Azure dosya paylaşımını bağlama

  • Makale

Bu makaleye başlamadan önce SMB üzerinden dizin ve dosya düzeyinde yapılandırma izinlerini okuduğunuzdan emin olun.

Bu makalede açıklanan işlem, SMB dosya paylaşımınızın ve erişim izinlerinizin doğru ayarlandığını ve SMB Azure dosya paylaşımınızı bağlayabileceğinizi doğrular. Paylaşım düzeyi rol atamalarının etkili olması biraz zaman alabilir.

İzin vermiş olduğunuz kimliğin kimlik bilgilerini kullanarak istemcide oturum açın.

Şunlara uygulanır

Dosya paylaşımı türü SMB NFS
Standart dosya paylaşımları (GPv2), LRS/ZRS Yes No
Standart dosya paylaşımları (GPv2), GRS/GZRS Yes No
Premium dosya paylaşımları (filestorage), LRS/ZRS Yes No

Bağlama önkoşulları

Azure dosya paylaşımını bağlayabilmeniz için önce aşağıdaki önkoşulları gerçekleştirdiğinizden emin olun:

  • Dosya paylaşımını depolama hesabı anahtarınızı kullanarak dosya paylaşımına daha önce bağlanmış bir istemciden bağlıysanız, paylaşımın bağlantısını kestiğinizden, depolama hesabı anahtarının kalıcı kimlik bilgilerini kaldırdığınızdan ve şu anda kimlik doğrulaması için AD DS kimlik bilgilerini kullandığınızdan emin olun. AD DS veya Microsoft Entra kimlik bilgileriyle yeni bir bağlantı başlatmadan önce depolama hesabı anahtarıyla önbelleğe alınmış kimlik bilgilerini kaldırma ve mevcut SMB bağlantılarını silme yönergeleri için SSS sayfasındaki iki adımlı işlemi izleyin.
  • İstemcinizin AD DS'nize tanımlanamayan ağ bağlantısı olmalıdır. Makineniz veya VM'niz AD DS'niz tarafından yönetilen ağın dışındaysa kimlik doğrulaması için AD DS'ye ulaşmak için VPN'yi etkinleştirmeniz gerekir.

Dosya paylaşımını etki alanına katılmış bir VM'den bağlama

Aşağıda PowerShell betiğini çalıştırın veya Azure portalını kullanarak Azure dosya paylaşımını kalıcı olarak bağlayın ve Windows'da Z: sürücüsüne eşleyin. Z ise: zaten kullanımdaysa bunu kullanılabilir bir sürücü harfiyle değiştirin. Betik, bu depolama hesabına SMB'nin kullandığı 445 numaralı TCP bağlantı noktası üzerinden erişilip erişilmediğini denetler. Yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın. Daha fazla bilgi için bkz . Windows ile Azure dosya paylaşımı kullanma.

Özel etki alanı adları kullanmıyorsanız, paylaşımınız için özel bir uç nokta ayarlamış olsanız bile son ekini file.core.windows.netkullanarak Azure dosya paylaşımlarını bağlamanız gerekir.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Dosya paylaşımını net-use bağlamak için windows isteminden komutunu da kullanabilirsiniz. ve <FileShareName> değerlerini kendi değerlerinizle değiştirmeyi <YourStorageAccountName> unutmayın.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Sorunlarla karşılaşırsanız bkz . AD kimlik bilgileriyle Azure dosya paylaşımları bağlanamıyor.

Dosya paylaşımını etki alanına katılmamış bir VM'den veya farklı bir AD etki alanına katılmış bir VM'den bağlama

Etki alanına katılmamış VM'ler veya depolama hesabından farklı bir AD etki alanına katılmış VM'ler, etki alanı denetleyicilerine ağ bağlantısının engellenmemiş olması ve açık kimlik bilgileri (kullanıcı adı ve parola) sağlamaları durumunda Azure dosya paylaşımlarına erişebilir. Dosya paylaşımına erişen kullanıcının, depolama hesabının katıldığı AD etki alanında bir kimliği ve kimlik bilgileri olmalıdır.

Etki alanına katılmamış bir VM'den dosya paylaşımını bağlamak için, domainFQDN'nin tam etki alanı adı olduğu gösterimi username@domainFQDN kullanın. Bu, istemcinin Kerberos biletlerini istemek ve almak için etki alanı denetleyicisine başvurmasına olanak sağlar. Active Directory PowerShell'de çalıştırarak (Get-ADDomain).Dnsroot domainFQDN değerini alabilirsiniz.

