Azure Files で DFS 名前空間を使用する方法

[アーティクル]
04/02/2024

分散ファイルシステム名前空間 (一般的に DFS 名前空間や DFS-N と呼ばれます) は、運用環境での SMB ファイル共有のデプロイとメンテナンスを簡素化するために広く使われている Windows Server のサーバーロールです。 DFS 名前空間は、ストレージの名前空間仮想化技術です。つまり、これを使用すると、ファイル共有の UNC パスと実際のファイル共有自体との間に間接的なレイヤーを設けることができます。 DFS 名前空間は SMB ファイル共有で動作し、それらのファイル共有がホストされている場所に依存しません。 Azure File Sync の有無に関係なくオンプレミスの Windows ファイルサーバーでホストされている SMB 共有で、直接 Azure ファイル共有で、Azure NetApp Files や他のサードパーティオファリングでホストされている SMB ファイル共有で、さらには他のクラウドでホストされているファイル共有でも、使用できます。

根本として、SMB 共有のユーザーフレンドリな UNC パス (\\contoso\shares\ProjectX など) とその基になる UNC パス (\\Server01-Prod\ProjectX や \\storageaccount.file.core.windows.net\projectx など) との間のマッピングが、DFS 名前空間によって提供されます。エンドユーザーは自分のファイル共有に移動したい場合、ユーザーフレンドリな UNC パスを入力しますが、その SMB クライアントがアクセスするのは、マッピングの基になる SMB パスです。この基本的な概念を、既存のファイルサーバー名 (\\MyServer\ProjectX など) の引き継ぎに応用することもできます。この機能を使用して次のシナリオを実現できます。

論理データセットに、移行の影響を受けない名前を提供する。この例では、\\OldServer\Engineering に対応する \\contoso\shares\Engineering というマッピングがあるとします。 Azure Files への移行が完了した時点で、ユーザーフレンドリな UNC パスが \\storageaccount.file.core.windows.net\engineering を指すように、そのマッピングを変更することができます。エンドユーザーは、ユーザーフレンドリな UNC パスにアクセスすると、Azure ファイル共有のパスにシームレスにリダイレクトされるようになります。
Azure File Sync を使用するなどして、物理的に異なるサイトにある複数のサーバーに分散されている論理データセットに共通名を定義する。この例では、1 つの名前 (\\contoso\shares\FileSyncExample など) が複数の UNC パス (\\FileSyncServer1\ExampleShare、\\FileSyncServer2\DifferentShareName、\\FileSyncServer3\ExampleShare など) にマッピングされます。ユーザーは、ユーザーフレンドリな UNC にアクセスすると、一連の UNC パスの候補が提示され、その中から、Windows Server Active Directory (AD) サイトの定義に基づいて自分に最も近いものを選択することになります。
サイズや IO などのスケールしきい値を超えて論理データセットを拡張する。その一般的な形態としては、共有上で各ユーザーに各自のフォルダーを提供するユーザーディレクトリや、一時的なデータニーズに対応する任意の領域をユーザーに提供する一時的な共有が考えられます。 DFS 名前空間を使用すると、複数のフォルダーを集めて 1 つの名前空間にまとめることができます。たとえば、\\contoso\shares\UserShares\user1 は \\storageaccount.file.core.windows.net\user1 に、\\contoso\shares\UserShares\user2 は \\storageaccount.file.core.windows.net\user2 に対応するようにマッピングされます。

Azure Files のデプロイに DFS 名前空間を使用する例については、次の概要動画でご覧いただけます。 Azure Active Directory が Microsoft Entra ID になっていることに注意してください。詳細については、「Azure AD の新しい名前」を参照してください。

Note

DFS 名前空間の設定方法を確認するには、この動画の 10:10 にスキップしてください。

DFS 名前空間が既にある場合は、それを Azure Files と File Sync で使うために特別な手順は必要ありません。Azure ファイル共有にオンプレミスからアクセスする場合は、ネットワークに関する通常の考慮事項が適用されます。詳細については、「Azure Files のネットワークに関する考慮事項」を参照してください。

適用対象

ファイル共有の種類	SMB	NFS
Standard ファイル共有 (GPv2)、LRS/ZRS
Standard ファイル共有 (GPv2)、GRS/GZRS
Premium ファイル共有 (FileStorage)、LRS/ZRS

