Monter un partage de fichiers SMB Azure
Le processus décrit dans cet article vérifie que votre partage de fichiers SMB et vos autorisations d’accès sont correctement configurés, et que vous pouvez monter votre partage de fichiers Azure SMB.
S’applique à
| Type de partage de fichiers | SMB | NFS |
|---|---|---|
| Partages de fichiers Standard (GPv2), LRS/ZRS |  |
 |
| Partages de fichiers Standard (GPv2), GRS/GZRS | |
|
| Partages de fichiers Premium (FileStorage), LRS/ZRS | |
|
Composants requis du montage
Avant de monter le partage de fichiers Azure, assurez-vous que vous avez tenu compte des composants requis ci-après :
- Veillez à avoir attribué des autorisations au niveau du partage et configuré des autorisations au niveau des répertoires et des fichiers. Pour rappel, l’attribution de rôles au niveau du partage peut prendre un certain temps.
- Si vous montez le partage de fichiers à partir d’un client qui l’a précédemment connecté au partage de fichiers en utilisant votre clé de compte de stockage, vérifiez que vous avez déconnecté le partage et supprimé les informations d’identification persistantes de la clé de compte de stockage. Pour obtenir des instructions sur la suppression des informations d’identification mises en cache et la suppression des connexions SMB existantes avant d’initialiser une nouvelle connexion avec les informations d’identification Active Directory Domain Services (AD DS) ou Microsoft Entra, suivez le processus en deux étapes décrit dans la page FAQ.
- Si votre source AD est AD DS ou Microsoft Entra Kerberos, votre client doit avoir une connectivité réseau non bloquée à votre AD DS. Si votre machine ou machine virtuelle ne se trouve pas sur le réseau géré par votre instance AD DS, vous devez activer le VPN de façon à atteindre AD DS à des fins d’authentification.
- Connectez-vous au client en utilisant les informations d’identification de l’identité AD DS ou Microsoft Entra à laquelle vous avez octroyé des autorisations.
Monter le partage de fichiers Azure à partir d’une machine virtuelle jointe à un domaine
Exécutez le script PowerShell suivant ou utilisez le Portail Azure pour monter de façon permanente le partage de fichiers Azure et le mapper au lecteur Z: sur Windows. Si Z: est déjà utilisé, remplacez-le par une lettre de lecteur disponible. Étant donné que vous avez été authentifié, vous n’avez pas besoin de fournir la clé de compte de stockage. Le script vérifie si ce compte de stockage est accessible via le port TCP 445, qui est le port que SMB utilise. Remplacez les valeurs d’espace réservé par vos propres valeurs. Pour plus d’informations, consultez Utiliser un partage de fichiers Azure avec Windows.
À moins que vous n’utilisiez des noms de domaine personnalisés, vous devez monter les partages de fichiers Azure à l’aide du suffixe file.core.windows.net, même si vous configurez un point de terminaison privé pour votre partage.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
Vous pouvez également utiliser la commande net-use à partir d’une invite Windows pour monter le partage de fichiers. Assurez-vous de remplacer <YourStorageAccountName> et <FileShareName> par vos propres valeurs.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Si vous rencontrez des problèmes, consultez Impossible de monter des partages de fichiers Azure avec des informations d’identification AD.
Monter le partage de fichiers depuis une machine virtuelle non jointe à un domaine ou d’une machine virtuelle jointe à un autre domaine AD
Si votre source AD est AD DS local, les machines virtuelles ou machines virtuelles non jointes à un domaine AD différent du compte de stockage peuvent accéder aux partages de fichiers Azure s’ils ont une connectivité réseau non bloquée aux contrôleurs de domaine AD et fournissent des informations d’identification explicites (nom d’utilisateur et mot de passe). L’utilisateur qui accède au partage de fichiers doit avoir une identité et des informations d’identification dans le domaine AD auquel le compte de stockage est joint.
Si votre source AD est Microsoft Entra Domain Services, la machine cliente doit avoir une connectivité réseau non bloquée aux contrôleurs du domaine pour Microsoft Entra Domain Services qui se trouvent dans Azure. Cela nécessite généralement la configuration d’un VPN site à site ou point à site. L'utilisateur qui accède au partage de fichiers doit avoir une identité (une identité Microsoft Entra synchronisée entre Microsoft Entra ID et Microsoft Entra Domain Services) dans le domaine managé par Microsoft Entra Domain Services.
Pour monter un partage de fichiers à partir d’une machine virtuelle non jointe à un domaine, utilisez la notation username@domainFQDN, où domainFQDN est le nom de domaine complet. Cela permet au client de contacter le contrôleur de domaine pour demander et recevoir des tickets Kerberos. Vous pouvez obtenir la valeur de domainFQDN en exécutant (Get-ADDomain).Dnsroot dans Active Directory PowerShell.
Par exemple :
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Si votre source AD est Microsoft Entra Domain Services, vous pouvez également fournir des informations d’identification telles que NOMDEDOMAINE\nomd’utilisateur où NOMDEDOMAINE est le domaine Microsoft Entra Domain Services et nom d’utilisateur est le nom d’utilisateur de l’identité dans Microsoft Entra Domain Services :
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Remarque
Azure Files ne prend pas en charge la traduction des SID en UPN pour les utilisateurs et les groupes à partir d’une machine virtuelle non jointe à un domaine ou jointe à un autre domaine via l’Explorateur de fichiers Windows. Si vous souhaitez afficher les propriétaires de fichiers/répertoires ou afficher/modifier les autorisations NTFS via l’Explorateur de fichiers Windows, vous pouvez le faire uniquement à partir de machines virtuelles jointes à un domaine.
Monter des partages de fichiers à l’aide de noms de domaine personnalisés
Si vous ne souhaitez pas monter de partages de fichiers Azure à l’aide du suffixe file.core.windows.net, vous pouvez modifier le suffixe du nom du compte de stockage associé au partage de fichiers Azure, puis ajouter un enregistrement CNAME (nom canonique) pour router le nouveau suffixe au point de terminaison du compte de stockage. Les instructions suivantes s’appliquent uniquement aux environnements comprenant une seule forêt. Pour savoir comment configurer des environnements ayant au moins deux forêts, consultez Utiliser Azure Files avec plusieurs forêts Active Directory.
Remarque
Azure Files prend uniquement en charge la configuration d’enregistrements CNAME en utilisant le nom du compte de stockage en tant que préfixe de domaine. Si vous ne souhaitez pas utiliser le nom du compte de stockage en tant que préfixe, utilisez des espaces de noms DFS.
Dans cet exemple, nous avons le domaine Active Directory onpremad1.com ainsi qu’un compte de stockage appelé mystorageaccount, qui contient des partages de fichiers Azure SMB. Tout d’abord, nous devons modifier le suffixe SPN du compte de stockage pour mapper mystorageaccount.onpremad1.com à mystorageaccount.file.core.windows.net.
Cela permet aux clients de monter le partage avec net use \\mystorageaccount.onpremad1.com, car les clients de onpremad1 savent qu’il faut effectuer une recherche dans onpremad1.com afin de trouver la ressource appropriée pour ce compte de stockage.
Pour utiliser cette méthode, effectuez les étapes suivantes :
Vérifiez que vous avez configuré l’authentification basée sur l’identité. Si votre source AD est AD DS ou Microsoft Entra Kerberos, vérifiez que vous avez synchronisé votre ou vos compte d’utilisateur AD avec Microsoft Entra ID.
Modifiez le SPN du compte de stockage à l’aide de l’outil
setspn. Vous pouvez trouver<DomainDnsRoot>en exécutant la commande Active Directory PowerShell suivante :(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Ajoutez une entrée CNAME à l’aide du Gestionnaire DNS Active Directory et suivez les étapes ci-dessous pour chaque compte de stockage du domaine auquel le compte de stockage est joint. Si vous utilisez un point de terminaison privé, ajoutez l’entrée CNAME pour mapper à son nom.
- Ouvrez le Gestionnaire DNS Active Directory.
- Accédez à votre domaine (par exemple, onpremad1.com).
- Accédez à « Zones de recherche directe ».
- Sélectionnez le nœud nommé d’après votre domaine (par exemple, onpremad1.com) et cliquez avec le bouton droit sur Nouvel alias (CNAME).
- Pour le nom de l’alias, entrez le nom de votre compte de stockage.
- Pour le nom de domaine complet (FQDN), entrez
<storage-account-name>.<domain-name>, par exemple moncomptedestockage.onpremad1.com. La partie nom d’hôte du FQDN doit correspondre au nom du compte de stockage. Sinon, vous obtenez une erreur de type accès refusé durant la configuration de la session SMB. - Pour le nom de domaine complet de l’hôte cible, entrez
<storage-account-name>.file.core.windows.net - Sélectionnez OK.
Vous devez à présent pouvoir monter le partage de fichiers à l’aide de storageaccount.domainname.com. Vous pouvez également monter le partage de fichiers à l’aide de la clé de compte de stockage.
Étape suivante
Si l’identité que vous avez créée dans AD DS pour représenter le compte de stockage se trouve dans un domaine ou une unité d’organisation qui impose la rotation des mots de passe, vous devrez peut-être mettre à jour le mot de passe de l’identité de votre compte de stockage dans AD DS.