SMB Azure file shares

Статья
2025-04-14

Azure Files offers two industry-standard protocols for mounting Azure file share: the Server Message Block (SMB) protocol and the Network File System (NFS) protocol. Служба "Файлы Azure" позволяет выбрать протокол файловой системы, который лучше подходит для вашей рабочей нагрузки. Доступ к отдельной общей папке Azure с использованием одновременно протоколов SMB и NFS не поддерживается, однако вы можете создавать общие папки SMB и NFS в рамках одной учетной записи хранения. Azure Files предлагает общие папки для всех файлов корпоративного уровня, которые могут масштабироваться в соответствии с вашими потребностями в хранилище и к которым тысячи клиентов могут получить доступ одновременно.

В этой статье рассматриваются общие папки SMB в Azure. Дополнительные сведения о папках общего доступа NFS Azure см. в разделе NFS Azure file shares.

Применимо к

Модель управления	Модель выставления счетов	Media tier	Redundancy
Microsoft.Storage	Provisioned v2	HDD (стандартный)	Local (LRS)
Microsoft.Storage	Provisioned v2	HDD (стандартный)	Zone (ZRS)
Microsoft.Storage	Provisioned v2	HDD (стандартный)	Гео (GRS)
Microsoft.Storage	Provisioned v2	HDD (стандартный)	GeoZone (GZRS)
Microsoft.Storage	Provisioned v1	SSD (премиум)	Local (LRS)
Microsoft.Storage	Provisioned v1	SSD (премиум)	Zone (ZRS)
Microsoft.Storage	Pay-as-you-go	HDD (стандартный)	Local (LRS)
Microsoft.Storage	Pay-as-you-go	HDD (стандартный)	Zone (ZRS)
Microsoft.Storage	Pay-as-you-go	HDD (стандартный)	Гео (GRS)
Microsoft.Storage	Pay-as-you-go	HDD (стандартный)	GeoZone (GZRS)

Распространенные сценарии

SMB file shares are used for many applications including end-user file shares and file shares that back databases and applications. Общие папки SMB часто используются в следующих сценариях:

Общие папки конечных пользователей, такие как общие папки команд, домашние каталоги и т. д.
Резервное хранилище для приложений на основе Windows, таких как базы данных SQL Server или бизнес-приложения, написанные для интерфейсов API Win32 или локальной файловой системы .NET.
Разработка новых приложений и служб, особенно тех, для которых требуется поддержка произвольных операций ввода-вывода и иерархического хранилища.

Функции

Служба "Файлы Azure" поддерживает основные компоненты SMB и Azure, необходимые для рабочих развертываний общих папок SMB:

Присоединение к домену Active Directory и списки дискреционного управления доступом (DACL).
Встроенное бессерверное резервирование с использованием Azure Backup.
Сетевая изоляция с использованием частных конечных точек Azure.
High network throughput using SMB Multichannel (SSD file shares only).
Шифрование канала SMB, в том числе с использованием алгоритмов AES-256-GCM, AES-128-GCM и AES-128-CCM.
Previous version support through VSS integrated share snapshots.
Автоматическое мягкое удаление в общих папках Azure для предотвращения случайного удаления.
Опциональная возможность доступа к общим папкам в Интернете с помощью защищенного Интернет-протокола SMB версии 3.0 или более поздней.

SMB file shares can be mounted directly on-premises or can also be cached on-premises with Azure File Sync.

Безопасность

Все данные, хранимые в Файлах Azure, шифруются с использованием функции "Шифрование службы хранилища Azure" (SSE). SSE работает как BitLocker в Windows: данные шифруются ниже уровня файловой системы. Поскольку данные зашифрованы на уровне файловой системы файлового хранилища Azure и записаны на диск, вам не нужно иметь доступ к базовому ключу на клиенте для чтения или записи в файловое хранилище Azure. Шифрование неактивных данных поддерживает протоколы SMB и NFS.

By default, all Azure file shares have encryption in transit enabled, so only SMB mounts using SMB 3.x with encryption are allowed. Mounts from clients that do not support SMB 3.x with SMB channel encryption are rejected if encryption in transit is enabled.

Файлы Azure поддерживают AES-256-GCM с SMB 3.1.1 при использовании с Windows Server 2022 или Windows 11. Протокол SMB 3.1.1 также поддерживает алгоритм AES-128-GCM, а протокол SMB 3.0 — алгоритм AES-128-CCM. Алгоритм AES-128-GCM по умолчанию согласовывается в Windows 10 версии 21H1 для обеспечения высокой производительности.

