SMB over QUIC

  • [アーティクル]

適用対象: Windows Server 2022 Datacenter: Azure Edition、Windows 11

SMB over QUIC では、TCP ネットワーク トランスポートの代替手段が導入され、インターネットのような信頼されていないネットワークを使用したエッジ ファイル サーバーへのセキュリティで保護された信頼性の高い接続が提供されます。 QUIC は、TCP と比較して多くの利点を持つ IETF 標準化プロトコルです。

  • すべてのパケットは常に暗号化され、ハンドシェイクは TLS 1.3 で認証されます
  • 信頼性が高く信頼性の低いアプリケーション データの並列ストリーム
  • 最初のラウンド トリップでアプリケーション データを交換する (0-RTT)
  • 輻輳制御と損失復旧の改善
  • クライアントの IP アドレスまたはポートの変更を存続する

SMB over QUIC は、通信会社、モバイル デバイス ユーザー、および高セキュリティ組織向け "SMB VPN" を提供します。 サーバー証明書は、従来の TCP ポート 445 ではなく、インターネットに対応する UDP ポート 443 を使用して TLS 1.3 で暗号化されたトンネルを作成します。 トンネル内の認証と承認を含むすべての SMB トラフィックは、基になるネットワークに公開されません。 SMB は通常、QUIC トンネル内で動作するため、ユーザー エクスペリエンスは変わりません。 マルチチャネル、署名、圧縮、継続的可用性、ディレクトリ リースなど、SMB 機能は正常に動作します。

ファイル サーバー管理者は、QUIC を使用して SMB を有効にすることを選択する必要があります。 既定ではオンに設定されていないので、クライアントはファイル サーバーに QUIC を使用して SMB を強制的に有効にできません。 Windows SMB クライアントは既定で引き続き TCP を使用し、TCP 試行が最初に失敗した場合、または または を使用して意図的に QUIC を必要とする場合にのみ、QUIC を使用して SMB を試行 NET USE /TRANSPORT:QUIC します New-SmbMapping -TransportType QUIC

必須コンポーネント

QUIC で SMB を使用するには、次のことが必要です。

  • Server 2022 Datacenter Windows実行されているファイル サーバー: Azure Edition (Microsoft Server オペレーティング システム)
  • Windows 11 台のコンピューター (Windows )
  • Windows 管理センター (ホームページ)
  • Active Directory 証明書サーバーなどの証明書を発行したり、Verisign、Digicert、Let's Encrypt などの信頼されたサード パーティの証明書発行者にアクセスしたりする公開キー インフラストラクチャ。

QUIC を使用して SMB を展開する

手順 1: サーバー証明書をインストールする

  1. 次のプロパティを使用して、証明機関によって発行された証明書を作成します。

    • キーの使用法: デジタル署名
    • 目的: サーバー認証 (EKU 1.3.6.1.5.5.7.3.1)
    • 署名アルゴリズム: SHA256RSA (以上)
    • 署名ハッシュ: SHA256 (以上)
    • 公開キー アルゴリズム: ECDSA_P256 (以上)。長さが 2048 以上の RSA も使用できます)
    • サブジェクトの代替名 (SAN): (SMB サーバーへの到達に使用される完全修飾 DNS 名ごとに DNS 名エントリ)
    • 件名: (CN= 何でも、存在する必要があります)
    • 含まれるプライベート キー: はい

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    Microsoft Enterprise 証明機関を使用している場合は、証明書テンプレートを作成し、要求時にファイル サーバー管理者が DNS 名を指定できます。 証明書テンプレートの作成の詳細については、「PKI の設計と実装: パート III 証明書テンプレート 」を参照してください。 Microsoft Enterprise 証明機関を使用して QUIC を使用して SMB 用の証明書を作成する方法のデモについては、次のビデオをご覧ください。

    サードパーティの証明書を要求する場合は、ベンダーのドキュメントを参照してください。

  2. Microsoft Enterprise 証明機関を使用している場合:

    1. ファイル MMC.EXE を開始します。
    2. 証明書スナップ インを 追加し、コンピューター アカウント を 選択します
    3. [証明書 (ローカル コンピューター) ]、 [個人用] の順に展開し、[証明書] を右クリックして [新しい証明書の要求] をクリックします
    4. [次へ] をクリックします。
    5. [Active Directory 登録ポリシー] を選択します
    6. [次へ] をクリックします。
    7. Active Directory で発行された QUIC 上の SMB の証明書テンプレートを選択します。
    8. この証明書 の登録に必要な情報をクリックします。ここをクリックして設定を構成します。
    9. そのため、ユーザーは を使用してファイル サーバーを見つけ、値Subject共通名とサブジェクトの代替名を 1 つ以上の DNS 名で入力できます。
    10. [OK] をクリックし、[登録]をクリックします

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

注意

サード パーティの証明機関によって発行された証明書ファイルを使用している場合は、証明書スナップインまたは Windows Admin Center を使用してインポートできます。

手順 2: QUIC を使用して SMB を構成する

  1. Windows Server 2022 Datacenter: Azure Edition サーバーをデプロイします。

  2. 管理 PC またはファイル サーバー Windows Admin Center の最新バージョンをインストールします。 ファイル ファイル共有拡張機能の最新 バージョン が必要 です。 [拡張機能] で [拡張機能の自動更新Windows有効になっている場合、管理センターによって自動的設定 されます

  3. Windows Server 2022 Datacenter: Azure Edition ファイル サーバーを Active Directory ドメインに参加させて、UDP/443 受信用のファイアウォール許可規則を追加して、Azure パブリック インターフェイス上の Windows Insider クライアントにアクセス可能にします。 ファイル サーバー への TCP/445 受信を許可しません。 ファイル サーバーは、認証のために少なくとも 1 つのドメイン コントローラーにアクセスできる必要がありますが、インターネット アクセスを必要とするドメイン コントローラーはありません。

  4. Connect管理センターを使用してWindowsに移動し、左下設定アイコンをクリックします。 [ファイル共有 (SMB サーバー) ] セクションの [SMB over QUICを使用したインターネット間でのファイル共有] で、[構成] を クリックします

  5. [このファイル サーバーのコンピューター証明書の選択] で証明書をクリックし、クライアントが接続できるサーバーアドレスをクリックするか、[すべて選択] をクリックして、[有効にする] をクリックします

    image showing the steps for configure SMB over QUIC1

  6. 証明書と SMB over QUIC レポートが正常な状態を確認します。

    image showing the steps for configure SMB over QUIC2

  7. [ファイルとファイル 共有] メニュー オプションを クリックします。 既存の SMB 共有をメモするか、新しい SMB 共有を作成します。

QUIC を使用した SMB の構成と使用のデモについては、次のビデオをご覧ください。

手順 3: SMB Connectに接続する

  1. ドメインに Windows 11 を参加します。SMB over QUIC ファイル サーバーの証明書サブジェクトの代替名が DNS に発行され、完全修飾または 11 の HOST ファイルに追加Windowsしてください。 サーバーの証明書サブジェクトの代替名がDNSに発行されている、またはサーバー 11 の HOSTS ファイルに追加Windowsします。

  2. ドメイン コントローラー Windowsファイル サーバーの内部 IP アドレスへのネットワーク アクセス権がなくなった外部ネットワークに、Windows 11 を移動します。

  3. [Windows エクスプローラー バーで、ファイル サーバー上の共有への UNC パスを入力し、共有内のデータにアクセス可能な状態を確認します。 または、UNC パスで NET USE /TRANSPORT:QUIC または New-SmbMapping -TransportType QUIC を使用できます。 例:

    NET USE * \\fsedge1.contoso.com\salesNET USE * \\fsedge1.contoso.com\sales

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUICNET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUICNew-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

既定では、WINDOWS 11 では、QUIC ファイル サーバーを使用して SMB に接続するときに Active Directory ドメイン コントローラーにアクセスできません。 つまり、認証では NTLMv2 が使用されます。この場合、ファイル サーバーはクライアントに代わって認証されます。 TLS 1.3 で暗号化された QUIC トンネルの外部では、NTLMv2 認証または承認は行われません。 ただし、一般的なセキュリティのベスト プラクティスとして Kerberos を使用することをお勧めします。また、デプロイで新しい NTLMv2 依存関係を作成することをお勧めしません。 これを許可するには、インターネットに対応した HTTPS で暗号化された通信チャネルを使用しながら、ユーザーに代わってチケット要求を転送するように KDC プロキシを構成できます。

注意

KDC プロキシをWindowsファイル サーバーで TCP ポート 443 を使用して、ゲートウェイ モードで管理センターを構成することはできません。 ファイル サーバーで WAC を構成する場合は、ポートを使用していない 443 ではないポートに変更します。 ポート 443 で WAC を既に構成している場合は、WAC セットアップ MSI を再び実行し、メッセージが表示されたら別のポートを選択します。

  1. ファイル サーバーで、管理者特権の PowerShell プロンプトで次を実行します。

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. QUIC 証明書を使用して SMB に関連付けられている証明書から拇印の値をコピーし (複数行ある場合がありますが、すべて同じ拇印になります)、次のコマンドの Certhash 値として貼り付けます。

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Kerberos 用 Active Directory で、QUIC 名に対するファイル サーバーの SMB を SPN として追加します。 次に例を示します。

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. KDC プロキシ サービスを自動に設定し、開始します。

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. グループ 11 に適用する次のグループ ポリシー Windowsします。

    コンピューター 管理用テンプレート > システム > Kerberos > Kerberos クライアントの KDC プロキシ サーバーを指定する

    このグループ ポリシー設定の形式は、完全修飾 Active Directory ドメイン名の値名であり、値は QUIC サーバーに指定した外部名になります。 たとえば、Active Directory ドメインの名前は "corp.contoso.com" で、外部 DNS ドメインの名前は "contoso.com" です。

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    この Kerberos 領域マッピングは、ユーザーがファイル サーバー名 に接続しようとした場合、KDC プロキシが kerberos チケットを内部ドメインのドメイン コントローラーに転送する必要があるという意味です ned@corp.contoso.comfs1edge.contoso.com"corp.contoso.com 。 クライアントとの通信は HTTPS/443 経由であり、ユーザーの資格情報はクライアント ファイル サーバー ネットワークで直接公開されません。

  6. KDC プロキシ Windows Defenderが認証要求を受信するために TCP ポート 443 を受信可能にするファイアウォール規則を作成します。

  7. エッジファイアウォールでファイルサーバーへの HTTPS/443 受信が許可されていることを確認します。

  8. グループポリシーを適用し、Windows 11 を再起動します。

注意

KDC プロキシの自動構成は、後で QUIC で行われますが、これらのサーバーの手順は必要ありません。

メモ

  • Windows Server 2022 Datacenter: azure のパブリッククラウドを使用していないお客様については、Azure Stack HCI 21h2 でも最終的に利用できるようになります。
  • ファイルサーバーで使用できるようにするには、モバイルユーザーのパスワードを使用してのみ構成された読み取り専用ドメインコントローラーを使用することをお勧めします。
  • ユーザーは、強力なパスワードを持っているか、理想的には、ビジネス MFA またはスマートカード用の Windows Helloを持つパスワードなし戦略を使用して構成する必要があります。 細かい設定が可能な パスワードポリシー を使用してモバイルユーザーのアカウントロックアウトポリシーを構成します。ブルートフォース攻撃またはパスワードのスプレー攻撃を検出するには、侵入防止ソフトウェアを展開する必要があります。

その他の参考資料

Microsoft ブログの Storage

QUIC の作業グループホームページ

Microsoft msquic GitHub ホームページ

QUIC Wikipedia

TLS 1.3 作業グループホームページ

Microsoft TLS 1.3 サポートリファレンス