Teilen über

SMB über QUIC

  • Artikel

Gilt für: Windows Server 2022 Datacenter: Azure Edition, Windows 11

SMB über QUIC bietet eine Alternative zum TCP-Netzwerktransport und ermöglicht sichere, zuverlässige Konnektivität mit Edgedateiservern über nicht vertrauenswürdige Netzwerke wie das Internet. QUIC ist ein IETF-standardisiertes Protokoll mit vielen Vorteilen gegenüber TCP:

  • Alle Pakete werden immer verschlüsselt, und der Handshake wird mit TLS 1.3 authentifiziert.
  • Parallele Streams zuverlässiger und nicht zuverlässiger Anwendungsdaten
  • Austausch von Anwendungsdaten beim ersten Roundtrip (0-RTT)
  • Verbesserte Überlastungskontrolle und Verlustwiederherstellung
  • Übersteht eine Änderung der IP-Adresse oder des Ports des Clients

SMB über QUIC bietet ein „SMB-VPN“ für Telearbeiter, Benutzer mobiler Geräte und Organisationen mit hohen Sicherheitsanforderungen. Das Serverzertifikat erstellt anstelle des älteren TCP-Ports 445 einen TLS 1.3-verschlüsselten Tunnel über den internetfreundlichen UDP-Port 443. Der vollständige SMB-Datenverkehr, einschließlich Authentifizierung und Autorisierung innerhalb des Tunnels, wird dem zugrunde liegenden Netzwerk gegenüber nie offengelegt. SMB verhält sich innerhalb des QUIC-Tunnels normal, das bedeutet, die Benutzeroberfläche ändert sich nicht. SMB-Features wie Multichannel, Signierung, Komprimierung, kontinuierliche Verfügbarkeit, Verzeichnisleasing und so weiter funktionieren normal.

SMB über QUIC muss durch einen Dateiserveradministrator aktiviert werden. Es ist standardmäßig nicht aktiviert, und ein Client kann nicht erzwingen, dass ein Dateiserver SMB über QUIC aktiviert. Windows SMB-Clients verwenden weiterhin standardmäßig TCP und versuchen nur dann, SMB über QUIC zu verwenden, wenn der TCP-Versuch beim ersten Mal fehlschlägt oder wenn die Verwendung von QUIC mithilfe von NET USE /TRANSPORT:QUIC oder New-SmbMapping -TransportType QUIC absichtlich verlangt wird.

Voraussetzungen

Um SMB über QUIC verwenden zu können, benötigen Sie Folgendes:

  • Ein Dateiserver mit Windows Server 2022 Datacenter: Azure Edition (Microsoft Server-Betriebssysteme) oder höher
  • Windows 11-Gerät (Windows für Unternehmen)
  • Windows Admin Center (WAC) (Startseite)
  • Eine Public Key-Infrastruktur (PKI) zum Ausstellen von Zertifikaten wie Active Directory-Zertifikatserver oder Zugriff auf einen vertrauenswürdigen Zertifikatsaussteller eines Drittanbieters wie Verisign, Digicert, Let's Encrypt usw.

Bereitstellen von SMB über QUIC

Schritt 1: Installieren eines Serverzertifikats

  1. Erstellen Sie ein von der Zertifizierungsstelle ausgestelltes Zertifikat mit den folgenden Eigenschaften:

    • Schlüsselverwendung: digitale Signatur
    • Zweck: Serverauthentifizierung (EKU 1.3.6.1.5.5.7.3.1)
    • Signaturalgorithmus: SHA256RSA (oder höher)
    • Signaturhash: SHA256 (oder höher)
    • Algorithmus für öffentliche Schlüssel: ECDSA_P256 (oder höher, auch die Verwendung von RSA mit einer Länge von mindestens 2048 ist möglich)
    • Alternativer Antragstellername (SAN): (Ein DNS-Namenseintrag für jeden vollqualifizierten DNS-Namen, der zum Erreichen des SMB-Servers verwendet wird)
    • Antragsteller: (CN=beliebig, muss aber vorhanden sein)
    • Privater Schlüssel enthalten: Ja

    Zertifikateinstellungen: Signaturalgorithmus mit dem Wert „sha256RSA“, Signaturhashalgorithmus mit dem Wert „sha256“ und Antragsteller mit dem Wert „ws2022-quic“

    Zertifikateinstellungen auf der Registerkarte „Detail“ mit dem Wert „ECC (256 Bit)“ für den öffentlichen Schlüssel, den Parametern für öffentliche Schlüssel „ECDSA-P256“ und Anwendungsrichtlinien 1 Anwendung Zertifikatrichtlinie

