Общие папки SMB в Azure

Статья
2025-05-03

Служба "Файлы Azure" предоставляет два стандартных отраслевых протокола для подключения к файловому ресурсу в облаке Azure: протокол SMB и протокол NFS. Служба "Файлы Azure" позволяет выбрать протокол файловой системы, который лучше подходит для вашей рабочей нагрузки. Доступ к отдельной общей папке Azure с использованием одновременно протоколов SMB и NFS не поддерживается, однако вы можете создавать общие папки SMB и NFS в рамках одной учетной записи хранения. Azure Files предлагает общие папки для всех файлов корпоративного уровня, которые могут масштабироваться в соответствии с вашими потребностями в хранилище и к которым тысячи клиентов могут получить доступ одновременно.

В этой статье рассматриваются общие папки SMB в Azure. Дополнительные сведения о папках общего доступа NFS Azure см. в разделе NFS Azure file shares.

Применимо к

Модель управления	Модель выставления счетов	Уровень медиа	Избыточность
Microsoft.Storage	Настроенная версия 2	HDD (стандартный)	Локальное (LRS)
Microsoft.Storage	Настроенная версия 2	HDD (стандартный)	Зона (ZRS)
Microsoft.Storage	Настроенная версия 2	HDD (стандартный)	Гео (GRS)
Microsoft.Storage	Настроенная версия 2	HDD (стандартный)	GeoZone (GZRS)
Microsoft.Storage	Настроенная версия v1	SSD (премиум)	Локальное (LRS)
Microsoft.Storage	Настроенная версия v1	SSD (премиум)	Зона (ZRS)
Microsoft.Storage	Оплата по мере использования	HDD (стандартный)	Локальное (LRS)
Microsoft.Storage	Оплата по мере использования	HDD (стандартный)	Зона (ZRS)
Microsoft.Storage	Оплата по мере использования	HDD (стандартный)	Гео (GRS)
Microsoft.Storage	Оплата по мере использования	HDD (стандартный)	GeoZone (GZRS)

Распространенные сценарии

Общие папки SMB используются для многих приложений, включая общие папки конечных пользователей и общие папки, которые возвращают базы данных и приложения. Общие папки SMB часто используются в следующих сценариях:

Общие папки конечных пользователей, такие как общие папки команд, домашние каталоги и т. д.
Резервное хранилище для приложений на основе Windows, таких как базы данных SQL Server или бизнес-приложения, написанные для интерфейсов API Win32 или локальной файловой системы .NET.
Разработка новых приложений и служб, особенно тех, для которых требуется поддержка произвольных операций ввода-вывода и иерархического хранилища.

Функции

Служба "Файлы Azure" поддерживает основные компоненты SMB и Azure, необходимые для рабочих развертываний общих папок SMB:

Присоединение к домену Active Directory и списки дискреционного управления доступом (DACL).
Встроенное бессерверное резервирование с использованием Azure Backup.
Сетевая изоляция с использованием частных конечных точек Azure.
Высокая пропускная способность сети с помощью SMB Multichannel (только общие папки SSD).
Шифрование канала SMB, в том числе с использованием алгоритмов AES-256-GCM, AES-128-GCM и AES-128-CCM.
Поддержка предыдущих версий через интеграцию моментальных снимков общих ресурсов с VSS.
Автоматическое мягкое удаление в общих папках Azure для предотвращения случайного удаления.
Опциональная возможность доступа к общим папкам в Интернете с помощью защищенного Интернет-протокола SMB версии 3.0 или более поздней.

Общие папки SMB могут монтироваться локально, а также кэшироваться локально с помощью Синхронизации файлов Azure.

Безопасность

Все данные, хранимые в Файлах Azure, шифруются с использованием функции "Шифрование службы хранилища Azure" (SSE). SSE работает как BitLocker в Windows: данные шифруются ниже уровня файловой системы. Поскольку данные зашифрованы на уровне файловой системы файлового хранилища Azure и записаны на диск, вам не нужно иметь доступ к базовому ключу на клиенте для чтения или записи в файловое хранилище Azure. Шифрование неактивных данных поддерживает протоколы SMB и NFS.

По умолчанию все общие папки Azure имеют шифрование при передаче, поэтому разрешены только подключения SMB с помощью SMB 3.x с шифрованием. Подключения от клиентов, которые не поддерживают SMB 3.x с возможностью шифрования каналов, отклоняются, если включено шифрование при передаче данных.

Файлы Azure поддерживают AES-256-GCM с SMB 3.1.1 при использовании с Windows Server 2022 или Windows 11. Протокол SMB 3.1.1 также поддерживает алгоритм AES-128-GCM, а протокол SMB 3.0 — алгоритм AES-128-CCM. Алгоритм AES-128-GCM по умолчанию согласовывается в Windows 10 версии 21H1 для обеспечения высокой производительности.

