Laboratório Técnico: Create and configure a file share in Azure Files
Questões
Questão 1 — Múltipla Escolha
Uma equipe de administradores precisa montar um compartilhamento do Azure Files em servidores Windows Server 2019 locais usando o protocolo SMB. A porta 445 está bloqueada no firewall corporativo e não pode ser liberada.
Qual abordagem permite que o compartilhamento seja montado sem alterar as regras de firewall existentes?
A) Usar o protocolo NFS 4.1, que opera em uma porta diferente e é suportado em Windows Server 2019 nativamente.
B) Configurar o Azure Files com um private endpoint e rotear o tráfego via VPN ou ExpressRoute, encapsulando o SMB dentro do túnel.
C) Habilitar o Azure File Sync no servidor local, que substitui a montagem direta do compartilhamento e não depende da porta 445.
D) Migrar a conta de armazenamento para o tier Premium (FileStorage), que oferece suporte a SMB over HTTPS na porta 443.
Questão 2 — Cenário Técnico
Um administrador cria um compartilhamento Azure Files com as seguintes configurações:
Storage Account: storprod01
Tier: Transaction optimized (GPv2)
Quota: 100 GiB
Authentication: Storage Account Key
Após montar o compartilhamento em uma VM Windows no Azure, o administrador percebe que não consegue definir permissões NTFS granulares nos arquivos e pastas. Diretórios e arquivos herdeiros do compartilhamento ignoram as ACLs configuradas via Windows Explorer.
Qual é a causa raiz desse comportamento?
A) A conta de armazenamento GPv2 não suporta atributos NTFS; é necessário migrar para o tier Premium (FileStorage).
B) A autenticação via chave da conta de armazenamento não fornece uma identidade de segurança para aplicar ACLs baseadas em usuário; é necessário habilitar a autenticação via Microsoft Entra ID ou Active Directory Domain Services.
C) A quota de 100 GiB está abaixo do mínimo exigido para ativar o suporte a permissões NTFS no Azure Files.
D) O protocolo SMB 2.1 está sendo negociado entre a VM e o compartilhamento; é preciso forçar SMB 3.0 para que as ACLs NTFS sejam respeitadas.
Questão 3 — Verdadeiro ou Falso
Um compartilhamento Azure Files criado em uma conta de armazenamento com soft delete habilitado pode ter seus dados recuperados mesmo após o compartilhamento ser excluído explicitamente, desde que o período de retenção configurado ainda não tenha expirado.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma organização utiliza o Azure File Sync para sincronizar um compartilhamento Azure Files com servidores de arquivo locais. Após alguns meses, os administradores percebem que arquivos acessados raramente aparecem como offline nos servidores locais, mas continuam acessíveis para os usuários sem erro.
O que explica esse comportamento e qual recurso do Azure File Sync está em operação?
A) Os arquivos foram corrompidos e o Windows os marcou como offline; o Azure File Sync os reidrata automaticamente a partir do Azure Files quando o usuário tenta abri-los.
B) O recurso de cloud tiering está ativo, movendo arquivos pouco acessados para o Azure Files e deixando apenas um reparse point local; o arquivo é reidratado sob demanda ao ser acessado.
C) O agente do Azure File Sync está com problemas de sincronização e os arquivos offline representam conflitos de versão pendentes de resolução manual.
D) O servidor local está sem espaço em disco e o Azure File Sync pausou a sincronização, exibindo os arquivos como offline até que espaço seja liberado.
Questão 5 — Múltipla Escolha
Um administrador precisa escolher o tier correto de compartilhamento Azure Files para uma aplicação de banco de dados que exige latência de um dígito em milissegundos e opera com alto volume de operações de I/O por segundo (IOPS).
Qual combinação de tier de conta de armazenamento e tier de compartilhamento atende a esse requisito?
A) General Purpose v2 (GPv2) com tier Hot.
B) General Purpose v2 (GPv2) com tier Transaction Optimized.
C) FileStorage (Premium) com compartilhamento do tipo Premium file shares.
