SMB over QUIC

적용 대상: Windows Server 2022 Datacenter: Azure Edition, Windows 11

SMB over QUIC는 TCP 네트워크 전송을 대신하여 인터넷 같이 신뢰할 수 없는 네트워크를 통해서도 에지 파일 서버에 안전하게, 안정적으로 연결합니다. QUIC는 IETF에서 표준으로 제정된 프로토콜로서 TCP와 비교하여 다양한 이점을 제공합니다.

  • 모든 패킷이 항상 암호화되며, 핸드셰이크는 TLS 1.3으로 인증됨
  • 안정적인 애플리케이션 데이터와 불안정한 애플리케이션 데이터의 병렬 스트림
  • 첫 번째 왕복(0-RTT)에서 애플리케이션 데이터 교환
  • 혼잡 제어 및 손실 복구 개선
  • 클라이언트 IP 주소 또는 포트가 변경되어도 유지

SMB over QUIC는 재택근무자, 모바일 디바이스 사용자, 보안이 엄격한 조직에게 "SMB VPN"을 제공합니다. 서버 인증서는 레거시 TCP 포트 445 대신에 인터넷 친화적인 UDP 포트 443을 통해 TLS 1.3-암호화 터널을 생성합니다. 따라서 터널 내 인증 및 권한 부여를 포함해 모든 SMB 트래픽이 기본 네트워크에 노출되지 않습니다. SMB는 QUIC 터널 내에서 정상적으로 작동하므로 사용자 환경이 변경되지 않습니다. 다중 채널, 서명, 압축, 지속적인 가용성 및 디렉터리 임대 등 SMB 기능은 정상적으로 작동합니다.

파일 서버 관리자는 QUIC를 통해 SMB를 사용하도록 설정하도록 옵트인해야 합니다. 기본적으로 설정되지 않으며 클라이언트는 파일 서버에서 QUIC를 통해 SMB를 사용하도록 강제 설정할 수 없습니다. Windows SMB 클라이언트는 여전히 기본적으로 TCP를 사용하며 TCP 시도가 처음 실패하거나 의도적으로 QUIC를 사용 NET USE /TRANSPORT:QUIC 하거나 New-SmbMapping -TransportType QUIC사용해야 하는 경우에만 QUIC를 통해 SMB를 시도합니다.

필수 조건

QUIC를 통해 SMB를 사용하려면 다음 항목이 필요합니다.

  • Windows Server 2022 Datacenter: Azure Edition을 실행하는 파일 서버(Microsoft Server 운영 체제)
  • Windows 11 컴퓨터(비즈니스용 Windows)
  • Windows 관리 Center(홈페이지)
  • Active Directory 인증서 서버와 같은 인증서를 발급하거나 Verisign, Digicert, Let's Encrypt 등과 같은 신뢰할 수 있는 타사 인증서 발급자 액세스 권한을 발급하는 공개 키 인프라입니다.

QUIC를 통해 SMB 배포

1단계: 서버 인증서 설치

  1. 다음 속성을 사용하여 인증 기관에서 발급한 인증서를 만듭니다.

    • 키 사용: 디지털 서명
    • 목적: 서버 인증(EKU 1.3.6.1.5.5.7.3.1)
    • 서명 알고리즘: SHA256RSA 이상
    • 서명 해시: SHA256 이상
    • 공개 키 알고리즘: ECDSA_P256 이상 길이가 2048 이상인 RSA를 사용할 수도 있습니다.
    • SAN(주체 대체 이름): (SMB 서버에 도달하는 데 사용되는 정규화된 각 DNS 이름에 대한 DNS 이름 항목)
    • 제목: (CN= 아무것도 있지만 존재해야 합니다)
    • 프라이빗 키 포함: 예

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    Microsoft Enterprise Certificate Authority를 사용하는 경우 인증서 템플릿을 만들고 요청 시 파일 서버 관리자가 DNS 이름을 제공하도록 허용할 수 있습니다. 인증서 템플릿을 만드는 방법에 대한 자세한 내용은 PKI: 파트 III 인증서 템플릿 디자인 및 구현을 검토 하세요. Microsoft 엔터프라이즈 인증 기관을 사용하여 QUIC를 통해 SMB용 인증서를 만드는 데모를 보려면 다음 비디오를 시청하세요.