You can disable encryption in transit for an Azure file share. When encryption is disabled, Azure Files allows SMB 2.1 and SMB 3.x without encryption. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно выполняться в более старой версии операционной системы, например Windows Server 2008 R2 или более старой версии Linux. Azure Files only allows SMB 2.1 connections within the same Azure region as the Azure file share; an SMB 2.1 client outside of the Azure region of the Azure file share, such as on-premises or in a different Azure region, can't access the file share.

Параметры протокола SMB

В службе "Файлы Azure" доступны различные параметры, влияющие на поведение, производительность и безопасность протокола SMB. Они настраиваются для всех файловых ресурсов Azure в учетной записи хранения.

SMB Multichannel

Функция SMB Multichannel позволяет клиенту SMB 3.x устанавливать несколько сетевых подключений к общей папке SMB. Azure Files supports SMB Multichannel on SSD file shares. SMB Multichannel теперь включен по умолчанию во всех регионах Azure.

To view the status of SMB Multichannel, navigate to the storage account containing your SSD file shares and select File shares under the Data storage heading in the storage account table of contents. You should see the status of SMB Multichannel under the File share settings section. Если вы этого не видите, убедитесь, что учетная запись хранения имеет тип учетной записи FileStorage.

Чтобы включить или отключить SMB Multichannel, выберите текущее состояние (Включено или Отключено). Диалоговое окно предоставляет возможность включения или отключения SMB Multichannel. Выберите нужное значение и нажмите Сохранить.

Снимок экрана диалогового окна для включения и отключения функции SMB Multichannel.

Чтобы получить состояние SMB Multichannel, используйте командлет Get-AzStorageFileServiceProperty. Перед выполнением этих команд PowerShell не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 
$defaultSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $defaultSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Чтобы включить или отключить SMB Multichannel, используйте командлет Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Чтобы получить состояние SMB Multichannel, используйте команду az storage account file-service-properties show. Перед выполнением этих команд Bash не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Чтобы включить или отключить SMB Multichannel, используйте команду az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Включение SMB Multichannel в старых операционных системах

Поддержка SMB Multichannel в Azure Files требует установки всех необходимых обновлений в Windows. Для некоторых более старых версий Windows, включая Windows Server 2016, Windows 10 версии 1607 и Windows 10 версии 1507, необходимо настроить дополнительные ключи реестра, чтобы все релевантные исправления для SMB Multichannel применялись на полностью обновленных установках. Если вы используете версию Windows, которая является более новой, чем эти три версии, никаких дополнительных действий не требуется.

Windows Server 2016 и Windows 10 версии 1607

Чтобы разрешить все исправления SMB Multichannel для Windows Server 2016 и Windows 10 версии 1607, запустите следующую команду PowerShell:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 версии 1507

Чтобы разрешить все исправления SMB Multichannel для Windows 10 версии 1507, запустите следующую команду PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Параметры безопасности SMB

Служба "Файлы Azure" предоставляет параметры, которые позволяют переключить протокол SMB на более высокий уровень совместимости или безопасности в зависимости от требований вашей организации. По умолчанию Azure Files настроен на максимальную совместимость, поэтому имейте в виду, что ограничение этих параметров может привести к тому, что некоторые клиенты не смогут подключиться.

Служба Azure Files предоставляет следующие параметры:

Версии SMB. Разрешенные версии протокола SMB. Поддерживаются следующие версии этого протокола: SMB 3.1.1, SMB 3.0 и SMB 2.1. По умолчанию разрешены все версии SMB, но версия SMB 2.1 запрещается, если включен параметр "Обязательная безопасная передача", так как протокол SMB 2.1 не поддерживает шифрование при передаче.
Методы проверки подлинности. Разрешенные методы проверки подлинности для протокола SMB. Поддерживаемые методы проверки подлинности: NTLMv2 (только ключ учетной записи хранилища) и Kerberos. По умолчанию разрешены все методы проверки подлинности. Removing NTLMv2 disallows using the storage account key to mount the Azure file share. Службы Azure Files не поддерживают аутентификацию NTLM для учетных данных домена.
Шифрование билета Kerberos. Разрешенные алгоритмы шифрования. Поддерживаются алгоритмы шифрования AES-256 (рекомендуется) и RC4-HMAC.
Шифрование канала SMB. Разрешенные алгоритмы шифрования канала SMB. Поддерживаются алгоритмы шифрования AES-256-GCM, AES-128-GCM и AES-128-CCM. Если выбрать только AES-256-GCM, вам потребуется сообщить подключающимся клиентам, что нужно его использовать, открыв терминал PowerShell с правами администратора на каждом клиенте и введя Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Использование AES-256-GCM не поддерживается на клиентах Windows старше Windows 11/Windows Server 2022.

