Поделиться через

SMB по QUIC

  • Статья

Область применения: Windows Server 2025, Windows Server 2022 Datacenter: Azure Edition, Windows 11 или более поздней версии

SMB по QUIC — это альтернатива сетевому транспортному протоколу TCP, которая обеспечивает безопасное, надежное подключение к пограничным файловым серверам через ненадежные сети, такие как Интернет. QUIC — это стандартизованный протокол IETF со многими преимуществами по сравнению с TCP:

  • Все пакеты всегда шифруются, и проверка подлинности выполняется с помощью TLS 1.3.
  • Параллельные потоки надежных и ненадежных данных приложения
  • Обмен данными приложения в первом круговом пути (0-RTT)
  • Улучшено управление перегрузкой и восстановление потери
  • Выживает изменение IP-адреса или порта клиентов

SMB over QUIC предлагает "SMB VPN" для telecommuters, пользователей мобильных устройств и организаций с высокой безопасностью. Сертификат сервера создает туннель TLS 1.3, зашифрованный через интернет-совместимый порт UDP 443, а не устаревший порт TCP 445. Весь трафик SMB, включая проверку подлинности и авторизацию в туннеле, никогда не раскрывается базовой сети. SMB работает как обычно в туннеле QUIC: для пользователей ничего не меняется. Функции SMB, такие как мультиканал, подписывание, сжатие, непрерывная доступность, аренда каталогов и т. д., работают нормально.

Администратор файлового сервера должен включить SMB по QUIC. Он не включен по умолчанию, и клиент не может принудительно включить SMB через QUIC. Клиенты Windows SMB по-прежнему используют TCP по умолчанию и будут пытаться выполнить SMB через QUIC, если попытка TCP сначала завершается ошибкой, или если намеренно требуется NET USE /TRANSPORT:QUIC использование QUIC или New-SmbMapping -TransportType QUIC.

Примечание.

Не рекомендуется определять конкретные имена для пространств имен DFS в сценариях, связанных с подключениями SMB и QUIC с внешними конечными точками. Это связано с тем, что имена внутренних пространств имен DFS будут ссылаться, и эти ссылки обычно недоступны для внешнего клиента в текущих выпусках Windows.

Необходимые компоненты

Чтобы использовать SMB над QUIC, вам потребуется следующее:

  • Сервер SMB, работающий на одном из следующих операционных систем.

    • Windows Server 2022 Datacenter: Azure Edition (операционные системы Microsoft Server) или более поздней версии

    • Любой выпуск Windows Server 2025 (предварительная версия) или более поздней версии

    Внимание

    SMB через QUIC для Windows Server 2025 находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

  • Устройство с Windows 11 (Windows для бизнеса)

  • Сервер SMB и клиент должны быть присоединены к домену Active Directory или клиент должен иметь локальную учетную запись пользователя на сервере SMB. Сервер SMB должен иметь доступ по крайней мере к одному контроллеру домена для проверки подлинности, но для доступа к Интернету не требуется контроллер домена. Мы рекомендуем использовать SMB для QUIC с доменами Active Directory, однако это не обязательно. Вы также можете использовать SMB через QUIC на сервере, присоединенном к рабочей группе, с учетными данными локального пользователя и NTLM.

  • Сервер должен быть доступен клиентам в общедоступном интерфейсе, добавив правило разрешения брандмауэра, чтобы разрешить SMB через QUIC. По умолчанию SMB в QUIC использует UDP/443 входящий трафик. Не разрешайте входящий трафик TCP/445 на файловый сервер. Дополнительные сведения об изменении порта по умолчанию см. в статье "Настройка альтернативных портов SMB".

  • Файловый сервер должен иметь доступ по крайней мере к одному контроллеру домена для проверки подлинности, но контроллер домена не требует доступа к Интернету.

  • Windows Admin Center (WAC) (домашняя страница)

  • Инфраструктура открытых ключей (PKI) для выдачи сертификатов, таких как сервер сертификатов Active Directory или доступ к поставщику доверенных сторонних сертификатов, таким как Verisign, Digicert, Let's Encrypt и т. д.

  • Права администратора или эквивалентные для настраиваемого сервера SMB.

Развертывание SMB через QUIC

Шаг 1. Установка сертификата сервера

  1. Создайте сертификат, выданный центром сертификации, со следующими свойствами:

    • Использование ключа: цифровая подпись
    • Назначение: проверка подлинности сервера (EKU 1.3.6.1.5.5.7.3.1)
    • Алгоритм подписи: SHA256RSA (или больше)
    • Хэш подписи: SHA256 (или более поздней версии)
    • Алгоритм открытого ключа: ECDSA_P256 (или больше). Также можно использовать RSA с не менее 2048 длиной)
    • Альтернативное имя субъекта (SAN): (запись DNS-имени для каждого полного DNS-имени, используемого для доступа к серверу SMB)
    • Тема: (CN= что-либо, но должно существовать)
    • Закрытый ключ включен: да

    параметры сертификата, показывающие алгоритм подписи со значением sha256RSA, значением хэш-алгоритма сигнатуры sha256 и значением subject ws2022-quic

    Параметры сертификата на вкладке

    Сведения о сертификате, показывающие значение альтернативного имени субъекта в качестве DNS-имени, равное ws2022-quic.corp, и значение использования ключа в качестве цифровой подписи, не отрекомнированное

    При использовании центра сертификации Microsoft Enterprise можно создать шаблон сертификата и разрешить администратору файлового сервера предоставлять DNS-имена при запросе. Дополнительные сведения о создании шаблона сертификата см. в статье "Проектирование и реализация PKI: часть III. Шаблоны сертификатов". Демонстрация создания сертификата для SMB через QUIC с помощью Центра сертификации Майкрософт см. в этом видео:

    Чтобы запросить сертификат сторонних производителей, обратитесь к документации по поставщику.

  2. При использовании центра сертификации Microsoft Enterprise:

    1. Запустите MMC.EXE на файловом сервере.
    2. Добавьте оснастку "Сертификаты" и выберите учетную запись компьютера.
    3. Разверните сертификаты (локальный компьютер), личное, а затем щелкните правой кнопкой мыши сертификаты и выберите "Запросить новый сертификат".
    4. Выберите Далее
    5. Выбор политики регистрации Active Directory
    6. Выберите Далее
    7. Выберите шаблон сертификата для SMB через QUIC, опубликованный в Active Directory.
    8. Для регистрации этого сертификата требуется выбрать дополнительные сведения. Щелкните здесь, чтобы настроить параметры.
    9. Таким образом, пользователи могут использовать для поиска файлового сервера, заполните значение Subject общим именем и альтернативным именем субъекта одним или несколькими DNS-именами.
    10. Нажмите кнопку "ОК" и нажмите кнопку "Регистрация".

    Изображение, показывающее регистрацию сертификатов консоли управления Майкрософт с помощью SMB по выбранному параметру QUIC

    Изображение, показывающее окно свойств сертификата выбранного сертификата

    Изображение, показывающее процесс завершения регистрации сертификата в консоли управления Майкрософт

Примечание.

Не используйте IP-адреса для SMB через альтернативные имена субъектов сервера QUIC.

  • IP-адреса потребуют использования NTLM, даже если Kerberos доступен из контроллера домена или через прокси-сервер KDC.
  • Виртуальные машины IaaS Azure под управлением SMB через QUIC используют NAT для общедоступного интерфейса обратно в частный интерфейс. SMB через QUIC не поддерживает использование IP-адреса для имени сервера через NAT, необходимо использовать полное DNS-имя, разрешающее IP-адрес общедоступного интерфейса только в этом случае.

Примечание.

Если вы используете файл сертификата, выданный сторонним центром сертификации, вы можете использовать оснастки сертификатов или WAC для импорта.

Шаг 2. Настройка SMB через QUIC

Чтобы настроить SMB через QUIC, выберите предпочтительный метод и выполните действия.

Внимание

Если вы используете Windows Server 2025, необходимо использовать метод PowerShell для настройки SMB через QUIC. В настоящее время метод Windows Admin Center не поддерживается для Windows Server 2025.

Демонстрация настройки и использования SMB через QUIC см. в этом видео:

  1. Войдите на файловый сервер в качестве администратора.

  2. Установите последнюю версию WAC на компьютере управления или на файловом сервере. Вам нужна последняя версия расширения "Файлы и общий доступ к файлам". Он устанавливается автоматически, если расширения автоматического обновления включены в расширения параметров>.

  3. Подключитесь к серверу с помощью WAC и выберите значок "Параметры " в левом нижнем левом. В разделе общих папок (сервер SMB) в разделе "Общий доступ к файлам через Интернет с помощью SMB через QUIC" выберите "Настроить".

  4. Выберите сертификат в разделе "Выбор сертификата компьютера" для этого файлового сервера, выберите адреса серверов, к которому могут подключаться клиенты, или выбрать "Выбрать все" и нажмите кнопку "Включить".

    Изображение, на котором показан экран конфигурации для SMB через QUIC в Windows Admin Center

  5. Убедитесь, что сертификат и SMB над отчетом QUIC работоспособны.

    Изображение, показывающее все сертификаты, доступные для настроенного параметра SMB через QUIC в Windows Admin Center

  6. Выберите пункт меню "Файлы и общий доступ к файлам ". Запишите существующие общие папки SMB или создайте новую.

Если вы хотите применить управление к SMB через клиент, можно использовать контроль доступа клиента. Дополнительные сведения об ограничении доступа клиентов к SMB через QUIC-серверы см. в статье Настройка SMB через управление доступом клиента QUIC.

Шаг 3. Подключение к общим папкам SMB

  1. Присоедините клиентское устройство Windows к вашему домену. Убедитесь, что имена субъекта сертификата SMB через QUIC файлового сервера публикуются в DNS и полностью или добавляются в файлы HOST для клиента Windows. Убедитесь, что альтернативные имена субъекта сертификата сервера публикуются в DNS или добавляются в файлы HOSTS для клиента Windows.

  2. Переместите клиентское устройство Windows в внешнюю сеть, где у него больше нет сетевого доступа к контроллерам домена или внутренним IP-адресам файлового сервера.

  3. В Windows проводник в адресной строке введите UNC-путь к общей папке на файловом сервере и убедитесь, что вы можете получить доступ к данным в общей папке. Кроме того, можно использовать NET USE /TRANSPORT:QUIC или New-SmbMapping -TransportType QUIC использовать UNC-путь. Примеры:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

SMB через аудит клиента QUIC

Аудит используется для отслеживания клиентских подключений для SMB через QUIC с событиями, записанными в журнал событий. Просмотр событий записывает эти сведения для транспортного протокола QUIC. Эта функция доступна клиенту SMB, начиная с сборки Предварительной оценки Windows 11 26090. Чтобы просмотреть эти журналы, выполните следующие действия.

  1. Откройте Просмотр событий.
  2. Перейдите к журналам приложений и служб\Microsoft\Windows\SMBClient\Connectivity.
  3. Мониторинг идентификатора события 30832.

По умолчанию клиентское устройство Windows не будет иметь доступа к контроллеру домена Active Directory при подключении к SMB через файловый сервер QUIC. Это означает, что проверка подлинности использует NTLMv2, где файловый сервер проходит проверку подлинности от имени клиента. Проверка подлинности или авторизация NTLMv2 не возникает за пределами туннеля QUIC с шифрованием TLS 1.3. Однако мы по-прежнему рекомендуем использовать Kerberos в качестве общей рекомендации по обеспечению безопасности и не рекомендуем создавать новые зависимости NTLMv2 в развертываниях. Чтобы разрешить это, можно настроить прокси-сервер KDC для пересылки запросов на запросы на запросы билетов от имени пользователя, все при использовании защищенного через Интернет HTTPS зашифрованного канала связи. Прокси-сервер KDC поддерживается SMB через QUIC и настоятельно рекомендуется.

Примечание.

Невозможно настроить WAC в режиме шлюза с помощью TCP-порта 443 на файловом сервере, где настраивается прокси-сервер KDC. При настройке WAC на файловом сервере измените порт на порт, который не используется и не равен 443. Если вы уже настроили WAC через порт 443, повторно запустите MSI установки WAC и выберите другой порт при появлении запроса.

  1. Убедитесь, что вы используете WAC версии 2110 или более поздней.

  2. Обычно настройте SMB через QUIC. Начиная с WAC 2110, параметр настройки прокси-сервера KDC в SMB через QUIC автоматически включен, и вам не нужно выполнять дополнительные действия на файловом сервере. По умолчанию прокси-порт KDC равен 443 и назначается автоматически WAC.

    Примечание.

    Невозможно настроить SMB через СЕРВЕР QUIC, присоединенный к рабочей группе с помощью WAC. Необходимо присоединить сервер к домену Active Directory или выполнить действия по настройке прокси-сервера KDC в PowerShell или групповой политике.

Примечание.

Автоматическая настройка прокси-сервера KDC будет поступать позже в SMB через QUIC, и эти шаги сервера не потребуются.

Срок действия сертификата и продление

Истекший срок действия SMB по сертификату QUIC, который вы заменяете новым сертификатом издателя, будет содержать новый отпечаток. Хотя вы можете автоматически обновить SMB по сертификатам QUIC при истечении срока действия с помощью служб сертификатов Active Directory, обновленный сертификат также получает новый отпечаток. Это означает, что при истечении срока действия сертификата необходимо перенастроить SMB через QUIC, так как необходимо сопоставить новый отпечаток. Выберите новый сертификат в WAC для существующей конфигурации SMB в QUIC или используйте Set-SMBServerCertificateMapping команду PowerShell для обновления сопоставления нового сертификата. Автоматическое управление Azure для Windows Server можно использовать для обнаружения истечения срока действия сертификата и предотвращения сбоя. Дополнительные сведения см . в статье "Автоматическое управление Azure для Windows Server".

Примечания.

  • Для клиентов, не использующих общедоступное облако Azure, Windows Server 2022 Datacenter: Выпуск Azure доступен в Azure Stack HCI, начиная с версии 22H2.
  • Мы рекомендуем использовать SMB через QUIC с доменами Active Directory, но не является обязательным. Вы также можете использовать SMB через QUIC на сервере, присоединенном к рабочей группе, с учетными данными локального пользователя и NTLM или Azure IaaS с присоединенными к Microsoft Entra серверами Windows. Microsoft Entra присоединился к серверам Windows для компьютеров, отличных от IaaS, не поддерживается. Присоединенные к Microsoft Entra серверы Windows не поддерживают учетные данные для удаленных операций безопасности Windows, так как идентификатор Microsoft Entra не содержит идентификаторов пользователей или групп. Microsoft Entra присоединенные к Серверам Windows должны использовать учетную запись пользователя на основе домена или локального пользователя для доступа к SMB через общую папку QUIC.
  • Невозможно настроить SMB через QUIC с помощью WAC, если сервер SMB находится в рабочей группе (т. е. не присоединен к домену AD). В этом сценарии необходимо использовать командлет New-SMBServerCertificateMapping .
  • Мы рекомендуем использовать контроллеры домена только для чтения, настроенные только с помощью паролей мобильных пользователей, доступных на файловом сервере.
  • Пользователи должны иметь надежные пароли или, в идеале, настроить с помощью стратегии без пароля с Windows Hello для бизнеса MFA или смарт-картами. Настройте политику блокировки учетных записей для мобильных пользователей с помощью детальной политики паролей и следует развернуть программное обеспечение защиты от вторжений для обнаружения атак подбора или распыления паролей.

Дополнительные ссылки