kimlik tabanlı kimlik doğrulaması ve yetkilendirme sorunlarını (SMB) Azure Dosyalar giderme
Bu makalede, kimlik tabanlı kimlik doğrulaması ile SMB Azure dosya paylaşımları kullanılırken karşılaşılan yaygın sorunlar listelenir. Ayrıca bu sorunların olası nedenleri ve çözümleri de sağlanır. Kimlik tabanlı kimlik doğrulaması şu anda NFS Azure dosya paylaşımları için desteklenmemaktadır.
Şunlara uygulanır
Dosya paylaşımı türü | SMB | NFS |
---|---|---|
Standart dosya paylaşımları (GPv2), LRS/ZRS | ||
Standart dosya paylaşımları (GPv2), GRS/GZRS | ||
Premium dosya paylaşımları (filestorage), LRS/ZRS |
AzFilesHybrid modülünü çalıştırırken hata oluştu
AzFilesHybrid modülünü çalıştırmayı denediğinizde aşağıdaki hatayı alabilirsiniz:
Gerekli bir ayrıcalık istemci tarafından tutulmaz.
Neden: AD izinleri yetersiz
Modülü çalıştırmak için gerekli Active Directory (AD) izinlerine sahip olmadığınız için bu sorun oluşur.
Çözüm
Gerekli ayrıcalıkları sağlamak için AD ayrıcalıklarına bakın veya AD yöneticinize başvurun.
Azure dosya paylaşımını bağlarken hata 5
Bir dosya paylaşımını bağlamaya çalıştığınızda aşağıdaki hatayı alabilirsiniz:
Sistem hatası 5 oluştu. Erişim reddedildi.
Neden: Paylaşım düzeyi izinleri yanlış
Son kullanıcılar Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Domain Services kimlik doğrulamasını kullanarak Azure dosya paylaşımına erişiyorsa, paylaşım düzeyi izinler yanlışsa dosya paylaşımına erişim "Erişim reddedildi" hatasıyla başarısız olur.
Not
Bu hata, yanlış paylaşım düzeyi izinleri dışındaki sorunlardan kaynaklanıyor olabilir. Diğer olası nedenler ve çözümler hakkında bilgi için bkz. Azure Dosyalar bağlantı ve erişim sorunlarını giderme.
Çözüm
İzinlerin doğru yapılandırıldığını doğrulayın:
Active Directory Etki Alanı Hizmetleri (AD DS) bkz. Paylaşım düzeyi izinleri atama.
Paylaşım düzeyi izin atamaları, Microsoft Entra Connect Sync veya Microsoft Entra Connect bulut eşitlemesi kullanılarak AD DS'den Microsoft Entra Id'ye eşitlenen gruplar ve kullanıcılar için desteklenir. Paylaşım düzeyi izinlerine atanan grupların ve kullanıcıların desteklenmeyen "yalnızca bulut" grupları olmadığını onaylayın.
Microsoft Entra Etki Alanı Hizmetleri Paylaşım düzeyinde izinler atama bölümüne bakın.
Azure Dosyalar için Microsoft Entra Etki Alanı Hizmetleri kimlik doğrulamasını etkinleştirirken "Microsoft Entra kiracı kimliğine sahip etkin kiracılar bulunamıyor" hatası
Neden
Microsoft Entra Domain Services'ın ilişkili aboneliğin Microsoft Entra kiracısı üzerinde oluşturulmadığı bir depolama hesabında Azure Dosyalar için Microsoft Entra Domain Services kimlik doğrulamasını etkinleştirmeye çalıştığınızda AadDsTenantNotFound hatası oluşur.
