Einbinden einer SMB Azure-Dateifreigabe

Mit dem in diesem Artikel beschriebenen Verfahren wird überprüft, ob Ihre SMB-Dateifreigabe und die Zugriffsberechtigungen korrekt eingerichtet sind und ob Sie Ihre SMB Azure-Dateifreigabe einbinden können.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS Ja Nein
Standard-Dateifreigaben (GPv2), GRS/GZRS Ja Nein
Premium-Dateifreigaben (FileStorage), LRS/ZRS Ja Nein

Voraussetzungen für die Einbindung

Bevor Sie die Azure-Dateifreigabe einbinden können, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  • Stellen Sie sicher, dass Sie Berechtigungen auf Freigabeebene zugewiesen und Berechtigungen auf Verzeichnis- und Dateiebene konfiguriert haben. Beachten Sie, dass es einige Zeit dauern kann, bis die Rollenzuweisung auf Freigabeebene wirksam wird.
  • Wenn Sie die Dateifreigabe von einem Client einbinden, der zuvor mit der Dateifreigabe mithilfe Ihres Speicherkontoschlüssels verbunden war, müssen Sie die Freigabe zunächst trennen und die persistenten Anmeldeinformationen des Speicherkontoschlüssels entfernen. Anweisungen zum Entfernen zwischengespeicherter Anmeldeinformationen und zum Löschen vorhandener SMB-Verbindungen vor dem Herstellen einer neuen Verbindung mit Active Directory Domain Services (AD DS)- oder Microsoft Entra-Anmeldeinformationen finden Sie auf der FAQ-Seite zum Zwei-Schritt-Prozess.
  • Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, benötigt Ihr Client unbehinderte Netzwerkkonnektivität mit Ihrem AD DS. Wenn Ihr Computer oder Ihre VM sich außerhalb des Netzwerks befindet, das von Ihrer AD DS-Instanz verwaltet wird, müssen Sie VPN aktivieren, um AD DS für die Authentifizierung erreichen zu können.
  • Melden Sie sich beim Client mit den Anmeldeinformationen der AD DS- oder Microsoft Entra-Identität an, für die Sie Berechtigungen erteilt haben.

Einbinden der Dateifreigabe über einen in die Domäne eingebundenen virtuellen Computer

Führen Sie das folgende PowerShell-Skript aus, oder verwenden Sie das Azure-Portal, um die Azure-Dateifreigabe dauerhaft einzubinden und sie unter Windows dem Laufwerk „Z:“ zuzuordnen. Wenn „Z:“ bereits verwendet wird, ersetzen Sie es durch einen verfügbaren Laufwerkbuchstaben. Weil Sie authentifiziert wurden, müssen Sie den Speicherkontoschlüssel nicht angeben. Das Skript überprüft, ob auf dieses Speicherkonto über den TCP-Port 445 zugegriffen werden kann, der für SMB verwendet wird. Denken Sie daran, die Platzhalterwerte durch Ihre eigenen Werte zu ersetzen. Weitere Informationen finden Sie unter Verwenden einer Azure-Dateifreigabe mit Windows.

Sofern Sie keine benutzerdefinierten Domänennamen verwenden, sollten Sie Azure-Dateifreigaben mit dem Suffix file.core.windows.net einbinden, auch wenn Sie einen privaten Endpunkt für Ihre Freigabe eingerichtet haben.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

Zum Einbinden der Dateifreigabe können Sie auch den net-use Befehl über eine Windows-Eingabeaufforderung verwenden. Ersetzen Sie <YourStorageAccountName> und <FileShareName> durch Ihre eigenen Werte.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Wenn Probleme auftreten, lesen Sie die Informationen unter Azure-Dateifreigaben mit AD-Anmeldeinformationen können nicht eingebunden werden.

Einbinden der Dateifreigabe über einen nicht in die Domäne eingebundenen virtuellen Computer oder einem virtuellen Computer, der einer anderen AD-Domäne hinzugefügt ist

Wenn Ihre AD-Quelle lokales AD DS ist, dann können nicht in die Domäne eingebundene VMs oder VMs, die in eine andere AD-Domäne als das Speicherkonto eingebunden sind, auf Azure-Dateifreigaben zugreifen, wenn sie eine unbehinderte Netzwerkverbindung zu den AD-Domänencontrollern haben und explizite Anmeldeinformationen (Benutzername und Kennwort) bereitstellen. Benutzer*innen, die auf die Dateifreigabe zugreifen, müssen über eine Identität und Anmeldeinformationen in der AD-Domäne verfügen, in die das Speicherkonto eingebunden ist.

Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, muss die VM über eine unbehinderte Netzwerkkonnektivität mit den Domänencontrollern für Microsoft Entra Domain Services verfügen, die sich in Azure befinden. Dies erfordert in der Regel die Einrichtung eines Site-to-Site- oder Point-to-Site-VPN. Der Benutzer, der auf die Dateifreigabe zugreift, muss über eine Identität (eine Microsoft Entra-Identität, die von Microsoft Entra ID mit Microsoft Entra Domain Services synchronisiert wird) in der verwalteten Microsoft Entra Domain Services-Domäne verfügen.

Verwenden Sie zum Einbinden einer Dateifreigabe von einer nicht in die Domäne eingebundenen VM die Notation benutzername@domaenenFQDN, wobei domaenenFQDN der vollqualifizierte Domänenname ist. Dies ermöglicht es dem Client, sich mit dem Domänencontroller in Verbindung zu setzen, um Kerberos-Tickets anzufordern und zu empfangen. Sie können den Wert von domaenenFQDN abrufen, indem Sie (Get-ADDomain).Dnsroot in Active Directory PowerShell ausführen.

