SMB Azure dosya paylaşımları

Azure Dosyalar, Azure dosya paylaşımını bağlamak için endüstri standardı iki protokol sunar:Sunucu İleti Bloğu (SMB) protokolü ve Ağ Dosya Sistemi (NFS) protokolü. Azure Dosyalar, iş yükünüz için en uygun dosya sistemi protokollerini seçmenizi sağlar. Azure dosya paylaşımları hem SMB hem de NFS protokolleriyle tek bir Azure dosya paylaşımına erişimi desteklemez, ancak aynı depolama hesabı içinde SMB ve NFS dosya paylaşımları oluşturabilirsiniz. tüm dosya paylaşımları için Azure Dosyalar, depolama gereksinimlerinizi karşılayacak şekilde ölçeği artırabilen ve binlerce istemci tarafından eşzamanlı olarak erişilebilen kurumsal düzeyde dosya paylaşımları sunar.

Bu makale, SMB Azure dosya paylaşımlarını kapsar. NFS Azure dosya paylaşımları hakkında bilgi için bkz . NFS Azure dosya paylaşımları.

Genel senaryolar

SMB dosya paylaşımları, veritabanlarını ve uygulamaları destekleyen son kullanıcı dosya paylaşımları ve dosya paylaşımları gibi çeşitli uygulamalar için kullanılır. SMB dosya paylaşımları genellikle aşağıdaki senaryolarda kullanılır:

  • Ekip paylaşımları, ev dizinleri gibi son kullanıcı dosya paylaşımları.
  • Sql Server veritabanları veya Win32 veya .NET yerel dosya sistemi API'leri için yazılmış iş kolu uygulamaları gibi Windows tabanlı uygulamalar için depolamayı yedekleme.
  • Özellikle bu uygulama veya hizmetin rastgele GÇ ve hiyerarşik depolama gereksinimi varsa yeni uygulama ve hizmet geliştirme.

Özellikler

Azure Dosyalar, SMB dosya paylaşımlarının üretim dağıtımları için gereken SMB ve Azure'ın başlıca özelliklerini destekler:

  • AD etki alanına katılma ve isteğe bağlı erişim denetim listeleri (DACL' ler).
  • Azure Backup ile tümleşik sunucusuz yedekleme.
  • Azure özel uç noktalarıyla ağ yalıtımı.
  • Çok Kanallı SMB kullanarak yüksek ağ aktarım hızı (yalnızca premium dosya paylaşımları).
  • AES-256-GCM, AES-128-GCM ve AES-128-CCM dahil olmak üzere SMB kanalı şifrelemesi.
  • VSS tümleşik paylaşım anlık görüntüleri aracılığıyla önceki sürüm desteği.
  • Yanlışlıkla silmeleri önlemek için Azure dosya paylaşımlarında otomatik geçici silme.
  • İsteğe bağlı olarak İnternet'e uygun SMB 3.0+ ile İnternet'e erişilebilir dosya paylaşımları.

SMB dosya paylaşımları doğrudan şirket içinde bağlanabilir veya Azure Dosya Eşitleme ile şirket içinde de önbelleğe alınabilir.

Güvenlik

Azure Dosyalar depolanan tüm veriler, Azure depolama hizmeti şifrelemesi (SSE) kullanılarak bekleme durumunda şifrelenir. Depolama hizmeti şifrelemesi, Windows'ta BitLocker'a benzer şekilde çalışır: veriler dosya sistemi düzeyinin altında şifrelenir. Veriler Azure dosya paylaşımının dosya sisteminin altında şifrelendiğinden, diske kodlandığından, Azure dosya paylaşımını okumak veya dosyaya yazmak için istemcideki temel anahtara erişiminiz olması gerekmez. Bekleyen şifreleme hem SMB hem de NFS protokolleri için geçerlidir.

Varsayılan olarak, tüm Azure depolama hesaplarında aktarımda şifreleme etkindir. Bu, bir dosya paylaşımını SMB üzerinden bağladığınızda (veya FileREST protokolü aracılığıyla eriştiğinde), Azure Dosyalar yalnızca şifreleme veya HTTPS ile SMB 3.x ile yapıldığında bağlantıya izin verileceği anlamına gelir. SMB kanal şifrelemesi ile SMB 3.x'i desteklemeyen istemciler aktarım sırasında şifreleme etkinse Azure dosya paylaşımını bağlayamaz.

Azure Dosyalar, Windows Server 2022 veya Windows 11 ile kullanıldığında SMB 3.1.1 ile AES-256-GCM'i destekler. SMB 3.1.1 ayrıca AES-128-GCM'yi ve SMB 3.0 da AES-128-CCM'yi destekler. AES-128-GCM, performans nedeniyle Windows 10, sürüm 21H1'de varsayılan olarak görüşülür.

