SMB-Azure Dateifreigaben

Gilt für: ✔️ SMB-Dateifreigaben

Azure Files unterstützt zwei Branchenstandardprotokolle für die Einbindung von Azure-Dateifreigaben: das SMB-Protokoll (Server Message Block) und das NFS-Protokoll (Network File System). mit Azure Files können Sie das Dateisystemprotokoll auswählen, das für Ihre Workload am besten geeignet ist. Azure Dateifreigaben unterstützen nicht den Zugriff auf eine einzelne Azure Dateifreigabe mit den SMB- und NFS-Protokollen, obwohl Sie SMB- und NFS-Dateifreigaben innerhalb desselben Speicherkontos erstellen können. Für alle Dateifreigaben bietet Azure Files Dateifreigaben auf Unternehmensniveau, die auf Ihre Speicheranforderungen skaliert werden können und gleichzeitig von Tausenden von Clients aufgerufen werden können.

In diesem Artikel werden die SMB-Azure-Dateifreigaben behandelt. Informationen zu NFS Azure Dateifreigaben finden Sie unter NFS Azure Dateifreigaben.

Häufige Szenarios

SMB-Dateifreigaben werden für viele Anwendungen verwendet, einschließlich Endbenutzerdateifreigaben und Dateifreigaben, die Datenbanken und Anwendungen sichern. SMB-Dateifreigaben werden häufig in den folgenden Szenarien verwendet:

Endbenutzerdateifreigaben wie Teamfreigaben und Heimverzeichnisse
Bereitstellung von Speicherunterstützung für Windows-basierte Anwendungen, z. B. SQL Server-Datenbanken oder geschäftskritische Anwendungen, die für Win32- oder .NET-Lokale-Dateisystem-APIs geschrieben wurden.
Neue Anwendungs- und Dienstentwicklung, insbesondere, wenn diese Anwendung oder dieser Dienst eine Anforderung für zufälligen E/A- und hierarchischen Speicher hat

Funktionen

Azure Files unterstützt die wichtigsten Features von SMB und Azure, die für Produktionsbereitstellungen von SMB-Dateifreigaben erforderlich sind:

SMB Kontinuierliche Verfügbarkeit (CA)
AD-Domänenbeitritts- und diskretionäre Zugriffssteuerungslisten (DACLs)
Integrierte serverlose Sicherung mit Azure Backup
Netzwerkisolation mit Azure privaten Endpunkten
Hoher Netzwerkdurchsatz mit SMB Multichannel (nur SSD-Dateifreigaben)
SMB-Kanalverschlüsselung einschließlich AES-256-GCM, AES-128-GCM und AES-128-CCM
Unterstützung früherer Versionen durch integrierte VSS-Freigabemomentaufnahmen
Automatisches vorläufiges Löschen für Azure-Dateifreigaben, um versehentliche Löschvorgänge zu verhindern
Optional über das Internet zugängliche Dateifreigaben mit internetsicherem SMB 3.0 und höher

SMB-Dateifreigaben können direkt lokal eingebunden oder auch lokal mit der Azure-Dateisynchronisierung zwischengespeichert werden.

Windows SMB-Unterstützung und Azure Files Features

Die folgende Tabelle zeigt die Windows-Unterstützung für SMB-Version, SMB Multichannel¹ und SMB-Kanalverschlüsselung beim Mounten von Azure-Dateifreigaben. Verwenden Sie diese Tabelle, um die Unterstützungs- und Sicherheitsanforderungen für die Clientbetriebssysteme zu ermitteln, die auf Ihre Azure Dateifreigabe zugreifen. Es wird empfohlen, die neueste KB für Ihre Version von Windows zu verwenden.

