Montare una condivisione file di Azure SMB

Il processo descritto in questo articolo verifica che le autorizzazioni di accesso e condivisione file SMB siano configurate correttamente e che sia possibile montare la condivisione file di Azure SMB.

Si applica a

Tipo di condivisione file SMB NFS
Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Sì No
Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona Sì No
Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona Sì No

Prerequisiti di montaggio

Prima di poter montare la condivisione file di Azure, assicurarsi di aver superato i prerequisiti seguenti:

  • Assicurarsi di avere assegnato autorizzazioni a livello di condivisione e di autorizzazioni a livello di file e directory configurate. Tenere presente che l'assegnazione di ruolo a livello di condivisione può richiedere del tempo.
  • Se si sta montando la condivisione file da un client connesso in precedenza alla condivisione file usando la chiave dell'account di archiviazione, assicurarsi di aver disconnesso la condivisione e rimosso le credenziali persistenti della chiave dell'account di archiviazione. Per istruzioni su come rimuovere le credenziali memorizzate nella cache ed eliminare le connessioni SMB esistenti prima di inizializzare una nuova connessione con le credenziali di Dominio di Active Directory Services (AD DS) o Microsoft Entra, seguire il processo in due passaggi nella pagina domande frequenti.
  • Se l'origine di Active Directory è Active Directory Domain Services o Microsoft Entra Kerberos, il client deve avere connettività di rete non implementata ad Active Directory Domain Services. Se il computer o la macchina virtuale si trova all'esterno della rete gestita da Active Directory Domain Services, è necessario abilitare la VPN per raggiungere Active Directory Domain Services per l'autenticazione.
  • Accedere al client usando le credenziali dell'identità di Active Directory Domain Services o Microsoft Entra a cui sono state concesse le autorizzazioni.

Montare la condivisione file da una macchina virtuale aggiunta a un dominio

Eseguire lo script di PowerShell seguente o usare il portale di Azure per montare in modo permanente la condivisione file di Azure ed eseguirne il mapping all'unità Z: in Windows. Se Z: è già in uso, sostituirlo con una lettera di unità disponibile. Poiché è stata eseguita l'autenticazione, non sarà necessario fornire la chiave dell'account di archiviazione. Lo script verificherà se questo account di archiviazione è accessibile tramite la porta TCP 445, ovvero la porta usata da SMB. Ricordarsi di sostituire i valori segnaposto con valori personalizzati. Per altre informazioni, vedere Usare una condivisione file di Azure con Windows.

A meno che non si usino nomi di dominio personalizzati, è consigliabile montare condivisioni file di Azure usando il suffisso file.core.windows.net, anche se si configura un endpoint privato per la condivisione.

$connectTestResult = Test-NetConnection -ComputerName <storage-account-name>.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
    cmd.exe /C "cmdkey /add:`"<storage-account-name>.file.core.windows.net`" /user:`"localhost\<storage-account-name>`""
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\<file-share-name>" -Persist -Scope global
} else {
    Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

È anche possibile usare il net-use comando da un prompt di Windows per montare la condivisione file. Ricordarsi di sostituire <YourStorageAccountName> e <FileShareName> con i propri valori.

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName>

Se si verificano problemi, vedere Impossibile montare condivisioni file di Azure con le credenziali di AD.

Montare la condivisione file da una macchina virtuale non aggiunta a un dominio o da una macchina virtuale aggiunta a un dominio di Active Directory diverso

Se l'origine di Active Directory è locale, le macchine virtuali o le macchine virtuali aggiunte a un dominio diverso da quelle dell'account di archiviazione possono accedere alle condivisioni file di Azure se dispongono di connettività di rete non implementata ai controller di dominio di Active Directory e forniscono credenziali esplicite (nome utente e password). L'utente che accede alla condivisione file deve avere un'identità e credenziali nel dominio DI ACTIVE Directory a cui è stato aggiunto l'account di archiviazione.

Se l'origine ad è Microsoft Entra Domain Services, la macchina virtuale deve avere connettività di rete non implementata ai controller di dominio per Microsoft Entra Domain Services, che si trovano in Azure. Questa operazione richiede in genere la configurazione di una VPN da sito a sito o da punto a sito. L'utente che accede alla condivisione file deve avere un'identità (un'identità di Microsoft Entra sincronizzata da Microsoft Entra ID a Microsoft Entra Domain Services) nel dominio gestito di Microsoft Entra Domain Services.

Per montare una condivisione file da una macchina virtuale non aggiunta a un dominio, usare la notazione username@domainFQDN, dove domainFQDN è il nome di dominio completo. In questo modo il client potrà contattare il controller di dominio per richiedere e ricevere ticket Kerberos. È possibile ottenere il valore di domainFQDN eseguendo (Get-ADDomain).Dnsroot in Active Directory PowerShell.