Azure depolama hesabı için aktarım sırasında şifrelemeyi devre dışı bırakabilirsiniz. Şifreleme devre dışı bırakıldığında, Azure Dosyalar şifreleme olmadan SMB 2.1 ve SMB 3.x'e de izin verir. Aktarım sırasında şifrelemeyi devre dışı bırakmanın birincil nedeni, Windows Server 2008 R2 veya eski Linux dağıtımı gibi eski bir işletim sisteminde çalıştırılması gereken eski bir uygulamayı desteklemektir. Azure Dosyalar yalnızca Azure dosya paylaşımıyla aynı Azure bölgesinde SMB 2.1 bağlantılarına izin verir; Şirket içi veya farklı bir Azure bölgesi gibi Azure dosya paylaşımının Azure bölgesinin dışındaki bir SMB 2.1 istemcisi dosya paylaşımına erişemez.

SMB protokolü ayarları

Azure Dosyalar, SMB protokolünün davranışını, performansını ve güvenliğini etkileyen birden çok ayar sunar. Bunlar bir depolama hesabı içindeki tüm Azure dosya paylaşımları için yapılandırılır.

SMB Çok Kanal

Çok Kanallı SMB, bir SMB dosya paylaşımına birden fazla ağ bağlantısı kurmak için SMB 3.x istemcisini etkinleştirir. Azure Dosyalar, premium dosya paylaşımlarında (FileStorage depolama hesabı türünde dosya paylaşımları) çok kanallı SMB'yi destekler. Azure Dosyalar'da Çok Kanallı SMB'yi etkinleştirmenin ek bir maliyeti yoktur. Çok Kanallı SMB artık tüm Azure bölgelerinde varsayılan olarak etkindir.

Çok Kanallı SMB'nin durumunu görüntülemek için premium dosya paylaşımlarınızı içeren depolama hesabına gidin ve depolama hesabı içindekiler tablosundaki Veri depolama başlığı altında Dosya paylaşımları'nı seçin. Çok Kanallı SMB'nin durumu Dosya paylaşımı ayarları bölümünde görülebilir.

Çok Kanallı SMB ayarını vurgulayan depolama hesabında ile dosya paylaşımları bölümünün ekran görüntüsü

Çok Kanallı SMB'yi etkinleştirmek veya devre dışı bırakmak için geçerli durumu seçin (duruma bağlı olarak Etkin veya Devre Dışı ). Sonuçta elde edilen iletişim kutusu, Çok Kanallı SMB'yi etkinleştirmek veya devre dışı bırakmak için bir geçiş sağlar. İstediğiniz durumu seçin ve Kaydet'i seçin.

Çok Kanallı SMB özelliğini etkinleştirmek/devre dışı bırakmak için iletişim kutusunun ekran görüntüsü.

Eski işletim sistemlerinde Çok Kanallı SMB'yi etkinleştirme

Azure Dosyalar'da Çok Kanallı SMB desteği, Windows'un tüm ilgili düzeltme eklerinin uygulandığından emin olmayı gerektirir. Windows Server 2016, Windows 10 sürüm 1607 ve Windows 10 sürüm 1507 dahil olmak üzere birkaç eski Windows sürümü, tüm ilgili Çok Kanallı SMB düzeltmelerinin tam olarak düzeltme eki uygulanmış yüklemelerde uygulanması için ek kayıt defteri anahtarlarının ayarlanmasını gerektirir. Windows'un bu üç sürümden daha yeni bir sürümünü çalıştırıyorsanız ek bir işlem yapmanız gerekmez.

Windows Server 2016 ve Windows 10 sürüm 1607

Windows Server 2016 ve Windows 10 sürüm 1607 için tüm Çok Kanallı SMB düzeltmelerini etkinleştirmek için aşağıdaki PowerShell komutunu çalıştırın:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 sürüm 1507

Windows 10 sürüm 1507 için tüm Çok Kanallı SMB düzeltmelerini etkinleştirmek için aşağıdaki PowerShell komutunu çalıştırın:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

SMB güvenlik ayarları

Azure Dosyalar, kuruluşunuzun gereksinimlerine bağlı olarak SMB protokolünü daha uyumlu veya daha güvenli olacak şekilde değiştirmenizi sağlayan ayarları kullanıma sunar. Varsayılan olarak, Azure Dosyalar en yüksek düzeyde uyumlu olacak şekilde yapılandırıldığından, bu ayarları kısıtlamanın bazı istemcilerin bağlanamamasına neden olabileceğini unutmayın.

