日本語
評価する
日本語

SMB over QUICサーバー:ついにAzure Edition以外にも対応

Windows Server 2025のリリースに伴い、これまでAzure Editionに限定されていたSMB over QUICが、Datacenter EditionとStandard Editionでも利用可能になりました。これにより、企業はVPNを使わずに、安全にリモートでファイルへアクセスできる新たな選択肢を手に入れました。

はじめに

Microsoftが進めるセキュリティ強化施策の一環として、SMB over QUICはWindows Server 2022で初めて導入されましたが、当初はAzure Editionに限定されていました。
しかし今回、Windows Server 2025のリリースにより、Azure Editionに加え、Datacenter EditionおよびStandard EditionでもSMB over QUICが利用可能になりました。これにより、企業は従来のTCP接続ではなく、TLS 1.3で暗号化されたQUICを活用することで、VPNなしで安全にリモートファイルへアクセスできる新たな選択肢を手に入れることが可能になります。

このチュートリアルでは、SMB over QUICサーバーのセットアップ方法、必要なTLS証明書の設定手順、そしてWindows 11クライアントからの接続方法について詳しくご紹介します。
手順をステップバイステップでわかりやすく解説したチュートリアル動画も掲載していますので、ぜひあわせてご覧ください。

SMB over QUICとは?

SMB over QUICは、従来のTCPベースのSMBに代わる、よりモダンで安全なファイル共有プロトコルです。インターネットのような信頼できないネットワーク上でも安全にファイル共有できるよう設計されています。
TCP/445ポートの代わりにUDP/443ポートを使用し、TLS 1.3証明書による暗号化と認証を行うため、パスワードは不要です。これにより、認証、マルチチャネル通信、圧縮といったすべてのSMB通信が暗号化され、エッジファイアウォールをシームレスに通過できるようになります。なお、ユーザーの操作感は従来と変わりません。

SMB over QUICの利用シーンや活用例について、詳しくはこちらをご覧ください。

SMB over QUICサーバー:変更前

Windows Server 2025のリリース前は、SMB over QUICはWindows Server 2022のAzure Editionでのみ利用可能でした。
そのため、Standard EditionやDatacenter Editionを使用している組織は、従来通りTCP/445を使用したSMBに頼るしかなく、安全なリモートアクセスを実現するにはVPNが必要でした。

SMB over QUICサーバー:変更後

Windows Server 2025のリリースにより、SMB over QUICがDatacenter EditionとStandard Editionでも利用可能になりました。
これにより、より多くの企業が、TLS 1.3によるエンドツーエンド暗号化でSMB通信を保護しながら、VPNなしで安全なSMBソリューションを導入できるようになりました。

サーバー側でのSMB over QUIC設定手順

SMB over QUICを有効にするには、サーバーにTLS 1.3証明書をインストールし、その証明書のサムプリント(Thumbprint)を使って設定を行う必要があります。

必要なSMBサーバー証明書マッピングを作成するには、以下のPowerShellコマンドを実行します:

\> New-SmbServerCertificateMapping -Name <server FQDN> -ThumbPrint <certificate thumbprint> -StoreName My

パラメーターの説明:

  • FQDN = 完全修飾ドメイン名(例:hostname.domain.com)
  • Thumbprint = My証明書ストアに格納されているTLS 1.3証明書のサムプリント

重要事項:
使用する証明書は、クライアントに信頼されている必要があり、サーバーのFQDNと一致するSubject Alternative Name (SAN) を含んでいなければなりません。

Windows 11クライアントからの接続方法

サーバー側の設定が完了したら、Windows 11クライアントから以下のコマンドを使用して接続できます:

\> net use * \\server FQDN\c$ /p:n /transport:QUIC

接続が成功すると、次のようなメッセージが表示されます:

ドライブ Z: は \\サーバーFQDN\c$ に接続されました。
コマンドは正常に完了しました。

ベストプラクティスと注意点

推奨事項(Dos)

  • SMB over QUICを使用する際は、可能な限りActive Directoryドメインを利用すること
  • 特別な理由がない限り、受信設定はデフォルトのUDP/443のまま運用すること
  • 必要に応じて、読み取り専用ドメインコントローラー(RODC)を活用すること

避けるべきこと(Don’ts)

  • ファイルサーバーへのTCP/445ポートの受信を許可しないこと
  • SMB over QUICの証明書(SAN)にIPアドレスを使用するのは避けること
         ※IPアドレスを使用すると、より安全なKerberos認証ではなく、NTLM認証が強制されてしまう

まとめ

Windows Server 2025の登場により、SMB over QUICはAzure Edition専用ではなくなり、より多くの環境でVPN不要の安全なSMBアクセスが可能になりました。
導入にあたっては、TLS 1.3証明書を正しく設定し、ベストプラクティスに従うことで、セキュリティを最大限に高めることが重要です。

詳しくはこちら:
Visuality SystemsのQUICアドオンYNQおよびjNQ向けにSMB over QUICを実現

SMBに関するご相談はお気軽にお問い合わせください。


Visuality Systems ― SMBプロトコルのエキスパート

Raphael Barki, Head of Marketing, Visuality Systems

Raphael Barki, Head of Marketing, Visuality Systems

YNQ™︎をもっと知る
YNQ™︎ホワイトペーパー
Share Via
関連記事
Share Via
アクセシビリティへの配慮について
© 2024 Visuality Systems Ltd. All Rights Reserved
利用規約及びプライバシー

Visuality systems uses technical, analytical, marketing, and other cookies. These files are necessary to ensure smooth operation of Voltabelting.com site and services and help us remember you and your settings. For details, please read our Privacy policy

Accept
Skip to content