Поделиться через

Установка файловой доли Azure через протокол SMB на Windows

Область применения: ✔️ файловые хранилища SMB Azure

Файлы Azure — это простая в использовании облачная файловая система от корпорации Майкрософт. В этой статье показано, как подключить общую папку SMB Azure в Windows и Windows Server.

Файлы Azure поддерживают SMB Multichannel только в файловых хранилищах SSD.

Версия Windows Версия SMB Azure Files с поддержкой SMB Multichannel Максимальное шифрование канала SMB
Windows Server 2025 г. SMB 3.1.1 Да AES-256-GCM.
Windows 11 версии 24H2 SMB 3.1.1 Да AES-256-GCM.
Windows 11 версии 23H2 SMB 3.1.1 Да AES-256-GCM.
Windows 11 версии 22H2 SMB 3.1.1 Да AES-256-GCM.
Windows 10 версии 22H2 SMB 3.1.1 Да AES-128-GCM;
Windows Server 2022 SMB 3.1.1 Да AES-256-GCM.
Windows 11 версии 21H2 SMB 3.1.1 Да AES-256-GCM.
Windows 10 версии 21H2 SMB 3.1.1 Да AES-128-GCM;
Windows 10, версия 21H1 SMB 3.1.1 Да, с KB5003690 или более поздней версией AES-128-GCM;
Windows Server версии 20H2 SMB 3.1.1 Да, с KB5003690 или более поздней версией AES-128-GCM;
Windows 10 версии 20H2 SMB 3.1.1 Да, с KB5003690 или более поздней версией AES-128-GCM;
Windows Server версии 2004 SMB 3.1.1 Да, с KB5003690 или более поздней версией AES-128-GCM;
Windows 10 версии 2004 SMB 3.1.1 Да, с KB5003690 или более поздней версией AES-128-GCM;
Windows Server 2019 SMB 3.1.1 Да, с KB5003703 или более поздней версией AES-128-GCM;
Windows 10, версия 1809 SMB 3.1.1 Да, с KB5003703 или более поздней версией AES-128-GCM;
Windows Server 2016 SMB 3.1.1 Да, с KB5004238 или новой версией и примененным ключом реестра AES-128-GCM;
Windows 10, версия 1607 SMB 3.1.1 Да, с KB5004238 или новой версией и примененным ключом реестра AES-128-GCM;
Windows 10 версии 1507 SMB 3.1.1 Да, с обновлением KB5004249 или более новым и применённым ключом реестра AES-128-GCM;
Windows Server 2012 R21 SMB 3.0 Нет AES-128-CCM
Windows Server 20121 SMB 3.0 Нет AES-128-CCM
Windows 8.12 SMB 3.0 Нет AES-128-CCM
Windows Server 2008R2 2 SMB 2.1 Нет Не поддерживается
Windows 72 SMB 2.1 Нет Не поддерживается

1Обычная поддержка Майкрософт для Windows Server 2012 и Windows Server 2012 R2 закончилась. Можно приобрести дополнительную поддержку обновлений безопасности только с помощью программы расширенного обновления безопасности (ESU).

2Поддержка Майкрософт для Windows 7, Windows 8 и Windows Server 2008 R2 закончилась. Мы настоятельно рекомендуем отказаться от этих операционных систем.

Примечание.

Мы рекомендуем установить самое последнее обновление для вашей версии Windows.

Убедитесь, что порт 445 открыт

Протокол SMB требует открытия TCP-порта 445. Если порт 445 заблокирован, подключения завершатся ошибкой. Вы можете проверить, блокирует ли брандмауэр или ISP порт 445 с помощью командлета Test-NetConnection PowerShell. Дополнительные сведения см. в разделе "Порт 445" заблокирован.

Если вы хотите подключить общую папку Azure через SMB за пределами Azure без открытия порта 445, можно использовать VPN типа "точка — сеть".

Чтобы использовать общую папку Azure через общедоступную конечную точку за пределами региона Azure, в котором она размещена, например локально или в другом регионе Azure, ОС должна поддерживать SMB 3.x. Старые версии Windows, поддерживающие только SMB 2.1, не могут подключать файловые ресурсы Azure через общедоступную конечную точку.

