SMB-Azure Dateifreigaben

Gilt für: ✔️ SMB-Dateifreigaben

Azure Files bietet zwei Branchenstandardprotokolle für die Bereitstellung der Azure-Dateifreigabe: das Server Message Block (SMB)-Protokoll und das Network File System (NFS)-Protokoll. mit Azure Files können Sie das Dateisystemprotokoll auswählen, das für Ihre Workload am besten geeignet ist. Azure Dateifreigaben unterstützen nicht den Zugriff auf eine einzelne Azure Dateifreigabe mit den SMB- und NFS-Protokollen, obwohl Sie SMB- und NFS-Dateifreigaben innerhalb desselben Speicherkontos erstellen können. Für alle Dateifreigaben bietet Azure Files Dateifreigaben auf Unternehmensniveau, die auf Ihre Speicheranforderungen skaliert werden können und gleichzeitig von Tausenden von Clients aufgerufen werden können.

In diesem Artikel werden Azure-SMB-Dateifreigaben behandelt. Informationen zu NFS Azure Dateifreigaben finden Sie unter NFS Azure Dateifreigaben.

Häufige Szenarios

SMB-Dateifreigaben werden für viele Anwendungen verwendet, einschließlich Endbenutzerdateifreigaben und Dateifreigaben, die Datenbanken und Anwendungen sichern. SMB-Dateifreigaben werden häufig in den folgenden Szenarien verwendet:

Endbenutzerdateifreigaben wie Teamfreigaben und Heimverzeichnisse
Speicherunterstützung für Windows-basierte Anwendungen, wie SQL Server-Datenbanken oder Geschäftsanwendungen, die für Win32 oder .NET-APIs des lokalen Dateisystems geschrieben wurden
Neue Anwendungs- und Dienstentwicklung, insbesondere, wenn diese Anwendung oder dieser Dienst eine Anforderung für zufälligen E/A- und hierarchischen Speicher hat

Funktionen

Azure Files unterstützt die wichtigsten Features von SMB und Azure, die für Produktionsbereitstellungen von SMB-Dateifreigaben erforderlich sind:

SMB Kontinuierliche Verfügbarkeit (CA)
AD-Domänenbeitritts- und diskretionäre Zugriffssteuerungslisten (DACLs)
Integrierte serverlose Sicherung mit Azure Backup
Netzwerkisolation mit Azure privaten Endpunkten
Hoher Netzwerkdurchsatz mit SMB Multichannel (nur SSD-Dateifreigaben)
SMB-Kanalverschlüsselung einschließlich AES-256-GCM, AES-128-GCM und AES-128-CCM
Unterstützung früherer Versionen durch integrierte VSS-Freigabemomentaufnahmen
Automatisches Soft-Löschen von Azure-Dateispeicherungen, um versehentliche Löschungen zu verhindern
Optional über das Internet zugängliche Dateifreigaben mit internetsicherem SMB 3.0 und höher

SMB-Dateifreigaben können direkt lokal bereitgestellt oder auch lokal mit Azure File Sync zwischengespeichert werden.

Sicherheit

Alle in Azure Files gespeicherten Daten werden im Ruhezustand mit der Verschlüsselung des Azure-Speicherdienstes (Azure Storage Service Encryption, SSE) verschlüsselt. Die Verschlüsselung des Speicherdiensts funktioniert ähnlich wie BitLocker bei Windows: Daten werden unter der Dateisystemebene verschlüsselt. Da Daten unter dem Dateisystem der Azure-Dateifreigabe verschlüsselt sind, während sie auf den Datenträger codiert werden, müssen Sie nicht auf den zugrunde liegenden Schlüssel auf dem Client zugreifen, um auf die Azure-Dateifreigabe zu lesen oder zu schreiben. Die Verschlüsselung ruhender Daten wird auf SMB- und NFS-Protokolle angewendet.

Standardmäßig ist bei allen Azure-Dateifreigaben die Verschlüsselung während der Übertragung aktiviert, sodass nur SMB-Einbindungen, die SMB 3.x mit Verschlüsselung verwenden, zulässig sind. Mounts von Clients, die SMB 3.x mit SMB-Channel-Verschlüsselung nicht unterstützen, werden abgelehnt, wenn die Verschlüsselung im Transit aktiviert ist.

Azure Files unterstützt AES-256-GCM mit SMB 3.1.1 bei Verwendung mit Windows Server 2022 oder Windows 11. SMB 3.1.1 unterstützt außerdem AES-128-GCM. SMB 3.0 unterstützt AES-128-CCM. AES-128-GCM wird standardmäßig aus Leistungsgründen bei Windows 10, Version 21H1, ausgehandelt.

