Připojení sdílené složky Azure

  • Článek

Než začnete s tímto článkem, ujistěte se, že jste si přečetli oprávnění ke konfiguraci adresáře a souboru přes protokol SMB.

Proces popsaný v tomto článku ověří, že je správně nastavená sdílená složka SMB a přístupová oprávnění a že můžete připojit sdílenou složku SMB Azure. Mějte na paměti, že přiřazení role na úrovni sdílené složky může nějakou dobu trvat.

Přihlaste se k klientovi pomocí přihlašovacích údajů identity, ke které jste udělili oprávnění.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Požadavky na připojení

Než budete moct připojit sdílenou složku Azure, ujistěte se, že jste prošli následujícími požadavky:

  • Pokud připojujete sdílenou složku z klienta, který se dříve připojil ke sdílené složce pomocí klíče účtu úložiště, ujistěte se, že jste sdílenou složku odpojili, odebrali jste trvalé přihlašovací údaje klíče účtu úložiště a aktuálně k ověřování používáte přihlašovací údaje služby AD DS. Pokyny k odebrání přihlašovacích údajů uložených v mezipaměti pomocí klíče účtu úložiště a odstranění existujících připojení SMB před inicializací nového připojení pomocí služby AD DS nebo Microsoft Entra postupujte podle dvou kroků na stránce Nejčastější dotazy.
  • Váš klient musí mít nešimované síťové připojení k vaší službě AD DS. Pokud se váš počítač nebo virtuální počítač nachází mimo síť spravovanou službou AD DS, budete muset povolit síť VPN, aby bylo možné se připojit ke službě AD DS za účelem ověření.

Připojení sdílené složky z virtuálního počítače připojeného k doméně

Spusťte níže uvedený skript PowerShellu nebo pomocí webu Azure Portal trvale připojte sdílenou složku Azure a namapujte ji na jednotku Z: ve Windows. Pokud se již používá jednotka Z:, nahraďte ji jiným dostupným písmenem. Skript zkontroluje, jestli je tento účet úložiště přístupný přes port TCP 445, což je port, který protokol SMB používá. Nezapomeňte nahradit zástupné hodnoty vlastními hodnotami. Další informace najdete v tématu Použití sdílené složky Azure s Windows.

Pokud nepoužíváte vlastní názvy domén, měli byste připojit sdílené složky Azure pomocí přípony file.core.windows.net, a to i v případě, že jste pro sdílenou složku nastavili privátní koncový bod.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

K připojení sdílené složky můžete použít net-use také příkaz z příkazového řádku systému Windows. Nezapomeňte nahradit <YourStorageAccountName> a <FileShareName> použít vlastní hodnoty.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Pokud narazíte na problémy, přečtěte si téma Nejde připojit sdílené složky Azure s přihlašovacími údaji AD.

Připojení sdílené složky z virtuálního počítače, který není připojený k doméně, nebo virtuálního počítače připojeného k jiné doméně AD

Virtuální počítače připojené k doméně nebo virtuální počítače, které jsou připojené k jiné doméně AD než účet úložiště, mají přístup ke sdíleným složkám Azure, pokud mají nemped síťové připojení k řadičům domény a poskytují explicitní přihlašovací údaje (uživatelské jméno a heslo). Uživatel, který přistupuje ke sdílené složce, musí mít identitu a přihlašovací údaje v doméně AD, ke které je účet úložiště připojený.

Pokud chcete připojit sdílenou složku z virtuálního počítače, který není připojený k doméně, použijte notaci username@domainFQDN, kde název doményFQDN je plně kvalifikovaný název domény. To klientovi umožní kontaktovat řadič domény a požádat o přijetí lístků Protokolu Kerberos. Hodnotu doményFQDN můžete získat spuštěním (Get-ADDomain).Dnsroot v Active Directory PowerShellu.