D) General Purpose v1 (GPv1) com tier Cool.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O bloqueio da porta 445 é um obstáculo clássico para montagem SMB direta. A solução correta é combinar um private endpoint com conectividade privada (VPN Site-to-Site ou ExpressRoute): o tráfego SMB trafega encapsulado dentro do túnel, sem precisar que a porta 445 esteja aberta na internet ou no firewall corporativo.
O principal equívoco dos distratores:
- A opção A é falsa porque o NFS 4.1 no Azure Files não tem suporte nativo em Windows Server, e além disso não resolve o problema de porta bloqueada de forma direta para SMB.
- A opção C confunde Azure File Sync com montagem de compartilhamento: o File Sync sincroniza conteúdo, mas não substitui o acesso direto ao compartilhamento e ainda assim usa SMB internamente.
- A opção D é um equívoco técnico grave: não existe SMB over HTTPS na porta 443 no Azure Files; o SMB opera exclusivamente na porta 445.
Gabarito — Questão 2
Resposta: B
As permissões NTFS no Azure Files dependem de uma identidade de segurança reconhecível para ser associada às ACLs. Quando a autenticação é feita exclusivamente via chave da conta de armazenamento, o acesso ocorre como uma identidade anônima e privilegiada, sem vínculo com um principal de segurança (usuário ou grupo). Para que as ACLs NTFS funcionem, é necessário habilitar autenticação baseada em identidade: Active Directory Domain Services (AD DS local) ou Microsoft Entra Domain Services.
Os demais distratores representam confusões comuns:
- Tier (A) e quota (C) não têm relação com o suporte a ACLs NTFS.
- A versão do SMB (D) afeta funcionalidades de criptografia e desempenho, não a aplicação de permissões NTFS.
Gabarito — Questão 3
Resposta: Verdadeiro
O soft delete para Azure Files funciona como uma camada de proteção contra exclusão acidental. Quando habilitado na conta de armazenamento, um compartilhamento excluído entra em estado de retenção pelo período configurado (entre 1 e 365 dias) e pode ser restaurado via portal, CLI ou API antes que o prazo expire. Esse comportamento é análogo ao soft delete de blobs, mas aplicado no nível do compartilhamento.
O ponto não óbvio aqui é que a exclusão explícita pelo administrador não contorna a proteção: o soft delete age independentemente de como a exclusão foi disparada, seja por interface gráfica, CLI ou SDK.
Gabarito — Questão 4
Resposta: B
O cloud tiering é um recurso do Azure File Sync que monitora a frequência de acesso aos arquivos e, quando o volume local atinge o limiar de espaço livre configurado, move os arquivos menos acessados para o Azure Files, substituindo-os localmente por um reparse point (um ponteiro simbólico). O arquivo aparece como offline no explorador de arquivos, mas ao ser aberto, o agente do File Sync o reidrata transparentemente a partir da nuvem, sem erro para o usuário.
Os outros distratores representam situações reais, mas distintas:
- A opção A descreve corrupção, que geraria erros, não acesso transparente.
- A opção C descreve conflitos de sincronização, que resultariam em arquivos duplicados com sufixo de conflito, não arquivos offline silenciosos.
- A opção D descreve uma pausa por falta de espaço, que impediria a sincronização bidirecional, não a exibição de arquivos como offline com acesso funcional.
Gabarito — Questão 5
Resposta: C
O tier Premium file shares, disponível exclusivamente em contas do tipo FileStorage, é o único que garante latência de um dígito em milissegundos com IOPS consistentes. Esse tier utiliza discos SSD como backend e é dimensionado com base no tamanho provisionado do compartilhamento, não no consumo real.
Os tiers disponíveis em contas GPv2 (Hot, Cool, Transaction Optimized) utilizam HDDs e são otimizados para custo e volume de transações, não para latência baixa e IOPS elevado. A conta GPv1 (opção D) é considerada legada e não oferece vantagem alguma sobre GPv2 para esse cenário.
A confusão mais comum é associar "Transaction Optimized" com alta performance de I/O, quando na realidade esse tier minimiza custo por transação em cargas com muitas operações pequenas, sem garantias de latência.