Zum Beispiel:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Wenn Ihre AD-Quelle Microsoft Entra Domain Services ist, können Sie Anmeldeinformationen wie DOMAINNAME\username bereitstellen, wobei DOMAINNAME die Microsoft Entra Domain Services-Domäne und username der Benutzernamen der Identität in Microsoft Entra Domain Services ist:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Hinweis

Azure Files unterstützt nicht die Übersetzung von SIDs in UPNs für Benutzer*innen und Gruppen einer VM, die nicht mit einer Domäne verbunden ist, oder einer VM, die über den Windows Datei-Explorer mit einer anderen Domäne verbunden ist. Wenn Sie die Besitzer von Dateien/Verzeichnissen anzeigen oder NTFS-Berechtigungen über den Windows-Datei-Explorer anzeigen/ändern möchten, können Sie dies nur von in eine Domäne eingebundenen VMs aus tun.

Einbinden von Dateifreigaben mit benutzerdefinierten Domänennamen

Wenn Sie Azure-Dateifreigaben nicht mit dem Suffix file.core.windows.net einbinden möchten, können Sie das Suffix des mit der Azure-Dateifreigabe verknüpften Speicherkontonamens ändern und dann einen CNAME-Eintrag hinzufügen, um das neue Suffix an den Endpunkt des Speicherkontos weiterzuleiten. Die folgenden Anweisungen gelten nur für Umgebungen mit einer einzigen Gesamtstruktur. Wie Sie Umgebungen mit zwei oder mehr Gesamtstrukturen konfigurieren können, erfahren Sie unter Verwenden von Azure Files mit mehreren Active Directory-Gesamtstrukturen.

Hinweis

Azure Files unterstützt nur die Konfiguration von CNAMES unter Verwendung des Namens des Speicherkontos als Domain-Präfix. Wenn Sie den Namen des Speicherkontos nicht als Präfix verwenden möchten, können Sie DFS-Namespaces verwenden.

In diesem Beispiel haben wir die Active Directory-Domäne onpremad1.com, und wir haben ein Speicherkonto namens mystorageaccount, das SMB Azure-Dateifreigaben enthält. Zunächst müssen wir das SPN-Suffix des Speicherkontos ändern, um mystorageaccount.onpremad1.com auf mystorageaccount.file.core.windows.net abzubilden.

Dadurch können die Clients die Freigabe mit net use \\mystorageaccount.onpremad1.com einbinden, da die Clients in onpremad1 wissen, dass sie onpremad1.com durchsuchen müssen, um die richtige Ressource für dieses Speicherkonto zu finden.

Führen Sie die folgenden Schritte aus, um diese Methode zu verwenden:

  1. Stellen Sie sicher, dass Sie die identitätsbasierte Authentifizierung eingerichtet haben. Wenn Ihre AD-Quelle AD DS oder Microsoft Entra Kerberos ist, stellen Sie sicher, dass Sie alle Ihre AD-Benutzerkonten mit Microsoft Entra ID synchronisiert haben.

  2. Ändern Sie den SPN des Speicherkontos mithilfe des Tools setspn. Sie können <DomainDnsRoot> ermitteln, indem Sie den folgenden Active Directory-PowerShell-Befehl ausführen: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
    
  3. Fügen Sie mithilfe von Active Directory-DNS-Manager einen CNAME-Eintrag hinzu, und führen Sie die folgenden Schritte für alle Speicherkonten in der Domäne aus, in die das Speicherkonto eingebunden ist. Wenn Sie einen privaten Endpunkt verwenden, fügen Sie den CNAME-Eintrag hinzu, der dem Namen des privaten Endpunkts zugeordnet werden soll.

    1. Öffnen Sie Active Directory-DNS-Manager.
    2. Wechseln Sie zu Ihrer Domäne (z. B. onpremad1.com).
    3. Navigieren Sie zu „Forward-Lookupzonen“.
    4. Wählen Sie den Knoten aus, der nach Ihrer Domäne benannt ist (z. B. onpremad1.com), und klicken Sie mit der rechten Maustaste auf Neuer Alias (CNAME).
    5. Geben Sie als Aliasname den Namen Ihres Speicherkontos ein.
    6. Geben Sie für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) <storage-account-name>.<domain-name> ein, z. B. mystorageaccount.onpremad1.com. Der Teil Hostname des FQDN muss mit dem Namen des Speicherkontos übereinstimmen. Andernfalls erhalten Sie bei der Einrichtung der SMB-Sitzung eine Fehlermeldung, dass der Zugriff verweigert wurde.
    7. Geben Sie als FQDN des Zielhosts <storage-account-name>.file.core.windows.net ein.
    8. Klickan Sie auf OK.

Sie sollten nun in der Lage sein, die Dateifreigabe über storageaccount.domainname.com einzubinden. Sie können die Dateifreigabe auch über den Schlüssel des Speicherkontos einbinden.

Nächster Schritt

Wenn sich die Identität, die Sie in AD DS zur Darstellung des Speicherkontos erstellt haben, in einer Domäne oder Organisationseinheit befindet, die die Kennwortrotation erzwingt, müssen Sie möglicherweise das Kennwort Ihrer Speicherkontoidentität in AD DS aktualisieren.