Verwenden einer Azure-Dateifreigabe mit WindowsUse an Azure file share with Windows

Azure Files ist das benutzerfreundliche Clouddateisystem von Microsoft.Azure Files is Microsoft's easy-to-use cloud file system. Azure-Dateifreigaben können in Windows und Windows Server nahtlos verwendet werden.Azure file shares can be seamlessly used in Windows and Windows Server. In diesem Artikel werden die Überlegungen zur Verwendung einer Azure-Dateifreigabe mit Windows und Windows Server behandelt.This article discusses the considerations for using an Azure file share with Windows and Windows Server.

Wenn Sie eine Azure-Dateifreigabe außerhalb der Azure-Region verwenden möchten, in der sie gehostet wird (beispielsweise lokal oder in einer anderen Azure-Region), muss das Betriebssystem SMB 3.0 unterstützen.In order to use an Azure file share outside of the Azure region it is hosted in, such as on-premises or in a different Azure region, the OS must support SMB 3.0.

Sie können Azure-Dateifreigaben in einer Windows-Installation verwenden, die entweder auf einem virtuellen Azure-Computer oder lokal ausgeführt wird.You can use Azure file shares on a Windows installation that is running either in an Azure VM or on-premises. In der folgenden Tabelle wird veranschaulicht, welche Betriebssystemversionen den Zugriff auf Dateifreigaben in den einzelnen Umgebungen unterstützen:The following table illustrates which OS versions support accessing file shares in which environment:

Windows-VersionWindows version SMB-VersionSMB version Einbindung in Azure-VM möglichMountable in Azure VM Lokale Einbindung möglichMountable On-Premises
Windows Server 2019Windows Server 2019 SMB 3.0SMB 3.0 JaYes JaYes
Windows 101Windows 101 SMB 3.0SMB 3.0 JaYes JaYes
Halbjährlicher Windows Server-Kanal2Windows Server semi-annual channel2 SMB 3.0SMB 3.0 JaYes JaYes
Windows Server 2016Windows Server 2016 SMB 3.0SMB 3.0 JaYes JaYes
Windows 8.1Windows 8.1 SMB 3.0SMB 3.0 JaYes JaYes
Windows Server 2012 R2Windows Server 2012 R2 SMB 3.0SMB 3.0 JaYes JaYes
Windows Server 2012Windows Server 2012 SMB 3.0SMB 3.0 JaYes JaYes
Windows 7Windows 7 SMB 2.1SMB 2.1 JaYes NeinNo
Windows Server 2008 R2Windows Server 2008 R2 SMB 2.1SMB 2.1 JaYes NeinNo

1Windows 10, Versionen 1507, 1607, 1703, 1709, 1803, 1809 und 1903.1Windows 10, versions 1507, 1607, 1703, 1709, 1803, 1809, and 1903.
2Windows Server, Versionen 1803, 1809 und 1903.2Windows Server, versions 1803, 1809, and 1903.

Hinweis

Es empfiehlt sich, immer die neueste KB für Ihre Windows-Version zu verwenden.We always recommend taking the most recent KB for your version of Windows.

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

VoraussetzungenPrerequisites

  • Speicherkontoname: Zum Einbinden einer Azure-Dateifreigabe benötigen Sie den Namen des Speicherkontos.Storage account name: To mount an Azure file share, you will need the name of the storage account.

  • Speicherkontoschlüssel: Zum Einbinden einer Azure-Dateifreigabe benötigen Sie den primären (oder sekundären) Speicherschlüssel.Storage account key: To mount an Azure file share, you will need the primary (or secondary) storage key. SAS-Schlüssel können derzeit nicht zum Einbinden verwendet werden.SAS keys are not currently supported for mounting.

