
SMB über QUIC ist eine neue Funktion von Windows Server 2025, mit der Sie den sicheren Zugriff auf eine Windows-Dateifreigabe über das Internet konfigurieren können, ohne ein VPN zu verwenden (zuvor war sie nur in der Azure Edition von Windows Server 2022 verfügbar). In der Vergangenheit war für den Fernzugriff auf SMB-Dateiserver die Bereitstellung einer zusätzlichen VPN- oder RDS-Lösung erforderlich. Mit SMB über QUIC können Sie jetzt sicher und direkt aus nicht vertrauenswürdigen und öffentlichen Netzwerken auf einen Dateiserver zugreifen.
SMB über das QUIC-Protokoll sind:
-
Die Verbindung zwischen SMB-Server und Benutzer ist durch TLS 1.3-Verschlüsselung mit Zertifikaten geschützt. Die Benutzerauthentifizierung erfolgt innerhalb eines sicheren TLS-Tunnels.
-
UDP/443 wird anstelle des herkömmlichen SMB-Ports TCP/445 verwendet.
-
QUIC ist ein modernes Transportprotokoll, das eine verbesserte Leistung und Widerstandsfähigkeit gegenüber schlechten Netzwerkkanälen bietet. Es enthält auch einen neuen Komprimierungsalgorithmus.
-
Mit QUIC Client Access Control können Sie den Zugriff auf einen Dateiserver für Clients mithilfe von Zertifikaten einschränken.
-
Im TLS-Tunnel wird SMB 3.1.1 verwendet.
Die Hauptmerkmale des Protokolls sind:
SMB über QUIC wird oft als SMB-VPN bezeichnet, da es Remote-Benutzern den sicheren Zugriff auf einen Unternehmensdateiserver über das Internet ermöglicht, ohne dass ein zusätzliches VPN erforderlich ist.
Sehen wir uns an, wie Sie einen Ordner auf einem Windows Server 2025-Dateiserver über SMB über QUIC freigeben und Clients mithilfe der Zertifikatauthentifizierung einen sicheren Zugriff darauf ermöglichen. Zur Konfiguration von SMB über QUIC können Windows Admin Center (WAC) und PowerShell verwendet werden.
Konfigurieren Sie zunächst einen Dateiserver unter Windows Server 2025 mit SMB-über-QUIC-Unterstützung. Obwohl eine Active Directory-Domäne bevorzugt wird, kann SMB gegenüber QUIC für Arbeitsgruppenszenarien mit lokalen Benutzerkonten konfiguriert werden.
Sie benötigen ein SSL-Zertifikat, das den FQDN Ihres Dateiservers im Subject Alternative Name (SAN) enthält. Sie können ein Zertifikat einer externen Zertifizierungsstelle verwenden, einschließlich eines Let’s Encrypt-Zertifikats, ein Zertifikat einer internen Zertifizierungsstelle oder ein selbstsigniertes Zertifikat, was akzeptabel, aber nicht empfohlen ist. Das Feld „Enhanced Key Usage“ (EKU) des Zertifikats muss die Verwendung für die Serverauthentifizierung enthalten.
In diesem Beispiel verwende ich ein Szenario mit einem selbstsignierten Zertifikat auf dem Server. Generieren Sie ein selbstsigniertes Zertifikat für den FQDN des Dateiservers.
` $todaydate=Get-Date
$add3year=$todaydate.AddYears(3)
New-SelfSignedCertificate-dnsname mfs01.woshub.com-notafter $add3year-CertStoreLocation cert:\LocalMachine\My `
Wählen Sie ein Zertifikat anhand seines Fingerabdrucks aus:
$cert=Get-ChildItem-Path “Cert:\LocalMachine\My”| Where-Object Thumbprint-eq D4CB32344D21EB9E38168EA04540DBE509BBD650
Weisen Sie das Zertifikat dem QUIC-SMB-Server zu.
New-SmbServerCertificateMapping-Name mfs01.woshub.com-Thumbprint $cert.Thumbprint-StoreName My

