Azure Files externe toegang met MyWorkDrive
Overzicht van Azure Files
Microsoft Azure-bestandsshares zijn voor het MKB toegankelijke bestandsshares die worden gehost door Azure. Door gebruik te maken van Azure Files worden bedrijven ontheven van de verantwoordelijkheid voor het onderhouden van op Windows-bestandsservers gebaseerde bestandsshares. Azure Files biedt volledig beheerde bestandsshares in de cloud die toegankelijk zijn via het industriestandaard SMB-protocol.
Als u stations op afstand wilt toewijzen aan Azure-bestandsshares, moet u verbinding maken met poorten 445 via het SMB-protocol, dat mogelijk wordt geblokkeerd door internetproviders en alleen toegankelijk is vanaf hetzelfde lokale netwerk of via VPN. Bedrijven moeten VPN-tunnels van Azure naar elke locatie onderhouden, evenals VPN-gateways zodat gebruikers onderweg toegang hebben tot bestanden.
Gebruik MyWorkDrive om vanaf elk apparaat eenvoudig verbinding te maken met uw Azure-bestandsshares zonder VPN.
- Maak verbinding via een webgebaseerde bestandsbeheerder met uw AD-referenties vanaf elk apparaat (pc's hoeven zich niet bij het domein aan te sluiten).
- Maak verbinding via iPhone- of Android-apps.
- Gebruik de MyWorkDrive toegewezen schijfclient die werkt via HTTPS (geen VPN nodig).
Gebruik Azure Files met MyWorkDrive om de elasticiteit en het gemak van beheer van cloudopslag te krijgen.
- Duurzame en maximaal beschikbare cloudopslag, volledig beheerd door Microsoft.
- Betaal naar opslag. Betaal alleen voor wat je gebruikt. Tot 100TB per aandeel.
- Koppel meerdere shares aan MyWorkDrive.
- Bestanden worden tijdens het transport en in rust versleuteld.
- Momentopnamebeheer vanuit Azure Backup.
- Azure-bestandssynchronisatie
- Bidirectionele synchronisatie tussen on-premise en Azure-bestandsshares.
- Lokale caching en cloud-tiering. Prestaties van opslag op locatie met schaal en elasticiteit van de cloud.
- Synchronisatie op meerdere locaties voor een cache op elk filiaal met gecentraliseerde cloudopslag.
De combinatie van MyWorkDrive en Azure Files is een mooie match!
Optie 1: Azure Files rechtstreeks verbinden met MyWorkDrive
Azure-bestandsshares ondersteunen verificatie met Active Directory of met Azure File Sync. John Savill geeft een gedetailleerd overzicht van: Azure Files-verificatie hier. In dit artikel presenteren we onze voorkeursoptie voor de implementatie van MyWorkDrive Azure-bestandsshares, namelijk het rechtstreeks verbinden van Azure-bestandsshares met MyWorkDrive die wordt gehost in Azure, met behulp van Active Directory-verificatie.
Active Directory-verificatie
Azure Files Active Directory-integratie met uw eigen Active Directory Domain wordt door u beheerd, of met behulp van Azure AD-domeinservices wordt volledig ondersteund in Azure. Lees meer over de voordelen van Azure Files Active Directory-integratie en volg dit stap voor stap begeleiding om aan de slag te gaan met het integreren van Azure-bestandsshares met Azure AD Domain Services. Verificatie van Azure-bestandsshares integreren met on-premise Active Directory: Volg deze stappen.
Met deze methode kunnen gebruikers inloggen op Azure-bestandsshares met hun bestaande AD DS-gebruikersnaam/wachtwoorden die zijn opgeslagen in Active Directory of zijn gesynchroniseerd van Azure AD naar Azure AD Domain Services die worden gehost door Azure. Gebruikers kunnen ook hun Azure AD-referenties gebruiken wanneer ze worden gesynchroniseerd vanuit AD DS en gekoppeld aan MyWorkDrive's Azure AD SAML/Single Sign-on-integratie.
Voor on-premise Active Directory kunnen klanten hun eigen Active Directory-servers in Azure uitvoeren en beheren als een virtuele machine, of een Azure-netwerk verbinden met on-premise met behulp van een VPN-tunnel of Azure ExpressRoute. Voor de snelste authenticatie raden we aan om een domeincontroller in Azure op hetzelfde netwerk als de MyWorkDrive-server te plaatsen of om Azure AD Domain Services te gebruiken.
