Azure Files unterstützt zwei Branchenstandardprotokolle für die Einbindung von Azure-Dateifreigaben: das SMB-Protokoll (Server Message Block) und das NFS-Protokoll (Network File System). In Azure Files können Sie das Dateisystemprotokoll auswählen, das sich für Ihre Workload am besten eignet. Bei Azure-Dateifreigaben ist der Zugriff auf eine einzelne Azure-Dateifreigabe über das SMB- oder das NFS-Protokoll nicht möglich. Sie können jedoch SMB- und NFS-Dateifreigaben innerhalb desselben Speicherkontos erstellen. Für alle Dateifreigaben ermöglicht Azure Files Dateifreigaben in Unternehmensqualität, die entsprechend Ihren Speicheranforderungen hochskaliert werden können und auf die Tausende von Clients gleichzeitig zugreifen können.
In diesem Artikel werden SMB-Azure-Dateifreigaben behandelt. Informationen zu NFS-Azure-Dateifreigaben finden Sie unter NFS-Dateifreigaben in Azure Files.
Häufige Szenarien
SMB-Dateifreigaben werden für eine Vielzahl von Anwendungen verwendet, darunter Dateifreigaben für Endbenutzer und Dateifreigaben, die Datenbanken und Anwendungen unterstützen. SMB-Dateifreigaben werden häufig in den folgenden Szenarien verwendet:
Dateifreigaben für Endbenutzer, z. B. Teamfreigaben, Basisverzeichnisse usw.
Hintergrundspeicher für Windows-basierte Anwendungen, z. B. SQL Server-Datenbanken oder branchenspezifische Anwendungen, die für lokale Win32- oder .NET-Dateisystem-APIs geschrieben wurden
Entwicklung neuer Anwendungen und Dienste, insbesondere wenn die Anwendungen oder Dienste zufällige E/A und hierarchische Speicherung erfordern
Features
Azure Files unterstützt die wichtigsten Funktionen von SMB und Azure, die für Produktionsbereitstellungen von SMB-Dateifreigaben erforderlich sind:
AD-Domänenbeitritt und besitzverwaltete Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs)
Integrierte serverlose Sicherung mit Azure Backup
Netzwerkisolation mit privaten Azure-Endpunkten
Hoher Netzwerkdurchsatz mit SMB Multichannel (nur Premium-Dateifreigaben)
SMB-Kanalverschlüsselung einschließlich AES-256-GCM, AES-128-GCM und AES-128-CCM
Unterstützung früherer Versionen durch integrierte VSS-Freigabemomentaufnahmen
Automatisches vorläufiges Löschen für Azure-Dateifreigaben, um versehentliche Löschvorgänge zu verhindern
Optional über das Internet zugängliche Dateifreigaben mit internetsicherem SMB 3.0 und höher
Alle in Azure Files gespeicherten Daten werden im Ruhezustand mithilfe der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Die Speicherdienstverschlüsselung funktioniert ähnlich wie BitLocker unter Windows: Daten werden unterhalb der Dateisystemebene verschlüsselt. Da Daten durch die Codierung auf dem Datenträger unterhalb des Dateisystems der Azure-Dateifreigabe verschlüsselt werden, benötigen Sie keinen Zugriff auf den zugrunde liegenden Schlüssel auf dem Client, um aus der Azure-Dateifreigabe zu lesen oder in diese zu schreiben. Die Verschlüsselung ruhender Daten wird auf SMB- und NFS-Protokolle angewendet.
Standardmäßig ist in allen Azure-Speicherkonten die Verschlüsselung während der Übertragung aktiviert. Das bedeutet Folgendes: Wenn Sie eine Dateifreigabe über SMB einbinden (oder über das FileREST-Protokoll darauf zugreifen), lässt Azure Files die Verbindung nur dann zu, wenn sie über SMB 3.x mit Verschlüsselung oder über HTTPS hergestellt wird. Clients, die SMB 3.x mit SMB-Kanalverschlüsselung nicht unterstützen, können die Azure-Dateifreigabe nicht einbinden, wenn die Verschlüsselung während der Übertragung aktiviert ist.
Azure Files unterstützt AES-256-GCM mit SMB 3.1.1 bei Verwendung mit Windows Server 2022 oder Windows 11. SMB 3.1.1 unterstützt außerdem AES-128-GCM. SMB 3.0 unterstützt AES-128-CCM. AES-128-GCM wird aus Leistungsgründen standardmäßig unter Windows 10 Version 21H1 ausgehandelt.
