SMB over QUIC – Windows Server Azureガイド

SMB Over QUICのデプロイを行う

ステップ 1: バーチャルマシン「 Windows Server 2022 Datacenter: Azure Edition」をデプロイする

• Azure Portalにログインし、Azure Serviceの 「Virtual Machines」を選択

• 「Create」をクリック -> 「Azure Virtual Machine」を選択

• Azure Virtual Machineを設定する:

1. 1. 「Subscription」を選択し「Resource group」へ
   2. 「Virtual Machine name」 を入力し「Region」を選択
   3. 「Image」で「 Windows Server 2022 Datacenter: Azure Edition」を選択
   4. 　「Size」で必要なVirtual Machineリソースを選択
   5. 　ローカルの認証情報を入力

6. 「Create a virtual machine」ウィザードのインストラクションに従い最後まで入力

7. 「Review + Create」ボタンをクリックすると数分でVirtual Machineのデプロイが完了する

ステップ 2: Windows Admin Center (WAC)を設定する

WACにアクセスするためには、 ユーザーはAzureの「Windows Admin Center Administrator Login」権限が必要です

• Open Access control (IAM) を開き、「Add」をクリックし、「Add role assignment」を選択

• 「Selected role」で「Windows Admin Center Administrator Login」 を選択し「Next」をクリック
• 　権限を認可されたアカウントを追加し「Next」をクリック

• 「Review + assign」ボタンで設定を保存

Windows Admin Center (WAC)のインストール:

• バーチャルサーバーを選択し、「Windows Admin Center」をクリック
• 「install」をクリックすると数分でWACの準備が完了

ステップ 3: SMBサーバーの公開アクセス設定をする

1. AzureでDNS Name Labelを追加する
   • Azure Portalで、該当するSMBサーバーのバーチャルマシンが存在するResource Groupへ行く
   • 「Public IP Address NIC」を選択
   • サイドメニューから「Configuration」を選択し、 「DNS Name Label」を IP addressに追加する
   • この手順により、外部のクライアントがドメイン名経由でQUICサーバーに接続できるようになる

2. UDPポート 443番を開く:

• • Azure PortalでResource Group に戻り、SMBサーバーのバーチャルマシンを選択する 
  • 「Networking」に移動し、UDP ポート 443番（SMB over QUIC 用）を許可するインバウンドセキュリティルールを作成

ステップ 4: サーバー証明書を発行し割り当てる

SMB over QUIC を有効にするために、DigiCert、GeoTrust、GoDaddy などの信頼された第三者認証機関から発行された公開証明書をインストールします

1. 下記のプロパティで発行された「Certificate Authority」を作成する
   • Key usage: デジタル署名目的：サーバー認証（EKU 1.3.6.1.5.5.7.3.1）
   • Signature algorithm: SHA256RSA またはそれ以上
   • Signature hash: SHA256 またはそれ以上
   • Public key algorithm: ECDSA_P256 またはそれ以上、あるいはRSA（2048ビット以上）を使用することも可能
   • Subject Alternative Name (SAN): (前のステップで設定した DNS ラベル名と、SMB サーバーへアクセスするために使用するすべての完全修飾ドメイン名（FQDN）に対応する DNS 名のエントリが必要）
   • Subject: (CN= 何でも良いが何かの入力は必要）
   • Private key included: yes

2. 証明書をAzure Serverの個人用ストアにインストールする

• • 該当するバーチャルサーバーを開く、「Windows Admin Center」をクリック
  • 「certificates」-> 「Local Machine」 -> 「My」
  • import を押して、前のステップで作成した公開証明書を選択

3. SMB Over QUICを有効にする

• • Windows Admin Center から-> Settings -> File Shares
  • 「File sharing across the internet with SMB over QUIC」の 「Configure」をクリック

• • 「Select a computer certificate for this file server」で公開証明書を選択し、クライアントが接続するサーバーアドレスを選択、もしくは「Select all」を選択し「Enable」を選択

ステップ 5: 共有を作成する

1. Windows Admin Center のサイドメニューから「Files & file sharing 」を選択し、 Cドライブを選択
2. 「New Folder」をクリックして新規フォルダを作成し任意のフォルダ名をつける

3. 「File shares」タブを選択し「New share」を作成

4. 「Folder Location」で「Browse」をクリックし、前のステップで作成したフォルダを選択

5. 共有の初期設定ではすべてのユーザーにフルコントロールの権限が与えられているので、変更したい場合は、「Share permissions」でアクセスを許可したいユーザーまたはグループ名を入力し、「search」をクリックする。その後、ドロップダウンリストから必要な権限を選択して、ユーザー/グループに付与する

ステップ 6: SMB Over QUICをテストする

Windowsのファイル共有に対するネットワークドライブは、 SMB over QUIC を使用して PowerShell、コマンドプロンプト（CMD）、またはエクスプローラーからマウントすることが可能。前提条件として、Windows サーバー上にファイル共有が存在し、クライアントが Windows 11 OSを使用していることが必要

ネットワークドライブをマッピングするには：

• PowerShell – Windows 11 クライアントでPowerSellを開き、下記を実行する：

New-SmbMapping -LocalPath x: -RemotePath \\<AzureCloudVMDomain>\DemoShare -TransportType QUIC -Persistent $True -Username %username% -Password %password%

• CMD- Windows 11クライアントでCMDを開き、下記を実行する： 

net use x: \\<AzureCloudVMDomain >\datastore /TRANSPORT:QUIC /PERSISTENT:YES /user:%username% %password%

• Explorer – Windows Explorer を開き、「Map network drive」を選択
  
  

• SMB over QUIC共有にドライブレターとDNSアドレスを入力し、接続プロパティを選択

• ユーザーネームとパスワードを入力後、ネットワークドライブがSMB over QUICに接続される

結論

本ガイドに従うことで、SMB over QUICを正しく設定およびテストし、信頼できないネットワーク上でも安全で信頼性の高いファイルアクセスを提供することが可能になります。生産環境では、証明書が信頼された認証局から正しく発行され、DNSレコードが適切に設定されていることを確認してください。Visuality SystemsのjNQおよびQUICアドオンを使用すれば、さまざまなWindowsバージョン、Linux、Android、またはJavaをサポートするプラットフォームのクライアントにおいて、SMB over QUICを拡張できます。