Azure Files-Remotezugriff mit MyWorkDrive
Übersicht über Azure-Dateien
Microsoft Azure-Dateifreigaben sind SMB-zugängliche Dateifreigaben, die von Azure gehostet werden. Durch die Nutzung von Azure Files werden Unternehmen von der Verantwortung entlastet, Windows-Dateiserver-basierte Dateifreigaben zu verwalten. Azure Files bietet vollständig verwaltete Dateifreigaben in der Cloud, auf die über das branchenübliche SMB-Protokoll zugegriffen werden kann.
Um Laufwerke remote zu Azure-Dateifreigaben zuzuordnen, ist eine Verbindung mit den Ports 445 über das SMB-Protokoll erforderlich, das möglicherweise von Internetanbietern blockiert wird und nur über dasselbe lokale Netzwerk oder über VPN zugänglich ist. Unternehmen müssen VPN-Tunnel von Azure zu jedem Standort sowie VPN-Gateways unterhalten, damit Benutzer unterwegs auf Dateien zugreifen können.
Verwenden Sie MyWorkDrive, um von jedem Gerät aus ganz einfach und ohne VPN eine Verbindung zu Ihren Azure-Dateifreigaben herzustellen.
- Verbinden Sie sich über einen webbasierten Dateimanager mit Ihren AD-Anmeldeinformationen von jedem Gerät aus (PCs müssen nicht mit der Domäne verbunden sein).
- Verbinden Sie sich mit iPhone- oder Android-Apps.
- Verwenden sie den client für mappierte Laufwerke, dass über HTTPS arbeitet (es wird kein VPN benötigt).
Verwenden Sie Azure Files mit MyWorkDrive, um die Elastizität und einfache Verwaltung von Cloudspeicher zu erhalten.
- Langlebiger und hochverfügbarer Cloud-Speicher, der vollständig von Microsoft verwaltet wird.
- Pay-as-you-go-Speicher. Zahlen Sie nur für das, was Sie nutzen. Bis zu 100 TB pro Aktie.
- Verbinden Sie mehrere Freigaben mit MyWorkDrive.
- Dateien werden während der Übertragung und im Ruhezustand verschlüsselt.
- Momentaufnahmeverwaltung von Azure Backup.
- Azure-Dateisynchronisierung
- Bidirektionale Synchronisierung zwischen lokalen und Azure-Dateifreigaben.
- Lokales Caching und Cloud-Tiering. Leistung von On-Premise-Storage mit Skalierbarkeit und Elastizität der Cloud.
- Multi-Site-Synchronisierung, um in jeder Zweigstelle einen Cache mit zentralisiertem Cloud-Speicher zu haben.
Die Kombination aus MyWorkDrive und Azure Files passt hervorragend zusammen!
Option 1: Azure Files direkt mit MyWorkDrive verbinden
Azure-Dateifreigaben unterstützen die Authentifizierung über Active Directory oder die Azure-Dateisynchronisierung. John Savill gibt einen detaillierten Überblick über Azure Files-Authentifizierung hier. In diesem Artikel stellen wir unsere bevorzugte Bereitstellungsoption für MyWorkDrive-Azure-Dateifreigaben vor, die darin besteht, Azure-Dateifreigaben mithilfe der Active Directory-Authentifizierung direkt mit MyWorkDrive zu verbinden, das in Azure gehostet wird.
Active Directory-Authentifizierung
Azure Files Active Directory-Integration mit Ihrer eigenen Von Ihnen verwaltete Active Directory-Domänen, oder verwenden Azure AD-Domänendienste wird in Azure vollständig unterstützt. Lesen Sie mehr über die Vorteile von Azure Files Active Directory-Integration und folgen Sie diesem Schritt für Schritt Anleitung um mit der Integration von Azure-Dateifreigaben in Azure AD Domain Services zu beginnen. Zum Integrieren der Authentifizierung von Azure-Dateifreigaben mit lokalem Active Directory folge diesen Schritten.