Örneğin:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Not

Azure Dosyalar, etki alanına katılmamış bir VM'den veya Windows Dosya Gezgini aracılığıyla farklı bir etki alanına katılmış bir VM'den kullanıcılar ve gruplar için SID'den UPN'ye çeviriyi desteklemez. Windows Dosya Gezgini aracılığıyla dosya/dizin sahiplerini görüntülemek veya NTFS izinlerini görüntülemek/değiştirmek istiyorsanız, bunu yalnızca etki alanına katılmış VM'lerden yapabilirsiniz.

Özel etki alanı adlarını kullanarak dosya paylaşımlarını bağlama

Son ekini file.core.windows.netkullanarak Azure dosya paylaşımlarını bağlamak istemiyorsanız, Azure dosya paylaşımıyla ilişkili depolama hesabı adının son ekini değiştirebilir ve ardından yeni son eki depolama hesabının uç noktasına yönlendirmek için kurallı ad (CNAME) kaydı ekleyebilirsiniz. Aşağıdaki yönergeler yalnızca tek ormanlı ortamlar içindir. İki veya daha fazla ormanı olan ortamları yapılandırmayı öğrenmek için bkz. Birden çok Active Directory ormanıyla Azure Dosyalar kullanma.

Not

Azure Dosyalar yalnızca etki alanı ön eki olarak depolama hesabı adını kullanarak CNAMES'nin yapılandırılmasını destekler. Depolama hesabı adını ön ek olarak kullanmak istemiyorsanız DFS adpakları kullanmayı göz önünde bulundurun.

Bu örnekte Active Directory etki alanı onpremad1.com ve SMB Azure dosya paylaşımlarını içeren mystorageaccount adlı bir depolama hesabımız vardır. İlk olarak, mystorageaccount.onpremad1.com mystorageaccount.file.core.windows.net eşlemek için depolama hesabının SPN sonekini değiştirmemiz gerekir.

Bu, onpremad1 içindeki istemciler söz konusu depolama hesabı için uygun kaynağı bulmak için onpremad1.com aramayı bileceğinden istemcilerin paylaşımı ile net use \\mystorageaccount.onpremad1.com bağlamasına olanak tanır.

Bu yöntemi kullanmak için aşağıdaki adımları tamamlayın:

  1. Kimlik tabanlı kimlik doğrulamasını ayarladığınızdan ve AD kullanıcı hesaplarınızı Microsoft Entra Id ile eşitlediğinizden emin olun.

  2. Aracı kullanarak depolama hesabının SPN'sini setspn değiştirin. Aşağıdaki Active Directory PowerShell komutunu çalıştırarak bulabilirsiniz <DomainDnsRoot> : (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Active Directory DNS Yöneticisi'ni kullanarak bir CNAME girdisi ekleyin ve depolama hesabının katıldığı etki alanındaki her depolama hesabı için aşağıdaki adımları izleyin. Özel uç nokta kullanıyorsanız, özel uç nokta adıyla eşlemek için CNAME girdisini ekleyin.

    1. Active Directory DNS Yöneticisi'ne gidin.
    2. Etki alanınıza gidin (örneğin, onpremad1.com).
    3. "İleriye Doğru Arama Bölgeleri" bölümüne gidin.
    4. Etki alanınızın adını taşıyan düğümü seçin (örneğin, onpremad1.com) ve Yeni Diğer Ad 'a (CNAME) sağ tıklayın.
    5. Diğer ad için depolama hesabı adınızı girin.
    6. Tam etki alanı adı (FQDN) için , örneğin mystorageaccount.onpremad1.com girin<domain-name><storage-account-name>. FQDN'nin konak adı bölümü depolama hesabı adıyla eşleşmelidir. Aksi takdirde SMB oturumu kurulumu sırasında erişim reddedildi hatası alırsınız.
    7. Hedef ana bilgisayar FQDN'sine .file.core.windows.net girin <storage-account-name>
    8. Tamam'ı seçin.

Artık storageaccount.domainname.com kullanarak dosya paylaşımını bağlayabilmeniz gerekir. Depolama hesabı anahtarını kullanarak dosya paylaşımını da bağlayabilirsiniz.

Sonraki adımlar

Ad DS'de depolama hesabını temsil etmek için oluşturduğunuz kimlik, parola döndürmeyi zorunlu kılan bir etki alanında veya OU'daysa, AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirmeniz gerekebilir.