Çözüm
Depolama hesabınızın dağıtıldığı aboneliğin Microsoft Entra kiracısı üzerinde Microsoft Entra Etki Alanı Hizmetleri'ni etkinleştirin. Bir yönetilen etki alanı oluşturmak için Microsoft Entra kiracısının yönetici ayrıcalıklarına sahip olmanız gerekir. Microsoft Entra kiracısının yöneticisi değilseniz, yöneticiye başvurun ve Microsoft Entra Domain Services tarafından yönetilen etki alanı oluşturmak ve yapılandırmak için adım adım yönergeleri izleyin.
Azure dosya paylaşımları AD kimlik bilgileriyle bağlanamıyor
Kendi kendine tanılama adımları
İlk olarak, AD DS Kimlik Doğrulamasını Azure Dosyalar etkinleştirme adımlarını izlediğinize emin olun.
Ardından Azure dosya paylaşımını depolama hesabı anahtarıyla bağlamayı deneyin. Paylaşım bağlanamıyorsa istemcinin çalıştığı ortamı doğrulamanıza yardımcı olması için AzFileDiagnostics dosyasını indirin. AzFileDiagnostics, Azure Dosyalar için erişim hatasına neden olabilecek uyumsuz istemci yapılandırmalarını algılayabilir, kendi kendine düzeltme hakkında açıklayıcı yönergeler verebilir ve tanılama izlemelerini toplayabilir.
Üçüncüsü, oturum açmış AD kullanıcısıyla Debug-AzStorageAccountAuth
AD yapılandırmanızda bir dizi temel denetim gerçekleştirmek için cmdlet'ini çalıştırabilirsiniz. Bu cmdlet, AzFilesHybrid v0.1.2+ sürümünde desteklenir. Bu cmdlet'i hedef depolama hesabında sahip izinlerine sahip bir AD kullanıcısıyla çalıştırmanız gerekir.
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Debug-AzStorageAccountAuth `
-StorageAccountName $StorageAccountName `
-ResourceGroupName $ResourceGroupName `
-Verbose
Cmdlet bu denetimleri sırayla gerçekleştirir ve hatalar için rehberlik sağlar:
CheckADObjectPasswordIsCorrect
: Depolama hesabını temsil eden AD kimliğinde yapılandırılan parolanın, depolama hesabı kerb1 veya kerb2 anahtarıyla eşlendiğinden emin olun. Parola yanlışsa, parolayı sıfırlamak için Update-AzStorageAccountADObjectPassword komutunu çalıştırabilirsiniz.CheckADObject
: Active Directory'de depolama hesabını temsil eden ve doğru SPN'ye (hizmet asıl adı) sahip bir nesne olduğunu onaylayın. SPN doğru ayarlanmamışsa SPN'yi yapılandırmak için hata ayıklama cmdlet'inde döndürülenSet-AD
cmdlet'ini çalıştırın.CheckDomainJoined
: İstemci makinesinin AD'ye etki alanına katıldığını doğrulayın. Makineniz AD'ye katılmamışsa etki alanına katılma yönergeleri için Bir Bilgisayarı Etki Alanına Ekleme bölümüne bakın.CheckPort445Connectivity
: 445 numaralı bağlantı noktasının SMB bağlantısı için açılıp açılmadiğini denetleyin. Bağlantı noktası 445 açık değilse, Azure Dosyalar ile ilgili bağlantı sorunları için AzFileDiagnostics sorun giderme aracına bakın.CheckSidHasAadUser
: Oturum açan AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini denetleyin. Belirli bir AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini aramak istiyorsanız giriş parametrelerinde ve-Domain
değerini belirtebilirsiniz-UserName
. Belirli bir SID için ilişkili bir Microsoft Entra kullanıcısı olup olmadığını denetler.CheckAadUserHasSid
: Oturum açan AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini denetleyin. Belirli bir AD kullanıcısının Microsoft Entra Id ile eşitlenip eşitlenmediğini aramak istiyorsanız giriş parametrelerinde ve-Domain
