Dela via

Montera en SMB Azure-filresurs

  • Artikel

Processen som beskrivs i den här artikeln verifierar att SMB-filresursen och åtkomstbehörigheterna har konfigurerats korrekt och att du kan montera din SMB Azure-filresurs.

Gäller för

Typ av filresurs SMB NFS
Standardfilresurser (GPv2), LRS/ZRS Ja Inga
Standardfilresurser (GPv2), GRS/GZRS Ja Inga
Premiumfilresurser (FileStorage), LRS/ZRS Ja Nej

Monteringskrav

Innan du kan montera Azure-filresursen kontrollerar du att du har gått igenom följande krav:

  • Kontrollera att du har tilldelat behörigheter på resursnivå och konfigurerat katalog- och filnivåbehörigheter. Kom ihåg att rolltilldelning på resursnivå kan ta lite tid att börja gälla.
  • Om du monterar filresursen från en klient som tidigare har anslutit till filresursen med hjälp av lagringskontonyckeln kontrollerar du att du har kopplat från resursen och tagit bort lagringskontonyckelns beständiga autentiseringsuppgifter. Anvisningar om hur du tar bort cachelagrade autentiseringsuppgifter och tar bort befintliga SMB-anslutningar innan du initierar en ny anslutning med Active Directory-domän Services (AD DS) eller Microsoft Entra-autentiseringsuppgifter finns i tvåstegsprocessen på sidan Med vanliga frågor och svar.
  • Om DIN AD-källa är AD DS eller Microsoft Entra Kerberos måste klienten ha en obehindrad nätverksanslutning till din AD DS. Om datorn eller den virtuella datorn ligger utanför nätverket som hanteras av din AD DS måste du aktivera en VPN för att nå AD DS för autentisering.
  • Logga in på klienten med autentiseringsuppgifterna för den AD DS- eller Microsoft Entra-identitet som du har beviljat behörighet till.

Montera filresursen från en domänansluten virtuell dator

Kör följande PowerShell-skript eller använd Azure Portal för att beständigt montera Azure-filresursen och mappa den för att köra Z: i Windows. Om Z: redan används ersätter du det med en tillgänglig enhetsbeteckning. Eftersom du har autentiserats behöver du inte ange lagringskontonyckeln. Skriptet kontrollerar om det här lagringskontot är tillgängligt via TCP-port 445, vilket är den port som SMB använder. Kom ihåg att ersätta platshållarvärdena med dina egna värden. Mer information finns i Använda en Azure-filresurs med Windows.

Om du inte använder anpassade domännamn bör du montera Azure-filresurser med suffixet file.core.windows.net, även om du konfigurerar en privat slutpunkt för din resurs.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Du kan också använda net-use kommandot från en Windows-prompt för att montera filresursen. Kom ihåg att ersätta <YourStorageAccountName> och <FileShareName> med dina egna värden.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Om du stöter på problem läser du Det går inte att montera Azure-filresurser med AD-autentiseringsuppgifter.

Montera filresursen från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan AD-domän

Om din AD-källa är lokal AD DS kan icke-domänanslutna virtuella datorer eller virtuella datorer som är anslutna till en annan AD-domän än lagringskontot komma åt Azure-filresurser om de har en obehindrad nätverksanslutning till AD-domänkontrollanterna och anger explicita autentiseringsuppgifter (användarnamn och lösenord). Användaren som kommer åt filresursen måste ha en identitet och autentiseringsuppgifter i AD-domänen som lagringskontot är anslutet till.

Om din AD-källa är Microsoft Entra Domain Services måste den virtuella datorn ha obehindrat nätverksanslutning till domänkontrollanterna för Microsoft Entra Domain Services, som finns i Azure. Detta kräver vanligtvis att du konfigurerar ett plats-till-plats- eller punkt-till-plats-VPN. Användaren som kommer åt filresursen måste ha en identitet (en Microsoft Entra-identitet synkroniserad från Microsoft Entra-ID till Microsoft Entra Domain Services) i den hanterade domänen Microsoft Entra Domain Services.

