Behandeln von Problemen bei der identitätsbasierten Authentifizierung und Autorisierung von Azure Files (SMB)

In diesem Artikel werden häufige Probleme bei der Verwendung von Azure-SMB-Dateifreigaben mit identitätsbasierter Authentifizierung aufgeführt. Darüber hinaus werden die möglichen Ursachen und Lösungen für diese Probleme bereitgestellt. Die identitätsbasierte Authentifizierung wird derzeit für Azure-NFS-Dateifreigaben nicht unterstützt.

Gilt für:

Dateifreigabetyp SMB NFS
Standard-Dateifreigaben (GPv2), LRS/ZRS
Standard-Dateifreigaben (GPv2), GRS/GZRS
Premium-Dateifreigaben (FileStorage), LRS/ZRS

Fehler beim Ausführen des AzFilesHybrid-Moduls

Wenn Sie versuchen, das AzFilesHybrid-Modul auszuführen, wird möglicherweise die folgende Fehlermeldung angezeigt:

A required privilege is not held by the client. (System.ComponentModel.Win32Exception: Dem Client fehlt ein erforderliches Recht.)

Ursache: AD-Berechtigungen sind nicht ausreichend

Dieses Problem tritt auf, da Sie nicht über die erforderlichen Active Directory(AD)-Berechtigungen zum Ausführen des Moduls verfügen.

Lösung

Verweisen Sie auf die AD-Berechtigungen, oder wenden Sie sich an Ihren AD-Administrator, um die erforderlichen Berechtigungen bereitzustellen.

Fehler 5 beim Einbinden einer Azure-Dateifreigabe

Wenn Sie versuchen, eine Dateifreigabe bereitzustellen, erhalten Sie möglicherweise den folgenden Fehler:

„Systemfehler 5 ist aufgetreten. Zugriff verweigert.“

Ursache: Berechtigungen auf Freigabeebene sind falsch

Wenn Endbenutzer mit Active Directory-Domäne Services (AD DS) oder microsoft Entra Domain Services-Authentifizierung auf die Azure-Dateifreigabe zugreifen, schlägt der Zugriff auf die Dateifreigabe mit dem Fehler "Zugriff verweigert" fehl, wenn Berechtigungen auf Freigabeebene falsch sind.

Notiz

Dieser Fehler kann auch durch andere Probleme als falsche Berechtigungen auf Freigabeebene verursacht werden. Informationen zu anderen möglichen Ursachen und Lösungen finden Sie unter Behandeln von Konnektivitäts- und Zugriffsproblemen bei Azure Files.

Lösung

Überprüfen, ob Berechtigungen ordnungsgemäß konfiguriert sind:

  • Active Directory Domain Services (AD DS) – siehe Zuweisen von Berechtigungen auf Freigabeebene

    Berechtigungszuweisungen auf Freigabeebene werden für Gruppen und Benutzer unterstützt, die von AD DS mit Microsoft Entra ID mit Microsoft Entra Connect Sync oder Microsoft Entra Connect Cloud sync synchronisiert wurden. Vergewissern Sie sich, dass Gruppen und Benutzer, denen Berechtigungen auf Freigabeebene zugewiesen wurden, keine "nur cloudbasierten" Gruppen unterstützt werden.

  • Microsoft Entra Domain Services siehe Berechtigungen auf Freigabeebene zuweisen.

Fehler AadDsTenantNotFound bei der Aktivierung der Microsoft Entra Domain Services-Authentifizierung für Azure Files „Unable to locate active tenants with tenant ID Microsoft Entra tenant-id“

Ursache

Fehler AadDsTenantNotFound tritt auf, wenn Sie versuchen, die Microsoft Entra Domain Services-Authentifizierung für Azure Files für ein Speicherkonto zu aktivieren, bei dem Microsoft Entra Domain Services nicht im Microsoft Entra-Mandanten des zugehörigen Abonnements erstellt wird.

