これまでWindows Server 2025の新機能をいくつか紹介してきましたが、今回はファイルサーバーとしてのWindows Server 2025の新機能を紹介します。細かな変更点が多くありますが、詳しくは以下のドキュメントで確認してください。今回は、その中から注目していただきたい新機能をいくつか紹介します。
Windows Server 2025 の新機能|Windows Server(Microsoft Learn)
Azure限定の「SMB over QUIC」が任意の場所/エディションで利用可能に
「SMB over QUIC」は、Windows Server 2022 Datacenter: Azure Edition(サーバー機能)およびWindows Server 2022/Windows 11(クライアント機能)で初めて搭載された、「TLS 1.3」ベースのSMB用のトンネルプロトコルです。SMB over QUICは、TCPトランスポートの代替手段として、“インターネットなどの信頼されていないネットワーク”を介してファイルサーバーへの安全で信頼性の高い接続を提供します。SMB over QUICはUDPデータグラムを使用し、UDPポート「443」を介して、TLS 1.3で認証、暗号化されたトンネルを作成し、SMBトラフィックを送受信します。ユーザーのエクスペリエンスには影響せず、通常のTCPポート「445」によるSMB接続と同じように利用でき、SMBマルチチャンネルやSMB圧縮などのSMB機能もトンネル内で正常に動作します。
SMB over QUICのサーバー機能はこれまで、Windows Server 2022 Datacenter: Azure Editionの限定機能であり、Azure仮想マシン(VM)およびAzure Stack HCI上のVMでしか利用できませんでした。Windows Server 2025では、物理サーバー/VMや場所を問わず、Standard/Datacenterを含む任意のエディションで利用可能な機能になりました。
SMB over QUIC|Windows Server(Microsoft Learn)
Windows Server 2022 Datacenter: Azure EditionのSMB over QUICは、Windows Admin Center(WAC、WAC≪v1≫)で簡単に構成することができましたが、上記ドキュメントにあるように、現在、一般提供されているWAC(v1)(この記事の執筆時点ではバージョン2311)は、Windows Server 2025のSMB over QUICの構成には対応していないため、PowerShellで構成する必要があると説明されています(画面1)。しかし、2024年12月にリリースされ、Windows Server 2025の新機能である「Windows Admin Center Setup」でもインストールできる最新バージョン「WAC(v2) 2410」であれば、Windows Server 2025のSMB over QUICの構成が可能です。
ITニュース. Windows Admin Centerバージョン2410一般提供開始、日本語環境への導入には大きな言葉の壁が...
画面1 旧バージョンWACバージョン2311では、Azure EditionではないWindows Server 2025のSMB over QUICを構成できない
SMB over QUICは既定で無効です。SMB over QUICを構成して有効にする前に、SMB over QUICに対応した証明書を用意する必要があります。SMB over QUICのためには、キーの使用方法、目的、署名アルゴリズム、署名ハッシュ、公開キーアルゴリズムなど、細かな要件を満たす証明書が必要です(「Active Directory証明書サービス」の「エンタープライズCA」証明機関で発行する方法について、次回説明します)。
SMB over QUICをWAC(v2)で構成するには、「ファイル&ファイル共有」拡張機能の「ファイル共有」タブにある「ファイルサーバーの設定」を開き、「ファイル共有(SMBサーバー)」の一番下にある「SMB over QUICを使用してインターネット間でファイルを共有する」の「構成」をクリックします。構成ページでは、適切な証明書を選択し、接続に使用するSMBアドレスのFQDNを選択して、「KDCプロキシによるKerberosサポート」で「無効」(Windows Server 2025とWindows 11では無効にする必要があります)を選択して、「有効」をクリックします。エラーが通知された場合は、その内容に従って設定を行ってください。例えば、「新しい資格情報の委任を許可する」ポリシーの設定や、PowerShellでの「winrm set winrm/config/service '@{CertificateThumbprint="拇印"}'の実行などが必要でした(画面2)。
画面2 WAC(v2)を使用して、Windows Server 2025のファイルサーバーのSMB over QUICを構成する
SMB over QUICを有効にしたら、「セキュリティが強化されたWindows Defenderファイアウォール」(wf.msc)を開き、「受信の規則」にUDPポート「443」への接続許可規則を追加します(画面3)。
画面3 SMB over QUICを有効にし、サーバーのファイアウォールにUDPポート「443」への接続許可規則を追加する
