SMB over QUIC in Windows Server 2022 nutzen


    Tags: , , , ,

    SMB over QUICEine Neuerung in Windows Server 2022 ist die Unter­stützung für Quick UDP Internet Connections (QUIC). Über dieses Protokoll, das auf UDP basiert, kann etwa DNS- oder SMB-Traffic laufen. In Server 2022 und Windows 10/11 beschleunigt es Zugriffe auf File-Shares über das Internet und ersetzt zudem ein VPN.

    Ursprünglich 2013 von Google entwickelt, wurde QUIC später bei der Internet Engineering Task Force (IETF) zur Standardisierung eingereicht und im Mai 2021 als RCP8999-9002 veröffentlicht.

    QUIC war als eine Alternative für die sichere Kommunikation gedacht, etwa zu TCP, TLS/SSL und Http/2. Es sollte einen gleichwertigen Schutz des Daten­verkehrs bieten, aber zusätzlich geringere Verbindungs- und Transport­verzögerungen aufweisen sowie Multiplex­verbindungen erlauben.

    Transportsicherung über TLS

    Beim Verbindungs­versuch (Handshake) zwischen Sender und Empfänger tauschen diese entsprechende Zertifikate und Schlüssel aus. Bei einer späteren Verbindung entfällt dieser Vorgang (Latenz­minimierung). Als Verschlüsselungs­protokoll kommt die aktuelle TLS Version 1.3 zum Einsatz.

    Mit QUIC steht ein weiterer Transportmechanismus für SMB zur Verfügung

    Beim Multiplexing nutzt QUIC ein ebenfalls von Google entwickeltes Protokoll namens SPDY. Dabei ist es möglich, über eine einzige Verbindung unter­schiedliche Datenströme zu übertragen, was die Ladezeiten deutlich verkürzt.

    Vor- und Nachteile von QUIC

    Zu den Vorteilen des schnellen Verbindungs­aufbaus und von Multiplex­verbindungen kommen die Vergabe einzigartiger Sequenz­nummern, Vorwärts­fehler­korrektur, Überlastungs­steuerung, Authentifizierung und Verschlüsselung hinzu.

    Zurzeit scheint es vor allem einen Nachteil von QUIC zu geben: Im Paket-Header des Protokolls sind weniger Klartext­informationen enthalten als bei Ver­bindungen mit TCP. Die macht es schwieriger, Fehler zu beheben, den Traffic zu regulieren oder das Netzwerk zu verwalten. Dies stellt Hersteller von Netzwerk­komponenten wie Firewalls vor neue Heraus­forderungen.

    Hinzu kommen Probleme bei der Überlastungs­steuerung, was Auswirkungen auf die Transfer­rate haben kann. Die Optimierung geht hier allerdings noch weiter, und es ist davon auszugehen, dass es auch für diese Probleme über kurz oder lang eine Lösung geben wird.

    Microsofts QUIC-Implementierung

    Microsoft setzte QUIC unter dem Namen MsQuic um. Es ist in den Betriebs­systemen Windows 10 21Hx, 11 und Server 2022 enthalten. Der Quellcode ist auf GitHub einsehbar und wird unter der MIT-Lizenz vertrieben.

    Interessant ist die Kombination von MsQuic mit dem SMB-Protokoll, um den Zugriff auf Datei­freigaben über das Internet zu beschleunigen und dabei noch auf die Einrichtung eines VPN verzichten zu können.

    QUIC nur in der Azure Edition

    Daher positioniert Microsoft SMB over QUIC für so genannte Edge File-Server. Das sind solche, die von außerhalb erreichbar sind und typischer­weise in der Cloud oder in der DMZ des lokalen Netzwerks laufen.

    Windows Server 2022 reserviert SMB over QUIC jedoch für die neue Datacenter: Azure Edition. Diese steht erwartungs­gemäß in der Microsoft-Cloud zur Verfügung. Zudem lässt sie sich on-prem ausführen, aber nur in einer VM auf Azure Stack HCI.

    Ein normaler Hyper-V-Server bleibt also außen vor, ohne dass es dafür einen technischen Grund gibt. Vielmehr ist dies ein weiterer Schritt, um Windows Server aus der Infrastruktur zu verdrängen und auf die Rolle als Gast-OS zu reduzieren.

    Konfigurieren von SMB over QUIC

    SMB over QUIC lässt sich mittels Windows Admin Center (WAC) oder PowerShell aktivieren. Bevorzugt man die Web-GUI, dann wechselt man dort zu den Einstellungen des betreffenden Servers.

    Unter Dateifreigaben (SMB-Server) findet sich der Abschnitt Dateifreigabe im Internet mit SMB über QUIC. Fehlt dieser, dann liegt es wahrscheinlich daran, dass es sich um keine Azure Edition handelt.

    Abschnitt in den Einstellungen des Servers, über den man SMB over QUIC konfigurieren kann

    Hier folgt man dem Link Konfigurieren. Auf der folgenden Seite kann man das Feature dann mit ein paar Einstellungen anpassen. Dazu gehört zuerst die Auswahl des SSL-Zertifikats, das im lokalen Speicher hinterlegt sein muss und das die Clients akzeptieren sollten. In Frage kommt daher etwa ein solches von einer öffentlichen CA oder eines, das man über eine AD-Zertifizierungs­stelle ausgestellt hat.

    SMB over QUIC nutzt TLS 1.3 und braucht daher ein Zertifikat für die Server-Authentifizierung

    Unter den Adressen, mit denen sich Clients verbinden können, wählt man die gewünschten aus oder hakt Alle auswählen an.

    Unter Erweiterte Einstellungen hat man noch die Möglichkeit, die SMB- zusätzlich zur QUIC-Verschlüsselung zu aktivieren sowie den Zugriff auf Named Pipes zu erlauben. Beide sind per Voreinstellung abgeschaltet, bei der Ver­schlüsselung ist dies auch die empfohlene Einstellung.

    SMB over QUIC mit PowerShell konfigurieren

    Wenn man statt WAC lieber PowerShell nutzen möchte, dann verknüpft man QUIC mit dem Zertifikat über das Cmdlet New-SmbServerCertificateMapping. Mit dem Befehl

    Get-SmbServerConfiguration |select EnableSMBQUIC, `
    RestrictNamedPipeAccessViaQuic, DisableSmbEncryptionOnSecureConnection

    kann man die drei Einstellungen abfragen, die jenen im WAC entsprechen.

    Status von SMB over QUIC abfragen mit PowerShell

    Diese ändert man dann nach diesem Muster:

    Set-SmbServerConfiguration -DisableSmbEncryptionOnSecureConnection $false

    Die beiden anderen Einstellungen sind ebenfalls als Parameter verfügbar.

    Auf dem Client kann man ein Netzlaufwerk so zuordnen, dass SMB über QUIC explizit aktiviert wird. Dazu verwendet man bei net use den neuen Schalter /transport:quic und beim Cmdlet New-SmbMapping den Parameter -TransportType QUIC.

    Falls eine Verbindung über TCP nicht hergestellt werden kann, schaltet der Client zudem automatisch auf QUIC um. Dies können Admins durch Blockieren von TCP:445 in der Firewall erzwingen.

    Fazit

    SMB over QUIC ist eine interessante Option überall dort, wo User von unterwegs oder zu Hause auf einen File-Share im Unter­nehmen oder in der Cloud zugreifen müssen. Neben der besseren Performance spricht vor allen die einfache Konfiguration für diese Technik. Darüber hinaus entfällt damit die Notwendigkeit für ein VPN.

    Die größte (und willkürliche) Einschränkung für dieses Feature besteht darin, dass es nur in der Azure Edition enthalten ist. Diese läuft ausschließlich in der Microsoft-Cloud und auf Azure Stack HCI, so dass viele andere Nutzungs­szenarien außen vor bleiben.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links