Lösung

Aktivieren Sie Microsoft Entra Domain Services auf dem Microsoft Entra-Tenant des Abonnements, in dem Ihr Speicherkonto eingerichtet ist. Sie benötigen Administratorrechte für den Microsoft Entra-Tenant, um eine verwaltete Domäne zu erstellen. Wenn Sie nicht der Administrator des Microsoft Entra-Mandanten sind, wenden Sie sich an den Administrator, und befolgen Sie die schrittweise Anleitung zum Erstellen und Konfigurieren einer verwalteten Domäne von Microsoft Entra Domain Services.

Azure-Dateifreigaben können nicht mit AD-Anmeldeinformationen eingebunden werden

Selbstdiagnoseschritte

Stellen Sie zunächst sicher, dass Sie die Schritte zum Aktivieren der AD DS-Authentifizierung für Azure Files ausgeführt haben.

Versuchen Sie dann, die Azure-Dateifreigabe mit dem Speicherkontoschlüssel einzubinden. Wenn die Freigabe nicht bereitgestellt werden kann, laden Sie AzFileDiagnostics herunter, damit Sie die ausgeführte Clientumgebung überprüfen können. AzFileDiagnostics kann inkompatible Clientkonfigurationen erkennen, die zu Zugriffsfehlern für Azure Files führen können, Anleitungen zur Selbstkorrektur bieten und Diagnoseablaufverfolgungen sammeln.

Drittens können Sie das Debug-AzStorageAccountAuth Cmdlet ausführen, um eine Reihe grundlegender Prüfungen ihrer AD-Konfiguration mit dem angemeldeten AD-Benutzer durchzuführen. Dieses Cmdlet wird von der Version AzFilesHybrid v0.1.2+ unterstützt. Sie müssen dieses Cmdlet mit einem AD-Benutzer ausführen, der über die Besitzerberechtigung für das Zielspeicherkonto verfügt.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Das Cmdlet führt diese Überprüfungen der Reihe nach durch und bietet Anleitungen zur Fehlerbehebung:

  1. CheckADObjectPasswordIsCorrect: Stellen Sie sicher, dass das für die AD-Identität konfigurierte Kennwort, das das Speicherkonto darstellt, dem des Speicherkontos kerb1 oder kerb2 entspricht. Wenn das Kennwort falsch ist, können Sie Update-AzStorageAccountADObjectPassword ausführen, um das Kennwort zurückzusetzen.
  2. CheckADObject: Vergewissern Sie sich, dass ein Objekt im Active Directory vorhanden ist, das das Speicherkonto darstellt und den richtigen SPN (Dienstprinzipalname) aufweist. Wenn der SPN nicht ordnungsgemäß eingerichtet ist, führen Sie das im Debugcmdlet zurückgegebene Cmdlet Set-AD aus, um den SPN zu konfigurieren.
  3. CheckDomainJoined: Überprüfen Sie, ob der Clientcomputer mit AD verbunden ist. Wenn Ihr Computer nicht mit AD verbunden ist, lesen Sie den Beitritt eines Computers zu einer Domäne für Anweisungen zum Domänenbeitritt.
  4. CheckPort445Connectivity: Überprüfen Sie, ob Port 445 für die SMB-Verbindung geöffnet ist. Wenn Port 445 nicht geöffnet ist, lesen Sie das Problembehandlungstool AzFileDiagnostics für Konnektivitätsprobleme mit Azure Files.
  5. CheckSidHasAadUser: Überprüfen Sie, ob der angemeldete AD-Benutzer mit der Microsoft Entra-ID synchronisiert wird. Wenn Sie nachschlagen möchten, ob ein bestimmter AD-Benutzer mit microsoft Entra-ID synchronisiert wird, können Sie die -UserName Eingabeparameter angeben.-Domain Bei einer bestimmten SID wird überprüft, ob ein Microsoft Entra-Benutzer zugeordnet ist.
  6. CheckAadUserHasSid: Überprüfen Sie, ob der angemeldete AD-Benutzer mit der Microsoft Entra-ID synchronisiert wird. Wenn Sie nachschlagen möchten, ob ein bestimmter AD-Benutzer mit microsoft Entra-ID synchronisiert wird, können Sie die -UserName Eingabeparameter angeben.-Domain Bei einem bestimmten Microsoft Entra-Benutzer überprüft er seine SID. Um diese Überprüfung auszuführen, müssen Sie den -ObjectId Parameter zusammen mit der Objekt-ID des Microsoft Entra-Benutzers angeben.
  7. CheckGetKerberosTicket: Versuchen Sie, ein Kerberos-Ticket abzurufen, um eine Verbindung mit dem Speicherkonto herzustellen. Wenn kein gültiges Kerberos-Token vorhanden ist, führen Sie das klist get cifs/storage-account-name.file.core.windows.net Cmdlet aus, und überprüfen Sie den Fehlercode, um die Ursache des Ticketabruffehlers zu ermitteln.
  8. CheckStorageAccountDomainJoined: Überprüfen Sie, ob die AD-Authentifizierung aktiviert wurde und die AD-Eigenschaften des Kontos aufgefüllt werden. Wenn dies nicht der Fall ist, aktivieren Sie die AD DS-Authentifizierung in Azure Files.
  9. CheckUserRbacAssignment: Überprüfen Sie, ob die AD-Identität über die richtige RBAC-Rollenzuweisung verfügt, um Berechtigungen auf Freigabeebene für den Zugriff auf Azure Files bereitzustellen. Wenn nicht, konfigurieren Sie die Berechtigung auf Freigabeebene. (Unterstützt von AzFilesHybrid, Version 0.2.3 und höher)
  10. CheckUserFileAccess: Überprüfen Sie, ob die AD-Identität über die richtige Verzeichnis-/Dateiberechtigung (Windows ACLs) verfügt, um auf Azure Files zuzugreifen. Wenn nicht, konfigurieren Sie die Berechtigung auf Verzeichnis-/Dateiebene. Um diese Überprüfung auszuführen, müssen Sie den -FilePath Parameter zusammen mit dem Pfad der bereitgestellten Datei angeben, auf die Sie den Zugriff debuggen möchten. (Unterstützt von AzFilesHybrid, Version 0.2.3 und höher)
  11. CheckAadKerberosRegistryKeyIsOff: Überprüfen Sie, ob der Microsoft Entra Kerberos-Registrierungsschlüssel deaktiviert ist. Wenn der Schlüssel aktiviert ist, führen Sie reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0 sie über eine Eingabeaufforderung mit erhöhten Rechten aus, um sie zu deaktivieren, und starten Sie den Computer dann neu. (Unterstützt auf AzFilesHybrid v0.2.9+ Version)

Wenn Sie nur eine Unterauswahl der vorherigen Prüfungen ausführen möchten, können Sie den -Filter Parameter zusammen mit einer durch Trennzeichen getrennten Liste der auszuführenden Prüfungen verwenden. Verwenden Sie beispielsweise die folgenden PowerShell-Cmdlets, um alle Prüfungen im Zusammenhang mit Berechtigungen auf Freigabeebene (RBAC) auszuführen:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth `
    -Filter CheckSidHasAadUser,CheckUserRbacAssignment `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -Verbose

Wenn die Dateifreigabe bereitgestellt ist X:und Sie nur die Überprüfung im Zusammenhang mit Berechtigungen auf Dateiebene (Windows ACLs) ausführen möchten, können Sie die folgenden PowerShell-Cmdlets ausführen:

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"

Debug-AzStorageAccountAuth `
    -Filter CheckUserFileAccess `
    -StorageAccountName $StorageAccountName `
    -ResourceGroupName $ResourceGroupName `
    -FilePath $FilePath `
    -Verbose

Bereitstellen von Azure-Dateifreigaben mit Microsoft Entra Kerberos nicht möglich

Selbstdiagnoseschritte

Stellen Sie zunächst sicher, dass Sie die Schritte zum Aktivieren der Microsoft Entra Kerberos-Authentifizierung befolgt haben.