名前空間の種類

DFS 名前空間には、主要な名前空間として次の 2 種類があります。

ドメインベースの名前空間: Windows Server AD ドメインの一部としてホストされる名前空間。 AD の一部としてホストされる名前空間には、ドメイン名を含む UNC パスが割り当てられます。たとえば、ドメインが contoso.com の場合は、\\contoso.com\shares\myshare となります。ドメインベースの名前空間でサポートされるスケールの上限の方が大きく、また、AD による冗長性が組み込まれています。ドメインベースの名前空間を、フェールオーバークラスター上のクラスターリソースにすることはできません。
スタンドアロンの名前空間: Windows Server AD の一部としてホストされるのではなく、個々のサーバー上でホストされる名前空間。スタンドアロンの名前空間には、スタンドアロンサーバーの名前に基づく名前、たとえば \\MyStandaloneServer\shares\myshare が割り当てられます。この場合、スタンドアロンサーバーの名前は MyStandaloneServer です。スタンドアロンの名前空間は、ドメインベースの名前空間に比べてサポートされるスケールターゲットは低いものの、フェールオーバークラスター上のクラスターリソースとしてホストすることができます。

必要条件

Azure Files および File Sync で DFS 名前空間を使用するには、次のリソースが必要となります。

Active Directory ドメイン。オンプレミスや Azure 仮想マシン (VM)、さらに別のクラウドなど、これはどこにホストされていてもかまいません。
名前空間をホストできる Windows Server。 DFS 名前空間のデプロイパターンとしては、Active Directory ドメインコントローラーを使用して名前空間をホストするのが一般的ですが、DFS 名前空間サーバーロールがインストールされていれば、どのサーバーからでも名前空間を設定できます。サポート対象のすべての Windows Server バージョンで、DFS 名前空間を利用できます。
ドメイン参加済みの環境でホストされている SMB ファイル共有 (ドメイン参加済みのストレージアカウント内でホストされている Azure ファイル共有、ドメイン参加済みの Windows ファイルサーバーで Azure File Sync を使用してホストされているファイル共有など)。ストレージアカウントのドメイン参加の詳細については、ID ベースの認証に関するページを参照してください。 Azure File Sync を使っているかどうかに関係なく、Windows ファイルサーバーをドメインに参加させる方法は同じです。
DFS 名前空間で使用する SMB ファイル共有にオンプレミスのネットワークから到達可能であること。これは主に Azure ファイル共有に関する問題ですが、技術的にはクラウドでホストされているすべてのファイル共有に当てはまります。詳しくは、直接アクセスに関するネットワークの考慮事項に関する記事をご覧ください。

DFS 名前空間サーバーロールをインストールする

既に DFS 名前空間を使っている場合や、ドメインコントローラー上に DFS 名前空間を設定したい場合は、これらの手順をスキップしてかまいません。

ポータル
PowerShell

DFS 名前空間サーバーロールをインストールするには、サーバーでサーバーマネージャーを開きます。 [管理] を選択し、 [役割と機能の追加] を選択します。表示されるウィザードで、画面の指示に従って、DFS 名前空間の実行と管理に必要な Windows コンポーネントをインストールします。

インストールウィザードの [インストールの種類] セクションで、 [役割ベースまたは機能ベースのインストール] を選択し、 [次へ] を選択します。 [サーバーの選択] セクションで、DFS 名前空間サーバーロールのインストール先のサーバーを選んで、[次へ] を選びます。

[サーバーロール] セクションにあるロールの一覧から [DFS 名前空間] ロールを選択してチェックボックスをオンにします。これは、 [ファイルおよび記憶域サービス]>[ファイルサービスおよび iSCSI サービス] にあります。 DFS 名前空間サーバーロールを選択すると、そのサポートに必要でまだインストールされていないサーバーロールや機能が追加される場合があります。

[DFS 名前空間] ロールが選択されている [役割と機能の追加] ウィザードのスクリーンショット。

[DFS 名前空間] ロールのチェックボックスをオンにしたら、後続のすべての画面で [次へ] を選択してかまいません。ウィザードの [インストール] ボタンが有効になったらそのボタンを選択してください。インストールが完了したら、名前空間を構成できます。

管理者特権の PowerShell セッションから (または PowerShell リモート処理を使用して)、次のコマンドを実行します。

Install-WindowsFeature -Name "FS-DFS-Namespace", "RSAT-DFS-Mgmt-Con"

