Azure File Sync を使ってみる

.NETラボ 2025 07月勉強会 小鮒 通成

自己紹介です  都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。  Microsoft Q&Aで、ときどき回答しています。  商業誌でWindows記事の寄稿を行うことがあります。  MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数23回+α)。  秋葉原によく現れます。48型有機ELディスプレイを買った のに使えていません…。

Azure Filesとは  Windows File ServicesのフルマネージドPaaS  SMB(Server Message Block)  NFS(Network File System)  使用目的として  オンプレミスのファイル サーバーの置換または補完  アプリケーションの "リフトアンドシフト"  クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする)  コンテナー化

Azure Filesの認証  IDベース認証 (Kerberos)  オンプレミス Active Directory Domain Services  Microsoft Entra Domain Services  ハイブリッド ID 用の Microsoft Entra Kerberos  Linux クライアントの SMB 経由の Active Directory 認証  共有キー認証 (NTLMv2)  Azure ストレージ アカウント キー  ホストベース認証 (UNIX)  公開ホストキー

Azure Filesの基本構成  共有アクセス許可  既定の共有レベルのアクセス許可 SMB共有の共同作成者  SMB共有の管理者特権の共同作成者  SMB共有の閲覧者   特定のユーザーまたはグループに対するアクセス許可  ポータルからファイル共有のIAMでロールを追加する  NTFSアクセス許可  ドメインベースのACL設定が可能  管理時はストレージ共有キーでのアクセスを推奨

Microsoft Entra Kerberos  ドメインコントローラーとの接続を要さないKerberos認証  Microsoft Entra Hybrid Join環境が必須  KDC Proxyによるインターネット経由での「サービスチケッ ト」の受け取り  Entra ID認証時にクラウドTGTを取得  RealmマップによるKDC Proxyの構成とTGS要求  Entra IDによるTGS応答  Deep dive - Azure AD Kerberos の仕組み | Japan Azure Identity Support Blog (jpazureid.github.io)

• https://jpazureid.github.io/blog/azure-active-directory/how-azuread-kerberos-works/

Azure Files ADDSとは  オンプレミスドメイン環境からファイルサーバーをクラウド に切り出すしくみ  ドメインコントローラーへの接続が必須  オンプレミスまたはハイブリッド環境どちらでもOK  Azure Filesをドメインに参加させることで、オンプレミス Kerberos認証が可能になる  ドメイン参加はコンピューターアカウントまたはサービスログ オンアカウントのどちらかで行う

Azure File Syncとは  オンプレミスのSMBファイルサーバーを介して、Azure Filesを利用するしくみ。ファイルサーバーはオンプレミス のキャッシュとして動作する。  ファイルサーバー容量の節約・整理  複数オンプレミス拠点でのデータ同期  ディザスターリカバリー  バックアップとリストア  SMB over QUICの利用  (パフォーマンスの担保)  Azure File Sync の概要 | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/storage/file-sync/file-sync-introduction

ハイブリッドファイルサービス  Azure Filesでファイルデータを一元管理する、ハイブリッ ドモデル。  オンプレミスでは Azure File Sync 経由でアクセス、 インターネットでは Azure Filesに直接 アクセス  そのほかのモデル もあり(巻末参照)。 引用:ハイブリッド ファイル サービス - Azure Architecture Center | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/hybrid/hybrid-file-services

クラウドの階層化  Azure File Syncで同期されたファイルについて、頻繁に 利用するものをファイルサーバーにキャッシュするしくみ。  頻繁にアクセスされるファイルはホット、そうでないものは クールとして認識され、クールは名前空間とファイルコンテ ンツに分割。  ファイルサーバーには、ホットのみを配置し、クールは名前 空間のみ(ディスクサイズ0バイト)を配置する。  既定では有効化されていない。  Azure File Sync のクラウドを使った階層化について | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/storage/file-sync/file-sync-cloud-tiering-overview

マルチサイトアクセスと同期  Azure Filesに加えられた変更について、ファイルサー バーにライトバックするしくみ。  複数拠点で、一方のファイルサーバーに加えられた変更が、 Azure Filesを経由して、他方のファイルサーバーにも即時 反映(同期)される。  クラウドの階層化の「事前呼び戻し」機能を利用する。  事前呼び戻しを有効化した場合、階層化情報が更新され、 同期トラフィックが増大する可能性を考慮すること。  DFSRのクラウド化  Azure File Sync のクラウドを使った階層化について | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/storage/file-sync/file-sync-cloud-tiering-overview#proactive-recalling

ディザスターリカバリー  オンプレミスファイルサーバーが破損した際、リストアなし で機能を復旧するしくみ。  ファイルサーバーはキャッシュのため、破損時は破棄が可 能。  新規にファイルサーバーを構成し、エージェントのインストー ルとサービスへの登録のみで、キャッシュサーバーとして再 稼働可能。  名前空間データが最初に同期されるため、ファイルコンテ ンツデータの同期を待たず、すぐに利用可能。