Sie können die Verschlüsselung während der Übertragung für eine Azure Dateifreigabe deaktivieren. Wenn die Verschlüsselung deaktiviert ist, ermöglicht Azure Files SMB 2.1 und SMB 3.x ohne Verschlüsselung. Der Hauptgrund für die Deaktivierung der Verschlüsselung bei der Übertragung ist die Unterstützung einer älteren Anwendung, die auf einem älteren Betriebssystem ausgeführt werden muss, z. B. Windows Server 2008 R2 oder einer älteren Linux-Verteilung. Azure Files nur SMB 2.1-Verbindungen innerhalb derselben Azure Region wie die Azure Dateifreigabe zulässt. Ein SMB 2.1-Client außerhalb der Azure Region der Azure Dateifreigabe, z. B. lokal oder in einer anderen Azure Region, kann nicht auf die Dateifreigabe zugreifen.

SMB-Protokolleinstellungen

Azure Files bietet mehrere Einstellungen, die sich auf das Verhalten, die Leistung und die Sicherheit des SMB-Protokolls auswirken. Diese sind für alle Azure Dateifreigaben innerhalb eines Speicherkontos konfiguriert.

Kontinuierliche SMB-Verfügbarkeit

Azure Files unterstützt SMB Continuous Availability (CA), damit Anwendungen während vorübergehender Infrastrukturereignisse verfügbar bleiben. Kontinuierliche Verfügbarkeit ist eine Funktion des SMB-Protokolls, mit dem offene Dateihandles kurze Unterbrechungen wie Serverfailover oder kurze Netzwerkunterbrechungen überleben können. Alle SMB-Azure-Dateifreigaben sind standardmäßig kontinuierlich verfügbar. Diese Einstellung kann nicht deaktiviert werden.

Was die kontinuierliche Verfügbarkeit bietet

Kontinuierliche Verfügbarkeit bietet die folgenden Vorteile:

Persistente Dateihandles, die vorübergehende Fehler überdauern
Transparente Wiederherstellung von E/A-Vorgängen nach dem Failover
Datenkonsistenz während Infrastrukturübergängen
Verringertes Risiko von Anwendungsunterbrechungen

Wenn eine kurze Verbindungsunterbrechung auftritt, versuchen SMB-Clients automatisch, Operationen erneut auszuführen und stellen den Zugriff auf geöffnete Dateien wieder her, ohne dass die Anwendung sie erneut öffnen muss. Dieses Verhalten ist besonders wichtig für Workloads, die andauernde Dateisitzungen verwalten.

Funktionsweise der kontinuierlichen Verfügbarkeit

Die kontinuierliche Verfügbarkeit basiert auf persistenten SMB-Handles. Während einer vorübergehenden Unterbrechung, die in der Regel bis zu mehreren Minuten dauert, gelten die folgenden Anweisungen:

Geöffnete Dateihandles bleiben gültig.
Der SMB-Client wiederholt ausstehende E/A-Vorgänge.
Azure Files setzt Vorgänge transparent fort, sobald die Verbindung wiederhergestellt ist.

Da Azure Files die Korrektheit und Haltbarkeit priorisiert, wartet die Client-Anwendung und versucht es erneut, anstatt sofort fehlschlagen.

Timeoutverhalten bei Verbindungsverlust

Aufgrund des Wiederholungsverhaltens, das die fortlaufende Verfügbarkeit erfordert, können SMB-Vorgänge bei Netzwerkunterbrechungen länger zum Timeout benötigen.

Sie können beispielsweise Folgendes erleben:

Windows SMB-Clients versuchen möglicherweise mehrere Minuten lang Vorgänge erneut, bevor ein Fehler zurückgegeben wird.
Anwendungen werden möglicherweise vorübergehend angehalten, während die Verbindung wieder hergestellt wird.

Dieses Verhalten ist entwurfsbedingt, da es dabei hilft, Integrität zu bewahren und Datenbeschädigungen zu verhindern. Workloads, die häufig getrennt werden, z. B. Roaming-Laptops oder instabile Netzwerkverbindungen, können längere Wartezeiten beobachten, bevor Fehler zurückgegeben werden.

SMB Multichannel

SMB Multichannel ermöglicht einem SMB 3.x-Client das Herstellen mehrerer Netzwerkverbindungen mit einer SMB-Dateifreigabe. Azure Files unterstützt SMB Multichannel auf SSD-Dateifreigaben. Für Windows Clients ist SMB Multichannel jetzt in allen Azure Regionen standardmäßig aktiviert.

