SMB-Azure Dateifreigaben

Gilt für: ✔️ SMB-Dateifreigaben

Azure Files bietet Dateifreigaben auf Unternehmensniveau, die auf Ihre Speicheranforderungen skaliert werden können und gleichzeitig von Tausenden von Clients aufgerufen werden können. Azure Files bietet zwei branchenübliche Standardprotokolle zum Einbinden von Azure-Dateifreigaben: das Server Message Block (SMB)-Protokoll und das Network File System (NFS)-Protokoll. Wählen Sie das Protokoll aus, das am besten zu Ihrer Workload passt. Azure Files unterstützt nicht den Zugriff auf eine einzelne Azure Dateifreigabe mit den SMB- und NFS-Protokollen, obwohl Sie klassische SMB- und NFS-Dateifreigaben innerhalb desselben Speicherkontos erstellen können.

In diesem Artikel werden die SMB-Azure-Dateifreigaben behandelt. Informationen zu NFS Azure Dateifreigaben finden Sie unter NFS Azure Dateifreigaben.

Häufige Szenarios

Verwenden Sie SMB-Dateifreigaben für viele Anwendungen, einschließlich Endbenutzerdateifreigaben und Dateifreigaben, die Datenbanken und Anwendungen sichern. Verwenden Sie SMB-Dateifreigaben in den folgenden Szenarien:

Endbenutzerdateifreigaben wie Teamfreigaben und Heimverzeichnisse
Sichern des Speichers für Windows-basierte Anwendungen, z. B. SQL Server Datenbanken oder Branchenanwendungen
Neue Anwendungs- und Dienstentwicklung, insbesondere, wenn Sie zufälligen E/A- und hierarchischen Speicher benötigen

Funktionen

Azure Files unterstützt die wichtigsten Features von SMB und Azure, die für Produktionsbereitstellungen von SMB-Dateifreigaben erforderlich sind:

SMB Kontinuierliche Verfügbarkeit (CA)
AD-Domänenbeitritts- und diskretionäre Zugriffssteuerungslisten (DACLs)
Integrierte serverlose Sicherung mit Azure Backup
Netzwerkisolation mit Azure privaten Endpunkten
Hoher Netzwerkdurchsatz mit SMB Multichannel (nur SSD-Dateifreigaben)
SMB-Kanalverschlüsselung einschließlich AES-256-GCM, AES-128-GCM und AES-128-CCM
Unterstützung früherer Versionen durch integrierte VSS-Freigabemomentaufnahmen
Automatisches vorläufiges Löschen für Azure-Dateifreigaben, um versehentliche Löschvorgänge zu verhindern
Optional über das Internet zugängliche Dateifreigaben mit internetsicherem SMB 3.0 und höher

Sie können SMB-Dateifreigaben direkt einbinden oder mit Azure-Dateisynchronisierung lokal zwischenspeichern.

Windows SMB-Unterstützung und Azure Files Features

Die folgende Tabelle zeigt die Windows-Unterstützung für SMB-Version, SMB Multichannel¹ und SMB-Kanalverschlüsselung beim Mounten von Azure-Dateifreigaben. Verwenden Sie diese Tabelle, um die Unterstützungs- und Sicherheitsanforderungen für die Clientbetriebssysteme zu ermitteln, die auf Ihre Azure Dateifreigabe zugreifen. Verwenden Sie die neueste KB für Ihre Version von Windows.

Windows Version	SMB-Version	SMB Multichannel (nur SSD)	Maximale SMB-Kanalverschlüsselung
Windows Server 2025	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 24H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 23H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 22H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 10, Version 22H2	SMB 3.1.1	Ja	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 21H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 10, Version 21H2	SMB 3.1.1	Ja	AES-128-GCM
Windows 10, Version 21H1	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows Server, Version 20H2	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows 10, Version 20H2	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows Server, Version 2004	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows 10, Version 2004	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Ja, mit KB5003703 oder neuer	AES-128-GCM
Windows 10, Version 1809	SMB 3.1.1	Ja, mit KB5003703 oder neuer	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Ja, mit KB5004238 oder neuer und angewendetem Registrierungsschlüssel	AES-128-GCM
Windows 10, Version 1607	SMB 3.1.1	Ja, mit KB5004238 oder neuer und angewendetem Registrierungsschlüssel	AES-128-GCM
Windows 10, Version 1507	SMB 3.1.1	Ja, mit KB5004249 oder neuer und angewendetem Registrierungsschlüssel	AES-128-GCM
Windows Server 2012 R2²	SMB 3.0	No	AES-128-CCM
Windows Server 2012 ²	SMB 3.0	No	AES-128-CCM
Windows 8.1³	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R2³	SMB 2.1	No	Nicht unterstützt
Windows 7³	SMB 2.1	No	Nicht unterstützt

¹Azure Files unterstützt SMB Multichannel nur auf SSD (Premium)-Dateifreigaben.