Aktivieren Sie die Unterstützung für SMB über QUIC für den Dateiserver.
Set-SmbServerConfiguration-EnableSMBQUIC $true
Stellen Sie sicher, dass der SMB-Server den UDP-Port 443 überwacht.
netstat-a | Select-String 443

Um den Zugriff auf eine Dateifreigabe über SMB QUIC zu ermöglichen, müssen die entsprechenden Regeln in der Windows Defender-Firewall aktiviert sein:
Get-NetFirewallRule-DisplayName „Datei- und Druckerfreigabe (SMB-QUIC-In)“|select name,enabled,profile
Standardmäßig wird SMB-QUIC-Zugriff für das Domänenprofil gewährt, für die Netzwerkprofiltypen „Privat“ und „Öffentlich“ wird er jedoch verweigert (aktivieren Sie die erforderlichen Regeln abhängig von Ihrer Umgebung).

Beachten Sie, dass der SMB-Client beim Herstellen einer Verbindung zu einem freigegebenen Ordner versucht, den Standard-TCP-Port 445 zu verwenden. Wenn dieser Port nicht verfügbar ist, wechselt der Client zu QUIC. Daher wird empfohlen, die Firewallregeln des Servers so zu konfigurieren, dass der externe Clientzugriff auf SMB auf Standardport 445 eingeschränkt wird.
Als nächstes konfigurieren Sie eine Verbindung zum SMB-Freigabeordner über QUIC auf dem Client-Computer (die folgenden Betriebssysteme werden als Clients unterstützt: Windows 11, Windows Server 2025 und Linux mit Samba Version 4.23 oder neuer. Windows 10 unterstützt jedoch nicht das QUIC-Protokoll.
Überprüfen Sie, ob die SMB-über-QUIC-Unterstützung auf dem Windows 11-Client aktiviert ist:
` Get-SmbClientConfiguration | Wählen Sie „SMBQUIC aktivieren“.

Clientcomputer müssen dem auf dem Dateiserver installierten Zertifikat vertrauen. Wenn Sie eine Unternehmenszertifizierungsstelle verwenden, können Sie die Stamm- und Zwischenzertifikate der Zertifizierungsstelle verteilen und sie dem vertrauenswürdigen Zertifikatspeicher auf Clientgeräten hinzufügen (das Zertifikat kann über GPO bereitgestellt werden). Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie es in den vertrauenswürdigen Zertifikatspeicher des Clients importieren.
Jetzt können Sie mithilfe des PowerShell-Cmdlets New-SmbMapping einen freigegebenen Ordner vom Dateiserver aus zuordnen:
New-SmbMapping-LocalPath W:-RemotePath \\mfs01.woshub.com\Docs-TransportType QUIC
Oder mit dem Befehl „net use“:
net use W: \\mfs01.woshub.com\Docs/TRANSPORT:QUIC

Um sicherzustellen, dass der QIUC-Transport zum Verbinden eines freigegebenen Ordners verwendet wurde, überprüfen Sie die Ereignisanzeigeprotokolle auf einem Client auf die Ereignis-ID 30832 (Ereignisanzeige-> Anwendungs-und Dienstprotokolle-> Microsoft-> Windows-> SMBClient-> Konnektivität).
The initial connection to the share was established.Share name: \xxxxxServer address: xxxxxxx:443Session ID: 0x1900014000079Tree ID: 0xDTransport type: QuicSigning used: true

Wenn im Protokoll die Ereignis-ID 30803 angezeigt wird, bedeutet dies höchstwahrscheinlich, dass das Serverzertifikat nicht auf dem Client installiert ist oder der Client ihm nicht vertraut.
Failed to establish a network connection.Error: The QUIC connection encountered a bad certificate during TLS.

