Montaje de un recurso compartido de archivos de Azure
Antes de comenzar este artículo, asegúrese de leer Configuración de permisos de nivel de directorio y de archivo en SMB.
El proceso descrito en este artículo comprueba que su recurso compartido de archivos SMB y los permisos de acceso se hayan configurado correctamente y que pueda montar su recurso compartido de archivos SMB de Azure. Recuerde que la asignación de roles de nivel de recurso compartido puede tardar un tiempo en surtir efecto.
Inicie sesión en el cliente con las credenciales de la identidad a la que concedió permisos.
Se aplica a
| Tipo de recurso compartido de archivos | SMB | NFS |
|---|---|---|
| Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS |  |
 |
| Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS | |
|
| Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS | |
|
Requisitos previos de montaje
Antes de poder montar el recurso compartido de archivos de Azure, asegúrese de que ha superado los requisitos previos siguientes:
- Si va a montar el recurso compartido de archivos desde un cliente que lo haya conectado previamente a la clave de la cuenta de almacenamiento, asegúrese de que ha desconectado el recurso compartido, que ha quitado las credenciales persistentes de la clave de la cuenta de almacenamiento y que actualmente usa credenciales de AD DS para la autenticación. Para descubrir cómo quitar las credenciales almacenadas en caché con la clave de la cuenta de almacenamiento y eliminar las conexiones SMB existentes antes de inicializar una nueva conexión con las credenciales de AD DS o Microsoft Entra, siga este proceso de dos pasos en la página de Preguntas frecuentes.
- El cliente debe tener conectividad de red no impedida a su AD DS. Si el equipo o la máquina virtual está fuera de la red administrada por AD DS, tendrá que habilitar la VPN a fin de acceder a AD DS para la autenticación.
Montaje del recurso compartido de archivos desde una VM unida al dominio
Ejecute el script de PowerShell siguiente o use Azure Portal para montar de manera persistente el recurso compartido de archivos de Azure y asignarlo a la unidad Z: en Windows. Si Z ya está en uso, reemplácelo por una letra de unidad disponible. El script comprobará si esta cuenta de almacenamiento es accesible a través del puerto TCP 445, que es el puerto que SMB usa. Reemplace los valores del marcador de posición por los suyos propios. Para más información, consulte Uso de un recurso compartido de archivos de Azure con Windows.
A menos que use nombres de dominio personalizados, debe montar recursos compartidos de archivos de Azure mediante el sufijo file.core.windows.net, incluso aunque configure un punto de conexión privado para el recurso compartido.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
También puede usar el comando net-use desde una ventana del sistema de Windows para montar el recurso compartido de archivos. Recuerde reemplazar <YourStorageAccountName> y <FileShareName> por sus valores propios.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Si tiene problemas, consulte No se pueden montar recursos compartidos de archivos de Azure con las credenciales de AD.
Montaje del recurso compartido de archivos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio de AD diferente
Las máquinas virtuales que no están unidas a un dominio o las máquinas virtuales que están unidas a un dominio de AD diferente al de la cuenta de almacenamiento pueden acceder a los recursos compartidos de archivos de Azure si tienen conectividad de red sin obstáculos a los controladores de dominio y proporcionan credenciales explícitas (nombre de usuario y contraseña). El usuario que accede al recurso compartido de archivos debe tener una identidad y credenciales en el dominio de AD al que está unida la cuenta de almacenamiento.
Para montar un recurso compartido de archivos desde una máquina virtual no unida a un dominio, use la notación username@domainFQDN, donde domainFQDN es el nombre de dominio completo. Esto permitirá al cliente ponerse en contacto con el controlador de dominio para solicitar y recibir vales de Kerberos. Es posible obtener el valor de domainFQDN ejecutando (Get-ADDomain).Dnsroot en el PowerShell de Active Directory.
Por ejemplo:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Nota:
Azure Files no admite la traducción de SID a UPN para usuarios y grupos desde una máquina virtual no unida a un dominio o una máquina virtual unida a un dominio diferente a través del Explorador de archivos de Windows. Si desea ver los propietarios de archivos o directorios o ver o modificar permisos NTFS a través del Explorador de archivos de Windows, puede hacerlo solo desde máquinas virtuales unidas a un dominio.
Montaje de recursos compartidos de archivos mediante nombres de dominio personalizados
Si no quiere montar recursos compartidos de archivos de Azure usando el sufijo file.core.windows.net, puede modificar el sufijo del nombre de la cuenta de almacenamiento asociado con el recurso compartido de archivos de Azure y, luego, agregar un registro de nombre canónico (CNAME) para enrutar el nuevo sufijo al punto de conexión de la cuenta de almacenamiento. Las instrucciones siguientes son solo para entornos de bosque único. Para obtener información sobre cómo configurar entornos que tengan dos o más bosques, consulte Uso de Azure Files con varios bosques de Active Directory.
Nota:
Azure Files solo admite la configuración de CNAME mediante el nombre de la cuenta de almacenamiento como prefijo de dominio. Si no quiere usar el nombre de la cuenta de almacenamiento como prefijo, considere la posibilidad de usar espacios de nombres DFS.
En este ejemplo, tenemos el dominio de Active Directory onpremad1.com y una cuenta de almacenamiento denominada mystorageaccount, que contiene recursos compartidos de archivos de Azure SMB. En primer lugar, es necesario modificar el sufijo SPN de la cuenta de almacenamiento para asignar mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.
Esto permitirá a los clientes montar el recurso compartido con net use \\mystorageaccount.onpremad1.com porque los clientes de onpremad1 sabrán buscar onpremad1.com a fin de encontrar el recurso adecuado para esa cuenta de almacenamiento.
Para usar este método, complete los pasos siguientes:
Asegúrese de que ha configurado la autenticación basada en identidades y de que ha sincronizado las cuentas de usuario de AD con Microsoft Entra ID.
Modifique el SPN de la cuenta de almacenamiento mediante la herramienta
setspn. Para encontrar<DomainDnsRoot>, ejecute el siguiente comando de PowerShell de Active Directory:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Agregue una entrada CNAME mediante el Administrador DNS de Active Directory y siga los pasos siguientes para cada cuenta de almacenamiento del dominio al que está unida la cuenta de almacenamiento. Si usa un punto de conexión privado, agregue la entrada CNAME para asignarla al nombre del punto de conexión privado.
- Abra el Administrador DNS de Active Directory.
- Vaya a su dominio (por ejemplo, onpremad1.com).
- Vaya a "Zonas de búsqueda directa".
- Seleccione el nodo denominado después del dominio (por ejemplo, onpremad1.com) y haga clic con el botón derecho en Nuevo alias (CNAME).
- En el nombre del alias, escriba el nombre de la cuenta de almacenamiento.
- Para el nombre de dominio completo (FQDN), escriba
<storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com. La parte de nombre de host del FQDN debe coincidir con el nombre de la cuenta de almacenamiento. De lo contrario, recibirá un error de acceso denegado durante la configuración de la sesión de SMB. - Para el FQDN del host de destino, escriba
<storage-account-name>.file.core.windows.net - Seleccione Aceptar.
Ahora debería poder montar el recurso compartido de archivos mediante storageaccount.domainname.com. También puede montar el recurso compartido mediante la clave de la cuenta de almacenamiento.
Pasos siguientes
Si la identidad que creó en AD DS para representar la cuenta de almacenamiento está en un dominio o en una unidad organizativa que aplica la rotación de contraseñas, es posible que tenga que actualizar la contraseña de la identidad de la cuenta de almacenamiento en AD DS.