değerini belirtebilirsiniz-UserName
. Belirli bir Microsoft Entra kullanıcısı için SID'sini denetler. Bu denetimi çalıştırmak için, Microsoft Entra kullanıcısının-ObjectId
nesne kimliğiyle birlikte parametresini sağlamanız gerekir.CheckGetKerberosTicket
: Depolama hesabına bağlanmak için bir Kerberos bileti almayı deneme. Geçerli bir Kerberos belirteci yoksa, cmdlet'iniklist get cifs/storage-account-name.file.core.windows.net
çalıştırın ve hata kodunu inceleyerek anahtar alma hatasının nedenini belirleyin.CheckStorageAccountDomainJoined
: AD kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini ve hesabın AD özelliklerinin doldurulup doldurulmadığını denetleyin. Aksi takdirde, Azure Dosyalar'de AD DS kimlik doğrulamasını etkinleştirin.CheckUserRbacAssignment
: AD kimliğinin, Azure Dosyalar erişmek için paylaşım düzeyinde izinler sağlamak için uygun RBAC rol atamasına sahip olup olmadığını denetleyin. Aksi takdirde, paylaşım düzeyi iznini yapılandırın. (AzFilesHybrid v0.2.3+ sürümünde desteklenir)CheckUserFileAccess
: AD kimliğinin Azure Dosyalar erişmek için uygun dizin/dosya iznine (Windows ACL' ler) sahip olup olmadığını denetleyin. Aksi takdirde dizin /dosya düzeyi iznini yapılandırın. Bu denetimi çalıştırmak için, erişim hatalarını ayıklamak-FilePath
istediğiniz bağlı dosyanın yolunun yanı sıra parametresini sağlamanız gerekir. (AzFilesHybrid v0.2.3+ sürümünde desteklenir)CheckAadKerberosRegistryKeyIsOff
: Microsoft Entra Kerberos kayıt defteri anahtarının kapalı olup olmadığını denetleyin. Anahtar açıksa, yükseltilmiş bir komut isteminden çalıştırarakreg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 0
kapatın ve makinenizi yeniden başlatın. (AzFilesHybrid v0.2.9+ sürümünde desteklenir)
Yalnızca önceki denetimlerin bir alt bölümü çalıştırmak istiyorsanız, çalıştırılacak denetimlerin -Filter
virgülle ayrılmış listesiyle birlikte parametresini kullanabilirsiniz. Örneğin, paylaşım düzeyi izinlerle (RBAC) ilgili tüm denetimleri çalıştırmak için aşağıdaki PowerShell cmdlet'lerini kullanın:
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Debug-AzStorageAccountAuth `
-Filter CheckSidHasAadUser,CheckUserRbacAssignment `
-StorageAccountName $StorageAccountName `
-ResourceGroupName $ResourceGroupName `
-Verbose
dosya paylaşımına X:
bağlıysanız ve yalnızca dosya düzeyi izinlerle (Windows ACL'leri) ilgili denetimi çalıştırmak istiyorsanız, aşağıdaki PowerShell cmdlet'lerini çalıştırabilirsiniz:
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
$FilePath = "X:\example.txt"
Debug-AzStorageAccountAuth `
-Filter CheckUserFileAccess `
-StorageAccountName $StorageAccountName `
-ResourceGroupName $ResourceGroupName `
-FilePath $FilePath `
-Verbose
Microsoft Entra Kerberos ile Azure dosya paylaşımları bağlanamıyor
Kendi kendine tanılama adımları
İlk olarak, Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirme adımlarını izlediğinize emin olun.
İkincisi, bir dizi temel denetim gerçekleştirmek için cmdlet'ini çalıştırabilirsiniz Debug-AzStorageAccountAuth
. Bu cmdlet, AzFilesHybrid v0.3.0+ sürümünde Microsoft Entra Kerberos kimlik doğrulaması için yapılandırılmış depolama hesapları için desteklenir.
