Aracılığıyla paylaş

QUIC üzerinden SMB

QUIC üzerinden SMB, İNTERNET gibi güvenilmeyen ağlar üzerinden uç dosya sunucularına güvenli ve güvenilir bağlantı sağlayan TCP ağ aktarımına bir alternatif sunar. QUIC, TCP ile karşılaştırıldığında birçok avantajı olan IETF standartlaştırılmış bir protokoldür:

  • Tüm paketler her zaman şifrelenir ve tls 1.3 ile el sıkışma kimliği doğrulanır
  • Güvenilir ve güvenilir olmayan uygulama verilerinin paralel akışları
  • İlk gidiş dönüşte (0-RTT) uygulama verilerini değiştirir
  • Geliştirilmiş tıkanıklık denetimi ve kayıp kurtarma
  • İstemcilerin IP adresi veya bağlantı noktasındaki değişikliklerden etkilenmez

QUIC üzerinden SMB, telekomünikasyon çalışanları, mobil cihaz kullanıcıları ve yüksek güvenlikli kuruluşlar için bir "SMB VPN" sunar. Sunucu sertifikası, eski TCP bağlantı noktası 445 yerine İnternet'e uygun UDP bağlantı noktası 443 üzerinden TLS 1.3 şifreli bir tünel oluşturur. Tünel içindeki kimlik doğrulaması ve yetkilendirme dahil olmak üzere tüm SMB trafiği hiçbir zaman temel alınan ağa gösterilmez. SMB, QUIC tüneli içinde normal şekilde davranır, yani kullanıcı deneyimi değişmez. Çok kanallı, imzalama, sıkıştırma, sürekli kullanılabilirlik, dizin kiralama vb. gibi SMB özellikleri normal çalışır.

Dosya sunucusu yöneticisi, QUIC üzerinden SMB'yi etkinleştirmeyi kabul etmelidir. Varsayılan olarak açık değildir ve istemci bir dosya sunucusunu QUIC üzerinden SMB'yi etkinleştirmeye zorlayamaz. Windows SMB istemcileri varsayılan olarak TCP kullanmaya devam eder ve yalnızca TCP girişimi ilk başarısız olursa veya NET USE /TRANSPORT:QUIC veya New-SmbMapping -TransportType QUICkullanarak kasıtlı olarak QUIC gerektirdiğinde QUIC üzerinden SMB dener.

Not

Dış uç noktalarla SMB ve QUIC bağlantıları içeren senaryolarda DFS ad alanları için belirli adların tanımlanması önerilmez. Bunun nedeni, iç DFS ad alanı adlarına başvurulacağı ve bu başvurulara genellikle Windows'un geçerli sürümlerinde dış istemci için ulaşılamadığıdır.

Önkoşullar

QUIC üzerinden SMB kullanmak için aşağıdakilere ihtiyacınız vardır:

  • Aşağıdaki işletim sistemlerinden birinde çalışan bir SMB sunucusu.

  • Bir Windows 11 cihazı (İş için Windows)

  • SMB sunucusu ve istemcisi bir Active Directory etki alanına katılmalı veya istemcinin SMB sunucusunda yerel bir kullanıcı hesabı olmalıdır. SMB sunucusunun kimlik doğrulaması için en az bir etki alanı denetleyicisine erişimi olmalıdır, ancak hiçbir etki alanı denetleyicisi İnternet erişimi gerektirmez. Active Directory etki alanlarıyla QUIC üzerinden SMB kullanmanızı öneririz ancak gerekli değildir. Yerel kullanıcı kimlik bilgileri ve NTLM ile çalışma grubuna katılmış bir sunucuda QUIC üzerinden SMB de kullanabilirsiniz.

  • Sunucunuz, QUIC üzerinden SMB'ye izin vermek için bir güvenlik duvarı izin kuralı ekleyerek açık arayüzünde istemciler tarafından erişilebilir olmalıdır. QUIC üzerinden SMB varsayılan olarak UDP/443 gelen'i kullanır. Dosya sunucusuna gelen TCP/445'e izin . Varsayılan bağlantı noktasını değiştirme hakkında bilgi edinmek için bkz. Alternatif SMB bağlantı noktalarını yapılandırma.

  • Dosya sunucusunun kimlik doğrulaması için en az bir etki alanı denetleyicisine erişimi olmalıdır, ancak hiçbir etki alanı denetleyicisi İnternet erişimi gerektirmez.