Вы можете отключить шифрование при передаче для общего доступа к файлам в Azure. При отключении шифрования файлы Azure позволяют использовать SMB 2.1 и SMB 3.x без шифрования. Основная причина отключения шифрования при передаче заключается в поддержке устаревшего приложения, которое должно выполняться в более старой версии операционной системы, например Windows Server 2008 R2 или более старой версии Linux. Файлы Azure разрешают подключения SMB 2.1 в том же регионе Azure, что и общая папка Azure; Клиент SMB 2.1 за пределами региона Azure общей папки Azure, например локальной или в другом регионе Azure, не может получить доступ к общей папке.

Параметры протокола SMB

В службе "Файлы Azure" доступны различные параметры, влияющие на поведение, производительность и безопасность протокола SMB. Они настраиваются для всех файловых ресурсов Azure в учетной записи хранения.

SMB Multichannel

Функция SMB Multichannel позволяет клиенту SMB 3.x устанавливать несколько сетевых подключений к общей папке SMB. Azure Files поддерживает SMB Multichannel на файловых хранилищах SSD. SMB Multichannel теперь включен по умолчанию во всех регионах Azure.

Чтобы просмотреть состояние SMB Multichannel, перейдите к учетной записи хранения, содержащей общие папки SSD, и выберите общие папки в заголовке хранилища данных в оглавлении учетной записи хранения. Состояние SMB Multichannel должно отображаться в разделе параметров общей папки . Если вы этого не видите, убедитесь, что учетная запись хранения имеет тип учетной записи FileStorage.

Чтобы включить или отключить SMB Multichannel, выберите текущее состояние (Включено или Отключено). Диалоговое окно предоставляет возможность включения или отключения SMB Multichannel. Выберите нужное значение и нажмите Сохранить.

Снимок экрана диалогового окна для включения и отключения функции SMB Multichannel.

Чтобы получить состояние SMB Multichannel, используйте командлет Get-AzStorageFileServiceProperty. Перед выполнением этих команд PowerShell не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 
$defaultSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $defaultSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Чтобы включить или отключить SMB Multichannel, используйте командлет Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Чтобы получить состояние SMB Multichannel, используйте команду az storage account file-service-properties show. Перед выполнением этих команд Bash не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel 
# property returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Чтобы включить или отключить SMB Multichannel, используйте команду az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Включение SMB Multichannel в старых операционных системах

Поддержка SMB Multichannel в Azure Files требует установки всех необходимых обновлений в Windows. Для некоторых более старых версий Windows, включая Windows Server 2016, Windows 10 версии 1607 и Windows 10 версии 1507, необходимо настроить дополнительные ключи реестра, чтобы все релевантные исправления для SMB Multichannel применялись на полностью обновленных установках. Если вы используете версию Windows, которая является более новой, чем эти три версии, никаких дополнительных действий не требуется.

Windows Server 2016 и Windows 10 версии 1607

Чтобы разрешить все исправления SMB Multichannel для Windows Server 2016 и Windows 10 версии 1607, запустите следующую команду PowerShell:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 версии 1507

Чтобы разрешить все исправления SMB Multichannel для Windows 10 версии 1507, запустите следующую команду PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Параметры безопасности SMB

Служба "Файлы Azure" предоставляет параметры, которые позволяют переключить протокол SMB на более высокий уровень совместимости или безопасности в зависимости от требований вашей организации. По умолчанию Azure Files настроен на максимальную совместимость, поэтому имейте в виду, что ограничение этих параметров может привести к тому, что некоторые клиенты не смогут подключиться.

Служба Azure Files предоставляет следующие параметры:

Версии SMB. Разрешенные версии протокола SMB. Поддерживаются следующие версии этого протокола: SMB 3.1.1, SMB 3.0 и SMB 2.1. По умолчанию разрешены все версии SMB, но версия SMB 2.1 запрещается, если включен параметр "Обязательная безопасная передача", так как протокол SMB 2.1 не поддерживает шифрование при передаче.
Методы проверки подлинности. Разрешенные методы проверки подлинности для протокола SMB. Поддерживаемые методы проверки подлинности: NTLMv2 (только ключ учетной записи хранилища) и Kerberos. По умолчанию разрешены все методы проверки подлинности. Если удалить метод NTLMv2, будет запрещено использование ключа учетной записи хранения для подключения общей папки Azure. Службы Azure Files не поддерживают аутентификацию NTLM для учетных данных домена.
Шифрование билета Kerberos. Разрешенные алгоритмы шифрования. Поддерживаются алгоритмы шифрования AES-256 (рекомендуется) и RC4-HMAC.
Шифрование канала SMB. Разрешенные алгоритмы шифрования канала SMB. Поддерживаются алгоритмы шифрования AES-256-GCM, AES-128-GCM и AES-128-CCM. Если выбрать только AES-256-GCM, вам потребуется сообщить подключающимся клиентам, что нужно его использовать, открыв терминал PowerShell с правами администратора на каждом клиенте и введя Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Использование AES-256-GCM не поддерживается на клиентах Windows старше Windows 11/Windows Server 2022.