²Regular Microsoft Unterstützung für Windows Server 2012 und Windows Server 2012 R2 wurde beendet. Sie können zusätzliche Unterstützung für Sicherheitsupdates nur über das Programm für erweiterte Sicherheitsupdates (EXTENDED Security Update, ESU) erwerben.

³Microsoft Unterstützung für Windows 7, Windows 8.1 und Windows Server 2008 R2 wurde beendet. Migrieren Sie von diesen Betriebssystemen.

SMB-Protokolleinstellungen

Azure Files bietet mehrere Einstellungen, die sich auf das Verhalten, die Leistung und die Sicherheit des SMB-Protokolls auswirken. Diese sind für alle klassischen Azure-Dateifreigaben innerhalb eines Azure-Speicherkontos konfiguriert.

Kontinuierliche SMB-Verfügbarkeit

Azure Files unterstützt SMB Continuous Availability (CA), damit Anwendungen während vorübergehender Infrastrukturereignisse verfügbar bleiben. Kontinuierliche Verfügbarkeit ist eine Funktion des SMB-Protokolls, das geöffnete Dateihandles während kurzer Unterbrechungen aktiv hält, z. B. Serverfailover oder kurze Netzwerkunterbrechungen. Alle SMB-Azure Dateifreigaben sind standardmäßig kontinuierlich verfügbar. Sie können diese Einstellung nicht deaktivieren.

Was die kontinuierliche Verfügbarkeit bietet

Kontinuierliche Verfügbarkeit bietet die folgenden Vorteile:

Persistente Dateihandles, die vorübergehende Fehler überdauern
Transparente Wiederherstellung von E/A-Vorgängen nach dem Failover
Datenkonsistenz während Infrastrukturübergängen
Verringertes Risiko von Anwendungsunterbrechungen

Wenn eine kurze Verbindungsunterbrechung auftritt, versuchen SMB-Clients automatisch, Operationen erneut auszuführen und stellen den Zugriff auf geöffnete Dateien wieder her, ohne dass die Anwendung sie erneut öffnen muss. Dieses Verhalten ist besonders wichtig für Workloads, die andauernde Dateisitzungen verwalten.

Funktionsweise der kontinuierlichen Verfügbarkeit

Die kontinuierliche Verfügbarkeit basiert auf persistenten SMB-Handles. Während einer vorübergehenden Unterbrechung, die in der Regel bis zu mehreren Minuten dauert, gelten die folgenden Anweisungen:

Geöffnete Dateihandles bleiben gültig.
Der SMB-Client wiederholt ausstehende E/A-Vorgänge.
Azure Files setzt den Betrieb nahtlos fort, sobald die Verbindung wiederhergestellt wurde.

Da Azure Files die Korrektheit und Haltbarkeit priorisiert, wartet der Client und unternimmt wiederholte Versuche, anstatt die Operation sofort abzubrechen.

Timeoutverhalten bei Verbindungsverlust

Aufgrund des Wiederholungsverhaltens, das die fortlaufende Verfügbarkeit erfordert, können SMB-Vorgänge bei Netzwerkunterbrechungen länger zum Timeout benötigen.

Sie können beispielsweise Folgendes erleben:

Windows SMB-Clients versuchen möglicherweise mehrere Minuten lang Vorgänge erneut, bevor ein Fehler zurückgegeben wird.
Anwendungen werden möglicherweise vorübergehend angehalten, während die Verbindung wieder hergestellt wird.

Dieses Verhalten ist entwurfsbedingt, da es dabei hilft, Integrität zu bewahren und Datenbeschädigungen zu verhindern. Bei Workloads, die häufig die Verbindung verlieren, beispielsweise bei Roaming-Laptops oder instabilen Netzwerkverbindungen, könnte es zu längeren Wartezeiten kommen, bevor Fehler zurückgegeben werden.

