Tags: Windows Server 2022, Dateisystem, Verschlüsselung, Netzwerk, Azure
Eine Neuerung in Windows Server 2022 ist die Unterstützung für Quick UDP Internet Connections (QUIC). Über dieses Protokoll, das auf UDP basiert, kann etwa DNS- oder SMB-Traffic laufen. In Server 2022 und Windows 10/11 beschleunigt es Zugriffe auf File-Shares über das Internet und ersetzt zudem ein VPN.
Ursprünglich 2013 von Google entwickelt, wurde QUIC später bei der Internet Engineering Task Force (IETF) zur Standardisierung eingereicht und im Mai 2021 als RCP8999-9002 veröffentlicht.
QUIC war als eine Alternative für die sichere Kommunikation gedacht, etwa zu TCP, TLS/SSL und Http/2. Es sollte einen gleichwertigen Schutz des Datenverkehrs bieten, aber zusätzlich geringere Verbindungs- und Transportverzögerungen aufweisen sowie Multiplexverbindungen erlauben.
Transportsicherung über TLS
Beim Verbindungsversuch (Handshake) zwischen Sender und Empfänger tauschen diese entsprechende Zertifikate und Schlüssel aus. Bei einer späteren Verbindung entfällt dieser Vorgang (Latenzminimierung). Als Verschlüsselungsprotokoll kommt die aktuelle TLS Version 1.3 zum Einsatz.
Beim Multiplexing nutzt QUIC ein ebenfalls von Google entwickeltes Protokoll namens SPDY. Dabei ist es möglich, über eine einzige Verbindung unterschiedliche Datenströme zu übertragen, was die Ladezeiten deutlich verkürzt.
Vor- und Nachteile von QUIC
Zu den Vorteilen des schnellen Verbindungsaufbaus und von Multiplexverbindungen kommen die Vergabe einzigartiger Sequenznummern, Vorwärtsfehlerkorrektur, Überlastungssteuerung, Authentifizierung und Verschlüsselung hinzu.
Zurzeit scheint es vor allem einen Nachteil von QUIC zu geben: Im Paket-Header des Protokolls sind weniger Klartextinformationen enthalten als bei Verbindungen mit TCP. Die macht es schwieriger, Fehler zu beheben, den Traffic zu regulieren oder das Netzwerk zu verwalten. Dies stellt Hersteller von Netzwerkkomponenten wie Firewalls vor neue Herausforderungen.
Hinzu kommen Probleme bei der Überlastungssteuerung, was Auswirkungen auf die Transferrate haben kann. Die Optimierung geht hier allerdings noch weiter, und es ist davon auszugehen, dass es auch für diese Probleme über kurz oder lang eine Lösung geben wird.
Microsofts QUIC-Implementierung
Microsoft setzte QUIC unter dem Namen MsQuic um. Es ist in den Betriebssystemen Windows 10 21Hx, 11 und Server 2022 enthalten. Der Quellcode ist auf GitHub einsehbar und wird unter der MIT-Lizenz vertrieben.
Interessant ist die Kombination von MsQuic mit dem SMB-Protokoll, um den Zugriff auf Dateifreigaben über das Internet zu beschleunigen und dabei noch auf die Einrichtung eines VPN verzichten zu können.
QUIC nur in der Azure Edition
Daher positioniert Microsoft SMB over QUIC für so genannte Edge File-Server. Das sind solche, die von außerhalb erreichbar sind und typischerweise in der Cloud oder in der DMZ des lokalen Netzwerks laufen.
Windows Server 2022 reserviert SMB over QUIC jedoch für die neue Datacenter: Azure Edition. Diese steht erwartungsgemäß in der Microsoft-Cloud zur Verfügung. Zudem lässt sie sich on-prem ausführen, aber nur in einer VM auf Azure Stack HCI.