Um den Status von SMB Multichannel anzuzeigen, navigieren Sie zu dem Speicherkonto, das Ihre SSD-Dateifreigaben enthält, und wählen Sie "Dateifreigaben " unter der Überschrift "Datenspeicher " im Inhaltsverzeichnis des Speicherkontos aus. Der Status von SMB Multichannel sollte im Abschnitt " Dateifreigabeeinstellungen " angezeigt werden. Wenn dies nicht angezeigt wird, stellen Sie sicher, dass Ihr Speicherkonto der Art des FileStorage-Kontos ist.

Um SMB Multichannel zu aktivieren oder zu deaktivieren, wählen Sie den aktuellen Status aus (also entweder Aktiviert oder Deaktiviert). Das daraufhin angezeigte Dialogfeld bietet einen Umschalter zum Aktivieren oder Deaktivieren von SMB Multichannel. Wählen Sie den gewünschten Status aus, und wählen Sie dann Speichern aus.

Screenshot: Dialogfeld zum Aktivieren/Deaktivieren des Features „SMB Multichannel“.

Um den Status von SMB Multichannel abzurufen, verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty. Ersetzen Sie <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung, bevor Sie diese PowerShell-Befehle ausführen.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Um SMB Multichannel zu aktivieren/deaktivieren, verwenden Sie das Cmdlet Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Um den Status von SMB Multichannel abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Ersetzen Sie <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung, bevor Sie diese Befehle ausführen.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Um SMB Multichannel zu aktivieren/deaktivieren, verwenden Sie den Befehl az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Aktiviere SMB Multichannel auf älteren Betriebssystemen

Die Unterstützung für SMB Multichannel in Azure Files erfordert, dass sichergestellt ist, dass Windows alle relevanten Patches angewendet hat. Mehrere ältere Windows Versionen, einschließlich Windows Server 2016, Windows 10 Version 1607 und Windows 10 Version 1507, erfordern zusätzliche Registrierungsschlüssel, die für alle relevanten SMB Multichannel-Fixes festgelegt werden müssen, die auf vollständig gepatchte Installationen angewendet werden. Wenn Sie eine Version von Windows ausführen, die neuer als diese drei Versionen ist, ist keine zusätzliche Aktion erforderlich.

Windows Server 2016 und Windows 10 Version 1607

Um alle SMB Multichannel-Fixes für Windows Server 2016 und Windows 10 Version 1607 zu aktivieren, führen Sie den folgenden PowerShell-Befehl aus:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 Version 1507

Um alle SMB Multichannel-Fixes für Windows 10 Version 1507 zu aktivieren, führen Sie den folgenden PowerShell-Befehl aus:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

SMB-Sicherheitseinstellungen

Azure Files stellt Einstellungen zur Verfügung, mit denen Sie das SMB-Protokoll je nach den Anforderungen Ihrer Organisation für bessere Kompatibilität oder höhere Sicherheit anpassen können. Standardmäßig ist Azure Files so konfiguriert, dass sie maximal kompatibel ist. Bedenken Sie daher, dass das Einschränken dieser Einstellungen dazu führen kann, dass einige Clients keine Verbindung herstellen können.

Azure Files macht die folgenden Einstellungen verfügbar:

SMB-Versionen: Zulässige Versionen von SMB. Unterstützt werden die Protokollversionen SMB 3.1.1, SMB 3.0 und SMB 2.1. Standardmäßig sind alle SMB-Versionen zulässig, obwohl SMB 2.1 nicht zulässig ist, wenn „Sichere Übertragung erforderlich“ aktiviert ist, weil SMB 2.1 die Verschlüsselung während der Übertragung nicht unterstützt.
Authentifizierungsmethoden: Zulässige SMB-Authentifizierungsmethoden. Unterstützte Authentifizierungsmethoden sind NTLMv2 (nur Speicherkontoschlüssel) und Kerberos. Standardmäßig sind alle Authentifizierungsmethoden zulässig. Das Entfernen von NTLMv2 untersagt das Einbinden der Azure-Dateifreigabe mit dem Speicherkontoschlüssel. Azure Files unterstützt die Verwendung der NTLM-Authentifizierung für Domänenanmeldeinformationen nicht.
Kerberos-Ticketverschlüsselung: Zulässige Verschlüsselungsalgorithmen. Unterstützt werden die Verschlüsselungsalgorithmen AES-256 (empfohlen) und RC4-HMAC.
SMB-Kanalverschlüsselung: Zulässige SMB-Kanalverschlüsselungsalgorithmen. Unterstützt werden die Verschlüsselungsalgorithmen AES-256-GCM, AES-128-GCM und AES-128-CCM. Wenn Sie nur AES-256-GCM auswählen, müssen Sie den verbindenden Clients mitteilen, dass sie es verwenden sollen, indem Sie auf jedem Client ein PowerShell-Terminal als Administrator öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen. Die Verwendung von AES-256-GCM wird auf Windows Clients, die älter als Windows 11/Windows Server 2022 sind, nicht unterstützt.