SMB Multichannel

SMB Multichannel ermöglicht einem SMB 3.x-Client das Herstellen mehrerer Netzwerkverbindungen mit einer SMB-Dateifreigabe. Azure Files unterstützt SMB Multichannel nur für SSD-Dateifreigaben (Premium). Für Windows Clients ist SMB Multichannel in allen Azure Regionen standardmäßig aktiviert. In den meisten Szenarien, insbesondere Multithread-Workloads, sehen Clients eine verbesserte Leistung mit SMB Multichannel. Für einige spezifische Szenarien (z. B. für Singlethreadworkloads oder zu Testzwecken) möchten Sie jedoch möglicherweise SMB Multichannel deaktivieren. Weitere Details finden Sie unter SMB Multichannel .

Sicherheit

Azure Files verschlüsselt alle ruhenden Daten mithilfe Azure Speicherdienstverschlüsselung (SSE). Sie können auch daten während der Übertragung verschlüsseln.

Verschlüsselung im Ruhezustand

Die Speicherdienstverschlüsselung funktioniert ähnlich wie BitLocker bei Windows: Sie verschlüsselt Daten unter der Dateisystemebene. Da Daten auf einer Ebene unterhalb des Dateisystems der Azure-Dateifreigabe verschlüsselt werden, wenn sie auf den Datenträger geschrieben werden, benötigen Sie auf dem Client keinen Zugriff auf den zugrunde liegenden Schlüssel, um aus der Azure-Dateifreigabe zu lesen oder in sie zu schreiben.

Verschlüsselung während der Übertragung

Azure Files bietet eine dedizierte Require Encryption in Transit für SMB Einstellung, mit der Sie unabhängig steuern können, ob die Verschlüsselung für den SMB-Zugriff auf Azure Dateifreigaben erforderlich ist. Diese Einstellung pro Protokoll bietet eine genauere Kontrolle als die erforderliche Einstellung für die sichere Übertragung auf Speicherkontoebene, die jetzt nur für REST-/HTTPS-Datenverkehr gilt. Für neue Speicherkonten, die mithilfe des Azure-Portals erstellt wurden, ist Require Encryption in Transit für SMB standardmäßig aktiviert, sodass nur SMB-Bereitstellungen, die SMB 3.x mit Verschlüsselung verwenden, zulässig sind. Einbindungen von Clients, die SMB 3.x nicht mit SMB-Kanalverschlüsselung unterstützen, werden abgelehnt, wenn die Verschlüsselung während der Übertragung (in Transit) aktiviert ist. Mit Azure PowerShell, Azure CLI oder der FileREST-API erstellte Speicherkonten setzen Require Encryption in Transit for SMB auf nicht ausgewählt, um die Abwärtskompatibilität sicherzustellen.

Für vorhandene Speicherkonten wird die Verschlüsselung bei der Übertragung für SMB anfänglich als Nicht ausgewählt angezeigt. Obwohl nicht ausgewählt, beeinflusst die Einstellung Sichere Übertragung erforderlich weiterhin das SMB-Verschlüsselungsverhalten. Nachdem Sie die Verschlüsselung während der Übertragung für SMB explizit konfiguriert haben, hat diese Einstellung Vorrang für den SMB-Zugriff, unabhängig vom erforderlichen Wert für die sichere Übertragung .

Azure Files unterstützt AES-256-GCM mit SMB 3.1.1 bei Verwendung mit Windows Server 2022 oder Windows 11. SMB 3.1.1 unterstützt auch AES-128-GCM, und SMB 3.0 unterstützt AES-128-CCM. AES-128-GCM wird aus Leistungsgründen standardmäßig unter Windows 10 Version 21H1 ausgehandelt.

Sie können die Verschlüsselung während der Übertragung für eine Azure Dateifreigabe deaktivieren. Wenn die Verschlüsselung deaktiviert ist, ermöglicht Azure Files SMB 2.1 und SMB 3.x ohne Verschlüsselung. Der Hauptgrund für die Deaktivierung der Verschlüsselung bei der Übertragung ist die Unterstützung einer älteren Anwendung, die auf einem älteren Betriebssystem ausgeführt werden muss, z. B. Windows Server 2008 R2 oder einer älteren Linux-Verteilung. Azure Files lässt nur SMB 2.1-Verbindungen innerhalb derselben Azure-Region wie die Azure-Dateifreigabe zu. Ein SMB 2.1-Client außerhalb der Azure-Region, in der sich die Azure-Dateifreigabe befindet, z. B. in der lokalen Umgebung oder in einer anderen Azure-Region, kann nicht auf die Dateifreigabe zugreifen.