  • Stellen Sie sicher, Port 445 geöffnet ist: Das SMB-Protokoll erfordert dass TCP-Port 445 geöffnet ist. Wenn Port 445 gesperrt ist, sind keine Verbindungen möglich.Ensure port 445 is open: The SMB protocol requires TCP port 445 to be open; connections will fail if port 445 is blocked. Mithilfe des Cmdlets Test-NetConnection können Sie überprüfen, ob Ihre Firewall Port 445 blockiert.You can check to see if your firewall is blocking port 445 with the Test-NetConnection cmdlet. Informationen zu verschiedenen Möglichkeiten, den blockierten Port 445 zu umgehen, finden Sie hier.You can learn about various ways to workaround blocked port 445 here.

    Für den folgenden PowerShell-Code wird vorausgesetzt, dass Sie das Azure PowerShell-Modul installiert haben. Weitere Informationen finden Sie unter Installieren des Azure PowerShell-Moduls.The following PowerShell code assumes you have the Azure PowerShell module installed, see Install Azure PowerShell module for more information. Denken Sie daran, <your-storage-account-name> und <your-resource-group-name> durch die entsprechenden Namen für Ihr Speicherkonto zu ersetzen.Remember to replace <your-storage-account-name> and <your-resource-group-name> with the relevant names for your storage account.

    $resourceGroupName = "<your-resource-group-name>"
    $storageAccountName = "<your-storage-account-name>"
    
    # This command requires you to be logged into your Azure account, run Login-AzAccount if you haven't
    # already logged in.
    $storageAccount = Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName
    
    # The ComputerName, or host, is <storage-account>.file.core.windows.net for Azure Public Regions.
    # $storageAccount.Context.FileEndpoint is used because non-Public Azure regions, such as sovereign clouds
    # or Azure Stack deployments, will have different hosts for Azure file shares (and other storage resources).
    Test-NetConnection -ComputerName ([System.Uri]::new($storageAccount.Context.FileEndPoint).Host) -Port 445
    

    Wenn das Verbinden erfolgreich war, wird die folgende Ausgabe angezeigt:If the connection was successful, you should see the following output:

    ComputerName     : <storage-account-host-name>
    RemoteAddress    : <storage-account-ip-address>
    RemotePort       : 445
    InterfaceAlias   : <your-network-interface>
    SourceAddress    : <your-ip-address>
    TcpTestSucceeded : True
    

    Hinweis

    Der oben genannte Befehl gibt die aktuelle IP-Adresse des Speicherkontos zurück.The above command returns the current IP address of the storage account. Diese IP-Adresse bleibt nicht garantiert gleich und kann sich jederzeit ändern.This IP address is not guaranteed to remain the same, and may change at any time. Verwenden Sie keine Hartkodierung für diese IP-Adresse in Skripts oder einer Firewallkonfiguration.Do not hardcode this IP address into any scripts, or into a firewall configuration.

Verwenden einer Azure-Dateifreigabe mit WindowsUsing an Azure file share with Windows

Zum Verwenden einer Azure-Dateifreigabe mit Windows müssen Sie sie entweder einbinden, d.h. ihr einen Laufwerkbuchstaben oder Bereitstellungspunktpfad zuweisen, oder über ihren UNC-Pfad darauf zugreifen.To use an Azure file share with Windows, you must either mount it, which means assigning it a drive letter or mount point path, or access it via its UNC path.