Mithilfe von Client Access Control-Regeln können Sie den Zugriff auf eine Serverfreigabe über das QUIC-Protokoll nur dann zulassen, wenn Clients über die erforderlichen Zertifikate verfügen. Aktivieren Sie die obligatorische SMB-Client-Zertifikatauthentifizierung für Verbindungen zum Dateiserver.
Set-SmbServerCertificateMapping-Name mfs01.woshub.com-RequireClientAuthentication $true
Lassen Sie uns auf einem Client-Computer ein selbstsigniertes Zertifikat erstellen, das drei Monate gültig ist.
$clientCert=New-SelfSignedCertificate-DnsName mfs01.woshub.com-CertStoreLocation "Cert:\LocalMachine\My"-NotAfter (Get-Date).AddMonths(3)-KeyAlgorithm "RSA"-KeyLength "2048"
Binden Sie dieses Zertifikat an das Clientgerät, um es beim Herstellen einer Verbindung mit dem Unternehmensdateiserver zu verwenden:
New-SmbClientCertificateMapping-Namespace mfs01.woshub.com-Thumbprint $clientCert.Thumbprint-Store My
Rufen Sie den SHA-256-Hash des Client-Zertifikats ab.
$clientCert.GetCertHashString("SHA256")

Erlauben Sie Verbindungen von Clients mit diesem Zertifikat auf dem SMB-Server mit QUIC-Freigabe (durch seinen SHA-256-Hash).
Grant-SmbClientAccessToServer-Name mfs01.woshub.com-IdentifierType SHA256-Identifier "B05E517D9FCA15BE3A38D95AA97A87003F55D524FE67DB7D7E81BB99B5C1D50B"

So listen Sie alle Clientzugriffskontrollregeln auf einem Dateiserver auf:
„Get-SmbClientAccessToServer-Name mfs01.woshub.com“.
Oder Sie können Verbindungen von allen Clients mit Zertifikaten eines bestimmten Herausgebers (angegeben im X.500-Format) zulassen. Den Stamm- und Zwischenzertifikaten dieser Zertifizierungsstelle muss der SMB-Server vertrauen:
Grant-SmbClientAccessToServer-Name mfs01.woshub.com-IdentifierType ISSUER-Identifier „“
Aktivieren Sie die Überwachung von Zertifikatauthentifizierungsereignissen (Anwendungs-und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit):
Set-SmbServerConfiguration-AuditClientCertificateAccess $true
Dadurch können nur Clients mit genehmigten Zertifikaten eine Verbindung zu Ihrem SMB-Dateiserver herstellen.
Mit SMB über QUIC wird der gesamte SMB-Verkehr, einschließlich der Authentifizierung, vollständig verschlüsselt. Wenn ein Domänencontroller für die Clientauthentifizierung nicht verfügbar ist, wird die NTLMv2-Authentifizierung anstelle der Kerberos-Authentifizierung verwendet. Diese Verschlüsselung schützt die NTLM-Authentifizierung davor, von Angreifern abgefangen oder ausgenutzt zu werden, und stellt sicher, dass die Anmeldeinformationen und der Authentifizierungsprozess auch bei Verwendung von NTLM innerhalb des verschlüsselten QUIC-Kanals geschützt bleiben.
Um Clients die Authentifizierung mit Kerberos zu ermöglichen, stellen Sie einen KDC-Proxy auf dem Dateiserver bereit. Dieser Proxy leitet Kerberos-Anfragen von externen Clients über HTTPS an den Domänencontroller weiter (siehe Beitrag SMB über QUIC: Konfigurieren Sie den KDC-Proxy).
Ein Nachteil des SMB gegenüber dem QUIC-Protokoll besteht darin, dass es keine älteren SMB-Clients unterstützt, einschließlich Windows 10 und frühere Versionen sowie Samba-Versionen vor 4.23.
*️⃣ Quelllink:
RDS, ein Let’s Encrypt-Zertifikat, selbstsigniertes Zertifikat, Get-NetFirewallRule, Netzwerkprofiltypen, Zertifikat kann über GPO bereitgestellt werden, SMB über QUIC: Konfigurieren Sie den KDC-Proxy ,