SMB over QUIC in Windows Server 2022 nutzen

QUIC war als eine Alternative für die sichere Kommunikation gedacht, etwa zu TCP, TLS/SSL und Http/2. Es sollte einen gleichwertigen Schutz des Daten­verkehrs bieten, aber zusätzlich geringere Verbindungs- und Transport­verzögerungen aufweisen sowie Multiplex­verbindungen erlauben.

Transportsicherung über TLS

Beim Verbindungs­versuch (Handshake) zwischen Sender und Empfänger tauschen diese entsprechende Zertifikate und Schlüssel aus. Bei einer späteren Verbindung entfällt dieser Vorgang (Latenz­minimierung). Als Verschlüsselungs­protokoll kommt die aktuelle TLS Version 1.3 zum Einsatz.

Beim Multiplexing nutzt QUIC ein ebenfalls von Google entwickeltes Protokoll namens SPDY. Dabei ist es möglich, über eine einzige Verbindung unter­schiedliche Datenströme zu übertragen, was die Ladezeiten deutlich verkürzt.

Vor- und Nachteile von QUIC

Zu den Vorteilen des schnellen Verbindungs­aufbaus und von Multiplex­verbindungen kommen die Vergabe einzigartiger Sequenz­nummern, Vorwärts­fehler­korrektur, Überlastungs­steuerung, Authentifizierung und Verschlüsselung hinzu.

Zurzeit scheint es vor allem einen Nachteil von QUIC zu geben: Im Paket-Header des Protokolls sind weniger Klartext­informationen enthalten als bei Ver­bindungen mit TCP. Die macht es schwieriger, Fehler zu beheben, den Traffic zu regulieren oder das Netzwerk zu verwalten. Dies stellt Hersteller von Netzwerk­komponenten wie Firewalls vor neue Heraus­forderungen.

Hinzu kommen Probleme bei der Überlastungs­steuerung, was Auswirkungen auf die Transfer­rate haben kann. Die Optimierung geht hier allerdings noch weiter, und es ist davon auszugehen, dass es auch für diese Probleme über kurz oder lang eine Lösung geben wird.

Microsofts QUIC-Implementierung

Microsoft setzte QUIC unter dem Namen MsQuic um. Es ist in den Betriebs­systemen Windows 10 21Hx, 11 und Server 2022 enthalten. Der Quellcode ist auf GitHub einsehbar und wird unter der MIT-Lizenz vertrieben.

Interessant ist die Kombination von MsQuic mit dem SMB-Protokoll, um den Zugriff auf Datei­freigaben über das Internet zu beschleunigen und dabei noch auf die Einrichtung eines VPN verzichten zu können.

QUIC nur in der Azure Edition

Daher positioniert Microsoft SMB over QUIC für so genannte Edge File-Server. Das sind solche, die von außerhalb erreichbar sind und typischer­weise in der Cloud oder in der DMZ des lokalen Netzwerks laufen.

Windows Server 2022 reserviert SMB over QUIC jedoch für die neue Datacenter: Azure Edition. Diese steht erwartungs­gemäß in der Microsoft-Cloud zur Verfügung. Zudem lässt sie sich on-prem ausführen, aber nur in einer VM auf Azure Stack HCI.

Ein normaler Hyper-V-Server bleibt also außen vor, ohne dass es dafür einen technischen Grund gibt. Vielmehr ist dies ein weiterer Schritt, um Windows Server aus der Infrastruktur zu verdrängen und auf die Rolle als Gast-OS zu reduzieren.

Konfigurieren von SMB over QUIC

SMB over QUIC lässt sich mittels Windows Admin Center (WAC) oder PowerShell aktivieren. Bevorzugt man die Web-GUI, dann wechselt man dort zu den Einstellungen des betreffenden Servers.

Unter Dateifreigaben (SMB-Server) findet sich der Abschnitt Dateifreigabe im Internet mit SMB über QUIC. Fehlt dieser, dann liegt es wahrscheinlich daran, dass es sich um keine Azure Edition handelt.

Hier folgt man dem Link Konfigurieren. Auf der folgenden Seite kann man das Feature dann mit ein paar Einstellungen anpassen. Dazu gehört zuerst die Auswahl des SSL-Zertifikats, das im lokalen Speicher hinterlegt sein muss und das die Clients akzeptieren sollten. In Frage kommt daher etwa ein solches von einer öffentlichen CA oder eines, das man über eine AD-Zertifizierungs­stelle ausgestellt hat.

Unter den Adressen, mit denen sich Clients verbinden können, wählt man die gewünschten aus oder hakt Alle auswählen an.

Unter Erweiterte Einstellungen hat man noch die Möglichkeit, die SMB- zusätzlich zur QUIC-Verschlüsselung zu aktivieren sowie den Zugriff auf Named Pipes zu erlauben. Beide sind per Voreinstellung abgeschaltet, bei der Ver­schlüsselung ist dies auch die empfohlene Einstellung.

SMB over QUIC mit PowerShell konfigurieren

Wenn man statt WAC lieber PowerShell nutzen möchte, dann verknüpft man QUIC mit dem Zertifikat über das Cmdlet New-SmbServerCertificateMapping. Mit dem Befehl

Get-SmbServerConfiguration |select EnableSMBQUIC, `
RestrictNamedPipeAccessViaQuic, DisableSmbEncryptionOnSecureConnection

kann man die drei Einstellungen abfragen, die jenen im WAC entsprechen.

Diese ändert man dann nach diesem Muster:

Set-SmbServerConfiguration -DisableSmbEncryptionOnSecureConnection $false

Die beiden anderen Einstellungen sind ebenfalls als Parameter verfügbar.

Auf dem Client kann man ein Netzlaufwerk so zuordnen, dass SMB über QUIC explizit aktiviert wird. Dazu verwendet man bei net use den neuen Schalter /transport:quic und beim Cmdlet New-SmbMapping den Parameter -TransportType QUIC.

Falls eine Verbindung über TCP nicht hergestellt werden kann, schaltet der Client zudem automatisch auf QUIC um. Dies können Admins durch Blockieren von TCP:445 in der Firewall erzwingen.

Fazit

SMB over QUIC ist eine interessante Option überall dort, wo User von unterwegs oder zu Hause auf einen File-Share im Unter­nehmen oder in der Cloud zugreifen müssen. Neben der besseren Performance spricht vor allen die einfache Konfiguration für diese Technik. Darüber hinaus entfällt damit die Notwendigkeit für ein VPN.

Die größte (und willkürliche) Einschränkung für dieses Feature besteht darin, dass es nur in der Azure Edition enthalten ist. Diese läuft ausschließlich in der Microsoft-Cloud und auf Azure Stack HCI, so dass viele andere Nutzungs­szenarien außen vor bleiben.