Azure File Sync einrichten

    , 03.01.2023
    Tags: , ,

    Azure File SyncUm mit Azure File Sync arbeiten zu können benötigt man eine Azure-Dateifreigabe in einem Azure Speicherkonto. Zudem müssen Sie den Dienst Azure File Sync in der gleichen Region bereitstellen, in der sich auch die Dateiablage von Azure Files befindet. Die Anbindung lokaler Server erfordert die Installation eines Agents auf diesen Endpunkten.

    Sie können der folgenden Abbildung entnehmen, welche Komponenten in ein Azure-File-Sync-Szenario involviert sind.

    Dazu gehören die bei Azure File Sync registrierten Server und eine oder mehrere Synchroni­sations­­gruppen. Jede von ihnen verfügt dann über einen Cloud-Endpunkt (nämlich die Azure-Dateiablage) und einen oder mehrere Server-Endpunkte.

    Die Architektur von Azure Files Sync (Quelle: Microsoft)

    Zum Erstellen eines Server-Endpunktes muss der beteiligte Server bei Azure File Sync registriert sein. Das geschieht, indem Sie den Azure File Sync-Agenten von Microsoft herunterladen und installieren. Der Agent besteht aus drei Hauptkomponenten:

    1. FileSyncSvc.exe: Hierbei handelt es sich um den Windows-Hintergrunddienst. Dieser ist überwacht die Änderungen auf den Servern und initiiert die Synchronisierungssitzungen mit Azure.
    2. StorageSync.sys: Diese Datei repräsentiert den Dateisystemfilter, der für das Tiering von Dateien in Azure Files verantwortlich ist.
    3. Ferner gibt es Cmdlets für die PowerShell-Verwaltung, mit denen Sie den Microsoft Storage Sync-Resource Provider steuern können.

    Sollten Sie den Agenten auf einem älteren Windows-Betriebssystem installieren, dann achten Sie beim Download nicht nur auf die passende Version, sondern unbedingt auch darauf, dass der Standard-Browser auf Edge oder Chrome eingestellt ist und dass Sie die erweiterte Sicherheits­­konfi­guration für den IE ausschalten. Andernfalls laufen Sie bei der nachfolgenden Authentifizierung in diverse JavaScript-Fehler.

    Server-Endpunkte

    Jeder Server-Endpunkt repräsentiert einen Speicherort auf einem registrierten Server, zum Beispiel einen Ordner auf einem Server-Volume. Es können durchaus mehrere Server-Endpunkte auf demselben Volume existieren, sofern sich ihre Namespaces nicht überlappen, etwa G:\sync1 und G:\sync2. Sie können dann Richtlinien für Cloud-Tiering pro Server-Endpunkt individuell einrichten.

    Sollten Sie einen Server-Endpunkt auf dem System-Volume erstellen, dann gibt es zwei Ein­schränkungen. In diesem Fall lässt sich Cloud-Tiering nicht aktivieren und eine schnelle Wieder­herstellung des Namespace ist auch nicht möglich.

    Cloud-Endpunkt

    Ein Cloud-Endpunkt ist eine Azure-Datei­freigabe, die Teil einer Synchroni­sierungs­­gruppe ist. Freigabe-Synchroni­sierungen und Azure-Datei­freigaben können nur mit einem Cloud-Endpunkt verknüpft sein.

    Daher kann eine Azure-Dateifreigabe auch nur Mitglied einer einzigen Synchroni­sierungs­­gruppe sein.

    Voraussetzungen

    Die SMB-Sicherheits­einstellungen müssen die Protokollversion SMB 3.1.1, die Authentifizierung über NTLM v2 und die AES-128-GCM-Verschlüsselung erlauben. Außerdem muss der Zugriff auf Speicher­kontoschlüssel erlaubt sein.

    Um die Einstellungen zu überprüfen, navigieren Sie im Speicherkonto zu Settings und wählen die Option Configuration aus. Die relevanten Einstellungen finden Sie im Abschnitt Security des File-Shares. Wählen Sie hier am besten das Konfigurationsprofil Maximum compatibility.

    Die Sicherheitseinstellungen einer Azure-Dateifreigabe müssen einige Voraussetzungen erfüllen.

    Azure File Sync bereitstellen

    Zur Bereitstellung von Azure File Sync erstellen Sie im ersten Schritt einen Azure Strorage Account und darin eine Azure-Dateifreigabe. Je nach Szenario wählen Sie bei Tier entweder Transaction optimized, hot oder cool.

    Achtung: Speicherkonten vom Typ General Purpose V2 mit Standard-Tier unterstützen nur SMB-Dateifreigaben, Premium-Konten auch NFS.

    Eine Azure-Dateifreigabe erstellen

    Anschließend können Sie die Azure-Ressource Speicher­­synchronisations­dienste (Storage Sync Services) im Portal suchen und in der gleichen Region erstellen, in der sich auch das Speicherkonto mit der Dateifreigabe befindet.