Zweitens können Sie das Debug-AzStorageAccountAuth Cmdlet ausführen, um eine Reihe grundlegender Prüfungen durchzuführen. Dieses Cmdlet wird für Speicherkonten unterstützt, die für die Microsoft Entra Kerberos-Authentifizierung konfiguriert sind, unter AzFilesHybrid v0.3.0+ Version.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Das Cmdlet führt diese Überprüfungen der Reihe nach durch und bietet Anleitungen zur Fehlerbehebung:

  1. CheckPort445Connectivity: Überprüfen Sie, ob Port 445 für die SMB-Verbindung geöffnet ist. Wenn Port 445 nicht geöffnet ist, verwenden Sie das Problembehandlungstool AzFileDiagnostics für Konnektivitätsprobleme mit Azure Files.
  2. CheckAADConnectivity: Überprüfen Sie die Entra-Konnektivität. SMB-Bereitstellungen mit Kerberos-Authentifizierung können fehlschlagen, wenn der Client entra nicht erreichen kann. Wenn diese Überprüfung fehlschlägt, weist sie darauf hin, dass ein Netzwerkfehler vorliegt (z. B. ein Firewall- oder VPN-Problem).
  3. CheckEntraObject: Vergewissern Sie sich, dass ein Objekt in der Entra vorhanden ist, das das Speicherkonto darstellt und den richtigen Dienstprinzipalnamen (SERVICE Principal Name, SPN) aufweist. Wenn der SPN nicht ordnungsgemäß eingerichtet ist, deaktivieren und aktivieren Sie die Entra Kerberos-Authentifizierung für das Speicherkonto erneut.
  4. CheckRegKey: Überprüfen Sie, ob der CloudKerberosTicketRetrieval Registrierungsschlüssel aktiviert ist. Dieser Registrierungsschlüssel ist für die Entra Kerberos-Authentifizierung erforderlich.
  5. CheckRealmMap: Überprüfen Sie, ob der Benutzer Bereichszuordnungen konfiguriert hat, die das Konto mit einem anderen Kerberos-Bereich verbinden würden als KERBEROS.MICROSOFTONLINE.COM.
  6. CheckAdminConsent: Überprüfen Sie, ob dem Entra-Dienstprinzipal die Administratorzustimmung für die Microsoft Graph-Berechtigungen erteilt wurde, die zum Abrufen eines Kerberos-Tickets erforderlich sind.
  7. CheckWinHttpAutoProxySvc: Überprüft den WinHTTP Web Proxy Auto-Discovery Service (WinHttpAutoProxySvc), der für die Microsoft Entra Kerberos-Authentifizierung erforderlich ist. Sein Zustand sollte auf Running.
  8. CheckIpHlpScv: Überprüft den IP-Hilfsdienst (iphlpsvc), der für die Microsoft Entra Kerberos-Authentifizierung erforderlich ist. Sein Zustand sollte auf Running.

Wenn Sie nur eine Unterauswahl der vorherigen Prüfungen ausführen möchten, können Sie den -Filter Parameter zusammen mit einer durch Trennzeichen getrennten Liste der auszuführenden Prüfungen verwenden.

Berechtigungen auf Verzeichnis-/Dateiebene (Windows-ACLs) können nicht mit Windows-Datei-Explorer konfiguriert werden

Symptom

Möglicherweise tritt eines der unten beschriebenen Symptome auf, wenn Sie versuchen, Windows ACLs mit dem Datei-Explorer auf einer eingebundenen Dateifreigabe zu konfigurieren:

  • Nachdem Sie auf der Registerkarte „Sicherheit“ auf Berechtigung bearbeiten geklickt haben, wird der Berechtigungs-Assistent nicht geladen.
  • Wenn Sie versuchen, neue Benutzer*innen oder eine neue Gruppe auszuwählen, zeigt der Domänenort nicht die richtige AD DS-Domäne an.
  • Sie verwenden mehrere AD-Gesamtstrukturen und erhalten die folgende Fehlermeldung: „Die Active Directory-Domänencontroller, die zum Suchen der ausgewählten Objekte in den folgenden Domänen erforderlich sind, sind nicht verfügbar. Stellen Sie sicher, dass die Active Directory-Domänencontroller verfügbar sind, und versuchen Sie erneut, die Objekte auszuwählen.“

Lösung

Es wird empfohlen, Berechtigungen auf Verzeichnis-/Dateiebene mithilfe von icacls anstatt mit dem Windows-Explorer zu konfigurieren.

