Neuigkeiten in Windows Server 2025
In diesem Artikel werden einige der neuesten Entwicklungen in Windows Server 2025 beschrieben, die erweiterte Features zur Verbesserung der Sicherheit, Leistung und Flexibilität bieten. Dank schnellerer Speicheroptionen und der Möglichkeit zur Integration in hybride Cloudumgebungen ist die Verwaltung Ihrer Infrastruktur jetzt optimiert. Windows Server 2025 baut auf der starken Grundlage seines Vorgängers auf und führt eine Reihe innovativer Verbesserungen ein, um sich an Ihre Anforderungen anzupassen.
Desktoperfahrung und -upgrade
Erkunden Sie die Upgrade-Optionen und die Desktop-Erfahrung.
Upgrade mithilfe von Windows Update
Sie können ein direktes Upgrade über ein Quellmedium oder über Windows Update durchführen. Microsoft bietet eine optionale In-Place-Upgrade-Funktion über Windows Update, die als Funktionsupdate bekannt ist. Das Featureupdate ist für Windows Server 2019- und Windows Server 2022-Geräte verfügbar.
Wenn Sie ein Upgrade mithilfe von Windows Update über das Dialogfeld Einstellungen durchführen, können Sie die Installation direkt über Windows Update auf dem Desktop oder mithilfe von SConfig
für Server Core ausführen. Ihre Organisation könnte es vorziehen, Upgrades inkrementell zu implementieren und die Verfügbarkeit dieses optionalen Upgrades mithilfe der Gruppenrichtlinie zu steuern.
Weitere Informationen zum Verwalten des Angebots von Featureupdates finden Sie unter Verwalten von Featureupdates mit Gruppenrichtlinien unter Windows Server.
Direktes Upgrade von Windows Server 2012 R2
Mit Windows Server 2025 können Sie jeweils bis zu vier Versionen aktualisieren. Sie können ein direktes Upgrade auf Windows Server 2025 von Windows Server 2012 R2 und höher durchführen.
Desktop-Shell
Wenn Sie sich zum ersten Mal anmelden, entspricht die Desktop-Shell-Umgebung dem Stil und der Darstellung von Windows 11.
Bluetooth
Sie können jetzt Mäuse, Tastaturen, Headsets, Audiogeräte und vieles mehr über Bluetooth in Windows Server 2025 verbinden.
DTrace
Windows Server 2025 enthält dtrace
als systemeigenes Tool. DTrace ist ein Befehlszeilenprogramm, mit dem Benutzer die Leistung ihres Systems in Echtzeit überwachen und beheben können. Mit DTrace können Sie sowohl den Kernel- als auch den Benutzerraumcode dynamisch instrumentieren, ohne den Code selbst ändern zu müssen. Dieses leistungsstarke Tool unterstützt eine Reihe von Datenerfassungs- und Analysetechniken, wie Aggregationen, Histogramme und Ablaufverfolgung von Ereignissen auf Benutzerebene. Weitere Informationen finden Sie unter DTrace (Befehlszeilenhilfe) und DTrace unter Windows (weitere Funktionen).
E-Mail und Konten
Sie können jetzt die folgenden Kontotypen unter Windows Einstellungen im Bereich Konten>E-Mail & Konten für Windows Server 2025 hinzufügen:
- Microsoft Entra ID
- Microsoft-Konto
- Geschäfts-, Schul- oder Unikonto
Der Domänenbeitritt ist für die meisten Situationen weiterhin erforderlich.
Feedback-Hub
Wenn Sie Feedback senden oder Probleme melden möchten, die bei verwendung von Windows Server 2025 auftreten, verwenden Sie den Windows Feedback Hub. Schließen Sie Screenshots oder Aufzeichnungen des Prozesses ein, der das Problem verursacht hat. So können wir Ihre Situation besser verstehen und Verbesserungsvorschläge für Ihre Windows-Erfahrung geben. Um mehr zu erfahren, lesen Sie Erkunden des Feedback-Hubs.
Dateikomprimierung
Windows Server 2025 verfügt über ein neues Komprimierungsfeature. Um ein Element zu komprimieren, klicken Sie mit der rechten Maustaste, und wählen Sie Komprimieren aus. Dieses Feature unterstützt ZIP-, 7z-und TAR- Komprimierungsformate mit bestimmten Komprimierungsmethoden für jedes.