Ad esempio:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<username@domainFQDN>

Se l'origine DI Active Directory è Microsoft Entra Domain Services, è anche possibile fornire credenziali come DOMAINNAME\username dove DOMAINNAME è il dominio di Microsoft Entra Domain Services e il nome utente è il nome utente dell'identità in Microsoft Entra Domain Services:

net use Z: \\<YourStorageAccountName>.file.core.windows.net\<FileShareName> /user:<DOMAINNAME\username>

Nota

File di Azure non supporta la conversione DAD a UPN per utenti e gruppi da una macchina virtuale non aggiunta a un dominio o una macchina virtuale aggiunta a un dominio diverso tramite Windows Esplora file. Se si desidera visualizzare i proprietari di file/directory o visualizzare/modificare le autorizzazioni NTFS tramite Windows Esplora file, è possibile farlo solo dalle macchine virtuali aggiunte a un dominio.

Montare condivisioni file usando nomi di dominio personalizzati

Se non si desidera montare condivisioni file di Azure usando il suffisso file.core.windows.net, è possibile modificare il suffisso del nome dell'account di archiviazione associato alla condivisione file di Azure e quindi aggiungere un record nome canonico (CNAME) per instradare il nuovo suffisso all'endpoint dell'account di archiviazione. Le istruzioni seguenti sono solo per gli ambienti a foresta singola. Per informazioni su come configurare gli ambienti con due o più foreste, vedere Usare File di Azure con più foreste di Active Directory.

Nota

File di Azure supporta solo la configurazione di CNAMES usando il nome dell'account di archiviazione come prefisso di dominio. Se non si vuole usare il nome dell'account di archiviazione come prefisso, è consigliabile usare i nomi DFS.

In questo esempio è disponibile il dominio di Active Directory onpremad1.com e si dispone di un account di archiviazione denominato mystorageaccount che contiene condivisioni file di Azure SMB. Prima di tutto, è necessario modificare il suffisso SPN dell'account di archiviazione per eseguire il mapping di mystorageaccount.onpremad1.com a mystorageaccount.file.core.windows.net.

In questo modo i client potranno montare la condivisione con net use \\mystorageaccount.onpremad1.com perché i client in onpremad1 sapranno cercare onpremad1.com trovare la risorsa appropriata per tale account di archiviazione.

Per usare questo metodo, completare la procedura seguente:

  1. Assicurarsi di aver configurato l'autenticazione basata sull'identità. Se l'origine di Active Directory è Active Directory Domain Services o Microsoft Entra Kerberos, assicurarsi di aver sincronizzato gli account utente di AD con Microsoft Entra ID.

  2. Modificare il nome SPN dell'account di archiviazione usando lo setspn strumento . È possibile trovare <DomainDnsRoot> eseguendo il comando di PowerShell di Active Directory seguente: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
    
  3. Aggiungere una voce CNAME usando Gestione DNS di Active Directory e seguire la procedura seguente per ogni account di archiviazione nel dominio a cui è aggiunto l'account di archiviazione. Se si usa un endpoint privato, aggiungere la voce CNAME per eseguire il mapping al nome dell'endpoint privato.

    1. Aprire Gestione DNS di Active Directory.
    2. Passare al dominio, ad esempio onpremad1.com.
    3. Passare a "Zone di ricerca diretta".
    4. Selezionare il nodo denominato in base al dominio (ad esempio, onpremad1.com) e fare clic con il pulsante destro del mouse su Nuovo alias (CNAME).
    5. Per il nome dell'alias immettere il nome dell'account di archiviazione.
    6. Per il nome di dominio completo (FQDN), immettere <storage-account-name>.<domain-name>, ad esempio mystorageaccount.onpremad1.com. La parte del nome host del nome di dominio completo deve corrispondere al nome dell'account di archiviazione. In caso contrario, viene visualizzato un errore di accesso negato durante l'installazione della sessione SMB.
    7. Per il nome di dominio completo dell'host di destinazione immettere <storage-account-name>.file.core.windows.net
    8. Seleziona OK.

A questo momento dovrebbe essere possibile montare la condivisione file usando storageaccount.domainname.com. È anche possibile montare la condivisione file usando la chiave dell'account di archiviazione.

Passaggio successivo

Se l'identità creata in Servizi di dominio Active Directory per rappresentare l'account di archiviazione si trova in un dominio o in un'unità organizzativa che impone la rotazione delle password, potrebbe essere necessario aggiornare la password dell'identità dell'account di archiviazione in Active Directory Domain Services.