MyWorkDrive heeft onze Azure MyWorkDrive Image op de markt zodat het eenvoudig lid kan worden van een bestaand Windows Active Directory-domein. Dit versnelt het implementatieproces verder.
Azure-bestandsshares Active Directory MyWorkDrive-installatiestappen
MyWorkDrive Azure-bestandsshares installatievideo.
Vereisten
- Active Directory moet worden gesynchroniseerd met Azure AD (voor het instellen van sharemachtigingen).
- Netwerkverbinding van Azure naar een AD DC (een DC die wordt uitgevoerd in Azure of ExpresseRoute/VPN-verbinding met een DC op locatie) of met behulp van Azure AD Domain Services.
- Door Azure gehoste 2019-server met RSAT-hulpprogramma's, gekoppeld aan Active Directory (gebruik deze server om Azure-bestandsshares te beheren en toe te voegen aan uw domein/machtigingen instellen).
- Versneld netwerken ingeschakeld op Azure Virtual Machine (niet beschikbaar met alle machinegroottes, vereist doorgaans een D-serie met 2 of meer vCPU's)
- Nabijheidsplaatsingsgroepen geïmplementeerd om ervoor te zorgen dat computerresources fysiek bij elkaar zijn geplaatst voor optimale prestaties.
- Azure File Premium Storage-account met SMB Multichannel ingeschakeld in dezelfde regio, resourcegroep en Azure Active Directory gesynchroniseerd vanuit Active Directory.
- De naam van het Azure Storage-account mag niet langer zijn dan 15 tekens (vereiste voor de Active Directory-computernaam).
Opslagaccount maken
Maak een opslagaccount in een resourcegroep in hetzelfde Azure-account dat als host fungeert voor uw Azure AD. Selecteer de gewenste redundantie- en prestatie-opties.
Bestandsshare maken
Voeg een bestandsshare toe aan de sharenaam en quota van uw opslagaccount.
Voeg Azure Storage-account toe aan Active Directory
Voordat u begint, wijst u een schijf toe met behulp van de opslagaccountsleutel: net use: "net use required-drive-letter: \\storage-account-name.file.core.windows.net\share-name storage-account-key/user :Azure\storage-account-name" van uw Windows 2019-server in Azure om ervoor te zorgen dat u SMB File Share-connectiviteit hebt.
Azure Files Active Directory-integratie inschakelen
Voor On-premise Active Directory, Schakel Azure Files Active Directory-verificatie in met behulp van de hier beschreven stappen. Opmerking: de scripts werken het beste met PowerShell die bij Server 2019 wordt geleverd, omdat specifieke componenten als onderdeel van het proces moeten worden geïnstalleerd. Het Azure Storage-account wordt toegevoegd als een computeraccount.
Voor Azure AD Domain Services volgt u deze stappen om: Azure Files-verificatie inschakelen met Active Directory Domain Services. In dit geval wordt het Azure Storage-account toegevoegd aan Active Directory als een gebruikersaccount.
Als u Azure AD Domain-services gebruikt, zorg er dan voor dat de gebruikersaccounts die in Active Directory zijn gemaakt, zo zijn ingesteld dat het wachtwoord niet verloopt. Als het wachtwoord verloopt, hebben gebruikers geen toegang meer tot de Azure Files-shares via hun AD-referenties en ontvangen ze fouten bij het inloggen op MyWorkDrive (zie item 1 in de sectie Kan Azure Files niet koppelen met AD-referenties van Problemen met Azure Files Connection oplossen). Je zal moeten reset het wachtwoord en synchroniseer de Kerberos-sleutels opnieuw.
Machtigingen voor delen toewijzen
Hoewel we Active Directory NTFS-machtigingen zullen toewijzen en gebruiken, vereisen Azure-bestandsshares momenteel dat machtigingen ook op het Share-niveau moeten worden ingesteld met behulp van gebruikersaccounts of groepen die zijn gesynchroniseerd met Azure AD. Machtigingen voor het delen van identiteit toewijzen – Bijvoorbeeld: “Storage File Data SMB Share Elevated Contributor” staat lezen, schrijven, verwijderen en wijzigen toe.
Er zijn drie ingebouwde Azure-rollen voor het verlenen van machtigingen op shareniveau aan gebruikers:
- Opslag Bestandsgegevens SMB Share Reader staat leestoegang toe in Azure Storage-bestandsshares via SMB.
- Opslag Bestandsgegevens SMB Share Bijdrager staat lees-, schrijf- en verwijdertoegang toe in Azure Storage-bestandsshares via SMB.
