Подключение общей папки SMB Azure на Windows

Область применения: ✔️ общие папки SMB

Azure Files — это простая облачная файловая система Microsoft. В этой статье показано, как подключить общую папку SMB Azure на Windows и Windows Server.

Убедитесь, что порт 445 открыт

Протокол SMB требует открытия TCP-порта 445. Подключения завершаются ошибкой, если порт 445 заблокирован. Чтобы проверить, блокирует ли брандмауэр или ISP порт 445, используйте Test-NetConnection командлет PowerShell. Дополнительные сведения см. в разделе "Порт 445" заблокирован.

Если вы хотите подключить общую папку Azure через SMB за пределами Azure без открытия порта 445, вы можете использовать VPN типа "точка — сеть".

Чтобы использовать общую папку Azure через общедоступную конечную точку за пределами региона Azure, в котором он размещен, например локально или в другом регионе Azure, ОС должна поддерживать SMB 3.x. Старые версии Windows, поддерживающие только SMB 2.1, не могут использовать общие ресурсы файлов Azure через публичные конечные точки.

Использовать аутентификацию на основе идентификации

Чтобы повысить безопасность и контроль доступа, настройте проверку подлинности на основе удостоверений и присоедините ваших клиентов к домену. Этот метод проверки подлинности позволяет использовать удостоверение Active Directory или Microsoft Entra для доступа к общей папке, а не с помощью ключа учетной записи хранения.

Прежде чем подключить файловый ресурс Azure с помощью аутентификации по удостоверению, выполните следующие действия.

  • Настройте источник идентификации для вашей учетной записи хранения: Active Directory Domain Services (AD DS), Microsoft Entra Kerberos или Microsoft Entra Domain Services.
  • Назначьте разрешения на уровне общего ресурсаи настройте разрешения на уровне каталога и файлов. Помните, что назначение ролей на уровне общего ресурса может занять некоторое время.
  • Если вы монтируете общую папку с клиента, который ранее подключался к общей папке с использованием ключа учетной записи хранения, убедитесь, что сначала размонтируете папку и удалите сохраненные учетные данные ключа учетной записи хранения. Инструкции по удалению кэшированных учетных данных и удалению существующих подключений SMB перед инициализацией нового подключения с помощью AD DS или учетных данных Microsoft Entra см. в разделе this process.
  • Если источник удостоверений — AD DS или Microsoft Entra Kerberos, гибридные клиенты должны иметь бесперебойное сетевое подключение к Active Directory. Если компьютер или виртуальная машина находятся за пределами сети, управляемой Active Directory, необходимо включить ПОДКЛЮЧЕНИЕ VPN к Active Directory для проверки подлинности.
  • Войдите в клиент, используя учетные данные удостоверения Active Directory или национальной идентичности Entra, для которых вы предоставили разрешения.

Если возникнут проблемы, ознакомьтесь с Невозможно подключить общие папки Azure с учетными данными AD.

Использование общей папки Azure с Windows

Чтобы использовать общую папку Azure с Windows, необходимо либо подключить ее, назначив ей букву диска или путь точки подключения, либо обратиться к ней через UNC-путь. Маркеры общей подписи (SAS) в настоящее время не поддерживаются для монтирования ресурсов файлов Azure.

Примечание.

Распространенный шаблон модернизации и переноса линейных бизнес-приложений, ожидающих SMB-общую папку, заключается в использовании Azure File Share как альтернативы для развертывания выделенного файлового сервера Windows в виртуальной машине Azure. Одним из важных аспектов успешного переноса бизнес-приложения для использования общего файла Azure является то, что многие приложения выполняются в контексте выделенной учетной записи службы с ограниченными разрешениями системы, а не учетной записью администратора виртуальной машины. Поэтому необходимо убедиться, что вы подключаете и сохраняете учетные данные для общей папки Azure из контекста учетной записи службы, а не учетной записи администратора.

Подключение общей папки Azure

Вы можете подключить файловый ресурс SMB Azure в Windows с помощью портала Azure или Azure PowerShell.

Чтобы присоединить общую папку Azure с помощью портала Azure, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите в учетную запись хранилища, содержащую файловый ресурс, который вы хотите смонтировать.

  3. Выберите Общие папки.

  4. Выберите файловый ресурс, который вы хотите подключить.

    Снимок экрана панели файловых хранилищ, на котором выделено файловое хранилище.

  5. Нажмите Подключиться.

    Снимок экрана значка подключения для папки с совместным доступом.

  6. Выберите букву диска, к которому будет подключена общая папка.