Windows Version	SMB-Version	SMB Multichannel (nur SSD)	Maximale SMB-Kanalverschlüsselung
Windows Server 2025	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 24H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 23H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 22H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 10, Version 22H2	SMB 3.1.1	Ja	AES-128-GCM
Windows Server 2022	SMB 3.1.1	Ja	AES-256-GCM
Windows 11, Version 21H2	SMB 3.1.1	Ja	AES-256-GCM
Windows 10, Version 21H2	SMB 3.1.1	Ja	AES-128-GCM
Windows 10, Version 21H1	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows Server, Version 20H2	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows 10, Version 20H2	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows Server, Version 2004	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows 10, Version 2004	SMB 3.1.1	Ja, mit KB5003690 oder neuer	AES-128-GCM
Windows Server 2019	SMB 3.1.1	Ja, mit KB5003703 oder neuer	AES-128-GCM
Windows 10, Version 1809	SMB 3.1.1	Ja, mit KB5003703 oder neuer	AES-128-GCM
Windows Server 2016	SMB 3.1.1	Ja, mit KB5004238 oder neuer und angewendetem Registrierungsschlüssel	AES-128-GCM
Windows 10, Version 1607	SMB 3.1.1	Ja, mit KB5004238 oder neuer und angewendetem Registrierungsschlüssel	AES-128-GCM
Windows 10, Version 1507	SMB 3.1.1	Ja, mit KB5004249 oder neuer und angewendetem Registrierungsschlüssel	AES-128-GCM
Windows Server 2012 R2²	SMB 3.0	No	AES-128-CCM
Windows Server 2012²	SMB 3.0	No	AES-128-CCM
Windows 8.1³	SMB 3.0	No	AES-128-CCM
Windows Server 2008 R2³	SMB 2.1	No	Nicht unterstützt
Windows 7³	SMB 2.1	No	Nicht unterstützt

¹Azure Files unterstützt SMB Multichannel nur auf SSD-Dateifreigaben.

²Regular Microsoft Unterstützung für Windows Server 2012 und Windows Server 2012 R2 wurde beendet. Sie können zusätzliche Unterstützung für Sicherheitsupdates nur über das Programm für erweiterte Sicherheitsupdates (EXTENDED Security Update, ESU) erwerben.

³Microsoft Unterstützung für Windows 7, Windows 8 und Windows Server 2008 R2 wurde beendet. Wir empfehlen dringend, von diesen Betriebssystemen wegzumigrieren.

SMB-Protokolleinstellungen

Azure Files bietet mehrere Einstellungen, die sich auf das Verhalten, die Leistung und die Sicherheit des SMB-Protokolls auswirken. Diese sind für alle Azure Dateifreigaben innerhalb eines Speicherkontos konfiguriert.

Kontinuierliche SMB-Verfügbarkeit

Azure Files unterstützt SMB Continuous Availability (CA), damit Anwendungen während vorübergehender Infrastrukturereignisse verfügbar bleiben. Kontinuierliche Verfügbarkeit ist eine Funktion des SMB-Protokolls, mit dem offene Dateihandles kurze Unterbrechungen wie Serverfailover oder kurze Netzwerkunterbrechungen überleben können. Alle SMB-Azure Dateifreigaben sind standardmäßig kontinuierlich verfügbar. Diese Einstellung kann nicht deaktiviert werden.

Was die kontinuierliche Verfügbarkeit bietet

Kontinuierliche Verfügbarkeit bietet die folgenden Vorteile:

Persistente Dateihandles, die vorübergehende Fehler überdauern
Transparente Wiederherstellung von E/A-Vorgängen nach dem Failover
Datenkonsistenz während Infrastrukturübergängen
Verringertes Risiko von Anwendungsunterbrechungen

Wenn eine kurze Verbindungsunterbrechung auftritt, versuchen SMB-Clients automatisch, Operationen erneut auszuführen und stellen den Zugriff auf geöffnete Dateien wieder her, ohne dass die Anwendung sie erneut öffnen muss. Dieses Verhalten ist besonders wichtig für Workloads, die andauernde Dateisitzungen verwalten.

Funktionsweise der kontinuierlichen Verfügbarkeit

Die kontinuierliche Verfügbarkeit basiert auf persistenten SMB-Handles. Während einer vorübergehenden Unterbrechung, die in der Regel bis zu mehreren Minuten dauert, gelten die folgenden Anweisungen:

Geöffnete Dateihandles bleiben gültig.
Der SMB-Client wiederholt ausstehende E/A-Vorgänge.
Azure Files setzt den Betrieb nahtlos fort, sobald die Verbindung wiederhergestellt wurde.