Om du vill montera en filresurs från en icke-domänansluten virtuell dator använder du notationen username@domainFQDN, där domainFQDN är det fullständigt kvalificerade domännamnet. Detta gör att klienten kan kontakta domänkontrollanten för att begära och ta emot Kerberos-biljetter. Du kan hämta värdet för domainFQDN genom att köra (Get-ADDomain).Dnsroot i Active Directory PowerShell.

Till exempel:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Om din AD-källa är Microsoft Entra Domain Services kan du även ange autentiseringsuppgifter som DOMAINNAME\username där DOMAINNAME är domänen Microsoft Entra Domain Services och användarnamnet är identitetens användarnamn i Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Kommentar

Azure Files stöder inte SID-till UPN-översättning för användare och grupper från en icke-domänansluten virtuell dator eller en virtuell dator som är ansluten till en annan domän via Windows Utforskaren. Om du vill visa fil-/katalogägare eller visa/ändra NTFS-behörigheter via Windows Utforskaren kan du bara göra det från domänanslutna virtuella datorer.

Montera filresurser med anpassade domännamn

Om du inte vill montera Azure-filresurser med suffixet file.core.windows.netkan du ändra suffixet för lagringskontonamnet som är associerat med Azure-filresursen och sedan lägga till en kanonisk namnpost (CNAME) för att dirigera det nya suffixet till slutpunkten för lagringskontot. Följande instruktioner gäller endast för miljöer med en enda skog. Information om hur du konfigurerar miljöer som har två eller flera skogar finns i Använda Azure Files med flera Active Directory-skogar.

Kommentar

Azure Files stöder endast konfiguration av CNAMES med lagringskontonamnet som ett domänprefix. Om du inte vill använda lagringskontots namn som prefix bör du överväga att använda DFS-namnområden.

I det här exemplet har vi Active Directory-domänen onpremad1.com och vi har ett lagringskonto med namnet mystorageaccount som innehåller SMB Azure-filresurser. Först måste vi ändra SPN-suffixet för lagringskontot för att mappa mystorageaccount.onpremad1.com till mystorageaccount.file.core.windows.net.

Detta gör det möjligt för klienter att montera resursen med net use \\mystorageaccount.onpremad1.com eftersom klienter i onpremad1 vet att söka onpremad1.com för att hitta rätt resurs för lagringskontot.

Utför följande steg för att använda den här metoden:

  1. Kontrollera att du har konfigurerat identitetsbaserad autentisering. Om AD-källan är AD DS eller Microsoft Entra Kerberos kontrollerar du att du har synkroniserat dina AD-användarkonton med Microsoft Entra-ID.

  2. Ändra SPN för lagringskontot med hjälp av setspn verktyget. Du hittar <DomainDnsRoot> genom att köra följande Active Directory PowerShell-kommando: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Lägg till en CNAME-post med Active Directory DNS Manager och följ stegen nedan för varje lagringskonto i domänen som lagringskontot är anslutet till. Om du använder en privat slutpunkt lägger du till CNAME-posten för att mappa till det privata slutpunktsnamnet.

    1. Öppna Active Directory DNS Manager.
    2. Gå till din domän (till exempel onpremad1.com).
    3. Gå till "Framåtblickande zoner".
    4. Välj noden med namnet efter din domän (till exempel onpremad1.com) och högerklicka på Nytt alias (CNAME).
    5. Ange namnet på ditt lagringskonto för aliasnamnet.
    6. För det fullständigt kvalificerade domännamnet (FQDN) anger du <storage-account-name>.<domain-name>, till exempel mystorageaccount.onpremad1.com. Värdnamnets del av FQDN måste matcha lagringskontots namn. Annars får du ett felmeddelande om nekad åtkomst under SMB-sessionskonfigurationen.
    7. För målvärdens FQDN anger du <storage-account-name>.file.core.windows.net
    8. Välj OK.

Nu bör du kunna montera filresursen med hjälp av storageaccount.domainname.com. Du kan också montera filresursen med hjälp av lagringskontonyckeln.

Gå vidare

Om den identitet som du skapade i AD DS för att representera lagringskontot finns i en domän eller organisationsenhet som tillämpar lösenordsrotation kan du behöva uppdatera lösenordet för lagringskontots identitet i AD DS.