Azure Files externe toegang met MyWorkDrive
Overzicht van Azure Files
Microsoft Azure-bestandsshares zijn SMB-toegankelijke bestandsshares die worden gehost door Azure. Door Azure Files te gebruiken, zijn bedrijven ontheven van de verantwoordelijkheid voor het onderhouden van bestandsshares op basis van Windows-bestandsservers. Azure Files biedt volledig beheerde bestandsshares in de cloud die toegankelijk zijn via het industriestandaard SMB-protocol.
Om schijven op afstand toe te wijzen aan Azure-bestandsshares, moet verbinding worden gemaakt met poort 445 via het SMB-protocol, dat mogelijk wordt geblokkeerd door internetproviders en alleen toegankelijk is via hetzelfde lokale netwerk of via VPN. Bedrijven moeten VPN-tunnels van Azure naar elke locatie onderhouden, evenals VPN-gateways zodat gebruikers onderweg toegang hebben tot bestanden.
Gebruik MyWorkDrive om vanaf elk apparaat eenvoudig verbinding te maken met uw Azure-bestandsshares zonder VPN.
- Maak verbinding via een webgebaseerde bestandsbeheerder met uw AD-referenties vanaf elk apparaat (pc's hoeven zich niet bij het domein aan te sluiten).
- Maak verbinding via iPhone- of Android-apps.
- Gebruik de MyWorkDrive toegewezen schijfclient die werkt via HTTPS (geen VPN nodig).
Gebruik Azure Files met MyWorkDrive om de elasticiteit en het gemak van beheer van cloudopslag te krijgen.
- Duurzame en maximaal beschikbare cloudopslag, volledig beheerd door Microsoft.
- Betaal naar opslag. Betaal alleen voor wat je gebruikt. Tot 100TB per aandeel.
- Koppel meerdere shares aan MyWorkDrive.
- Bestanden worden tijdens het transport en in rust versleuteld.
- Momentopnamebeheer vanuit Azure Backup.
- Azure-bestandssynchronisatie
- Bidirectionele synchronisatie tussen on-premise en Azure-bestandsshares.
- Lokale caching en cloud-tiering. Prestaties van opslag op locatie met schaal en elasticiteit van de cloud.
- Synchronisatie op meerdere locaties voor een cache op elk filiaal met gecentraliseerde cloudopslag.
De combinatie van MyWorkDrive en Azure Files is een mooie match!
Optie 1: Azure Files rechtstreeks verbinden met MyWorkDrive
Azure-bestandsshares ondersteunen verificatie met Active Directory of met Azure File Sync. John Savill geeft een gedetailleerd overzicht van: Azure Files-verificatie hier. In dit artikel presenteren we onze voorkeursoptie voor de implementatie van MyWorkDrive Azure-bestandsshares, namelijk het rechtstreeks verbinden van Azure-bestandsshares met MyWorkDrive die wordt gehost in Azure, met behulp van Active Directory-verificatie.
Active Directory-verificatie
Azure Files Active Directory-integratie met uw eigen Active Directory Domain wordt door u beheerd, of met behulp van Azure AD-domeinservices wordt volledig ondersteund in Azure. Lees meer over de voordelen van Azure Files Active Directory-integratie en volg dit stap voor stap begeleiding om aan de slag te gaan met het integreren van Azure-bestandsshares met Azure AD Domain Services. Om de authenticatie van Azure-bestandsshares te integreren met lokale Active Directory Volg deze stappen.
Met deze methode kunnen gebruikers zich aanmelden bij Azure-bestandsshares met hun bestaande AD DS-gebruikersnaam/wachtwoorden die zijn opgeslagen in Active Directory of gesynchroniseerd van Azure AD naar Azure AD Domain Services gehost door Azure. Gebruikers kunnen ook hun Azure AD-referenties gebruiken wanneer ze worden gesynchroniseerd vanuit AD DS en gekoppeld aan MyWorkDrive's Azure AD SAML/Single Sign-on-integratie.
Voor On-premise Active Directory kunnen klanten hun eigen Active Directory-servers in Azure uitvoeren en beheren als een virtuele machine, of een Azure-netwerk verbinden met on-premise met behulp van een VPN-tunnel of Azure ExpressRoute. Voor de snelste authenticatie raden we aan om een Domain Controller in Azure te plaatsen op hetzelfde netwerk als de MyWorkDrive-server of om Azure AD Domain Services te gebruiken.
MyWorkDrive heeft onze Azure MyWorkDrive Image op de markt zodat het eenvoudig lid kan worden van een bestaand Windows Active Directory-domein. Dit versnelt het implementatieproces verder.