Da Azure Files die Korrektheit und Haltbarkeit priorisiert, wartet der Client und unternimmt wiederholte Versuche, anstatt die Operation sofort abzubrechen.

Timeoutverhalten bei Verbindungsverlust

Aufgrund des Wiederholungsverhaltens, das die fortlaufende Verfügbarkeit erfordert, können SMB-Vorgänge bei Netzwerkunterbrechungen länger zum Timeout benötigen.

Sie können beispielsweise Folgendes erleben:

Windows SMB-Clients versuchen möglicherweise mehrere Minuten lang Vorgänge erneut, bevor ein Fehler zurückgegeben wird.
Anwendungen werden möglicherweise vorübergehend angehalten, während die Verbindung wieder hergestellt wird.

Dieses Verhalten ist entwurfsbedingt, da es dabei hilft, Integrität zu bewahren und Datenbeschädigungen zu verhindern. Bei Workloads, die häufig die Verbindung verlieren, beispielsweise bei Roaming-Laptops oder instabilen Netzwerkverbindungen, könnte es zu längeren Wartezeiten kommen, bevor Fehler zurückgegeben werden.

SMB Multichannel

SMB Multichannel ermöglicht einem SMB 3.x-Client das Herstellen mehrerer Netzwerkverbindungen mit einer SMB-Dateifreigabe. Azure Files unterstützt SSD-Dateifreigaben mit SMB-Multichannel. Für Windows Clients ist SMB Multichannel jetzt in allen Azure Regionen standardmäßig aktiviert.

Um den Status von SMB Multichannel anzuzeigen, navigieren Sie zu dem Speicherkonto, das Ihre SSD-Dateifreigaben enthält, und wählen Sie "Dateifreigaben " unter der Überschrift "Datenspeicher " im Inhaltsverzeichnis des Speicherkontos aus. Der Status von SMB Multichannel sollte im Abschnitt " Dateifreigabeeinstellungen " angezeigt werden. Wenn dies nicht angezeigt wird, stellen Sie sicher, dass Ihr Speicherkonto der Art des FileStorage-Kontos ist.

Um SMB Multichannel zu aktivieren oder zu deaktivieren, wählen Sie den aktuellen Status aus (also entweder Aktiviert oder Deaktiviert). Das daraufhin angezeigte Dialogfeld bietet einen Umschalter zum Aktivieren oder Deaktivieren von SMB Multichannel. Wählen Sie den gewünschten Status aus, und wählen Sie dann Speichern aus.

Screenshot: Dialogfeld zum Aktivieren/Deaktivieren des Features „SMB Multichannel“.

Um den Status von SMB Multichannel abzurufen, verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty. Ersetzen Sie <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung, bevor Sie diese PowerShell-Befehle ausführen.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following PowerShell commands replace null values with 
# the human-readable default values. 
$nullSmbMultichannelEnabled = $false

# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbMultichannelEnabled"; 
            Expression = { 
                if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) { 
                    $nullSmbMultichannelEnabled 
                } else { 
                    $_.ProtocolSettings.Smb.Multichannel.Enabled 
                } 
            } 
        }

Um SMB Multichannel zu aktivieren/deaktivieren, verwenden Sie das Cmdlet Update-AzStorageFileServiceProperty.

Update-AzStorageFileServiceProperty `
    -StorageAccount $storageAccount `
    -EnableSmbMultichannel $true

Um den Status von SMB Multichannel abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Ersetzen Sie <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung, bevor Sie diese Befehle ausführen.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never enabled or disabled SMB Multichannel and your file share was created before
# October 24, 2025, the value for the SMB Multichannel property returned by Azure Files will be 
# null. Null returned values should be interpreted as "default settings are in effect". 
# To make this more user-friendly, the following commands replace null values with 
# the human-readable default values. 

## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"

# Replacement values for null parameters. 
NULLSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"

# Build JMESPath query string
QUERY="{" 
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$NULLSMBMULTICHANNELENABLED}"

# Print returned settings
echo $PROTOCOL_SETTINGS

Um SMB Multichannel zu aktivieren/deaktivieren, verwenden Sie den Befehl az storage account file-service-properties update.