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose
Cmdlet bu denetimleri sırayla gerçekleştirir ve hatalar için rehberlik sağlar:
CheckPort445Connectivity
: 445 numaralı bağlantı noktasının SMB bağlantısı için açılıp açılmadiğini denetleyin. Bağlantı noktası 445 açık değilse, Azure Dosyalar ile ilgili bağlantı sorunları için AzFileDiagnostics sorun giderme aracını kullanın.CheckAADConnectivity
: Entra bağlantısı olup olmadığını denetleyin. İstemci Entra'ya ulaşamazsa Kerberos kimlik doğrulamasına sahip SMB bağlamaları başarısız olabilir. Bu denetim başarısız olursa bir ağ hatası (güvenlik duvarı veya VPN sorunu olabilir) olduğunu gösterir.CheckEntraObject
: Entra'da depolama hesabını temsil eden ve doğru hizmet asıl adına (SPN) sahip bir nesne olduğunu onaylayın. SPN doğru ayarlanmamışsa depolama hesabında Entra Kerberos kimlik doğrulamasını devre dışı bırakın ve yeniden etkinleştirin.CheckRegKey
: Kayıt defteri anahtarınınCloudKerberosTicketRetrieval
etkinleştirilip etkinleştirilmediğini denetleyin. Bu kayıt defteri anahtarı Entra Kerberos kimlik doğrulaması için gereklidir.CheckRealmMap
: Kullanıcının hesabı yerineKERBEROS.MICROSOFTONLINE.COM
başka bir Kerberos bölgesiyle birleştirecek herhangi bir bölge eşlemesi yapılandırıp yapılandırmadığını denetleyin.CheckAdminConsent
: Kerberos bileti almak için gereken Microsoft Graph izinleri için Entra hizmet sorumlusuna yönetici onayı verilip verilmediğini denetleyin.CheckWinHttpAutoProxySvc
: Microsoft Entra Kerberos kimlik doğrulaması için gereken WinHTTP Web Proxy Otomatik Bulma Hizmeti'ni (WinHttpAutoProxySvc) denetler. Durumu olarakRunning
ayarlanmalıdır.CheckIpHlpScv
: Microsoft Entra Kerberos kimlik doğrulaması için gereken IP Yardımcısı hizmetini (iphlpsvc) denetler. Durumu olarakRunning
ayarlanmalıdır.
Yalnızca önceki denetimlerin bir alt bölümü çalıştırmak istiyorsanız, çalıştırılacak denetimlerin -Filter
virgülle ayrılmış listesiyle birlikte parametresini kullanabilirsiniz.
Windows Dosya Gezgini ile dizin/dosya düzeyinde izinler (Windows ACL'leri) yapılandırılamıyor
Belirti
Bağlı bir dosya paylaşımında windows ACL'lerini Dosya Gezgini ile yapılandırmaya çalışırken aşağıda açıklanan belirtilerden biriyle karşılaşabilirsiniz:
- Güvenlik sekmesinin altında İzni düzenle'ye tıkladıktan sonra İzin sihirbazı yüklenmez.
- Yeni bir kullanıcı veya grup seçmeye çalıştığınızda, etki alanı konumu doğru AD DS etki alanının görüntülenmemesi.
- Birden çok AD ormanı kullanıyorsunuz ve şu hata mesajını alıyorsunuz: "Aşağıdaki etki alanlarında seçili nesneleri bulmak için gereken Active Directory etki alanı denetleyicileri kullanılamıyor. Active Directory etki alanı denetleyicilerinin kullanılabilir olduğundan emin olun ve nesneleri yeniden seçmeyi deneyin."
Çözüm
Windows Dosya Gezgini kullanmak yerine icacl'leri kullanarak dizin/dosya düzeyi izinlerini yapılandırmanızı öneririz.