Использовать проверку подлинности на основе удостоверений

Чтобы повысить безопасность и контроль доступа, можно настроить аутентификацию на основе идентификаторов и присоединить клиентов к домену. Это позволяет использовать удостоверение Active Directory или Microsoft Entra для доступа к общей папке, а не с помощью ключа учетной записи хранения.

Прежде чем монтировать файловый ресурс Azure с использованием удостоверяющей аутентификации, необходимо выполнить следующее:

  • Назначьте разрешения на уровне общего ресурсаи настройте разрешения на уровне каталога и файлов. Помните, что назначение ролей на уровне общего ресурса может занять некоторое время.
  • Если вы подключаете общую папку из клиента, который ранее подключен к общей папке с помощью ключа учетной записи хранения, убедитесь, что сначала отключите общую папку и удалите постоянные учетные данные ключа учетной записи хранения. Для получения инструкций по удалению кэшированных учетных данных и отключению существующих подключений SMB, прежде чем инициализировать новое соединение с использованием учетных данных служб Active Directory (AD DS) или Microsoft Entra, следуйте двум шагам, описанным в Часто задаваемых вопросах.
  • Если ваш источник AD — AD DS или Microsoft Entra Kerberos, клиент должен иметь бесперебойное сетевое подключение к AD DS. Если компьютер или виртуальная машина находятся вне сети, управляемой AD DS, необходимо включить VPN для доступа к AD DS для проверки подлинности.
  • Войдите в клиент, используя учетные данные удостоверения AD DS или Microsoft Entra, которым вы предоставили разрешения.

При возникновении проблем см. статью "Не удается подключить общие папки Azure с учетными данными AD".

Использование общей папки Azure с Windows

Чтобы использовать общую папку Azure в Windows, вы должны либо подключить ее, то есть присвоить ей букву диска или путь точки подключения, либо получить к ней доступ через UNC-путь. Маркеры общего доступа (SAS) в настоящее время не поддерживаются для подключения файловых ресурсов Azure.

Примечание.

Распространенный шаблон для миграции бизнес-приложений, которые требуют общего файлового ресурса SMB в Azure, — использовать общий файловый ресурс Azure вместо выделенного файлового сервера Windows, работающего на виртуальной машине Azure. Одна из важных рекомендаций для успешного перевода бизнес-приложения на использование общей папки Azure заключается в том, что многие бизнес-приложения работают в контексте выделенной учетной записи службы с ограниченными системными правами, а не административной учетной записи виртуальной машины. Поэтому нужно обязательно подключить и сохранить учетные данные для общей папки Azure из контекста учетной записи службы, а не вашей учетной записи администратора.

Подключите файловое хранилище Azure

Вы можете подключить файловую общую папку SMB Azure на Windows с помощью портала Azure или Azure PowerShell.

Чтобы подключить общую папку Azure с помощью портала Azure, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к учетной записи хранения, содержащей файловый ресурс, который необходимо подключить.

  3. Выберите Общие папки.

  4. Выберите файловый ресурс, который вы хотите смонтировать.

    Снимок экрана панели файловых хранилищ, на котором выделено файловое хранилище.

  5. Нажмите Подключиться.

    Снимок экрана значка подключения для папки с совместным доступом.

  6. Выберите букву диска, к которому будет подключена общая папка.

  7. В разделе "Проверка подлинности" выберите Active Directory или Microsoft Entra. Если вы видите сообщение о том, что проверка подлинности на основе удостоверений не настроена для учетной записи хранения, настройте ее на основе одного из методов, описанных в обзоре проверки подлинности на основе удостоверений, и повторите попытку монтирования общей папки.

  8. Выберите "Показать сценарий ", а затем скопируйте предоставленный скрипт.

    Снимок экрана панели подключения, на которой выделена кнопка копирования.

  9. Вставьте скрипт в оболочку на узле, к которому необходимо подключить сетевое хранилище, и запустите его.

Теперь вы подключили свою общую папку Azure.

Подключение общей папки Azure с помощью командной строки Windows

Вы также можете использовать net use команду из командной строки Windows для подключения общей папки.