Angeheftete Apps
Die Funktion zum Anheften der am häufigsten verwendeten Apps ist jetzt über das Startmenü verfügbar und kann individuell angepasst werden.. Die angehefteten Standard-Apps sind derzeit:
- Azure Arc Setup
- Feedback-Hub
- Datei-Explorer
- Microsoft Edge
- Server-Manager
- Einstellungen
- Terminal
- Windows PowerShell
Task-Manager
Windows Server 2025 verwendet die moderne Task-Manager-App mit Mica-Material, das dem Stil von Windows 11 entspricht.
WLAN
Es ist jetzt einfacher, drahtlose Funktionen zu aktivieren, da das Feature "Wireless LAN-Dienst" jetzt standardmäßig installiert ist. Der drahtlose Startdienst ist auf manuell festgelegt. Um sie zu aktivieren, führen Sie net start wlansvc
in der Eingabeaufforderung, im Windows Terminal oder in PowerShell aus.
Windows-Terminal
Die Windows-Terminal, eine leistungsstarke und effiziente Multishell-Anwendung für Befehlszeilenbenutzer, ist in Windows Server 2025 verfügbar. Suchen Sie in der Suchleiste nach Terminal.
WinGet
WinGet ist standardmäßig installiert, bei dem es sich um ein Befehlszeilentool des Windows-Paket-Managers handelt, das umfassende Paket-Manager-Lösungen zum Installieren von Anwendungen auf Windows-Geräten bereitstellt. Weitere Informationen finden Sie unter Verwenden des WinGet-Tools zum Installieren und Verwalten von Anwendungen.
Erweiterte Mehrschichtsicherheit
Erfahren Sie mehr über die Sicherheit in Windows 2025.
Hotpatch (Vorschau)
Hotpatch ist jetzt für Windows Server 2025-Computer verfügbar, die mit Azure Arc verbunden sind, nachdem Hotpatch im Azure Arc-Portal aktiviert wurde. Sie können Hotpatch verwenden, um Betriebssystemsicherheitsupdates anzuwenden, ohne den Computer neu zu starten. Weitere Informationen finden Sie unter Hotpatch.
Wichtig
Die Azure Arc-fähige Hotpatch-Funktion befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Credential Guard
Ab Windows Server 2025 ist Credential Guard jetzt standardmäßig auf allen Geräten aktiviert, die die Anforderungen erfüllen. Weitere Informationen zu Credential Guard finden Sie in Credential Guard konfigurieren.
Active Directory Domain Services
Die neuesten Verbesserungen an Active Directory Domain Services (AD DS) und Active Directory Lightweight Domain Services (AD LDS) bieten eine Reihe neuer Funktionen und Möglichkeiten zur Optimierung Ihrer Domänenverwaltungserfahrung:
Optionale Funktion für die 32k-Datenbankseitengröße: Active Directory verwendet seit der Einführung in Windows 2000 eine ESE-Datenbank (Extensible Storage Engine), die eine 8k-Datenbankseitengröße verwendet. Die architektonische Entscheidung für 8k hat zu Einschränkungen in Active Directory geführt, die unter Maximale Active Directory-Grenzwerte: Skalierbarkeit dokumentiert sind. Ein Beispiel für diese Einschränkung ist, dass ein Active Directory-Objekt mit einem einzelnen Datensatz nicht größer als 8k Bytes sein darf. Der Wechsel zu einem 32k-Datenbankseitenformat bietet eine enorme Verbesserung in Bereichen, die von älteren Einschränkungen betroffen sind. Mehrwertige Attribute können nun bis zu ca. 3.200 Werte enthalten, was eine Erhöhung um den Faktor 2,6 darstellt.