Join-AzStorageAccountForAuth cmdlet'ini çalıştırırken oluşan hatalar
Hata: “Dizin hizmeti göreli bir tanımlayıcı ayıramıyor”
İşlemlerin RID Yöneticisi FSMO rolünü barındıran etki alanı denetleyicisi kullanılamıyorsa veya etki alanında kaldırıldıysa ve yedekten geri yüklendiyse bu hata oluşabilir. Tüm Etki Alanı Denetleyicilerinin çalıştığını ve kullanılabilir olduğunu onaylayın.
Hata: "Hiçbir ad verilmediğinden konum parametreleri bağlanamıyor"
Bu hata büyük olasılıkla komuttaki bir söz dizimi hatasıyla Join-AzStorageAccountforAuth
tetikleniyor. Yazım hataları veya söz dizimi hataları için komutunu denetleyin ve AzFilesHybrid modülünün (https://github.com/Azure-Samples/azure-files-samples/releases) en son sürümünün yüklü olduğunu doğrulayın.
AES-256 Kerberos şifrelemesi için şirket içi AD DS Kimlik Doğrulaması desteği Azure Dosyalar
Azure Dosyalar, AzFilesHybrid modülü v0.2.2 ile başlayarak AD DS kimlik doğrulaması için AES-256 Kerberos şifrelemesini destekler. AES-256 önerilen şifreleme yöntemidir ve AzFilesHybrid modülü v0.2.5'te başlayan varsayılan şifreleme yöntemidir. AD DS kimlik doğrulamasını v0.2.2'den düşük bir modül sürümüyle etkinleştirdiyseniz en son AzFilesHybrid modülünü indirmeniz ve aşağıdaki PowerShell'i çalıştırmanız gerekir. Depolama hesabınızda AD DS kimlik doğrulamayı henüz etkinleştirmediyseniz bu kılavuzu izleyin.
Önemli
Daha önce RC4 şifrelemesi kullandıysanız ve depolama hesabını AES-256 kullanacak şekilde güncelleştirdiyseniz, istemcide çalıştırıp klist purge
AES-256 ile yeni Kerberos biletleri almak için dosya paylaşımını yeniden bağlamanız gerekir.
$ResourceGroupName = "<resource-group-name-here>"
$StorageAccountName = "<storage-account-name-here>"
Update-AzStorageAccountAuthForAES256 -ResourceGroupName $ResourceGroupName -StorageAccountName $StorageAccountName
Güncelleştirmenin bir parçası olarak cmdlet, AES-256'ya geçmek için gereken Kerberos anahtarlarını döndürür. Her iki parolayı da yeniden oluşturmak istemediğiniz sürece geri döndürmeniz gerekmez.
Daha önce Sahip veya Katkıda Bulunan rol atamasının sahibi olan kullanıcı kimliği hala depolama hesabı anahtarı erişimine sahip
Depolama hesabı Sahibi ve Katkıda Bulunan rolleri, depolama hesabı anahtarlarını listeleme olanağı verir. Depolama hesabı anahtarı, dosya paylaşımları, blob kapsayıcıları, tablolar ve kuyruklar dahil olmak üzere depolama hesabının verilerine tam erişim sağlar ve FileREST API'si aracılığıyla kullanıma sunulan eski yönetim API'leri aracılığıyla Azure Dosyalar yönetim işlemlerine sınırlı erişim sağlar. Rol atamalarını değiştiriyorsanız, Sahip veya Katkıda Bulunan rollerinden kaldırılan kullanıcıların kayıtlı depolama hesabı anahtarları aracılığıyla depolama hesabına erişimi sürdürmeye devam edebilir.
1\. Çözüm
Depolama hesabı anahtarlarını döndürerek bu sorunu kolayca çözebilirsiniz. Anahtarları teker teker döndürmenizi, döndürüldükçe bir anahtardan diğerine geçmenizi öneririz. Depolama hesabının sağladığı iki tür paylaşılan anahtar vardır: depolama hesabının verilerine süper yönetici erişimi sağlayan depolama hesabı anahtarları ve depolama hesabı ile Windows Server Active Directory senaryoları için Windows Server Active Directory etki alanı denetleyicisi arasında paylaşılan bir gizli dizi olarak işlev gösteren Kerberos anahtarları.
