NetWorker：Azure VM 还原失败“响应代码：403.此请求无权执行此作”

NetWorker 配置为执行 Azure 虚拟机快照保护。
Azure 虚拟机快照还原立即失败，并在 nsrazure_recover 日志：

Linux：/nsr/logs/adhoc/nsrazure_recover/jobid.log
Windows（默认）：C：\Program Files\EMC NetWorker\nsr\logs\adhoc\nsrazure_recover\jobid.log

Using 'VNET-NAME' vnet from resource group 'RESOURCE-GROUP-NAME'.
Target VM 'RESOURCE-GROUP-NAME:VM-NAME' does not exist and will be recreated.
Restoring OS disk 'VM-NAME_OsDisk_1'.
Using 'STORAGE-ACCOUNT-NAME' storage account from resource group 'RESOURCE-GROUP-NAME'.
208119:nsrazure_recover: Error from url 'https://STORAGE-ACCOUNT-NAME.blob.core.windows.net/nw-localhost-recovery-container/VM-NAME_OsDisk_1?sv=2015-04-05&ss=bf&srt=sco&sp=rwdl&se=2025-07-16T15%3A09%3A17.0000000Z&sig=UWDnIOofoiYihS6xaCkgtvm%2FlNRp%2FCzZVeUrf%2BN9Ewg%3D': Response Code: 403 Response Data: <?xml version="1.0" encoding="utf-8"?><Error><Code>AuthorizationFailure</Code><Message>This request is not authorized to perform this operation.
RequestId:REQUEST-ID
Time:YYYY-MM-DDTHH:mm:SS</Message></Error>
207849:nsrazure_recover: Failed createEmptyBlob...
207851:nsrazure_recover: azurevmrecover: error while creating disk
207541:nsrazure_recover: Unable to start recover session for subscription 'SUBSCRIPTION-RESOURCE-NAME', resource group 'RESOURCE-GROUP-NAME', storage account 'STORAGE-ACCOUNT-NAME'

而 NWBackupAdminRole 已创建并具有所有必需的权限，并已分配给 Azure 订阅。请参阅 NetWorker Azure 虚拟机快照集成指南的 Azure 身份验证过程部分： https://www.dell.com/support/product-details/product/networker/docs  

即使拥有正确的权限，仍可能会发生此授权失败的情况。当 Azure 存储帐户缺少配置的专用终结点连接时，就会发生这种情况。

有两个选项：

• 如果必须使用指定的存储帐户，则 Azure 管理员必须为 Azure 存储帐户配置专用终结点连接。
• NetWorker 备份管理员可以在恢复期间指定不同的 Azure 存储帐户。存储帐户必须与目标磁盘位于同一目标 Azure 区域中，并且必须配置专用终结点连接。

如果在还原期间指定的存储帐户与目标磁盘位于不同的 Azure 区域，则还原将失败：NetWorker：Azure VM 快照还原失败，“源 blob 与磁盘不属于同一区域”