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --enable-smb-multichannel "true"

Aktiviere SMB Multichannel auf älteren Betriebssystemen

Die Unterstützung für SMB Multichannel in Azure Files erfordert, dass sichergestellt ist, dass Windows alle relevanten Patches angewendet hat. Mehrere ältere Windows Versionen, einschließlich Windows Server 2016, Windows 10 Version 1607 und Windows 10 Version 1507, erfordern zusätzliche Registrierungsschlüssel, die für alle relevanten SMB Multichannel-Fixes festgelegt werden müssen, die auf vollständig gepatchte Installationen angewendet werden. Wenn Sie eine Version von Windows ausführen, die neuer als diese drei Versionen ist, ist keine zusätzliche Aktion erforderlich.

Windows Server 2016 und Windows 10 Version 1607

Um alle SMB Multichannel-Fixes für Windows Server 2016 und Windows 10 Version 1607 zu aktivieren, führen Sie den folgenden PowerShell-Befehl aus:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 Version 1507

Um alle SMB Multichannel-Fixes für Windows 10 Version 1507 zu aktivieren, führen Sie den folgenden PowerShell-Befehl aus:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Sicherheit

Alle in Azure Files gespeicherten Daten werden im Ruhezustand mit der Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt. Sie können auch daten während der Übertragung verschlüsseln.

Verschlüsselung im Ruhezustand

Die Verschlüsselung des Speicherdiensts funktioniert ähnlich wie BitLocker bei Windows: Daten werden unter der Dateisystemebene verschlüsselt. Da Daten unter dem Dateisystem der Azure-Dateifreigabe verschlüsselt sind, da sie auf den Datenträger kodiert werden, müssen Sie nicht auf den zugrunde liegenden Schlüssel auf dem Client zugreifen, um auf die Azure-Dateifreigabe zu lesen oder zu schreiben.

Verschlüsselung während der Übertragung

Azure Files stellt die dedizierte Einstellung Require Encryption in Transit for SMB bereit, mit der Sie unabhängig steuern können, ob die Verschlüsselung für den SMB-Zugriff auf Azure-Dateifreigaben erforderlich ist. Diese Einstellung pro Protokoll bietet eine genauere Kontrolle als die erforderliche Einstellung für die sichere Übertragung auf Speicherkontoebene, die jetzt nur für REST-/HTTPS-Datenverkehr gilt. Für neue Speicherkonten, die mithilfe des Azure-Portals erstellt wurden, ist Require Encryption in Transit für SMB standardmäßig aktiviert, sodass nur SMB-Bereitstellungen mit SMB 3.x mit Verschlüsselung zulässig sind. Einbindungen von Clients, die SMB 3.x nicht mit SMB-Kanalverschlüsselung unterstützen, werden abgelehnt, wenn die Verschlüsselung während der Übertragung (in Transit) aktiviert ist. Mit Azure PowerShell, Azure CLI oder der FileREST-API erstellte Speicherkonten setzen Require Encryption in Transit for SMB auf nicht ausgewählt, um die Abwärtskompatibilität sicherzustellen.

Für vorhandene Speicherkonten wird die Verschlüsselung bei der Übertragung für SMB anfänglich als Nicht ausgewählt angezeigt. Obwohl nicht ausgewählt, beeinflusst die Einstellung Sichere Übertragung erforderlich weiterhin das SMB-Verschlüsselungsverhalten. Nachdem Sie die Verschlüsselung während der Übertragung für SMB explizit konfiguriert haben, hat diese Einstellung Vorrang für den SMB-Zugriff, unabhängig vom erforderlichen Wert für die sichere Übertragung .

Azure Files unterstützt AES-256-GCM mit SMB 3.1.1 bei Verwendung mit Windows Server 2022 oder Windows 11. SMB 3.1.1 unterstützt außerdem AES-128-GCM. SMB 3.0 unterstützt AES-128-CCM. AES-128-GCM wird aus Leistungsgründen standardmäßig unter Windows 10 Version 21H1 ausgehandelt.