バックアップとリストア  オンプレミスファイルサーバーの「ファイルデータ」が破損 した際、データを復旧するしくみ。  データバックアップはAzure Files側で(Azure Backupを 使って)取られているため、ファイルサーバー側のデータの バックアップは不要。  データが破損した場合、Azure Files側でリストアすることで、 ファイルサーバーへは自動的に伝達・反映される。

SMB over QUIC  SMBをUDPベースで利用するためのプロトコル。TCPと比 較してネットワーク転送が効率化される等のメリットがある。  Windows Server 2022 Azure Edition / Windows Server 2025のみサポート。クライアントはWindows 11のみ。  Azure Files自体はサポート しておらず、上記をキャッ シュとして配置することで、 間接的に利用が可能。 引用:Azure Files のネットワークに関する考慮事項 | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-networking-overview#smb-over-quic

前提となる環境  ドメインコントローラーを構成する  Microsoft Entra Connectを構成する  Entra Hybrid Joinを構成しクライアントをjoinさせ る  Azure Files Entra Kerberosを構成する  Windows Server 2025ファイルサーバーを構成す る  Azure File Sync のデプロイ方法 | Microsoft Learnを参照のこと

• https://learn.microsoft.com/ja-jp/azure/storage/file-sync/file-sync-deployment-guide?source=recommendations&tabs=azure-portal,proactive-portal

ストレージ同期サービスをデプロイ  Azureポータルから[Azure File Sync]を構成する  リージョンは(Entra Kerberosの)Azure Files共有と同一とす る

ストレージ同期エージェントをイン ストール  Microsoftダウンロードセンターからダウンロードし、インス トール(OSバージョン別)

ストレージ同期サーバーを登録  Azureにサインインするだけでパラメータは選択可能  テスト結果もレポート可能

ストレージ同期サーバーの確認  [<ストレージ同期サービス>]-[同期]-[登録済みサーバー] から確認可能

同期グループとクラウドエンドポイ ントの作成  [<ストレージ同期サービス>]-[同期]-[同期グループ]-[同 期グループの作成]から作成  同期グループ作成後、クラウドエンドポイントは自動作成  作成に失敗した場合は、手動で作成

サーバーエンドポイントの作成  [<同期グループ>]-[概要]-[サーバーエンドポイントの作 成]から作成  システムボリュームには「クラウドの階層化」が利用不可

サーバーエンドポイントの同期  サーバーエンドポイントは自動的に同期される  エラーが出た場合も、みだりにサーバーエンドポイントを 削除しないこと(データが破損することがある)

アクセス結果(1)  サーバーエンドポイント→クラウドエンドポイントへの同期 は即時正常に行われた

アクセス結果(2)  クラウドエンドポイント→サーバーエンドポイントへの同期 は24時間ごとのため、Invoke-AzStorageSyncDetectionが必要

クラウド階層化の結果  サーバーエンドポイント側でクール扱いとなったファイルに は専用アイコンで区別される  ファイルの中身にアクセスすると、その分だけデータが ロードされる

同期の監視  同期の状況は[同期状態]や[クラウドを使った階層化の 状態]から監視が可能。

まとめ  Azure File Syncの設定は、実はかなりラクだと思います。 ローカルからクラウドへの同期パフォーマンスも悪くなく、 同期の状況もダッシュボードで監視ができます。エッジソ リューションとしての機能は買いかと思います。  問題は設定後の「正常化」までに数時間～半日程度かか る点です。すぐに効果が確認できないのは心情としては ツラいです。あと「ストレージ同期サービス」という製品名 が混在している状況で、地味にわかりづらいです。  DFS-R移行やSMB over QUICなど、効果のほどを確かめ てみたいと思います。

参考情報  Azure エンタープライズ クラウド ファイル共有 - Azure Architecture Center | Microsoft Learn  リモートおよびローカル ブランチ ワーカー用ディザスター リカバリーを使用したハイブリッド ファイル共有 - Azure Example Scenarios | Microsoft Learn  Azure File Sync のデプロイの計画 | Microsoft Learn  Azure Files に関するよくあるご質問 (FAQ) | Microsoft Learn  Azure File Sync クラウドの階層化を監視する | Microsoft Learn

• https://learn.microsoft.com/ja-jp/azure/architecture/hybrid/azure-files-private
• https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/hybrid/hybrid-file-share-dr-remote-local-branch-workers
• https://learn.microsoft.com/ja-jp/azure/storage/file-sync/file-sync-planning
• https://learn.microsoft.com/ja-jp/azure/storage/files/storage-files-faq
• https://learn.microsoft.com/ja-jp/azure/storage/file-sync/file-sync-monitor-cloud-tiering