  • Windows Yönetim Merkezi (WAC) (Giriş Sayfası)

  • Active Directory Sertifika Sunucusu gibi sertifikalar vermek veya Verisign, Digicert, Let's Encrypt gibi güvenilir bir üçüncü taraf sertifika verene erişim sağlamak için Ortak Anahtar Altyapısı (PKI).

  • Yapılandırdığınız SMB sunucusu için yönetim ayrıcalıkları veya eşdeğeri.

QUIC üzerinden SMB dağıtma

1. Adım: Sunucu sertifikası yükleme

  1. Aşağıdaki özelliklere sahip sertifika yetkilisi tarafından verilen bir sertifika oluşturun:

    • Anahtar kullanımı: dijital imza
    • Amaç: Sunucu Kimlik Doğrulaması (EKU 1.3.6.1.5.5.7.3.1)
    • İmza algoritması: SHA256RSA (veya daha büyük)
    • İmza karması: SHA256 (veya üzeri)
    • Açık anahtar algoritması: ECDSA_P256 (veya daha büyük. En az 2048 uzunluğunda olması şartıyla RSA da kullanılabilir)
    • Konu Alternatif Adı (SAN): (SMB sunucusuna ulaşmak için kullanılan her tam DNS adı için DNS adı kaydı)
    • Konu: (CN= herhangi bir şey, ancak mevcut olmalıdır)
    • Özel anahtar dahil: evet

    sha256RSA değeri, sha256 imza karma algoritması değeri ve ws2022-quic Konu değeri ile İmza algoritmasının gösterildiği sertifika ayarlarının ekran görüntüsü.

    ECC Ortak anahtar değerini (256 bit), ortak anahtar parametrelerini ECDSA-P256 ve Uygulama ilkeleri 1 uygulama Sertifika İlkesi'ni gösteren Ayrıntı sekmesinin altındaki sertifika ayarlarının ekran görüntüsü.

    DNS Adı olarak konu alternatif ad değerinin contoso.com eşit olduğunu ve Anahtar Kullanımı değerini Dijital İmza olarak gösteren sertifika ayrıntılarının ekran görüntüsü, reddedilmemiş.

    Microsoft Kurumsal Sertifika Yetkilisi kullanıyorsanız, bir sertifika şablonu oluşturabilir ve dosya sunucusu yöneticisinin istekte bulunurken DNS adlarını sağlamasına izin verilmektedir. Sertifika şablonu oluşturma hakkında daha fazla bilgi için PKI Tasarlama ve Uygulama: Bölüm III Sertifika Şablonlarıbölümünü gözden geçirin. Microsoft Kurumsal Sertifika Yetkilisi kullanarak QUIC üzerinden SMB için sertifika oluşturma tanıtımı için şu videoyu izleyin:

    Üçüncü taraf sertifika istemek için satıcı belgelerinize bakın.

  2. Microsoft Kurumsal Sertifika Yetkilisi kullanıyorsanız:

    1. Dosya sunucusunda MMC.EXE başlatın.
    2. Sertifikalar ek bileşenini ekleyin ve Bilgisayar hesabıseçin.
    3. Sertifikaları (Yerel Bilgisayar)genişletin, Kişisel'e gidin, ardından Sertifikalar'e sağ tıklayın ve Yeni Sertifika İsteöğesini seçin.
    4. seçin sonraki
    5. Active Directory Kayıt İlkesi seçin
    6. Sonraki seçin
    7. Active Directory'de yayımlanan QUIC üzerinden SMB için sertifika şablonunu seçin.
    8. Bu sertifikaya kaydolmak için daha fazla bilgi gerekir'i seçin. Ayarları yapılandırmak için buraya tıklayın.
    9. Kullanıcıların dosya sunucusunu bulabilmesi için, Konu değerini ortak bir adla ve Konu Alternatif Adı değerini bir veya daha fazla DNS adıyla doldurun.
    10. Tamam'ı seçin ve ardından Kaydol'abasın.

    QUIC üzerinden SMB'nin seçili olduğu Microsoft Yönetim Konsolu Sertifika Kaydını gösteren görüntü.

    Seçili sertifikanın Sertifika Özellikleri pencerelerini gösteren görüntü.

Not

QUIC sunucusu üzerinden SMB için IP adreslerini Alternatif Konu Adları olarak kullanmayın.