Im Gegensatz zu anderen SMB-Freigaben, mit denen Sie vielleicht interagiert haben, wie z B. jene, die auf einem Windows Server-Computer, Linux Samba-Server oder NAS-Gerät gehostet werden, unterstützen Azure-Dateifreigaben derzeit keine Kerberos-Authentifizierung mit Ihrer Active Directory (AD) oder Azure Active Directory (AAD)-Identität. Allerdings arbeiten wir bereits an dieser Funktion.Unlike other SMB shares you may have interacted with, such as those hosted on a Windows Server, Linux Samba server, or NAS device, Azure file shares do not currently support Kerberos authentication with your Active Directory (AD) or Azure Active Directory (AAD) identity, although this is a feature we are working on. Stattdessen müssen Sie für den Zugriff auf Ihre Azure-Dateifreigabe den Speicherkontoschlüssel für das Speicherkonto verwenden, das Ihre Azure-Dateifreigabe enthält.Instead, you must access your Azure file share with the storage account key for the storage account containing your Azure file share. Ein Speicherkontoschlüssel ist ein Administratorschlüssel für ein Speicherkonto, der Administratorberechtigungen für alle Dateien und Ordner in der Dateifreigabe, auf die Sie zugreifen, sowie für alle Dateifreigaben und anderen Speicherressourcen (Blobs, Warteschlangen, Tabellen usw.) in Ihrem Speicherkonto umfasst.A storage account key is an administrator key for a storage account, including administrator permissions to all files and folders within the file share you're accessing, and for all file shares and other storage resources (blobs, queues, tables, etc) contained within your storage account. Wenn dies für Ihre Workload nicht ausreicht, kann die Azure-Dateisynchronisierung den Mangel an Kerberos-Authentifizierung und ACL-Unterstützung in der Zwischenzeit ausgleichen, bis die AAD-basierte Kerberos-Authentifizierung und ACL-Unterstützung öffentlich verfügbar sind.If this is not sufficient for your workload, Azure File Sync may address the lack of Kerberos authentication and ACL support in the interim until AAD-based Kerberos authentication and ACL support is publicly available.

Ein allgemeines Muster für das Migrieren von Branchenanwendungen per Lift & Shift, die eine SMB-Dateifreigabe an Azure erwarten, ist die Verwendung einer Azure-Dateifreigabe als Alternative für die Ausführung eines dedizierten Windows-Dateiservers auf einem virtuellen Azure-Computer.A common pattern for lifting and shifting line-of-business (LOB) applications that expect an SMB file share to Azure is to use an Azure file share as an alternative for running a dedicated Windows file server in an Azure VM. Ein wichtiger Aspekt für die erfolgreiche Migration einer Branchenanwendung zur Verwendung einer Azure-Dateifreigabe ist, dass viele Branchenanwendungen im Kontext eines dedizierten Dienstkontos mit begrenzten Berechtigungen anstatt des Administratorkontos eines virtuellen Computers ausgeführt werden.One important consideration for successfully migrating a line-of-business application to use an Azure file share is that many line-of-business applications run under the context of a dedicated service account with limited system permissions rather than the VM's administrative account. Daher müssen Sie sicherstellen, dass Sie die Anmeldeinformationen für die Azure-Dateifreigabe aus dem Kontext des Dienstkontos und nicht Ihres Administratorkontos einbinden/speichern.Therefore, you must ensure that you mount/save the credentials for the Azure file share from the context of the service account rather than your administrative account.

Beibehalten von Anmeldeinformationen für eine Azure-Dateifreigabe in WindowsPersisting Azure file share credentials in Windows

Das Hilfsprogramm Cmdkey ermöglicht Ihnen das Speichern Ihrer Speicherkonto-Anmeldeinformationen in Windows.The cmdkey utility allows you to store your storage account credentials within Windows. Dies bedeutet, dass Sie keine Anmeldeinformationen angeben müssen, wenn Sie auf eine Azure-Dateifreigabe über deren UNC-Pfad zugreifen oder die Azure-Dateifreigabe einbinden möchten.This means that when you try to access an Azure file share via its UNC path or mount the Azure file share, you will not need to specify credentials. Zum Speichern der Anmeldeinformationen Ihres Speicherkontos führen Sie die folgenden PowerShell-Befehle aus und ersetzen dabei <your-storage-account-name> und <your-resource-group-name> entsprechend.To save your storage account's credentials, run the following PowerShell commands, replacing <your-storage-account-name> and <your-resource-group-name> where appropriate.