Sie können die SMB-Sicherheitseinstellungen über das Azure Portal, PowerShell oder CLI anzeigen und ändern. Wählen Sie die gewünschte Registerkarte aus, um die Schritte zum Abrufen und Festlegen der SMB-Sicherheitseinstellungen anzuzeigen. Beachte, dass diese Einstellungen beim Aufbau einer SMB-Sitzung überprüft werden. Wenn sie nicht erfüllt sind, schlägt die Einrichtung der SMB-Sitzung mit dem Fehler „STATUS_ACCESS_DENIED“ fehl.

Führen Sie die folgenden Schritte aus, um die SMB-Sicherheitseinstellungen mithilfe des Azure Portals anzuzeigen oder zu ändern:

Melden Sie sich beim Azure-Portal an, und suchen Sie nach Storage-Konten. Wählen Sie das Speicherkonto aus, für das Sie die SMB-Sicherheitseinstellungen anzeigen oder ändern möchten.
Wählen Sie im Servicemenü die Optionen Datenspeicherung>Dateifreigaben aus.
Wählen Sie unter Einstellungen für die Dateifreigabe den Wert aus, der der Sicherheit zugeordnet ist. Wenn Sie die Sicherheitseinstellungen nicht geändert haben, wird dieser Wert standardmäßig auf Maximale Kompatibilität festgelegt.
Wählen Sie unter Profil die Option Maximale Kompatibilität, Maximale Sicherheit oder Benutzerdefiniert aus. Wenn Sie Benutzerdefiniert auswählen, können Sie ein benutzerdefiniertes Profil für SMB-Protokollversionen, SMB-Kanalverschlüsselung, Authentifizierungsmechanismen und Kerberos-Ticketverschlüsselung erstellen.

Nachdem Sie die gewünschten Sicherheitseinstellungen eingegeben haben, wählen Sie Speichern aus.

Verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty, um die SMB-Protokolleinstellungen abzurufen. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festgelegt haben, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Auskommentieren bestimmter Zeilen.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Mit dem folgenden PowerShell-Befehl werden Ihre SMB-Dateifreigaben auf die sichersten Optionen eingeschränkt.

Wichtig

Das Einschränken von SMB-Azure Dateifreigaben auf die sichersten Optionen kann dazu führen, dass einige Clients keine Verbindung herstellen können. Beispielsweise wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung eingeführt, beginnend mit Windows Server 2022 und Windows 11. Das bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022 und Windows 11 Clients anweisen, nur AES-256-GCM zu verwenden, indem Sie ein PowerShell-Terminal als Administrator auf jedem Client öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Um den Status der SMB-Sicherheitseinstellungen abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen, bevor Sie diese Bash-Befehle ausführen. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festgelegt haben, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Auskommentieren bestimmter Zeilen.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Der folgende Azure CLI Befehl schränkt Ihre SMB-Dateifreigaben nur auf die sichersten Optionen ein.

Wichtig

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Einschränkungen

SMB-Dateifreigaben in Azure Files unterstützen eine Teilmenge von Features, die vom SMB-Protokoll und dem NTFS-Dateisystem unterstützt werden. Obwohl die meisten Anwendungsfälle und Anwendungen diese Features nicht erfordern, funktionieren einige Anwendungen möglicherweise nicht ordnungsgemäß mit Azure Files, wenn sie auf nicht unterstützte Features angewiesen sind. Die folgenden Features werden nicht unterstützt:

SMB Direct
SMB Directory Leasing
VSS für SMB-Dateifreigaben (damit können VSS-Anbieter Daten in die SMB-Dateifreigabe leeren, bevor eine Momentaufnahme erstellt wird)
Alternative Datenströme
Erweiterte Attribute
Objektkennungen
Hard Links
Soft Links
Reparse-Punkte
Sparse Dateien
Kurze Dateinamen (8.3-Alias)
Compression

Regionale Verfügbarkeit

SMB-Azure-Dateifreigaben sind in jeder Azure-Region verfügbar, einschließlich aller öffentlichen und souveränen Regionen. SSD-Dateifreigaben sind in einigen Regionen verfügbar.

Nächste Schritte

Plan für eine Azure Files Bereitstellung
Erstellen Sie eine Azure-Dateifreigabe
Einbinden von SMB-Dateifreigaben in Ihrem bevorzugten Betriebssystem:

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-11