Depolama hesabının Kerberos anahtarlarını döndürmek için bkz . AD DS'de depolama hesabı kimliğinizin parolasını güncelleştirme.
Azure portalında istediğiniz depolama hesabına gidin. İstenen depolama hesabının içindekiler tablosunda Güvenlik + ağ başlığı altında Erişim anahtarları'nı seçin. Erişim tuşu bölmesinde, istediğiniz anahtarın üzerindeki Anahtarı döndür'ü seçin.
Yeni oluşturulan bir uygulamada API izinlerini ayarlama
Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirdikten sonra, yapılandırmanızı tamamlamak için Microsoft Entra kiracınızda kayıtlı yeni Microsoft Entra uygulamasına açıkça yönetici onayı vermeniz gerekir. Aşağıdaki adımları izleyerek Azure portalından API izinlerini yapılandırabilirsiniz.
- Microsoft Entra ID'yi açın.
- Sol bölmedeki Uygulama kayıtları seçin.
- Sağ bölmede Tüm Uygulamalar'ı seçin.
- [Storage Account] $storageAccountName.file.core.windows.net adlı uygulamayı seçin.
- Sol bölmede API izinleri'ni seçin.
- Sayfanın alt kısmındaki İzin ekle'yi seçin.
- "DirectoryName" için yönetici onayı ver'i seçin.
Karma kullanıcılar için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken olası hatalar
Karma kullanıcı hesapları için Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken aşağıdaki hatalarla karşılaşabilirsiniz.
Hata - Yönetici onayı verme devre dışı bırakıldı
Bazı durumlarda, Microsoft Entra yöneticisi Microsoft Entra uygulamalarına yönetici onayı verme özelliğini devre dışı bırakabilir. Bunun Azure portalında nasıl görünebileceğinin ekran görüntüsü aşağıdadır.
Böyle bir durumda, Microsoft Entra yöneticinizden yeni Microsoft Entra uygulamasına yönetici onayı vermesini isteyin. Yöneticilerinizi bulmak ve görüntülemek için roller ve yöneticiler'i ve ardından Bulut uygulaması yöneticisi'ni seçin.
Hata - "Azure AD Graph isteği BadRequest koduyla başarısız oldu"
Neden 1: Uygulama yönetimi ilkesi kimlik bilgilerinin oluşturulmasını engelliyor
Microsoft Entra Kerberos kimlik doğrulamasını etkinleştirirken aşağıdaki koşullar karşılanırsa bu hatayla karşılaşabilirsiniz:
- Uygulama yönetimi ilkelerinin beta/önizleme özelliğini kullanıyorsunuz.
- Siz (veya yöneticiniz) kiracı genelinde şu ilkeyi ayarladınız:
- Başlangıç tarihi yok veya 1 Ocak 2019'un öncesinde bir başlangıç tarihi var.
- Özel parolalara izin vermeyen veya 365,5 günden daha az parola ömrü ayarlayan hizmet sorumlusu parolalarına yönelik bir kısıtlama ayarlar.
Şu anda bu hata için geçici bir çözüm yoktur.
Neden 2: Depolama hesabı için bir uygulama zaten var
Microsoft Entra Kerberos kimlik doğrulamayı el ile sınırlı önizleme adımlarıyla etkinleştirdiyseniz de bu hatayla karşılaşabilirsiniz. Mevcut uygulamayı silmek için müşteri veya BT yöneticisi aşağıdaki betiği çalıştırabilir. Bu betiği çalıştırmak, el ile oluşturulan eski uygulamayı kaldırır ve yeni deneyimin yeni oluşturulan uygulamayı otomatik olarak oluşturmasına ve yönetmesine olanak sağlar. Microsoft Graph bağlantısını başlatdıktan sonra cihazınızdaKi Microsoft Graph Komut Satırı Araçları uygulamasında oturum açın ve uygulamaya izin verin.