$resourceGroupName = "<your-resource-group-name>"
$storageAccountName = "<your-storage-account-name>"

# These commands require you to be logged into your Azure account, run Login-AzAccount if you haven't
# already logged in.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName
$storageAccountKeys = Get-AzStorageAccountKey -ResourceGroupName $resourceGroupName -Name $storageAccountName

# The cmdkey utility is a command-line (rather than PowerShell) tool. We use Invoke-Expression to allow us to 
# consume the appropriate values from the storage account variables. The value given to the add parameter of the
# cmdkey utility is the host address for the storage account, <storage-account>.file.core.windows.net for Azure 
# Public Regions. $storageAccount.Context.FileEndpoint is used because non-Public Azure regions, such as sovereign 
# clouds or Azure Stack deployments, will have different hosts for Azure file shares (and other storage resources).
Invoke-Expression -Command ("cmdkey /add:$([System.Uri]::new($storageAccount.Context.FileEndPoint).Host) " + `
    "/user:AZURE\$($storageAccount.StorageAccountName) /pass:$($storageAccountKeys[0].Value)")

Mithilfe des Auflistungsparameters können Sie überprüfen, ob das Cmdkey-Hilfsprogramm die Anmeldeinformationen für das Speicherkonto gespeichert hat:You can verify the cmdkey utility has stored the credential for the storage account by using the list parameter:

cmdkey /list

Wenn die Anmeldeinformationen für Ihre Azure-Dateifreigabe erfolgreich gespeichert wurden, lautet die erwartete Ausgabe wie folgt (in der Liste sind möglicherweise zusätzliche Schlüssel gespeichert):If the credentials for your Azure file share are stored successfully, the expected output is as follows (there may be additional keys stored in the list):

Currently stored credentials:

Target: Domain:target=<storage-account-host-name>
Type: Domain Password
User: AZURE\<your-storage-account-name>

Sie sollten jetzt ohne Angabe zusätzlicher Anmeldeinformationen in der Lage sein, die Freigabe einzubinden oder darauf zuzugreifen.You should now be able to mount or access the share without having to supply additional credentials.

Erweiterte Cmdkey-SzenarienAdvanced cmdkey scenarios

Für Cmdkey sind zwei zusätzliche Szenarien zu berücksichtigen: Speichern von Anmeldeinformationen für einen anderen Benutzer auf dem Computer, z.B. ein Dienstkonto, und Speichern von Anmeldeinformationen auf einem Remotecomputer mit PowerShell-Remoting.There are two additional scenarios to consider with cmdkey: storing credentials for another user on the machine, such as a service account, and storing credentials on a remote machine with PowerShell remoting.

Das Speichern der Anmeldeinformationen für einen anderen Benutzer auf dem Computer ist äußerst einfach: Nachdem Sie sich bei Ihrem Konto angemeldet haben, führen Sie einfach den folgenden PowerShell-Befehl aus:Storing the credentials for another user on the machine is very easy: when logged into your account, simply execute the following PowerShell command:

$password = ConvertTo-SecureString -String "<service-account-password>" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "<service-account-username>", $password
Start-Process -FilePath PowerShell.exe -Credential $credential -LoadUserProfile

Daraufhin wird ein neues PowerShell-Fenster im Benutzerkontext Ihres Dienstkontos (oder Benutzerkontos) geöffnet.This will open a new PowerShell window under the user context of your service account (or user account). Anschließend können Sie wie oben beschriebenen das Cmdkey-Hilfsprogramm verwenden.You can then use the cmdkey utility as described above.

Das Speichern der Anmeldeinformationen auf einem Remotecomputer mithilfe von PowerShell-Remoting ist jedoch nicht möglich, da Cmdkey keinen Zugriff – auch nicht für Hinzufügungen – auf den Anmeldeinformationsspeicher zulässt, wenn der Benutzer über PowerShell-Remoting angemeldet ist.Storing the credentials on a remote machine using PowerShell remoting is not however possible, as cmdkey does not allow access, even for additions, to its credential store when the user is logged in via PowerShell remoting. Es wird empfohlen, sich mit Remotedesktop auf dem Computer anzumelden.We recommend logging into the machine with Remote Desktop.

