Comparticiones de archivos SMB de Azure

Se aplica a: ✔️ recursos compartidos de archivos SMB

Azure Files ofrece recursos compartidos de archivos de nivel empresarial que se pueden escalar verticalmente para satisfacer sus necesidades de almacenamiento y a los que miles de clientes pueden acceder simultáneamente. Azure Files ofrece dos protocolos estándar del sector para montar recursos compartidos de archivos Azure: el protocolo Server Message Block (SMB) y el protocolo Network File System (NFS). Elija el protocolo que mejor se adapte a la carga de trabajo. Azure Files no admite el acceso a un recurso compartido de archivos de Azure individual con los protocolos SMB y NFS, aunque puede crear recursos compartidos de archivos clásicos SMB y NFS dentro de la misma cuenta de almacenamiento.

En este artículo se tratan los recursos compartidos de archivos Azure SMB. Para obtener información sobre los recursos compartidos de archivos de Azure NFS, consulte NFS Azure recursos compartidos de archivos.

Escenarios frecuentes

Use recursos compartidos de archivos SMB para muchas aplicaciones, incluidos los recursos compartidos de archivos del usuario final y los recursos compartidos de archivos que respaldan las bases de datos y las aplicaciones. Use recursos compartidos de archivos SMB en los escenarios siguientes:

  • Recursos compartidos de archivos de usuario final, como recursos compartidos de equipo y directorios principales
  • Almacenamiento de respaldo para aplicaciones basadas en Windows, como bases de datos SQL Server o aplicaciones empresariales
  • Nuevo desarrollo de aplicaciones y servicios, especialmente si necesita E/S aleatorio y almacenamiento jerárquico

Características

Azure Files admite las principales características de SMB y Azure necesarias para las implementaciones de producción de recursos compartidos de archivos SMB:

  • Disponibilidad Continua (CA) de SMB
  • Unión a dominio de Active Directory (AD) y listas de control de acceso discrecional (DACL)
  • Copia de seguridad integrada sin servidor con Azure Backup
  • Aislamiento de red con puntos de conexión privados de Azure
  • Alto rendimiento de red con SMB multicanal (solo recursos compartidos de archivos SSD)
  • Cifrado de canal SMB, incluido AES-256-GCM, AES-128-GCM y AES-128-CCM
  • Compatibilidad con versiones anteriores mediante instantáneas de recurso compartido integradas de VSS
  • Eliminación provisional automática en recursos compartidos de archivos de Azure para evitar eliminaciones accidentales
  • Opcionalmente, recursos compartidos de archivos accesibles desde Internet con SMB 3.0 y versiones posteriores seguro para Internet

Puede montar recursos compartidos de SMB directamente o almacenarlos en caché en el entorno local con Azure File Sync.

Soporte de SMB de Windows y características de Azure Files

En la tabla siguiente se muestra la compatibilidad de Windows con la versión SMB, SMB Multichannel1, y el cifrado del canal SMB al montar recursos compartidos de archivos de Azure. Use esta tabla para determinar los requisitos de compatibilidad y seguridad de características para los sistemas operativos cliente que acceden al recurso compartido de archivos de Azure. Use la KB más reciente para la versión de Windows.

versión de Windows Versión de SMB SMB multicanal (solo SSD) Cifrado máximo del canal SMB
Windows Server 2025 SMB 3.1.1 AES-256-GCM
Windows 11, versión 24H2 SMB 3.1.1 AES-256-GCM
Windows 11, versión 23H2 SMB 3.1.1 AES-256-GCM
Windows 11, versión 22H2 SMB 3.1.1 AES-256-GCM
Windows 10, versión 22H2 SMB 3.1.1 AES-128-GCM
Windows Server 2022 SMB 3.1.1 AES-256-GCM
Windows 11, versión 21H2 SMB 3.1.1 AES-256-GCM
Windows 10, versión 21H2 SMB 3.1.1 AES-128-GCM
Windows 10, versión 21H1 SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
Windows Server, versión 20H2 SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
Windows 10, versión 20H2 SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
Windows Server, versión 2004 SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
Windows 10, versión 2004 SMB 3.1.1 Sí, con KB5003690 o posterior AES-128-GCM
Windows Server 2019 SMB 3.1.1 Sí, con KB5003703 o posterior AES-128-GCM
Windows 10, versión 1809 SMB 3.1.1 Sí, con KB5003703 o posterior AES-128-GCM
Windows Server 2016 SMB 3.1.1 Sí, con KB5004238 o más reciente, y una clave del Registro aplicada AES-128-GCM
Windows 10, versión 1607 SMB 3.1.1 Sí, con KB5004238 o más reciente, y una clave del Registro aplicada AES-128-GCM
Windows 10, versión 1507 SMB 3.1.1 Sí, con KB5004249 o más reciente, y una clave del Registro aplicada AES-128-GCM
Windows Server 2012 R22 SMB 3.0 No AES-128-CCM
Windows Server 2012 2 SMB 3.0 No AES-128-CCM
Windows 8.13 SMB 3.0 No AES-128-CCM
Windows Server 2008 R23 SMB 2.1 No No soportado
Windows 73 SMB 2.1 No No soportado

