Udostępnij za pośrednictwem

Instalowanie udziału plików platformy Azure

  • Artykuł

Przed rozpoczęciem tego artykułu upewnij się, że znasz uprawnienia do konfigurowania katalogu i na poziomie plików za pośrednictwem protokołu SMB.

Proces opisany w tym artykule sprawdza, czy udział plików SMB i uprawnienia dostępu są poprawnie skonfigurowane i czy można zainstalować udział plików platformy Azure SMB. Pamiętaj, że przypisanie roli na poziomie udziału może zająć trochę czasu.

Zaloguj się do klienta przy użyciu poświadczeń tożsamości, do której udzielono uprawnień.

Dotyczy

Typ udziału plików SMB NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS Tak Nie
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS Tak Nie
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS Tak Nie.

Wymagania wstępne dotyczące instalowania

Przed zainstalowaniem udziału plików platformy Azure upewnij się, że zostały spełnione następujące wymagania wstępne:

  • Jeśli instalowania udziału plików z klienta, który wcześniej nawiązał połączenie z udziałem plików przy użyciu klucza konta magazynu, upewnij się, że odłączono udział, usunięto trwałe poświadczenia klucza konta magazynu i obecnie używasz poświadczeń usług AD DS do uwierzytelniania. Aby uzyskać instrukcje dotyczące usuwania buforowanych poświadczeń przy użyciu klucza konta magazynu i usuwania istniejących połączeń SMB przed zainicjowaniem nowego połączenia z usługami AD DS lub poświadczeniami usługi Microsoft Entra, wykonaj dwuetapowy proces na stronie Często zadawane pytania.
  • Klient musi mieć niezmpedowaną łączność sieciową z usługami AD DS. Jeśli komputer lub maszyna wirtualna znajduje się poza siecią zarządzaną przez usługi AD DS, musisz włączyć sieć VPN, aby nawiązać połączenie z usługami AD DS na potrzeby uwierzytelniania.

Instalowanie udziału plików z maszyny wirtualnej przyłączonej do domeny

Uruchom poniższy skrypt programu PowerShell lub użyj witryny Azure Portal , aby trwale zainstalować udział plików platformy Azure i zamapować go na dysk Z: w systemie Windows. Jeśli Z: jest już używany, zastąp go dostępną literą dysku. Skrypt sprawdzi, czy to konto magazynu jest dostępne za pośrednictwem portu TCP 445, który jest używany przez port SMB. Pamiętaj, aby zastąpić wartości symboli zastępczych własnymi wartościami. Aby uzyskać więcej informacji, zobacz Używanie udziału plików platformy Azure z systemem Windows.

Jeśli nie używasz niestandardowych nazw domen, należy zainstalować udziały plików platformy Azure przy użyciu sufiksu file.core.windows.net, nawet jeśli skonfigurujesz prywatny punkt końcowy dla udziału.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Możesz również użyć net-use polecenia z poziomu wiersza polecenia systemu Windows, aby zainstalować udział plików. Pamiętaj, aby zastąpić <YourStorageAccountName> wartości i <FileShareName> własnymi wartościami.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Jeśli wystąpią problemy, zobacz Nie można zainstalować udziałów plików platformy Azure przy użyciu poświadczeń usługi AD.

Instalowanie udziału plików z maszyny wirtualnej nieprzyłączonych do domeny lub maszyny wirtualnej przyłączonej do innej domeny usługi AD

Nieprzyłączonych do domeny maszyn wirtualnych lub maszyn wirtualnych, które są przyłączone do innej domeny usługi AD niż konto magazynu, mogą uzyskiwać dostęp do udziałów plików platformy Azure, jeśli mają niezwiązaną łączność sieciową z kontrolerami domeny i podać jawne poświadczenia (nazwa użytkownika i hasło). Użytkownik, który uzyskuje dostęp do udziału plików, musi mieć tożsamość i poświadczenia w domenie usługi AD, do której jest przyłączone konto magazynu.

Aby zainstalować udział plików z maszyny wirtualnej nieprzyłączonych do domeny, użyj notacji username@domainFQDN, gdzie nazwa domenyFQDN jest w pełni kwalifikowaną nazwą domeny. Umożliwi to klientowi skontaktowanie się z kontrolerem domeny w celu zażądania i odebrania biletów protokołu Kerberos. Wartość domainFQDN można uzyskać, uruchamiając polecenie (Get-ADDomain).Dnsroot w programie PowerShell usługi Active Directory.