Sie können die Verschlüsselung während der Übertragung für eine Azure Dateifreigabe deaktivieren. Wenn die Verschlüsselung deaktiviert ist, ermöglicht Azure Files SMB 2.1 und SMB 3.x ohne Verschlüsselung. Der Hauptgrund für die Deaktivierung der Verschlüsselung bei der Übertragung ist die Unterstützung einer älteren Anwendung, die auf einem älteren Betriebssystem ausgeführt werden muss, z. B. Windows Server 2008 R2 oder einer älteren Linux-Verteilung. Azure Files nur SMB 2.1-Verbindungen innerhalb derselben Azure Region wie die Azure Dateifreigabe zulässt. Ein SMB 2.1-Client außerhalb der Azure Region der Azure Dateifreigabe, z. B. lokal oder in einer anderen Azure Region, kann nicht auf die Dateifreigabe zugreifen.

SMB-Sicherheitseinstellungen

Azure Files stellt Einstellungen bereit, mit denen Sie das SMB-Protokoll je nach den Anforderungen Ihrer Organisation umschalten können, um die Kompatibilität oder Sicherheit zu erhöhen. Standardmäßig ist Azure Files so konfiguriert, dass er maximal kompatibel ist. Bedenken Sie daher, dass das Einschränken dieser Einstellungen dazu führen kann, dass einige Clients keine Verbindung herstellen können.

Azure Files macht die folgenden Einstellungen verfügbar:

SMB-Versionen: Zulässige Versionen von SMB. Unterstützt werden die Protokollversionen SMB 3.1.1, SMB 3.0 und SMB 2.1. Standardmäßig sind alle SMB-Versionen zulässig, obwohl SMB 2.1 nicht zulässig ist, wenn "Verschlüsselung bei der Übertragung für SMB erforderlich " aktiviert ist (oder wenn die erforderliche Einstellung für die sichere Übertragung SMB-Verhalten steuert), da SMB 2.1 die Verschlüsselung während der Übertragung nicht unterstützt.
Authentifizierungsmethoden: Zulässige SMB-Authentifizierungsmethoden. Unterstützte Authentifizierungsmethoden sind NTLMv2 (nur Speicherkontoschlüssel) und Kerberos. Standardmäßig sind alle Authentifizierungsmethoden zulässig. Durch Entfernen von NTLMv2 wird die Verwendung des Speicherkontoschlüssels zum Einbinden der Azure-Dateifreigabe verhindert. Azure Files unterstützt die Verwendung der NTLM-Authentifizierung für Domänenanmeldeinformationen nicht.
Kerberos-Ticketverschlüsselung: Zulässige Verschlüsselungsalgorithmen. Unterstützte Verschlüsselungsalgorithmen sind AES-256 (dringend empfohlen) und RC4-HMAC.
SMB-Kanalverschlüsselung: Zulässige SMB-Kanalverschlüsselungsalgorithmen. Unterstützt werden die Verschlüsselungsalgorithmen AES-256-GCM, AES-128-GCM und AES-128-CCM. Wenn Sie nur AES-256-GCM auswählen, müssen Sie den verbindenden Clients mitteilen, dass sie es verwenden sollen, indem Sie auf jedem Client ein PowerShell-Terminal als Administrator öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen. Die Verwendung von AES-256-GCM wird auf Windows Clients, die älter als Windows 11/Windows Server 2022 sind, nicht unterstützt.

Sie können die SMB-Sicherheitseinstellungen mithilfe des Azure Portals, Azure PowerShell oder der Azure CLI anzeigen und ändern. Wählen Sie die gewünschte Registerkarte aus, um die Schritte zum Abrufen und Festlegen der SMB-Sicherheitseinstellungen anzuzeigen. Beachten Sie, dass diese Einstellungen überprüft werden, wenn eine SMB-Sitzung eingerichtet wird und wenn sie nicht erfüllt ist, schlägt die SMB-Sitzungseinrichtung mit dem Fehler STATUS_ACCESS_DENIEDfehl.

