Dela via

SMB över QUIC

SMB över QUIC introducerar ett alternativ till TCP-nätverkstransport, vilket ger säker, pålitlig anslutning till kantfilservrar över opålitliga nätverk som Internet. QUIC är ett IETF-standardiserat protokoll med många fördelar jämfört med TCP:

  • Alla paket krypteras alltid och handskakning autentiseras med TLS 1.3
  • Parallella strömmar av tillförlitliga och otillförlitliga programdata
  • Skickar applikationsdata under den första rundturen (0-RTT)
  • Förbättrad överbelastningskontroll och förluståterställning
  • Överlever en ändring i klienternas IP-adress eller port

SMB over QUIC erbjuder ett "SMB VPN" för distansarbetare, användare av mobila enheter och organisationer med hög säkerhet. Servercertifikatet skapar en TLS 1.3-krypterad tunnel över den internetvänliga UDP-porten 443 istället för den äldre TCP-porten 445. All SMB-trafik, inklusive autentisering och auktorisering inom tunneln, exponeras aldrig för det underliggande nätverket. SMB fungerar normalt i QUIC-tunneln, vilket innebär att användarupplevelsen inte ändras. SMB-funktioner som flerkanal, signering, komprimering, kontinuerlig tillgänglighet, katalogleasing och så vidare fungerar normalt.

En filserveradministratör måste välja att aktivera SMB via QUIC. Den är inte aktiverad som standard och en klient kan inte tvinga en filserver att aktivera SMB via QUIC. Windows SMB-klienter använder fortfarande TCP som standard och försöker bara SMB över QUIC om TCP-försöket först misslyckas eller om det avsiktligt kräver QUIC med hjälp av NET USE /TRANSPORT:QUIC eller New-SmbMapping -TransportType QUIC.

Note

Vi rekommenderar inte att du definierar specifika namn för DFS-namnområden i scenarier som involverar SMB- och QUIC-anslutningar med externa slutpunkter. Det beror på att de interna DFS-namnrymdsnamnen kommer att refereras, och dessa referenser kan vanligtvis inte nås för en extern klient i aktuella versioner av Windows.

Prerequisites

Om du vill använda SMB via QUIC behöver du följande:

  • En SMB-server som körs på något av följande operativsystem.

  • En Windows 11-enhet (Windows för företag)

  • SMB-servern och klienten måste vara anslutna till en Active Directory-domän eller så måste klienten ha ett lokalt användarkonto på SMB-servern. SMB-servern måste ha åtkomst till minst en domänkontrollant för autentisering, men ingen domänkontrollant kräver någon internetåtkomst. Vi rekommenderar att du använder SMB över QUIC med Active Directory-domäner, men det krävs inte. Du kan också använda SMB via QUIC på en arbetsgruppsansluten server med lokala användarautentiseringsuppgifter och NTLM.

  • Servern måste vara tillgänglig för klienter i det offentliga gränssnittet genom att lägga till en brandväggsregel för att tillåta SMB via QUIC. Som standardinställning använder SMB över QUIC inkommande UDP/443. Tillåt inte inkommande TCP/445 till filservern. Mer information om hur du ändrar standardporten finns i Konfigurera alternativa SMB-portar.

  • Filservern måste ha åtkomst till minst en domänkontrollant för autentisering, men ingen domänkontrollant kräver någon internetåtkomst.

  • Windows Admin Center (WAC) (startsida)

  • En offentlig nyckelinfrastruktur (PKI) för att utfärda certifikat som Active Directory Certificate Server eller åtkomst till en betrodd tredjepartscertifikatutfärdare som Verisign, Digicert, Let's Encrypt osv.

  • Administratörsbehörigheter eller motsvarande för den SMB-server som du konfigurerar.