1Azure Files admite SMB multicanal solo en recursos compartidos de archivos SSD (Premium).

2El soporte regular de Microsoft para Windows Server 2012 y Windows Server 2012 R2 ha finalizado. Puede adquirir soporte adicional para las actualizaciones de seguridad solo a través del programa Actualización de seguridad extendida (ESU).

3El soporte de Microsoft para Windows 7, Windows 8.1 y Windows Server 2008 R2 ha finalizado. Deje de usar estos sistemas operativos.

Configuración del protocolo SMB

Azure Files ofrece varias opciones de configuración que afectan al comportamiento, el rendimiento y la seguridad del protocolo SMB. Se configuran para todos los recursos compartidos de archivos clásicos de Azure dentro de una cuenta de almacenamiento de Azure.

Disponibilidad continua de SMB

Azure Files es compatible con SMB Continuous Availability (CA) para ayudar a las aplicaciones a seguir disponibles durante incidentes transitorios de infraestructura. La disponibilidad continua es una capacidad del protocolo SMB que mantiene activos los identificadores abiertos de archivos durante breves interrupciones, como las conmutaciones por error del servidor o breves interrupciones de red. Todos los recursos compartidos de archivos Azure SMB están disponibles continuamente de forma predeterminada. No se puede deshabilitar esta configuración.

¿Qué proporciona la disponibilidad continua?

La disponibilidad continua proporciona las siguientes ventajas:

  • Identificadores de archivos persistentes que sobreviven a errores transitorios
  • Recuperación transparente de operaciones de E/S después de la conmutación por error
  • Coherencia de datos durante las transiciones de infraestructura
  • Menor riesgo de interrupción de la aplicación

Si se produce una breve interrupción de la conectividad, los clientes SMB reintentan automáticamente las operaciones y restablece el acceso a los archivos abiertos sin necesidad de que la aplicación vuelva a abrirlos. Este comportamiento es especialmente importante para las cargas de trabajo que mantienen sesiones de archivos a largo plazo.

Funcionamiento de la disponibilidad continua

La disponibilidad continua se basa en los identificadores SMB persistentes. Durante una interrupción transitoria, que suele durar hasta varios minutos, se aplican las siguientes instrucciones:

  • Los identificadores de archivo abiertos siguen siendo válidos.
  • El cliente SMB reintenta las operaciones de E/S pendientes.
  • Azure Files reanuda de forma transparente las operaciones una vez restaurada la conectividad.

Dado que Azure Files prioriza la exactitud y la durabilidad, el cliente espera y vuelve a intentarlo en lugar de fallar inmediatamente la operación.

Comportamiento del tiempo de espera durante la pérdida de conectividad

Debido al comportamiento de reintento que requiere la disponibilidad continua, las operaciones SMB pueden tardar más tiempo en agotar el tiempo de espera durante las interrupciones de red.

Por ejemplo, puede experimentar lo siguiente:

  • Los clientes SMB de Windows pueden reintentar las operaciones durante varios minutos antes de mostrar un error.
  • Es posible que las aplicaciones parezcan pausar temporalmente mientras se restablece la conexión.

Este comportamiento es por diseño porque ayuda a controlar la integridad y a evitar daños en los datos. Las cargas de trabajo que se desconectan con frecuencia, como portátiles móviles o conexiones de red inestables, pueden observar tiempos de espera más largos antes de que se devuelvan errores.