Sie können neue Domänencontroller (DCs) mit einer 32k-Seitendatenbank installiert werden, die 64-Bit-LIDs (Long Value IDs) verwendet und in einem 8k-Seitenmodus ausgeführt wird, um die Kompatibilität mit früheren Versionen zu gewährleisten. Ein aktualisierter DC verwendet weiterhin sein aktuelles Datenbankformat und 8k-Seiten. Die Umstellung auf eine Datenbank mit 32k-Seiten erfolgt für die Gesamtstruktur und setzt voraus, dass alle DCs in der Gesamtstruktur über eine Datenbank verfügen, die mit 32k-Seiten verwendet werden kann.
Active Directory-Schemaaktualisierungen: Drei neue Protokolldateien werden eingeführt, die das Active Directory-Schema erweitern:
sch89.ldf
,sch90.ldf
undsch91.ldf
. Die entsprechenden AD LDS-Schemaupdates befinden sich inMS-ADAM-Upgrade3.ldf
. Weitere Informationen zu vorherigen Schemaupdates finden Sie unter Windows Server Active Directory-Schemaupdates.Active Directory-Objektreparatur: Unternehmensadministratoren können jetzt Objekte mit den fehlenden Kernattributen
SamAccountType
undObjectCategory
reparieren. Unternehmensadministratoren können das attributLastLogonTimeStamp
für ein Objekt auf die aktuelle Uhrzeit zurücksetzen. Diese Vorgänge werden über ein neues RootDSE-Feature zur Vorgangsänderung vorgenommen, das alsfixupObjectState
bezeichnet wird.Unterstützung für Kanalbindungsüberwachungen: Sie können nun die Ereignisse 3074 und 3075 für die LDAP-Kanalbindung (Lightweight Directory Access Protocol) aktivieren. Wenn die Kanalbindungsrichtlinie in eine sicherere Einstellung geändert wird, kann ein Administrator Geräte in der Umgebung identifizieren, die keine Kanalbindung unterstützen oder fehlschlagen. Diese Audit-Ereignisse sind auch in Windows Server 2022 und höher über KB4520412 verfügbar.
Verbesserungen am DC-Lokalisierungsalgorithmus: Der DC-Ermittlungsalgorithmus bietet neue Funktionen mit Verbesserungen bei der Zuordnung von kurzen Domänennamen im NetBIOS-Stil zu Domänennamen im DNS-Stil. Weitere Informationen erhalten Sie unter Auffinden von Domänencontrollern in Windows und Windows Server.
Hinweis
Windows verwendet während der DC-Ermittlungsvorgänge keine Mailslots, da Microsoft die Abschaffung von WINS und Mailslots für diese veralteten Technologien angekündigt hat.
Funktionsebenen für Gesamtstruktur und Domäne: Die neue Funktionsebene wird für die allgemeine Unterstützbarkeit verwendet und ist für die neue Funktion der 32K-Datenbankseitengröße erforderlich. Die neue Funktionsebene wird den Werten
DomainLevel 10
undForestLevel 10
für unbeaufsichtigte Installationen zugeordnet. Microsoft plant keine Nachrüstung der Funktionsebenen für Windows Server 2019 und Windows Server 2022. Um eine unbeaufsichtigte Höher- und Herabstufung eines Domänencontrollers durchzuführen, lesen Sie Syntax der DCPROMO-Antwortdatei.Die DsGetDcName-API unterstützt auch das neue Flag
DS_DIRECTORY_SERVICE_13_REQUIRED
, das die Lokalisierung von DCs unter Windows Server 2025 ermöglicht. Weitere Informationen zu Funktionsebenen finden Sie in den folgenden Artikeln:- AD DS-Funktionsebenen
- Erhöhen der Domänenfunktionsebene
- Heraufstufen der Gesamtstrukturfunktionsebene
Hinweis
Neue Active Directory-Gesamtstrukturen oder AD LDS-Konfigurationssätze müssen über die Funktionsebene von Windows Server 2016 oder höher verfügen. Zum Höherstufen eines Active Directory- oder AD LDS-Replikats muss die vorhandene Domäne oder der Konfigurationssatz bereits mit einer Funktionsebene von Windows Server 2016 oder höher ausgeführt werden.
Microsoft empfiehlt, dass alle Kunden jetzt mit dem Upgrade ihrer Active Directory- und AD LDS-Server auf Windows Server 2022 beginnen, um die nächste Version vorzubereiten.