Distribuera SMB över QUIC

Steg 1: Installera ett servercertifikat

  1. Skapa ett certifikat som utfärdats av certifikatutfärdare med följande egenskaper:

    • Nyckelanvändning: digital signatur
    • Syfte: Serverautentisering (EKU 1.3.6.1.5.5.7.3.1)
    • Signaturalgoritm: SHA256RSA (eller större)
    • Signaturhash: SHA256 (eller senare)
    • Algoritm för offentlig nyckel: ECDSA_P256 (eller senare. Kan också använda RSA med minst 2048 längd)
    • Alternativt namn för ämne (SAN): (en DNS-namnpost för varje fullständigt kvalificerat DNS-namn som används för att nå SMB-servern)
    • Ämne: (CN= allt, men måste finnas)
    • Privat nyckel ingår: ja

    Skärmbild av certifikatinställningar som visar signaturalgoritmen med värdet sha256RSA, värdet för signaturhashalgoritmen sha256 och ämnesvärdet ws2022-quic.

    Skärmbild av certifikatinställningar under fliken Information som visar det offentliga nyckelvärdet för ECC (256 bitar), offentliga nyckelparametrar ECDSA-P256 och Programprinciper 1 programcertifikatprincip.

    Skärmbild av certifikatinformation som visar subject alternative name-värde som DNS-namn är lika med contoso.com, och nyckelanvändningsvärde som digital signatur, icke-avvisande.

    Om du använder en Microsoft Enterprise-certifikatutfärdare kan du skapa en certifikatmall och låta filserveradministratören ange DNS-namnen när du begär det. Mer information om hur du skapar en certifikatmall finns i Utforma och implementera en PKI: Del III-certifikatmallar. En demonstration av hur du skapar ett certifikat för SMB över QUIC med hjälp av en Microsoft Enterprise Certificate Authority finns i den här videon:

    Om du vill begära ett tredjepartscertifikat kan du läsa leverantörsdokumentationen.

  2. Om du använder en Microsoft Enterprise-certifikatutfärdare:

    1. Starta MMC.EXE på filservern.
    2. Lägg till snapin-modulen Certifikat och välj datorkontot.
    3. Expandera certifikat (lokal dator), Personligoch högerklicka sedan på certifikat och välj Begär nytt certifikat.
    4. Välj Nästa
    5. Välj Active Directory-registreringsprincip
    6. Välj Nästa
    7. Välj certifikatmallen för SMB över QUIC som publicerades i Active Directory.
    8. Välj Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.
    9. Så att användarna kan använda för att hitta filservern fyller du i värdet Ämne med ett gemensamt namn och Alternativt namn för certifikatmottagare med ett eller flera DNS-namn.
    10. Välj Ok och välj sedan Registrera.

    En bild som visar certifikatregistrering i Microsoft Management Console med SMB över QUIC som är valt.

    En bild som visar fönstret Certifikategenskaper för det valda certifikatet.

Note

Använd inte IP-adresser för SMB över QUIC-serverns Subject Alternative Names.

  • IP-adresser kräver användning av NTLM, även om Kerberos är tillgängligt från en domänkontrollant eller via KDC-proxy.
  • Virtuella Azure IaaS-datorer som kör SMB via QUIC använder NAT för ett offentligt gränssnitt tillbaka till ett privat gränssnitt. SMB over QUIC stöder inte användning av IP-adressen för servernamnet via en NAT. Du måste använda ett fullständigt kvalificerat DNS-namn som endast matchar ip-adressen för det offentliga gränssnittet i det här fallet.

Note

Om du använder en certifikatfil som utfärdats av en certifikatutfärdare från tredje part kan du använda snapin-modulen Certifikat eller WAC för att importera den.

Steg 2: Konfigurera SMB över QUIC

Om du vill konfigurera SMB över QUIC väljer du önskad metod och följer stegen.

Important

Om du använder Windows Server 2025 måste du använda PowerShell-metoden för att konfigurera SMB via QUIC. Windows Admin Center-metoden stöds inte för närvarande för Windows Server 2025.

En demonstration av hur du konfigurerar och använder SMB över QUIC finns i den här videon:

  1. Logga in på filservern som administratör.

  2. Installera den senaste versionen av WAC på en hanteringsdator eller filservern. Du behöver den senaste versionen av fildelningstillägget Files &. Om Uppdatera tillägg automatiskt är aktiverat i Inställningar > Tillägg, installeras det automatiskt av WAC.

  3. Anslut till servern med WAC och välj ikonen Inställningar längst ned till vänster. I avsnittet Filresurser (SMB-server) under Fildelning över internet med SMB via QUICväljer du Konfigurera.

  4. Välj ett certifikat under Välj ett datorcertifikat för den här filservern, välj de serveradresser som klienter kan ansluta till eller välj Markera allaoch välj Aktivera.

    En bild som visar konfigurationsskärmen för SMB över QUIC i Windows Admin Center.

  5. Kontrollera att certifikatet och SMB över QUIC-rapporten är felfria.

    En bild som visar alla certifikat som är tillgängliga för den konfigurerade inställningen SMB over QUIC i Windows Admin Center.

  6. Välj menyalternativet Filer och fildelning. Notera dina befintliga SMB-delningar eller skapa en ny.

Om du vill tillämpa kontroll på SMB över klienten kan du använda klientåtkomstkontroll. Mer information om hur du begränsar vilka klienter som kan komma åt SMB via QUIC-servrar finns i Konfigurera SMB via QUIC-klientåtkomstkontroll.

Steg 3: Ansluta till SMB-delningar

  1. Anslut din Windows-klientenhet till din domän. Se till att namnen på SMB över QUIC-filserverns alternativa namn för certifikatmottagare publiceras till DNS och är fullständigt kvalificerade eller läggs till i HOST-filerna för Din Windows-klient. Kontrollera att serverns alternativa namn på certifikatmottagaren publiceras i DNS eller läggs till i HOSTS-filerna för Din Windows-klient.

  2. Flytta din Windows-klientenhet till ett externt nätverk där den inte längre har någon nätverksåtkomst till domänkontrollanter eller filserverns interna IP-adresser.

  3. I Utforskaren i Windows i adressfältet skriver du UNC-sökvägen till en resurs på filservern och bekräftar att du kan komma åt data i resursen. Du kan också använda NET USE /TRANSPORT:QUIC eller New-SmbMapping -TransportType QUIC med en UNC-sökväg. Examples:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

Hantera SMB över QUIC

Administratörer kan inaktivera SMB över QUIC för en server genom att köra följande kommando:

Set-SmbServerConfiguration -EnableSMBQUIC $false

Om du vill inaktivera SMB över QUIC för en klientenhet kör du följande kommando:

Set-SmbClientConfiguration -EnableSMBQUIC $false

SMB över QUIC kan aktiveras på antingen servern eller klienten genom att ange $false till $true.

Administratörer kan nu ange en undantagslista för SMB över QUIC-servrar på klienten. En klient kan ansluta till en server när SMB över QUIC är inaktiverat på klienten så länge serverns IP-adress, NetBIOS-namn eller FQDN finns i undantagslistan. Mer information finns i Aktivera undantag till NTLM-blockering. Du kan skapa en lista över serverfel genom att köra följande kommando:

Set-SmbClientConfiguration -DisabledSMBQUICServerExceptionList "<Server01>, <Server02>, <Server03>"

SMB över QUIC-klientrevision

Granskning används för att spåra klientanslutningar för SMB via QUIC, där händelser skrivs till en händelselogg. Loggboken samlar in den här informationen för QUIC-transportprotokollet. Den här funktionen är tillgänglig för SMB-klienten från och med Windows 11 version 24H2 Så här visar du loggarna:

  1. Öppna Loggboken.
  2. Gå till Program- och tjänstloggar\Microsoft\Windows\SMBClient\Connectivity.
  3. Övervaka händelse-ID 30832.

Som standard har en Windows-klientenhet inte åtkomst till en Active Directory-domänkontrollant vid anslutning till en SMB via QUIC-filservern. Det innebär att autentiseringen använder NTLMv2, där filservern autentiseras för klientens räkning. Ingen NTLMv2-autentisering eller auktorisering sker utanför den TLS 1.3-krypterade QUIC-tunneln. Vi rekommenderar dock fortfarande att du använder Kerberos som en allmän metod för säkerhet och rekommenderar inte att du skapar nya NTLMv2-beroenden i distributioner. Om du vill tillåta detta kan du konfigurera KDC-proxyn för att vidarebefordra begäranden för användarens räkning, samtidigt som du använder en internetvänlig HTTPS-krypterad kommunikationskanal. KDC-proxyn stöds av SMB via QUIC och rekommenderas starkt.

Note

Du kan inte konfigurera WAC i gatewayläge med TCP-port 443 på en filserver där du konfigurerar KDC-proxy. När du konfigurerar WAC på filservern ändrar du porten till en som inte används och inte är 443. Om du redan har konfigurerat WAC på port 443 kör du WAC-konfigurations-MSI igen och väljer en annan port när du uppmanas att göra det.

  1. Kontrollera att du använder WAC version 2110 eller senare.

  2. Konfigurera SMB över QUIC normalt. Från och med WAC 2110 aktiveras alternativet för att konfigurera KDC-proxy i SMB via QUIC automatiskt och du behöver inte utföra extra steg på filservrarna. KDC-standardproxyporten är 443 och tilldelas automatiskt av WAC.

    Note

    Du kan inte konfigurera en SMB över QUIC-server som är ansluten till en arbetsgrupp med hjälp av WAC. Du måste ansluta servern till en Active Directory-domän eller följa stegen i konfigurationen av KDC-proxyn antingen i PowerShell eller grupprincip.

Note

Den automatiska konfigurationen av KDC-proxyn kommer senare i SMB via QUIC och dessa serversteg behövs inte.

Certifikatets giltighetstid och förnyelse

Ett utgånget SMB över QUIC-certifikat som du ersätter med ett nytt certifikat från utfärdaren innehåller ett nytt tumavtryck. Du kan förnya SMB över QUIC-certifikat automatiskt när de upphör att gälla med Active Directory Certificate Services, men ett förnyat certifikat får samtidigt ett nytt fingeravtryck. Det innebär i praktiken att SMB över QUIC måste konfigureras om när certifikatet upphör att gälla, eftersom ett nytt tumavtryck måste mappas. Välj ditt nya certifikat i WAC för den befintliga SMB över QUIC-konfigurationen eller använd kommandot Set-SMBServerCertificateMapping PowerShell för att uppdatera mappningen för det nya certifikatet. Du kan använda Azure Automanage för Windows Server för att identifiera förestående certifikatets upphörande och förhindra ett avbrott. Mer information finns i Azure Automanage for Windows Server.

Notes

  • För kunder som inte använder ett offentligt Azure-moln är Windows Server 2022 Datacenter: Azure Edition tillgängligt på Azure Local från och med version 22H2.
  • Vi rekommenderar att du använder SMB via QUIC med Active Directory-domäner, men det är inte ett krav. Du kan också använda SMB via QUIC på en arbetsgruppsansluten server med lokala användarautentiseringsuppgifter och NTLM eller Azure IaaS med Microsoft Entra-anslutna Windows-servrar. Microsoft Entra-anslutna Windows-servrar för IaaS-baserade datorer som inte är Azure stöds inte. Microsoft Entra-anslutna Windows-servrar stöder inte autentiseringsuppgifter för windows-fjärrsäkerhetsåtgärder eftersom Microsoft Entra-ID inte innehåller användar- eller grupp-SID:er. Windows-servrar anslutna till Microsoft Entra måste använda antingen ett domänbaserat eller ett lokalt användarkonto för att få åtkomst till SMB över QUIC-delningsresursen.
  • Du kan inte konfigurera SMB över QUIC med WAC när SMB-servern finns i en arbetsgrupp (det vill: inte AD-domänansluten). I det här scenariot måste du använda cmdleten New-SMBServerCertificateMapping .
  • Vi rekommenderar att skrivskyddade domänkontrollanter som konfigurerats endast med lösenord för mobila användare görs tillgängliga för filservern.
  • Användare bör ha starka lösenord eller, helst, konfigureras med hjälp av en lösenordslös strategi med Windows Hello för företag MFA eller smartkort. Konfigurera en kontoutelåsningsprincip för mobila användare via detaljerad lösenordsprincip och du bör distribuera programvara för intrångsskydd för att identifiera råstyrkeattacker eller lösenordssprayattacker.

Fler referenser