Sie können die Verschlüsselung während der Übertragung für ein Azure-Speicherkonto deaktivieren. Wenn die Verschlüsselung deaktiviert ist, lässt Azure Files auch SMB 2.1 und SMB 3.x ohne Verschlüsselung zu. Der Hauptgrund für die Deaktivierung der Verschlüsselung während der Übertragung ist die Unterstützung einer älteren Anwendung, die unter einem älteren Betriebssystem wie z. B. Windows Server 2008 R2 oder einer älteren Linux-Distribution ausgeführt werden muss. Azure Files lässt nur SMB 2.1-Verbindungen innerhalb der gleichen Region zu, in der sich auch die Azure-Dateifreigabe befindet. Ein SMB 2.1-Client außerhalb der Azure-Region der Azure-Dateifreigabe – z. B. ein lokales System oder eine andere Azure-Region – kann nicht auf die Dateifreigabe zugreifen.
SMB-Protokolleinstellungen
Azure Files bietet mehrere Einstellungen, die sich auf das Verhalten sowie auf die Leistung und Sicherheit des SMB-Protokolls auswirken. Diese Einstellungen werden für alle Azure-Dateifreigaben in einem Speicherkonto konfiguriert.
SMB Multichannel
SMB Multichannel ermöglicht einem SMB 3.x-Client das Herstellen mehrerer Netzwerkverbindungen mit einer SMB-Dateifreigabe. Azure Files unterstützt SMB Multichannel auf Premium-Dateifreigaben (Dateifreigaben im Speicherkontotyp „FileStorage“). Es fallen keine zusätzlichen Kosten für die Aktivierung von SMB Multichannel in Azure Files an. SMB Multichannel ist standardmäßig deaktiviert.
Um den Status von SMB Multichannel anzuzeigen, navigieren Sie zu dem Speicherkonto, das Ihre Premium-Dateifreigaben enthält, und wählen Sie im Inhaltsverzeichnis des Speicherkontos unter der Überschrift Datenspeicher die Option Dateifreigaben aus. Der Status von SMB Multichannel wird im Abschnitt Dateifreigabeeinstellungen angezeigt.
Um SMB Multichannel zu aktivieren oder zu deaktivieren, wählen Sie den aktuellen Status aus (also entweder Aktiviert oder Deaktiviert). Das daraufhin angezeigte Dialogfeld bietet einen Umschalter zum Aktivieren oder Deaktivieren von SMB Multichannel. Wählen Sie den gewünschten Status aus, und wählen Sie dann Speichern aus.
Um den Status von SMB Multichannel abzurufen, verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen, bevor Sie diese PowerShell-Befehle ausführen.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
$defaultSmbMultichannelEnabled = $false
# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbMultichannelEnabled";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) {
$defaultSmbMultichannelEnabled
} else {
$_.ProtocolSettings.Smb.Multichannel.Enabled
}
}
}
Um SMB Multichannel zu aktivieren/deaktivieren, verwenden Sie das Cmdlet Update-AzStorageFileServiceProperty.
Um den Status von SMB Multichannel abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen, bevor Sie diese Bash-Befehle ausführen.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"
# Replacement values for null parameters.
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"
# Print returned settings
echo $PROTOCOL_SETTINGS
Um SMB Multichannel zu aktivieren/deaktivieren, verwenden Sie den Befehl az storage account file-service-properties update.
Azure Files bietet Einstellungen, mit denen Sie die Kompatibilität oder die Sicherheit des SMB-Protokolls (abhängig von den Anforderungen Ihrer Organisation) erhöhen können. Standardmäßig ist Azure Files für maximale Kompatibilität konfiguriert. Beachten Sie daher, dass das Einschränken dieser Einstellungen dazu führen kann, dass einige Clients keine Verbindung herstellen können.
Azure Files macht die folgenden Einstellungen verfügbar:
SMB-Versionen: Zulässige Versionen von SMB. Unterstützt werden die Protokollversionen SMB 3.1.1, SMB 3.0 und SMB 2.1. Standardmäßig sind alle SMB-Versionen zulässig, obwohl SMB 2.1 nicht zulässig ist, wenn „Sichere Übertragung erforderlich“ aktiviert ist, weil SMB 2.1 die Verschlüsselung während der Übertragung nicht unterstützt.
Authentifizierungsmethoden: Zulässige SMB-Authentifizierungsmethoden. Unterstützte Authentifizierungsmethoden sind NTLMv2 (nur Speicherkontoschlüssel) und Kerberos. Standardmäßig sind alle Authentifizierungsmethoden zulässig. Durch Entfernen von NTLMv2 wird die Verwendung des Speicherkontoschlüssels zum Einbinden der Azure-Dateifreigabe verhindert. Azure Files unterstützt die Verwendung der NTLM-Authentifizierung für Domänenanmeldeinformationen nicht.
Kerberos-Ticketverschlüsselung: Zulässige Verschlüsselungsalgorithmen. Unterstützt werden die Verschlüsselungsalgorithmen AES-256 (empfohlen) und RC4-HMAC.