Verbesserte Algorithmen für Suchvorgänge nach Name/SID: Die LSA- (Local Security Authority, lokale Sicherheitsautorität) und SID-Suchweiterleitung zwischen Computerkonten verwendet nicht mehr den älteren sicheren Netlogon-Kanal. Stattdessen werden Kerberos-Authentifizierung und der DC-Locator-Algorithmus verwendet. Um die Kompatibilität mit älteren Betriebssystemen zu wahren, kann auch der sichere Netlogon-Kanal weiterhin als Fallbackoption verwendet werden.
Verbesserte Sicherheit für vertrauliche Attribute: DCs und AD-LDS-Instanzen bieten nur dann die Möglichkeit, LDAP-Vorgänge zum Hinzufügen, Suchen und Ändern von vertraulichen Attributen zuzulassen, wenn die Verbindung verschlüsselt ist.
Verbesserte Sicherheit für Standardmäßige Computerkonto-Kennwörter: Active Directory verwendet jetzt Standardmäßige Computerkonto-Kennwörter, die zufällig generiert werden. Windows 2025-DCs verhindern, dass Computerkontokennwörter auf das Standardkennwort des Computerkontonamens festgelegt werden.
Zum Steuern dieses Verhaltens aktivieren Sie die GPO-Einstellung (Group Policy Object, Gruppenrichtlinienobjekt) Domänencontroller: Festlegen des Computerkonto-Standardkennworts verweigern unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
Hilfsprogramme wie Active Directory Administrative Center (ADAC), Active Directory-Benutzer und -Computer (ADUC),
net computer
unddsmod
berücksichtigen dieses neue Verhalten ebenfalls. Sowohl ADAC als auch ADUC lassen die Erstellung eines Vor-Windows 2000-Kontos nicht mehr zu.Kerberos-PKINIT-Unterstützung für kryptografische Flexibilität: Die Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) Protokollimplementierung wird aktualisiert, um kryptografische Flexibilität zu ermöglichen, indem mehr Algorithmen unterstützt und hartcodierte Algorithmen entfernt werden.
LAN Manager-GPO-Einstellung: Die GPO-Einstellung Netzwerksicherheit: LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht speichern ist nicht mehr vorhanden und gilt nicht für neue Windows-Versionen.
LDAP-Standardverschlüsselung: Die gesamte Kommunikation von LDAP-Clients nach einer SASL-Bindung (Simple Authentication and Security Layer) verwendet standardmäßig die LDAP-Versiegelung. Weitere Informationen zu SASL finden Sie unter SASL-Authentifizierung.
LDAP-Unterstützung für Transport Layer Security (TLS) 1.3: LDAP verwendet die neueste SCHANNEL-Implementierung und unterstützt TLS 1.3 für LDAP über TLS-Verbindungen. Die Verwendung von TLS 1.3 beseitigt veraltete kryptografische Algorithmen und verbessert die Sicherheit gegenüber älteren Versionen. TLS 1.3 zielt darauf ab, so viel wie möglich von dem Handshake zu verschlüsseln. Um mehr zu erfahren, lesen Sie Protokolle in TLS/SSL (Schannel SSP) und TLS Cipher-Suites in Windows Server 2022.
Veraltetes Verhalten bei der Änderung von Kennwörtern mit RPC (Remote Procedure Call, Remoteprozeduraufruf) über SAM (Security Account Manager, Sicherheitskonto-Manager): Sichere Protokolle wie Kerberos sind der bevorzugte Weg, um die Kennwörter von Domänenbenutzern zu ändern. Auf DCs wird die neueste SAM-RPC-Kennwortänderungsmethode SamrUnicodeChangePasswordUser4 mithilfe von Advanced Encryption Standard (AES) standardmäßig akzeptiert, wenn sie remote aufgerufen wird. Die folgenden legacy SAM RPC-Methoden werden standardmäßig blockiert, wenn sie remote aufgerufen werden:
Bei Domänenbenutzern, die der Gruppe Geschützte Benutzer angehören, und für lokale Konten auf Domänenmitgliedscomputern werden alle Remotekennwortänderungen über die veraltete SAM-RPC-Schnittstelle standardmäßig blockiert, einschließlich
SamrUnicodeChangePasswordUser4
.Verwenden Sie die folgende GPO-Einstellung, um dieses Verhalten zu steuern:
Computerkonfiguration>Administrative Vorlagen>System>Sicherheitskonto-Manager>SAM-Richtlinie für RPC-Methoden zum Ändern des Kennworts konfigurieren
NUMA-Unterstützung (Non-uniform Memory Access): AD DS nutzt jetzt die Vorteile von NUMA-fähiger Hardware, indem CPUs in allen Prozessorgruppen verwendet werden. Bisher würde Active Directory nur CPUs in Gruppe 0 verwenden. Active Directory kann über 64 Kerne hinaus erweitert werden.
