QUIC এর মাধ্যমে SMB এর সাথে নিরাপদে ফাইল শেয়ার করুন

ঐতিহ্যবাহী VPN সেট আপ না করেই ইন্টারনেটে নিরাপদে ফাইল শেয়ার করুন এটি আর কোনও ভবিষ্যৎমুখী ধারণা নয়: QUIC-এর চেয়ে SMB-এর মাধ্যমে, এটি একটি সম্পূর্ণরূপে বাস্তবায়িত এবং সঠিকভাবে কনফিগার করা হলে, অত্যন্ত শক্তিশালী সমাধান। এই পদ্ধতিটি QUIC-এর সাথে পরীক্ষিত SMB প্রোটোকলকে একত্রিত করে, যা ইন্টারনেটের মতো কঠোর নেটওয়ার্কগুলির জন্য ডিজাইন করা একটি আধুনিক পরিবহন ব্যবস্থা, যা কার্যত একটি নিরবচ্ছিন্ন ব্যবহারকারীর অভিজ্ঞতা প্রদান করে।

নিম্নলিখিত লাইনগুলিতে আপনি দেখতে পাবেন QUIC-তে SMB কীভাবে কাজ করে, এটি চালু করার জন্য আপনার কী প্রয়োজন, এটি কীভাবে পরিচালিত হয় এবং এটি আপনার নিরাপত্তা কৌশলের সাথে কীভাবে খাপ খায়আমরা সাধারণ প্রশ্নগুলিও দেখব (যেমন এটি OneDrive কে প্রতিস্থাপন করতে পারে কিনা বা এটি ওয়ার্কগ্রুপে কাজ করে কিনা), সেইসাথে Windows Server 2025 এই প্রোটোকলে কী কী উন্নতি নিয়ে আসে।

QUIC-এর তুলনায় SMB কী এবং দূরবর্তী অ্যাক্সেসের জন্য এটি কেন গুরুত্বপূর্ণ?

QUIC-এর উপর SMB হল, বাস্তবে, ফাইল প্রোটোকলেই একীভূত একটি "SMB VPN"।TCP (পোর্ট 445) এর মাধ্যমে SMB পরিবহনের পরিবর্তে, এটি UDP 443 ব্যবহার করে QUIC-এর মধ্যে যোগাযোগকে এনক্যাপসুলেট করে, যা HTTPS দ্বারা ব্যবহৃত একই পোর্ট, ক্লায়েন্ট এবং ফাইল সার্ভারের মধ্যে TLS 1.3 সহ একটি এনক্রিপ্টেড টানেল তৈরি করে।

QUIC হল একটি IETF স্ট্যান্ডার্ড যা TCP এর তুলনায় বেশ কিছু স্পষ্ট সুবিধা প্রদান করেসমস্ত প্যাকেট সর্বদা এনক্রিপ্ট করা থাকে, হ্যান্ডশেক TLS 1.3 দিয়ে প্রমাণিত হয়, এটি নির্ভরযোগ্য এবং অবিশ্বস্ত সমান্তরাল প্রবাহের অনুমতি দেয়, এটি প্রথম রাউন্ড ট্রিপে অ্যাপ্লিকেশন ডেটা পাঠাতে পারে (0-RTT), এবং এটি কনজেশন নিয়ন্ত্রণ এবং ক্ষতি পুনরুদ্ধার উন্নত করে, এমনকি ক্লায়েন্ট আইপি বা পোর্ট পরিবর্তনগুলিও টিকে থাকে (সাধারণত পৌৈপূাৌপূাৈূহ অথবা Wi-Fi থেকে 4G তে পরিবর্তন সহ)।

ব্যবহারকারীর দৃষ্টিকোণ থেকে, SMB সর্বদা যেমন আচরণ করে চলেছে।UNC পাথের মাধ্যমে ভাগ করা সম্পদে অ্যাক্সেস, ফাইল এক্সপ্লোরার ব্যবহার, NET USE বা New-SmbMapping সহ স্ক্রিপ্ট ইত্যাদি। মাল্টি-চ্যানেল, সাইনিং, কম্প্রেশন, ক্রমাগত উপলব্ধতা বা ডিরেক্টরি লিজিংয়ের মতো উন্নত ফাংশনগুলি ব্যবহারকারীর নজরে না পড়েই QUIC টানেলের মধ্যে কাজ করে।

মূল কথা হলো সমস্ত SMB ট্র্যাফিক (প্রমাণীকরণ এবং অনুমোদন সহ) এটি TLS 1.3 টানেলের মধ্যে ভ্রমণ করে এবং কখনও ইন্টারমিডিয়েট নেটওয়ার্কের কাছে স্পষ্টভাবে উন্মুক্ত হয় না। এটি QUIC-এর মাধ্যমে SMB-কে দূরবর্তী কর্মীদের জন্য একটি অত্যন্ত আকর্ষণীয় বিকল্প করে তোলে। মোবাইল ডিভাইস এবং যেসব প্রতিষ্ঠান ঐতিহ্যবাহী ভিপিএন-এর উপর নির্ভরতা কমাতে চায়।

QUIC এর উপর SMB ব্যবহারের পূর্বশর্ত

উইন্ডোজ অ্যাডমিন সেন্টারে "কনফিগার" বোতামে ক্লিক করার আগেসার্ভার এবং ক্লায়েন্ট উভয় পক্ষের জন্যই বেশ কিছু প্রয়োজনীয়তা পূরণ করতে হবে। যদি এর মধ্যে কোনটি ব্যর্থ হয়, তাহলে অভিজ্ঞতা হতাশাজনক হবে।

সামঞ্জস্যপূর্ণ SMB সার্ভার

আপনার উইন্ডোজের একটি সামঞ্জস্যপূর্ণ সংস্করণে চলমান একটি SMB সার্ভার প্রয়োজন।সাধারণত Windows Server 2022 Datacenter: Azure Edition (বিশেষ করে Azure Stack HCI বা Azure Local পরিবেশে) অথবা Windows Server 2025 এর মতো পরবর্তী সংস্করণগুলিতে, যেখানে QUIC-তে SMB আরও বেশি সমন্বিত এবং নতুন ক্ষমতাসম্পন্ন।

সামঞ্জস্যপূর্ণ উইন্ডোজ ক্লায়েন্ট

গ্রাহকের দিক থেকে, আজকের মূল উপাদান হল উইন্ডোজ 11 (ব্যবসা-ভিত্তিক সংস্করণ)যা QUIC-এর জন্য সমর্থন সহ SMB ক্লায়েন্টকে অন্তর্ভুক্ত করে। থেকে শুরু করে উইন্ডোজ 11 24 এইচ 2 উন্নতির মধ্যে রয়েছে ইভেন্ট ভিউয়ারে QUIC-এর মাধ্যমে SMB সংযোগের উন্নত অডিটিং।

অ্যাক্টিভ ডিরেক্টরি বা ওয়ার্কগ্রুপের সাথে ইন্টিগ্রেশন

মাইক্রোসফট অ্যাক্টিভ ডিরেক্টরি ডোমেনের সাথে QUIC এর পরিবর্তে SMB ব্যবহার করার পরামর্শ দেয়SMB সার্ভার এবং ক্লায়েন্টকে একই ডোমেইন অথবা বিশ্বস্ত ডোমেইনগুলিতে সংযুক্ত করতে হবে। প্রমাণীকরণের জন্য সার্ভারটিকে কমপক্ষে একটি ডোমেইন নিয়ন্ত্রকের সাথে যোগাযোগ করতে সক্ষম হতে হবে, যদিও সেই ডোমেইন নিয়ন্ত্রককে ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে হবে এমন কোন প্রয়োজন নেই।

তবে, ডোমেইন থাকা বাধ্যতামূলক নয়।আপনি স্থানীয় এবং NTLM অ্যাকাউন্ট ব্যবহার করে ওয়ার্কগ্রুপ পরিবেশে QUIC-তে SMB সেট আপ করতে পারেন, অথবা এমনকি Microsoft Entra (পূর্বে Azure AD) এর সাথে যুক্ত IaaS সার্ভারেও কিছু সতর্কতা অবলম্বন করতে পারেন: পরবর্তীটি দূরবর্তী নিরাপত্তা ক্রিয়াকলাপের জন্য Entra শংসাপত্র ব্যবহার করতে পারে না কারণ Entra ID ব্যবহারকারী বা গ্রুপ SID পরিচালনা করে না, তাই বাস্তবে আপনাকে ভাগ করা সংস্থান অ্যাক্সেস করার জন্য স্থানীয় বা ক্লাসিক ডোমেন অ্যাকাউন্ট ব্যবহার করতে হবে।

পোর্ট এবং ফায়ারওয়াল

সবচেয়ে গুরুত্বপূর্ণ বিষয়গুলির মধ্যে একটি হল নেটওয়ার্ক কনফিগারেশনসার্ভারটিকে অবশ্যই তার পাবলিক ইন্টারফেসে ক্লায়েন্টদের কাছে একটি ফায়ারওয়াল নিয়মের মাধ্যমে অ্যাক্সেসযোগ্য হতে হবে যা ইনকামিং UDP/443 ট্র্যাফিকের অনুমতি দেয়। ইন্টারনেটে TCP/445 পোর্ট না খোলা গুরুত্বপূর্ণ: 445 এর মাধ্যমে ক্লাসিক SMB অ্যাক্সেস অবশ্যই ঘেরে ব্লক করা উচিত।

যদি আপনার ডিফল্ট পোর্ট পরিবর্তন করার প্রয়োজন হয় (অভ্যন্তরীণ নীতি বা অন্যান্য পরিষেবার সাথে দ্বন্দ্বের কারণে), SMB-এর জন্য বিকল্প পোর্ট কনফিগার করা যেতে পারে, তবে QUIC-এর জন্য স্বাভাবিক এবং প্রস্তাবিত অনুশীলন হল UDP 443 বজায় রাখা, কারণ এটি সাধারণ ফায়ারওয়াল এবং প্রক্সিগুলিকে অতিক্রম করতে সহায়তা করে।

উইন্ডোজ অ্যাডমিন সেন্টার এবং পিকেআই

প্রশাসনের সুবিধার্থে, উইন্ডোজ অ্যাডমিন সেন্টার (WAC) ব্যবহার করার পরামর্শ দেওয়া হচ্ছে। এর সর্বশেষ সংস্করণে, এটি QUIC-এর মাধ্যমে SMB সক্ষম এবং পরিচালনা করার জন্য নির্দিষ্ট উইজার্ড অন্তর্ভুক্ত করে। যাইহোক, কিছু ব্যবহারকারী যেমন উল্লেখ করেছেন, যদি "কনফিগার" বোতামটি প্রতিক্রিয়াশীল না হয়, তবে এটি প্রায় সর্বদা একটি চিহ্ন যে একটি পূর্বশর্ত অনুপস্থিত (ভূমিকা ইনস্টল না করা, অপর্যাপ্ত অনুমতি, পুরানো WAC, সমস্যাযুক্ত ব্রাউজার, ইত্যাদি)।

WAC ছাড়াও, আপনার একটি পাবলিক কী অবকাঠামো (PKI) প্রয়োজন। একটি অ্যাক্টিভ ডিরেক্টরি সার্টিফিকেট সার্ভিসেস CA অথবা একটি বিশ্বস্ত পাবলিক CA যেমন Digicert, Let's Encrypt, ইত্যাদি থেকে উপযুক্ত সার্ভার সার্টিফিকেট ইস্যু করতে সক্ষম। সঠিক সার্টিফিকেট ছাড়া, QUIC টানেল স্থাপন করবে না।

QUIC-তে SMB সার্টিফিকেট এবং মৌলিক কনফিগারেশন

QUIC-এর উপর SMB-এর মূল কেন্দ্রবিন্দু হল সার্ভার সার্টিফিকেটএটি ছাড়া, কোনও TLS 1.3 টানেল বা এন্ডপয়েন্ট প্রমাণীকরণ সম্ভব নয়, তাই এটিই প্রথম জিনিস যা সঠিকভাবে সুরক্ষিত করা প্রয়োজন।

সার্ভার সার্টিফিকেট বৈশিষ্ট্য

QUIC-এর জন্য আপনি যে সার্ভার সার্টিফিকেট ব্যবহার করবেন তা অবশ্যই বেশ কিছু প্রযুক্তিগত প্রয়োজনীয়তা পূরণ করবে।:

• কী ব্যবহার: ডিজিটাল স্বাক্ষর।
• উদ্দেশ্য (EKU): সার্ভার প্রমাণীকরণ (OID 1.3.6.1.5.5.7.3.1)।
• স্বাক্ষর অ্যালগরিদম: SHA256RSA বা উচ্চতর, SHA256 হ্যাশ বা উচ্চতর সহ।
• Clave Pubblica: ECDSA_P256 বা তার বেশি হলে ভালো হয়; সর্বনিম্ন 2048 বিট সহ RSAও সমর্থিত।
• বিষয় বিকল্প নাম (SAN): ক্লায়েন্টরা SMB সার্ভার অ্যাক্সেস করার জন্য যে সমস্ত FQDN ব্যবহার করবে তার জন্য DNS এন্ট্রি অন্তর্ভুক্ত করতে হবে।
• বিষয় (CN)এটি "প্রায়" আপনি যা চান তা হতে পারে, তবে এটি অবশ্যই বিদ্যমান থাকতে হবে এবং ভাল ইস্যু অনুশীলন অনুসরণ করতে হবে।
• ব্যক্তিগত কী অন্তর্ভুক্ত: অবশ্যই হ্যাঁ, সার্ভার কম্পিউটারে সংরক্ষিত।

যদি আপনি একটি Microsoft Enterprise CA এর সাথে কাজ করেনসবচেয়ে সহজ উপায় হল QUIC-এর মাধ্যমে SMB-এর জন্য বিশেষভাবে একটি সার্টিফিকেট টেমপ্লেট তৈরি করা। ফাইল সার্ভার অ্যাডমিনিস্ট্রেটর তখন উপযুক্ত DNS নাম উল্লেখ করে সার্টিফিকেটের জন্য অনুরোধ করতে পারেন। PKI ডিজাইন এবং বাস্তবায়নের উপর মাইক্রোসফটের ডকুমেন্টেশন টেমপ্লেট প্রক্রিয়াটি বিস্তারিতভাবে ব্যাখ্যা করে।

সার্ভার থেকে সার্টিফিকেটের অনুরোধ করা হচ্ছে

অ্যাক্টিভ ডিরেক্টরি CA সহ একটি পরিবেশেসাধারণ প্রবাহটি হবে:

1. ফাইল সার্ভারে MMC চালু করুন এবং কম্পিউটার অ্যাকাউন্টের জন্য সার্টিফিকেট স্ন্যাপ-ইন যোগ করুন।
2. সার্টিফিকেট (স্থানীয় কম্পিউটার) > ব্যক্তিগত > সার্টিফিকেট-এ নেভিগেট করুন এবং "নতুন সার্টিফিকেটের অনুরোধ করুন" নির্বাচন করুন।
3. অ্যাক্টিভ ডিরেক্টরি তালিকাভুক্তি নীতি নির্বাচন করুন এবং টেমপ্লেটের তালিকায় না পৌঁছানো পর্যন্ত পরবর্তী ক্লিক করুন।
4. QUIC-তে SMB-এর জন্য তৈরি টেমপ্লেটটি চিহ্নিত করুন।
5. সাবজেক্টে একটি সাধারণ নাম পূরণ করুন যা ব্যবহারকারীদের সার্ভার সনাক্ত করতে এবং SAN-তে ব্যবহৃত সমস্ত DNS নাম যোগ করতে কার্যকর হবে।
6. নিশ্চিত করুন এবং নিবন্ধন সম্পূর্ণ করুন যাতে শংসাপত্রটি সরঞ্জাম গুদামে ইনস্টল করা হয়।

যদি আপনি একটি তৃতীয় পক্ষের পাবলিক CA ব্যবহার করেনএই প্রক্রিয়াটি সার্ভার থেকে একটি CSR তৈরি করার এবং উপযুক্ত EKU, SAN এবং অ্যালগরিদম সহ একটি শংসাপত্র ইস্যু করার জন্য নির্দিষ্ট প্রদানকারীর নির্দেশিকা অনুসরণ করার উপর ভিত্তি করে।

সার্ভারে QUIC এর মাধ্যমে SMB সক্ষম করুন

একবার আপনার সার্টিফিকেট হয়ে গেলে, QUIC-তে SMB সক্রিয় করার সময় এসেছে।সার্ভারটি ডিফল্টরূপে এটি সক্ষম করে না এবং স্পষ্ট নিরাপত্তার কারণে ক্লায়েন্টরা একতরফাভাবে এটি "জোর" করতে পারে না।

উইন্ডোজ অ্যাডমিন সেন্টারের মাধ্যমে কনফিগারেশন করা যেতে পারে অথবা শক্তির উৎসWAC-তে, আপনার কাছে একটি উইজার্ড থাকবে যা আপনাকে সার্টিফিকেট নির্বাচন করতে এবং QUIC সক্রিয় করতে বলবে। PowerShell-এ, প্রক্রিয়াটিতে QUIC-এর মাধ্যমে SMB সার্ভার সার্টিফিকেট ম্যাপিং cmdlets ব্যবহার করা হয় (New-SmbServerCertificateMapping এবং Set-SmbServerCertificateMapping, পরিস্থিতির উপর নির্ভর করে)।

গ্রাহক ট্র্যাফিক সম্পর্কেউইন্ডোজ সাধারণত প্রথমে TCP এর উপর SMB ব্যবহার করার চেষ্টা চালিয়ে যাবে। TCP প্রচেষ্টা ব্যর্থ হলে অথবা আপনি যদি স্পষ্টভাবে QUIC ব্যবহার করতে বলেন তবেই এটি QUIC ব্যবহার করার চেষ্টা করবে। comandos যেমন:

• NET USE /TRANSPORT:QUIC
• New-SmbMapping -TransportType QUIC

QUIC এর মাধ্যমে ক্লায়েন্টদের শেয়ার্ড SMB রিসোর্সের সাথে সংযুক্ত করা

ব্যবহারকারীদের দৃষ্টিকোণ থেকে, QUIC-এর মাধ্যমে SMB রিসোর্স অ্যাক্সেস করা প্রায় ঐতিহ্যবাহী অ্যাক্সেসের মতোই।পার্থক্য হল এখন এই ট্র্যাফিক QUIC/TLS 1.3 টানেলের মধ্যে সুরক্ষিত এবং পোর্ট 445 প্রকাশ না করেই ইন্টারনেটের মাধ্যমে ভ্রমণ করে।