Führen Sie die folgenden Schritte aus, um die SMB-Sicherheitseinstellungen mithilfe des Azure Portals anzuzeigen oder zu ändern:

Melden Sie sich beim Azure-Portal an, und suchen Sie nach Storage-Konten. Wählen Sie das Speicherkonto aus, für das Sie die SMB-Sicherheitseinstellungen anzeigen oder ändern möchten.
Wählen Sie im Servicemenü die Optionen Datenspeicherung>Dateifreigaben aus.
Wählen Sie unter Einstellungen für die Dateifreigabe den Wert aus, der der Sicherheit zugeordnet ist.
Sie können Verschlüsselung während der Übertragung für SMB erforderlich machen explizit aktivieren oder deaktivieren. Bei neuen Speicherkonten, die mithilfe des Azure Portals erstellt wurden, ist diese Einstellung standardmäßig aktiviert.
Wählen Sie unter Profil die Option Maximale Kompatibilität, Maximale Sicherheit oder Benutzerdefiniert aus. Wenn Sie Benutzerdefiniert auswählen, können Sie ein benutzerdefiniertes Profil für SMB-Protokollversionen, SMB-Kanalverschlüsselung, Authentifizierungsmechanismen und Kerberos-Ticketverschlüsselung erstellen.

Wichtig

Wenn Sie die maximale Sicherheit auswählen oder benutzerdefinierte Einstellungen verwenden, kann dies dazu führen, dass einige Clients keine Verbindung herstellen können. Beispielsweise wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung eingeführt, beginnend mit Windows Server 2022 und Windows 11. Das bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022 und Windows 11 Clients anweisen, nur AES-256-GCM zu verwenden, indem Sie ein PowerShell-Terminal als Administrator auf jedem Client öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.

Nachdem Sie die gewünschten Sicherheitseinstellungen eingegeben haben, wählen Sie Speichern aus.

Verwenden Sie das Cmdlet Get-AzStorageFileServiceProperty, um die SMB-Protokolleinstellungen abzurufen. Ersetzen <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festgelegt haben, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Auskommentieren bestimmter Zeilen.

$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"

# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the following 
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"

# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
    Select-Object -Property `
        ResourceGroupName, `
        StorageAccountName, `
        @{ 
            Name = "SmbProtocolVersions";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.Versions) {
                    [String]::Join(", ", $smbProtocolVersions)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
                }
            }
        },
        @{
            Name = "SmbChannelEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
                    [String]::Join(", ", $smbChannelEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
                }
            }
        },
        @{
            Name = "SmbAuthenticationMethods";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
                    [String]::Join(", ", $smbAuthenticationMethods)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
                }
            }
        },
        @{
            Name = "SmbKerberosTicketEncryption";
            Expression = {
                if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
                    [String]::Join(", ", $smbKerberosTicketEncryption)
                } else {
                    [String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
                }
            }
        }

Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Mit dem folgenden PowerShell-Befehl werden Ihre SMB-Dateifreigaben auf die sichersten Optionen eingeschränkt.

Wichtig

Das Einschränken von SMB-Azure Dateifreigaben auf die sichersten Optionen kann dazu führen, dass einige Clients keine Verbindung herstellen können. Beispielsweise wurde AES-256-GCM als Option für die SMB-Kanalverschlüsselung eingeführt, beginnend mit Windows Server 2022 und Windows 11. Das bedeutet, dass ältere Clients, die AES-256-GCM nicht unterstützen, keine Verbindung herstellen können. Wenn Sie nur AES-256-GCM auswählen, müssen Sie Windows Server 2022 und Windows 11 Clients anweisen, nur AES-256-GCM zu verwenden, indem Sie ein PowerShell-Terminal als Administrator auf jedem Client öffnen und Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false ausführen.

Update-AzStorageFileServiceProperty `
    -ResourceGroupName $resourceGroupName `
    -StorageAccountName $storageAccountName `
    -SmbAuthenticationMethod "Kerberos" `
    -SmbChannelEncryption "AES-256-GCM" `
    -SmbKerberosTicketEncryption "AES-256" `
    -SmbProtocolVersion "SMB3.1.1"

Je nach Ihren Sicherheitsanforderungen möchten Sie möglicherweise die Einstellung " Verschlüsselung für SMB erforderlich " aktivieren oder deaktivieren.