Fehler beim Ausführen des Cmdlets „Join-AzStorageAccountForAuth“

Error: „Der Verzeichnisdienst kann keinen relativen Bezeichner zuweisen“

Dieser Fehler kann auftreten, wenn ein Domänencontroller, der die FSMO-Rolle (RID-Master) innehat, nicht verfügbar ist oder aus der Domäne entfernt und aus einer Sicherung wiederhergestellt wurde. Vergewissern Sie sich, dass alle Domänencontroller ausgeführt werden und verfügbar sind.

Fehler: „Die Positionsparameter können nicht gebunden werden, da keine Namen angegeben wurden.“

Dieser Fehler wird wahrscheinlich durch einen Syntaxfehler im Join-AzStorageAccountforAuth Befehl ausgelöst. Überprüfen Sie den Befehl auf Rechtschreibfehler oder Syntaxfehler, und überprüfen Sie, ob die neueste Version des AzFilesHybrid-Moduls (https://github.com/Azure-Samples/azure-files-samples/releases) installiert ist.

Azure Files-Unterstützung der lokalen AD DS-Authentifizierung für die Kerberos-Verschlüsselung mit AES-256

Ab dem AzFilesHybrid-Modul v0.2.2 unterstützt Azure Files die AES-256-Kerberos-Verschlüsselung für die AD DS-Authentifizierung. AES-256 ist die empfohlene Verschlüsselungsmethode und die Standardverschlüsselungsmethode, die im AzFilesHybrid-Modul v0.2.5 beginnt. Wenn Sie die AD DS-Authentifizierung mit einer Modulversion unter v0.2.2 aktiviert haben, müssen Sie das neueste AzFilesHybrid-Modul herunterladen und die nachfolgende PowerShell-Instanz ausführen. Wenn Sie die AD DS-Authentifizierung für Ihr Speicherkonto noch nicht aktiviert haben, folgen Sie diesem Leitfaden.

Wichtig

Wenn Sie zuvor die RC4-Verschlüsselung verwendet und das Speicherkonto für die Verwendung von AES-256 aktualisiert haben, sollten Sie auf dem Client klist purge ausführen und dann die Dateifreigabe erneut einbinden, um neue Kerberos-Tickets mit AES-256 zu erhalten.

$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"

Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName

Im Rahmen des Updates dreht das Cmdlet die Kerberos-Schlüssel, die erforderlich sind, um zu AES-256 zu wechseln. Es ist nicht erforderlich, zurück zu drehen, es sei denn, Sie möchten beide Kennwörter neu generieren.

Benutzeridentitäten, denen zuvor die Rolle „Besitzer“ oder „Mitwirkender“ zugewiesen war, haben weiterhin Zugriff auf den Speicherkontoschlüssel.

Die Speicherkontorollen „Besitzer“ und „Mitwirkender“ ermöglichen das Auflisten der Speicherkontoschlüssel. Der Speicherkontoschlüssel ermöglicht Vollzugriff auf die Daten des Speicherkontos (einschließlich Dateifreigaben, Blobcontainer, Tabellen und Warteschlangen) sowie eingeschränkten Zugriff auf die Azure Files-Verwaltungsvorgänge (über die älteren Verwaltungs-APIs, die über die FileREST-API verfügbar gemacht werden). Berücksichtigen Sie beim Ändern von Rollenzuweisungen, dass die aus der Rolle „Besitzer“ oder „Mitwirkender“ entfernten Benutzer über gespeicherte Speicherkontoschlüssel möglicherweise weiterhin Zugriff auf das Speicherkonto haben.