Azure-bestandsshares Active Directory MyWorkDrive-installatiestappen
MyWorkDrive Azure-bestandsshares installatievideo.
Vereisten
- Active Directory moet worden gesynchroniseerd met Azure AD (voor het instellen van sharemachtigingen).
- Netwerkverbinding van Azure naar een AD DC (een DC die wordt uitgevoerd in Azure of ExpresseRoute/VPN-verbinding met een DC op locatie) of met behulp van Azure AD Domain Services.
- Door Azure gehoste 2019-server met RSAT-hulpprogramma's, gekoppeld aan Active Directory (gebruik deze server om Azure-bestandsshares te beheren en toe te voegen aan uw domein/machtigingen instellen).
- Versneld netwerken ingeschakeld op Azure Virtual Machine (niet beschikbaar met alle machinegroottes, vereist doorgaans een D-serie met 2 of meer vCPU's)
- Nabijheidsplaatsingsgroepen geïmplementeerd om ervoor te zorgen dat computerresources fysiek bij elkaar zijn geplaatst voor optimale prestaties.
- MKB-multikanaal ingeschakeld op AzureFiles, als uw prestatielaag dit ondersteunt.
- De naam van het Azure Storage-account mag niet langer zijn dan 15 tekens (vereiste voor de Active Directory-computernaam).
Opslagaccount maken
Maak een opslagaccount in een resourcegroep in hetzelfde Azure-account dat uw Azure AD host. Selecteer de vereiste redundantie- en prestatieopties.
Bestandsshare maken
Voeg een bestandsshare toe aan de sharenaam en quota van uw opslagaccount.
Voeg Azure Storage-account toe aan Active Directory
Voordat u begint, wijst u een schijf toe met behulp van de opslagaccountsleutel: net use: "net use required-drive-letter: \\storage-account-name.file.core.windows.net\share-name storage-account-key/user :Azure\storage-account-name" van uw Windows 2019-server in Azure om ervoor te zorgen dat u SMB File Share-connectiviteit hebt.
Azure Files Active Directory-integratie inschakelen
Voor On-premise Active Directory, Schakel Azure Files Active Directory-verificatie in met behulp van de hier beschreven stappen. Opmerking: de scripts werken het beste met PowerShell die bij Server 2019 wordt geleverd, omdat hiervoor specifieke componenten moeten worden geïnstalleerd als onderdeel van het proces. Het Azure Storage-account wordt toegevoegd als een computeraccount.
Voor Azure AD Domain Services volgt u deze stappen om: Azure Files-verificatie inschakelen met Active Directory Domain Services. In dit geval wordt het Azure Storage-account toegevoegd aan Active Directory als een gebruikersaccount.
Als u Azure AD Domain-services gebruikt, zorg er dan voor dat de gebruikersaccounts die in Active Directory zijn gemaakt, zo zijn ingesteld dat het wachtwoord niet verloopt. Als het wachtwoord verloopt, hebben gebruikers geen toegang meer tot de Azure Files-shares via hun AD-referenties en krijgen ze foutmeldingen bij het inloggen op MyWorkDrive (zie item 1 in de sectie Kan Azure Files niet koppelen met AD-referenties van Problemen met Azure Files Connection oplossen). Je zal moeten reset het wachtwoord en synchroniseer de Kerberos-sleutels opnieuw.
Machtigingen voor delen toewijzen
Hoewel we Active Directory NTFS-machtigingen zullen toewijzen en gebruiken, vereisen Azure-bestandsshares momenteel dat machtigingen ook op het Share-niveau moeten worden ingesteld met behulp van gebruikersaccounts of groepen die zijn gesynchroniseerd met Azure AD. Machtigingen voor het delen van identiteit toewijzen – Bijvoorbeeld: “Storage File Data SMB Share Elevated Contributor” staat lezen, schrijven, verwijderen en wijzigen toe.
Er zijn drie ingebouwde Azure-rollen voor het verlenen van machtigingen op shareniveau aan gebruikers:
- Opslag Bestandsgegevens SMB Share Reader staat leestoegang toe in Azure Storage-bestandsshares via SMB.
- Opslag Bestandsgegevens SMB Share Bijdrager staat lees-, schrijf- en verwijdertoegang toe in Azure Storage-bestandsshares via SMB.
- Opslag Bestandsgegevens SMB Share Verhoogde bijdrager staat lezen, schrijven, verwijderen en wijzigen van Windows ACL's in Azure Storage-bestandsshares via SMB toe.