- Opslag Bestandsgegevens SMB Share Verhoogde bijdrager staat lezen, schrijven, verwijderen en wijzigen van Windows ACL's in Azure Storage-bestandsshares via SMB toe.
Een van deze extra Azure AD Share-machtigingen moet worden ingesteld naast Active Directory NTFS-machtigingen ongeacht andere Azure AD Share-machtigingen die al aanwezig zijn (bijvoorbeeld eigenaar). Houd er rekening mee dat Active Directory-groepen die zijn gesynchroniseerd vanuit een lokaal domein kunnen worden gebruikt (Azure AD Connect sluit ingebouwde beveiligingsgroepen uit van adreslijstsynchronisatie).
NTFS-machtigingen toewijzen
Gebruik dezelfde schijf die eerder is toegewezen met uw opslagaccountsleutel, Voeg NTFS-machtigingen voor Active Directory-gebruikers of groepen toe aan het toegewezen station op de gedeelde of gewenste mapniveaus. Test de nieuwe share-NTFS-machtigingen door een schijf toe te wijzen aan het privé-eindpuntadres, bijvoorbeeld \\azure-file-share.file.core.windows.net\share.
MyWorkDrive-server installeren
Met behulp van een nieuwe server of de 2019-server die al is aangesloten bij Active Directory in Azure, MyWorkDrive Server instellen net als elke andere MyWorkDrive-server. Wanneer u uw eerste share toevoegt, gebruikt u uw nieuwe Azure-bestandsshare unc-pad als uw bestandssharepad: bijvoorbeeld \\azure-file-share.file.core.windows.net\share.
Optioneel MyWorkDrive Azure AD eenmalige aanmelding inschakelen
Als gebruikers worden gesynchroniseerd van Active Directory (AD DS) naar Azure AD, kunnen gebruikers inloggen met eenmalige aanmelding met hun Azure AD-referenties met behulp van onze MyWorkDrive Azure AD SAML/Single Sign-on-integratie na delegatie toestaan van het Azure-bestandsshare-computerobject in Active Directory (wanneer Azure-bestandsshares worden toegevoegd aan Active Directory, wordt een bijbehorend computeraccountobject gemaakt).
Optie 2: Azure File Sync verbinden met MyWorkDrive On-Premise
Met Azure Files Sync kunnen meerdere locaties worden gesynchroniseerd van on-premise naar Azure Files en externe locaties. Het gebruik van Azure File Sync is een ander alternatief om verbinding te maken met uw Active Directory, aangezien naast bestanden en mappen ook NTFS-ACL's worden gesynchroniseerd. Bovendien ondersteunt Azure File Sync het behouden, overnemen en afdwingen van Microsoft-bestandssysteem NTFS ACL's voor alle mappen en bestanden in een bestandsshare.
Om MyWorkDrive te verbinden met Azure-bestandsshares, wijst u ze gewoon naar de lokale server die de synchronisatiekopie van uw Azure-bestandsshares host. Vanuit een MyWorkDrive-perspectief is er niets veranderd: NTFS-machtigingen en bestandsvergrendelingen worden gerespecteerd.
Installatievideo voor Azure File Sync.
Azure File Sync breidt bestandsservices uit van on-premise naar Cloud Storage op Azure-bestandsshares en over Windows-servers op meerdere locaties. Microsoft-technici hebben klanten geïnterviewd en bevestigden dat Windows File Shares om verschillende redenen nog steeds in gebruik is. De geïdentificeerde pijnpunten van de klant zijn onder meer snelheid van toegang, controle van gegevens en grote opslagcapaciteiten. Azure File Sync lost deze problemen op.
Belangrijkste functies van Azure File Sync
- Bidirectionele synchronisatie – van Windows Server naar Azure Cloud Storage met terugschrijfmogelijkheden
- Synchronisatie op meerdere locaties - Synchroniseer een share over meerdere Windows-servers via Azure-bestandsshares naar Cloud Storage met de mogelijkheid om gegevens in realtime op elke site in de cache op te slaan en te bewerken.
- back-up van Azure-bestandsshares naar Azure Backup
- Gegevens in lagen verdelen – stel de maximale gegevensopslagcapaciteit in voor elke Windows-server en repliceer alleen de meest recente gegevens naar elke server met het saldo dat is opgeslagen in Azure-bestandsshares in de cloud.
Met MyWorkDrive zijn Windows-bestandsshares toegankelijk vanaf elke locatie wereldwijd via HTTPS (poort 443) vanuit elke webbrowser, de MyWorkDrive-mapped drive-client of mobiele clients.