Memasang berbagi file Azure

  • Artikel

Sebelum memulai artikel ini, pastikan Anda telah membaca mengonfigurasi izin direktori dan tingkat file melalui SMB.

Proses yang dijelaskan dalam artikel ini memverifikasi bahwa berbagi file SMB dan izin akses Anda disiapkan dengan benar dan Anda dapat memasang berbagi file Azure SMB Anda. Ingatlah bahwa penetapan peran tingkat berbagi dapat memakan waktu untuk diterapkan.

Masuk ke klien menggunakan kredensial identitas yang Anda berikan izinnya.

Berlaku untuk

Jenis berbagi File SMB NFS
Berbagi file standar (GPv2), LRS/ZRS Yes No
Berbagi file standar (GPv2), GRS/GZRS Yes No
Berbagi file premium (FileStorage), LRS/ZRS Yes No

Prasyarat pemasangan

Sebelum Anda dapat memasang berbagi file Azure, pastikan Anda telah melalui prasyarat berikut:

  • Jika Anda memasang berbagi file dari klien yang sebelumnya telah tersambung ke berbagi file menggunakan kunci akun penyimpanan Anda, pastikan Anda telah memutuskan berbagi, menghapus kredensial persisten kunci akun penyimpanan, dan saat ini menggunakan kredensial AD DS untuk autentikasi. Untuk instruksi tentang cara menghapus kredensial cache dengan kunci akun penyimpanan dan menghapus koneksi SMB yang ada sebelum menginisialisasi koneksi baru dengan kredensial AD DS atau Microsoft Entra, ikuti proses dua langkah di halaman FAQ.
  • Klien Anda harus memiliki konektivitas jaringan yang tidak tertandingi ke AD DS Anda. Jika komputer atau VM berada di luar jaringan yang dikelola oleh AD DS Anda, Anda harus mengaktifkan VPN guna mencapai AD DS untuk autentikasi.

Memasang berbagi file dari VM yang bergabung dengan domain

Jalankan skrip PowerShell di bawah ini atau gunakan portal Azure untuk terus memasang berbagi file Azure dan memetakannya ke drive Z: di Windows. Jika Z: sudah digunakan, ganti dengan huruf drive yang tersedia. Skrip akan memeriksa untuk melihat apakah akun penyimpanan ini dapat diakses melalui port TCP 445, yang merupakan port yang digunakan SMB. Ingatlah untuk mengganti nilai tempat penampung dengan nilai Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan berbagi file Azure dengan Windows.

Kecuali Anda menggunakan nama domain kustom, Anda harus memasang berbagi file Azure menggunakan akhiran file.core.windows.net, bahkan jika Anda menyiapkan titik akhir privat untuk berbagi Anda.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Anda juga dapat menggunakan net-use perintah dari prompt Windows untuk memasang berbagi file. Ingatlah untuk mengganti <YourStorageAccountName> dan <FileShareName> dengan nilai Anda sendiri.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Jika Anda mengalami masalah, lihat Tidak dapat memasang berbagi file Azure dengan kredensial AD.

Memasang berbagi file dari VM yang tidak bergabung dengan domain atau VM yang bergabung ke domain AD yang berbeda

VM atau VM non-domain yang bergabung ke domain AD yang berbeda dari akun penyimpanan dapat mengakses berbagi file Azure jika mereka memiliki konektivitas jaringan yang tidak tertandingi ke pengontrol domain dan memberikan kredensial eksplisit (nama pengguna dan kata sandi). Pengguna yang mengakses berbagi file harus memiliki identitas dan kredensial di domain AD tempat akun penyimpanan digabungkan.

Untuk memasang berbagi file dari VM yang tidak bergabung dengan domain, gunakan notasi username@domainFQDN, di mana domainFQDN adalah nama domain yang sepenuhnya memenuhi syarat. Ini akan memungkinkan klien untuk menghubungi pengendali domain untuk meminta dan menerima tiket Kerberos. Anda bisa mendapatkan nilai domainFQDN dengan menjalankan (Get-ADDomain).Dnsroot di Active Directory PowerShell.