Führen Sie das folgende Cmdlet aus, um die Verschlüsselung während der Übertragung für SMB im Speicherkonto zu aktivieren:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $true

Führen Sie das folgende Cmdlet aus, um die Anforderung der Verschlüsselung während der Übertragung für SMB auf dem Speicherkonto zu deaktivieren:

Update-AzStorageFileServiceProperty -ResourceGroupName <resource-group> -StorageAccountName <storage-account-name> -SmbEncryptionInTransitRequired $false

Um den Status der SMB-Sicherheitseinstellungen abzurufen, verwenden Sie den Befehl az storage account file-service-properties show. Denken Sie daran, <resource-group> und <storage-account> durch die entsprechenden Werte für Ihre Umgebung zu ersetzen, bevor Sie diese Bash-Befehle ausführen. Wenn Sie absichtlich eine Ihrer SMB-Sicherheitseinstellungen auf NULL festgelegt haben, z. B. durch Deaktivieren der SMB-Kanalverschlüsselung, lesen Sie die Anweisungen im Skript zum Auskommentieren bestimmter Zeilen.

RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"

# If you've never changed any SMB security settings, the values for the SMB security 
# settings returned by Azure Files will be null. Null returned values should be interpreted 
# as "default settings are in effect". To make this more user-friendly, the commands in the 
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before 
# running the script to avoid changing the security settings back to defaults.

# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"

# Replacement values for null parameters. If you copy this into your own 
# scripts, you will need to ensure that you keep these variables up-to-date with any new 
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""

# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"

# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "${QUERY}")

# Replace returned values if null with default values 
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"

# Print returned settings
echo $PROTOCOLSETTINGS

Sie können die SMB-Protokolleinstellungen je nach den Sicherheits-, Leistungs- und Kompatibilitätsanforderungen Ihrer Organisation ändern. Der folgende Azure CLI Befehl schränkt Ihre SMB-Dateifreigaben nur auf die sichersten Optionen ein.

Wichtig

az storage account file-service-properties update \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --versions "SMB3.1.1" \
    --channel-encryption "AES-256-GCM" \
    --auth-methods "Kerberos" \
    --kerb-ticket-encryption "AES-256"

Je nach Ihren Sicherheitsanforderungen möchten Sie möglicherweise die Einstellung " Verschlüsselung für SMB erforderlich " aktivieren oder deaktivieren.

Führen Sie den folgenden Befehl aus, um die Verschlüsselung während der Übertragung für SMB auf dem Speicherkonto zu aktivieren:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit true -n <storage-account-name> -g <resource-group>

Um die Verschlüsselung während der Übertragung für SMB erzwingen auf dem Speicherkonto zu deaktivieren, führen Sie den folgenden Befehl aus:

az storage account file-service-properties update --require-smb-encryption-in-transit --smb-eit false -n <storage-account-name> -g <resource-group>

Einschränkungen

SMB-Azure-Dateifreigaben umfassen eine Teilmenge von Features, die vom SMB-Protokoll und dem NTFS-Dateisystem unterstützt werden. Obwohl die meisten Anwendungsfälle und Anwendungen diese Features nicht erfordern, funktionieren einige Anwendungen möglicherweise nicht ordnungsgemäß mit Azure Files, wenn sie auf nicht unterstützte Features angewiesen sind. Die folgenden Features werden nicht unterstützt:

SMB Direct
SMB Directory Leasing
VSS für SMB-Dateifreigaben (damit können VSS-Anbieter Daten in die SMB-Dateifreigabe leeren, bevor eine Momentaufnahme erstellt wird)
Alternative Datenströme
Erweiterte Attribute
Objektkennungen
Hard Links
Soft Links
Reparse-Punkte
Sparse Dateien
Kurze Dateinamen (8.3-Alias)
Compression

Regionale Verfügbarkeit

SMB-Azure-Dateifreigaben sind in jeder Azure-Region verfügbar, einschließlich aller öffentlichen und souveränen Regionen. SSD-Dateifreigaben sind in einigen Regionen verfügbar.

Nächste Schritte

Plan für eine Azure Files Bereitstellung
Erstellen Sie eine Azure-Dateifreigabe
Einbinden von SMB-Dateifreigaben in Ihrem bevorzugten Betriebssystem:

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-09