Einbinden der Azure-Dateifreigabe mithilfe von PowerShellMount the Azure file share with PowerShell

Führen Sie die folgenden Befehle in einer normalen (d.h. ohne erhöhte Rechte) PowerShell-Sitzung aus, um die Azure-Dateifreigabe einzubinden.Run the following commands from a regular (i.e. not an elevated) PowerShell session to mount the Azure file share. Denken Sie daran <your-resource-group-name>, <your-storage-account-name>, <your-file-share-name> und <desired-drive-letter> durch die richtigen Informationen zu ersetzen.Remember to replace <your-resource-group-name>, <your-storage-account-name>, <your-file-share-name>, and <desired-drive-letter> with the proper information.

$resourceGroupName = "<your-resource-group-name>"
$storageAccountName = "<your-storage-account-name>"
$fileShareName = "<your-file-share-name>"

# These commands require you to be logged into your Azure account, run Login-AzAccount if you haven't
# already logged in.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName
$storageAccountKeys = Get-AzStorageAccountKey -ResourceGroupName $resourceGroupName -Name $storageAccountName
$fileShare = Get-AzStorageShare -Context $storageAccount.Context | Where-Object { 
    $_.Name -eq $fileShareName -and $_.IsSnapshot -eq $false
}

if ($fileShare -eq $null) {
    throw [System.Exception]::new("Azure file share not found")
}

# The value given to the root parameter of the New-PSDrive cmdlet is the host address for the storage account, 
# <storage-account>.file.core.windows.net for Azure Public Regions. $fileShare.StorageUri.PrimaryUri.Host is 
# used because non-Public Azure regions, such as sovereign clouds or Azure Stack deployments, will have different 
# hosts for Azure file shares (and other storage resources).
$password = ConvertTo-SecureString -String $storageAccountKeys[0].Value -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "AZURE\$($storageAccount.StorageAccountName)", $password
New-PSDrive -Name <desired-drive-letter> -PSProvider FileSystem -Root "\\$($fileShare.StorageUri.PrimaryUri.Host)\$($fileShare.Name)" -Credential $credential -Persist

Hinweis

Mit der Option -Persist des Cmdlets New-PSDrive lässt sich die Dateifreigabe beim Starten nur erneut einbinden, wenn die Anmeldeinformationen gespeichert sind.Using the -Persist option on the New-PSDrive cmdlet will only allow the file share to be remounted on boot if the credentials are saved. Sie können die Anmeldeinformationen wie oben beschriebenen mithilfe von Cmdkey speichern.You can save the credentials using the cmdkey as previously described.

Falls gewünscht können Sie die Einbindung der Azure-Dateifreigabe mit dem folgenden PowerShell-Cmdlet aufheben.If desired, you can dismount the Azure file share using the following PowerShell cmdlet.

Remove-PSDrive -Name <desired-drive-letter>

Einbinden der Azure-Dateifreigabe über den ExplorerMount the Azure file share with File Explorer

Hinweis

Beachten Sie, dass sich die folgenden Anweisungen auf Windows 10 beziehen und bei älteren Versionen unter Umständen geringfügig unterscheiden können.Note that the following instructions are shown on Windows 10 and may differ slightly on older releases.

  1. Öffnen Sie den Datei-Explorer.Open File Explorer. Verwenden Sie dazu entweder das Startmenü, oder drücken Sie WINDOWS-TASTE+E.This can be done by opening from the Start Menu, or by pressing Win+E shortcut.

  2. Navigieren Sie im linken Fensterbereich zu Dieser PC.Navigate to the This PC item on the left-hand side of the window. Dadurch ändern sich die verfügbaren Menüs auf dem Menüband.This will change the menus available in the ribbon. Wählen Sie im Menü „Computer“ die Option Netzlaufwerk verbinden aus.Under the Computer menu, select Map network drive.

    Screenshot: Dropdownmenü „Netzlaufwerk verbinden“

  3. Kopieren Sie den UNC-Pfad aus dem Bereich Verbinden im Azure-Portal.Copy the UNC path from the Connect pane in the Azure portal.