    Zertifikatsdetails zeigen als Wert für den alternativen Namen des Antragstellers „DNS-Name = ws2022-quic.corp“ und als für die Schlüsselverwendung „Digitale Signatur, Nicht zurückgewiesen“ an

    Bei Verwendung einer Microsoft Enterprise-Zertifizierungsstelle können Sie eine Zertifikatvorlage erstellen und es dem Dateiserveradministrator überlassen, die DNS-Namen bei der Anforderung anzugeben. Weitere Informationen zum Erstellen einer Zertifikatvorlage finden Sie unter Entwerfen und Implementieren einer PKI: Teil III Zertifikatvorlagen. Eine Demonstration der Erstellung eines Zertifikats für SMB über QUIC mithilfe einer Microsoft Enterprise-Zertifizierungsstelle finden Sie in diesem Video:

    Informationen zum Anfordern eines Drittanbieterzertifikats finden Sie in der Dokumentation Ihres Herstellers.

  2. Bei Verwendung einer Microsoft Enterprise-Zertifizierungsstelle:

    1. Starten Sie MMC.EXE auf dem Dateiserver.
    2. Fügen Sie das Snap-In Zertifikate hinzu, und wählen Sie das Computerkonto aus.
    3. Erweitern Sie Zertifikate (lokaler Computer), Persönlich, klicken Sie dann mit der rechten Maustaste auf Zertifikate und wählen Sie anschließend Neues Zertifikat anfordern.
    4. Wählen Sie Weiter aus.
    5. Wählen Sie Active Directory-Registrierungsrichtlinie aus.
    6. Wählen Sie Weiter aus.
    7. Wählen Sie die Zertifikatvorlage für SMB über QUIC aus, die in Active Directory veröffentlicht wurde.
    8. Wählen Sie Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt. Klicken Sie hier, um die Einstellungen zu konfigurieren.
    9. Damit Benutzer den Dateiserver auffinden können, geben Sie für Antragsteller einen allgemeinen Namen und für Alternativer Antragstellername einen oder mehrere DNS-Namen ein.
    10. Wählen Sie OK und dann Reistrieren aus.

    Abbildung der Microsoft Management Console-Zertifikatregistrierung mit ausgewähltem SMB über QUIC

    Abbildung der zertifikatbasierten Eigenschaftenfenster des ausgewählten Zertifikats

    Abbildung des Abschlussvorgangs der Zertifikatregistrierung in der Microsoft Management Console

Hinweis

Verwenden Sie keine IP-Adressen für SMB über QUIC-Server-SAN.

  • IP-Adressen erfordern die Verwendung von NTLM, auch wenn Kerberos von einem Domänencontroller oder über einen KDC-Proxy verfügbar ist.
  • Azure IaaS VMs, die SMB über QUIC ausführen, verwenden NAT für eine öffentliche Schnittstelle zurück zu einer privaten Schnittstelle. SMB über QUIC unterstützt nicht die Verwendung der IP-Adresse für den Servernamen durch ein NAT. Sie müssen in diesem Fall einen voll qualifizierten DNS-Namen verwenden, der nur in die IP-Adresse der öffentlichen Schnittstelle aufgelöst wird.

Hinweis

Wenn Sie eine von einer Drittanbietern-Zertifizierungsstelle ausgestellte Zertifikatsdatei verwenden, können Sie das Snap-In „Zertifikate“ oder das WAC verwenden, um sie zu importieren.

Schritt 2: Konfigurieren von SMB über QUIC

  1. Stellen Sie einen Server mit Windows Server 2022 Datacenter: Azure Edition bereit.
  2. Installieren Sie die aktuelle Version von WAC auf einem Verwaltungscomputer oder Dateiserver. Sie benötigen die neueste Version der Erweiterung Dateien und Dateifreigabe. Sie wird automatisch vom WAC installiert, wenn Erweiterungen automatisch aktualisieren in Einstellungen > Erweiterungen aktiviert ist.
  3. Verbinden Sie Ihren Windows Server 2022 Datacenter: Azure Edition-Dateiserver mit Ihrer Active Directory-Domäne, und machen Sie ihn für Windows Insider-Clients auf der öffentlichen Azure-Schnittstelle verfügbar, indem Sie eine Firewall-Zulassungsregel für „UDP/443 Eingehend“ hinzufügen. Lassen Sie „TCP/445 Eingehend“ für den Dateiserver nicht zu. Der Dateiserver muss für die Authentifizierung auf mindestens einen Domänencontroller zugreifen können, aber kein Domänencontroller benötigt Internetzugriff.

Hinweis

Wir empfehlen die Verwendung von SMB über QUIC mit Active Directory-Domänen. Dies ist jedoch nicht erforderlich. Sie können SMB über QUIC auch auf einem in Arbeitsgruppen eingebundenen Server mit lokalen Benutzeranmeldeinformationen und NTLM verwenden.

  1. Verbinden Sie sich per WAC mit dem Server und wählen Sie unten links das Symbol Einstellungen aus. Wählen Sie im Abschnitt Dateifreigaben (SMB-Server) unter Dateifreigabe über das Internet mit SMB über QUICKonfigurieren.

  2. Wählen Sie unter Computerzertifikat für diesen Dateiserver auswählen auf ein Zertifikat, wählen Sie die Serveradressen, mit denen Clients eine Verbindung herstellen können, oder wählen Sie Alle auswählen und wählen Sie Aktivieren.

    Abbildung des Konfigurationsbildschirms für SMB-über-QUIC im Windows Admin Center

  3. Stellen Sie sicher, dass das Zertifikat und der SMB über QUIC-Bericht fehlerfrei sind.

    Abbildung, die alle für die konfigurierte SMB-über-QUIC-Einstellung im Windows Admin Center verfügbaren Zertifikate zeigt

  4. Wählen Sie die Menüoption Dateien und Dateifreigabe. Notieren Sie sich Ihre vorhandenen SMB-Freigaben, oder erstellen Sie eine neue.

Eine Demonstration der Konfiguration und Verwendung von SMB über QUIC finden Sie in diesem Video:

Schritt 3: Verbinden mit SMB-Freigaben

  1. Lassen Sie Ihr Windows 11-Gerät Ihrer Domäne beitreten. Stellen Sie sicher, dass die alternativen Namen des Zertifikatantragstellers des SMB über QUIC-Dateiservers in DNS veröffentlicht werden und vollqualifiziert sind oder den HOST-Dateien für Ihre Windows 11-Instanz hinzugefügt werden. Stellen Sie sicher, dass die alternativen Namen des Zertifikatantragstellers in DNS veröffentlicht oder den HOST-Dateien für Ihre Windows 11-Instanz hinzugefügt werden.

  2. Verschieben Sie Ihr Windows 11-Gerät in ein externes Netzwerk, in dem es keinen Netzwerkzugriff mehr auf Domänencontroller oder die internen IP-Adressen des Dateiservers hat.

  3. Geben Sie im Windows Datei-Explorer in der Adressleiste den UNC-Pfad zu einer Freigabe auf dem Dateiserver ein, und vergewissern Sie sich, dass Sie auf Daten in der Freigabe zugreifen können. Alternativ können Sie NET USE /TRANSPORT:QUIC oder New-SmbMapping -TransportType QUIC mit einem UNC-Pfad verwenden. Beispiele:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

SMB-über-QUIC-Clientüberwachung

Die Überwachung wird verwendet, um Clientverbindungen für SMB-über-QUIC nachzuverfolgen, wobei Ereignisse in ein Ereignisprotokoll geschrieben werden. Die Ereignisanzeige erfasst diese Informationen für das QUIC-Transportprotokoll. Dieses Feature ist ab Windows 11 Insider Build 26090 für den SMB-Client verfügbar. Führen Sie folgende Schritte aus, um diese Ressourcenprotokolle anzuzeigen:

  1. Öffnen Sie die Ereignisanzeige.
  2. Navigieren Sie zu Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity.
  3. Überwachen der Ereignis-ID 30832.

Standardmäßig hat ein Windows 11-Gerät keinen Zugriff auf einen Active Directory-Domänencontroller, wenn es sich mit einem SMB über QUIC-Dateiserver verbindet. Dies bedeutet, dass die Authentifizierung NTLMv2 verwendet, wobei sich der Dateiserver im Auftrag des Clients authentifiziert. Außerhalb des MIT TLS 1.3 verschlüsselten QUIC-Tunnels erfolgt keine NTLMv2-Authentifizierung oder -Autorisierung. Es wird jedoch weiterhin empfohlen, Kerberos als allgemeine bewährte Sicherheitsmethode zu verwenden, und es wird nicht empfohlen, neue NTLMv2-Abhängigkeiten in Bereitstellungen zu erstellen. Dazu können Sie den KDC-Proxy so konfigurieren, dass Ticketanforderungen im Namen des Benutzers weitergeleitet werden, bei Verwendung eines internetfreundlichen HTTPS-verschlüsselten Kommunikationskanals. Der KDC-Proxy wird von SMB über QUIC vollständig unterstützt und dringend empfohlen.