SMB multicanal

SMB multicanal permite que un cliente SMB 3.x establezca varias conexiones de red a un recurso compartido de archivos SMB. Azure Files solo admite SMB Multichannel en recursos compartidos de archivos SSD (premium). Para los clientes de Windows, SMB multicanal está habilitado de forma predeterminada en todas las regiones de Azure. En la mayoría de los escenarios, especialmente las cargas de trabajo multiproceso, los clientes ven un rendimiento mejorado con SMB multicanal. Sin embargo, para algunos escenarios específicos, como las cargas de trabajo con un único subproceso o con fines de prueba, es posible que desee deshabilitar el SMB multicanal. Consulte SMB multicanal para obtener más detalles.

Seguridad

Azure Files cifra todos los datos en reposo mediante el cifrado del servicio de almacenamiento de Azure (SSE). También puede elegir cifrar los datos en tránsito.

Cifrado en reposo

El cifrado del servicio de almacenamiento funciona de forma similar a BitLocker en Windows: cifra los datos debajo del nivel del sistema de archivos. Dado que los datos se cifran debajo del sistema de archivos del recurso compartido de archivos de Azure, ya que está codificado en el disco, no es necesario tener acceso a la clave subyacente en el cliente para leer o escribir en el recurso compartido de archivos de Azure.

Cifrado en tránsito

Azure Files proporciona una configuración dedicada, Requerir cifrado en tránsito para SMB, que puede usar para controlar de forma independiente si se requiere el cifrado para el acceso SMB a los recursos compartidos de archivos de Azure. Esta configuración por protocolo proporciona un control más granular que la configuración necesaria de transferencia segura de nivel de cuenta de almacenamiento, que ahora solo se aplica al tráfico REST/HTTPS. Para las nuevas cuentas de almacenamiento creadas mediante el portal de Azure, Require Encryption in Transit for SMB está habilitada de forma predeterminada, por lo que solo se permiten montajes SMB que usan SMB 3.x con cifrado. Los montajes de clientes que no admiten SMB 3.x con cifrado de canal SMB se rechazan cuando el cifrado en tránsito está habilitado. Las cuentas de almacenamiento creadas mediante Azure PowerShell, CLI de Azure o la API FileREST establecen Require Encryption in Transit for SMB como No seleccionado para garantizar la compatibilidad con versiones anteriores.

En el caso de las cuentas de almacenamiento existentes, requerir cifrado en tránsito para SMB aparece inicialmente como No seleccionado. Aunque no está seleccionada, la opción Transferencia segura necesaria continúa controlando el comportamiento del cifrado SMB. Una vez configurado explícitamente Requerir cifrado en tránsito para SMB, esa configuración tiene prioridad para el acceso SMB, independientemente del valor necesario de transferencia segura .

Azure Files admite AES-256-GCM con SMB 3.1.1 cuando se usa con Windows Server 2022 o Windows 11. SMB 3.1.1 también admite AES-128-GCM y SMB 3.0 admite AES-128-CCM. AES-128-GCM se negocia de forma predeterminada en Windows 10, versión 21H1 por motivos de rendimiento.

Puede deshabilitar el cifrado en tránsito para un recurso compartido de archivos Azure. Cuando el cifrado está deshabilitado, Azure Files permite SMB 2.1 y SMB 3.x sin cifrado. La razón principal para deshabilitar el cifrado en tránsito es admitir una aplicación heredada que se debe ejecutar en un sistema operativo anterior, como Windows Server 2008 R2 o una distribución de Linux anterior. Azure Files solo permite conexiones SMB 2.1 desde la misma región de Azure que el recurso compartido de archivos de Azure. Un cliente SMB 2.1 situado fuera de la región de Azure en la que se encuentra el recurso compartido de archivos, por ejemplo en el entorno local o en otra región de Azure, no puede acceder al recurso compartido de archivos.

Configuración de seguridad de SMB

Azure Files expone la configuración que puede alternar para que el protocolo SMB sea más compatible o más seguro, según los requisitos de la organización. De forma predeterminada, Azure Files está configurado para que sea máximamente compatible, por lo que tenga en cuenta que restringir esta configuración puede hacer que algunos clientes no puedan conectarse.