Mit dieser Methode können sich Benutzer bei Azure-Dateifreigaben anmelden, indem sie ihren vorhandenen AD DS-Benutzernamen/Kennwörter verwenden, die in Active Directory gespeichert oder von Azure AD mit den von Azure gehosteten Azure AD-Domänendiensten synchronisiert wurden. Benutzer können auch ihre Azure AD-Anmeldeinformationen verwenden, wenn sie von AD DS synchronisiert und mit ihnen gekoppelt werden Azure AD SAML/Single Sign-On-Integration von MyWorkDrive.
Für On-Premise Active Directory können Kunden ihre eigenen Active Directory-Server in Azure als virtuelle Maschine ausführen und verwalten oder ein Azure-Netzwerk über einen VPN-Tunnel oder Azure ExpressRoute mit On-Premise verbinden. Für die schnellste Authentifizierung empfehlen wir, einen Domänencontroller in Azure im selben Netzwerk wie den MyWorkDrive-Server zu platzieren oder Azure AD Domain Services zu verwenden.
MyWorkDrive hat unsere aktualisiert Azure MyWorkDrive-Image im Marketplace damit es problemlos einer bestehenden Windows Active Directory-Domäne beitreten kann. Dadurch wird der Bereitstellungsprozess weiter beschleunigt.
Schritte zur Einrichtung von Azure-Dateifreigaben für Active Directory MyWorkDrive
Video zur Einrichtung von MyWorkDrive Azure File Shares.
Voraussetzungen
- Active Directory muss mit Azure AD synchronisiert werden (zum Festlegen von Freigabeberechtigungen).
- Netzwerkkonnektivität von Azure zu einem AD DC (entweder ein in Azure ausgeführter DC oder eine ExpresseRoute/VPN-Verbindung zu einem lokalen DC) oder die Nutzung von Azure AD Domain Services.
- Von Azure gehosteter 2019-Server mit RSAT-Tools, mit Active Directory verbunden (verwenden Sie diesen Server, um Azure-Dateifreigaben zu verwalten und sie Ihrer Domäne hinzuzufügen/Berechtigungen festzulegen).
- Beschleunigte Vernetzung aktiviert auf Azure Virtual Machine (nicht für alle Maschinengrößen verfügbar, erfordert normalerweise eine D-Serie mit 2 oder mehr vCPUs)
- Näherungsplatzierungsgruppen bereitgestellt, um sicherzustellen, dass Rechenressourcen für eine optimale Leistung physisch zusammen angeordnet sind.
- SMB MultiChannel aktiviert auf AzureFiles, wenn Ihre Leistungsstufe dies unterstützt.
- Der Name des Azure Storage-Kontos darf 15 Zeichen nicht überschreiten (Anforderung für den Active Directory-Computernamen).
Speicherkonto erstellen
Erstellen Sie ein Speicherkonto in einer Ressourcengruppe in demselben Azure-Konto, das Ihr Azure AD hostet. Wählen Sie die erforderlichen Redundanz- und Leistungsoptionen aus.
Dateifreigabe erstellen
Fügen Sie Ihrem Speicherkonto eine Dateifreigabe hinzu, indem Sie den Freigabenamen und das Kontingent festlegen.
Verbinden Sie das Azure Storage-Konto mit Active Directory
Bevor Sie beginnen, ordnen Sie ein Laufwerk mit dem Speicherkontoschlüssel zu: net use : „net use gewünschter Laufwerksbuchstabe: \\storage-account-name.file.core.windows.net\share-name storage-account-key/user :Azure\storage-account-name“ von Ihrem Windows 2019-Server in Azure, um sicherzustellen, dass Sie über eine SMB-Dateifreigabekonnektivität verfügen.