Příklad:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Poznámka:

Azure Files nepodporuje překlad SID na hlavní název uživatele (UPN) pro uživatele a skupiny z virtuálního počítače připojeného k doméně nebo virtuálního počítače připojeného k jiné doméně přes Windows Průzkumník souborů. Pokud chcete zobrazit vlastníky souborů, adresářů nebo zobrazit nebo upravit oprávnění NTFS prostřednictvím windows Průzkumník souborů, můžete to udělat jenom z virtuálních počítačů připojených k doméně.

Připojení sdílených složek pomocí vlastních názvů domén

Pokud nechcete připojit sdílené složky Azure pomocí přípony file.core.windows.net, můžete upravit příponu názvu účtu úložiště přidruženého ke sdílené složce Azure a pak přidat záznam CNAME (Canonical Name) pro směrování nové přípony do koncového bodu účtu úložiště. Následující pokyny platí jenom pro prostředí s jednou doménovou strukturou. Informace o konfiguraci prostředí se dvěma nebo více doménovými strukturami najdete v tématu Použití služby Azure Files s více doménovými strukturami active directory.

Poznámka:

Azure Files podporuje konfiguraci CNAMES pouze pomocí názvu účtu úložiště jako předpony domény. Pokud nechcete jako předponu použít název účtu úložiště, zvažte použití mezer názvů DFS.

V tomto příkladu máme doménu služby Active Directory onpremad1.com a máme účet úložiště s názvem mystorageaccount , který obsahuje sdílené složky SMB Azure. Nejprve musíme upravit příponu hlavního názvu služby (SPN) účtu úložiště, aby se mapovat mystorageaccount.onpremad1.com na mystorageaccount.file.core.windows.net.

To umožní klientům připojit sdílenou složku net use \\mystorageaccount.onpremad1.com , protože klienti v onpremad1 budou vědět, že prohledávají onpremad1.com najít správný prostředek pro tento účet úložiště.

Pokud chcete použít tuto metodu, proveďte následující kroky:

  1. Ujistěte se, že jste nastavili ověřování založené na identitě a synchronizovali své uživatelské účty AD s Microsoft Entra ID.

  2. Upravte hlavní název služby (SPN) účtu úložiště pomocí setspn tohoto nástroje. Najdete <DomainDnsRoot> ho spuštěním následujícího příkazu Active Directory PowerShellu: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Přidejte položku CNAME pomocí Správce DNS služby Active Directory a postupujte podle následujících kroků pro každý účet úložiště v doméně, ke které je účet úložiště připojený. Pokud používáte privátní koncový bod, přidejte položku CNAME, která se mapuje na název privátního koncového bodu.

    1. Otevřete Správce DNS služby Active Directory.
    2. Přejděte do své domény (například onpremad1.com).
    3. Přejděte do části "Dopředné zóny vyhledávání".
    4. Vyberte uzel pojmenovaný po vaší doméně (například onpremad1.com) a klikněte pravým tlačítkem na Nový alias (CNAME).
    5. Jako název aliasu zadejte název účtu úložiště.
    6. Jako plně kvalifikovaný název domény (FQDN) zadejte <storage-account-name>.<domain-name>, například mystorageaccount.onpremad1.com. Část názvu hostitele plně kvalifikovaného názvu domény musí odpovídat názvu účtu úložiště. V opačném případě se během instalace relace SMB zobrazí chyba odepření přístupu.
    7. Jako plně kvalifikovaný název domény cílového hostitele zadejte <storage-account-name>.file.core.windows.net
    8. Vyberte OK.

Teď byste měli být schopni připojit sdílenou složku pomocí storageaccount.domainname.com. Sdílenou složku můžete připojit také pomocí klíče účtu úložiště.

Další kroky

Pokud je identita, kterou jste vytvořili ve službě AD DS, která představuje účet úložiště, v doméně nebo organizační jednotky, která vynucuje obměnu hesel, možná budete muset aktualizovat heslo identity účtu úložiště ve službě AD DS.