Hinweis

Sie können das Windows Admin Center (WAC) nicht im Gatewaymodus unter Verwendung von TCP-Port 443 auf einem Dateiserver konfigurieren, auf dem Sie den KDC-Proxy konfigurieren. Ändern Sie beim Konfigurieren von WAC auf dem Dateiserver den Port in einen nicht verwendeten Port, der nicht Port 443 ist. Haben Sie WAC bereits an Port 443 konfiguriert, führen Sie die WAC-Setup-MSI erneut aus, und wählen Sie einen anderen Port aus, wenn Sie dazu aufgefordert werden.

Windows Admin Center – Methode

  1. Stellen Sie sicher, dass Sie mindestens WAC Version 2110 verwenden.

  2. Konfigurieren Sie SMB über QUIC wie gewohnt. Ab WAC 2110 ist die Option zum Konfigurieren des KDC-Proxys in SMB über QUIC automatisch aktiviert und Sie müssen keine zusätzlichen Schritte auf den Dateiservern ausführen. Der standardmäßige KDC-Proxyport ist 443 und wird automatisch von WAC zugewiesen.

    Hinweis

    Es ist nicht möglich, einen SMB-über-QUIC-Server zu konfigurieren, der über WAC in eine Arbeitsgruppe eingebunden ist. Sie müssen den Server in eine Active Directory-Domäne einbinden oder die Schritte im Abschnitt Manuelle Methode ausführen.

  3. Konfigurieren Sie die folgende Gruppenrichtlinieneinstellung so, dass sie auf das Windows 11-Gerät angewendet wird:

    Computerkonfiguration\Administrative Vorlagen\System\Kerberos\KDC-Proxyserver für Kerberos-Clients angeben

    Das Format dieser Gruppenrichtlinieneinstellung entspricht einem Wertnamen Ihres vollqualifizierten Active Directory-Domänennamens, und der Wert ist der externe Name, den Sie für den QUIC-Server angegeben haben. Wenn beispielsweise die Active Directory-Domäne den Namen corp.contoso.com und die externe DNS-Domäne den Namen contoso.com hat:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Diese Kerberos-Realm-Zuordnung bedeutet, dass, wenn Benutzer ned@corp.contoso.com versucht, eine Verbindung zu einem Dateiserver mit dem Namen fs1edge.contoso.comherzustellen, der KDC-Proxy weiß, dass die Kerberos-Tickets an einen Domänencontroller in der internen Domäne corp.contoso.com weitergeleitet werden müssen. Die Kommunikation mit dem Client erfolgt über HTTPS an Port 443, und die Benutzeranmeldeinformationen werden nicht direkt im Dateiservernetzwerk des Clients offengelegt.

  4. Stellen Sie sicher, dass Edgefirewalls beim Dateiserver eingehende HTTPS-Verbindungen an Port 443 zulassen.

  5. Wenden Sie die Gruppenrichtlinie an, und starten Sie das Windows 11-Gerät neu.

Manuelle Methode

  1. Führen Sie auf dem Dateiserver in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "HttpsClientAuth" -Value 0 -Type DWord -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" -Name "DisallowUnprotectedPasswordAuth" -Value 0 -Type DWord -Force

Get-SmbServerCertificateMapping

  2. Kopieren Sie den Fingerabdruck-Wert aus dem Zertifikat, das dem SMB über QUIC-Zertifikat zugeordnet ist (es kann mehrere Zeilen geben, aber diese weisen alle den gleichen Fingerabdruck auf), und fügen Sie ihn als Certhash-Wert für den folgenden Befehl ein:

    $guid = [Guid]::NewGuid()

Add-NetIPHttpsCertBinding -IPPort 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "My" -ApplicationId "{$guid}" -NullEncryption $false

  3. Fügen Sie die SMB über QUIC-Namen des Dateiservers als SPNs in Active Directory für Kerberos hinzu. Beispiel:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com`

  4. Legen Sie den KDC-Proxydienst auf „Automatisch“ fest, und starten Sie ihn:

    Set-Service -Name kpssvc -StartupType Automatic

Start-Service -Name kpssvc

  5. Konfigurieren Sie die folgende Gruppenrichtlinie so, dass sie auf das Windows 11-Gerät angewendet wird:

    Computerkonfiguration\Administrative Vorlagen\System\Kerberos\KDC-Proxyserver für Kerberos-Clients angeben

    Das Format dieser Gruppenrichtlinieneinstellung entspricht einem Wertnamen Ihres vollqualifizierten Active Directory-Domänennamens, und der Wert ist der externe Name, den Sie für den QUIC-Server angegeben haben. Angenommen, die Active Directory-Domäne heißt „corp.contoso.com“ und die externe DNS-Domäne „contoso.com“:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Diese Kerberos-Bereichszuordnung bedeutet, dass der KDC-Proxy weiß, dass die Kerberos-Tickets an einen Domänencontroller in der internen ned@corp.contoso.com-Domäne weitergeleitet werden sollen, wenn der Benutzer fs1edge.contoso.com" versucht hat, eine Verbindung mit einem Dateiservernamen corp.contoso.com herzustellen. Die Kommunikation mit dem Client erfolgt über HTTPS an Port 443, und die Benutzeranmeldeinformationen werden nicht direkt im Dateiservernetzwerk des Clients offengelegt.

