SMB über QUIC

Gilt für: Windows Server 2022 Datacenter: Azure Edition, Windows 11

SMB über QUIC bietet eine Alternative zum TCP-Netzwerktransport und ermöglicht sichere, zuverlässige Konnektivität mit Edgedateiservern über nicht vertrauenswürdige Netzwerke wie das Internet. QUIC ist ein IETF-standardisiertes Protokoll mit vielen Vorteilen gegenüber TCP:

• Alle Pakete werden immer verschlüsselt, und der Handshake wird mit TLS 1.3 authentifiziert.
• Parallele Streams zuverlässiger und nicht zuverlässiger Anwendungsdaten
• Austausch von Anwendungsdaten beim ersten Roundtrip (0-RTT)
• Verbesserte Überlastungskontrolle und Verlustwiederherstellung
• Übersteht eine Änderung der IP-Adresse oder des Ports des Clients

SMB über QUIC bietet ein „SMB-VPN“ für Telearbeiter, Benutzer mobiler Geräte und Organisationen mit hohen Sicherheitsanforderungen. Das Serverzertifikat erstellt anstelle des älteren TCP-Ports 445 einen TLS 1.3-verschlüsselten Tunnel über den internetfreundlichen UDP-Port 443. Der vollständige SMB-Datenverkehr, einschließlich Authentifizierung und Autorisierung innerhalb des Tunnels, wird dem zugrunde liegenden Netzwerk gegenüber nie offengelegt. SMB verhält sich innerhalb des QUIC-Tunnels normal, das bedeutet, die Benutzeroberfläche ändert sich nicht. SMB-Features wie Multichannel, Signierung, Komprimierung, kontinuierliche Verfügbarkeit, Verzeichnisleasing und so weiter funktionieren normal.

SMB über QUIC muss durch einen Dateiserveradministrator aktiviert werden. Es ist standardmäßig nicht aktiviert, und ein Client kann nicht erzwingen, dass ein Dateiserver SMB über QUIC aktiviert. Windows SMB-Clients verwenden weiterhin standardmäßig TCP und versuchen nur dann, SMB über QUIC zu verwenden, wenn der TCP-Versuch beim ersten Mal fehlschlägt oder wenn die Verwendung von QUIC mithilfe von NET USE /TRANSPORT:QUIC oder New-SmbMapping -TransportType QUIC absichtlich verlangt wird.

Voraussetzungen

Um SMB über QUIC verwenden zu können, benötigen Sie Folgendes:

• Dateiserver mit Windows Server 2022 Datacenter: Azure Edition (Microsoft Server-Betriebssysteme)
• Windows 11-Computer (Windows für Unternehmen)
• Windows Admin Center (Startseite)
• Eine Public Key-Infrastruktur (PKI) zum Ausstellen von Zertifikaten wie Active Directory-Zertifikatserver oder Zugriff auf einen vertrauenswürdigen Zertifikatsaussteller eines Drittanbieters wie Verisign, Digicert, Let's Encrypt usw.

Bereitstellen von SMB über QUIC

Schritt 1: Installieren eines Serverzertifikats

1. Erstellen Sie ein von der Zertifizierungsstelle ausgestelltes Zertifikat mit den folgenden Eigenschaften:

   • Schlüsselverwendung: digitale Signatur
   • Zweck: Serverauthentifizierung (EKU 1.3.6.1.5.5.7.3.1)
   • Signaturalgorithmus: SHA256RSA (oder höher)
   • Signaturhash: SHA256 (oder höher)
   • Algorithmus für öffentliche Schlüssel: ECDSA_P256 (oder höher, auch die Verwendung von RSA mit einer Länge von mindestens 2048 ist möglich)
   • Alternativer Antragstellername (SAN): (Ein DNS-Namenseintrag für jeden vollqualifizierten DNS-Namen, der zum Erreichen des SMB-Servers verwendet wird)
   • Antragsteller: (CN=beliebig, muss aber vorhanden sein)
   • Privater Schlüssel enthalten: Ja

   

   Bei Verwendung einer Microsoft Enterprise-Zertifizierungsstelle können Sie eine Zertifikatvorlage erstellen und es dem Dateiserveradministrator überlassen, die DNS-Namen bei der Anforderung anzugeben. Weitere Informationen zum Erstellen einer Zertifikatvorlage finden Sie unter Entwerfen und Implementieren einer PKI: Teil III Zertifikatvorlagen. Eine Demonstration der Erstellung eines Zertifikats für SMB über QUIC mithilfe einer Microsoft Enterprise-Zertifizierungsstelle finden Sie in diesem Video:

   Informationen zum Anfordern eines Drittanbieterzertifikats finden Sie in der Dokumentation Ihres Herstellers.

2. Bei Verwendung einer Microsoft Enterprise-Zertifizierungsstelle:

   1. Starten Sie MMC.EXE auf dem Dateiserver.
   2. Fügen Sie das Snap-In Zertifikate hinzu, und wählen Sie das Computerkonto aus.
   3. Erweitern Sie Zertifikate (lokaler Computer), Persönlich, klicken Sie dann mit der rechten Maustaste auf Zertifikate und anschließend auf Neues Zertifikat anfordern.
   4. Klicken Sie auf Weiter.
   5. Wählen Sie Active Directory-Registrierungsrichtlinie aus.
   6. Klicken Sie auf Weiter.
   7. Wählen Sie die Zertifikatvorlage für SMB über QUIC aus, die in Active Directory veröffentlicht wurde.
   8. Klicken Sie auf Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt. Klicken Sie hier, um die Einstellungen zu konfigurieren.
   9. Damit Benutzer den Dateiserver auffinden können, geben Sie für Antragsteller einen allgemeinen Namen und für Alternativer Antragstellername einen oder mehrere DNS-Namen ein.
   10. Klicken Sie auf OK und dann auf Registrieren.

   

Hinweis

Verwenden Sie keine IP-Adressen für SMB über QUIC-Server-SAN.

1. IP-Adressen erfordern die Verwendung von NTLM, auch wenn Kerberos von einem Domänencontroller oder über einen KDC-Proxy verfügbar ist.
2. Azure IaaS VMs, die SMB über QUIC ausführen, verwenden NAT für eine öffentliche Schnittstelle zurück zu einer privaten Schnittstelle. SMB über QUIC unterstützt nicht die Verwendung der IP-Adresse für den Servernamen durch ein NAT. Sie müssen in diesem Fall einen voll qualifizierten DNS-Namen verwenden, der nur in die IP-Adresse der öffentlichen Schnittstelle aufgelöst wird.

Hinweis

Wenn Sie eine von einer Drittanbietern-Zertifizierungsstelle ausgestellte Zertifikatsdatei verwenden, können Sie das Snap-In „Zertifikate“ oder das Windows Admin Center verwenden, um sie zu importieren.

Schritt 2: Konfigurieren von SMB über QUIC

1. Stellen Sie einen Server mit Windows Server 2022 Datacenter: Azure Edition bereit.
2. Installieren Sie die aktuelle Version von Windows Admin Center auf einem Verwaltungscomputer oder Dateiserver. Sie benötigen die neueste Version der Erweiterung Dateien und Dateifreigabe. Sie wird automatisch vom Windows Admin Center installiert, wenn Erweiterungen automatisch aktualisieren in Einstellungen > Erweiterungen aktiviert ist.
3. Verbinden Sie Ihren Windows Server 2022 Datacenter: Azure Edition-Dateiserver mit Ihrer Active Directory-Domäne, und machen Sie ihn für Windows Insider-Clients auf der öffentlichen Azure-Schnittstelle verfügbar, indem Sie eine Firewall-Zulassungsregel für „UDP/443 Eingehend“ hinzufügen. Lassen Sie „TCP/445 Eingehend“ für den Dateiserver nicht zu. Der Dateiserver muss für die Authentifizierung auf mindestens einen Domänencontroller zugreifen können, aber kein Domänencontroller benötigt Internetzugriff.

Hinweis

Wir empfehlen die Verwendung von SMB über QUIC mit Active Directory-Domänen. Dies ist jedoch nicht erforderlich. Sie können SMB über QUIC auch auf einem in Arbeitsgruppen eingebundenen Server mit lokalen Benutzeranmeldeinformationen und NTLM verwenden.

1. Stellen Sie eine Verbindung mit dem Servers über Windows Admin Center her, und klicken Sie unten links auf das Symbol Einstellungen. Klicken Sie im Abschnitt Dateifreigaben (SMB-Server) unter Dateifreigabe über das Internet mit SMB über QUIC auf Konfigurieren.

2. Klicken Sie unter Computerzertifikat für diesen Dateiserver auswählen auf ein Zertifikat, klicken Sie auf die Serveradressen, mit denen Clients eine Verbindung herstellen können, oder klicken Sie auf Alle auswählen, und klicken Sie auf Aktivieren.

   

3. Stellen Sie sicher, dass das Zertifikat und der SMB über QUIC-Bericht fehlerfrei sind.

   

4. Klicken Sie auf die Menüoption Dateien und Dateifreigabe. Notieren Sie sich Ihre vorhandenen SMB-Freigaben, oder erstellen Sie eine neue.

Eine Demonstration der Konfiguration und Verwendung von SMB über QUIC finden Sie in diesem Video:

Schritt 3: Verbinden mit SMB-Freigaben

1. Lassen Sie Ihr Windows 11-Gerät Ihrer Domäne beitreten. Stellen Sie sicher, dass die alternativen Namen des Zertifikatantragstellers des SMB über QUIC-Dateiservers in DNS veröffentlicht werden und vollqualifiziert sind ODER den HOST-Dateien für Ihre Windows 11-Instanz hinzugefügt werden. Stellen Sie sicher, dass die alternativen Namen des Zertifikatantragstellers in DNS veröffentlicht ODER den HOST-Dateien für Ihre Windows 11-Instanz hinzugefügt werden.

2. Verschieben Sie Ihr Windows 11-Gerät in ein externes Netzwerk, in dem es keinen Netzwerkzugriff mehr auf Domänencontroller oder die internen IP-Adressen des Dateiservers hat.

3. Geben Sie im Windows Datei-Explorer in der Adressleiste den UNC-Pfad zu einer Freigabe auf dem Dateiserver ein, und vergewissern Sie sich, dass Sie auf Daten in der Freigabe zugreifen können. Alternativ können Sie NET USE /TRANSPORT:QUIC oder New-SmbMapping -TransportType QUIC mit einem UNC-Pfad verwenden. Beispiele:

   NET USE * \\fsedge1.contoso.com\sales(versucht es automatisch über TCP und dann über QUIC)

   NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC(versucht es nur über QUIC)

   New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC(versucht es nur über QUIC)

Konfigurieren des KDC-Proxys (optional, aber empfohlen)

Standardmäßig hat ein Windows 11-Gerät keinen Zugriff auf einen Active Directory-Domänencontroller, wenn es sich mit einem SMB über QUIC-Dateiserver verbindet. Dies bedeutet, dass die Authentifizierung NTLMv2 verwendet, wobei sich der Dateiserver im Auftrag des Clients authentifiziert. Außerhalb des MIT TLS 1.3 verschlüsselten QUIC-Tunnels erfolgt keine NTLMv2-Authentifizierung oder -Autorisierung. Es wird jedoch weiterhin empfohlen, Kerberos als allgemeine bewährte Sicherheitsmethode zu verwenden, und es wird nicht empfohlen, neue NTLMv2-Abhängigkeiten in Bereitstellungen zu erstellen. Dazu können Sie den KDC-Proxy so konfigurieren, dass Ticketanforderungen im Namen des Benutzers weitergeleitet werden, bei Verwendung eines internetfreundlichen HTTPS-verschlüsselten Kommunikationskanals. Der KDC-Proxy wird von SMB über QUIC vollständig unterstützt und dringend empfohlen.

Hinweis

Sie können das Windows Admin Center (WAC) nicht im Gatewaymodus unter Verwendung von TCP-Port 443 auf einem Dateiserver konfigurieren, auf dem Sie den KDC-Proxy konfigurieren. Ändern Sie beim Konfigurieren von WAC auf dem Dateiserver den Port in einen nicht verwendeten Port, der nicht Port 443 ist. Haben Sie WAC bereits an Port 443 konfiguriert, führen Sie die WAC-Setup-MSI erneut aus, und wählen Sie einen anderen Port aus, wenn Sie dazu aufgefordert werden.

Windows Admin Center – Methode

1. Stellen Sie sicher, dass Sie mindestens Version 2110 des Windows Admin Centers verwenden.

2. Konfigurieren Sie SMB über QUIC wie gewohnt. Ab Windows Admin Center 2110 ist die Option zum Konfigurieren des KDC-Proxys in SMB über QUIC automatisch aktiviert, und Sie müssen auf den Dateiservern keine zusätzlichen Schritte ausführen. Der standardmäßige KDC-Proxyport ist 443 und wird automatisch vom Windows Admin Center zugewiesen.

   Hinweis

   Sie können einen SMB über QUIC-Server, der in eine Arbeitsgruppe eingebunden ist, nicht über das Windows Admin Center konfigurieren. Sie müssen den Server in eine Active Directory-Domäne einbinden oder die Schritte im Abschnitt Manuelle Methode ausführen.

3. Konfigurieren Sie die folgende Gruppenrichtlinieneinstellung so, dass sie auf das Windows 11-Gerät angewendet wird:

   Computer > Administrative Vorlagen > System > Kerberos > KDC-Proxyserver für Kerberos-Clients festlegen

   Das Format dieser Gruppenrichtlinieneinstellung entspricht einem Wertnamen Ihres vollqualifizierten Active Directory-Domänennamens, und der Wert ist der externe Name, den Sie für den QUIC-Server angegeben haben. Angenommen, die Active Directory-Domäne heißt corp.contoso.com und die externe DNS-Domäne contoso.com:

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Diese Kerberos-Bereichszuordnung bedeutet Folgendes: Wenn der Benutzer ned@corp.contoso.com versucht hat, eine Verbindung mit einem Dateiserver namens fs1edge.contoso.com herzustellen, leitet der KDC-Proxy die Kerberos-Tickets an einen Domänencontroller in der internen Domäne corp.contoso.com weiter. Die Kommunikation mit dem Client erfolgt über HTTPS an Port 443, und die Benutzeranmeldeinformationen werden nicht direkt im Dateiservernetzwerk des Clients offengelegt.

4. Stellen Sie sicher, dass Edgefirewalls beim Dateiserver eingehende HTTPS-Verbindungen an Port 443 zulassen.

5. Wenden Sie die Gruppenrichtlinie an, und starten Sie das Windows 11-Gerät neu.

Manuelle Methode

1. Führen Sie auf dem Dateiserver in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:

   NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

   Get-SmbServerCertificateMapping

2. Kopieren Sie den Fingerabdruck-Wert aus dem Zertifikat, das dem SMB über QUIC-Zertifikat zugeordnet ist (es kann mehrere Zeilen geben, aber diese weisen alle den gleichen Fingerabdruck auf), und fügen Sie ihn als Certhash-Wert für den folgenden Befehl ein:

   $guid = [Guid]::NewGuid()

   Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

3. Fügen Sie die SMB über QUIC-Namen des Dateiservers als SPNs in Active Directory für Kerberos hinzu. Beispiel:

   NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

4. Legen Sie den KDC-Proxydienst auf „Automatisch“ fest, und starten Sie ihn:

   Set-Service -Name kpssvc -StartupType Automatic

   Start-Service -Name kpssvc

5. Konfigurieren Sie die folgende Gruppenrichtlinie so, dass sie auf das Windows 11-Gerät angewendet wird:

   Computer > Administrative Vorlagen > System > Kerberos > KDC-Proxyserver für Kerberos-Clients festlegen

   Das Format dieser Gruppenrichtlinieneinstellung entspricht einem Wertnamen Ihres vollqualifizierten Active Directory-Domänennamens, und der Wert ist der externe Name, den Sie für den QUIC-Server angegeben haben. Angenommen, die Active Directory-Domäne heißt „corp.contoso.com“ und die externe DNS-Domäne „contoso.com“:

   value name: corp.contoso.com

   value: <https fsedge1.contoso.com:443:kdcproxy />

   Diese Kerberos-Bereichszuordnung bedeutet, dass der KDC-Proxy weiß, dass die Kerberos-Tickets an einen Domänencontroller in der internen ned@corp.contoso.com-Domäne weitergeleitet werden sollen, wenn der Benutzer fs1edge.contoso.com" versucht hat, eine Verbindung mit einem Dateiservernamen corp.contoso.com herzustellen. Die Kommunikation mit dem Client erfolgt über HTTPS an Port 443, und die Benutzeranmeldeinformationen werden nicht direkt im Dateiservernetzwerk des Clients offengelegt.

6. Erstellen Sie eine Windows Defender-Firewallregel, die den TCP-Port 443 (Eingehend) für den KDC-Proxydienst zum Empfangen von Authentifizierungsanforderungen öffnet.

7. Stellen Sie sicher, dass Edgefirewalls beim Dateiserver eingehende HTTPS-Verbindungen an Port 443 zulassen.

8. Wenden Sie die Gruppenrichtlinie an, und starten Sie das Windows 11-Gerät neu.

Hinweis

Die automatische Konfiguration des KDC-Proxys erfolgt später in SMB über QUIC, und diese Serverschritte sind nicht erforderlich.

Ablauf und Verlängerung eines Zertifikats

Ein abgelaufenes SMB über QUIC-Zertifikat, das Sie durch ein neues Zertifikat des Ausstellers ersetzen, enthält einen neuen Fingerabdruck. SMB über QUIC-Zertifikate können zwar bei Ablauf über die Active Directory-Zertifikatdienste automatisch verlängert werden, aber ein verlängertes Zertifikat erhält auch einen neuen Fingerabdruck. Im Endeffekt bedeutet dies, dass SMB über QUIC bei Ablauf des Zertifikats neu konfiguriert werden muss, weil ein neuer Fingerabdruck zuzuordnen ist. Sie können einfach Ihr neues Zertifikat im Windows Admin Center für die vorhandene SMB über QUIC-Konfiguration auswählen oder den PowerShell-Befehl „Set-SMBServerCertificateMapping“ verwenden, um die Zuordnung für das neue Zertifikat zu aktualisieren. Sie können Azure Automanage für Windows Server verwenden, um einen bevorstehenden Zertifikatablauf zu erkennen und einen Ausfall zu verhindern. Weitere Informationen finden Sie unter Azure Automanage für Windows Server.

Hinweise

• Für Kund*innen, die nicht die öffentliche Azure-Cloud und Windows Server 2022 Datacenter verwenden: Azure Edition steht in Azure Stack HCI ab Version 22H2 zur Verfügung.
• Wir empfehlen die Verwendung von SMB über QUIC mit Active Directory-Domänen. Dies ist jedoch nicht erforderlich. Sie können SMB over QUIC auch auf einem Workgroup-Server mit lokalen Anmeldeinformationen und NTLM oder auf Azure IaaS mit Microsoft Entra-Windows-Servern verwenden. Microsoft Entra-Windows-Server für nicht-Azure IaaS-basierte Maschinen werden nicht unterstützt. Microsoft Entra-Windows-Server unterstützen keine Anmeldeinformationen für Remote-Windows-Sicherheitsvorgänge, da Microsoft Entra ID keine Benutzer- oder Gruppen-SIDs enthält. Mit Microsoft Entra verbundene Windows-Server müssen entweder ein domänenbasiertes oder ein lokales Benutzerkonto für den Zugriff auf die SMB over QUIC-Freigabe verwenden.
• Sie können SMB über QUIC nicht mit WAC konfigurieren, wenn sich der SMB-Server in einer Arbeitsgruppe befindet (also nicht in eine AD-Domäne eingebunden ist). In diesem Szenario müssen Sie das Cmdlet New-SMBServerCertificateMapping verwenden.
• Es wird empfohlen, schreibgeschützte Domänencontroller, die nur mit Kennwörtern mobiler Benutzer konfiguriert sind, für den Dateiserver verfügbar zu machen.
• Benutzer sollten über sichere Kennwörter verfügen oder idealerweise mit einer kennwortlosen Strategie mit Windows Hello for Business/MFA oder Smartcards konfiguriert werden. Konfigurieren Sie eine Kontosperrungsrichtlinie für mobile Benutzer über eine differenzierte Kennwortrichtlinie. Zudem sollten Sie Eindringschutzsoftware bereitstellen, um Brute-Force- oder Kennwortsprayangriffe zu erkennen.

Weitere Verweise

Storage at Microsoft-Blog (Blog zu Speicher bei Microsoft)

Startseite der QUIC-Arbeitsgruppe

Microsoft MsQuic GitHub-Startseite

QUIC Wikipedia

Startseite der TLS 1.3-Arbeitsgruppe

Aktualisieren von Transport Layer Security (TLS) auf TLS 1.3