$storageAccount = "exampleStorageAccountName"
$tenantId = "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"
Install-Module Microsoft.Graph
Import-Module Microsoft.Graph
Connect-MgGraph -TenantId $tenantId -Scopes "User.Read","Application.Read.All"
$application = Get-MgApplication -Filter "DisplayName eq '${storageAccount}'"
if ($null -ne $application) {
Remove-MgApplication -ObjectId $application.ObjectId
}
Hata - Microsoft Entra Id'de hizmet sorumlusu parolasının süresi doldu
El ile sınırlı önizleme adımları aracılığıyla Microsoft Entra Kerberos kimlik doğrulamasını daha önce etkinleştirdiyseniz, depolama hesabının hizmet sorumlusunun parolasının süresi altı ayda bir dolacak şekilde ayarlanır. Parolanın süresi dolduktan sonra kullanıcılar dosya paylaşımına Kerberos biletleri alamaz.
Bunu azaltmak için iki seçeneğiniz vardır: Microsoft Entra'da hizmet sorumlusu parolasını altı ayda bir döndürün veya Microsoft Entra Kerberos'u devre dışı bırakmak, mevcut uygulamayı silmek ve Microsoft Entra Kerberos'u yeniden yapılandırmak için bu adımları izleyin.
Microsoft Entra Kerberos'u devre dışı bırakmadan önce etki alanı özelliklerini (domainName ve domainGUID) kaydettiğinizden emin olun; çünkü Windows Dosya Gezgini kullanarak dizin ve dosya düzeyi izinlerini yapılandırmak istiyorsanız yeniden yapılandırma sırasında bunlara ihtiyacınız olacaktır. Etki alanı özelliklerini kaydetmediyseniz, geçici çözüm olarak icacl'leri kullanarak dizin/dosya düzeyinde izinleri yapılandırmaya devam edebilirsiniz.
- Microsoft Entra Kerberos'u devre dışı bırakma
- Mevcut uygulamayı silme
- Azure portalı aracılığıyla Microsoft Entra Kerberos'u yeniden yapılandırma
Microsoft Entra Kerberos'u yeniden yapılandırdıktan sonra yeni deneyim, yeni oluşturulan uygulamayı otomatik olarak oluşturur ve yönetir.
Hata 1326 - Özel bağlantı kullanılırken kullanıcı adı veya parola yanlış
Microsoft Entra Kerberos kimlik doğrulamasını kullanarak özel bir uç nokta/özel bağlantı üzerinden depolama hesabına bağlanıyorsanız, veya başka bir yöntemle net use
dosya paylaşımını bağlamaya çalışırken istemciden kimlik bilgileri istenir. Kullanıcı büyük olasılıkla kimlik bilgilerini yazar, ancak kimlik bilgileri reddedilir.
Neden
Bunun nedeni, SMB istemcisinin Kerberos kullanmayı denemesine rağmen başarısız olmasıdır; bu nedenle NTLM kimlik doğrulaması kullanmaya geri döner ve Azure Dosyalar etki alanı kimlik bilgileri için NTLM kimlik doğrulamasını desteklemez. Özel bağlantı FQDN'i mevcut Microsoft Entra uygulamasına kaydedilmediğinden istemci depolama hesabına Kerberos bileti alamıyor.
Çözüm
Çözüm, dosya paylaşımını bağlamadan önce privateLink FQDN'sini depolama hesabının Microsoft Entra uygulamasına eklemektir. Aşağıdaki adımları izleyerek Azure portalını kullanarak gerekli identifierUri'leri uygulama nesnesine ekleyebilirsiniz.
Microsoft Entra ID'yi açın.
Sol bölmedeki Uygulama kayıtları seçin.