    UNC-Pfad aus dem Verbindungsbereich von Azure Files

  4. Wählen Sie den Laufwerkbuchstaben aus, und geben Sie den UNC-Pfad ein.Select the drive letter and enter the UNC path.

    Screenshot des Dialogfelds „Netzlaufwerk verbinden“

  5. Verwenden Sie den Speicherkontonamen mit vorangestelltem AZURE\ als Benutzername und einen Speicherkontoschlüssel als Kennwort.Use the storage account name prepended with AZURE\ as the username and a storage account key as the password.

    Screenshot des Dialogfelds für die Netzwerkanmeldeinformationen

  6. Verwenden Sie die Azure-Dateifreigabe wie gewünscht.Use Azure file share as desired.

    Die Azure-Dateifreigabe ist nun eingebunden.

  7. Wenn Sie die Einbindung der Azure-Dateifreigabe wieder aufheben möchten, klicken Sie im Explorer unter Netzwerkadressen mit der rechten Maustaste auf den Eintrag für die Freigabe, und wählen Sie Trennen.When you are ready to dismount the Azure file share, you can do so by right-clicking on the entry for the share under the Network locations in File Explorer and selecting Disconnect.

Zugreifen auf Freigabemomentaufnahmen von WindowsAccessing share snapshots from Windows

Wenn Sie manuell oder automatisch über ein Skript oder einen Dienst wie Azure Backup eine Freigabemomentaufnahme erstellt haben, können Sie vorherige Versionen einer Freigabe, eines Verzeichnisses oder einer bestimmten Datei aus einer Dateifreigabe unter Windows anzeigen.If you have taken a share snapshot, either manually or automatically through a script or service like Azure Backup, you can view previous versions of a share, a directory, or a particular file from file share on Windows. Sie können über das Azure-Portal, über Azure PowerShell und über die Azure-Befehlszeilenschnittstelle eine Momentaufnahme erstellen.You can take a share snapshot from the Azure Portal, Azure PowerShell, and Azure CLI.

Liste der vorherigen VersionenList previous versions

Navigieren Sie zu dem Element oder übergeordneten Element, das wiederhergestellt werden soll.Browse to the item or parent item that needs to be restored. Doppelklicken Sie darauf, um zum gewünschten Verzeichnis zu navigieren.Double-click to go to the desired directory. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie im Menü Eigenschaften aus.Right-click and select Properties from the menu.

Kontextmenü für ein ausgewähltes Verzeichnis

Wählen Sie Vorherige Versionen aus, um die Liste der Freigabemomentaufnahmen für dieses Verzeichnis anzuzeigen.Select Previous Versions to see the list of share snapshots for this directory. Je nach Netzwerkgeschwindigkeit und Anzahl der Freigabemomentaufnahmen im Verzeichnis kann es einige Sekunden dauern, bis die Liste geladen ist.The list might take a few seconds to load, depending on the network speed and the number of share snapshots in the directory.

Registerkarte „Vorherige Versionen“

Sie können Öffnen auswählen, um eine bestimmte Momentaufnahme zu öffnen.You can select Open to open a particular snapshot.

Geöffnete Momentaufnahme

Wiederherstellen aus einer vorherigen VersionRestore from a previous version

Wählen Sie Wiederherstellen, um den Inhalt des gesamten Verzeichnisses rekursiv zum Erstellungszeitpunkt der Freigabemomentaufnahme am ursprünglichen Speicherort zu kopieren.Select Restore to copy the contents of the entire directory recursively at the share snapshot creation time to the original location. Wiederherstellungsschaltfläche in WarnmeldungRestore button in warning message