Leistungsindikatoren: Die Überwachung und Fehlerbehebung der Leistung der folgenden Indikatoren ist jetzt verfügbar:
- DC-Locator: Für Clients und DCs sind spezifische Indikatoren verfügbar.
- LSA-Suchvorgänge: Suchvorgänge nach Name und SID über
LsaLookupNames
,LsaLookupSids
und gleichwertige APIs. Diese Zähler sind sowohl in Client- als auch in Serverversionen verfügbar. - LDAP-Client: Verfügbar unter Windows Server 2022 und höher über das KB 5029250-Update.
Replikationsprioritätsreihenfolge: Administrierende können nun die vom System berechnete Replikationspriorität mit einem bestimmten Replikationspartner für einen bestimmten Namenskontext erhöhen. Dieses Feature ermöglicht mehr Flexibilität beim Konfigurieren der Replikationsreihenfolge, um bestimmte Szenarien zu behandeln.
Delegiertes verwaltetes Dienstkonto
Dieser neue Kontotyp ermöglicht die Migration von einem Dienstkonto zu einem delegierten verwalteten Dienstkonto (Delegated Managed Service Account, dMSA). Dieser Kontotyp enthält verwaltete und vollständig randomisierte Schlüssel, um minimale Anwendungsänderungen sicherzustellen, während die ursprünglichen Dienstkonto-Kennwörter deaktiviert sind. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.
Windows Lokale Administrator-Passwortlösung
LAPS (Windows Local Administrator Password Solution, Windows Kennwortlösung für lokale Administratoren) hilft Organisationen beim Verwalten lokaler Administratorkennwörter auf ihren in die Domäne eingebundenen Computern. Es generiert automatisch eindeutige Kennwörter für das lokale Administratorkonto jedes Computers. Sie speichert sie dann sicher in Active Directory und aktualisiert sie regelmäßig. Automatisch generierte Kennwörter helfen, die Sicherheit zu verbessern. Sie verringern das Risiko, dass Angreifer Zugriff auf sensible Systeme erhalten, indem sie kompromittierte oder leicht erratene Kennwörter verwenden.
Mehrere neue Funktionen in Microsoft LAPS führen zu den folgenden Verbesserungen:
Neue automatische Kontoverwaltung: IT-Administratoren können jetzt problemlos ein verwaltetes lokales Konto erstellen. Mit diesem Feature können Sie den Kontonamen anpassen und das Konto aktivieren oder deaktivieren. Sie können sogar den Kontonamen für erhöhte Sicherheit zufällig festlegen. Das Update umfasst auch eine verbesserte Integration mit vorhandenen lokalen Kontoverwaltungsrichtlinien von Microsoft. Weitere Informationen zu dieser Funktion finden Sie unter Windows LAPS-Kontoverwaltungsmodi.
Neue Image-Rollback-Erkennung: Windows LAPS erkennt jetzt, wenn ein Image-Rollback auftritt. Wenn ein Rollback auftritt, stimmt das in Active Directory gespeicherte Kennwort möglicherweise nicht mehr mit dem lokal auf dem Gerät gespeicherten Kennwort überein. Rollbacks können zu einer Konfliktsituation führen. In diesem Fall kann sich der IT-Administrator nicht mit dem beibehaltenen Windows LAPS-Kennwort beim Gerät anmelden.