Ein normaler Hyper-V-Server bleibt also außen vor, ohne dass es dafür einen technischen Grund gibt. Vielmehr ist dies ein weiterer Schritt, um Windows Server aus der Infrastruktur zu verdrängen und auf die Rolle als Gast-OS zu reduzieren.
Konfigurieren von SMB over QUIC
SMB over QUIC lässt sich mittels Windows Admin Center (WAC) oder PowerShell aktivieren. Bevorzugt man die Web-GUI, dann wechselt man dort zu den Einstellungen des betreffenden Servers.
Unter Dateifreigaben (SMB-Server) findet sich der Abschnitt Dateifreigabe im Internet mit SMB über QUIC. Fehlt dieser, dann liegt es wahrscheinlich daran, dass es sich um keine Azure Edition handelt.
Hier folgt man dem Link Konfigurieren. Auf der folgenden Seite kann man das Feature dann mit ein paar Einstellungen anpassen. Dazu gehört zuerst die Auswahl des SSL-Zertifikats, das im lokalen Speicher hinterlegt sein muss und das die Clients akzeptieren sollten. In Frage kommt daher etwa ein solches von einer öffentlichen CA oder eines, das man über eine AD-Zertifizierungsstelle ausgestellt hat.
Unter den Adressen, mit denen sich Clients verbinden können, wählt man die gewünschten aus oder hakt Alle auswählen an.
Unter Erweiterte Einstellungen hat man noch die Möglichkeit, die SMB- zusätzlich zur QUIC-Verschlüsselung zu aktivieren sowie den Zugriff auf Named Pipes zu erlauben. Beide sind per Voreinstellung abgeschaltet, bei der Verschlüsselung ist dies auch die empfohlene Einstellung.
SMB over QUIC mit PowerShell konfigurieren
Wenn man statt WAC lieber PowerShell nutzen möchte, dann verknüpft man QUIC mit dem Zertifikat über das Cmdlet New-SmbServerCertificateMapping. Mit dem Befehl
Get-SmbServerConfiguration |select EnableSMBQUIC, `
RestrictNamedPipeAccessViaQuic, DisableSmbEncryptionOnSecureConnection
kann man die drei Einstellungen abfragen, die jenen im WAC entsprechen.
Diese ändert man dann nach diesem Muster:
Set-SmbServerConfiguration -DisableSmbEncryptionOnSecureConnection $false
Die beiden anderen Einstellungen sind ebenfalls als Parameter verfügbar.
Auf dem Client kann man ein Netzlaufwerk so zuordnen, dass SMB über QUIC explizit aktiviert wird. Dazu verwendet man bei net use den neuen Schalter /transport:quic und beim Cmdlet New-SmbMapping den Parameter -TransportType QUIC.
Falls eine Verbindung über TCP nicht hergestellt werden kann, schaltet der Client zudem automatisch auf QUIC um. Dies können Admins durch Blockieren von TCP:445 in der Firewall erzwingen.
Fazit
SMB over QUIC ist eine interessante Option überall dort, wo User von unterwegs oder zu Hause auf einen File-Share im Unternehmen oder in der Cloud zugreifen müssen. Neben der besseren Performance spricht vor allen die einfache Konfiguration für diese Technik. Darüber hinaus entfällt damit die Notwendigkeit für ein VPN.
Die größte (und willkürliche) Einschränkung für dieses Feature besteht darin, dass es nur in der Azure Edition enthalten ist. Diese läuft ausschließlich in der Microsoft-Cloud und auf Azure Stack HCI, so dass viele andere Nutzungsszenarien außen vor bleiben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Windows 11 Enterprise aktiviert SMB-Signierung per Voreinstellung
- Lokalen Windows Server 2022 über Azure Arc aus der Cloud verwalten
- Windows Server 2025 unterstützt SMB over QUIC in allen Editionen
- Windows 11 kann für SMB-Client nun Verschlüsselung erzwingen
- Host-Namen einer Azure-VM über privates DNS auflösen
Weitere Links