Sichern von Windows/Windows ServerSecuring Windows/Windows Server

Zum Einbinden einer Azure-Dateifreigabe unter Windows muss Port 445 zugänglich sein.In order to mount an Azure file share on Windows, port 445 must be accessible. Viele Organisationen blockieren Port 445 aufgrund von mit SMB 1 verbundenen Sicherheitsrisiken.Many organizations block port 445 because of the security risks inherent with SMB 1. SMB 1, auch bekannt als CIFS (Common Internet File System) ist ein älteres Dateisystemprotokoll, das in Windows und Windows Server enthalten ist.SMB 1, also known as CIFS (Common Internet File System), is a legacy file system protocol included with Windows and Windows Server. SMB 1 ist ein veraltetes, ineffizientes und vor allem unsicheres Protokoll.SMB 1 is an outdated, inefficient, and most importantly insecure protocol. Die gute Nachricht ist, dass Azure Files SMB 1 nicht unterstützt und alle unterstützten Versionen von Windows und Windows Server das Entfernen oder Deaktivieren von SMB 1 ermöglichen.The good news is that Azure Files does not support SMB 1, and all supported versions of Windows and Windows Server make it possible to remove or disable SMB 1. Wir empfehlen immer dringend, unter Windows den SMB 1-Client und -Server vor der Verwendung von Azure-Dateifreigaben in der Produktion zu entfernen oder zu deaktivieren.We always strongly recommend removing or disabling the SMB 1 client and server in Windows before using Azure file shares in production.

Die folgende Tabelle enthält ausführliche Informationen zum Status von SMB 1 für jede Version von Windows:The following table provides detailed information on the status of SMB 1 each version of Windows:

Windows-VersionWindows version SMB 1-StandardstatusSMB 1 default status Deaktivierungs-/EntfernungsmethodeDisable/Remove method
Windows Server 2019Windows Server 2019 DeaktiviertDisabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows Server, Versionen ab 1709Windows Server, versions 1709+ DeaktiviertDisabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows 10, Versionen ab 1709Windows 10, versions 1709+ DeaktiviertDisabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows Server 2016Windows Server 2016 EnabledEnabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows 10,Versionen 1507, 1607 und 1703Windows 10, versions 1507, 1607, and 1703 EnabledEnabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows Server 2012 R2Windows Server 2012 R2 EnabledEnabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows 8.1Windows 8.1 EnabledEnabled Entfernen mit Windows-FunktionRemove with Windows feature
Windows Server 2012Windows Server 2012 EnabledEnabled Deaktivieren mit RegistrierungDisable with Registry
Windows Server 2008 R2Windows Server 2008 R2 EnabledEnabled Deaktivieren mit RegistrierungDisable with Registry
Windows 7Windows 7 EnabledEnabled Deaktivieren mit RegistrierungDisable with Registry

Überwachung der Verwendung von SMB 1Auditing SMB 1 usage

Gilt für Windows Server 2019, den halbjährlichen Windows Server-Kanal (Versionen 1709 und 1803), Windows Server 2016, Windows 10 (Versionen 1507, 1607, 1703, 1709 und 1803), Windows Server 2012 R2 und Windows 8.1Applies to Windows Server 2019, Windows Server semi-annual channel (versions 1709 and 1803), Windows Server 2016, Windows 10 (versions 1507, 1607, 1703, 1709, and 1803), Windows Server 2012 R2, and Windows 8.1

Vor dem Entfernen von SMB 1 in Ihrer Umgebung kann es von Vorteil sein, die Verwendung von SMB 1 zu überwachen, um festzustellen, ob Clients durch die Änderung beschädigt werden.Before removing SMB 1 in your environment, you may wish to audit SMB 1 usage to see if any clients will be broken by the change. Wenn Anforderungen für SMB-Dateifreigaben mit SMB 1 erfolgen, wird im Ereignisprotokoll unter Applications and Services Logs > Microsoft > Windows > SMBServer > Audit ein Überwachungsereignis aufgezeichnet.If any requests are made against SMB shares with SMB 1, an audit event will be logged in the event log under Applications and Services Logs > Microsoft > Windows > SMBServer > Audit.

Hinweis

Zum Aktivieren der Überwachungsunterstützung unter Windows Server 2012 R2 und Windows 8.1 installieren Sie mindestens KB4022720.To enable auditing support on Windows Server 2012 R2 and Windows 8.1, install at least KB4022720.

Zum Aktivieren der Überwachung führen Sie das folgende Cmdlet in einer PowerShell-Sitzung mit erhöhten Rechten aus:To enable auditing, execute the following cmdlet from an elevated PowerShell session:

Set-SmbServerConfiguration –AuditSmb1Access $true

Entfernen von SMB 1 von Windows ServerRemoving SMB 1 from Windows Server

Gilt für Windows Server 2019, den halbjährlichen Windows Server-Kanal (Versionen 1709 und 1803), Windows Server 2016, Windows Server 2012 R2Applies to Windows Server 2019, Windows Server semi-annual channel (versions 1709 and 1803), Windows Server 2016, Windows Server 2012 R2

Zum Entfernen von SMB 1 von einer Windows Server-Instanz führen Sie das folgende Cmdlet in einer PowerShell-Sitzung mit erhöhten Rechten aus:To remove SMB 1 from a Windows Server instance, execute the following cmdlet from an elevated PowerShell session:

Remove-WindowsFeature -Name FS-SMB1

Starten Sie den Server neu, um den Entfernungsvorgang abzuschließen.To complete the removal process, restart your server.

Hinweis

Ab Windows 10 und Windows Server-Version 1709, ist SMB 1 nicht mehr standardmäßig installiert und verfügt über separate Windows-Funktionen für den SMB 1-Client und den SMB 1-Server.Starting with Windows 10 and Windows Server version 1709, SMB 1 is not installed by default and has separate Windows features for the SMB 1 client and SMB 1 server. Es wird immer empfohlen, sowohl den SMB-1-Server (FS-SMB1-SERVER) als auch den SMB 1-Client (FS-SMB1-CLIENT) nicht zu installieren.We always recommend leaving both the SMB 1 server (FS-SMB1-SERVER) and the SMB 1 client (FS-SMB1-CLIENT) uninstalled.

Entfernen von SMB 1 von Windows-ClientsRemoving SMB 1 from Windows client

Gilt für Windows 10 (Versionen 1507, 1607, 1703, 1709 und 1803) und Windows 8.1Applies to Windows 10 (versions 1507, 1607, 1703, 1709, and 1803) and Windows 8.1

Zum Entfernen von SMB 1 von Ihrem Windows-Client führen Sie das folgende Cmdlet in einer PowerShell-Sitzung mit erhöhten Rechten aus:To remove SMB 1 from your Windows client, execute the following cmdlet from an elevated PowerShell session:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Starten Sie Ihren PC neu, um den Entfernungsvorgang abzuschließen.To complete the removal process, restart your PC.

Deaktivieren von SMB 1 unter älteren Versionen von Windows/Windows ServerDisabling SMB 1 on legacy versions of Windows/Windows Server

Gilt für Windows Server 2012, Windows Server 2008 R2 und Windows 7Applies to Windows Server 2012, Windows Server 2008 R2, and Windows 7

SMB 1 kann unter älteren Versionen von Windows/Windows Server nicht vollständig entfernt werden, lässt sich jedoch über die Registrierung deaktivieren.SMB 1 cannot be completely removed on legacy versions of Windows/Windows Server, but it can be disabled through the Registry. Zum Deaktivieren von SMB 1 erstellen Sie unter HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > LanmanServer > Parameters den neuen Registrierungsschlüssel SMB1 vom Typ DWORD mit dem Wert 0.To disable SMB 1, create a new registry key SMB1 of type DWORD with a value of 0 under HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > LanmanServer > Parameters.

Dazu kann auch problemlos das folgende PowerShell-Cmdlet verwendet werden:You can easily accomplish this with the following PowerShell cmdlet as well:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Nach der Erstellung dieses Registrierungsschlüssels müssen Sie den Server neu starten, um SMB 1 zu deaktivieren.After creating this registry key, you must restart your server to disable SMB 1.

SMB-RessourcenSMB resources

Nächste SchritteNext steps

Weitere Informationen zu Azure Files finden Sie unter diesen Links:See these links for more information about Azure Files: