Поделиться через

Подключение общей папки SMB Azure

  • Статья

Процесс, описанный в этой статье, проверяет правильность настройки общей папки SMB и разрешений на доступ, а также подключение общей папки Azure SMB.

Применяется к

Тип общей папки SMB NFS
Стандартные общие папки (GPv2), LRS/ZRS Да Нет
Стандартные общие папки (GPv2), GRS/GZRS Да Нет
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS Да Нет

Предварительные требования для подключения

Прежде чем подключить общую папку Azure, убедитесь, что вы выполнили следующие предварительные требования:

  • Убедитесь, что вы назначили разрешения на уровне общего ресурса и настроили разрешения на уровне каталога и файлов. Помните, что назначение ролей на уровне общего ресурса может занять некоторое время.
  • Если вы подключаете общую папку из клиента, который ранее подключен к общей папке с помощью ключа учетной записи хранения, убедитесь, что вы отключили общую папку и удалили постоянные учетные данные ключа учетной записи хранения. Инструкции по удалению кэшированных учетных данных и удалению существующих подключений SMB перед инициализацией нового подключения с помощью служб домен Active Directory (AD DS) или учетных данных Microsoft Entra выполните двухэтапный процесс на странице часто задаваемых вопросов.
  • Если ваш источник AD — AD DS или Microsoft Entra Kerberos, клиент должен иметь неоднократное сетевое подключение к AD DS. Если компьютер или виртуальная машина находится за пределами сети, управляемой AD DS, необходимо включить VPN для доступа к AD DS для проверки подлинности.
  • Войдите в клиент, используя учетные данные удостоверения AD DS или Microsoft Entra, которым вы предоставили разрешения.

Подключение общей папки с виртуальной машины, присоединенной к домену

Запустите следующий сценарий PowerShell или используйте портал Azure для постоянного подключения общей папки Azure и сопоставления его с диском Z в Windows. Если носитель "Z:" уже используется, укажите букву доступного диска. Так как вы прошли проверку подлинности, вам не потребуется предоставить ключ учетной записи хранения. Скрипт проверяет, доступна ли эта учетная запись хранения через TCP-порт 445, который использует порт SMB. Не забудьте заменить значения заполнителей собственными значениями. Дополнительные сведения см. в статье Использование общей папки Azure с Windows.

Если вы не используете личные доменные имена, необходимо подключить общие папки Azure с помощью суффикса file.core.windows.net, даже если вы настроили частную конечную точку для общей папки.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Вы также можете использовать net-use команду из командной строки Windows для подключения общей папки. Не забудьте заменить <YourStorageAccountName> и <FileShareName> с собственными значениями.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

При возникновении проблем см. статью "Не удается подключить общие папки Azure с учетными данными AD".

Подключение общей папки из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену AD

Если источник AD находится в локальной среде AD DS, то не присоединенные к домену виртуальные машины или виртуальные машины, присоединенные к другому домену AD, могут получить доступ к общим папкам Azure, если у них нет сетевого подключения к контроллерам домена AD и предоставить явные учетные данные (имя пользователя и пароль). Пользователь, обращаюющийся к общей папке, должен иметь удостоверение и учетные данные в домене AD, к которому присоединена учетная запись хранения.

Если источник AD — доменные службы Microsoft Entra, виртуальная машина должна иметь неоднократное сетевое подключение к контроллерам домена для доменных служб Microsoft Entra, расположенных в Azure. Обычно это требует настройки VPN типа "сеть — сеть" или "точка — сеть". Пользователь, обращаюющийся к общей папке, должен иметь удостоверение (удостоверение Microsoft Entra, синхронизированное с идентификатором Microsoft Entra с доменными службами Microsoft Entra) в управляемом домене доменных служб Microsoft Entra.

Чтобы подключить общую папку из виртуальной машины, не присоединенной к домену, используйте нотацию username@domainFQDN, где доменFQDN является полным доменным именем. Это позволит клиенту связаться с контроллером домена, чтобы запрашивать и получать билеты Kerberos. Значение domainFQDN можно получить, выполнив в (Get-ADDomain).Dnsroot Active Directory PowerShell.

Например:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Если источник AD является доменными службами Microsoft Entra, вы также можете предоставить учетные данные, такие как DOMAINNAME\username , где DOMAINNAME является доменом доменных служб Microsoft Entra, а имя пользователя — это имя пользователя удостоверения в доменных службах Microsoft Entra:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Примечание.

Файлы Azure не поддерживает перевод идентификаторов безопасности в имя участника-пользователя для пользователей и групп из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену через Windows проводник. Если вы хотите просмотреть разрешения NTFS для владельцев файлов или каталогов или изменить их с помощью Windows проводник, это можно сделать только на виртуальных машинах, присоединенных к домену.

Подключение общих папок с помощью пользовательских доменных имен

Если вы не хотите подключить общие папки Azure с помощью суффикса file.core.windows.net, можно изменить суффикс имени учетной записи хранения, связанной с общей папкой Azure, а затем добавить каноническое имя (CNAME), чтобы направить новый суффикс в конечную точку учетной записи хранения. Ниже приведены инструкции только для сред с одним лесом. Сведения о настройке сред с двумя или более лесами см. в разделе "Использование Файлы Azure с несколькими лесами Active Directory".

Примечание.

Файлы Azure поддерживает только настройку CNAMES с использованием имени учетной записи хранения в качестве префикса домена. Если вы не хотите использовать имя учетной записи хранения в качестве префикса, рассмотрите возможность использования пространств имен DFS.

В этом примере у нас есть домен Active Directory onpremad1.com, а у нас есть учетная запись хранения mystorageaccount , содержащая общие папки SMB Azure. Сначала необходимо изменить суффикс имени субъекта-службы учетной записи хранения, чтобы сопоставить mystorageaccount.onpremad1.com с mystorageaccount.file.core.windows.net.

Это позволит клиентам подключить общую папку, net use \\mystorageaccount.onpremad1.com так как клиенты в onpremad1 будут знать, чтобы искать onpremad1.com , чтобы найти соответствующий ресурс для этой учетной записи хранения.

Чтобы использовать этот метод, выполните следующие действия.

  1. Убедитесь, что вы настроили проверку подлинности на основе удостоверений. Если источник AD — AD DS или Microsoft Entra Kerberos, убедитесь, что вы синхронизировали учетные записи пользователей AD с идентификатором Microsoft Entra.

  2. Измените имя субъекта-службы учетной записи хранения с помощью setspn средства. Чтобы найти <DomainDnsRoot> , выполните следующую команду Active Directory PowerShell: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Добавьте запись CNAME с помощью диспетчера DNS Active Directory и выполните приведенные ниже действия для каждой учетной записи хранения в домене, к которому присоединена учетная запись хранения. Если вы используете частную конечную точку, добавьте запись CNAME для сопоставления с именем частной конечной точки.

    1. Откройте диспетчер DNS Active Directory.
    2. Перейдите к домену (например, onpremad1.com).
    3. Перейдите в раздел "Зоны прямого просмотра".
    4. Выберите узел с именем домена (например, onpremad1.com) и щелкните правой кнопкой мыши новый псевдоним (CNAME).
    5. В поле псевдонима введите имя учетной записи хранения.
    6. Для полного доменного имени (FQDN) введите <storage-account-name>.<domain-name>, например mystorageaccount.onpremad1.com. Имя узла полного доменного имени должно соответствовать имени учетной записи хранения. В противном случае во время настройки сеанса SMB появится ошибка отказа в доступе.
    7. Для полного доменного имени целевого узла введите <storage-account-name>.file.core.windows.net
    8. Нажмите ОК.

Теперь вы сможете подключить общую папку с помощью storageaccount.domainname.com. Вы также можете подключить общую папку с помощью ключа учетной записи хранения.

Следующий шаг

Если удостоверение, созданное в AD DS для представления учетной записи хранения, находится в домене или подразделении, которое применяет смену паролей, может потребоваться обновить пароль удостоверения учетной записи хранения в AD DS.