    Storage-Sync-Service einrichten

    Die Netzwerk-Zugriffsrichtlinien sind wie bei einem Speicherkonto per Vorgabe öffentlich, also All networks. Sie können den Zugriff aber auch auf einen privaten Endpunkt beschränken.

    Hierzu sei ergänzend noch einmal an die Server-seitigen Voraussetzungen erinnert, also dass der eigentliche Verbindungsaufbau via HTTPS (443) immer ausgehend vom jeweiligen Server initiiert wird. Sie müssen daher den betreffenden Server nicht für bestimmte IP-Adressen aus dem Internet erreichbar machen.

    Agenten installieren

    Das Durchklicken des Setup-Assistenten stellt keine große Herausforderung dar, allerdings verrät die Dokumentation nicht, dass der Agent bestimmte PowerShell-Module benötigt. So muss zum Beispiel Az.StorageSync auf dem Server installiert sein. Dies kann man mit dem Befehl

    Install-Module -Name Az.StorageSync

    tun.

    Ohne diese Vorbereitung würde zwar der Installer durchlaufen, aber die automatische Server-Registrierung später nicht funktionieren.

    Ist das erledigt, dann können Sie nach der Konfiguration der grundlegenden Einstellungen (Proxy, Updates etc.) auf Install klicken.

    Ein Assistent führt durch die Installation, löst aber nicht selbständig die erforderlichen Voraussetzungen auf.

    Nun startet Azure File Sync und prüft noch einmal auf verfügbare Updates, auch wenn Sie diese bereits im Verlauf des Installations­assistenten eingespielt haben.

    Nach einem Klick auf OK müssen Sie den Server beim File-Sync-Dienst registrieren. Hier wählen Sie bei Azure Envrionment im Normalfall den Eintrag AzureCloud und klicken dann auf Sign in.

    Das Registrieren des Servers erfordert ein Login beim Azure-Account.

    Anschließend wählen Sie bei Choose a Storage Sync Service die gewünschte Subscription, die Ressourcengruppe sowie den jeweiligen vorab eingerichteten Storage Sync Service und klicken dann auf Register.

    Lokalen Server bei Azure File Sync registrieren

    Die Server-Registrierung verwendet Ihre Azure-Anmeldeinformationen für das Einrichten einer Vertrauensstellung zwischen dem Speicher­synchronisierungs­dienst und dem Windows-Server. Danach jedoch erstellt der Server seine eigene Identität.

    Diese ist gültig, solange er registriert bleibt und das aktuelle Shared Access Signature-Token (Speicher-SAS) gültig ist.

    Wird die Registrierung des Servers aufgehoben, dann erhält er kein neues SAS-Token mehr, so dass er nicht mehr auf die Azure-Dateifreigaben zugreifen kann. Damit wird jegliche Synchronisierung beendet.

    Die Server-Registrierung sollte sich hiermit erfolgreich abschließen lassen, sofern Sie ein entsprechend berechtigtes Konto (Globaler Administrator) angegeben haben.

    Erfolgreich abgeschlossene Server-Registrierung

    Danach können Sie im Azure Portal zunächst unter Registered servers prüfen, ob der registrierte Server online ist.

    Ein registrierter Server in Azure File Sync

    Anschließend legt man im Sync-Service eine Synchronisations­gruppe ("Sync group") an. Die Einstellungen dazu sind weitgehend selbsterklärend.

    Synchronisationsgruppe für den Sync-Service anlegen

    Da Sie beim Anlegen der Sync Group auch automatisch den zugehörigen Cloud-Endpunkt einrichten, müssen Sie das gewünschte Speicherkonto und die Dateifreigabe angeben.

    Wenn Sie anschließend zur neuen Sync Group navigieren, dann sehen Sie, dass der Cloud-Endpunkt existiert. Sie können nun mit Add server endpoint einen oder mehrere Server-Endpunkte hinzufügen.

    Der Cloud-Endpunkt wird beim Anlegen der Sync Group automatisch erstellt.

    Hier wählen Sie einen der registrierten Server und dann den gewünschten Pfad aus.

    Server-Endpunkt erstellen

    Das Cloud-Tiering ist in der Default-Einstellung deaktiviert. Die Synchronisation setzt unmittelbar nach der Erstellung ein. Beobachten Sie dazu den Status von Sync & tiering health.

    Dieser wechselt im Verlauf von Provisioning über Pending zu einem grünen Häckchen und die Sync Activity zu Download. Sie können den Erfolg der initialen Synchronisation natürlich auch auf der Dateifreigabe selbst überprüfen.

    Zusammenfassung

    Eine vollständige File-Sync-Konfiguration umfasst Server- sowie Cloud-Endpunkte in Form von Azure-Dateifreigaben. Diese lassen sich in Sync-Gruppen organisieren.

    Um einen Server in die Synchronisation aufzunehmen, muss man darauf den Agent installieren und das Gerät für den Service registrieren. Diese Aufgabe ist aufgrund der Wizard-geführten Installation sowie der Konfiguration über das Azure-Portal relativ einfach zu bewältigen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Verwandte Beiträge

    Weitere Links