ক্লায়েন্ট এবং নাম রেজোলিউশন প্রস্তুত করুন

যদি ক্লায়েন্টটি একটি ডোমেনের অন্তর্গত হয়স্বাভাবিক পদ্ধতি হল উইন্ডোজ ডিভাইসটিকে সংশ্লিষ্ট ডোমেনের সাথে সংযুক্ত করা এবং নিশ্চিত করা যে UNC পাথে ব্যবহৃত সার্ভারের নামগুলি DNS-এ প্রকাশিত হয়েছে এবং ফাইল সার্ভার সার্টিফিকেটের SAN-এর সাথে মিলেছে।

যেসব পরিস্থিতিতে DNS সেই নামগুলি সমাধান করে নাআপনি ক্লায়েন্টের HOSTS ফাইল ব্যবহার করে সার্ভারের FQDN কে তার পাবলিক IP ঠিকানায় ম্যাপ করতে পারেন। গুরুত্বপূর্ণ বিষয় হল ব্যবহারকারী UNC পাথে যে নামটি প্রবেশ করান তা সার্ভার সার্টিফিকেটে অন্তর্ভুক্ত নামগুলির মধ্যে একটি।

বহিরাগত নেটওয়ার্ক থেকে সংযোগ স্থাপন

সাধারণ ব্যবহারের ক্ষেত্রে দেখা যায় যে ক্লায়েন্ট কর্পোরেট নেটওয়ার্কের বাইরে থাকে।অভ্যন্তরীণ ডোমেন কন্ট্রোলার বা ফাইল সার্ভারের ব্যক্তিগত আইপিগুলিতে সরাসরি অ্যাক্সেস ছাড়াই। এখানেই QUIC জ্বলজ্বল করে: অতিরিক্ত VPN এর প্রয়োজন ছাড়াই UDP 443 ব্যবহার করে ইন্টারনেটের মাধ্যমে টানেলটি স্থাপন করা হয়।

ব্যবহারকারীর জন্য, অ্যাক্সেস কেবল ফাইল এক্সপ্লোরার থেকে করা যেতে পারেভাগ করা রিসোর্সে UNC পাথ লিখে (উদাহরণস্বরূপ, \\fsedge1.contoso.com\sales)। বিকল্পভাবে, আপনি ব্যবহার করতে পারেন:

• NET USE * \\fsedge1.contoso.com\ventas (TCP চেষ্টা করে এবং তারপর TCP ব্যর্থ হলে স্বয়ংক্রিয়ভাবে QUIC করে)।
• NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC (দ্রুত বল)।
• New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC (পাওয়ারশেলের মাধ্যমে)।

জোর করে QUIC করার সময় যদি সংযোগ ব্যর্থ হয়এটি সাধারণত একটি লক্ষণ যে টানেলটি স্থাপনের চেষ্টা করা হচ্ছে কিন্তু ফায়ারওয়াল, সার্টিফিকেট বা ম্যাপিং কনফিগারেশনে কিছু সঠিকভাবে সেট আপ করা হয়নি।

প্রমাণীকরণ: NTLMv2, Kerberos, এবং KDC প্রক্সি

ডিফল্টরূপে, যখন ক্লায়েন্ট ইন্টারনেট থেকে QUIC এর মাধ্যমে একটি SMB ফাইল সার্ভারের সাথে সংযোগ করেএতে অভ্যন্তরীণ ডোমেন কন্ট্রোলারগুলির সরাসরি দৃশ্যমানতা নেই। সেই প্রসঙ্গে, প্রমাণীকরণ NTLMv2-এ পড়ে, যেখানে সার্ভার ব্যবহারকারীর পক্ষে প্রমাণীকরণ করে, তবে সর্বদা TLS 1.3 টানেলের মধ্যে (QUIC-এর বাইরে কোনও শংসাপত্র প্রকাশ করা হয় না)।

যদিও টানেলের মধ্যে NTLMv2 গ্রহণযোগ্য, মাইক্রোসফ্ট যখনই সম্ভব Kerberos বজায় রাখার পরামর্শ দেয়।কারণ এটি আরও শক্তিশালী নিরাপত্তা মডেল প্রদান করে এবং NTLM-এর উপর দীর্ঘমেয়াদী নির্ভরতা এড়ায়।

ইন্টারনেটের মাধ্যমে Kerberos সক্ষম করার জন্য KDC প্রক্সি

ডোমেইন কন্ট্রোলারগুলিকে সরাসরি ইন্টারনেটে প্রকাশ না করেই Kerberos ব্যবহার চালিয়ে যেতেআপনি KDC প্রক্সি কনফিগার করতে পারেন। এই পরিষেবাটি HTTPS (TCP পোর্ট 443) এর মাধ্যমে Kerberos টিকিটের অনুরোধ গ্রহণ করে, সেগুলিকে অভ্যন্তরীণ DC-তে ফরোয়ার্ড করে এবং ক্লায়েন্টকে সাড়া দেয়, সবকিছুই বহিরাগত নেটওয়ার্কের মাধ্যমে প্লেইন টেক্সটে শংসাপত্র বিনিময় না করেই।

সেটআপটিতে ফাইল সার্ভারে বেশ কয়েকটি ধাপ অন্তর্ভুক্ত রয়েছে:

1. NETSH-এর সাথে প্রক্সির জন্য একটি লিসেনিং URL নিবন্ধন করুন, সাধারণত https://+:443/KdcProxy, "NT AUTHORITY\Network Service" অ্যাকাউন্ট সহ।
2. HTTPS প্রমাণীকরণ সামঞ্জস্য করতে এবং প্রয়োজনীয় পরিস্থিতি সক্ষম করতে নির্দিষ্ট KPSSVC পরিষেবা (KDC প্রক্সি) রেজিস্ট্রি কী কনফিগার করুন।
3. উপযুক্ত সার্টিফিকেটটি পোর্ট 443 এর সাথে লিঙ্ক করুন Add-NetIPHttpsCertBinding, QUIC-তে SMB সার্টিফিকেট ফিঙ্গারপ্রিন্ট ব্যবহার করে।
4. অ্যাক্টিভ ডিরেক্টরিতে SPN হিসেবে সার্ভারের QUIC-এর উপরে SMB নাম যোগ করুন (উদাহরণস্বরূপ, NETDOM computername).
5. স্বয়ংক্রিয় স্টার্টআপের জন্য kpssvc পরিষেবাটি কনফিগার করুন এবং এটি শুরু করুন।

ক্লায়েন্টের পক্ষ থেকে, গ্রুপ নীতি ব্যবহার করা হয়। Kerberos ক্লায়েন্টদের জন্য KDC প্রক্সি সার্ভার নির্দিষ্ট করতে, AD ডোমেন (যেমন, corp.contoso.com) কে প্রক্সির বহিরাগত URL এর সাথে সংযুক্ত করা (যেমন কিছু) https fsedge1.contoso.com:443:kdcproxy /).

অতএব, যখন corp.contoso.com থেকে একজন ব্যবহারকারী fsedge1.contoso.com অ্যাক্সেস করার চেষ্টা করেনক্লায়েন্টকে Kerberos টিকিট পেতে সেই প্রক্সির সাথে যোগাযোগ করতে হবে, অভ্যন্তরীণ DC-দের সাথে সরাসরি কথা বলার প্রয়োজন হবে না।

সার্টিফিকেটের মেয়াদ শেষ এবং নবায়ন

বাস্তবে সবচেয়ে উপেক্ষিত বিষয়গুলির মধ্যে একটি হল সার্টিফিকেটের জীবনচক্রের ব্যবস্থাপনা।যখন QUIC-তে SMB সার্টিফিকেটের মেয়াদ শেষ হয়ে যায় এবং একটি নতুন জারি করা হয়, তখন ডিজিটাল ফিঙ্গারপ্রিন্ট পরিবর্তিত হয়, এমনকি যদি এটি একই CA দ্বারা স্বয়ংক্রিয়ভাবে পুনর্নবীকরণ করা হয়।

এর মানে হল QUIC-তে SMB কনফিগারেশন আপডেট করা প্রয়োজন। নতুন সার্টিফিকেট সংযুক্ত করতে। আপনি উইন্ডোজ অ্যাডমিন সেন্টার থেকে বিদ্যমান সেটিংসে নতুন সার্টিফিকেট নির্বাচন করে, অথবা PowerShell এর মাধ্যমে এটি করতে পারেন Set-SMBServerCertificateMapping নতুন পদচিহ্নের লক্ষ্যে।

অপ্রত্যাশিত মেয়াদ শেষ হওয়ার কারণে পরিষেবা ব্যাহত হওয়া এড়াতেমাইক্রোসফট উইন্ডোজ সার্ভারের জন্য Azure Automanage এর মতো টুল ব্যবহার করার পরামর্শ দেয়, যা সার্টিফিকেট পুনর্নবীকরণ এবং অন্যান্য রক্ষণাবেক্ষণের কাজগুলি নিরীক্ষণ এবং স্বয়ংক্রিয় করতে সহায়তা করে।

সার্টিফিকেট সহ গ্রাহক অ্যাক্সেস নিয়ন্ত্রণ

এনক্রিপ্ট করা টানেলিং এবং ব্যবহারকারী প্রমাণীকরণের পাশাপাশি, QUIC-এর মাধ্যমে SMB ক্লায়েন্ট সার্টিফিকেটের উপর ভিত্তি করে অতিরিক্ত অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করতে পারে।এটি নিরাপত্তার একটি অতিরিক্ত স্তর যা আপনাকে স্পষ্টভাবে সংজ্ঞায়িত করতে দেয় যে কোন ডিভাইসগুলি সার্ভারের সাথে QUIC সংযোগ স্থাপন করতে পারে।

গ্রাহক অ্যাক্সেস নিয়ন্ত্রণ কীভাবে কাজ করে

সার্ভার সার্টিফিকেটের একটি অ্যাক্সেস নিয়ন্ত্রণ তালিকা বজায় রাখে (অনুমতি দিন এবং তালিকা ব্লক করুন) এবং, যখন কোনও ক্লায়েন্ট সংযোগ করার চেষ্টা করে, তখন এটি প্রথমে সেই ক্লায়েন্টের সার্টিফিকেট চেইন যাচাই করে। সার্ভারটি পরীক্ষা করে:

• নিশ্চিত করুন যে সার্টিফিকেট চেইনটি বৈধ এবং আপনার বিশ্বস্ত CA দ্বারা জারি করা হয়েছে।
• প্রবেশাধিকার নিয়ন্ত্রণ তালিকায় সার্টিফিকেট বা তার ইস্যুকারী উপস্থিত (অনুমোদিত বা অস্বীকৃত)।

ক্লায়েন্ট সার্টিফিকেট SAN এর সাথে ব্যবহার করা যেতে পারেসার্ভারের মতো, লিফ সার্টিফিকেটের জন্য অথবা চেইনের কোনও ইস্যুকারীর জন্য পারমিট বা ব্লক এন্ট্রি আছে কিনা তা মূল্যায়ন করে অ্যাক্সেসের সিদ্ধান্ত নেওয়া হয়। চেইনের একটি একক অস্বীকার এন্ট্রি পারমিট এন্ট্রির চেয়ে প্রাধান্য পায়।

এটি নমনীয় পরিস্থিতির জন্য অনুমতি দেয়আপনি একটি নির্দিষ্ট CA দ্বারা ইস্যু করা সমস্ত সার্টিফিকেটকে অনুমতি দিতে পারেন, কিন্তু কিছু নির্দিষ্ট ডিভাইসের হ্যাশগুলিকে ব্লক হিসাবে যুক্ত করে অস্বীকার করতে পারেন, অথবা বিপরীতভাবে, খুব নিয়ন্ত্রিত ব্যতিক্রম ছাড়া সম্পূর্ণ CA ব্লক করতে পারেন।

গ্রাহক অ্যাক্সেস নিয়ন্ত্রণের জন্য প্রয়োজনীয়তা

সার্ভারে আপনার উইন্ডোজ সার্ভার ২০২২ ডেটাসেন্টার: অ্যাজুরে সংস্করণ প্রয়োজন যার KB5035857 আপডেট মার্চ ২০২৪ থেকে আসবে। (এবং, প্রিভিউতে থাকা কিছু বৈশিষ্ট্যের জন্য, ফিচার প্রিভিউ প্যাকেজ 240302_030531) অথবা পরবর্তী সংস্করণ যেমন Windows Server 2025। এছাড়াও, স্পষ্টতই, QUIC-এর মাধ্যমে SMB ইতিমধ্যেই সক্ষম থাকতে হবে।

ক্লায়েন্টের পক্ষ থেকে, SMBআপনার অবশ্যই একটি সমর্থিত অপারেটিং সিস্টেম এবং ক্লায়েন্ট প্রমাণীকরণ EKU (OID 1.3.6.1.5.5.7.3.2) সহ একটি ক্লায়েন্ট সার্টিফিকেট থাকতে হবে, যা সার্ভার দ্বারা বিশ্বস্ত CA দ্বারা জারি করা হবে এবং কম্পিউটারের সার্টিফিকেট স্টোরে ইনস্টল করা হবে।

সার্টিফিকেট বরাদ্দ করুন এবং অ্যাক্সেস দিন

সাধারণ প্রক্রিয়াটি ক্লায়েন্টের সার্টিফিকেটের আঙুলের ছাপ পাওয়ার মাধ্যমে শুরু হয়।:

1. PowerShell ব্যবহার করে Cert:\LocalMachine\My-তে সার্টিফিকেট তালিকাভুক্ত করুন।
2. আপনার আগ্রহের বিষয় অনুসারে ফিল্টার করুন এবং এটি একটি ভেরিয়েবলে সংরক্ষণ করুন।
3. আপনার SHA256 হ্যাশটি পান $clientCert.GetCertHashString("SHA256").

তারপর SMB ক্লায়েন্ট সার্টিফিকেট ম্যাপিং তৈরি করা হয় বিরূদ্ধে New-SmbClientCertificateMappingনেমস্পেস (সার্ভার FQDN) এবং সংশ্লিষ্ট ফিঙ্গারপ্রিন্ট নির্দিষ্ট করে। সেই মুহূর্ত থেকে, ক্লায়েন্ট সেই নেমস্পেসের সাথে মেলে এমন সার্ভারের সাথে সংযোগ করার সময় সেই সার্টিফিকেটটি ব্যবহার করবে।

সার্ভারে, ক্লায়েন্ট প্রমাণীকরণ প্রয়োজন। বিরূদ্ধে Set-SmbServerCertificateMapping -RequireClientAuthentication $trueসেখান থেকে, নির্দিষ্ট ক্লায়েন্টদের অনুমতি দেওয়া হয় Grant-SmbClientAccessToServer অথবা তাদের ব্লক করা হবে Block-SmbClientAccessToServer, শনাক্তকারী হিসেবে সার্টিফিকেট পাতার SHA256 হ্যাশ অথবা ইস্যুকারীর বিষয় ব্যবহার করা।

QUIC-তে SMB-এর জন্য অডিট এবং ইভেন্ট লগ

গুরুতর পরিবেশে, দৃশ্যমানতা নিরাপত্তার মতোই গুরুত্বপূর্ণ।QUIC-এর মাধ্যমে SMB ক্লায়েন্ট এবং সার্ভার উভয় দিকেই অডিটিং ক্ষমতা অন্তর্ভুক্ত করে যা সমস্যা নির্ণয় এবং অ্যাক্সেস ট্র্যাক করতে সহায়তা করে।

Windows 11 24H2 বা তার পরবর্তী ভার্সন চলমান ক্লায়েন্টদের ক্ষেত্রেইভেন্ট ভিউয়ার QUIC সম্পর্কে SMB সংযোগের তথ্য Application and Services Logs\Microsoft\Windows\SMBClient\Connectivity পাথে রেকর্ড করে, যেখানে, উদাহরণস্বরূপ, ইভেন্ট 30832 QUIC সংযোগের বিশদ প্রতিফলিত করে।

সার্ভারে, আপনি ক্লায়েন্ট সার্টিফিকেট দ্বারা অ্যাক্সেসের অডিটিং সক্ষম করতে পারেন বিরূদ্ধে Set-SmbServerConfiguration -AuditClientCertificateAccess $trueপ্রাসঙ্গিক ঘটনাগুলি এখানে লিপিবদ্ধ করা হয়েছে:

• সার্ভার সাইডের জন্য SMBServer\Audit (ইভেন্ট 3007, 3008 এবং 3009)।
• ক্লায়েন্টের দৃষ্টিকোণ থেকে সংযোগগুলিকে পারস্পরিক সম্পর্কযুক্ত করার জন্য SMBClient\Connectivity (ইভেন্ট 30831)।

এই ইভেন্টগুলিতে ক্লায়েন্ট সার্টিফিকেট সম্পর্কিত ডেটা অন্তর্ভুক্ত রয়েছে (রুট ব্যতীত) যেমন বিষয়, প্রেরক, সিরিয়াল নম্বর, SHA1/SHA256 হ্যাশ এবং প্রতিটি অনুরোধে কোন অ্যাক্সেস নিয়ন্ত্রণ এন্ট্রি প্রয়োগ করা হয়েছিল, সেইসাথে একটি সংযোগ শনাক্তকারী যা ক্লায়েন্ট এবং সার্ভারের মধ্যে ক্রস-রেফারেন্সিং তথ্য সহজতর করে।

SMB-এর চারপাশে নেটওয়ার্ক নিরাপত্তা: বিভাজন এবং ফায়ারওয়াল

QUIC-এর উপর SMB কোনও শূন্যস্থানে বিদ্যমান নয়; এটি একটি বৃহত্তর নেটওয়ার্ক সুরক্ষা কৌশলের অংশ।মাইক্রোসফট পার্শ্বীয় নড়াচড়া এবং অপ্রয়োজনীয় এক্সপোজার কমাতে এই এনক্রিপ্টেড টানেলটিকে সেগমেন্টেশন এবং আইসোলেশন কৌশলের সাথে পরিপূরক করার পরামর্শ দিচ্ছে।

সাধারণ নিয়ম হিসাবে, TCP পোর্ট 445 ইন্টারনেটে আসা এবং আসা বন্ধ রাখা উচিত।এটি ইনবাউন্ড এবং আউটবাউন্ড উভয় ট্র্যাফিকের ক্ষেত্রেই প্রযোজ্য, Azure Files বা অন্যান্য নিয়ন্ত্রিত ক্লাউড পরিষেবার মতো নির্দিষ্ট ক্ষেত্রে ছাড়া। যখন পাবলিক ক্লাউডে SMB প্রয়োজন হয়, তখন আক্রমণের পৃষ্ঠ কমাতে এটিকে VPN-এ এনক্যাপসুলেট করার বা QUIC-এর মাধ্যমে সরাসরি SMB ব্যবহার করার পরামর্শ দেওয়া হয়।

অভ্যন্তরীণ নেটওয়ার্কে, SMB ট্র্যাফিকের তালিকা তৈরি করা সার্থক। (কে কার সাথে কথা বলছে, কোন রিসোর্স ব্যবহার করা হচ্ছে, কোন সার্ভারগুলি সত্যিকার অর্থে প্রয়োজনীয় শেয়ার্ড রিসোর্সগুলি প্রকাশ করছে)। পাওয়ারশেল মডিউল (উদাহরণস্বরূপ, গেট-ফাইলশেয়ারইনফো) এবং শেয়ার অ্যাক্সেস অডিটিং এর মতো সরঞ্জামগুলি কী ব্যবহার করা হচ্ছে এবং কী ব্যবহার করা হচ্ছে না তা জানতে সহায়তা করে।

ফায়ারওয়াল উইন্ডোজ ডিফেন্ডার উন্নত নিরাপত্তা আরেকটি গুরুত্বপূর্ণ উপাদানআপনি ইনবাউন্ড এবং আউটবাউন্ড নিয়ম তৈরি করতে পারেন যা বিশ্বব্যাপী SMB ব্লক করে এবং "সুরক্ষিত থাকলে সংযোগের অনুমতি দিন" অ্যাকশন ব্যবহার করে IPsec বা Kerberos প্রমাণীকরণের উপর ভিত্তি করে নাল এনক্যাপসুলেশন সহ অ্যালাউলিস্ট সংজ্ঞায়িত করতে পারে, যা শুধুমাত্র অনুমোদিত ডোমেন কন্ট্রোলার এবং ফাইল সার্ভারগুলিকে অনুমতি দেয়।

উইন্ডোজের সাম্প্রতিক সংস্করণগুলিতে (উইন্ডোজ ১১ ২৪এইচ২ এবং উইন্ডোজ সার্ভার ২০২৫)বিল্ট-ইন ফায়ারওয়াল নিয়মগুলি আর শেয়ার্ড রিসোর্স তৈরি করার সময় NetBIOS পোর্ট 137-139 স্বয়ংক্রিয়ভাবে খুলবে না, যা ডিফল্ট নিরাপত্তা জোরদার করবে। যদি কাউকে SMB1 বজায় রাখার প্রয়োজন হয় (চরম লিগ্যাসি ক্ষেত্রে ছাড়া সুপারিশ করা হয় না), তাহলে তাদের এই পোর্টগুলি ম্যানুয়ালি খুলতে হবে।

ব্যবহারের ধরণ, প্রায়শই জিজ্ঞাসিত প্রশ্ন এবং OneDrive/SharePoint এর সাথে সম্পর্ক

সবচেয়ে সাধারণ বিতর্কগুলির মধ্যে একটি হল QUIC-তে SMB কি OneDrive-এর মতো সমাধানগুলিকে প্রতিস্থাপন করতে পারে নাকি শেয়ার পয়েন্টসংক্ষিপ্ত উত্তর হল, এগুলি একই উদ্দেশ্যে ডিজাইন করা হয়নি, যদিও কিছু ওভারল্যাপ রয়েছে।

QUIC-এর মাধ্যমে SMB শেয়ার্ড সার্ভার রিসোর্সে সরাসরি দূরবর্তী অ্যাক্সেস প্রদান করেএকই ফোল্ডার কাঠামো, অনুমতি সহ এনটিএফএস এবং আপনার স্থানীয় নেটওয়ার্কে ইতিমধ্যেই থাকা কর্মপ্রবাহ। এটি এমন ব্যবহারকারী এবং অ্যাপ্লিকেশনগুলির জন্য আদর্শ যারা UNC পাথ, ফাইল লক, ক্রমাগত ডেটা প্রবাহ, অথবা ক্লাসিক ফাইল সার্ভার বৈশিষ্ট্যের উপর নির্ভর করে।

অন্যদিকে, OneDrive এবং SharePoint, সিঙ্ক্রোনাইজেশন, অনলাইন সহযোগিতা এবং ইকোসিস্টেমের সাথে SaaS পরিষেবা হিসেবে কাজ করে। মাইক্রোসফ্ট 365এগুলো সহযোগিতামূলক কাজ, অফিসে একযোগে সম্পাদনা, ডকুমেন্ট-টাইপ সংস্করণ নিয়ন্ত্রণ এবং সার্ভার অবকাঠামো নিয়ে চিন্তা না করে যেকোনো জায়গা থেকে অ্যাক্সেসের জন্য ভালো।

ডোমেইন ছাড়া ওয়ার্কিং গ্রুপ সম্পর্কেQUIC-এর উপর SMB ব্যবহার করা যেতে পারে, কিন্তু এটি কোনও ঔষধ নয় এবং জাদুকরীভাবে একদল পিসিকে "ড্রপবক্স P2P" বিতরণ ব্যবস্থায় রূপান্তরিত করে না। হ্যাঁ, একটি মেশিন QUIC-এর উপর একটি SMB সার্ভার হিসেবে কাজ করতে পারে এবং বাকিদের কাছে রিসোর্স প্রকাশ করতে পারে, যদি এর একটি বৈধ সার্টিফিকেট থাকে এবং UDP পোর্ট 443 এর মাধ্যমে অ্যাক্সেসযোগ্য হয়, কিন্তু:

• ফাইলগুলি হোস্ট করা মেশিনটি অবশ্যই চালু এবং অ্যাক্সেসযোগ্য থাকতে হবে। যাতে অন্যরা সংযোগ করতে পারে।
• সমস্ত ডিভাইসের মধ্যে কোনও নেটিভ ডেটা সিঙ্ক্রোনাইজেশন নেই।QUIC-এর মাধ্যমে SMB হল দূরবর্তী অ্যাক্সেস, মাল্টি-মাস্টার মোডে স্বয়ংক্রিয় প্রতিলিপি নয়।
• একটি "বিকেন্দ্রীভূত সিস্টেম" স্থাপন করুন যেখানে সমস্ত মেশিন একই সাথে সার্ভার এবং ক্লায়েন্ট উভয়ই থাকবে। এর জন্য রেপ্লিকেশন সফটওয়্যার বা ক্লাস্টারিংয়ের আরেকটি স্তরের প্রয়োজন হবে; QUIC নিজে থেকে এটি সমাধান করে না।

সহজ ভাষায়: না, আপনি এখনও অবকাঠামো ছাড়াই সকলের মধ্যে সবকিছু সিঙ্ক করার জন্য OneDrive-এর জাদুকরী বিকল্প আবিষ্কার করেননি।আপনার কাছে যা আছে তা হল VPN ছাড়াই আপনার ফাইল সার্ভার রিসোর্সগুলিকে ইন্টারনেটে প্রকাশ করার একটি শক্তিশালী এবং নিরাপদ উপায়, একই সাথে পরিচিত অনুমতি যুক্তি এবং সরঞ্জামগুলি বজায় রাখা।

QUIC-তে SMB সম্পর্কিত Windows Server 2025-এর নতুন বৈশিষ্ট্য

উইন্ডোজ সার্ভার ২০২৫-এ বেশ কিছু উন্নতি রয়েছে যা QUIC-এর তুলনায় সরাসরি SMB-কে সমর্থন করে। এবং প্রাঙ্গণ এবং পরিধির সম্পদগুলিতে নিরাপদ এবং দক্ষ দূরবর্তী অ্যাক্সেস প্রদানের ধারণা নিয়ে।

একদিকে, এটি QUIC-তে SMB সমর্থনকে শক্তিশালী করে হাইব্রিড এবং টেলিওয়ার্কিং পরিবেশের জন্য একটি কেন্দ্রীয় উপাদান হিসেবে, যেখানে VPN ছাড়া এন্ড-টু-এন্ড এনক্রিপ্টেড সংযোগ, উচ্চ-বিলম্বিত নেটওয়ার্কগুলিতে উন্নত কর্মক্ষমতা এবং NTLM-এর চেয়ে TLS এবং Kerberos সার্টিফিকেটের অগ্রাধিকারের উপর স্পষ্ট ফোকাস রয়েছে।

অন্যদিকে, এটি ব্যবস্থাপনা ক্ষমতা এবং উচ্চ প্রাপ্যতা প্রসারিত করে হটপ্যাচিং (পুনরায় চালু না করেই গুরুত্বপূর্ণ প্যাচ প্রয়োগ করা, বিশেষ করে ডেটাসেন্টার: অ্যাজুর সংস্করণে) এবং উইন্ডোজ অ্যাডমিন সেন্টার, হাইপার-ভি, কন্টেইনার এবং অ্যাজুর আর্কের সাথে আরও গভীর একীকরণের মতো বৈশিষ্ট্যগুলির জন্য ধন্যবাদ।

Azure Arc এবং সংশ্লিষ্ট পরিষেবা (মনিটর, নীতি, অটোমেশন) তারা আপনাকে ভৌত বা ভার্চুয়াল সার্ভারগুলিকে ক্লাউড রিসোর্স হিসেবে বিবেচনা করার অনুমতি দেয়, নিরাপত্তা নীতি, আপডেট এবং অডিটিং একইভাবে প্রয়োগ করে, যা বিশেষ করে যখন সেই সার্ভারগুলি QUIC-এর মাধ্যমে SMB রিসোর্সগুলিকে ইন্টারনেটে প্রকাশ করে তখন কার্যকর হয়।

যদিও উইন্ডোজ সার্ভার ২০২৫ এর চূড়ান্ত সংস্করণটি এখনও প্রযুক্তিগত মূল্যায়ন পর্যায়ে রয়েছে,উইন্ডোজ ইনসাইডারের মাধ্যমে উপলব্ধ প্রিভিউটি ইতিমধ্যেই স্পষ্টভাবে দেখায় যে রিমোট অ্যাক্সেস মডেলটিতে QUIC-এর মতো আধুনিক প্রোটোকল এবং হাইব্রিড এবং মাল্টিক্লাউড পরিস্থিতিতে ক্লাসিক ফাইল সার্ভারকে একীভূত করা জড়িত।

QUIC-এর মাধ্যমে SMB ইন্টারনেটে নিরাপদে ফাইল শেয়ার করার জন্য একটি কৌশলগত হাতিয়ার হয়ে উঠেছে।এটি পরিচিত SMB প্রোটোকলকে QUIC-এর মতো একটি আধুনিক, এনক্রিপ্টেড এবং স্থিতিস্থাপক পরিবহনের সাথে একত্রিত করে, জটিল VPN স্থাপন এবং রক্ষণাবেক্ষণের প্রয়োজন ছাড়াই দূরবর্তী অ্যাক্সেসকে সহজ করে তোলে। এটি ক্লায়েন্ট সার্টিফিকেটের মাধ্যমে সূক্ষ্মভাবে সুরক্ষিত অ্যাক্সেস নিয়ন্ত্রণের অনুমতি দেয়, KDC প্রক্সির মাধ্যমে Kerberos-এর সাথে একীভূত হয় এবং SMB ট্র্যাফিক সেগমেন্টেশন এবং কঠোরকরণ অনুশীলনের সাথে সারিবদ্ধ হয়। যখন ভালভাবে ডিজাইন করা হয় (সতর্কতার সাথে পরিচালিত সার্টিফিকেট, একটি সূক্ষ্মভাবে সুরক্ষিত ফায়ারওয়াল, সক্রিয় অডিটিং এবং একটি শক্তিশালী পাসওয়ার্ড নীতি বা পাসওয়ার্ডহীন প্রমাণীকরণ সহ), এটি ফাইল সার্ভারগুলিকে বাইরের বিশ্বের কাছে প্রকাশ করার একটি খুব নিরাপদ উপায় প্রদান করে, একই সাথে কে, কোথা থেকে এবং কী গ্যারান্টি সহ সেগুলি অ্যাক্সেস করবে তার উপর নিয়ন্ত্রণ বজায় রাখে।