SMB over QUICが有効なファイルサーバーには、Windows 11(およびWindows Server 2022以降)クライアントから、通常のファイルサーバーと同じように接続することができます。違いがあるとすれば、証明書の共通名(DNS名)と一致するFQDNでUNCパスを指定することだけです(画面4)。なお、NET USEコマンドの「/TRANSPORT:QUIC」パラメーターやNew-SmbMappingコマンドレットの「-TransportType QUIC」パラメーターを使用して、明示的にSMB over QUICの使用を指定することもできます。
画面4 Windows 11からSMB over QUICでファイル共有に接続している様子。SMB over QUICには、UDPポート「443」が使用される(通常のTCPポート445での接続をブロックした上で接続)
前述したようにSMB over QUICは、“インターネットなどの信頼されていないネットワーク”を介して、安全で信頼性のあるファイル共有を実現するためのものです。企業の内部ネットワーク(イントラネット)内で使用することは想定されていません。在宅勤務者やモバイルユーザーに対してファイル共有機能だけを安全に提供することはできます。しかし、既に在宅勤務者やモバイルユーザー向けには、ファイル共有を含む企業内リソースへの接続に、他の方法(企業ネットワークへのVPN接続や、クラウドサービスの利用など)を利用しているはずです。
Windows Server 2025およびWindows 11でSMB over QUICを利用することがないというのであれば、サーバーおよびクライアントでSMB over QUICを完全に無効化することもできます。それには、グループポリシーまたはローカルコンピューターポリシーの「コンピューターの構成¥(ポリシー¥)管理用テンプレート¥ネットワーク¥LAN Manager サーバー」および「¥Lanman ワークステーション」にある「QUIC 経由で SMB を有効にする」を「無効」にします。または、以下のPowerShellでサーバーとクライアントを構成することもできます。
| PS C:¥> Set-SmbServerConfiguration -EnableSMBQUIC $false PS C:¥> Set-SmbClientConfiguration -EnableSMBQUIC $false |
Windowsファイアウォールの「ファイルとプリンターの共有(制限付き)」グループ
Windows Server 2022以前は、サーバーに共有が作成されると、関連するファイアウォールプロファイルの「ファイルとプリンターの共有」グループの規則が自動構成されていました(画面5)。Windows Server 2025およびWindows 11バージョン24H2では、新たに追加された「ファイルとプリンターの共有(制限付き)」グループの規則が自動構成されるように変更されました(画面6)。
画面5 Windows Server 2022のファイルサーバーで自動構成されたファイアウォールの受信の規則
画面6 Windows Server 2025のファイルサーバーで自動構成されたファイアウォールの受信の規則。ファイル共有に必要最低限のポートのみが許可され、レガシなプロトコルをブロック
「ファイルとプリンターの共有(制限付き)」グループには、従来の「ファイルとプリンターの共有」グループにあるレガシなプロトコル(NetBIOS over TCP/IP)のポート(UDPポート「137」「138」およびTCPポート「139」)が許可されません。Windows Server 2025およびWindows 11バージョン24H2では既定で、ファイル共有に必要な最小数のポートのみが開かれるようになっています。最小限のレガシなポートの使用が必要な場合は、管理者自身で規則を構成する必要があります。なお、従来の「ファイルとプリンターの共有」グループの規則は、Windows Server 2025にも存在しますが、自動的に有効になることはありません。
その他のSMBプロトコルのセキュリティ強化と新機能
Windows Server 2025およびWindows 11バージョン24H2がサポートする最大のSMBバージョン(ダイアレクト)は「3.1.1(0x0311)」であり、Windows 10/Windows Server 2016以降から変わりません。しかし、SMBで利用できる機能については、以下のようなセキュリティ強化や新機能の追加が多数行われています。これらの設定は、ポリシー設定やPowerShellで構成できますが、WAC(v2)を使用すると、SMB over QUICと同様にGUIで構成することができます(画面7)。
- クライアントアクセス制御 ・・・ Windows Server 2025およびWindows 11バージョン24H2では、SMBおよびSMB over QUICで使用されるクライアント証明書の許可リストによる許可/拒否できるようになりました。 → 詳細情報(Microsoft Learn)
- SMB代替ポートの構成 ・・・ SMBクライアントはINA/IETFの既定であるTCPポート「445(SMB)」、TCPポート「5445(SMB over RDMA)」、UDPポート「443」を使用して接続を行います。Windows Server 2025およびWindows 11バージョン24H2では、「SMB代替ポート(Alternative SMB ports)」を構成し、サーバーおよびクライアントのSMB、SMB over QUIC、RDMA接続で使用できるようになりました。 → 詳細情報(Microsoft Learn)
- SMB暗号化の強制(Enforce SMB Encryption) ・・・ Windows Server 2022以降のファイルサーバーまたは共有レベルでSMB暗号化を有効にした場合、既定ですべての共有へのアクセスはSMB 3.x(3.0、3.02、3.1.1)クライアントからのみに制限され、SMB 2.xにSMB 1およびSMB 2.xクライアントからのSMB暗号化を使用しないアクセスは拒否されます。SMB 3.xをサポートしないクライアントに対して暗号化されていないアクセスを許可するには、SMBサーバーの構成を変更する必要があります(Set-SmbServerConfiguration –RejectUnencryptedAccess $false)。Windows Server 2025およびWindows 11バージョン24H2以降で追加された「Lanman ワークステーション¥暗号化が必要」ポリシーを使用すると、ファイルサーバーや共有で暗号化が要求されているかどうかに関係なく、すべての送信SMB接続でSMB暗号化を強制できます。 → 詳細情報(Microsoft Learn)
- SMB認証レートリミッター(MB authentication rate limiter) ・・・ Windows Server 2025およびWindows 11バージョン24H2以降では、SMBサーバーに「SMB認証レートリミッター」(InvalidAuthenticationDelayTimeInMs)が追加され、既定で有効になります。SMBレートリミッターにより、認証に失敗するたびに認証試行間隔を遅延(既定は2000ms)させることで、ブルートフォース認証攻撃への耐性が強化されます。 →詳細情報(Microsoft Learn)
- SMB NTLMの無効化サポート ・・・ Windows Server 2025およびWindows 11バージョン24H2以降で追加された「Lanman ワークステーション¥NTLM(LM、NTLM、NTLMv2)をブロックする」ポリシーおよび「NTLMサーバー禁止例外一覧」ポリシーを使用すると、SMBクライアントがリモート接続認証のために使用することがあるNTLM認証をブロックすることができます。NTLM認証のブロックは、Kerberos認証を利用できる環境(Active Directoryドメイン環境など)において利用できます。 → 詳細情報(Microsoft Learn)
なお、NTLMv1のサポートについては、Windows 11およびWindows Server 2025から削除されました。 → 詳細情報(Microsoft Learn) - SMBダイアレクト管理(SMB Dialect Control) ・・・ Windows Server 2025およびWindows 11バージョン24H2以降では、SMB接続時のネゴシエーションで使用可能なダイアレクト(SMBバージョン)の最小値と最大値を管理することができます。この設定はSMBサーバー(Lan Managerサーバー)とSMBクライアント(Lanman ワークステーション)の両方で設定することができ、「SMBの最小バージョンを義務付ける」「SMBの最大バージョンを義務付ける」ポリシーを使用して、それぞれ「SMB 2.0.2/SMB 2.1.0/SMB 3.0.0/SMB 3.0.2/3.1.1」に構成できます。Windows 11およびWindows Server 2019以降では、SMB 1.0(SMB 1.0/CIFSファイル共有のサポート)は既定でインストールされないようになりましたが、SMB 1.0をSMBダイアレクト管理で制御することはできません。 → 詳細情報(Microsoft Learn)
- すべての送信SMB接続に対してSMB署名が必須に ・・・ 「SMB署名(SMB Signature)」はこれまで、Active Directoryドメインコントローラー上のSYSVOLおよびNETLOGON共有への接続でのみ既定で要求されましたが、Windows Server 2025およびWindows 11バージョン24H2のSMBクライアントでは、すべての送信SMB接続でSMB署名が既定で必須(RequireSecuritySignature: True)になりました。 → 詳細情報(Microsoft Learn)
- リモートメールスロットプロトコルが既定で無効に ・・・ 「リモートメール(Remote Mailslot)」は、信頼性が低く安全性にも問題があるレガシなプロトコルであり、既に開発終了扱いになっています。Windows Server 2025およびWindows 11バージョン24H2のSMBクライアントでは、このプロトコルが既定で無効(EnableMailslots: False)になり利用できなくなりました。この既定値の変更はレガシなアプリケーションに影響する可能性があります。
- SMB圧縮(SMB Compression) ・・・ 従来の「XPRESS(LZ77)」「XPRESS Huffman(LZ77+Huffman)」「LZNT1」「PATTERN_V1」に加えて、業界標準の「LZ4」圧縮アルゴリズムのサポートが追加されています。
画面7 WAC(v2)の「ファイル&ファイル共有」の「ファイルサーバーの設定」では、SMB over QUIC以外の新機能の構成も可能