  • Kerberos bir etki alanı denetleyicisinden veya KDC Ara Sunucusu aracılığıyla kullanılabilse bile IP adresleri NTLM kullanımını gerektirir.
  • QUIC üzerinden SMB çalıştıran Azure IaaS VM'leri, özel arabirime geri dönen bir genel arabirim için NAT kullanır. QUIC üzerinden SMB, bir NAT aracılığıyla sunucu adının IP adresini kullanmayı desteklemez, yalnızca bu durumda genel arabirim IP adresine çözümlenen tam DNS adı kullanmanız gerekir.

Not

Üçüncü taraf bir sertifika yetkilisi tarafından verilen bir sertifika dosyası kullanıyorsanız, Sertifikalar eklentisini veya WAC'yi kullanarak içeri aktarabilirsiniz.

2. Adım: QUIC üzerinden SMB'yi yapılandırma

SMB'yi QUIC üzerinden yapılandırmak için tercih ettiğiniz yöntemi seçin ve adımları izleyin.

Önemli

Windows Server 2025 kullanıyorsanız, QUIC üzerinden SMB'yi yapılandırmak için PowerShell yöntemini kullanmanız gerekir. Windows Admin Center yöntemi şu anda Windows Server 2025 için desteklenmiyor.

QUIC üzerinden SMB yapılandırma ve kullanma tanıtımı için şu videoyu izleyin:

  1. Dosya sunucunuzda yönetici olarak oturum açın.

  2. WaC'nin en son sürümünü bir yönetim bilgisayarına veya dosya sunucusuna yükleyin. Dosyalar & Dosya Paylaşımı uzantısının en son sürümüne ihtiyacınız vardır. Uzantıları otomatik olarak güncelleştirAyarlar > Uzantılar'nde etkinleştirilirse WAC tarafından otomatik olarak yüklenir.

  3. WAC ile sunucuya bağlanın ve sol alttaki Ayarlar simgesini seçin. Dosya paylaşımları (SMB sunucusu) bölümünde, QUICüzerinden SMB ile İnternet üzerinden dosya paylaşımı altında Yapılandır'ı seçin.

  4. Bu dosya sunucusu için bir bilgisayar sertifikası seçinaltından bir sertifika seçin, istemcilerin bağlanabileceği sunucu adreslerini seçin veya Tümseçin'i seçin ve Etkinleştirseçeneğini belirleyin.

    Windows Yönetim Merkezi'nde QUIC üzerinden SMB yapılandırma ekranını gösteren görüntü.

  5. Sertifikanın ve QUIC üzerinden SMB raporunun iyi durumda olduğundan emin olun.

    Windows Yönetim Merkezi'nde QUIC üzerinden yapılandırılan SMB ayarı için kullanılabilen tüm sertifikaları gösteren görüntü.

  6. Dosyalar ve Dosya Paylaşımı menü seçeneğini belirleyin. Mevcut SMB paylaşımlarınızı not alın veya yenisini oluşturun.

İstemci üzerinden SMB'ye denetim uygulamak istiyorsanız İstemci Erişim Denetimi'ni kullanabilirsiniz. hangi istemcilerin QUIC sunucuları üzerinden SMB'ye erişmesine kısıtlama getirebileceğinizi öğrenmek için bakınız SMB üzerinden QUIC istemci erişim denetimi yapılandırma.

3. Adım: SMB paylaşımlarına bağlanma

  1. Windows istemci cihazınızı etki alanınıza ekleyin. QUIC üzerinden SMB dosya sunucusunun sertifika konusu alternatif adlarının DNS'de yayımlandığından ve Windows istemcinizin HOSTS dosyalarına tam nitelikli veya eklendiğinden emin olun. Sunucunun sertifika konu alternatif adlarının DNS'ye olarak yayınlandığından veya Windows istemcinizin HOSTS dosyalarına olarak eklendiğinden emin olun.

  2. Windows istemci cihazınızı artık etki alanı denetleyicilerine veya dosya sunucusunun iç IP adreslerine ağ erişimi olmayan bir dış ağa taşıyın.