    타사 인증서를 요청하려면 공급업체 설명서를 참조하세요.

  2. Microsoft 엔터프라이즈 인증 기관을 사용하는 경우:

    1. 파일 서버에서 MMC.EXE 시작합니다.
    2. 인증서 스냅인을 추가하고 컴퓨터 계정을 선택합니다.
    3. 인증서(로컬 컴퓨터), 개인 인증서를 확장한 다음 인증서를 마우스 오른쪽 단추로 클릭하고 새 인증서 요청을 클릭합니다.
    4. 다음을 클릭합니다.
    5. Active Directory 등록 정책 선택
    6. 다음을 클릭합니다.
    7. Active Directory에 게시된 QUIC를 통해 SMB에 대한 인증서 템플릿을 선택합니다.
    8. 이 인증서에 등록하려면 추가 정보가 필요합니다. 설정을 구성하려면 여기를 클릭하십시오.
    9. 따라서 사용자는 파일 서버를 찾고, 주체 값을 일반 이름으로 입력하고, 주체 대체 이름을 하나 이상의 DNS 이름으로 채울 수 있습니다.
    10. 확인을 클릭하고 등록을 클릭합니다.

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

참고 항목

QUIC 서버 주체 대체 이름을 통해 SMB에 대한 IP 주소를 사용하지 마세요.

  1. IP 주소는 Kerberos를 할 일기본 컨트롤러 또는 KDC 프록시를 통해 사용할 수 있는 경우에도 NTLM을 사용해야 합니다.
  2. QUIC를 통해 SMB를 실행하는 Azure IaaS VM은 공용 인터페이스에 NAT를 사용하여 프라이빗 인터페이스로 돌아갑니다. QUIC를 통한 SMB는 NAT를 통해 서버 이름에 대한 IP 주소를 사용하는 것을 지원하지 않습니다. 이 경우 공용 인터페이스 IP 주소로 확인되는 정규화된 DNS 이름을 사용해야 합니다.

참고 항목

타사 인증 기관에서 발급한 인증서 파일을 사용하는 경우 인증서 스냅인 또는 Windows 관리 센터를 사용하여 가져올 수 있습니다.

2단계: QUIC를 통해 SMB 구성

  1. Windows Server 2022 Datacenter: Azure Edition 서버를 배포합니다.
  2. 관리 PC 또는 파일 서버에 최신 버전의 Windows 관리 Center를 설치합니다. 파일 및 파일 공유 확장 프로그램의 최신 버전이 필요합니다. 설정 확장에서 자동으로 업데이트 확장을 사용하는 경우 Windows 관리 > Center에서 자동으로 설치됩니다.
  3. Windows Server 2022 Datacenter: Azure Edition 파일 서버를 Active Directory에 조인하고기본 UDP/443 인바운드에 대한 방화벽 허용 규칙을 추가하여 Azure 공용 인터페이스의 Windows 참가자 클라이언트에 액세스할 수 있도록 합니다. 파일 서버에 대한 TCP/445 인바운드를 허용하지 않습니다. 파일 서버는 인증을 위해 하나 이상의 do기본 컨트롤러에 액세스할 수 있어야 하지만 기본 컨트롤러에는 인터넷 액세스가 필요하지 않습니다.

참고 항목

Active Directory do기본와 함께 QUIC를 통해 SMB를 사용하는 것이 좋지만 필수는 아닙니다. 로컬 사용자 자격 증명 및 NTLM을 사용하여 작업 그룹 가입 서버에서 QUIC를 통해 SMB를 사용할 수도 있습니다.

  1. Windows 관리 Center를 사용하여 서버에 커넥트 왼쪽 아래에 있는 설정 아이콘을 클릭합니다. 파일 공유(SMB 서버) 섹션의 인터넷에서 QUIC를 통해 SMB를 사용하여 파일 공유에서 구성을 클릭합니다.

  2. 이 파일 서버에 대한 컴퓨터 인증서 선택에서 인증서를 클릭하고 클라이언트가 연결할 수 있는 서버 주소를 클릭하거나 모두 선택을 클릭한 다음 [사용]을 클릭합니다.

    image showing the steps for configure SMB over QUIC1

  3. QUIC 보고서를 통해 인증서 및 SMB가 정상인지 확인합니다.

    image showing the steps for configure SMB over QUIC2

  4. 파일 및 파일 공유 메뉴 옵션을 클릭합니다. 기존 SMB 공유를 기록하거나 새 SMB 공유를 만듭니다.

QUIC를 통해 SMB를 구성하고 사용하는 데모를 보려면 다음 비디오를 시청하세요.

3단계: SMB 공유에 커넥트

  1. Windows 11 디바이스를 도메인에 가입합니다. QUIC 파일 서버의 인증서 주체 대체 이름을 통해 SMB의 이름이 DNS에 게시되고 정규화 되었거나 Windows 11용 HOST 파일에 추가되는지 확인합니다. 서버의 인증서 주체 대체 이름이 DNS 에 게시되거나 Windows 11의 HOSTS 파일에 추가되었는지 확인합니다.

  2. Windows 11 디바이스를 더 이상 도메인 컨트롤러 또는 파일 서버의 내부 IP 주소에 대한 네트워크 액세스 권한이 없는 외부 네트워크로 이동합니다.

  3. Windows 파일 탐색기 주소 표시줄에 파일 서버의 공유에 대한 UNC 경로를 입력하고 공유의 데이터에 액세스할 수 있는지 확인합니다. 또는 UNC 경로와 함께 NET USE /TRANSPORT:QUIC 또는 New-SmbMapping -TransportType QUIC를 사용할 수 있습니다. 예:

    NET USE * \\fsedge1.contoso.com\sales(TCP 및 QUIC를 자동으로 시도)

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC(QUIC만 시도)

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC(QUIC만 시도)

기본적으로 Windows 11 디바이스는 QUIC 파일 서버를 통해 SMB에 연결할 때 Active Directory do기본 컨트롤러에 액세스할 수 없습니다. 즉, 인증은 파일 서버가 클라이언트를 대신하여 인증하는 NTLMv2를 사용합니다. TLS 1.3 암호화 QUIC 터널 외부에서 NTLMv2 인증 또는 권한 부여가 발생하지 않습니다. 그러나 Kerberos를 일반적인 보안 모범 사례로 사용하는 것이 좋으며 배포에서 새 NTLMv2 종속성을 만들지 않는 것이 좋습니다. 이를 허용하려면 인터넷 친화적인 HTTPS 암호화 통신 채널을 사용하는 동안 사용자를 대신하여 티켓 요청을 전달하도록 KDC 프록시를 구성할 수 있습니다. KDC 프록시는 QUIC를 통해 SMB에서 완전히 지원되며 매우 권장됩니다.

참고 항목

KDC 프록시를 구성하는 파일 서버에서 TCP 포트 443을 사용하여 게이트웨이 모드에서 WAC(Windows 관리 Center)를 구성할 수 없습니다. 파일 서버에서 WAC를 구성할 때 포트를 사용하지 않고 443이 아닌 포트로 변경합니다. 포트 443에서 WAC를 이미 구성한 경우 WAC 설치 MSI를 다시 실행하고 메시지가 표시되면 다른 포트를 선택합니다.

Windows 관리 Center 메서드

  1. Windows 관리 Center 버전 2110 이상을 사용하고 있는지 확인합니다.

  2. 일반적으로 QUIC를 통해 SMB를 구성합니다. Windows 관리 Center 2110부터 QUIC를 통해 SMB에서 KDC 프록시를 구성하는 옵션이 자동으로 사용되며 파일 서버에서 추가 단계를 수행할 필요가 없습니다. 기본 KDC 프록시 포트는 443이며 Windows 관리 Center에서 자동으로 할당됩니다.

    참고 항목

    Windows 관리 Center를 사용하여 작업 그룹에 조인된 QUIC 서버를 통해 SMB를 구성할 수 없습니다. 서버를 Active Directory에 조인하거나기본 수동 메서드 섹션의 단계를 사용해야 합니다.

  3. Windows 11 디바이스에 적용할 다음 그룹 정책 설정을 구성합니다.

    컴퓨터 > 관리이상 템플릿 > 시스템 > Kerberos Kerberos Kerberos > 클라이언트에 대한 KDC 프록시 서버 지정

    이 그룹 정책 설정의 형식은 정규화된 Active Directory do기본 이름의 값 이름이며 값은 QUIC 서버에 대해 지정한 외부 이름이 됩니다. 예를 들어 Active Directory가 수행하는 경우기본 이름이 corp.contoso.com 외부 DNS로 이름이 지정되고기본 contoso.com 이름이 지정됩니다.

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    이 Kerberos 영역 매핑은 사용자가 ned@corp.contoso.com 파일 서버 이름 fs1edge.contoso.com 연결하려고 하면 KDC 프록시가 내부 corp.contoso.com 할 일기본 컨트롤러에 kerberos 티켓을 전달하도록 알 수 있음을 의미합니다기본. 클라이언트와의 통신은 포트 443에서 HTTPS를 통해 진행되며 사용자 자격 증명은 클라이언트 파일 서버 네트워크에 직접 노출되지 않습니다.

  4. 에지 방화벽이 파일 서버에 대한 포트 443 인바운드에서 HTTPS를 허용하는지 확인합니다.

  5. 그룹 정책을 적용하고 Windows 11 디바이스를 다시 시작합니다.

수동 메서드

  1. 파일 서버의 관리자 권한 PowerShell 프롬프트에서 다음을 실행합니다.

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. QUIC 인증서를 통해 SMB와 연결된 인증서의 지문 값을 복사하고(여러 줄이 있을 수 있지만 모두 동일한 지문이 있음) 다음 명령에 대한 Certhash 값으로 붙여넣습니다.

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Kerberos용 Active Directory에서 QUIC 이름 위에 파일 서버의 SMB를 SPN으로 추가합니다. 예시:

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. KDC 프록시 서비스를 자동으로 설정하고 시작합니다.

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. Windows 11 디바이스에 적용할 다음 그룹 정책을 구성합니다.

    컴퓨터 > 관리이상 템플릿 > 시스템 > Kerberos Kerberos Kerberos > 클라이언트에 대한 KDC 프록시 서버 지정

    이 그룹 정책 설정의 형식은 정규화된 Active Directory do기본 이름의 값 이름이며 값은 QUIC 서버에 대해 지정한 외부 이름이 됩니다. 예를 들어 Active Directory가 수행하는 경우기본 이름은 "corp.contoso.com"이고 외부 DNS는 "contoso.com"기본 이름이 지정됩니다.

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    이 Kerberos 영역 매핑은 사용자가 ned@corp.contoso.com 파일 서버 이름fs1edge.contoso.com"에 연결하려고 하면 KDC 프록시가 kerberos 티켓을 내부 corp.contoso.com do기본 do기본 컨트롤러에 전달하도록 알 수 있음을 의미합니다. 클라이언트와의 통신은 포트 443에서 HTTPS를 통해 진행되며 사용자 자격 증명은 클라이언트 파일 서버 네트워크에 직접 노출되지 않습니다.

  6. KDC 프록시 서비스가 인증 요청을 수신할 수 있도록 인바운드로 TCP 포트 443을 사용하도록 설정하는 Windows Defender 방화벽 규칙을 만듭니다.

  7. 에지 방화벽이 파일 서버에 대한 포트 443 인바운드에서 HTTPS를 허용하는지 확인합니다.

  8. 그룹 정책을 적용하고 Windows 11 디바이스를 다시 시작합니다.

참고 항목

KDC 프록시의 자동 구성은 나중에 QUIC를 통해 SMB에서 제공되며 이러한 서버 단계는 필요하지 않습니다.

인증서 만료 및 갱신

발급자의 새 인증서로 대체하는 QUIC 인증서를 통해 만료된 SMB에는 새 지문이 포함됩니다. ACTIVE Directory 인증서 서비스를 사용하여 만료될 때 QUIC 인증서를 통해 SMB를 자동으로 갱신할 수 있지만 갱신된 인증서도 새 지문을 가져옵니다. 즉, 인증서가 만료될 때 새 지문을 매핑해야 하므로 QUIC를 통해 SMB를 다시 구성해야 합니다. QUIC 구성을 통해 기존 SMB에 대한 Windows 관리 센터에서 새 인증서를 선택하거나 Set-SMBServerCertificateMapping PowerShell 명령을 사용하여 새 인증서에 대한 매핑을 업데이트할 수 있습니다. Windows Server용 Azure Automanage를 사용하여 임박한 인증서 만료를 감지하고 중단을 방지할 수 있습니다. 자세한 내용은 Windows Server용 Azure Automanage를 검토하세요.

주의

  • Azure 퍼블릭 클라우드를 사용하지 않는 고객의 경우 Windows Server 2022 Datacenter: Azure Edition은 버전 22H2부터 Azure Stack HCI에서 사용할 수 있습니다.
  • Active Directory do기본와 함께 QUIC를 통해 SMB를 사용하는 것이 좋지만 필수는 아닙니다. 로컬 사용자 자격 증명 및 NTLM이 있는 작업 그룹 가입 서버 또는 Microsoft Entra 조인 Windows Server를 사용하는 Azure IaaS에서 QUIC를 통해 SMB를 사용할 수도 있습니다. 비 Azure IaaS 기반 컴퓨터용 Microsoft Entra 조인 Windows Server는 지원되지 않습니다. Microsoft Entra에 가입된 Windows Server는 Microsoft Entra ID에 사용자 또는 그룹 SID가 포함되어 있지 않으므로 원격 Windows 보안 작업에 대한 자격 증명을 지원하지 않습니다. Microsoft Entra 조인 Windows Server는 DO기본 기반 또는 로컬 사용자 계정을 사용하여 QUIC 공유를 통해 SMB에 액세스해야 합니다.
  • SMB 서버가 작업 그룹에 있는 경우(즉, AD가 아닌기본 조인된 경우 WAC를 사용하여 QUIC를 통해 SMB를 구성할 수 없습니다. 이 시나리오에서는 New-SMBServerCertificateMapping cmdlet을 사용해야 합니다.
  • 모바일 사용자의 암호로만 구성된 읽기 전용 do기본 컨트롤러를 파일 서버에서 사용할 수 있도록 하는 것이 좋습니다.
  • 사용자에게 강력한 암호가 있거나, 이상적으로는 비즈니스용 Windows Hello MFA 또는 스마트 카드 함께 암호 없는 전략을사용하여 구성해야 합니다. 세분화된 암호 정책을 통해 모바일 사용자에 대한 계정 잠금 정책을 구성하고 침입 방지 소프트웨어를 배포하여 무차별 암호 대입 공격 또는 암호 스프레이 공격을 감지해야 합니다.

추가 참조

Microsoft 블로그의 스토리지

QUIC 워킹 그룹 홈페이지

Microsoft MsQuic GitHub 홈페이지

QUIC Wikipedia

TLS 1.3 워킹 그룹 홈페이지

TLS 1.3을 사용하여 TLS(전송 계층 보안)를 한 단계 업그레이드