SMB über QUIC

Gilt für: Windows Server 2022 Datacenter: Azure Edition, Windows 11

SMB über QUIC stellt eine Alternative zum TCP-Netzwerktransport dar und bietet sichere, zuverlässige Konnektivität mit Edgedateiservern über nicht vertrauenswürdige Netzwerke wie das Internet. QUIC ist ein IETF-standardisiertes Protokoll mit vielen Vorteilen gegenüber TCP:

  • Alle Pakete werden immer verschlüsselt, und der Handshake wird mit TLS 1.3 authentifiziert.
  • Parallele Streams zuverlässiger und nicht zuverlässiger Anwendungsdaten
  • Austausch von Anwendungsdaten beim ersten Roundtrip (0-RTT)
  • Verbesserte Überlastungskontrolle und Verlustwiederherstellung
  • Übersteht eine Änderung der IP-Adresse oder des Ports des Clients

SMB über QUIC bietet ein „SMB-VPN“ für Telearbeiter, Benutzer mobiler Geräte und Organisationen mit hohen Sicherheitsanforderungen. Das Serverzertifikat erstellt anstelle des älteren TCP-Ports 445 einen TLS 1.3-verschlüsselten Tunnel über den internetfreundlichen UDP-Port 443. Der vollständige SMB-Datenverkehr, einschließlich Authentifizierung und Autorisierung innerhalb des Tunnels, wird dem zugrunde liegenden Netzwerk gegenüber nie offengelegt. SMB verhält sich innerhalb des QUIC-Tunnels normal, das bedeutet, die Benutzeroberfläche ändert sich nicht. SMB-Features wie Multichannel, Signierung, Komprimierung, kontinuierliche Verfügbarkeit, Verzeichnisleasing und so weiter funktionieren normal.

SMB über QUIC muss durch einen Dateiserveradministrator aktiviert werden. Es ist standardmäßig nicht aktiviert, und ein Client kann nicht erzwingen, dass ein Dateiserver SMB über QUIC aktiviert. Windows SMB-Clients verwenden weiterhin standardmäßig TCP und versuchen nur dann, SMB über QUIC zu verwenden, wenn der TCP-Versuch beim ersten Mal fehlschlägt oder wenn die Verwendung von QUIC mithilfe von NET USE /TRANSPORT:QUIC oder New-SmbMapping -TransportType QUIC absichtlich verlangt wird.

Voraussetzungen

Um SMB über QUIC verwenden zu können, benötigen Sie Folgendes:

  • Ein Dateiserver unter Windows Server 2022 Datacenter: Azure Edition (Microsoft Server Operating Systems)
  • Ein Windows 11 Computer(Windows für Unternehmen)
  • Windows Admin Center (Startseite)
  • Eine Public Key-Infrastruktur (PKI) zum Ausstellen von Zertifikaten wie Active Directory-Zertifikatserver oder Zugriff auf einen vertrauenswürdigen Zertifikatsaussteller eines Drittanbieters wie Verisign, Digicert, Let's Encrypt usw.

Bereitstellen von SMB über QUIC

Schritt 1: Installieren eines Serverzertifikats

  1. Erstellen Sie ein von der Zertifizierungsstelle ausgestelltes Zertifikat mit den folgenden Eigenschaften:

    • Schlüsselverwendung: digitale Signatur
    • Zweck: Serverauthentifizierung (EKU 1.3.6.1.5.5.7.3.1)
    • Signaturalgorithmus: SHA256RSA (oder höher)
    • Signaturhash: SHA256 (oder höher)
    • Algorithmus für öffentlichen Schlüssel: ECDSA_P256 (oder höher. Rsa kann auch mit einer Länge von mindestens 2048 verwendet werden.)
    • Alternativer Antragstellername (SAN): (Ein DNS-Namenseintrag für jeden vollqualifizierten DNS-Namen, der zum Erreichen des SMB-Servers verwendet wird)
    • Antragsteller: (CN=beliebig, muss aber vorhanden sein)
    • Privater Schlüssel enthalten: Ja

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    Bei Verwendung einer Microsoft Enterprise-Zertifizierungsstelle können Sie eine Zertifikatvorlage erstellen und es dem Dateiserveradministrator überlassen, die DNS-Namen bei der Anforderung anzugeben. Weitere Informationen zum Erstellen einer Zertifikatvorlage finden Sie unter Entwerfen und Implementieren einer PKI: Teil III Zertifikatvorlagen. Eine Demonstration der Erstellung eines Zertifikats für SMB über QUIC mithilfe einer Microsoft Enterprise-Zertifizierungsstelle finden Sie in diesem Video:

    Informationen zum Anfordern eines Drittanbieterzertifikats finden Sie in der Dokumentation Ihres Herstellers.

  2. Bei Verwendung einer Microsoft Enterprise-Zertifizierungsstelle:

    1. Starten Sie MMC.EXE auf dem Dateiserver.
    2. Fügen Sie das Snap-In Zertifikate hinzu, und wählen Sie das Computerkonto aus.
    3. Erweitern Sie Zertifikate (lokaler Computer) , Persönlich, klicken Sie dann mit der rechten Maustaste auf Zertifikate und anschließend auf Neues Zertifikat anfordern.
    4. Klicken Sie auf Weiter.
    5. Wählen Sie Active Directory-Registrierungsrichtlinie aus.
    6. Klicken Sie auf Weiter.
    7. Wählen Sie die Zertifikatvorlage für SMB über QUIC aus, die in Active Directory veröffentlicht wurde.
    8. Klicken Sie auf Weitere Informationen sind erforderlich, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um die Einstellungen zu konfigurieren.
    9. Damit Benutzer den Dateiserver auffinden können, geben Sie für Antragsteller einen allgemeinen Namen und für Alternativer Antragstellername einen oder mehrere DNS-Namen ein.
    10. Klicken Sie auf OK und dann auf Registrieren.

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

Hinweis

Wenn Sie eine von einer Drittanbietern-Zertifizierungsstelle ausgestellte Zertifikatsdatei verwenden, können Sie das Snap-In „Zertifikate“ oder das Windows Admin Center verwenden, um sie zu importieren.

Schritt 2: Konfigurieren von SMB über QUIC

  1. Bereitstellen eines Windows Server 2022 Datacenter: Azure Edition-Server.

  2. Installieren Sie die aktuelle Version von Windows Admin Center auf einem Verwaltungscomputer oder Dateiserver. Sie benötigen die neueste Version der Dateifreigabeerweiterung für Dateien. Sie wird automatisch von Windows Admin Center installiert, wenn Erweiterungen automatisch aktualisieren in Einstellungen Erweiterungenaktiviert ist.

  3. Verbinden Sie Ihren Windows Server 2022 Datacenter: Azure Edition-Dateiserver mit Ihrer Active Directory-Domäne, und machen Sie ihn für Windows Insider-Clients auf der öffentlichen Azure-Schnittstelle verfügbar, indem Sie eine Firewall-Zulassungsregel für „UDP/443 Eingehend“ hinzufügen. Lassen Sie „TCP/445 Eingehend“ für den Dateiserver nicht zu. Der Dateiserver muss für die Authentifizierung auf mindestens einen Domänencontroller zugreifen können, aber kein Domänencontroller benötigt Internetzugriff.

  4. Stellen Sie eine Verbindung mit dem Servers über Windows Admin Center her, und klicken Sie unten links auf das Symbol Einstellungen. Klicken Sie im Abschnitt Dateifreigaben (SMB-Server) unter Dateifreigabe über das Internet mit SMB über QUICauf Konfigurieren.

  5. Klicken Sie unter Computerzertifikat für diesen Dateiserver auswählen auf ein Zertifikat, klicken Sie auf die Serveradressen, mit denen Clients eine Verbindung herstellen können, oder klicken Sie auf Alle auswählen, und klicken Sie auf Aktivieren.

    image showing the steps for configure SMB over QUIC1

  6. Stellen Sie sicher, dass das Zertifikat und der SMB über QUIC-Bericht fehlerfrei sind.

    image showing the steps for configure SMB over QUIC2

  7. Klicken Sie auf die Menüoption Dateien und Dateifreigabe. Notieren Sie sich Ihre vorhandenen SMB-Freigaben, oder erstellen Sie eine neue.

Eine Demonstration der Konfiguration und Verwendung von SMB über QUIC finden Sie in diesem Video:

Schritt 3: Verbinden mit SMB-Freigaben

  1. Verbinden Sie Ihr Windows 11 Gerät mit Ihrer Domäne. Stellen Sie sicher, dass die Namen des SMB über die alternativen Namen des Zertifikatantragssubjekts des QUIC-Dateiservers im DNS veröffentlicht werden und den HOST-Dateien für Ihre Windows 11 vollqualifiziert ODER hinzugefügt werden. Stellen Sie sicher, dass die alternativen Namen des Zertifikatantragssubjekts des Servers im DNS veröffentlicht oder den HOSTS-Dateien für Ihre Windows 11 hinzugefügt werden.

  2. Verschieben Sie Ihr Windows 11 Gerät in ein externes Netzwerk, in dem es keinen Netzwerkzugriff mehr auf Domänencontroller oder die internen IP-Adressen des Dateiservers hat.

  3. Geben Sie im Windows Datei-Explorer in der Adressleiste den UNC-Pfad zu einer Freigabe auf dem Dateiserver ein, und vergewissern Sie sich, dass Sie auf Daten in der Freigabe zugreifen können. Alternativ können Sie NET USE /TRANSPORT:QUIC oder New-SmbMapping -TransportType QUIC mit einem UNC-Pfad verwenden. Beispiele:

    NET USE * \\fsedge1.contoso.com\salesNET USE * \\fsedge1.contoso.com\sales

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUICNET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUICNew-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

Standardmäßig hat ein Windows 11 Gerät keinen Zugriff auf einen Active Directory-Domänencontroller, wenn eine Verbindung mit einem SMB über einen QUIC-Dateiserver hergestellt wird. Dies bedeutet, dass die Authentifizierung NTLMv2 verwendet, wobei sich der Dateiserver im Auftrag des Clients authentifiziert. Außerhalb des MIT TLS 1.3 verschlüsselten QUIC-Tunnels erfolgt keine NTLMv2-Authentifizierung oder -Autorisierung. Es wird jedoch weiterhin empfohlen, Kerberos als allgemeine bewährte Sicherheitsmethode zu verwenden, und es wird nicht empfohlen, neue NTLMv2-Abhängigkeiten in Bereitstellungen zu erstellen. Dazu können Sie den KDC-Proxy so konfigurieren, dass Ticketanforderungen im Namen des Benutzers weitergeleitet werden, bei Verwendung eines internetfreundlichen HTTPS-verschlüsselten Kommunikationskanals.

Hinweis

Sie können das Windows Admin Center (WAC) nicht im Gatewaymodus konfigurieren, indem Sie TCP-Port 443 auf einem Dateiserver verwenden, auf dem Sie den KDC-Proxy konfigurieren. Ändern Sie beim Konfigurieren von WAC auf dem Dateiserver den Port in einen nicht verwendeten Port, der nicht Port 443 ist. Haben Sie WAC bereits an Port 443 konfiguriert, führen Sie die WAC-Setup-MSI erneut aus, und wählen Sie einen anderen Port aus, wenn Sie dazu aufgefordert werden.

Windows Admin Center – Methode

  1. Stellen Sie sicher, dass Sie mindestens Windows Admin Center Version 2110 verwenden.

  2. Konfigurieren Sie SMB normal über QUIC. Ab Windows Admin Center 2110 ist die Option zum Konfigurieren des KDC-Proxys in SMB über QUIC automatisch aktiviert, und Sie müssen keine zusätzlichen Schritte auf den Dateiservern ausführen.

  3. Konfigurieren Sie die folgende Gruppenrichtlinieneinstellung so, dass sie auf das Windows 11 Gerät angewendet wird:

    Computer Administrative Vorlagen System Kerberos Angeben von >>> KDC-Proxyservern für Kerberos-Clients

    Das Format dieser Gruppenrichtlinieneinstellung ist ein Wertname Ihres vollqualifizierten Active Directory-Domänennamens, und der Wert ist der externe Name, den Sie für den QUIC-Server angegeben haben. Wenn beispielsweise die Active Directory-Domäne corp.contoso.com und die externe DNS-Domäne contoso.comheißt:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Diese Kerberos-Bereichszuordnung bedeutet, dass ned@corp.contoso.com der KDC-Proxy weiß, die Kerberos-Tickets an einen Domänencontroller in der internen ned@corp.contoso.comDomäne weiterzuleiten, wenn der Benutzer versucht hat, eine Verbindung mit einem Dateiservernamen fs1edge.contoso.com herzustellen. Die Kommunikation mit dem Client erfolgt über HTTPS an Port 443, und Benutzeranmeldeinformationen werden nicht direkt im Netzwerk des Clientdateiservers verfügbar gemacht.

  4. Stellen Sie sicher, dass Edgefirewalls HTTPS für eingehenden Port 443 an den Dateiserver zulassen.

  5. Wenden Sie die Gruppenrichtlinie an, und starten Sie das Windows 11 neu.

Manuelle Methode

  1. Führen Sie auf dem Dateiserver in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. Kopieren Sie den Fingerabdruck-Wert aus dem Zertifikat, das dem SMB über QUIC-Zertifikat zugeordnet ist (es kann mehrere Zeilen geben, aber diese weisen alle den gleichen Fingerabdruck auf), und fügen Sie ihn als Certhash-Wert für den folgenden Befehl ein:

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Fügen Sie die SMB über QUIC-Namen des Dateiservers als SPNs in Active Directory für Kerberos hinzu. Zum Beispiel:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. Legen Sie den KDC-Proxydienst auf „Automatisch“ fest, und starten Sie ihn:

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. Konfigurieren Sie die folgende Gruppenrichtlinie so, dass sie auf das Windows 11 angewendet wird:

    Computer Administrative Vorlagen System Kerberos Angeben von >>> KDC-Proxyservern für Kerberos-Clients

    Das Format dieser Gruppenrichtlinieneinstellung ist ein Wertname Ihres vollqualifizierten Active Directory-Domänennamens, und der Wert ist der externe Name, den Sie für den QUIC-Server angegeben haben. Angenommen, die Active Directory-Domäne heißt „corp.contoso.com“ und die externe DNS-Domäne „contoso.com“:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Diese Kerberos-Bereichszuordnung bedeutet, dass der KDC-Proxy weiß, dass die Kerberos-Tickets an einen Domänencontroller in der internen ned@corp.contoso.com-Domäne weitergeleitet werden sollen, wenn der Benutzer fs1edge.contoso.com" versucht hat, eine Verbindung mit einem Dateiservernamen corp.contoso.com herzustellen. Die Kommunikation mit dem Client wird über HTTPS an Port 443 durchgeführt, und Benutzeranmeldeinformationen werden nicht direkt im Netzwerk des Clientdateiservers verfügbar gemacht.

  6. Erstellen Sie eine Windows Defender-Firewallregel, die den TCP-Port 443 (Eingehend) für den KDC-Proxydienst zum Empfangen von Authentifizierungsanforderungen öffnet.

  7. Stellen Sie sicher, dass Edgefirewalls HTTPS an Port 443 für eingehenden Datenverkehr an den Dateiserver zulassen.

  8. Wenden Sie die Gruppenrichtlinie an, und starten Sie das Windows 11 neu.

Hinweis

Die automatische Konfiguration des KDC-Proxys erfolgt später im SMB über QUIC, und diese Serverschritte sind nicht erforderlich.

Ablauf und Verlängerung des Zertifikats

Ein abgelaufenes SMB über QUIC-Zertifikat, das Sie durch ein neues Zertifikat vom Aussteller ersetzen, enthält einen neuen Fingerabdruck. Sie können SMB über QUIC-Zertifikate automatisch erneuern, wenn sie mithilfe von Active Directory-Zertifikatdienste ablaufen. Ein erneuertes Zertifikat erhält jedoch auch einen neuen Fingerabdruck. Dies bedeutet, dass SMB über QUIC neu konfiguriert werden muss, wenn das Zertifikat abläuft, da ein neuer Fingerabdruck zugeordnet werden muss. Sie können ihr neues Zertifikat einfach im Windows Admin Center für die vorhandene SMB-over-QUIC-Konfiguration auswählen oder den Set-SMBServerCertificateMapping PowerShell-Befehl verwenden, um die Zuordnung für das neue Zertifikat zu aktualisieren. Sie können die Azure Automanage für Windows Server verwenden, um den bevorstehenden Ablauf des Zertifikats zu erkennen und einen Ausfall zu verhindern. Weitere Informationen finden Sie unter Azure Automanage für Windows Server.

Hinweise

  • Windows Server 2022 Datacenter: Die Azure Edition wird schließlich auch unter Azure Stack HCI 21H2 für Kunden verfügbar sein, die keine öffentliche Azure-Cloud verwenden.
  • Es wird empfohlen, schreibgeschützte Domänencontroller, die nur mit Kennwörtern mobiler Benutzer konfiguriert sind, für den Dateiserver verfügbar zu machen.
  • Benutzer sollten über sichere Kennwörter verfügen oder idealerweise mit einer kennwortlosen Strategie mit Windows Hello for Business/MFA oder Smartcards konfiguriert werden. Konfigurieren Sie eine Kontosperrungsrichtlinie für mobile Benutzer über eine differenzierte Kennwortrichtlinie. Zudem sollten Sie Eindringschutzsoftware bereitstellen, um Brute-Force- oder Kennwortsprayangriffe zu erkennen.

Weitere Verweise

Storage at Microsoft-Blog (Blog zu Speicher bei Microsoft)

Startseite der QUIC-Arbeitsgruppe

Microsoft MsQuic GitHub-Startseite

QUIC Wikipedia

Startseite der TLS 1.3-Arbeitsgruppe

Referenz für Microsoft TLS 1.3-Unterstützung