Windows Server 2022の新機能「SMB over QUIC（プレビュー）」のカンタン評価ガイド：Microsoft Azure最新機能フォローアップ（155）

Windows Server 2022の新機能の一つに、インターネットフレンドリーなUDPポート443でセキュアなSMB接続を実現する「SMB over QUIC」があります。この機能はプレビュー機能であり、ファイルサーバ側はAzure仮想マシン上にある必要があります。この評価環境をできるだけ簡単に準備する方法を紹介します。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

サーバはAzure仮想マシンのAzure Editionのみのプレビュー機能

　「SMB over QUIC」は、「Windows Server 2022」の「SMB（Server Message Block）3.1.1」に追加された新機能です。SMB over QUICに対応したファイルサーバとしては現在、Azure仮想マシンとして稼働する「Windows Server 2022 Datacenter：Azure Edition」または「Windows Server 2022 Datacenter：Azure Edition Core」でのみ、プレビュー機能としてサポートされています（運用環境での使用はサポートされません）。

　これらのOSイメージは、Azure Marketplaceの「Microsoft Server Operating Systems Previews」オファーからデプロイできます。クライアントとしては、通常版のWindows Server 2022（Datacenter、Standard、Essentials）および「Windows 11」（2020年10月にリリース予定）が対応しています。

• Azure Marketplace｜Microsoft Server Operating Systems Previews（Azure Marketplace）

　SMB over QUIC（プレビュー）の評価に必要な情報は、以下のMicrosoftの公式ドキュメントで説明されています。ただし、説明が省略されている部分が多く、少し難解かもしれません。

• QUICでのSMB（プレビュー）（Microsoft Docs）

　SMB over QUICの前提条件としては、「Active Directory証明書サービス」またはサードパーティーの証明機関により発行されたSMB over QUIC対応の証明書と、公開キー基盤（PKI）へのアクセスが必要になります。また、ファイルサーバのリソースにアクセスする際には、Kerberos認証の使用が推奨されています。ファイルサーバでSMB over QUICを構成するためには、「Windows Admin Center」のリモート管理環境も必要です。

　以下の図1は、Active Directory証明書サービスのエンタープライズPKIの環境を利用する場合のSMB over QUICの実装例を示したものです。

図1　Active DirectoryドメインとActive Directory証明書サービスのエンタープライズPKIを前提としたSMB over QUICの実装例

　サイト間（S2S）VPN接続、または「Azure ExpressRoute」でオンプレミスのネットワークをAzure仮想ネットワークと相互接続し、Azure Editionを実行するAzure仮想マシンと、オンプレミスのWindows 11（またはWindows Server 2022）クライアントの双方を同じActive Directoryに参加させる形になります。クライアントのID認証にKerberos認証を利用するためには、KDC（Kerberos キー配布センター）プロキシの環境も必要です（ない場合はNTLMv2認証が使用されます）。

前提条件さえ整えば、Windows Admin Centerで簡単に有効化できる

　SMB over QUICに必要な証明書は、Active Directory証明書サービスの「コンピューター」証明書テンプレートの複製から準備できます。具体的には、以下のようにテンプレートを構成します（画面1）。

• 「互換性」タブ
  • 証明機関：Windows Server 2016
  • 証明書の受信者：Windows 10／Windows Server 2016
• 「全般」タブ
  • テンプレート表示名：SMB over QUIC
  • テンプレート名：SMBoverQUIC
• 「要求処理」タブ
  • 用途：署名
• 「暗号化」タブ
  • プロバイダーのカテゴリー：キー格納プロバイダー
  • アルゴリズム：ECDSA_P256
• 「拡張機能」タブ
  • アプリケーション ポリシー：サーバー認証（クライアント認証を削除）
• 「セキュリティ」タブ
  • Authenticated Users：読み取り、登録
• 「サブジェクト名」タブ
  • 要求に含まれる
    • 自動登録書き換え要求に既存の証明書のサブジェクト名を使用する

画面1　SMB over QUIC用に構成した証明書テンプレート

　Azure Editionを実行するファイルサーバでは、「証明書−ローカルコンピューター」スナップイン（Certlm.msc）を使用して、Active Directoryに証明書の発行を要求し、証明書をローカルの証明書ストア（ローカルコンピューター\個人）にインストールします（画面2）。

画面2　ファイルサーバでSMB over QUIC用の証明書をActive Directoryに要求し、発行を受ける。証明書の共通名およびDNS名には、インターネットからのアクセスの名前解決に使用するFQDNを指定する

　後は、Windows Admin Centerを使用して、ファイルサーバとしてセットアップ（「ファイルサーバー」の役割サービスの有効化と共有フォルダを作成）し、Azure Editionの「設定」にある「ファイル共有（SMBサーバー）」を開いて、SMB over QUIC用に発行された証明書をバインドします。これだけで、SMB over QUICの機能が有効化されます。Azure仮想マシンでは、「Windows Admin Center（プレビュー）」拡張機能（AdminCenter拡張）を簡単に導入することができるので、これを利用するのが簡単です（画面3）。

画面3　Windows Admin Center（AdminCenter拡張を利用するのが簡単）でファイルサーバの「設定」の「ファイル共有（SMBサーバー）」を開き、SMB over QUICを構成して、証明書をバインドする

　この他に重要なポイントとして、ファイアウォールの許可設定が必要です。ファイルサーバの「Windowsファイアウォール」では、「ファイルとプリンターの共有（SMB-QUIC受信）」を許可する必要があります。また、Azure仮想マシンの「受信ポート規則」では、UDPポート「443」を許可する必要があります。これらの設定はAzure仮想マシンの「Windows Admin Center（プレビュー）」と「ネットワーク」から構成できます（画面4、画面5）。

画面4　「Windows Admin Center（プレビュー）」の「ファイアウォール」ツールを使用して、ゲストOSのWindowsファイアウォールでSMB over QUIC用の受信の規則を有効化する

画面5　Azure仮想マシンの「ネットワーク」設定で「受信の規則」にUDPポート「443」に対する許可を追加する

　Windows 11（またはWindows Server 2022）クライアントで必要なのは、証明書の信頼と、Azure仮想マシンのパブリックIPアドレスが証明書のサブジェクト名（共通名やDNS名）に名前解決できることです。

　クライアントがドメインメンバーの場合は、エンタープライズPKIの配下にあるため、発行された証明書を信頼できます。ただし、社外ネットワークにある場所から失効状態を確認できるように、エンタープライズPKIで準備しておく必要があります（CRL配布ポイントのWebサイトなど）。名前解決については、評価目的であればhostsファイル（C:\Windows\System32\drivers\etc\hosts）にパブリックIPアドレスとFQDNの対応を記述するのが簡単です。

　接続方法は通常のSMB共有への接続と全く同じです。SMB over QUIC対応クライアントは最初に標準のTCPポート「445」で接続を試み、それが失敗した場合はSMB over QUICで接続しようとします（画面6）。

画面6　「NETSTAT」コマンドの結果から、SMB標準のTCPポート445ではなく、SMB over QUICのUDPポート443が使用されていることが分かる

もっと簡単に評価する方法

　プレビュー機能（運用環境では使用不可）であるSMB over QUICの評価のためだけに、図1の評価環境を全て準備するのは大変です。そこで、Azure仮想マシンのAzure EditionのファイルサーバとWindows 11（またはWindows Server 2022）クライアントの両方をワークグループ構成のままで、簡単に評価する方法を考えてみました。

　サードパーティーの証明機関（CA）に証明書を発行してもらうのが簡単ですが、そのコストやDNSドメイン名の取得など面倒なことが多く、評価環境向きではありません。

　以下の図2に示すように、ダミーのActive DirectoryドメインとエンタープライズPKI環境を用意し（または既存のエンタープライズPKI環境を使用し）、その環境で証明書を発行、ファイルにエクスポートしてAzure仮想マシンのAzure Editionの「ローカルコンピューター\個人」ストアに証明書をインストールします。

　また、エンタープライズPKIの証明機関（CA）の証明書をファイルにエクスポートし、ファイルサーバとクライアントの両方の「ローカルコンピューター\信頼されたルート証明機関」ストアにインストールします。

図2　ダミーのActive Directoryドメインで発行した証明書を使用すると、ワークグループ構成のスタンドアロンサーバでも簡単にSMB over QUICを評価できる

　ファイルサーバ側でSMB over QUICを有効化したときに、証明書の失効状態の確認がエラーとなり「SMB over QUICが正常ではありません」（正常な場合は「SMB over QUICが有効です」と表示）と表示されますが、このエラーを無視しても動作に特段の影響はありませんでした。

　実は、本連載第153回のSMB over QUICのスクリーンショットは、図2の環境で構築した評価環境のものです。

• Windows Server 2022が正式リリース　企業のクラウド／サーバ利用環境はどう変わる？（本連載 第153回）

せっかくなので「SMB圧縮（プレビュー）」も評価しよう

　Windows Server 2022では、SMB 3.1.1にもう1つのプレビュー機能として「SMB圧縮」がサポートされました。SMB圧縮は、Azure Editionに限らず、通常版のWindows Server 2022でも利用できますし、オンプレミスの社内ネットワーク内だけで利用することも可能です。

• SMB圧縮（プレビュー）（Microsoft Docs）

　Azure仮想マシンでSMB over QUICの評価環境を構築したのであれば、せっかくなのでSMB圧縮も評価してみましょう。この機能もWindows Admin Centerで簡単構成できます。「ファイル＆プリンター共有」ツールの「ファイル共有」で、共有ごとに「データの圧縮」をチェックすることで、このSMB圧縮が有効化されます（画面7）。SMB圧縮が利用可能になるには、有効化後にOSの再起動が必要なようです。その効果については、本連載第135回のSMB圧縮のスクリーンショットが示しています。

画面7　SMB圧縮は、Azure Editionだけでなく、通常版のWindows Server 2022でも利用できるプレビュー機能。Windows Admin Centerを使用して共有ごとに簡単に有効化できる

　なお、Azure仮想マシンの「Windows Admin Center（プレビュー）」の「ファイル共有」の一覧には不具合があり、共有の一覧の「データの圧縮」列の表示が、SMB圧縮が有効になっている共有であっても「サポートされていません」と表示されます。より新しい通常版のWindows Admin Center（本稿執筆時点の最新バージョンは「2103.2」）にこの問題は存在せず、SMB圧縮の状態に応じて「true」または「false」を表示するようになっています。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。