ファイルサーバー : SMB over QUIC2025/01/13

SMB over QUIC の設定です。
QUIC プロトコルを用いて、インターネット超しにファイルサーバーにアクセスすることができます。

ドメイン環境は必須ではないため、当例ではスタンドアローンのファイルサーバーで設定します。

また、QUIC は UDP 443 で通信するため、必要に応じて、上流のルーター/ファイアウォールで UDP 443 を許可またはポートフォワードの設定が必要です。

  +----------------------+
  |  [  File Server  ]   |
  |    rx-7.srv.world    |
  |                      |
  +-----------+----------+
              |10.0.0.101
              |
      10.0.0.1|
       +------+-----+
-------|   Router   |-------
       +------+-----+
              |
              |  Internet
--------------+-------------
              |
              |192.168.0.x
  +-----------+----------+
  |                      |
  |      Client PC       |
  |                      |
  +----------------------+

[1]	PowerShell を管理者権限で起動し、自己署名の証明書を作成して設定します。正規の証明書を使用する場合は、自己署名の証明書の作成はスキップで OK です。

Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

# 自己署名の証明書作成
PS C:\Users\Administrator> $ObjCert = New-SelfSignedCertificate `
-DnsName "rx-7.srv.world" `
-Subject "CN=SMB over QUIC" `
-KeyAlgorithm "ECDSA_nistP384" `
-KeyExportPolicy "Exportable" `
-CertStoreLocation "Cert:\LocalMachine\My" `
-NotAfter (Get-Date).AddYears(10) 

# クライアントコンピューター用に証明書エクスポート
PS C:\Users\Administrator> Export-Certificate -Cert $ObjCert -FilePath "C:\Users\Administrator\rx-7.srv.world.cer" 


    Directory: C:\Users\Administrator


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----         1/13/2025  11:49 AM            474 rx-7.srv.world.cer

[2]	証明書をファイルサーバーに関連付けて設定完了です。

Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

PS C:\Users\Administrator> Get-ChildItem Cert:\LocalMachine\My 


   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My

Thumbprint                                Subject
----------                                -------
02D01E6695C68E404BE00C53696F374EE25EAB7B  CN=SMB over QUIC

PS C:\Users\Administrator> New-SmbServerCertificateMapping -Name rx-7.srv.world `
-Thumbprint 02D01E6695C68E404BE00C53696F374EE25EAB7B `
-Store My 

Name           Subject          Thumbprint                               DisplayName   StoreName Type Flags RequireClientAuthentication
----           -------          ----------                               -----------   --------- ---- ----- -------------------
rx-7.srv.world CN=SMB over QUIC 02D01E6695C68E404BE00C53696F374EE25EAB7B SMB over QUIC My        QUIC None  False

# 以上の設定で UDP/443 をリスンするようになる
PS C:\Users\Administrator> netstat -a | Select-String 443 

  UDP    0.0.0.0:443            *:*
  UDP    [::]:443               *:*

# ファイアウォールルールは事前定義が存在し public プロファイルは許可済み
# Domain, Private プロファイルは手動で有効化する必要がある
PS C:\Users\Administrator> Get-NetFirewallRule -DisplayName "File and Printer Sharing (SMB-QUIC-In)" 

Name                          : FPS-SMBQ-In-UDP
DisplayName                   : File and Printer Sharing (SMB-QUIC-In)
Description                   : Inbound rule for File and Printer Sharing to allow Server Message Block transmission and
                                reception via Winquic. [UDP 443]
DisplayGroup                  : File and Printer Sharing over QUIC
Group                         : @FirewallAPI.dll,-28652
Enabled                       : False
Profile                       : Domain, Private
Platform                      : {}
Direction                     : Inbound
Action                        : Allow
EdgeTraversalPolicy           : Block
LooseSourceMapping            : False
LocalOnlyMapping              : True
Owner                         :
PrimaryStatus                 : OK
Status                        : The rule was parsed successfully from the store. (65536)
EnforcementStatus             : NotApplicable
PolicyStoreSource             : PersistentStore
PolicyStoreSourceType         : Local
RemoteDynamicKeywordAddresses : {}
PolicyAppId                   :
PackageFamilyName             :

Name                          : {C55B4291-6581-48A9-9140-CE42A285B1A2}
DisplayName                   : File and Printer Sharing (SMB-QUIC-In)
Description                   : Inbound rule for File and Printer Sharing to allow Server Message Block transmission and
                                reception via Winquic. [UDP 443]
DisplayGroup                  : File and Printer Sharing over QUIC
Group                         : @FirewallAPI.dll,-28652
Enabled                       : True
Profile                       : Public
Platform                      : {}
Direction                     : Inbound
Action                        : Allow
EdgeTraversalPolicy           : Block
LooseSourceMapping            : False
LocalOnlyMapping              : True
Owner                         :
PrimaryStatus                 : OK
Status                        : The rule was parsed successfully from the store. (65536)
EnforcementStatus             : NotApplicable
PolicyStoreSource             : PersistentStore
PolicyStoreSourceType         : Local
RemoteDynamicKeywordAddresses : {}
PolicyAppId                   :
PackageFamilyName             :

[3]	エクスポートした証明書を、SMB over QUIC でアクセスしたいクライアントコンピューターに転送し、証明書をインポートしておきます。

Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

# 転送した証明書
PS C:\Users\Serverworld> Get-ChildItem rx-7.srv.world.cer 


    Directory: C:\Users\Serverworld


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----         1/13/2025  12:32 PM            474 rx-7.srv.world.cer

PS C:\Users\Serverworld> Import-Certificate -FilePath C:\Users\Serverworld\rx-7.srv.world.cer -CertStoreLocation Cert:\LocalMachine\Root 


   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
02D01E6695C68E404BE00C53696F374EE25EAB7B  CN=SMB over QUIC

[4]	クライアントコンピューターからの共有アクセスは通常通りです。 445/TCP で接続できなかった後に 443/UDP で接続にいくため、認証フォームが出るまで少し時間がかかります。