Aktivieren Sie die Azure Files Active Directory-Integration
Für lokales Active Directory, Aktivieren Sie die Azure Files Active Directory-Authentifizierung mithilfe der hier beschriebenen Schritte. Hinweis: Die Skripts werden am besten mit PowerShell ausgeführt, das mit Server 2019 geliefert wird, da sie die Installation bestimmter Komponenten als Teil des Prozesses erfordern. Das Azure Storage-Konto wird als Computerkonto hinzugefügt.
Führen Sie für Azure AD Domain Services die folgenden Schritte aus Aktivieren Sie die Azure Files-Authentifizierung mit Active Directory-Domänendiensten. In diesem Fall wird das Azure Storage-Konto als Benutzerkonto zu Active Directory hinzugefügt.
Wenn Sie Azure AD-Domänendienste verwenden, stellen Sie bitte sicher, dass die in Active Directory erstellten Benutzerkonten so eingestellt sind, dass das Kennwort nicht abläuft. Wenn das Kennwort abläuft, haben Benutzer keinen Zugriff mehr auf die Azure Files-Freigaben über ihre AD-Anmeldeinformationen und erhalten Fehlermeldungen bei der Anmeldung bei MyWorkDrive (siehe Punkt 1 im Abschnitt Azure Files kann nicht mit AD-Anmeldeinformationen bereitgestellt werden). Fehlerbehebung bei der Azure Files-Verbindung von Microsoft). Du wirst brauchen Setzen Sie das Kennwort zurück und synchronisieren Sie die Kerberos-Schlüssel erneut.
Freigabeberechtigungen zuweisen
Auch wenn wir Active Directory NTFS-Berechtigungen zuweisen und verwenden, erfordern Azure-Dateifreigaben derzeit, dass Berechtigungen auch auf Freigabeebene festgelegt werden müssen, indem Benutzerkonten oder Gruppen verwendet werden, die mit Azure AD synchronisiert werden. Weisen Sie Identitätsfreigabeberechtigungen zu – Zum Beispiel: „Storage File Data SMB Share Elevated Contributor“ ermöglicht Lesen, Schreiben, Löschen und Ändern.
Es gibt drei integrierte Azure-Rollen zum Erteilen von Berechtigungen auf Freigabeebene für Benutzer:
- Speicherdateidaten SMB Share Reader ermöglicht Lesezugriff in Azure Storage-Dateifreigaben über SMB.
- Storage File Data SMB Share Contributor ermöglicht den Lese-, Schreib- und Löschzugriff in Azure Storage-Dateifreigaben über SMB.
- Speicherdateidaten SMB Share Erhöhter Mitwirkender ermöglicht das Lesen, Schreiben, Löschen und Ändern von Windows-ACLs in Azure Storage-Dateifreigaben über SMB.
Eine dieser zusätzlichen Azure AD-Freigabeberechtigungen muss festgelegt werden zusätzlich zu Active Directory NTFS-Berechtigungen unabhängig von anderen bereits vorhandenen Azure AD-Freigabeberechtigungen (z. B. Besitzer). Bitte beachten Sie, dass von der lokalen Domäne synchronisierte Active Directory-Gruppen verwendet werden können (Azure AD Connect schließt integrierte Sicherheitsgruppen von der Verzeichnissynchronisierung aus).
Microsoft hat eine Möglichkeit aktiviert, Berechtigungen für alle Benutzer zuzuweisen, anstatt sie einzeln für jeden Benutzer zuzuweisen. Einzelheiten finden Sie hier aktualisierte Microsoft-Dokumentation
Weisen Sie NTFS-Berechtigungen zu
Verwenden Sie dasselbe Laufwerk, das zuvor mit Ihrem Speicherkontoschlüssel zugeordnet wurde, Fügen Sie dem zugeordneten Laufwerk NTFS-Berechtigungen für Active Directory-Benutzer oder -Gruppen auf Freigabe- oder gewünschter Verzeichnisebene hinzu. Testen Sie die neuen NTFS-Freigabeberechtigungen, indem Sie ein Laufwerk der privaten Endpunktadresse zuordnen – z. B. \\azure-file-share.file.core.windows.net\share.