Вы можете просматривать и изменять параметры безопасности SMB с помощью портал Azure, PowerShell или CLI. Выберите нужную вкладку, чтобы узнать, как получить и задать параметры безопасности SMB. Обратите внимание, что эти параметры проверяются при установке сеанса SMB и, если он не выполнен, установка сеанса SMB завершается ошибкой "STATUS_ACCESS_DENIED".

Чтобы просмотреть или изменить параметры безопасности протокола SMB с помощью портала Azure, выполните следующие действия:

Войдите на портал Azure и найдите учетные записи хранения. Выберите учетную запись хранения, для которой вы хотите просмотреть или изменить параметры безопасности SMB.
В меню службы выберите хранилище данных>общие папки.
В разделе Параметры общей папки выберите значение, связанное с безопасностью. Если вы не изменили параметры безопасности, по умолчанию используется значение Максимальная совместимость.
В разделе Профиль выберите Максимальная совместимость, Максимальная безопасность или Пользовательский. Выбор значения Пользовательский позволяет вам создать пользовательский профиль для версий протокола SMB, шифрования каналов SMB, механизмов проверки подлинности и шифрования билетов Kerberos.

После ввода необходимых параметров безопасности нажмите кнопку Сохранить.

Чтобы получить значения параметров протокола SMB, используйте командлет Get-AzStorageFileServiceProperty. Не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды. Если вы намеренно установили для любого из параметров безопасности SMB значение NULL, например при отключении шифрования каналов SMB, ознакомьтесь с инструкциями в скрипте о комментировании определенных строк.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

В зависимости от требований к безопасности, производительности и совместимости организации может потребоваться изменить параметры протокола SMB. Следующая команда PowerShell позволяет применить к общим папкам SMB наиболее строгие параметры безопасности.

Внимание

Ограничение общих папок SMB Azure только самым безопасными вариантами может привести к тому, что некоторые клиенты не смогут подключаться. Например, начиная с Windows Server 2022 и Windows 11 для шифрования канала SMB в качестве опции доступен алгоритм AES-256-GCM. Это означает, что старые клиенты, не поддерживающие AES-256-GCM, не смогут подключаться. Если выбрать только AES-256-GCM, необходимо сообщить клиентам с Windows Server 2022 и Windows 11, чтобы они использовали только AES-256-GCM, открыв терминал PowerShell в качестве администратора на каждом клиенте и выполнив команду Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Чтобы получить состояние параметров безопасности SMB, используйте команду az storage account file-service-properties show. Перед выполнением этих команд Bash не забудьте заменить <resource-group> и <storage-account> соответствующими значениями из своей среды. Если вы намеренно установили для любого из параметров безопасности SMB значение NULL, например при отключении шифрования каналов SMB, ознакомьтесь с инструкциями в скрипте о комментировании определенных строк.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

В зависимости от требований к безопасности, производительности и совместимости организации может потребоваться изменить параметры протокола SMB. Следующая команда Azure CLI позволяет применить к общим папкам SMB наиболее строгие параметры безопасности.

Внимание

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Ограничения

Общие папки SMB в Файлах Azure поддерживают подмножество функций, реализуемых протоколом SMB и файловой системой NTFS. Хотя большинство вариантов использования и приложений не требуют этих функций, некоторые приложения могут работать неправильно с Azure Files, если они используют неподдерживаемые функции. Следующие функции не поддерживаются:

SMB Direct
Аренда каталогов SMB
VSS для общих папок SMB (позволяет поставщикам VSS сбрасывать свои данные в общую папку SMB перед созданием моментального снимка)
Альтернативные потоки данных.
Дополнительные атрибуты.
Идентификаторы объектов
Жесткие связи
Мягкие ссылки
Точки повторного анализа
Разреженные файлы
Короткие имена файлов (псевдонимы 8.3)
Сжатие

Доступность в регионах

Общие папки SMB в Azure доступны в каждом регионе Azure, включая все общедоступные и независимые регионы. Файловые ресурсы SSD доступны в подмножестве регионов.

Следующие шаги

Планирование развертывания службы файлов Azure
Создание общей папки Azure
Подключите общие папки SMB к предпочитаемой операционной системе: