uma VM ingressada em um domínio diferente por meio do Explorador de Arquivos do Windows. Se pretender visualizar proprietários de ficheiros/diretórios ou visualizar/modificar permissões NTFS através do Explorador de Ficheiros do Windows, pode fazê-lo apenas a partir de VMs associadas a domínios.

Montar compartilhamentos de arquivos usando nomes de domínio personalizados

Se não quiser montar compartilhamentos de arquivos do Azure usando o sufixo file.core.windows.net, você pode modificar o sufixo do nome da conta de armazenamento associado ao compartilhamento de arquivos do Azure e adicionar um registro de nome canônico (CNAME) para rotear o novo sufixo para o ponto de extremidade da conta de armazenamento. As instruções a seguir são apenas para ambientes de floresta única. Para saber como configurar ambientes com duas ou mais florestas, consulte Usar arquivos do Azure com várias florestas do Ative Directory.

Nota

Os Arquivos do Azure dão suporte apenas à configuração de CNAMES usando o nome da conta de armazenamento como um prefixo de domínio. Se você não quiser usar o nome da conta de armazenamento como um prefixo, considere usar namespaces DFS.

Neste exemplo, temos o domínio do Ative Directory onpremad1.com e temos uma conta de armazenamento chamada mystorageaccount que contém compartilhamentos de arquivos SMB Azure. Primeiro, precisamos modificar o sufixo SPN da conta de armazenamento para mapear mystorageaccount.onpremad1.com para mystorageaccount.file.core.windows.net.

Isso permitirá que os clientes montem o compartilhamento com net use \\mystorageaccount.onpremad1.com porque os clientes em onpremad1 saberão pesquisar onpremad1.com para encontrar o recurso adequado para essa conta de armazenamento.

Para usar esse método, conclua as seguintes etapas:

  1. Certifique-se de que configurou a autenticação baseada em identidade. Se a origem do AD for AD DS ou Microsoft Entra Kerberos, certifique-se de que sincronizou a(s) sua(s) conta(s) de utilizador do AD com o ID do Microsoft Entra.

  2. Modifique o SPN da conta de armazenamento usando a setspn ferramenta. Você pode encontrar <DomainDnsRoot> executando o seguinte comando do PowerShell do Ative Directory: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
    
  3. Adicione uma entrada CNAME usando o Gerenciador DNS do Ative Directory e siga as etapas abaixo para cada conta de armazenamento no domínio ao qual a conta de armazenamento está associada. Se você estiver usando um ponto de extremidade privado, adicione a entrada CNAME para mapear para o nome do ponto de extremidade privado.

    1. Abra o Gerenciador de DNS do Ative Directory.
    2. Aceda ao seu domínio (por exemplo, onpremad1.com).
    3. Vá para "Zonas de pesquisa direta".
    4. Selecione o nó com o nome do seu domínio (por exemplo, onpremad1.com) e clique com o botão direito do mouse em Novo Alias (CNAME).
    5. Para o nome do alias, insira o nome da sua conta de armazenamento.
    6. Para o nome de domínio totalmente qualificado (FQDN), digite <storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. A parte do nome do host do FQDN deve corresponder ao nome da conta de armazenamento. Caso contrário, você receberá um erro de acesso negado durante a configuração da sessão SMB.
    7. Para o FQDN do host de destino, digite <storage-account-name>.file.core.windows.net
    8. Selecione OK.

Agora você deve ser capaz de montar o compartilhamento de arquivos usando storageaccount.domainname.com. Você também pode montar o compartilhamento de arquivos usando a chave da conta de armazenamento.

Próximo passo

Se a identidade criada no AD DS para representar a conta de armazenamento estiver em um domínio ou UO que imponha a rotação de senha, talvez seja necessário atualizar a senha da identidade da conta de armazenamento no AD DS.