Een van deze extra Azure AD Share-machtigingen moet worden ingesteld naast Active Directory NTFS-machtigingen ongeacht eventuele andere bestaande machtigingen voor Azure AD-shares (bijvoorbeeld eigenaar). Houd er rekening mee dat Active Directory Groups Synced from local domain kunnen worden gebruikt (Azure AD Connect sluit ingebouwde beveiligingsgroepen uit van directorysynchronisatie).
Microsoft heeft een manier mogelijk gemaakt om machtigingen voor alle gebruikers toe te wijzen in plaats van per gebruiker toe te wijzen. Hierin zijn details beschikbaar bijgewerkte Microsoft-documentatie
NTFS-machtigingen toewijzen
Gebruik dezelfde schijf die eerder is toegewezen met uw opslagaccountsleutel, Voeg NTFS-machtigingen voor Active Directory-gebruikers of groepen toe aan het toegewezen station op de gedeelde of gewenste mapniveaus. Test de NTFS-machtigingen voor de nieuwe share door een schijf toe te wijzen aan het privé-eindpuntadres, bijvoorbeeld \\azure-file-share.file.core.windows.net\share.
MyWorkDrive-server installeren
Met behulp van een nieuwe server of de 2019-server die al is aangesloten bij Active Directory in Azure, MyWorkDrive Server instellen net zoals elke andere MyWorkDrive-server. Wanneer u uw eerste share toevoegt, gebruikt u het unc-pad van uw nieuwe Azure-bestandsshare als uw bestandssharepad: bijvoorbeeld \\azure-file-share.file.core.windows.net\share.
Optioneel MyWorkDrive Azure AD eenmalige aanmelding inschakelen
Als gebruikers worden gesynchroniseerd van Active Directory (AD DS) naar Azure AD, kunnen gebruikers inloggen met eenmalige aanmelding met hun Azure AD-referenties met behulp van onze MyWorkDrive Azure AD SAML/Single Sign-on-integratie na delegatie toestaan van het Azure-bestandsshare-computerobject in Active Directory (wanneer Azure-bestandsshares worden toegevoegd aan Active Directory, wordt een bijbehorend computeraccountobject gemaakt).
Optie 2: Azure File Sync verbinden met MyWorkDrive On-Premise
Met Azure Files-synchronisatie meerdere locaties kunnen worden gesynchroniseerd van on-premise naar Azure Files en externe locaties. Het gebruik van Azure File Sync is een ander alternatief om uw Active Directory te verbinden, aangezien NTFS ACL's worden gesynchroniseerd, naast bestanden en mappen. Bovendien ondersteunt Azure File Sync het behouden, overnemen en afdwingen van NTFS-ACL's van het Microsoft-bestandssysteem voor alle mappen en bestanden in een bestandsshare.
Om MyWorkDrive te verbinden met Azure-bestandsshares, wijst u ze gewoon naar de lokale server die als host fungeert voor de synchronisatiekopie van uw Azure-bestandsshares. Vanuit het perspectief van MyWorkDrive is er niets veranderd: NTFS-machtigingen en bestandsvergrendelingen worden gerespecteerd.
Installatievideo voor Azure File Sync.
Azure File Sync breidt bestandsservices uit van on-premise naar cloudopslag op Azure-bestandsshares en op Windows-servers op meerdere locaties. Microsoft-technici interviewden klanten en bevestigden dat Windows File Shares om verschillende redenen nog steeds in gebruik zijn. De geïdentificeerde pijnpunten van de klant zijn onder meer toegangssnelheid, controle van gegevens en grote opslagcapaciteiten. Azure File Sync verhelpt deze zorgen.
Belangrijkste functies van Azure File Sync
- Bidirectionele synchronisatie – van Windows Server naar Azure Cloud Storage met terugschrijfmogelijkheden
- Synchronisatie op meerdere locaties - Synchroniseer een share over meerdere Windows-servers via Azure-bestandsshares naar Cloud Storage met de mogelijkheid om gegevens in realtime op elke site in de cache op te slaan en te bewerken.
- back-up van Azure-bestandsshares naar Azure Backup
- Gegevens in lagen verdelen – stel de maximale gegevensopslagcapaciteit in voor elke Windows-server en repliceer alleen de meest recente gegevens naar elke server met het saldo dat is opgeslagen in Azure-bestandsshares in de cloud.
Met behulp van MyWorkDrive kunnen Windows-bestandsshares vanaf elke locatie ter wereld worden geopend via HTTPS (poort 443) vanuit elke webbrowser, de MyWorkDrive-mapped drive-client of mobiele clients.