Windows Server 2022の新機能の一つに、インターネットフレンドリーなUDPポート443でセキュアなSMB接続を実現する「SMB over QUIC」があります。この機能はプレビュー機能であり、ファイルサーバ側はAzure仮想マシン上にある必要があります。この評価環境をできるだけ簡単に準備する方法を紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「SMB over QUIC」は、「Windows Server 2022」の「SMB(Server Message Block)3.1.1」に追加された新機能です。SMB over QUICに対応したファイルサーバとしては現在、Azure仮想マシンとして稼働する「Windows Server 2022 Datacenter:Azure Edition」または「Windows Server 2022 Datacenter:Azure Edition Core」でのみ、プレビュー機能としてサポートされています(運用環境での使用はサポートされません)。
これらのOSイメージは、Azure Marketplaceの「Microsoft Server Operating Systems Previews」オファーからデプロイできます。クライアントとしては、通常版のWindows Server 2022(Datacenter、Standard、Essentials)および「Windows 11」(2020年10月にリリース予定)が対応しています。
SMB over QUIC(プレビュー)の評価に必要な情報は、以下のMicrosoftの公式ドキュメントで説明されています。ただし、説明が省略されている部分が多く、少し難解かもしれません。
SMB over QUICの前提条件としては、「Active Directory証明書サービス」またはサードパーティーの証明機関により発行されたSMB over QUIC対応の証明書と、公開キー基盤(PKI)へのアクセスが必要になります。また、ファイルサーバのリソースにアクセスする際には、Kerberos認証の使用が推奨されています。ファイルサーバでSMB over QUICを構成するためには、「Windows Admin Center」のリモート管理環境も必要です。
以下の図1は、Active Directory証明書サービスのエンタープライズPKIの環境を利用する場合のSMB over QUICの実装例を示したものです。
サイト間(S2S)VPN接続、または「Azure ExpressRoute」でオンプレミスのネットワークをAzure仮想ネットワークと相互接続し、Azure Editionを実行するAzure仮想マシンと、オンプレミスのWindows 11(またはWindows Server 2022)クライアントの双方を同じActive Directoryに参加させる形になります。クライアントのID認証にKerberos認証を利用するためには、KDC(Kerberos キー配布センター)プロキシの環境も必要です(ない場合はNTLMv2認証が使用されます)。
SMB over QUICに必要な証明書は、Active Directory証明書サービスの「コンピューター」証明書テンプレートの複製から準備できます。具体的には、以下のようにテンプレートを構成します(画面1)。
Copyright © ITmedia, Inc. All Rights Reserved.