Um dieses Problem zu beheben, wurde ein neues Feature hinzugefügt, das ein Active Directory-Attribut mit dem Namen
msLAPS-CurrentPasswordVersion
enthält. Dieses Attribut enthält eine zufällige GUID (Globally Unique Identifier), die von Windows LAPS jedes Mal erstellt wird, wenn ein neues Kennwort in Active Directory persistiert und lokal gespeichert wird. Während jedes Verarbeitungszyklus wird die inmsLAPS-CurrentPasswordVersion
gespeicherte GUID abgefragt und mit der lokal gespeicherten Kopie verglichen. Wenn sie unterschiedlich sind, wird das Passwort sofort geändert.Um dieses Feature zu aktivieren, führen Sie die neueste Version des cmdlets
Update-LapsADSchema
aus. Windows LAPS erkennt dann das neue Attribut und beginnt mit der Verwendung. Wenn Sie die aktualisierte Version des cmdletsUpdate-LapsADSchema
nicht ausführen, protokolliert Windows LAPS ein 10108-Warnereignis im Ereignisprotokoll, funktioniert aber in allen anderen Punkten weiterhin normal.Es werden keine Richtlinieneinstellungen zur Aktivierung oder Konfiguration dieser Funktion verwendet. Das Feature wird immer aktiviert, nachdem das neue Schema-Attribut hinzugefügt wurde.
Neue Passphrase: IT-Administratoren können jetzt ein neues Feature in Windows LAPS verwenden, das die Generierung weniger komplexer Passphrasen ermöglicht. Ein Beispiel ist eine Passphrase wie EatYummyCaramelCandy. Diese Phrase ist im Vergleich zu einem herkömmlichen Kennwort wie V3r_b4tim#963?einfacher zu lesen, zu merken und zu tippen.
Mit diesem neuen Feature können Sie die
PasswordComplexity
Richtlinieneinstellung konfigurieren, um eine von drei verschiedenen Wortlisten für Passphrasen auszuwählen. Alle Listen sind in Windows enthalten und erfordern keinen separaten Download. Eine neue Richtlinieneinstellung namensPassphraseLength
steuert die Anzahl der Wörter, die in der Passphrase verwendet werden.Wenn Sie eine Passphrase erstellen, wird die angegebene Anzahl von Wörtern zufällig aus der ausgewählten Wortliste ausgewählt und verkettet. Der erste Buchstabe eines jeden Wortes wird groß geschrieben, um die Lesbarkeit zu verbessern. Dieses Feature unterstützt vollständig das Sichern von Kennwörtern in Active Directory oder Microsoft Entra ID.
Die Wortlisten der Passphrasen, die in den drei neuen Einstellungen für
PasswordComplexity
-Passphrasen verwendet werden, stammen aus dem Artikel von Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Die Wortlisten mit Windows LAPS-Passphrasen ist lizenziert unter der CC-BY-3.0 Attribution-Lizenz und steht zum Download zur Verfügung.Hinweis
Windows LAPS lässt keine Anpassung der integrierten Wortlisten oder die Verwendung von vom Kunden konfigurierten Wortlisten zu.
Verbesserte Lesbarkeit des Kennwortwörterbuchs: Windows LAPS führt eine neue
PasswordComplexity
Einstellung ein, mit der IT-Administratoren weniger komplexe Kennwörter erstellen können. Mit diesem Feature können Sie LAPS so anpassen, dass alle vier Zeichenkategorien (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) wie bei der vorhandenen Komplexitätseinstellung von4
verwendet werden. Mit der neuen Einstellung von5
werden die komplexeren Zeichen ausgeschlossen, um die Lesbarkeit von Kennwörtern zu verbessern und Verwirrung zu minimieren. Beispielsweise werden die Ziffer 1 und der Buchstabe I nie mit der neuen Einstellung verwendet.Wenn
PasswordComplexity
für5
konfiguriert ist, werden die folgenden Änderungen am Standardzeichensatz für das Kennwortwörterbuch vorgenommen:- Verwenden Sie die folgenden Buchstaben nicht: I, O, Q, l, o
- Verwenden Sie die folgenden Zahlen nicht: 0, 1
- Verwenden Sie die folgenden Sonderzeichen nicht: ,, ., &, {, }, [, ], (, ), ;
- Verwenden Sie die folgenden Sonderzeichen: :, =, ?, *
Das ADUC-Snap-In (über die Microsoft-Verwaltungskonsole) verfügt jetzt über eine verbesserte Windows LAPS-Registerkarte. Das Windows LAPS-Kennwort wird nun in einer neuen Schriftart angezeigt, die die Lesbarkeit bei der Anzeige als Klartext verbessert.