Lösung 1

Dieses Problem lässt sich ganz einfach durch Rotieren der Speicherkontoschlüssel beheben. Es wird empfohlen, die Schlüssel nacheinander zu rotieren und den Zugriff dabei jeweils auf den anderen Schlüssel zu übertragen. Vom Speicherkonto werden zwei Arten von gemeinsam verwendeten Schlüsseln bereitgestellt: die Speicherkontoschlüssel, die Superadministratorzugriff auf die Daten des Speicherkontos ermöglichen, und die Kerberos-Schlüssel, die in Windows Server Active Directory-Szenarien als gemeinsames Geheimnis zwischen dem Speicherkonto und dem Windows Server Active Directory-Domänencontroller fungieren.

Informationen zum Rotieren der Kerberos-Schlüssel eines Speicherkontos finden Sie unter Aktualisieren des Kennworts für Ihre Speicherkontoidentität in AD DS.

Navigieren Sie im Azure-Portal zum gewünschten Speicherkonto. Wählen Sie im Inhaltsverzeichnis für das gewünschte Speicherkonto unter der Überschrift Sicherheit und Netzwerk die Option Zugriffsschlüssel aus. Wählen Sie im Bereich Zugriffsschlüssel über dem gewünschten Schlüssel die Option Schlüssel rotieren aus.

Screenshot des Bereichs

Festlegen der API-Berechtigungen für eine neu erstellte Anwendung

Nachdem Sie die Microsoft Entra Kerberos-Authentifizierung aktiviert haben, müssen Sie der neuen Microsoft Entra-Anwendung explizit zustimmen, die in Ihrem Microsoft Entra-Mandanten registriert ist, um Ihre Konfiguration abzuschließen. Sie können die API-Berechtigungen im Azure-Portal konfigurieren, indem Sie die folgenden Schritte ausführen.

  1. Öffnen Sie Microsoft Entra ID.
  2. Wählen Sie im Bereich links die Option App-Registrierungen aus.
  3. Wählen Sie im Bereich rechts Alle Anwendungen aus.
  4. Wählen Sie die Anwendung mit dem Namen, der dem [Speicherkonto] $storageAccountName.file.core.windows.net entspricht.
  5. Wählen Sie im linken Bereich API-Berechtigungen aus.
  6. Wählen Sie Berechtigungen hinzufügen unten auf der Seite aus.
  7. Wählen Sie Administratoreinwilligung für „Verzeichnisname“ gewähren aus.

Mögliche Fehler beim Aktivieren der Microsoft Entra Kerberos-Authentifizierung für Hybridbenutzer

Beim Aktivieren der Microsoft Entra Kerberos-Authentifizierung für Hybridbenutzerkonten treten möglicherweise die folgenden Fehler auf.

In einigen Fällen kann der Microsoft Entra-Administrator die Möglichkeit zum Erteilen der Administratorzustimmung für Microsoft Entra-Anwendungen deaktivieren. Nachfolgend sehen Sie einen Screenshot dessen, wie dies im Azure-Portal aussehen kann.

Screenshot des Blatts

Wenn dies der Fall ist, bitten Sie Ihren Microsoft Entra-Administrator, der neuen Microsoft Entra-Anwendung die Zustimmung des Administrators zu erteilen. Um Ihre Administratoren zu finden und anzuzeigen, wählen Sie Rollen und Administratoren aus, und wählen Sie dann Cloudanwendungsadministrator aus.

Fehler : "Fehler bei der Anforderung an Azure AD Graph mit Code BadRequest"

Ursache 1: Eine Anwendungsverwaltungsrichtlinie verhindert, dass Anmeldeinformationen erstellt werden.

Wenn Sie die Microsoft Entra Kerberos-Authentifizierung aktivieren, tritt möglicherweise dieser Fehler auf, wenn die folgenden Bedingungen erfüllt sind:

  1. Sie verwenden die Beta-/Previewfunktion der Anwendungsverwaltungsrichtlinien.
  2. Sie (oder Ihr Administrator) haben eine mandantenweite Richtlinie festgelegt, die:
    • Hat kein Startdatum oder ein Startdatum vor dem 1. Januar 2019.
    • Legt eine Einschränkung für Dienstprinzipalkennwörter fest, die entweder benutzerdefinierte Kennwörter verbieten oder eine maximale Kennwortlebensdauer von weniger als 365,5 Tagen festlegen.