ルート統合によって既存のサーバー名を引き継ぐ

DFS 名前空間の重要な用途として、ファイル共有の物理的なレイアウトをリファクタリングする際に、既存のサーバー名を引き継ぐことがあります。たとえば、複数の古いファイルサーバーにあるファイル共有を、モダン化に伴う移行の過程で 1 台のファイルサーバーにまとめたい場合があります。従来、エンドユーザーの慣れやドキュメントのリンクのため、異なるファイルサーバーのファイル共有を 1 つのホストに統合する機能には限界がありました。しかし、DFS 名前空間のルート統合機能を使うと、複数のサーバー名に対して 1 つのサーバーを用意し、適切な共有名にルーティングすることができます。

ルート統合は、さまざまなデータセンター移行シナリオで役に立ちますが、次の理由から、クラウドネイティブな Azure ファイル共有の導入で特に有効です。

Azure ファイル共有では、既存のオンプレミスサーバー名を維持できません。
Azure ファイル共有には、ストレージアカウントの完全修飾ドメイン名 (FQDN) でアクセスする必要があります。たとえば、ストレージアカウント storageaccount にある share という Azure ファイル共有は常に、\\storageaccount.file.core.windows.net\share という UNC パスでアクセスされます。これは、短い名前 (\\MyServer\share など) や組織のドメイン名のサブドメインである名前 (\\MyServer.contoso.com\share など) を期待するエンドユーザーにとって、紛らわしい可能性があります。

ルート統合は、スタンドアロンの名前空間でのみ使用することができます。ドメインベースの既存の名前空間があり、既にファイル共有に使用している場合、ルート統合された名前空間を作成する必要はありません。

ルート統合を有効にする

管理者特権の PowerShell セッションから (または PowerShell リモート処理を使って) 次のレジストリキーを設定して、ルート統合を有効にします。

New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs" `
    -Type Registry `
    -ErrorAction SilentlyContinue
New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters" `
    -Type Registry `
    -ErrorAction SilentlyContinue
New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated" `
    -Type Registry `
    -ErrorAction SilentlyContinue
Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated" `
    -Name "ServerConsolidationRetry" `
    -Value 1

既存のファイルサーバー名の DNS エントリを作成する

DFS 名前空間を既存のファイルサーバー名に対応させるには、DFS 名前空間のサーバー名を指す、既存のファイルサーバーのエイリアス (CNAME) レコードを作成します。 DNS レコードを更新する厳密な手順は、社内で使用されているサーバーや、DNS の管理を自動化する目的で使用されているカスタムツールによって異なります。以下の手順は、Windows Server に含まれ、Windows AD によって自動的に使われる DNS サーバーに関するものです。

ポータル
PowerShell

Windows DNS サーバーで、DNS 管理コンソールを開きます。これは、[スタート] ボタンを選んで「DNS」と入力すると見つかります。ドメインの前方参照ゾーンに移動します。たとえば、ドメインが contoso.com の場合、前方参照ゾーンは、管理コンソールの [前方参照ゾーン]>contoso.com にあります。このダイアログに表示される厳密な階層は、実際のネットワークの DNS 構成によって異なります。

前方参照ゾーンを右クリックし、 [新しいエイリアス (CNAME)] を選択します。表示されたダイアログで、置き換えるファイルサーバーの短い名前を入力します (完全修飾ドメイン名は、 [完全修飾ドメイン名] というテキストボックスに自動的に入力されます)。 [Fully qualified domain name (FQDN) for the target host](ターゲットホストの完全修飾ドメイン名 (FQDN)) ボックスに、セットアップした DFS-N サーバーの名前を入力します。必要に応じて [参照] ボタンを使用してサーバーを選択できます。 [OK] を選択すると、サーバーの CNAME レコードが作成されます。

CNAME DNS エントリ用の [新しいリソースレコード] を表すスクリーンショット。

Windows DNS サーバーで PowerShell セッションを開き (または PowerShell リモート処理を使用して)、以下のコマンドを実行します。$oldServer と $dfsnServer には、実際の環境の適切な値を設定してください ($domain には、ドメイン名が自動的に事前設定されますが、これを手動で入力することもできます)。

