概述 - 通过 SMB 为 Azure 文件共享启用本地 Active Directory 域服务身份验证

Azure 文件存储采用以下两种方法来支持使用 Kerberos 身份验证协议通过服务器消息块 (SMB) 对 Windows 文件共享进行基于标识的身份验证:

  • 本地 Active Directory 域服务 (AD DS)
  • Azure Active Directory 域服务 (Azure AD DS)

强烈建议查看工作原理部分,选择合适的 AD 源来进行身份验证。 选择域服务不同,设置也会不同。 本文重点介绍如何启用和配置本地 AD DS,以便通过 Azure 文件共享进行身份验证。

如果你不熟悉 Azure 文件存储,建议阅读规划指南

适用于

文件共享类型 SMB NFS
标准文件共享 (GPv2)、LRS/ZRS 是 否
标准文件共享 (GPv2)、GRS/GZRS 是 否
高级文件共享 (FileStorage),LRS 是 否

支持的方案和限制

  • 用于 Azure 文件存储本地 AD DS 身份验证的 AD DS 标识必须同步到 Azure AD 或使用默认共享级别权限。 密码哈希同步是可选项。
  • 支持由 Azure 文件同步管理的 Azure 文件共享。
  • 支持通过具有 AES 256 加密(建议)和 RC4-HMAC 的 AD 进行 Kerberos 身份验证。 尚不支持 AES 128 Kerberos 加密。
  • 仅在运行操作系统版本 Windows 8/Windows Server 2012 或更高版本的客户端上受支持。
  • 仅支持有相应存储帐户注册的 AD 林。 默认情况下,只能使用 AD DS 凭据从单个林访问 Azure 文件共享。 如需从不同的林访问 Azure 文件共享,请确保已配置适当的林信任。有关详细信息,请查看常见问题解答
  • 不支持使用 Azure RBAC 将共享级别权限分配给计算机帐户。 可以使用默认共享级别权限来允许计算机帐户访问共享,也可以考虑改用服务登录帐户。
  • 不支持对网络文件系统 (NFS) 文件共享进行身份验证。
  • 不支持使用 CNAME 装载文件共享。

通过 SMB 为 Azure 文件共享启用 AD DS 后,已加入 AD DS 的计算机可使用现有的 AD DS 凭据装载 Azure 文件共享。 可使用本地计算机中或 Azure 虚拟机 (VM) 上托管的 AD DS 环境启用此功能。

先决条件

在为 Azure 文件共享启用 AD DS 身份验证之前,请确保满足以下先决条件:

  • 选择或创建 AD DS 环境,并通过 Azure AD Connect 同步将其同步到 Azure AD

    可在新的或现有的本地 AD DS 环境中启用该功能。 用于访问的标识必须同步到 Azure AD 或使用默认共享级别权限。 要访问的 Azure AD 租户和文件共享必须与同一订阅关联。

  • 将本地计算机或 Azure VM 通过域加入到本地 AD DS。 若要了解如何加入域,请查看将计算机加入域

    如果计算机未通过域加入到 AD DS,但可以看到 AD 域控制器,那么你仍可利用 AD 凭据进行身份验证。

  • 选择或创建 Azure 存储帐户。 为了获得最佳性能,建议将存储帐户部署到计划从其访问共享的客户端所在的区域中。 然后,使用存储帐户密钥装载 Azure 文件共享。 如果使用存储帐户密钥进行装载,则会验证连接性。

    确保包含文件共享的存储帐户还没有配置为进行基于标识的身份验证。 如果存储帐户上已启用 AD 源,则必须在启用本地 AD DS 之前将其禁用。

    如果连接到 Azure 文件存储时遇到问题,请查看我们在 Windows 上发布的 Azure 文件存储装载错误排查工具

  • 在为 Azure 文件共享启用和配置 AD DS 身份验证之前,请先完成所有相关网络配置。 有关详细信息,请查看 Azure 文件存储的网络注意事项

概述

如果计划对文件共享启用网络配置,建议先阅读网络注意事项一文并完成相关配置,然后再启用 AD DS 身份验证。

如果为 Azure 文件共享启用 AD DS 身份验证,则可通过本地 AD DS 凭据对 Azure 文件共享进行身份验证。 此外,它还有助于更好地管理权限,实现精细访问控制。 执行此操作需要使用本地 Azure AD Connect 同步应用程序将标识从本地 AD DS 同步到 Azure AD。 使用 Windows ACL 管理文件/目录级访问时,可以为同步到 Azure AD 的混合标识分配共享级权限。

请按照以下步骤设置 Azure 文件存储以进行 AD DS 身份验证:

  1. 第 1 部分:在存储帐户上启用 AD DS 身份验证

  2. 第 2 部分:将共享级权限分配给与目标 AD 标识同步的 Azure AD 标识(用户、组或服务主体)

  3. 第 3 部分:通过 SMB 为目录和文件配置 Windows ACL

  4. 第 4 部分:将 Azure 文件共享装载到已加入 AD DS 的 VM

  5. 更新 AD DS 中的存储帐户标识密码

下图说明了通过 SMB 为 Azure 文件共享启用 AD DS 身份验证的端到端工作流。

文件存储 AD 工作流关系图

用于访问 Azure 文件共享的标识必须同步到 Azure AD,这样才能通过 Azure 基于角色的访问控制 (Azure RBAC) 模型执行共享级别文件权限。 或者,可以使用默认的共享级别权限。 从现有文件服务器中执行的文件/目录上的 Windows 样式 DACL 将被保留并强制执行。 这实现了与企业 AD DS 环境的无缝集成。 将本地文件服务器替换为 Azure 文件共享后,现有用户可通过单一登录体验从当前客户端访问 Azure 文件共享,无需更改正在使用的凭据。

后续步骤

若要为 Azure 文件共享启用本地 AD DS 身份验证,请继续阅读以下文章:

第 1 部分:为帐户启用 AD DS 身份验证