Смонтируйте общую папку с виртуальной машины, присоединенной к домену

Чтобы подключить файловый ресурс из виртуальной машины, присоединенной к домену, выполните следующую команду в командной строке Windows. Не забудьте заменить <YourStorageAccountName> и <FileShareName> с собственными значениями.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Подключение общей папки из виртуальной машины, не присоединенной к домену, или виртуальной машины, присоединенной к другому домену AD

Если источник AD находится в локальной среде AD DS, то виртуальные машины, не присоединенные к домену, или виртуальные машины, присоединенные к другому домену AD, могут получить доступ к общим папкам Azure, если они имеют бесперебойное сетевое подключение к контроллерам домена AD и предоставляют явные учетные данные. Пользователь, обращаюющийся к общей папке, должен иметь удостоверение и учетные данные в домене AD, к которому присоединена учетная запись хранения.

Если вашим источником AD являются доменные службы Microsoft Entra, клиент должен иметь непрепятственное сетевое подключение к контроллерам домена для доменных служб Microsoft Entra, что требует настройки VPN типа "точка-точка" или "точка-сеть". Пользователь, обращаюющийся к общей папке, должен иметь удостоверение (удостоверение Microsoft Entra, синхронизированное с идентификатором Microsoft Entra с доменными службами Microsoft Entra) в управляемом домене доменных служб Microsoft Entra.

Чтобы подключить общую папку из виртуальной машины, не присоединенной к домену, используйте нотацию username@domainFQDN, где доменFQDN является полным доменным именем, чтобы разрешить клиенту связаться с контроллером домена, чтобы запросить и получить билеты Kerberos. Значение domainFQDN можно получить, запустив команду в Active Directory PowerShell.

Рассмотрим пример.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Если источник AD является доменными службами Microsoft Entra, вы также можете предоставить учетные данные, такие как DOMAINNAME\username , где DOMAINNAME является доменом доменных служб Microsoft Entra, а имя пользователя — это имя пользователя удостоверения в доменных службах Microsoft Entra:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Портал Azure предоставляет скрипт PowerShell, который можно использовать для подключения общей папки непосредственно к узлу с помощью ключа учетной записи хранения. Однако мы рекомендуем использовать аутентификацию на основе идентификационных данных вместо ключа учетной записи хранения из соображений безопасности. Если необходимо использовать ключ учетной записи хранения, следуйте инструкциям по подключению, но в разделе "Проверка подлинности" выберите ключ учетной записи хранения.

Ключ учетной записи хранения — это ключ администратора для учетной записи, включающий административные разрешения ко всем файлам и папкам внутри общей точки доступа, к которой вы обращаетесь, а также ко всем другим общим точкам доступа и ресурсам хранения (объекты типа Blob, очереди, таблицы и т.д.), имеющимся в вашей учетной записи хранения. Ключ учетной записи хранения можно найти на портале Azure, перейдя к учетной записи хранения и выбравключи безопасности> доступа, или с помощью командлета Get-AzStorageAccountKey PowerShell.

Подключить файловое хранилище Azure с помощью Проводника

  1. Откройте Проводник файлов, открыв его из меню "Пуск" или с помощью клавиш Win+E.

  2. Перейдите к элементу Этот компьютер в левой области окна. Меню, доступные на ленте, изменятся. В меню "Компьютер" выберите раздел Подключение сетевого диска.

    Снимок экрана выпадающего меню

  3. Выберите букву диска и введите UNC-путь к общей папке Azure. Формат UNC-пути: \\<storageAccountName>.file.core.windows.net\<fileShareName>. Например: \\anexampleaccountname.file.core.windows.net\file-share-name. Установите флажок Подключение с помощью разных учетных данных. Выберите Готово.

    Снимок экрана: диалоговое окно

  4. Выберите Другие варианты>Использовать другую учетную запись. В разделе Адрес электронной почты укажите имя учетной записи хранения и в качестве пароля используйте ключ учетной записи хранения. Нажмите ОК.

    Снимок экрана: диалог сетевых учетных данных, где выбрано использование другой учетной записи.

  5. Используйте общий ресурс Azure по желанию.

    Снимок экрана: общий ресурс файлов Azure теперь подключен.

  6. Когда вы будете готовы отключить общую папку Azure, щелкните правой кнопкой мыши запись для общей папки в разделе проводника Сетевые расположения и выберите параметр Отключить.

Примечание.