# Variables
$oldServer = "MyServer"
$domain = Get-CimInstance -ClassName "Win32_ComputerSystem" | `
    Select-Object -ExpandProperty Domain
$dfsnServer = "CloudDFSN.$domain"

# Create CNAME record
Import-Module -Name DnsServer
Add-DnsServerResourceRecordCName `
    -Name $oldServer `
    -HostNameAlias $dfsnServer `
    -ZoneName $domain

名前空間の作成

DFS 名前空間の基本的な管理単位は名前空間です名前空間のルート (または名前) は、名前空間の起点です。\\contoso.com\Public\ という UNC パスの中で、Public が名前空間のルートとなります。

ルート統合で DFS 名前空間を使って既存のサーバー名を引き継ぐ場合、名前空間の名前は、引き継ぐサーバー名の前に # 文字を付けた名前にする必要があります。たとえば、MyServer という名前の既存のサーバーを引き継ぐ場合は、#MyServer という名前の DFS-N 名前空間を作成します。次の PowerShell セクションでは、先頭の # が自動的に追加されますが、DFS 管理コンソールで名前空間を作成する場合はユーザーが適宜追加する必要があります。

ポータル
PowerShell

新しい名前空間を作成するには、DFS 管理コンソールを開きます。これは、[スタート] ボタンを選んで「DFS Management」と入力すると見つかります。表示される管理コンソールには、[名前空間] と [レプリケーション] の 2 つのセクションがあり、それぞれ DFS 名前空間と DFS レプリケーション (DFS-R) を表します。 Azure File Sync には、レプリケーションと同期の先進的なメカニズムが備わっており、レプリケーションも必要であれば、DFS-R の代わりにそれらのメカニズムを使用することもできます。

[名前空間] セクションで、 [新しい名前空間] ボタンを選択します ( [名前空間] セクションで右クリックする方法もあります)。 新しい名前空間ウィザードが起動するので、画面の指示に従って名前空間を作成します。

ウィザードの最初のセクションでは、名前空間のホストとなる DFS 名前空間サーバーを選択する必要があります。複数のサーバーで 1 つの名前空間をホストできますが、DFS 名前空間は一度に 1 つのサーバーで設定する必要があります。必要な DFS 名前空間サーバーの名前を入力し、 [次へ] を選択します。 [名前空間の名前と設定] セクションで、目的の名前空間の名前を入力して [次へ] を選びます。

[名前空間の種類] セクションでは、 [ドメインベースの名前空間] か [スタンドアロンの名前空間] かを選択できます。既存のファイルサーバー名または NAS デバイス名を維持することを目的に DFS 名前空間を使用する場合、[スタンドアロンの名前空間] オプションを選択する必要があります。他のシナリオでは、ドメインベースの名前空間を選びます。名前空間の種類の選択について詳しくは、「名前空間の種類」をご覧ください。

[新しい名前空間] ウィザードで、ドメインベースの名前空間かスタンドアロンの名前空間かを選択する画面のスクリーンショット。

実際の環境に必要な名前空間の種類を選択し、 [次へ] を選択します。その後、ウィザードで作成される名前空間のサマリーが表示されます。 [作成] をクリックして名前空間を作成し、ダイアログが完了したら [閉じる] を選択します。

DFS 名前空間サーバーの PowerShell セッションから、次の PowerShell コマンドを実行します。$namespace、$type、$takeOverName には、実際の環境の適切な値を設定してください。

# Variables
$namespace = "Public"
$type = "DomainV2" # "Standalone"
$takeOverName = $false # $true

$namespace = if ($takeOverName -and $type -eq "Standalone" -and $namespace[0] -ne "#") { 
    "#$namespace" 
} else { $namespace }
$dfsnServer = $env:ComputerName
$namespaceServer = if ($type -eq "DomainV2") { 
    Get-CimInstance -ClassName "Win32_ComputerSystem" | `
    Select-Object -ExpandProperty Domain
} else { $dfsnServer }

# Create share for DFS-N namespace
$smbShare = "C:\DFSRoots\$namespace"
if (!(Test-Path -Path $smbShare)) { New-Item -Path $smbShare -ItemType Directory }
New-SmbShare -Name $namespace -Path $smbShare -FullAccess Everyone

# Create DFS-N namespace
Import-Module -Name DFSN
$namespacePath = "\\$namespaceServer\$namespace"
$targetPath = "\\$dfsnServer\$namespace"
New-DfsnRoot -Path $namespacePath -TargetPath $targetPath -Type $type