Für diesen Fehler gibt es derzeit keine Problemumgehung.

Ursache 2: Für das Speicherkonto ist bereits eine Anwendung vorhanden.

Dieser Fehler kann auch auftreten, wenn Sie zuvor die Microsoft Entra Kerberos-Authentifizierung über manuelle eingeschränkte Vorschauschritte aktiviert haben. Um die vorhandene Anwendung zu löschen, kann der Kunde oder sein IT-Administrator das folgende Skript ausführen. Wenn Sie dieses Skript ausführen, wird die alte manuell erstellte Anwendung entfernt und die neu erstellte Anwendung kann über die neue Benutzeroberfläche automatisch erstellt und verwaltet werden. Melden Sie sich nach dem Initiieren der Verbindung mit Microsoft Graph bei der Microsoft Graph-Befehlszeilentools-Anwendung auf Ihrem Gerät an, und erteilen Sie der App Berechtigungen.

$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"

$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
   Remove-MgApplication -ObjectId $application.ObjectId
}

Fehler : Das Dienstprinzipalkennwort ist in der Microsoft Entra-ID abgelaufen.

Wenn Sie die Microsoft Entra Kerberos-Authentifizierung zuvor über manuelle eingeschränkte Vorschauschritte aktiviert haben, wird das Kennwort für den Dienstprinzipal des Speicherkontos alle sechs Monate ablaufen. Sobald das Kennwort abgelaufen ist, können Benutzer keine Kerberos-Tickets zur Dateifreigabe mehr abrufen.

Um dies zu vermeiden, haben Sie zwei Optionen: entweder das Dienstprinzipalkennwort in Microsoft Entra alle sechs Monate zu drehen, oder führen Sie die folgenden Schritte aus, um Microsoft Entra Kerberos zu deaktivieren, die vorhandene Anwendung zu löschen und Microsoft Entra Kerberos neu zu konfigurieren.

Achten Sie darauf, domäneneigenschaften (domainName und domainGUID) vor dem Deaktivieren von Microsoft Entra Kerberos zu speichern, da Sie diese während der Neukonfiguration benötigen, wenn Sie Berechtigungen auf Verzeichnis- und Dateiebene mithilfe von Windows Explorer konfigurieren möchten. Wenn Sie keine Domäneneigenschaften gespeichert haben, können Sie trotzdem Berechtigungen auf Verzeichnis- bzw. Dateiebene konfigurieren, indem Sie „icacls“ als Problemumgehung verwenden.

  1. Deaktivieren von Microsoft Entra Kerberos
  2. Löschen der vorhandenen Anwendung
  3. Konfigurieren von Microsoft Entra Kerberos über die Azure-Portal

Nachdem Sie Microsoft Entra Kerberos neu konfiguriert haben, wird die neue Oberfläche die neu erstellte Anwendung automatisch erstellen und verwalten.

Wenn Sie eine Verbindung mit einem Speicherkonto über einen privaten Endpunkt/einen privaten Link mithilfe der Microsoft Entra Kerberos-Authentifizierung herstellen, wird beim Versuch, eine Dateifreigabe über net use oder eine andere Methode bereitzustellen, der Client zur Eingabe von Anmeldeinformationen aufgefordert. Der Benutzer gibt wahrscheinlich seine Anmeldeinformationen ein, aber die Anmeldeinformationen werden abgelehnt.

Ursache

Dies liegt daran, dass der SMB-Client versucht hat, Kerberos zu verwenden, aber fehlgeschlagen ist, sodass er auf die Verwendung der NTLM-Authentifizierung zurückfällt und Azure Files die Verwendung der NTLM-Authentifizierung für Domänenanmeldeinformationen nicht unterstützt. Der Client kann kein Kerberos-Ticket für das Speicherkonto abrufen, da der FQDN für private Verknüpfungen nicht für eine vorhandene Microsoft Entra-Anwendung registriert ist.