  7. В разделе Метод аутентификации выберите Active Directory или Microsoft Entra. Если вы видите сообщение о том, что аутентификация на основе удостоверений не настроена для учетной записи хранения, настройте ее с помощью одного из методов, описанных в обзоре аутентификации на основе удостоверений, и повторите попытку монтирования общего ресурса.

  8. Выберите "Показать сценарий ", а затем скопируйте предоставленный скрипт.

    Снимок экрана панели подключения, на которой выделена кнопка копирования.

  9. Вставьте скрипт в оболочку на узле, где нужно подключить общую папку, и запустите ее.

Теперь вы подключили файловое хранилище Azure.

Подключите файловый ресурс Azure с помощью командной строки Windows

Вы также можете использовать команду net use из строки Windows для подключения общей папки.

Смонтируйте общую папку с виртуальной машины, присоединенной к домену

Чтобы подключить общую папку из виртуальной машины, присоединенной к домену, выполните следующую команду из командной строки Windows. Замените значения заполнителей, включая скобки, собственными значениями.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Подключение общей папки из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену AD

Если источник удостоверений для вашей учетной записи хранения находится в локальной среде AD DS, то виртуальные машины, не присоединенные к домену, или виртуальные машины, присоединенные к другому домену AD, могут получить доступ к общим папкам Azure, если они имеют беспрепятственную сетевую связь с контроллерами домена AD и предоставляют явные учетные данные. Пользователь, обращаюющийся к общей папке, должен иметь удостоверение и учетные данные в домене AD, к которому присоединена учетная запись хранения.

Если источником идентификационных данных для учетной записи хранения является служба Microsoft Entra Domain Services, клиент должен иметь бесперебойное сетевое подключение к контроллерам домена для Microsoft Entra Domain Services, что требует настройки VPN вида "сеть-сеть" или "точка-сеть". Пользователь, имеющий доступ к ресурсу общего доступа, должен иметь идентификационные данные (учетная запись Microsoft Entra, синхронизированная из Microsoft Entra ID в Microsoft Entra Domain Services) в управляемом домене Microsoft Entra Domain Services.

Чтобы подключить общую папку из виртуальной машины, не присоединенной к домену, используйте нотацию username@domainFQDN, где доменFQDN является полным доменным именем, чтобы разрешить клиенту связаться с контроллером домена, чтобы запросить и получить билеты Kerberos. Значение domainFQDN можно получить, выполнив (Get-ADDomain).Dnsroot в powerShell Active Directory.

Рассмотрим пример.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Если в качестве источника идентификации для учетной записи хранения используется служба доменов Microsoft Entra, вы также можете предоставить учетные данные, такие как DOMAINNAME\username, где DOMAINNAME — это домен в службах доменов Microsoft Entra, а username — имя пользователя в этих службах.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Портал Azure предоставляет скрипт PowerShell, который можно использовать для подключения общей папки непосредственно к узлу с помощью ключа учетной записи хранения. Однако используйте аутентификацию на основе удостоверения личности вместо ключа учетной записи хранения по соображениям безопасности. Если необходимо использовать ключ учетной записи хранения, следуйте инструкциям по подключению, но в разделе "Проверка подлинности" выберите ключ учетной записи хранения.

Ключ учетной записи хранения — это ключ администратора для учетной записи, включающий административные разрешения ко всем файлам и папкам внутри общей точки доступа, к которой вы обращаетесь, а также ко всем другим общим точкам доступа и ресурсам хранения (объекты типа Blob, очереди, таблицы и т.д.), имеющимся в вашей учетной записи хранения. Ключ учетной записи хранения можно найти на портале Azure, перейдя к учетной записи хранения и выбрав Security + networking>Access keys, или можно использовать командлет PowerShell Get-AzStorageAccountKey.

Монтировать файловое хранилище Azure с помощью Проводника

  1. Откройте Проводник файлов, открыв его из меню "Пуск" или с помощью клавиш Win+E.

  2. Перейдите на этот компьютер слева от окна. Это действие изменяет меню, доступные на ленте. В меню "Компьютер" выберите "Карта сетевого диска".

    Снимок экрана выпадающего меню

  3. Выберите букву диска и введите UNC-путь к общей папке Azure. Формат UNC-пути: \\<storageAccountName>.file.core.windows.net\<fileShareName>. Например: \\anexampleaccountname.file.core.windows.net\file-share-name. Установите флажок Подключение с помощью разных учетных данных. Выберите Готово.

    Снимок экрана: диалоговое окно

  4. Выберите Другие варианты>Использовать другую учетную запись. В разделе Адрес электронной почты укажите имя учетной записи хранения и в качестве пароля используйте ключ учетной записи хранения. Нажмите ОК.