フォルダーとフォルダーターゲットを構成する

名前空間を有効活用するためには、名前空間にフォルダーとフォルダーターゲットが必要です。各フォルダーには、1 つまたは複数のフォルダーターゲットを割り当てることができます。フォルダーターゲットは、コンテンツのホストとなる SMB ファイル共有へのポインターです。フォルダーターゲットが割り当てられているフォルダーをユーザーが参照すると、クライアントコンピューターに参照が渡され、その参照によって、いずれかのフォルダーターゲットにクライアントコンピューターが透過的にリダイレクトされます。フォルダーターゲットのないフォルダーを使用して、名前空間に構造と階層を追加することもできます。

DFS 名前空間のフォルダーは、ファイル共有と同様のものと考えることができます。

ポータル
PowerShell

DFS 管理コンソールで、先ほど作成した名前空間を選択し、 [新しいフォルダー] を選択します。表示された [新しいフォルダー] ダイアログで、フォルダーとフォルダーターゲットの両方を作成できます。

[新しいフォルダー] ダイアログのスクリーンショット。

[名前] ボックスに、フォルダーの名前を入力します。このフォルダーのフォルダーターゲットを追加するには、 [追加] を選択します。これによって表示される [フォルダーターゲットを追加] ダイアログには、 [フォルダーターゲットへのパス] というテキストボックスが備わっていて、そこに目的のフォルダーの UNC パスを入力することができます。 [フォルダーターゲットを追加] ダイアログで [OK] を選択します。 Azure ファイル共有の UNC パスを追加しようとすると、サーバー storageaccount.file.core.windows.net に接続できないというメッセージが表示される場合があります。これは想定された動作です。 [はい] を選択して続行してください。最後に、 [新しいフォルダー] ダイアログの [OK] を選択して、フォルダーとフォルダーターゲットを作成します。

# Variables
$shareName = "MyShare"
$targetUNC = "\\storageaccount.file.core.windows.net\myshare"

# Create folder and folder targets
$sharePath = "$namespacePath\$shareName"
New-DfsnFolder -Path $sharePath -TargetPath $targetUNC

名前空間、フォルダー、フォルダーターゲットを作成したので、DFS 名前空間を通じてファイル共有をマウントできます。ドメインベースの名前空間を使用している場合、共有の完全なパスは \\<domain-name>\<namespace>\<share> となります。スタンドアロンの名前空間を使用している場合、共有の完全なパスは \\<DFS-server>\<namespace>\<share> となります。ルート統合でスタンドアロン名前空間を使っている場合は、以前のサーバー名 (\\<old-server>\<share> など) を使って直接アクセスできます。

アクセスベースの列挙 (ABE)

ABE を使用して SMB Azure ファイル共有内のファイルとフォルダーの可視性を制御することは、現在サポートされているシナリオではありません。 ABE は DFS-N の機能であるため、ID ベースの認証を構成し、ABE 機能を有効にすることはできます。ただし、それが適用されるのは DFS-N フォルダーターゲットのみで、対象のファイル共有自体にさかのぼって適用されることはありません。 DFS-N は、フォルダーターゲットの手前にあるプロキシとしてではなく、参照によって機能するためです。

たとえば、「\\mydfsnserver\share」というパスをユーザーが入力した場合、SMB クライアントでは \\mydfsnserver\share => \\server123\share の参照を受け取り、後者に対してマウントします。

そのため ABE が機能するのは、DFS-N サーバーがリダイレクトの前にユーザー名のリストをホストしている場合に限られます。

\\DFSServer\users\contosouser1 => \\SA.file.core.windows.net\contosouser1

\\DFSServer\users\contosouser1 => \\SA.file.core.windows.net\users\contosouser1

(contosouser1 は users 共有のサブフォルダー)

各ユーザーがリダイレクト "後" のサブフォルダーである場合、ABE は機能しません。

\\DFSServer\SomePath\users --> \\SA.file.core.windows.net\users

こちらもご覧ください

Azure ファイル共有のデプロイ: Azure Files のデプロイの計画とファイル共有の作成方法。
ファイル共有のアクセスの構成: ID ベースの認証と直接アクセスに関するネットワークの考慮事項。
Windows Server 分散ファイルシステムの名前空間