Unterstützung von Aktionen nach der Authentifizierung für die Beendigung einzelner Prozesse: Der Gruppenrichtlinieneinstellung Aktionen nach Authentifizierung (Post-Authentication Actions, PAA) wurde eine neue Option (
Reset the password, sign out the managed account, and terminate any remaining processes
) hinzugefügt, die sich unter Computerkonfiguration>Administrative Vorlagen>System>LAPS>Aktionen nach Authentifizierung befindet.Diese neue Option ist eine Erweiterung der vorherigen Option
Reset the password and log off the managed account
. Nach der Konfiguration benachrichtigt die PAA die Benutzer und beendet dann alle interaktiven Anmeldesitzungen. Sie listet alle verbleibenden Prozesse auf und beendet sie, die noch unter der lokalen Kontoidentität ausgeführt werden, die von Windows LAPS verwaltet wird. Der Beendigung geht keine Benachrichtigung voraus.Die Erweiterung der Protokollierungsereignisse während der Ausführung von PAA bietet genauere Erkenntnisse zum Betrieb.
Weitere Informationen über Windows LAPS finden Sie unter What is Windows LAPS?.
OpenSSH
In früheren Versionen von Windows Server war das OpenSSH-Konnektivitätstool vor der Verwendung manuell installiert. Die serverseitige OpenSSH-Komponente wird standardmäßig in Windows Server 2025 installiert. Die Server-Manager UI enthält auch eine Ein-Schritt-Option unter Remote SSH-Zugriff, die den sshd.exe
Dienst aktiviert oder deaktiviert. Außerdem können Sie der Gruppe OpenSSH-Benutzer Benutzer hinzufügen, um den Zugriff auf Ihre Geräte zuzulassen oder einzuschränken. Weitere Informationen finden Sie unter Übersicht über OpenSSH für Windows.
Sicherheitsgrundwerte
Durch die Implementierung einer angepassten Sicherheitsbaseline können Sie von Anfang an Sicherheitsmaßnahmen für Ihr Gerät oder Ihre VM-Rolle festlegen, die auf dem empfohlenen Sicherheitsstatus basieren. Diese Basislinie ist mit mehr als 350 vorkonfigurierten Windows-Sicherheitseinstellungen ausgestattet. Sie können die Einstellungen verwenden, um bestimmte Sicherheitseinstellungen anzuwenden und zu erzwingen, die den von Microsoft und Branchenstandards empfohlenen bewährten Methoden entsprechen. Weitere Informationen finden Sie unter Übersicht über OSConfig.
Virtualisierungsbasierte Sicherheitsenklaven
Eine virtualisierungsbasierte Sicherheitsenklave (VBS) ist eine softwarebasierte vertrauenswürdige Ausführungsumgebung innerhalb des Adressraums einer Hostanwendung. VBS-Enclaves verwenden die zugrunde liegende VBS-Technologie , um den sensiblen Teil einer Anwendung in einer sicheren Speicherpartition zu isolieren. VBS-Enclaves ermöglichen die Isolierung sensibler Workloads sowohl von der Hostanwendung als auch vom Rest des Systems.
Mithilfe von VBS-Enclaves lassen sich die Geheimnisse von Anwendungen schützen. Dies gelingt durch den Verzicht auf die Notwendigkeit, auf Administratoren zu vertrauen, und die Absicherung vor böswilligen Angreifern. Weitere Informationen finden Sie in der Win32-Referenz zu VBS-Enclaves.
Virtualisierungsbasierter Sicherheitsschlüsselschutz
Mit VBS-Schlüsselschutz können Windows-Entwickler kryptografische Schlüssel mithilfe von VBS sichern. VBS verwendet die CPU-Funktion für die Virtualisierungserweiterung, um eine isolierte Laufzeit außerhalb des normalen Betriebssystems zu erstellen.