Azure Files expone la siguiente configuración:

  • Versiones de SMB: qué versiones de SMB se permiten. Las versiones admitidas del protocolo son SMB 3.1.1, SMB 3.0 y SMB 2.1. De forma predeterminada, se permiten todas las versiones de SMB, aunque SMB 2.1 no se permite si se habilita Requerir cifrado en tránsito para SMB (o si la configuración de transferencia segura requerida rige el comportamiento de SMB), porque SMB 2.1 no admite el cifrado en tránsito.
  • Métodos de autenticación: qué métodos de autenticación SMB se permiten. Los métodos de autenticación admitidos son NTLMv2 (solo clave de cuenta de almacenamiento) y Kerberos. De forma predeterminada, se admiten todos los métodos de autenticación. La eliminación de NTLMv2 impide el uso de la clave de la cuenta de almacenamiento para montar el recurso compartido de archivos de Azure. Azure Files no admite el uso de la autenticación NTLM para las credenciales de dominio.
  • Cifrado de vales Kerberos: qué algoritmos de cifrado se permiten. Los algoritmos de cifrado admitidos son AES-256 (muy recomendado) y RC4-HMAC.
  • Cifrado del canal SMB: qué algoritmos de cifrado del canal SMB se permiten. Los algoritmos de cifrado admitidos son AES-256-GCM, AES-128-GCM y AES-128-CCM. Si selecciona solo AES-256-GCM, debe indicar a los clientes que lo usen abriendo un terminal de PowerShell como administrador en cada cliente y ejecutando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. No se admite el uso de AES-256-GCM en clientes de Windows anteriores a Windows 11 o Windows Server 2022.

Puede ver y cambiar la configuración de seguridad de SMB mediante el portal de Azure, Azure PowerShell o el CLI de Azure. Seleccione la pestaña deseada para ver los pasos sobre cómo obtener y establecer la configuración de seguridad de SMB. Tenga en cuenta que esta configuración se comprueba cuando se establece una sesión SMB y, si no se cumple, se produce un error STATUS_ACCESS_DENIEDen la configuración de la sesión de SMB.

Para ver o cambiar la configuración de seguridad de SMB mediante el portal de Azure, siga estos pasos:

  1. Inicie sesión en el portal de Azure y busque cuentas de Storage. Seleccione la cuenta de almacenamiento para la que desea ver o cambiar la configuración de seguridad de SMB.

  2. En el menú del servicio, seleccione Almacenamiento de datos>Recursos compartidos de archivos clásicos.

  3. En Configuración del recurso compartido de archivos, seleccione el valor asociado a Seguridad.

    Captura de pantalla que muestra dónde ver y cambiar la configuración de seguridad de SMB.

  4. Puede habilitar o deshabilitar explícitamente Requerir cifrado en tránsito para SMB. En el caso de las nuevas cuentas de almacenamiento creadas mediante el portal de Azure, esta configuración está habilitada de forma predeterminada.

  5. En Perfil, seleccione Compatibilidad máxima, Maximum security (Seguridad máxima) o Personalizado. Si selecciona Personalizado, podrá crear un perfil personalizado para las versiones del protocolo SMB, el cifrado de canales SMB, los mecanismos de autenticación y el cifrado de vales de Kerberos.

    Importante

    Si selecciona Seguridad máxima o se usa la configuración personalizada, es posible que algunos clientes no puedan conectarse. Por ejemplo, AES-256-GCM se introdujo como opción para el cifrado del canal SMB a partir de Windows Server 2022 y Windows 11. Esto significa que los clientes más antiguos que no admiten AES-256-GCM no se pueden conectar. Si selecciona solo AES-256-GCM, debe indicar a los clientes Windows Server 2022 y Windows 11 que solo usen AES-256-GCM abriendo un terminal de PowerShell como administrador en cada cliente y ejecutando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.

    Captura de pantalla que muestra el cuadro de diálogo para requerir cifrado en tránsito para SMB o cambiar la configuración de seguridad de las versiones del protocolo SMB, el cifrado de canales SMB, los mecanismos de autenticación y el cifrado de tickets Kerberos.

Después de escribir la configuración de seguridad deseada, seleccione Guardar.

Limitaciones

SMB Azure recursos compartidos de archivos admiten un subconjunto de características compatibles con el protocolo SMB y el sistema de archivos NTFS. Aunque la mayoría de los casos de uso y las aplicaciones no requieren estas características, es posible que algunas aplicaciones no funcionen correctamente con Azure Files si se basan en características no admitidas. No se admiten las siguientes características:

Disponibilidad regional

Los recursos compartidos de archivos Azure SMB están disponibles en cada región de Azure, incluidas todas las regiones públicas y soberanas. Los recursos compartidos de archivos SSD están disponibles en un subconjunto de regiones.

Pasos siguientes