Файлы Azure не поддерживают преобразование SID в UPN для пользователей и групп из виртуальных машин, не присоединенных к домену, или виртуальных машин, присоединенных к другому домену, с помощью проводника Windows. Если вы хотите просмотреть разрешения NTFS для владельцев файлов или каталогов или изменить их с помощью проводника Windows, это можно сделать только на виртуальных машинах, присоединенных к домену.

Доступ к общей папке Azure через UNC-путь

Вам не нужно подключать файловое хранилище Azure к букве диска для его использования. Вы можете напрямую обращаться к общей папке Azure по UNC-пути, введя следующую строку в проводник. Обязательно замените storageaccountname на имя вашей учетной записи хранения и myfileshare на имя вашей общей папки:

\\storageaccountname.file.core.windows.net\myfileshare

Вам будет предложено указать сетевые учетные данные для входа. Войдите с той подпиской Azure, для которой вы ранее создали учетную запись хранения и общую папку. Если не появляется запрос на ввод учетных данных, можно ввести учетные данные с помощью следующей команды:

cmdkey /add:StorageAccountName.file.core.windows.net /user:localhost\StorageAccountName /pass:StorageAccountKey

Для Azure для государственных организаций Cloud измените имя сервера следующим образом:

\\storageaccountname.file.core.usgovcloudapi.net\myfileshare

Подключение общих папок с помощью пользовательских доменных имен

Если вы не хотите монтировать файлы Azure с помощью суффикса file.core.windows.net, можно изменить суффикс имени учетной записи хранения, связанной с файлом Azure, а затем добавить запись с каноническим именем (CNAME), чтобы направить новый суффикс на конечную точку учетной записи хранения. Ниже приведены инструкции только для сред с одним лесом. Сведения о настройке сред с двумя или более лесами см. в статье "Использование файлов Azure с несколькими лесами Active Directory".

Примечание.

Файлы Azure поддерживают только настройку CNAMES с помощью имени учетной записи хранения в качестве префикса домена. Если вы не хотите использовать имя учетной записи хранения в качестве префикса, рассмотрите возможность использования пространств имен DFS.

В этом примере у нас есть домен Active Directory onpremad1.com, а у нас есть учетная запись хранения mystorageaccount , содержащая общие папки SMB Azure. Сначала необходимо изменить суффикс SPN учетной записи хранения, чтобы сопоставить mystorageaccount.onpremad1.com с mystorageaccount.file.core.windows.net.

Вы можете подключить общую папку, net use \\mystorageaccount.onpremad1.com так как клиенты в onpremad1 знают, что нужно искать onpremad1.com, чтобы найти соответствующий ресурс для этой учетной записи хранения.

Чтобы использовать этот метод, выполните следующие действия.

  1. Убедитесь, что вы настроили проверку подлинности на основе удостоверений. Если источник AD — AD DS или Microsoft Entra Kerberos, убедитесь, что вы синхронизируете учетные записи пользователей AD с идентификатором Microsoft Entra.

  2. Измените SPN учетной записи хранения с помощью setspn инструмента. Чтобы найти <DomainDnsRoot> , выполните следующую команду Active Directory PowerShell: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Добавьте запись CNAME с помощью диспетчера DNS Active Directory. Если вы используете частную конечную точку, добавьте запись CNAME для сопоставления с именем частной конечной точки.

    1. Откройте диспетчер DNS Active Directory.
    2. Перейдите к домену (например, onpremad1.com).
    3. Перейдите в раздел "Зоны прямого поиска".
    4. Выберите узел с именем вашего домена (например, onpremad1.com) и выберите New Alias (CNAME) правой кнопкой мыши.
    5. В поле псевдонима введите имя аккаунта хранения.
    6. Для полного доменного имени (FQDN) введите <storage-account-name>.<domain-name>, например mystorageaccount.onpremad1.com. Часть FQDN, содержащая имя узла, должна совпадать с именем учетной записи хранения. Если имя узла не соответствует имени учетной записи хранения, подключение завершается ошибкой отказа в доступе.
    7. Для ввода полного доменного имени целевого узла (FQDN) используйте <storage-account-name>.file.core.windows.net
    8. Нажмите ОК.

Теперь вы сможете подключить файловое хранилище с помощью storageaccount.domainname.com.

Следующие шаги

Дополнительные сведения о службе файлов Azure см. по следующим ссылкам.

  • Last updated on