Installieren Sie MyWorkDrive-Server
Verwenden eines neuen Servers oder des 2019-Servers, der bereits mit Active Directory in Azure verbunden ist, MyWorkDrive-Server einrichten genau wie jeder andere MyWorkDrive-Server. Verwenden Sie beim Hinzufügen Ihrer ersten Freigabe Ihren neuen Unc-Pfad der Azure-Dateifreigabe als Ihren Dateifreigabepfad: z. B. \\azure-file-share.file.core.windows.net\share.
Aktivieren Sie optional MyWorkDrive Azure AD Single Sign-On
Wenn Benutzer von Active Directory (AD DS) mit Azure AD synchronisiert werden, können sich Benutzer mit einmaliger Anmeldung mit ihren Azure AD-Anmeldeinformationen anmelden MyWorkDrive Azure AD SAML/Single Sign-on-Integration nach Delegation zulassen des Azure-Dateifreigabe-Computerobjekts in Active Directory (wenn Azure-Dateifreigaben zu Active Directory hinzugefügt werden, wird ein entsprechendes Computerkontoobjekt erstellt).
Option 2: Verbinden Sie Azure File Sync mit MyWorkDrive On-Premise
Mit Azure-Dateiensynchronisierung Mehrere Standorte können vom lokalen Standort mit Azure Files und Remote-Standorten synchronisiert werden. Die Verwendung von Azure File Sync ist eine weitere Alternative zum Verbinden Ihres Active Directory, da neben Dateien und Ordnern auch NTFS-ACLs synchronisiert werden. Darüber hinaus unterstützt Azure File Sync die Beibehaltung, Vererbung und Durchsetzung von Microsoft-Dateisystem-NTFS-ACLs für alle Ordner und Dateien in einer Dateifreigabe.
Um MyWorkDrive mit Azure-Dateifreigaben zu verbinden, verweisen Sie sie einfach auf den lokalen Server, der die synchronisierte Kopie Ihrer Azure-Dateifreigaben hostet. Aus Sicht von MyWorkDrive hat sich nichts geändert – NTFS-Berechtigungen und Dateisperren werden berücksichtigt.
Video zur Einrichtung der Azure-Dateisynchronisierung.
Azure File Sync erweitert Dateidienste von lokal auf Cloud Storage auf Azure-Dateifreigaben und über Windows-Server an mehreren Standorten. Microsoft-Ingenieure haben Kunden befragt und bestätigt, dass Windows-Dateifreigaben aus einer Vielzahl von Gründen immer noch verwendet werden. Zu den identifizierten Kundenproblemen gehören Zugriffsgeschwindigkeit, Datenkontrolle und große Speicherkapazitäten. Azure File Sync adressiert diese Bedenken.
Schlüsselfunktionen der Azure-Dateisynchronisierung
- Bidirektionale Synchronisierung – von Windows Server zu Azure Cloud Storage mit Write-Back-Funktionen
- Multi-Site-Synchronisierung – Synchronisieren Sie eine Freigabe auf mehreren Windows-Servern über Azure-Dateifreigaben mit Cloud Storage mit der Möglichkeit, Daten an jedem Standort in Echtzeit zwischenzuspeichern und zu bearbeiten.
- Sicherung von Azure-Dateifreigaben zu Azure Backup
- Tiering von Daten – Legen Sie die maximalen Datenspeicherkapazitäten für jeden Windows-Server fest und replizieren Sie nur die neuesten Daten auf jeden Server, wobei der Rest in Azure-Dateifreigaben in der Cloud gespeichert wird.
Mit MyWorkDrive kann auf Windows-Dateifreigaben von jedem Standort weltweit über HTTPS (Port 443) von jedem Webbrowser, dem MyWorkDrive-Client für zugeordnete Laufwerke oder mobilen Clients zugegriffen werden.