Azure Dosyalar aşağıdaki ayarları kullanıma sunar:

  • SMB sürümleri: Hangi SMB sürümlerine izin verilir. Desteklenen protokol sürümleri SMB 3.1.1, SMB 3.0 ve SMB 2.1'dir. Varsayılan olarak, tüm SMB sürümlerine izin verilir, ancak "güvenli aktarım gerektir" etkinse SMB 2.1'e izin verilmez, çünkü SMB 2.1 aktarım sırasında şifrelemeyi desteklemez.
  • Kimlik doğrulama yöntemleri: Hangi SMB kimlik doğrulama yöntemlerine izin verilir. Desteklenen kimlik doğrulama yöntemleri NTLMv2 (yalnızca depolama hesabı anahtarı) ve Kerberos'tır. Varsayılan olarak, tüm kimlik doğrulama yöntemlerine izin verilir. NTLMv2'nin kaldırılması, Azure dosya paylaşımını bağlamak için depolama hesabı anahtarının kullanılmasına izin vermemektedir. Azure Dosyalar, etki alanı kimlik bilgileri için NTLM kimlik doğrulamasının kullanılmasını desteklemez.
  • Kerberos anahtar şifrelemesi: Hangi şifreleme algoritmalarına izin verilir. Desteklenen şifreleme algoritmaları AES-256 (önerilir) ve RC4-HMAC'tir.
  • SMB kanalı şifrelemesi: Hangi SMB kanalı şifreleme algoritmalarına izin verilir. Desteklenen şifreleme algoritmaları AES-256-GCM, AES-128-GCM ve AES-128-CCM'dir. Yalnızca AES-256-GCM'yi seçerseniz, her istemcide yönetici olarak bir PowerShell terminali açıp komutunu çalıştırarak Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$falsebağlanan istemcilere bunu kullanmasını söylemeniz gerekir. AES-256-GCM kullanımı, Windows 11/Windows Server 2022'den eski Windows istemcilerinde desteklenmez.

Azure portalı, PowerShell veya CLI kullanarak SMB güvenlik ayarlarını görüntüleyebilir ve değiştirebilirsiniz. SMB güvenlik ayarlarını alma ve ayarlama adımlarını görmek için istediğiniz sekmeyi seçin. Bir SMB oturumu oluşturulduğunda bu ayarların denetlendiğini ve karşılanmazsa SMB oturumu kurulumunun "STATUS_ACCESS_DENIED" hatasıyla başarısız olduğunu unutmayın.

Azure portalını kullanarak SMB güvenlik ayarlarını görüntülemek veya değiştirmek için şu adımları izleyin:

  1. Depolama hesaplarını arayın ve güvenlik ayarlarını görüntülemek istediğiniz depolama hesabını seçin.

  2. Veri depolama>Dosya paylaşımları'nı seçin.

  3. Dosya paylaşımı ayarları'nın altında Güvenlik ile ilişkili değeri seçin. Güvenlik ayarlarını değiştirmediyseniz, bu değer varsayılan olarak En yüksek uyumluluk olur.

    SMB güvenlik ayarlarının değiştirileceği yeri gösteren ekran görüntüsü.

  4. Profil'in altında En fazla uyumluluk, Maksimum güvenlik veya Özel'i seçin. Özel'i seçtiğinizde SMB protokolü sürümleri, SMB kanalı şifrelemesi, kimlik doğrulama mekanizmaları ve Kerberos anahtar şifrelemesi için özel bir profil oluşturabilirsiniz.

    SMB protokolü sürümleri, SMB kanalı şifrelemesi, kimlik doğrulama mekanizmaları ve Kerberos anahtar şifrelemesi için SMB güvenlik ayarlarını değiştirmeye yönelik iletişim kutusunu gösteren ekran görüntüsü.

İstediğiniz güvenlik ayarlarını girdikten sonra Kaydet'i seçin.

Sınırlamalar

Azure Dosyalar'deki SMB dosya paylaşımları, SMB protokolü ve NTFS dosya sistemi tarafından desteklenen özelliklerin bir alt kümesini destekler. Çoğu kullanım örneği ve uygulama bu özellikleri gerektirmese de, bazı uygulamalar desteklenmeyen özelliklere bağlıysa Azure Dosyalar ile düzgün çalışmayabilir. Aşağıdaki özellikler desteklenmez:

Bölgesel kullanılabilirlik

SMB Azure dosya paylaşımları, tüm genel ve bağımsız bölgeler dahil olmak üzere her Azure bölgesinde kullanılabilir. Premium SMB dosya paylaşımları bölgelerin bir alt kümesinde kullanılabilir.

Sonraki adımlar