Contoh:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Catatan

Azure Files tidak mendukung terjemahan SID ke UPN untuk pengguna dan grup dari VM yang bergabung dengan non-domain atau VM yang bergabung ke domain lain melalui Windows File Explorer. Jika Anda ingin melihat pemilik file/direktori atau melihat/memodifikasi izin NTFS melalui Windows File Explorer, Anda dapat melakukannya hanya dari VM yang bergabung dengan domain.

Memasang berbagi file menggunakan nama domain kustom

Jika Anda tidak ingin memasang berbagi file Azure menggunakan akhiran file.core.windows.net, Anda dapat mengubah akhiran nama akun penyimpanan yang terkait dengan berbagi file Azure, lalu menambahkan catatan nama kanonis (CNAME) untuk merutekan akhiran baru ke titik akhir akun penyimpanan. Instruksi berikut hanya untuk lingkungan hutan tunggal. Untuk mempelajari cara mengonfigurasi lingkungan yang memiliki dua forest atau lebih, lihat Menggunakan Azure Files dengan beberapa forest Direktori Aktif.

Catatan

Azure Files hanya mendukung konfigurasi CNAMES menggunakan nama akun penyimpanan sebagai awalan domain. Jika Anda tidak ingin menggunakan nama akun penyimpanan sebagai awalan, pertimbangkan untuk menggunakan namepace DFS.

Dalam contoh ini, kami memiliki domain Direktori Aktif onpremad1.com, dan kami memiliki akun penyimpanan yang disebut mystorageaccount yang berisi berbagi file Azure SMB. Pertama, kita perlu memodifikasi akhiran SPN akun penyimpanan untuk memetakan mystorageaccount.onpremad1.com ke mystorageaccount.file.core.windows.net.

Ini akan memungkinkan klien untuk memasang berbagi dengan net use \\mystorageaccount.onpremad1.com karena klien di onpremad1 akan tahu untuk mencari onpremad1.com untuk menemukan sumber daya yang tepat untuk akun penyimpanan tersebut.

Untuk menggunakan metode ini, selesaikan langkah-langkah berikut:

  1. Pastikan Anda telah menyiapkan autentikasi berbasis identitas dan menyinkronkan akun pengguna AD Anda ke ID Microsoft Entra.

  2. Ubah SPN akun penyimpanan menggunakan setspn alat . Anda dapat menemukan <DomainDnsRoot> dengan menjalankan perintah PowerShell Direktori Aktif berikut ini: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Tambahkan entri CNAME menggunakan Active Directory DNS Manager dan ikuti langkah-langkah di bawah ini untuk setiap akun penyimpanan di domain tempat akun penyimpanan digabungkan. Jika Anda menggunakan titik akhir privat, tambahkan entri CNAME untuk memetakan ke nama titik akhir privat.

    1. Buka Active Directory DNS Manager.
    2. Buka domain Anda (misalnya, onpremad1.com).
    3. Buka "Teruskan Zona Pencarian".
    4. Pilih simpul bernama sesuai domain Anda (misalnya, onpremad1.com) dan klik kanan Alias Baru (CNAME).
    5. Untuk nama alias, masukkan nama akun penyimpanan Anda.
    6. Untuk nama domain yang sepenuhnya memenuhi syarat (FQDN), masukkan <storage-account-name>.<domain-name>, seperti mystorageaccount.onpremad1.com. Bagian nama host dari FQDN harus cocok dengan nama akun penyimpanan. Jika tidak, Anda akan mendapatkan kesalahan akses yang ditolak selama penyiapan sesi SMB.
    7. Untuk FQDN host target, masukkan <storage-account-name>.file.core.windows.net
    8. Pilih OK.

Anda sekarang dapat memasang berbagi file menggunakan storageaccount.domainname.com. Anda juga dapat memasang berbagi file menggunakan kunci akun penyimpanan.

Langkah berikutnya

Jika identitas yang Anda buat di AD DS untuk mewakili akun penyimpanan berada di domain atau unit organisasi yang memberlakukan rotasi kata sandi, Anda mungkin perlu memperbarui kata sandi identitas akun penyimpanan Anda di AD DS.