Windows Server 2025 新機能おさらい
413 Views
January 25, 25
スライド概要
Windows Server Community Meetup #05 の資料です。
Windows Server 2025 の新機能について、概要をぎゅっと詰め込んで紹介します。
インフラエンジニア
関連スライド
各ページのテキスト
Windows Server 2025 新機能おさらい Windows Server Community Meetup #05 2025-01-25 Kazuki Takai Windows Server & Cloud User Group Japan
自己紹介 • たかい (Kazuki Takai) // X(旧 Twitter)@zhuky7 • 会社員 (某ISP勤務) • サービス基盤開発、技術調査・技術開発、ライセンス関連 • wSCUGJ (Windows Server & System Center User Group Japan) • Active Directory 勉強会 • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure • @IT:Windows Server 2025 連載
注意点 • 機能については現状の動作から変更となる可能性があります • 最新の仕様、動作、状況は Microsoft Learn のドキュメントや Microsoft の Blog、Tech Community などをご確認ください • 本日は、廃止される機能については話しません • 話しませんが、廃止される機能を確認し、必要に応じて対応を行うこと は大変重要なので、実際に利用する際はご留意ください
Windows Server innovation Server Datacenter & Virtualization • Windows NT 3.1 Server • Windows NT 3.5 Server • Windows NT 3.51 Server • Windows NT 4.0 Server • Windows Server 2008 • Windows Server 2008 R2 • Windows Server 2012 • Windows Server 2012 R2 Enterprise Cloud • Windows 2000 Server • Windows Server 2003 • Windows Server 2003 R2 • Windows Server 2016 • Windows Server 2019 • Windows Server 2022
Windows Server 2025 Generally Available 2024-11-01
Windows Server に対する要望 Microsoft が認識した顧客からの要望 Top 5 1. パッチ適用の簡易化・省力化 2. セキュリティ関連機能の改善・向上 3. ハイブリッドクラウド環境での利便性向上 4. OS アップグレードの簡易化・省力化 5. ネットワークパフォーマンスの向上 Microsoft Ignite 2024 // BRK238 Windows Server 2025: New ways to gain cloud agility and security https://ignite.microsoft.com/en-US/sessions/BRK238 より引用
Windows Server 2025 の新機能 (1) 運用管理とオペレーション [#1, #3] • ホットパッチ (with Azure Arc enabled servers) • Azure Arc セットアップのビルトイン • 従量課金制ライセンス • Windows Server Management enabled by Azure Arc • Windows Admin Center in Azure Arc • リモートサポート • ベストプラクティス アセスメント • Azure Site Recovery 構成
Windows Server 2025 の新機能 (2) 運用管理とオペレーション [#4] • Windows Update によるアップグレード • WS2012R2 からのインプレース アップグレードサポート • Desktop Experience のエンハンス • Windows Terminal • WinGet • DTrace • OpenSSH サーバーの構成簡易化
Windows Server 2025 の新機能 (3) Active Directory Domain Services のエンハンス (Ops / Mgmt) • データベース ページサイズの拡張 (オプション) • NUMA サポート • パフォーマンス カウンターの追加 • より柔軟なレプリケーションの優先制御 • Active Directory オブジェクト修復
Windows Server 2025 の新機能 (4) Active Directory Domain Services のエンハンス (Security) [#2] • チャネルバインド監査のサポート • DC ロケーションアルゴリズムの機能強化 • LSA 名と SID ルックアップのアルゴリズム改善 • 機密属性に対するセキュリティ強化 • 既定のコンピューターアカウント パスワードのセキュリティ強化 • Kerberos PKINIT のサポート • LDAP 通信の保護強化 • レガシーな SAM RPC のブロック