Na przykład:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Uwaga

Usługa Azure Files nie obsługuje tłumaczenia identyfikatora SID na nazwę UPN dla użytkowników i grup z maszyny wirtualnej nieprzyłączonych do domeny lub maszyny wirtualnej przyłączonej do innej domeny za pośrednictwem systemu Windows Eksplorator plików. Jeśli chcesz wyświetlić właścicieli plików/katalogów lub wyświetlić/zmodyfikować uprawnienia systemu plików NTFS za pośrednictwem systemu Windows Eksplorator plików, możesz to zrobić tylko z maszyn wirtualnych przyłączonych do domeny.

Instalowanie udziałów plików przy użyciu niestandardowych nazw domen

Jeśli nie chcesz instalować udziałów plików platformy Azure przy użyciu sufiksu file.core.windows.net, możesz zmodyfikować sufiks nazwy konta magazynu skojarzonego z udziałem plików platformy Azure, a następnie dodać rekord nazwy kanonicznej (CNAME), aby skierować nowy sufiks do punktu końcowego konta magazynu. Poniższe instrukcje dotyczą tylko środowisk z jednym lasem. Aby dowiedzieć się, jak skonfigurować środowiska z co najmniej dwoma lasami, zobacz Używanie usługi Azure Files z wieloma lasami usługi Active Directory.

Uwaga

Usługa Azure Files obsługuje tylko konfigurowanie rekordów CNAMES przy użyciu nazwy konta magazynu jako prefiksu domeny. Jeśli nie chcesz używać nazwy konta magazynu jako prefiksu, rozważ użycie nazw systemu plików DFS.

W tym przykładzie mamy onpremad1.com domeny usługi Active Directory i mamy konto magazynu o nazwie mystorageaccount zawierające udziały plików platformy Azure SMB. Najpierw należy zmodyfikować sufiks nazwy SPN konta magazynu, aby zamapować mystorageaccount.onpremad1.com na mystorageaccount.file.core.windows.net.

Umożliwi to klientom instalowanie udziału net use \\mystorageaccount.onpremad1.com , ponieważ klienci w środowisku onpremad1 będą wiedzieć, aby wyszukać onpremad1.com znaleźć odpowiedni zasób dla tego konta magazynu.

Aby użyć tej metody, wykonaj następujące kroki:

  1. Upewnij się, że skonfigurowano uwierzytelnianie oparte na tożsamościach i zsynchronizowano konta użytkowników usługi AD z identyfikatorem Entra firmy Microsoft.

  2. Zmodyfikuj nazwę SPN konta magazynu przy użyciu setspn narzędzia . Możesz znaleźć <DomainDnsRoot> , uruchamiając następujące polecenie programu PowerShell usługi Active Directory: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Dodaj wpis CNAME przy użyciu Menedżera DNS usługi Active Directory i wykonaj poniższe kroki dla każdego konta magazynu w domenie, do której jest przyłączone konto magazynu. Jeśli używasz prywatnego punktu końcowego, dodaj wpis CNAME, aby zamapować na nazwę prywatnego punktu końcowego.

    1. Otwórz Menedżera DNS usługi Active Directory.
    2. Przejdź do domeny (na przykład onpremad1.com).
    3. Przejdź do obszaru "Strefy wyszukiwania do przodu".
    4. Wybierz węzeł o nazwie po domenie (na przykład onpremad1.com) i kliknij prawym przyciskiem myszy nowy alias (CNAME).
    5. W polu nazwa aliasu wprowadź nazwę konta magazynu.
    6. W przypadku w pełni kwalifikowanej nazwy domeny (FQDN) wprowadź ciąg <storage-account-name>.<domain-name>, na przykład mystorageaccount.onpremad1.com. Część nazwy hosta nazwy FQDN musi być zgodna z nazwą konta magazynu. W przeciwnym razie podczas konfigurowania sesji protokołu SMB zostanie wyświetlony błąd odmowy dostępu.
    7. W polu nazwa FQDN hosta docelowego wprowadź wartość <storage-account-name>.file.core.windows.net
    8. Wybierz przycisk OK.

Teraz powinno być możliwe zainstalowanie udziału plików przy użyciu storageaccount.domainname.com. Udział plików można również zainstalować przy użyciu klucza konta magazynu.

Następny krok

Jeśli tożsamość utworzona w usługach AD DS reprezentująca konto magazynu znajduje się w domenie lub jednostki organizacyjnej, która wymusza rotację haseł, może być konieczne zaktualizowanie hasła tożsamości konta magazynu w usługach AD DS.