SMB-Sicherheitseinstellungen

Azure Files stellt Einstellungen bereit, die Sie aktivieren oder deaktivieren können, um das SMB-Protokoll abhängig von den Anforderungen Ihrer Organisation kompatibler oder sicherer zu machen. Standardmäßig ist Azure Files so konfiguriert, dass er maximal kompatibel ist. Bedenken Sie daher, dass das Einschränken dieser Einstellungen dazu führen kann, dass einige Clients keine Verbindung herstellen können.

Azure Files macht die folgenden Einstellungen verfügbar:

SMB-Versionen: Zulässige Versionen von SMB. Unterstützt werden die Protokollversionen SMB 3.1.1, SMB 3.0 und SMB 2.1. Standardmäßig sind alle SMB-Versionen zulässig, obwohl SMB 2.1 nicht zulässig ist, wenn "Verschlüsselung bei der Übertragung für SMB erforderlich " aktiviert ist (oder wenn die erforderliche Einstellung für die sichere Übertragung SMB-Verhalten steuert), da SMB 2.1 die Verschlüsselung während der Übertragung nicht unterstützt.
Authentifizierungsmethoden: Zulässige SMB-Authentifizierungsmethoden. Unterstützte Authentifizierungsmethoden sind NTLMv2 (nur Speicherkontoschlüssel) und Kerberos. Standardmäßig sind alle Authentifizierungsmethoden zulässig. Durch Entfernen von NTLMv2 wird die Verwendung des Speicherkontoschlüssels zum Einbinden der Azure-Dateifreigabe verhindert. Azure Files unterstützt die Verwendung der NTLM-Authentifizierung für Domänenanmeldeinformationen nicht.
Kerberos-Ticketverschlüsselung: Zulässige Verschlüsselungsalgorithmen. Unterstützte Verschlüsselungsalgorithmen sind AES-256 (dringend empfohlen) und RC4-HMAC.
SMB-Kanalverschlüsselung: Zulässige SMB-Kanalverschlüsselungsalgorithmen. Unterstützt werden die Verschlüsselungsalgorithmen AES-256-GCM, AES-128-GCM und AES-128-CCM. Wenn Sie nur AES-256-GCM auswählen, müssen Sie den sich verbindenden Clients mitteilen, dass sie dieses Verfahren verwenden sollen. Öffnen Sie dazu auf jedem Client als Administrator ein PowerShell-Terminal und führen Sie Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false aus. Die Verwendung von AES-256-GCM wird auf Windows Clients, die älter als Windows 11/Windows Server 2022 sind, nicht unterstützt.

Sie können die SMB-Sicherheitseinstellungen mithilfe des Azure Portals, Azure PowerShell oder der Azure CLI anzeigen und ändern. Wählen Sie die gewünschte Registerkarte aus, um die Schritte zum Abrufen und Festlegen der SMB-Sicherheitseinstellungen anzuzeigen. Beachten Sie, dass diese Einstellungen überprüft werden, wenn eine SMB-Sitzung eingerichtet wird und wenn sie nicht erfüllt ist, schlägt die SMB-Sitzungseinrichtung mit dem Fehler STATUS_ACCESS_DENIEDfehl.

Führen Sie die folgenden Schritte aus, um die SMB-Sicherheitseinstellungen mithilfe des Azure Portals anzuzeigen oder zu ändern:

Melden Sie sich beim Azure-Portal an, und suchen Sie nach Storage-Konten. Wählen Sie das Speicherkonto aus, für das Sie die SMB-Sicherheitseinstellungen anzeigen oder ändern möchten.
Wählen Sie im Servicemenü> die Option Datenspeicher>Klassische Dateifreigaben aus.
Wählen Sie unter Einstellungen für die Dateifreigabe den Wert aus, der der Sicherheit zugeordnet ist.
Sie können Verschlüsselung während der Übertragung für SMB erforderlich machen explizit aktivieren oder deaktivieren. Bei neuen Speicherkonten, die mithilfe des Azure Portals erstellt wurden, ist diese Einstellung standardmäßig aktiviert.
Wählen Sie unter Profil die Option Maximale Kompatibilität, Maximale Sicherheit oder Benutzerdefiniert aus. Wenn Sie Benutzerdefiniert auswählen, können Sie ein benutzerdefiniertes Profil für SMB-Protokollversionen, SMB-Kanalverschlüsselung, Authentifizierungsmechanismen und Kerberos-Ticketverschlüsselung erstellen.