  3. Windows Dosya Gezgini'ndeki Adres Çubuğu'nda, dosya sunucusundaki bir paylaşımın UNC yolunu yazın ve paylaşımdaki verilere erişebildiğinizden emin olun. Alternatif olarak, unc yolu ile NET USE /TRANSPORT:QUIC veya New-SmbMapping -TransportType QUIC kullanabilirsiniz. Örnekler:

    REM Automatically tries TCP then QUIC
NET USE * \\fsedge1.contoso.com\sales

REM Tries only QUIC
NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    #Tries only QUIC
New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

QUIC üzerinden SMB'leri yönetme

Yöneticiler aşağıdaki komutu çalıştırarak bir sunucu için QUIC üzerinden SMB'yi devre dışı bırakabilir:

Set-SmbServerConfiguration -EnableSMBQUIC $false

İstemci cihazında QUIC üzerinden SMB'yi devre dışı bırakmak için aşağıdaki komutu çalıştırın:

Set-SmbClientConfiguration -EnableSMBQUIC $false

QUIC üzerinden SMB, $false$trueolarak ayarlanarak sunucuda veya istemcide etkinleştirilebilir.

Not

İstemci QUIC üzerinden bir sunucuya bağlanmayı denerse ve QUIC üzerinden SMB devre dışı bırakılırsa, istemci TCP üzerinden sunucuya bağlanmayı dener. Bu, sunucunun özel durum listesinde olmadığı varsayılır.

Yöneticiler artık istemcide QUIC üzerinden bir SMB sunucusu özel durum listesi belirtebilir. Sunucu IP adresi, NetBIOS adı veya FQDN özel durum listesinde olduğu sürece istemcide QUIC üzerinden SMB devre dışı bırakıldığında istemci bir sunucuya bağlanabilir. Daha fazla bilgi edinmek için NTLM engellemeözel durumları etkinleştirme bölümüne bakın. Aşağıdaki komut çalıştırılarak bir sunucu özel durum listesi oluşturulabilir:

Set-SmbClientConfiguration -DisabledSMBQUICServerExceptionList "<Server01>, <Server02>, <Server03>"

SMB'nin QUIC üzerinden istemci denetimi

Denetim, QUIC üzerinden SMB için istemci bağlantılarını izlemek amacıyla kullanılır ve olaylar bir olay günlüğüne yazılır. Olay Görüntüleyicisi, QUIC aktarım protokolü için bu bilgileri yakalar. Bu özellik Windows 11, sürüm 24H2'den başlayarak SMB İstemcisi tarafından kullanılabilir. Bu günlükleri görüntülemek için şu adımları izleyin:

  1. Olay Görüntüleyicisi'niaçın.
  2. Uygulama ve Hizmet Günlükleri\Microsoft\Windows\SMBClient\Connectivityadresine gidin.
  3. olay kimliğini 30832izleyin.

Varsayılan olarak, Bir Windows istemci cihazı QUIC dosya sunucusu üzerinden bir SMB'ye bağlanırken Active Directory etki alanı denetleyicisine erişemez. Bu, kimlik doğrulamasının, dosya sunucusunun istemci adına kimlik doğrulaması yaptığı NTLMv2 kullandığı anlamına gelir. TLS 1.3 şifreli QUIC tüneli dışında NTLMv2 kimlik doğrulaması veya yetkilendirmesi gerçekleşmez. Ancak yine de Kerberos'un genel bir güvenlik en iyi uygulaması olarak kullanılmasını öneririz ve dağıtımlarda yeni NTLMv2 bağımlılıkları oluşturmanızı önermiyoruz. Buna izin vermek için KDC proxy'sini, İnternet'e uygun HTTPS şifreli bir iletişim kanalı kullanırken bilet isteklerini kullanıcı adına iletecek şekilde yapılandırabilirsiniz. KDC Ara Sunucusu, QUIC üzerinden SMB tarafından desteklenir ve kesinlikle önerilir.

Not

KDC Ara Sunucusunu yapılandırdığınız bir dosya sunucusunda 443 numaralı TCP bağlantı noktasını kullanarak WAC'yi ağ geçidi modunda yapılandıramazsınız. Dosya sunucusunda WAC'yi yapılandırırken, bağlantı noktasını kullanımda olmayan ve 443 olmayan bir bağlantı noktasıyla değiştirin. 443 numaralı bağlantı noktasında WAC'yi zaten yapılandırdıysanız, WAC kurulumu MSI'sini yeniden çalıştırın ve istendiğinde farklı bir bağlantı noktası seçin.

  1. WAC sürüm 2110 veya üzerini kullandığınızdan emin olun.

  2. SMB'yi QUIC üzerinden normal şekilde yapılandırın. WAC 2110'dan başlayarak, QUIC üzerinden SMB'de KDC ara sunucusunu yapılandırma seçeneği otomatik olarak etkinleştirilir ve dosya sunucularında ek adımlar gerçekleştirmeniz gerekmez. Varsayılan KDC proxy bağlantı noktası 443'dür ve WAC tarafından otomatik olarak atanır.

    Not

    WAC kullanarak bir Çalışma Grubuna katılmış QUIC sunucusu üzerinden SMB yapılandıramazsınız. Sunucuyu bir Active Directory etki alanına katmalısınız veya PowerShell veya Grup İlkesi'nde KDC ara sunucusunu yapılandırma adımlarını izlemeniz gerekir.

Not

KDC Proxy'sinin otomatik yapılandırması daha sonra QUIC üzerinden SMB'de gelir ve bu sunucu adımları gerekli olmayacaktır.

Sertifika süre sonu ve yenileme

Süresi dolmuş bir SMB over QUIC sertifikasını, verenin yeni bir sertifikasıyla değiştirdiğinizde, yeni bir parmak izi içerecektir. Active Directory Sertifika Hizmetleri'ni kullanarak süresi dolduğunda QUIC sertifikaları üzerinden SMB'yi otomatik olarak yenileyebilirsiniz ancak yenilenen bir sertifika da yeni parmak izi alır. Bu, yeni parmak izi eşlenmesi gerektiğinden, sertifikanın süresi dolduğunda QUIC üzerinden SMB'nin yeniden yapılandırılması gerektiği anlamına gelir. QUIC üzerinden mevcut SMB yapılandırması için WAC'de yeni sertifikanızı seçin veya yeni sertifikanın eşlemesini güncelleştirmek için Set-SMBServerCertificateMapping PowerShell komutunu kullanın. Yaklaşan sertifika süre sonunu algılamak ve kesintiyi önlemek için Windows Server için Azure Otomatik Yönetim'i kullanabilirsiniz. Daha fazla bilgi için Windows Serveriçin Azure Otomatik Yönetme'yi gözden geçirin.

Notlar

  • Azure genel bulutu kullanmayan müşteriler için Windows Server 2022 Datacenter: Azure Edition, 22H2 sürümünden itibaren Azure Yerel'de kullanılabilir.
  • Active Directory etki alanlarıyla QUIC üzerinden SMB kullanmanızı öneririz ancak bu bir gereksinim değildir. Ayrıca, yerel kullanıcı kimlik bilgileri ve NTLM ile bir çalışma grubuna bağlı sunucuda QUIC üzerinden SMB kullanabilir veya Microsoft Entra'ya katılmış Windows Sunucuları ile Azure IaaS kullanabilirsiniz. Azure IaaS tabanlı olmayan makineler için Microsoft Entra'ya katılmış Windows Sunucuları desteklenmez. Microsoft Entra Id kullanıcı veya grup SID'leri içermediğinden, Microsoft Entra'ya katılmış Windows Sunucuları uzak Windows güvenlik işlemleri için kimlik bilgilerini desteklemez. Microsoft Entra'ya katılmış Windows Sunucuları, QUIC paylaşımı üzerinden SMB'ye erişmek için etki alanı tabanlı veya yerel bir kullanıcı hesabı kullanmalıdır.
  • SMB sunucusu bir çalışma grubundayken (AD etki alanına katılmış değil) WAC kullanarak QUIC üzerinden SMB yapılandıramazsınız. Bu senaryoya göre New-SMBServerCertificateMapping cmdlet'ini kullanmanız gerekir.
  • Yalnızca mobil kullanıcıların parolalarıyla yapılandırılmış salt okunur etki alanı denetleyicilerinin dosya sunucusunda kullanılabilir duruma getirilmalarını öneririz.
  • Kullanıcıların güçlü parolaları olmalıdır veya ideal olarak, İş için Windows Hello MFA veya akıllı kartlarıile parolasız strateji kullanılarak yapılandırılmalıdır. ayrıntılı parola ilkesi aracılığıyla mobil kullanıcılar için bir hesap kilitleme ilkesi yapılandırın ve kaba kuvvet veya parola spreyi saldırılarını algılamak için saldırı tespit yazılımı dağıtmanız gerekir.

Daha fazla kaynak