Tüm Uygulamalar'ı seçin.
[Storage Account] $storageAccountName.file.core.windows.net adlı uygulamayı seçin.
Sol bölmede Bildirim'i seçin.
Var olan içeriği kopyalayıp yapıştırarak yinelenen bir kopyaya sahip olmanız gerekir.
JSON bildirimini düzenleyin. Her
<storageAccount>.file.core.windows.net
giriş için karşılık gelen<storageAccount>.privatelink.file.core.windows.net
bir girdi ekleyin. Örneğin, bildiriminiz içinidentifierUris
aşağıdaki değere sahipse:"identifierUris": [ "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net", "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net", "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net", "HOST/<storageaccount>.file.core.windows.net", "CIFS/<storageaccount>.file.core.windows.net", "HTTP/<storageaccount>.file.core.windows.net" ],
Ardından alanı aşağıdaki şekilde
identifierUris
düzenlemeniz gerekir:"identifierUris": [ "api://<tenantId>/HOST/<storageaccount>.file.core.windows.net", "api://<tenantId>/CIFS/<storageaccount>.file.core.windows.net", "api://<tenantId>/HTTP/<storageaccount>.file.core.windows.net", "HOST/<storageaccount>.file.core.windows.net", "CIFS/<storageaccount>.file.core.windows.net", "HTTP/<storageaccount>.file.core.windows.net", "api://<tenantId>/HOST/<storageaccount>.privatelink.file.core.windows.net", "api://<tenantId>/CIFS/<storageaccount>.privatelink.file.core.windows.net", "api://<tenantId>/HTTP/<storageaccount>.privatelink.file.core.windows.net", "HOST/<storageaccount>.privatelink.file.core.windows.net", "CIFS/<storageaccount>.privatelink.file.core.windows.net", "HTTP/<storageaccount>.privatelink.file.core.windows.net" ],
İçeriği gözden geçirin ve kaydet'i seçerek uygulama nesnesini yeni identifierUris ile güncelleştirin.
Tüm iç DNS başvurularını özel bağlantıya işaret eden şekilde güncelleştirin.
Paylaşımı bağlamayı yeniden deneyin.
Hata AADSTS50105
İstek aşağıdaki hata AADSTS50105 kesildi:
Yöneticiniz, özellikle uygulamaya erişim izni verilmediği (atanan) kullanıcıları engellemek için "Kurumsal uygulama adı" uygulamasını yapılandırdı. Oturum açan '{EmailHidden}' kullanıcısı erişimi olan bir grubun doğrudan üyesi olmadığından veya yönetici tarafından doğrudan atanmış erişime sahip olmadığından engellendi. Bu uygulamaya erişim atamak için lütfen yöneticinize başvurun.
Neden
İlgili kurumsal uygulama için "atama gerekli" ayarlarsanız Kerberos bileti alamazsınız ve kullanıcılar veya gruplar uygulamaya atanmış olsa bile Microsoft Entra oturum açma günlükleri bir hata gösterir.
Çözüm
İstek sahibine geri döndürülen Kerberos anahtarındaki yetkilendirmeleri doldurmadığımız için depolama hesabı için Microsoft Entra uygulaması için atama gerekli'yi seçmeyin. Daha fazla bilgi için bkz . Hata AADSTS50105 - Oturum açmış kullanıcı uygulama için bir role atanmadı.
Ayrıca bkz.
- Azure Dosyalarının Sorunlarını Giderme
- Azure Dosyalar performansı sorunlarını giderme
- Azure Dosyalar bağlantı (SMB) sorunlarını giderme
- Linux'ta Azure Dosyalar genel SMB sorunlarını giderme
- Linux'ta Azure Dosyalar genel NFS sorunlarını giderme
- Azure Dosya Eşitleme sorunlarını giderme
Yardım için bizimle iletişim kurun
Sorularınız varsa veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteğine sorun. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.