Lösung

Die Lösung besteht darin, den privateLink-FQDN zur Microsoft Entra-Anwendung des Speicherkontos hinzuzufügen, bevor Sie die Dateifreigabe bereitstellen. Sie können dem Anwendungsobjekt die erforderlichen identifierUris im Azure-Portal hinzufügen, indem Sie die folgenden Schritte ausführen.

  1. Öffnen Sie Microsoft Entra ID.

  2. Wählen Sie im Bereich links die Option App-Registrierungen aus.

  3. Wählen Sie Alle Anwendungen aus.

  4. Wählen Sie die Anwendung mit dem Namen, der dem [Speicherkonto] $storageAccountName.file.core.windows.net entspricht.

  5. Wählen Sie im linken Bereich die Option Manifest aus.

  6. Kopieren Sie den vorhandenen Inhalt, und fügen Sie ihn ein, damit Sie über eine doppelte Kopie verfügen.

  7. Bearbeiten Sie das JSON-Manifest. Fügen Sie für jeden <storageAccount>.file.core.windows.net Eintrag einen entsprechenden <storageAccount>.privatelink.file.core.windows.net Eintrag hinzu. Wenn Ihr Manifest z. B. den folgenden Wert aufweist für identifierUris:

    "identifierUris": [
        "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
        "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
        "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
        "HOST/<storageaccount>.file.core.windows.net",
        "CIFS/<storageaccount>.file.core.windows.net",
        "HTTP/<storageaccount>.file.core.windows.net"
    ],
    

    Anschließend sollten Sie das identifierUris Feld wie folgt bearbeiten:

    "identifierUris": [
        "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net",
        "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net",
        "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net",
        "HOST/<storageaccount>.file.core.windows.net",
        "CIFS/<storageaccount>.file.core.windows.net",
        "HTTP/<storageaccount>.file.core.windows.net",
    
        "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net",
        "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net",
        "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net",
        "HOST/<storageaccount>.privatelink.file.core.windows.net",
        "CIFS/<storageaccount>.privatelink.file.core.windows.net",
        "HTTP/<storageaccount>.privatelink.file.core.windows.net"
    ],
    
  8. Überprüfen Sie den Inhalt, und wählen Sie Speichern aus, um das Anwendungsobjekt mit den neuen identifierUris zu aktualisieren.

  9. Aktualisieren Sie alle internen DNS-Verweise so, dass sie auf den privaten Link verweisen.

  10. Versuchen Sie erneut, die Freigabe einzubinden.

Fehler AADSTS50105

Die Anforderung wurde durch den folgenden Fehler AADSTS50105 unterbrochen:

Ihr Administrator hat die Anwendung "Unternehmensanwendungsname" so konfiguriert, dass Benutzer blockiert werden, es sei denn, sie erhalten speziellen (zugewiesenen) Zugriff auf die Anwendung. Der angemeldete Benutzer "{EmailHidden}" ist blockiert, da er kein direktes Mitglied einer Gruppe mit Zugriff ist oder direkt von einem Administrator zugewiesen wurde. Wenden Sie sich an Ihren Administrator, um zugriff auf diese Anwendung zuzuweisen.

Ursache

Wenn Sie "Zuordnung erforderlich" für die entsprechende Unternehmensanwendung einrichten, können Sie kein Kerberos-Ticket erhalten, und Microsoft Entra-Anmeldeprotokolle zeigen einen Fehler an, obwohl Benutzer oder Gruppen der Anwendung zugewiesen sind.

Lösung

Wählen Sie keine für die Microsoft Entra-Anwendung für das Speicherkonto erforderliche Zuweisung aus, da wir keine Berechtigungen im Kerberos-Ticket auffüllen, das an den Anforderer zurückgegeben wird. Weitere Informationen finden Sie unter Error AADSTS50105 – Der angemeldete Benutzer ist keiner Rolle für die Anwendung zugewiesen.

Siehe auch

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.