Windows Server 2025 unterstützt SMB over QUIC in allen Editionen

SMB over QUIC bietet somit eine Art SMB-VPN für Benutzer, die von unterwegs arbeiten. Das Server-Zertifikat erstellt einen TLS 1.3-verschlüsselten Tunnel über den UDP-Port 443. Der SMB-Verkehr einschließlich der Authentifizierung wird gegenüber dem zugrunde liegenden Netzwerk nicht offengelegt.

SMB verhält sich innerhalb des QUIC-Tunnels aus der Sicht der Benutzer wie gewohnt, und Funktionen wie Multi-Channel und Komprimierung sind weiterhin verfügbar.

SMB over QUIC künftig als bevorzugtes Protokoll

Aufgrund dieser Eigenschaften positionierte Microsoft SMB over QUIC bis dato als Feature für so genannte Edge-Server, also File-Server, die in der Cloud oder der DMZ laufen und über das Internet erreichbar sein müssen.

Diese Einschätzung diente auch als Begründung dafür, die QUIC-Unterstützung auf die Azure Edition zu beschränken. Diese läuft in der Microsoft-Cloud oder on-prem auf Azure Stack HCI.

Die Ankündigung von SMB over QUIC für Windows Server 2025 geht einher mit der generellen Neuposi­tionierung des Features als sichere Alternative zu SMB über TCP. Sie härtet File-Server auch bei der internen Nutzung gegen den Zugriff auf NTLM-Credentials. Daher wird QUIC künftig zum bevorzugten Transport­mechanismus für SMB.

QUIC Client Access Control

Gegenüber der Implementierung in Windows Server 2022 kommt eine weitere Neuerung hinzu, die es erlaubt, den Zugriff auf File-Server via QUIC auf bestimmte Clients zu beschränken. Aktuell akzeptiert ein Server alle Clients, deren Zertifikat auf das gleiche Root-Zertifikat zurückgeht wie jenes für QUIC am Server.

Die Einschränkung erfolgt ebenfalls auf Basis von Zertifikaten. Dazu hinterlegen Admins den Fingerabdruck der Client-Zertifikate in einer Liste mit vertrauens­würdigen Geräten am Server. Wenn sich ein Rechner mit dem Server verbindet, dann kann dieser anhand der übertragenen Zertifikats­informationen entscheiden, ob der Client für den Zugriff berechtigt ist.

In großen Umgebungen könnte es mit viel Aufwand verbunden sein, die Thumbprints aller Client-Zertifikate am Server zu pflegen. Daher unterstützt QUIC Client Access Control auch SAN-Zertifikate, welche die Namen mehrerer Hosts enthalten können.

Aktivierung von SMB over QUIC

Die Windows Server Insider Preview Build 25997 enthält erstmalig SMB over QUIC für alle Editionen, also auch für Standard und Datacenter. Per Voreinstellung ist das Feature deaktiviert und muss vom Server-Admin freigeschaltet werden. Clients können die Nutzung des Protokolls nicht erzwingen.

Die Tools für die Aktivierung von SMB over QUIC bleiben wie gehabt das Windows Admin Center (WAC) und PowerShell. Die aktuelle Version von WAC ist bei dieser Aufgabe derzeit noch auf die Azure Edition limitiert und verweigert die QUIC-Konfiguration bei anderen Ausführungen des OS.

In PowerShell sind dafür die Cmdlets New-SmbServerCertificateMapping und Set-SmbServerConfiguration zuständig (siehe dazu: SMB over QUIC in Windows Server 2022 nutzen).

Zusammenfassung

Microsoft positionierte das mit Windows Server 2022 eingeführte SMB over QUIC ausschließlich für den Zugriff auf File-Server via Internet. Daher war es nur in der Azure Edition verfügbar. Die höhere Sicherheit des QUIC-Protokolls kommt aber auch einer reinen on-prem-Nutzung zugute.

Aus diesem Grund unterstützen alle Editionen von Windows Server 2025 den QUIC-Tunnel für SMB. Der Hersteller ließ durchblicken, dass dies in Zukunft der bevorzugte Transport für SMB sein wird.

Als weitere Neuerung kommt Client Access Control hinzu, mit dem sich der Zugang zu einem File-Server auf bestimmte Geräte einschränken lässt.