Windows Server 2025 の新機能 (5) セキュリティ関連のエンハンス [#2] • Delegated Managed Service Accounts • Local Administrator Password Solution の強化 • セキュリティ ベースラインに関するエンハンス (OSConfig) • 仮想化ベースのセキュリティ エンクレーブ • 仮想化ベースのセキュリティ キー保護 • ルーティングとリモートアクセスサービスのセキュリティ強化
Windows Server 2025 の新機能 (6) SMB 関連のエンハンス [#2] • SMB over QUIC のサポート / SMB 代替ポート • SMB 圧縮アルゴリズムの改善 • SMB 署名と暗号化の監査 / SMB over QUIC の監査 • SMB over QUIC クライアント アクセス制御 • SMB ファイアウォール規則のセキュリティ強化 • SMB 認証要求のレートリミット • SMB における NTLM の無効化 • 使用する SMB バージョンの細かい制御 • SMB 暗号化のデフォルト有効化 / SMB 署名を必須化 • リモート メールスロットの無効化
Windows Server 2025 の新機能 (7) Hyper-V とネットワークに関するエンハンス [#5] • 高速ネットワーク (AccelNet) • Hypervisor-enforced paging translation • GPU partitioning (高可用性とライブマイグレーション) • Dynamic processor compatibility • ワークグループ クラスターのエンハンス • Network ATC
Windows Server 2025 の新機能 (8) Software Defined Network のエンハンス [#5] • Network Controllerのエンハンス • タグ (ラベル) ベースのセグメンテーション • 既定のネットワークポリシー • SDN マルチサイト • SDN Gateway の L3 パフォーマンス改善
Windows Server 2025 の新機能 (9) ストレージ関連機能のエンハンス • ブロッククローンのサポート • Dev Drive • NVMe のパフォーマンス改善 • 記憶域レプリカの圧縮 • 記憶域レプリカ拡張ログ • ReFS による重複除去と圧縮 • シンプロビジョニングボリューム
Windows Server 2025 の新機能 • 詳細は、Microsoft Learn 参照 • Windows Server 2025 の新機能 • ここから先は、いくつかの機能をピックアップして紹介
Hotpatch
ホットパッチ Preview • 再起動を必要としない形式の更新プログラム • 月次の Windows セキュリティ更新プログラムのみが対象 • メモリ上のコードを修正することで再起動を回避 • Windows Server 2022 Datacenter: Azure Edition で実装されたものと 同様の機能 • 定期的にベースラインとなる更新プログラムの適用が必要 • ベースラインの適用時は再起動が必要 • ベースラインとなる更新プログラムは3か月ごとにリリース
ベースライン • ベースラインは 1月、4月、7月、10月に公開予定 • それ以外の月はホットパッチを提供 (通常時) Hotpatch Planned Baseline 2024-10 Unplanned Baseline 2024-11 2024-12 2025-01 2025-02 2025-03 2025-04
ホットパッチを適用するには • Windows Server 2025 の全てのエディションで利用可能 • Windows Server 2025 Datacenter Edition • Windows Server 2025 Standard Edition • 物理サーバーでも仮想マシンでも利用可能 • Azure Arc によるAzure への接続とコントロールが必要 • オプションの費用が必要 • Azure の利用料として Azure Subscription で計上 • 仮想化ベースのセキュリティ (VBS) が有効化されている必要有 Preview
仮想化ベースのセキュリティの有効化 • グループポリシーやレジストリで設定が必要
Demo • ホットパッチの設定
• Hotpatch があれば、再起動不要として表示される (残念ながら、1月はベースラインの月なので、Hotpatch になっていない)
ホットパッチに関する補足 Preview • ホットパッチにはセキュリティ更新のみが含まれる • OS の品質更新、機能更新に該当するものは、月次のホッ トパッチには含まれず、3か月ごとのベースラインにまと めて含まれる • .NET の更新は (現時点では) ホットパッチの対象外
従量課金制ライセンス (PAYG)
従量課金ライセンス • Windows Server の新しいライセンスオプション • 仮想マシンまたは物理ホストのコアベースで、利用した分 だけ Azure のサブスクリプションから Azure 使用料とし て課金 • 最低コア数の縛り無し
従量課金ライセンス
• Azure Arc による Azure への接続 Demo • 従量課金ライセンスの設定とアクティブ化 • 従量課金ライセンスの非アクティブ化
従量課金ライセンスの注意事項 • 適用されるライセンス条項は、Azure • ボリュームライセンスや評価版ではない Windows Server 2025 のライセンスを取得し、メディアを保有し ていることが利用条件 • マシンをシャットダウンしていても課金対象 • そんなに安くない… (短期・一時利用向け)
In-place Upgrade
インプレース アップグレード可能なバージョン インストールメディアから setup.exe を使用してインプレースアップグレードを行う場合 移行元の OS バージョン インプレース アップグレード先としてサポートされる OS バージョン Windows Server 2012 Windows Server 2012 R2, Windows Server 2016 Windows Server 2012 R2 Windows Server 2016, Windows Server 2019, Windows Server 2025 (*) Windows Server 2016 Windows Server 2019, Windows Server 2022, Windows Server 2025 Windows Server 2019 Windows Server 2022, Windows Server 2025 Windows Server 2022 Windows Server 2025 Windows Server 2025 Windows Server v.Next ? (*) Windows Server 2012 R2 から Windows Server 2022 へのインプレース アップグレードはサポート対象外 だが、Windows Server 2012 R2 から Windows Server 2025 へのインプレース アップグレードはサポート対象 参考: Windows Server のアップグレードの概要(Microsoft Learn)
インプレース アップグレードの方法 • 展開(デプロイ)方法は2つ • OS のインストールメディアをマウントし、setup.exe を実行 • インストールの過程で「個人用ファイルとアプリを引き継ぐ」を選択 • Windows Update 経由で機能更新を適用 New!! • 機能更新 : Feature Update • デスクトップエクスペリエンス有のインストールオプションを使用し ている場合は、「設定」アプリの Windows Update から更新を確認 • サーバー コア インストールオプションを使用している場合は、 SConfig のメニューから機能更新プログラムを確認
2025/01/25 JST 時点 Windows Update 経由でのアップグレード • 現時点では実施できず
更新イメージ
更新の受け取り制御 (2022 ADM template) 更新を入手したくない場合は hold と設定
更新の受け取り制御 (2025 ADM template) 更新を入手したくない場合は hold と設定
更新の受け取り制御 (レジストリ) Windows Server 2025 の管理用テンプレートで設定した場合 → 更新を入手したくない場合は hold と設定 ↓ Windows Server 2022 の管理用テンプレートで設定した場合
Active Directory Domain Services
主な変更点 • 機能レベルとスキーマの変更 • NTDS データベース ページサイズの拡張(Optional) • NUMA のサポート(バックポート有) • 委任管理サービスアカウント(Delegated Managed Service Accounts) • LDAP 及び Kerberos のセキュリティに関するエンハンス • DC ロケーターにおける検出の改善 • NetBIOS ベースの検出を既定でブロック
Active Directory 機能レベルの追加 • ドメインとフォレストの機能レベル追加 • ドメイン機能レベル : Windows Server 2025 • フォレスト機能レベル : Windows Server 2025 • Windows Server 2025 は、以下の機能レベルのみサポート • Windows Server 2025 • Windows Server 2016
Active Directory 機能レベルの追加
Active Directory 機能レベルの追加 • Windows Server 2025 を既存のドメインのドメインコント ローラーとして構成する場合は、ドメインコントローラーへ昇 格する前に、以下が必要 • ドメイン内の全てのドメインコントローラーを Windows Server 2016 以降へアップグレードまたは入れ替え • フォレスト内の全てのドメインについて、ドメイン機能レベルを Windows Server 2016 へ変更 • フォレスト機能レベルを Windows Server 2016 へ変更
機能レベルの表記 機能レベル Windows Server 2016 Windows Server 2025 導入された OS バージョン Windows Server 2016 Windows Server 2025 PowerShell DomainMode / ForestMode WinThreshold Win2025 DomainLevel / ForestLevel 7 10
機能レベルとサポート OS ↓OS FL→ 2000 (0) W2000S ✓ WS2003 ✓ ✓ WS2008 ✓ ✓ ✓ WS2008R2 ✓ ✓ ✓ ✓ WS2012 ✓ ✓ ✓ ✓ WS2012R2 ✓ ✓ ✓ ✓ ✓ WS2016 ✓ ✓ ✓ ✓ ✓ ✓ WS2019 ✓ ✓ ✓ ✓ ✓ WS2022 ✓ ✓ ✓ ✓ ✓ WS2025 2003 (2) 2008 (3) 2008 R2 (4) 2012 (5) 2012 R2 (6) 2016 (7) 2025 (10) Windows Server 2025 へ 直接インプレースアップグレード 可能なバージョン ✓ ✓
Active Directory スキーマ バージョン • Windows Server 2025 では version 91 • 3つ増えている • Sch89.ldf • Delegated Managed Service Accounts 関連の修正 • Sch90.ldf • データベース ページサイズ変更関連の修正 • Sch91.ldf • ???
スキーマ バージョン履歴 Operating System Schema version Windows 2000 Server 13 Windows Server 2003 30 Windows Server 2003 R2 31 Windows Server 2008 44 Windows Server 2008 R2 47 Windows Server 2012 56 Windows Server 2012 R2 69 Windows Server 2016 87 Windows Server 2019 88 Windows Server 2022 88 Windows Server 2025 91
スキーマ ファイル • C:¥Windows¥System32¥adprep
NTDS データベース ページサイズの拡張 • Active Directory のデータベース • ntds.dit • Extensible Storage Engine (ESE/JET) Database • 固定長ページサイズ • 今までは 8k 固定だった • Windows 2000 Server の頃からずっと変わらず
NTDS データベース
なぜページサイズを変更するのか • Active Directory の各オブジェクトは 1 ページ内に収 まっている必要がある • 1つのオブジェクトを複数のページに分割して保存できない • オブジェクト内の属性が保持する値が多く/大きくなり、 8k では収まらない環境が出てきた • ページサイズを 32k に拡張することで、より多くの値を 保持できるようになる
データベース ページサイズの拡張 • データベースのページサイズが、32k になる • 新規にインストールしたドメインコントローラーが対象 • アップグレードしたドメインコントローラーは 8k のまま • 64bit Long Value IDs (LIDs) • より大きな値(より大きなデータ量の値)を保持できる • デフォルトでは 8k ページ互換モードで動作 • 32k page feature はオプショナルの機能(明示的に有効化が必要) • 32k page mode の有効化には、フォレスト内の全てのドメインコ ントローラーが 32k page 対応となる必要がある
オプション機能の有効化
NUMA サポート • Processor Group 0 以外も利用可能に • 64コアを超えるコア(論理プロセッサー)を無駄にしない • Windows Server 2025 だけでなく、以下でも利用可能 • Windows Server 2022 with 2022-08 Cumulative Update
Delegated Managed Service Accounts • サービスの実行ユーザーをより安全な管理方式へ移行 • 個別にドメインユーザーを作成し、サービスの実行アカウント として設定しているようなケースを想定 • 移行先となるマネージドサービスアカウント(GMSA)を作成 し、GMSA へ権限を付与 • SPN を元のアカウントから GMSA へ移行 • 前のフェーズへロールバック可能な状態を保ちながら移行 • キーは KDC からのみアクセス可能
https://techcommunity.microsoft.com/t5/windows-events/what-s-new-in-active-directory/ev-p/3971596 より引用
DC Locator の改善 • NetBIOS ベースの探索を(より)利用しないようにするための 改善 • NetBIOS 名から利用可能なドメインコントローラーを探索する 際に、NetBIOS による問い合わせより前に、明示的に設定され たマッピング情報を参照するようになる • 併せて、NetBIOS による問い合わせへ Fall back しないように 設定可能 • (DC の探索においては)MAILSLOTS を利用しなくてよくなる
マッピングの設定
LDAP 及び Kerberos 周りの改善 • LDAP 署名の強制 • サポートされている場合 LDAP channel binding を使用 • Confidential attributes の操作時、暗号化通信が必須に • LDAP クライアントの暗号化利用がデフォルトに • 利用可能な場合 • Kerberos で AES SHA256/384 をサポート • PKINT での SHA-2 サポート追加
パフォーマンスカウンターの追加 • LSA Lookup • DC Locator • LDAP Client
Hyper-V / Network / Storage
GPU Partitioning (GPU-P) • GPU を分割して VM へアサイン • ライブ マイグレーション • フェールオーバー • フェールオーバークラスターの 構成は Datacenter Edition のみ • Standard Edition はシングル Hyper-V のみ • シングルホスト間のライブ マイグ レーションは可能
GPU Partitioning (GPU-P) • SR-IOV が必要 • 対応 CPU • Intel Sapphire Rapids 以降 • AMD Milan 以降 • 対応 GPU • nVidia A2, A10, A16, A40, L2, L4, L40, L40S • 対応ゲスト OS • Windows 10 / 11, Windows Server 2019 / 2022 / 2025 • Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS
GPU with DDA HA Support • PCI Express リソースプールを作成 • GPU をプールに追加 • VM に GPU をアサイン • フェールオーバー可能
その他のエンハンス • Dynamic Processor Compatibility • 明示的に CPU 互換性機能を設定しなくても、異なる世代の CPU を同一クラスターに混在可能とする • 当初は、Intel Xeon Scalable Processor の第3世代と第4世代 に対応 • 第2世代仮想マシンがデフォルトに • Hyper-V Manager での VM 新規作成時
ストレージ関連機能のエンハンス • NVMe SSD のパフォーマンス(IOPs)向上 • NVMe-oF TCP Initiator • NVMe 2.0 Specification • Storage Replica パフォーマンス向上 • Storage Replica 全てのエディションで圧縮を利用可能 • etc...
ネットワーク関連機能のエンハンス • Azure Stack HCI で実装済みの機能の一部が利用可能に • Network ATC • Network HUD • SDN Multisite • SDN Gateway のパフォーマンス向上 • Hybrid AKS の Windows Server SDN 対応
SMB
SMB over QUIC • 443/udp で通信 • TLS v1.3 による通信経路の暗号化 • 前提条件 • サーバ側 : Windows Server v.Next or 2022 Azure Edition • クライアント側 : Windows 11 以降又は Server 2022 以降 • TLS 証明書
SMB over QUIC 証明書の要件 フィールド 値 Key usage digital signature Purpose Server Authentication (EKU 1.3.6.1.5.5.7.3.1) Signature algorithm SHA256RSA 以上 Signature hash SHA256 以上 Public key algorithm ECDCA_P256 以上 (または RSA で鍵長 2048 bit 以上) Subject Alternative Name <SMB アクセスする際の DNS 名> Subject CN=<SMB サーバーのコンピューター名> ※ CN=<何かの値> となっていれば動作はする ※ 実際のコンピューター名と異なっていても動作するが、空は NG Private key included yes
SMB over QUIC の設定 • 通常は Windows Admin Center から実施 • Windows Server 2022 Datacenter Azure Edition の方法 • 現時点で、Windows Admin Center は Azure Edition かどうかをチェックしており、Windows Server v.Next Insider Preview の SMB over QUIC を有効化できない • New-SmbServerCertificateMapping を使用 New-SmbServerCertificateMapping -Name <Server FQDN> -ThumbPrint <Certificate Thumbprint> -Storename My
SMB over QUIC の使用ポート変更 • Set-SmbServerAlternativePort で変更可能 Set-SmbServerAlternativePort -TransportType QUIC -Port <Port number (0 - 65536)> -EnableInstances Default • Windows Server Insider Build では(現時点で)TCP 用のポートを 445/tcp から変更することをサポートして いない
SMB 代替ポートの利用可否制御
SMB over QUIC Client Access Control • 要するに、クライアント証明書認証(追加認証) • クライアント証明書が信頼できる(証明書として Trust チェー ンに問題が無い)場合であっても、クライアント証明書ごとに TLS レイヤーでアクセス可否を制御可能 • 信頼できる証明書の場合、クライアント証明書ごとの制御を行 わずアクセスを許可することも可能 • SMB レベルの(アカウント)認証は、引き続き実施
SMB NTLM の無効化 • NTLM シークレットの発行を抑止 • グループポリシー又は PowerShell で設定 Set-SmbClientConfiguration –DisableNTLM $true • グループポリシーで例外リストを構成可能
SMB NTLM の無効化
SMB NTLM の無効化
SMB Dialect の制御 • 利用を許可する SMB のバージョン範囲を指定可能 • version 2.x から version 3.x で上限と下限を設定 • グループポリシー又は PowerShell で設定 Set-SmbClientConfiguration -Smb2DialectMax -Smb2DialectMin Set-SmbServerConfiguration -Smb2DialectMax -Smb2DialectMin • 注意 : SMB v1 のコンポーネントが有効となっている場 合、この設定は SMB v1 の利用可否に影響しない • この設定で、SMB v1 を拒否することは不可
SMB Dialect の制御
SMB Dialect の制御
SMB 向けの Firewall ルールのセキュア化 • ファイルサーバーの役割インストール時、NetBIOS の ポートを自動でオープンしない • 「ファイルとプリンターの共有(制限付き)」のみ有効化 • ちなみに… • Active Directory Domain Services をインストールすると、 NetBIOS のルールも有効化される
まとめ • セキュリティ関連の大幅なエンハンスがある • 環境によっては互換性に注意 • ハイブリッドマネジメントについては、PAYG や SA 相当の権利が無いと利用できない機能があるの で注意