Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Het proces dat in dit artikel wordt beschreven, controleert of uw SMB-bestandsshare en toegangsmachtigingen correct zijn ingesteld en of u uw SMB Azure-bestandsshare kunt koppelen.
Van toepassing op
| Beheermodel | Betaalmodel | Medianiveau | Redundantie | Kleine en Middelgrote Ondernemingen (SMB) | Network File System (NFS) |
|---|---|---|---|---|---|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | GeoZone (GZRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v1 | SSD (van hoge kwaliteit) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v1 | SSD (van hoge kwaliteit) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Opslag | Betaal naar verbruik | HDD (standaard) | GeoZone (GZRS) |
|
|
Vereisten voor monteren
Voordat u de Azure-bestandsshare kunt koppelen, moet u de volgende vereisten voltooien:
- Zorg ervoor dat u machtigingen op shareniveau toewijst en map- en bestandsmachtigingen configureert. Houd er rekening mee dat het enige tijd kan duren voordat roltoewijzing op shareniveau wordt doorgevoerd.
- Als u de bestandsdeling koppelt vanaf een client die eerder is verbonden met de bestandsdeling met behulp van de sleutel van uw opslagaccount, zorg ervoor dat u eerst de deelverbinding ontkoppelt en de opgeslagen referenties van de sleutel van uw opslagaccount verwijdert. Voor instructies over het verwijderen van referenties in de cache en het verwijderen van bestaande SMB-verbindingen voordat u een nieuwe verbinding met Active Directory-domein Services (AD DS) of Microsoft Entra-referenties initialiseert, volgt u het proces in twee stappen op de pagina Veelgestelde vragen.
- Als uw AD-bron AD DS of Microsoft Entra Kerberos is, moet uw client een niet-gempte netwerkverbinding met uw AD DS hebben. Als uw machine of VM zich buiten het netwerk bevindt dat wordt beheerd door uw AD DS, moet u VPN inschakelen om AD DS te bereiken voor verificatie.
- Meld u aan bij de client met behulp van de inloggegevens van de AD DS of Microsoft Entra-identiteit waaraan u machtigingen hebt toegekend.
De bestandsshare koppelen vanaf een aan een domein gekoppelde VM
Voer het volgende PowerShell-script uit of gebruik Azure Portal om de Azure-bestandsshare permanent te koppelen en toe te wijzen aan station Z: (of het gewenste koppelpad) in Windows. Omdat u al bent geverifieerd, hoeft u de sleutel van het opslagaccount niet op te geven. Het script controleert of dit opslagaccount toegankelijk is via TCP-poort 445. Dit is de poort die SMB gebruikt. Vergeet niet om de tijdelijke aanduidingen te vervangen door uw eigen waarden. Zie Een Azure-bestandsshare gebruiken met Windows voor meer informatie.
Tenzij u aangepaste domeinnamen gebruikt, moet u Azure-bestandsshares koppelen met behulp van het achtervoegselfile.core.windows.net, zelfs als u een privé-eindpunt voor uw share instelt.
$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
U kunt de net use opdracht ook gebruiken vanuit een Windows-prompt om de bestandsshare te koppelen. Vergeet niet om <YourStorageAccountName> en <FileShareName> te vervangen door uw eigen waarden.
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>
Als u problemen ondervindt, raadpleeg Kan niet Azure-bestandsshares koppelen met AD-referenties.
Koppel de bestandsshare vanaf een niet-domein-gekoppelde VM of een VM die is gekoppeld aan een ander AD-domein
Als uw AD-bron on-premises AD DS is, hebben niet-domein-gekoppelde VM's of VM's die zijn gekoppeld aan een ander AD-domein dan het opslagaccount toegang tot Azure-bestandsshares als ze ongestoorde netwerkconnectiviteit met de AD-domeincontrollers hebben en expliciete referenties opgeven. De gebruiker die toegang heeft tot de bestandsshare, moet een identiteit en referenties hebben in het AD-domein waaraan het opslagaccount is gekoppeld.
Als uw AD-bron Microsoft Entra Domain Services is, moet de client een niet-gempte netwerkverbinding hebben met de domeincontrollers voor Microsoft Entra Domain Services. Hiervoor moet u een site-naar-site- of punt-naar-site-VPN instellen. De gebruiker die toegang heeft tot de bestandsshare, moet een identiteit hebben (een Microsoft Entra-identiteit die is gesynchroniseerd van Microsoft Entra ID naar Microsoft Entra Domain Services) in het beheerde domein van Microsoft Entra Domain Services.
Als u een bestandsshare wilt koppelen vanaf een niet-domein-gekoppelde VM, gebruikt u de notatie username@domainFQDN, waarbij domeinFQDN de volledig gekwalificeerde domeinnaam is, zodat de client contact kan opnemen met de domeincontroller om Kerberos-tickets aan te vragen en te ontvangen. U kunt de waarde van domeinFQDN ophalen door deze uit te voeren (Get-ADDomain).Dnsroot in Active Directory PowerShell.
Voorbeeld:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>
Als uw AD-bron Microsoft Entra Domain Services is, kunt u ook referenties opgeven, zoals DOMAINNAME\username , waarbij DOMAINNAME het Domein van Microsoft Entra Domain Services is en gebruikersnaam de gebruikersnaam van de identiteit is in Microsoft Entra Domain Services:
net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>
Notitie
Azure Files biedt geen ondersteuning voor SID naar UPN-vertaling voor gebruikers en groepen van een niet-domein gekoppelde VM of een VM die is gekoppeld aan een ander domein via Windows Bestandenverkenner. Als u bestands-/mapeigenaren wilt weergeven of NTFS-machtigingen wilt weergeven/wijzigen via Windows Bestandenverkenner, kunt u dit alleen doen vanaf vm's die lid zijn van een domein.
Bestandsshares monteren met aangepaste domeinnamen
Als u geen Azure-bestandsshares wilt koppelen met behulp van het achtervoegsel file.core.windows.net, kunt u het achtervoegsel wijzigen van de naam van het opslagaccount dat is gekoppeld aan de Azure-bestandsshare. Voeg vervolgens een CNAME-record toe om het nieuwe achtervoegsel naar het eindpunt van het opslagaccount te routeren. De volgende instructies zijn alleen voor omgevingen met één forest. Zie Azure Files gebruiken met meerdere Active Directory-forests voor meer informatie over het configureren van omgevingen met twee of meer forests.
Notitie
Azure Files biedt alleen ondersteuning voor het configureren van CNAMES met behulp van de naam van het opslagaccount als een domeinvoorvoegsel. Als u de naam van het opslagaccount niet als voorvoegsel wilt gebruiken, kunt u overwegen DFS-naamruimten te gebruiken.
In dit voorbeeld hebben we het Active Directory-domein onpremad1.com en hebben we een opslagaccount met de naam mystorageaccount dat SMB Azure-bestandsshares bevat. Eerst moeten we het SPN-achtervoegsel van het opslagaccount wijzigen om mystorageaccount.onpremad1.com toe te wijzen aan mystorageaccount.file.core.windows.net.
U kunt de bestandsshare met net use \\mystorageaccount.onpremad1.com koppelen omdat clients in onpremad1 weten dat ze onpremad1.com moeten doorzoeken om de juiste resource voor dat opslagaccount te vinden.
Voer de volgende stappen uit om deze methode te gebruiken:
Zorg ervoor dat u verificatie op basis van identiteit instelt. Als uw AD-bron AD DS of Microsoft Entra Kerberos is, moet u ervoor zorgen dat u uw AD-gebruikersaccounts hebt gesynchroniseerd met Microsoft Entra ID.
Wijzig de SPN van het opslagaccount met behulp van het
setspnhulpprogramma. U kunt deze vinden<DomainDnsRoot>door de volgende Active Directory PowerShell-opdracht uit te voeren:(Get-AdDomain).DnsRootsetspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>Voeg een CNAME-vermelding toe met Active Directory DNS Manager. Als u een privé-eindpunt gebruikt, voegt u de CNAME-vermelding toe om te koppelen aan de naam van het privé-eindpunt.
- Open Active Directory DNS Manager.
- Ga naar uw domein (bijvoorbeeld onpremad1.com).
- Ga naar 'Zones voor vooruitzoekfunctie'.
- Selecteer het knooppunt met de naam van uw domein (bijvoorbeeld onpremad1.com) en klik met de rechtermuisknop op Nieuwe alias (CNAME).
- Voer de naam van uw opslagaccount in als aliasnaam.
- Voer
<storage-account-name>voor de FQDN (Fully Qualified Domain Name) .<domain-name>in, zoals mystorageaccount.onpremad1.com. Het hostnaamgedeelte van de FQDN moet overeenkomen met de naam van het opslagaccount. Als de hostnaam niet overeenkomt met de naam van het opslagaccount, mislukt de koppeling met een foutmelding 'toegang geweigerd'. - Voer .file.core.windows.net in
<storage-account-name>voor de FQDN van de doelhost - Kies OK.
U moet nu de bestandsshare kunnen koppelen met behulp van storageaccount.domainname.com. U kunt ook de file share mounten met behulp van de sleutel van het opslagaccount.
Volgende stap
Als de identiteit die u in AD DS hebt gemaakt voor het opslagaccount zich in een domein of organisatie-eenheid bevindt die wachtwoordrotatie afdwingt, moet u het wachtwoord van uw opslagaccount-id in AD DS periodiek bijwerken.