    Снимок экрана: диалог сетевых учетных данных, где выбрано использование другой учетной записи.

  5. Используйте файловый ресурс Azure по вашему усмотрению.

    Скриншот демонстрирует, что общая папка Azure теперь подключена.

  6. Когда вы будете готовы отключить файловый ресурс Azure, щелкните правой кнопкой мыши запись для ресурса в Сетевых расположениях в Проводнике и выберите Отключить.

Примечание.

Azure Files не поддерживает преобразование SID в UPN для пользователей и групп из виртуальной машины, не присоединённой к домену, или виртуальной машины, присоединённой к другому домену, через Проводник Windows. Если вы хотите просмотреть разрешения NTFS для владельцев файлов или каталогов или изменить их с помощью проводника Windows, это можно сделать только из виртуальных машин, присоединенных к домену.

Доступ к общей папке Azure через UNC-путь

Вам не нужно подключать общую папку Azure к букве диска, чтобы использовать ее. Вы можете напрямую получить доступ к общей папке Azure с помощью пути UNC. Введите следующий путь в проводник и замените имя учетной записи хранения именем учетной записи хранения и myfileshare именем общей папки:

\\storageaccountname.file.core.windows.net\myfileshare

Вам будет предложено войти с помощью сетевых учетных данных. Войдите с помощью подписки Azure, в которой вы создали учетную запись хранения и общую папку. Если у вас не запрашивают учетные данные, добавьте их с помощью следующей команды:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Для Azure Government Cloud измените имя сервера на:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Подключение общих папок с помощью пользовательских доменных имен

Если вы не хотите подключать общие папки Azure с помощью суффикса file.core.windows.net, вы можете изменить суффикс имени учетной записи хранения, связанной с общей папкой Azure, а затем добавить запись канонического имени (CNAME), чтобы направить запросы с новым суффиксом к конечной точке учетной записи хранения. Ниже приведены инструкции только для сред AD с одним лесом. Информация о том, как настраивать среды Active Directory с двумя или более лесами, приводится в статье Использование Azure Files с несколькими лесами Active Directory.

Это важно

Если вы используете пользовательские доменные имена с Active Directory Domain Services (AD DS), обязательно обновите тип шифрования Kerberos для учетной записи хранилища на AES-256.

Примечание.

Azure Files поддерживает только настройку CNAMEs с помощью имени учетной записи хранения в качестве префикса домена. Если вы не хотите использовать имя учетной записи хранения в качестве префикса, рассмотрите возможность использования пространств имен DFS.

В этом примере у вас есть домен Active Directory onpremad1.com и у вас есть учетная запись хранения с именем mystorageaccount который содержит общие папки SMB Azure. Сначала измените суффикс SPN учетной записи хранения, чтобы сопоставить mystorageaccount.onpremad1.com с mystorageaccount.file.core.windows.net.

Вы можете подключить общую папку, используя net use \\mystorageaccount.onpremad1.com, потому что клиенты в onpremad1 знают искать в onpremad1.com, чтобы найти нужный ресурс для этой учетной записи хранения.

Чтобы использовать этот метод, выполните следующие действия.

  1. Настройте проверку подлинности на основе удостоверений для учетной записи хранения. При проверке подлинности гибридных удостоверений необходимо синхронизировать учетные записи пользователей AD с Microsoft Entra ID.

  2. Измените SPN учетной записи хранения с помощью средства setspn. <DomainDnsRoot> можно найти, выполнив следующую команду PowerShell Active Directory: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Добавьте запись CNAME с помощью диспетчера DNS Active Directory. Если вы используете частную конечную точку, добавьте запись CNAME для сопоставления с именем частной конечной точки.

    1. Откройте диспетчер DNS Active Directory.
    2. Перейдите к домену (например, onpremad1.com).
    3. Перейдите в раздел "Зоны прямого поиска".
    4. Выберите узел с именем вашего домена (например, onpremad1.com) и выберите New Alias (CNAME) правой кнопкой мыши.
    5. В поле псевдонима введите имя аккаунта хранения.
    6. Для полного доменного имени (FQDN) введите <storage-account-name>.<domain-name>, например mystorageaccount.onpremad1.com. Часть FQDN, содержащая имя узла, должна совпадать с именем учетной записи хранения. Если имя узла не соответствует имени учетной записи хранения, подключение завершается ошибкой отказа в доступе.
    7. Для ввода полного доменного имени целевого узла (FQDN) используйте <storage-account-name>.file.core.windows.net
    8. Нажмите ОК.

Теперь вы можете подключить сетевое хранилище с помощью storageaccount.domainname.com.

Следующие шаги

Дополнительные сведения см. в следующих статьях:

  • Last updated on