SMB-Kanalverschlüsselung: Zulässige SMB-Kanalverschlüsselungsalgorithmen. Unterstützt werden die Verschlüsselungsalgorithmen AES-256-GCM, AES-128-GCM und AES-128-CCM. Wenn Sie nur AES-256-GCM auswählen, müssen Sie den verbindenden Clients mitteilen, dass sie es verwenden sollen, indem Sie auf jedem Client ein PowerShell-Terminal als Administrator öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen. Die Verwendung von AES-256-GCM wird auf Windows-Clients, die älter als Windows 11/Windows Server 2022 sind, nicht unterstützt.
Sie können die SMB-Sicherheitseinstellungen über das Azure-Portal, PowerShell oder die Befehlszeilenschnittstelle anzeigen und ändern. Wählen Sie die gewünschte Registerkarte aus, um die Schritte zum Abrufen und Festlegen der SMB-Sicherheitseinstellungen anzuzeigen.
Führen Sie die folgenden Schritte aus, um die SMB-Sicherheitseinstellungen mithilfe des Azure-Portals anzuzeigen oder zu ändern:
Suchen Sie nach Storage Konten, und wählen Sie das Speicherkonto aus, für das Sie die Sicherheitseinstellungen anzeigen möchten.
Wählen Sie Datenspeicher>Dateifreigaben aus.
Wählen Sie unter Einstellungen für die Dateifreigabe den Wert aus, der der Sicherheit zugeordnet ist. Wenn Sie die Sicherheitseinstellungen nicht geändert haben, wird dieser Wert standardmäßig auf Maximale Kompatibilität festgelegt.
Wählen Sie unter Profil die Option Maximale Kompatibilität, Maximale Sicherheit oder Benutzerdefiniert aus. Wenn Sie Benutzerdefiniert auswählen, können Sie ein benutzerdefiniertes Profil für SMB-Protokollversionen, SMB-Kanalverschlüsselung, Authentifizierungsmechanismen und Kerberos-Ticketverschlüsselung erstellen.
Nachdem Sie die gewünschten Sicherheitseinstellungen eingegeben haben, wählen Sie Speichern aus.
Verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty, um die SMB-Protokolleinstellungen abzurufen. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festgelegt haben, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Auskommentieren bestimmter Zeilen.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"
# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbProtocolVersions";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Versions) {
[String]::Join(", ", $smbProtocolVersions)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
}
}
},
@{
Name = "SmbChannelEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
[String]::Join(", ", $smbChannelEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
}
}
},
@{
Name = "SmbAuthenticationMethods";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
[String]::Join(", ", $smbAuthenticationMethods)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
}
}
},
@{
Name = "SmbKerberosTicketEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
[String]::Join(", ", $smbKerberosTicketEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
}
}
}
Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Mit dem folgenden PowerShell-Befehl werden Ihre SMB-Dateifreigaben auf die sichersten Optionen eingeschränkt.
Wichtig
Das Einschränken der SMB-Azure-Dateifreigaben auf die sichersten Optionen kann dazu führen, dass einige Clients keine Verbindung herstellen können. Zum Beispiel wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung ab Windows Server 2022 und Windows 11 eingeführt. Das bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022- und Windows 11-Clients mitteilen, dass sie lediglich AES-256-GCM verwenden sollen, indem Sie auf jedem Client ein PowerShell-Terminal als Administrator öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.
Um den Status der SMB-Sicherheitseinstellungen abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen, bevor Sie diese Bash-Befehle ausführen. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festgelegt haben, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Auskommentieren bestimmter Zeilen.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the commands in the
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before
# running the script to avoid changing the security settings back to defaults.
# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"
# Replacement values for null parameters. If you copy this into your own
# scripts, you will need to ensure that you keep these variables up-to-date with any new
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"
# Print returned settings
echo $PROTOCOLSETTINGS
Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Mit dem folgenden Azure CLI-Befehl werden Ihre SMB-Dateifreigaben auf die sichersten Optionen eingeschränkt.
Wichtig
Das Einschränken der SMB-Azure-Dateifreigaben auf die sichersten Optionen kann dazu führen, dass einige Clients keine Verbindung herstellen können. Zum Beispiel wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung ab Windows Server 2022 und Windows 11 eingeführt. Das bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022- und Windows 11-Clients mitteilen, dass sie lediglich AES-256-GCM verwenden sollen, indem Sie auf jedem Client ein PowerShell-Terminal als Administrator öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.
SMB-Dateifreigaben in Azure Files unterstützen eine Teilmenge der über das SMB-Protokoll und das NTFS-Dateisystem unterstützten Funktionen. Auch wenn diese Funktionen in den meisten Anwendungsfällen und Anwendungen nicht erforderlich sind, werden einige Anwendungen möglicherweise nicht ordnungsgemäß mit Azure Files ausgeführt, wenn sie auf nicht unterstützten Funktionen basieren. Die folgenden Funktionen werden nicht unterstützt:
SMB-Azure-Dateifreigaben sind in jeder Azure-Region verfügbar, einschließlich aller öffentlichen und unabhängigen Regionen. SMB-Premium-Dateifreigaben sind in einigen Regionen verfügbar.