Вы можете просматривать и изменять параметры безопасности SMB с помощью портал Azure, PowerShell или CLI. Выберите нужную вкладку, чтобы узнать, как получить и задать параметры безопасности SMB. Обратите внимание, что эти параметры проверяются при установке сеанса SMB и, если он не выполнен, установка сеанса SMB завершается ошибкой "STATUS_ACCESS_DENIED".

Чтобы просмотреть или изменить параметры безопасности протокола SMB с помощью портала Azure, выполните следующие действия:

Войдите на портал Azure и найдите учетные записи хранения. Выберите учетную запись хранения, для которой вы хотите просмотреть или изменить параметры безопасности SMB.
В меню службы выберите хранилище данных>общие папки.
В разделе Параметры общей папки выберите значение, связанное с безопасностью. Если вы не изменили параметры безопасности, по умолчанию используется значение Максимальная совместимость.
В разделе Профиль выберите Максимальная совместимость, Максимальная безопасность или Пользовательский. Выбор значения Пользовательский позволяет вам создать пользовательский профиль для версий протокола SMB, шифрования каналов SMB, механизмов проверки подлинности и шифрования билетов Kerberos.

После ввода необходимых параметров безопасности нажмите кнопку Сохранить.

Чтобы получить значения параметров протокола SMB, используйте командлет Get-AzStorageFileServiceProperty. Не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды. Если вы намеренно установили для любого из параметров безопасности SMB значение NULL, например при отключении шифрования каналов SMB, ознакомьтесь с инструкциями в скрипте о комментировании определенных строк.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

В зависимости от требований к безопасности, производительности и совместимости организации может потребоваться изменить параметры протокола SMB. Следующая команда PowerShell позволяет применить к общим папкам SMB наиболее строгие параметры безопасности.

Внимание

Ограничение общих папок SMB Azure только самым безопасными вариантами может привести к тому, что некоторые клиенты не смогут подключаться. Например, начиная с Windows Server 2022 и Windows 11 для шифрования канала SMB в качестве опции доступен алгоритм AES-256-GCM. Это означает, что старые клиенты, не поддерживающие AES-256-GCM, не смогут подключаться. Если выбрать только AES-256-GCM, необходимо сообщить клиентам с Windows Server 2022 и Windows 11, чтобы они использовали только AES-256-GCM, открыв терминал PowerShell в качестве администратора на каждом клиенте и выполнив команду Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Чтобы получить состояние параметров безопасности SMB, используйте команду az storage account file-service-properties show. Перед выполнением этих команд Bash не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды. Если вы намеренно установили для любого из параметров безопасности SMB значение NULL, например при отключении шифрования каналов SMB, ознакомьтесь с инструкциями в скрипте о комментировании определенных строк.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

В зависимости от требований к безопасности, производительности и совместимости организации может потребоваться изменить параметры протокола SMB. Следующая команда Azure CLI позволяет применить к общим папкам SMB наиболее строгие параметры безопасности.

Внимание

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Ограничения

Общие папки SMB в Файлах Azure поддерживают подмножество функций, реализуемых протоколом SMB и файловой системой NTFS. Хотя большинство вариантов использования и приложений не требуют этих функций, некоторые приложения могут работать неправильно с Azure Files, если они используют неподдерживаемые функции. Следующие функции не поддерживаются:

SMB Direct
Аренда каталогов SMB
VSS for SMB file shares (this enables VSS providers to flush their data to the SMB file share before a snapshot is taken)
Альтернативные потоки данных.
Дополнительные атрибуты.
Идентификаторы объектов
Hard links
Мягкие ссылки
Reparse points
Sparse files
Короткие имена файлов (псевдонимы 8.3)
Сжатие

Доступность в регионах

Общие папки SMB в Azure доступны в каждом регионе Azure, включая все общедоступные и независимые регионы. SSD file shares are available in a subset of regions.

Следующие шаги

Планирование развертывания службы файлов Azure
Создание общей папки Azure
Mount SMB file shares on your preferred operating system: