SMB over QUIC とは、Windows ファイルサーバーに対して、インターネット越しにアクセスできるようにする機能です。通信は[UDP 443]により暗号化されているため安全に利用できます。本機能は、Windows Server 2022 Azure Edition 専用の機能となるため、ファイルサーバーはAzure上に構築する必要があります。
さっそく、構成を見てみましょう!
Active Directory:ドメイン環境が必須。オンプレでも可
Certificate Authority:サーバー証明書を発行するのに必要。オンプレでも可
ファイルサーバー:Windows Server 2022 Azure Edition が必須。サーバー証明書が必要
クライアント:Windows11 である事が必須。とくに設定不要
※サーバーとクライアントは、同じドメインに参加している必要があります。
※ファイルサーバーには、FQDNで接続する必要があります。
全体の流れ
Step1:CAにて証明書テンプレートを作成する
Step2:ファイルサーバーにてサーバー証明書をインストールする
Step3:ファイルサーバーにてSMB over QUICを設定する
※AD、CA、ファイルサーバーは作成済みです。
Step1:CAにて証明書テンプレートを作成する
※CAサーバーにて実施します。
[管理]を選択
[Computer]ー[テンプレートの複製]を選択
[クライアント証明書]を削除します。
[証明書テンプレート]ー[新規作成]ー[発行する証明書テンプレート]を選択
[SMB over QUIC]を選択
テンプレートが作成されました。
Step2:ファイルサーバーにてサーバー証明書をインストールする
※ファイルサーバーにて実施します。
ファイル名を指定して実行ー[mmc]
[ファイル]ー[スナップインの追加と削除]を選択
[証明書]を[コンピュータアカウント]で追加します。
[新しい証明書の要求]を選択
[次へ]を選択
[この証明書を~]を選択
ファイルサーバー用の公開ドメイン名を追加
[登録]を選択
サーバー証明書が確認できます。
Step3:ファイルサーバーにてSMB over QUICを設定する
※今回は、ファイルサーバーに[Windows Admin Center]をインストールしております。
その場合、KDCプロキシとポート番号が重複するため[8080]に変更しております。
ブラウザにて[https://localhost:8080]に接続
[設定]ー[ファイル共有]ー[構成]を選択
作成したサーバー証明書を選択
ファイアウォールで[UDP 443]が許可されている事を確認
共有フォルダ[share]を作成し、ユーザーごとにアクセス権(NTFS)を設定しておきます。
接続してみましょう!
ファイルサーバーと同じドメインに参加済みのWindows11端末から、インターネット越しに[user12]で接続してみます。
NET USE * \\fileserver.japaneast.cloudapp.azure.com\share /TRANSPORT:QUIC
フォルダ[user12]にアクセスしてみます。試しにTextを作成
フォルダ[user11]にはアクセスできません。アクセス権(NTFS)が効いてますね!
[UDP 443]での通信が確認できます。