  6. Erstellen Sie eine Windows Defender-Firewallregel, die den TCP-Port 443 (Eingehend) für den KDC-Proxydienst zum Empfangen von Authentifizierungsanforderungen öffnet.

  7. Stellen Sie sicher, dass Edgefirewalls beim Dateiserver eingehende HTTPS-Verbindungen an Port 443 zulassen.

  8. Wenden Sie die Gruppenrichtlinie an, und starten Sie das Windows 11-Gerät neu.

Hinweis

Die automatische Konfiguration des KDC-Proxys erfolgt später in SMB über QUIC, und diese Serverschritte sind nicht erforderlich.

Ablauf und Verlängerung eines Zertifikats

Ein abgelaufenes SMB über QUIC-Zertifikat, das Sie durch ein neues Zertifikat des Ausstellers ersetzen, enthält einen neuen Fingerabdruck. SMB über QUIC-Zertifikate können zwar bei Ablauf über die Active Directory-Zertifikatdienste automatisch verlängert werden, aber ein verlängertes Zertifikat erhält auch einen neuen Fingerabdruck. Im Endeffekt bedeutet dies, dass SMB über QUIC bei Ablauf des Zertifikats neu konfiguriert werden muss, weil ein neuer Fingerabdruck zuzuordnen ist. Wählen Sie Ihr neues Zertifikat in WAC für die vorhandene SMB-über-QUIC-Konfiguration aus, oder verwenden Sie den Set-SMBServerCertificateMapping PowerShell-Befehl, um die Zuordnung für das neue Zertifikat zu aktualisieren. Sie können Azure Automanage für Windows Server verwenden, um einen bevorstehenden Zertifikatablauf zu erkennen und einen Ausfall zu verhindern. Weitere Informationen finden Sie unter Azure Automanage für Windows Server.

Hinweise

  • Für Kund*innen, die nicht die öffentliche Azure-Cloud und Windows Server 2022 Datacenter verwenden: Azure Edition steht in Azure Stack HCI ab Version 22H2 zur Verfügung.
  • Wir empfehlen die Verwendung von SMB über QUIC mit Active Directory-Domänen, dies ist jedoch keine Voraussetzung. Sie können SMB over QUIC auch auf einem Workgroup-Server mit lokalen Anmeldeinformationen und NTLM oder auf Azure IaaS mit Microsoft Entra-Windows-Servern verwenden. Microsoft Entra-Windows-Server für nicht-Azure IaaS-basierte Maschinen werden nicht unterstützt. Microsoft Entra-Windows-Server unterstützen keine Anmeldeinformationen für Remote-Windows-Sicherheitsvorgänge, da Microsoft Entra ID keine Benutzer- oder Gruppen-SIDs enthält. Mit Microsoft Entra verbundene Windows-Server müssen entweder ein domänenbasiertes oder ein lokales Benutzerkonto für den Zugriff auf die SMB over QUIC-Freigabe verwenden.
  • Sie können SMB über QUIC nicht mit WAC konfigurieren, wenn sich der SMB-Server in einer Arbeitsgruppe befindet (also nicht in eine AD-Domäne eingebunden ist). Für dieses Szenario müssen Sie das cmdlet New-SMBServerCertificateMapping verwenden.
  • Es wird empfohlen, schreibgeschützte Domänencontroller, die nur mit Kennwörtern mobiler Benutzer konfiguriert sind, für den Dateiserver verfügbar zu machen.
  • Benutzer sollten über sichere Kennwörter verfügen oder idealerweise mit einer kennwortlosen Strategie mit Windows Hello for Business/MFA oder Smartcards konfiguriert werden. Konfigurieren Sie eine Kontosperrungsrichtlinie für mobile Benutzer über eine differenzierte Kennwortrichtlinie. Zudem sollten Sie Eindringschutzsoftware bereitstellen, um Brute-Force- oder Kennwortsprayangriffe zu erkennen.

Weitere Verweise