Wichtig

Wenn Sie die maximale Sicherheit auswählen oder benutzerdefinierte Einstellungen verwenden, kann dies dazu führen, dass einige Clients keine Verbindung herstellen können. Beispielsweise wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung eingeführt, beginnend mit Windows Server 2022 und Windows 11. Dies bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022 und Windows 11 Clients anweisen, nur AES-256-GCM zu verwenden, indem Sie ein PowerShell-Terminal als Administrator auf jedem Client öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.

Nachdem Sie die gewünschten Sicherheitseinstellungen eingegeben haben, wählen Sie "Speichern" aus.

Verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty, um die SMB-Protokolleinstellungen abzurufen. Ersetzen Sie <resource-group> und <storage-account> durch die Werte für Ihre Umgebung. Wenn Sie eine Ihrer SMB-Sicherheitseinstellungen auf NULL festlegen, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Kommentieren bestimmter Zeilen.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Mit dem folgenden PowerShell-Befehl werden Ihre SMB-Dateifreigaben auf die sichersten Optionen eingeschränkt.

Wichtig

Das Einschränken von SMB-Azure Dateifreigaben auf die sichersten Optionen kann dazu führen, dass einige Clients keine Verbindung herstellen können. Beispielsweise wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung eingeführt, beginnend mit Windows Server 2022 und Windows 11. Diese Einschränkung bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022 und Windows 11 Clients anweisen, nur AES-256-GCM zu verwenden, indem Sie ein PowerShell-Terminal als Administrator auf jedem Client öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Je nach Ihren Sicherheitsanforderungen möchten Sie möglicherweise die Einstellung " Verschlüsselung für SMB erforderlich " aktivieren oder deaktivieren.

Führen Sie das folgende Cmdlet aus, um die Verschlüsselung während der Übertragung für SMB im Speicherkonto zu aktivieren:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Führen Sie das folgende Cmdlet aus, um die Anforderung der Verschlüsselung während der Übertragung für SMB auf dem Speicherkonto zu deaktivieren:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Um den Status der SMB-Sicherheitseinstellungen abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Bevor Sie diese Bash-Befehle ausführen, ersetzen Sie <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festlegen, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Kommentieren bestimmter Zeilen.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Der folgende Azure CLI Befehl schränkt Ihre SMB-Dateifreigaben nur auf die sichersten Optionen ein.

Wichtig

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Je nach Ihren Sicherheitsanforderungen möchten Sie möglicherweise die Einstellung " Verschlüsselung für SMB erforderlich " aktivieren oder deaktivieren.

Führen Sie den folgenden Befehl aus, um die Verschlüsselung während der Übertragung für SMB auf dem Speicherkonto zu aktivieren:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Um die Verschlüsselung während der Übertragung für SMB erzwingen auf dem Speicherkonto zu deaktivieren, führen Sie den folgenden Befehl aus:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Einschränkungen

SMB-Azure-Dateifreigaben unterstützen nur einen Teil der Funktionen, die vom SMB-Protokoll und dem NTFS-Dateisystem unterstützt werden. Obwohl die meisten Anwendungsfälle und Anwendungen diese Features nicht erfordern, funktionieren einige Anwendungen möglicherweise nicht ordnungsgemäß mit Azure Files, wenn sie auf nicht unterstützte Features angewiesen sind. Die folgenden Features werden nicht unterstützt:

SMB Direct
SMB Directory Leasing
VSS für SMB-Dateifreigaben (mit dieser Funktion können VSS-Anbieter Daten in die SMB-Dateifreigabe leeren, bevor eine Momentaufnahme erstellt wird)
Alternative Datenströme
Erweiterte Attribute
Objektkennungen
Hard Links
Soft Links
Reparse-Punkte
Sparse Dateien
Kurze Dateinamen (8.3-Alias)
Compression

Regionale Verfügbarkeit

SMB-Azure-Dateifreigaben sind in jeder Azure-Region verfügbar, einschließlich aller öffentlichen und souveränen Regionen. SSD-Dateifreigaben sind in einigen Regionen verfügbar.

Nächste Schritte

Plan für eine Azure Files Bereitstellung
Erstellen Sie eine Azure-Dateifreigabe
Einbinden von SMB-Dateifreigaben in Ihrem bevorzugten Betriebssystem:

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-26