Bei Verwendung sind VBS-Schlüssel innerhalb eines sicheren Prozesses isoliert. Schlüsselvorgänge können ausgeführt werden, ohne dass privates Schlüsselmaterial außerhalb dieses Raums verfügbar wird. Im Ruhezustand verschlüsselt ein TPM-Schlüssel privates Schlüsselmaterial. Dadurch wird der VBS-Schlüssel an das Gerät gebunden. Auf diese Weise geschützte Schlüssel können nicht aus dem Prozessspeicher oder in Nur-Text vom Computer eines Benutzers exportiert werden.
DER VBS-Schlüsselschutz verhindert Exfiltrationsangriffe von Angreifern auf Administratorebene. VBS muss aktiviert sein, um den Schlüsselschutz verwenden zu können. Informationen zum Aktivieren von VBS finden Sie unter Aktivieren der Speicherintegrität.
Gesicherte Konnektivität
In den folgenden Abschnitten wird die Sicherheit für Verbindungen erläutert.
Sichere Zertifikatverwaltung
Das Durchsuchen oder Abrufen von Zertifikaten unter Windows unterstützt jetzt SHA-256-Hashes, wie in den Funktionen CertFindCertificateInStore und CertGetCertificateContextPropertybeschrieben. Die TLS-Serverauthentifizierung ist in Windows sicherer und erfordert jetzt eine minimale RSA-Schlüssellänge von 2.048 Bits. Weitere Informationen finden Sie unter TLS-Serverauthentifizierung: Veraltete schwache RSA-Zertifikate.
SMB über QUIC
Das zuvor nur in Windows Server Azure Edition verfügbare Serverfeature SMB over QUIC ist jetzt in Windows Server Standard- und Windows Server Datacenter-Versionen verfügbar. SMB over QUIC fügt die Vorteile der QUIC hinzu, die niedrige Latenz, verschlüsselte Verbindungen über das Internet bietet.
SMB over QUIC Enablement Policy
Administratoren können den Client für SMB über QUIC über die Gruppenrichtlinie und PowerShell deaktivieren. Wenn Sie SMB über QUIC mithilfe der Gruppenrichtlinie deaktivieren möchten, legen Sie die Richtlinie SMB über QUIC aktivieren in den folgenden Pfaden auf Deaktiviert fest:
- Computerkonfiguration\Administrative Vorlagen\Network\Lanman Workstation
- Computerkonfiguration\Administrative Vorlagen\Network\Lanman Server
Um SMB über QUIC mithilfe von PowerShell zu deaktivieren, führen Sie diesen Befehl in einer PowerShell-Eingabeaufforderung mit erhöhten Berechtigungen aus.
Set-SmbClientConfiguration -EnableSMBQUIC $false
Überwachen der SMB-Signatur und -Verschlüsselung
Administratoren können die Überwachung des SMB-Servers und -Clients aktivieren, um die SMB-Signatur und -Verschlüsselung zu unterstützen. Wenn ein Nicht-Microsoft-Client oder -Server keine Unterstützung für die SMB-Verschlüsselung oder -Signatur hat, kann er erkannt werden. Wenn ein Nicht-Microsoft-Gerät oder eine nicht von Microsoft stammende Software SMB 3.1.1 unterstützt, die SMB-Signatur jedoch nicht unterstützt, verstößt es gegen die SMB 3.1.1 Pre-Authentication Integrity-Protokollanforderung .
Sie können SMB-Signatur- und Verschlüsselungsüberwachungseinstellungen mithilfe von Gruppenrichtlinien oder PowerShell konfigurieren. Sie können diese Richtlinien in den folgenden Gruppenrichtlinienpfaden ändern:
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Verschlüsselung vom Überwachungsclient nicht unterstützt
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Signierung vom Überwachungsclient nicht unterstützt
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Verschlüsselung vom Überwachungsserver nicht unterstützt
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Signierung vom Überwachungsserver nicht unterstützt
Um diese Änderungen mithilfe von PowerShell vorzunehmen, führen Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. $true
dient zum Aktivieren und $false
zum Deaktivieren dieser Einstellungen:
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
Ereignisprotokolle für diese Änderungen werden in den folgenden Ereignisanzeigepfaden mit ihrer spezifischen Ereignis-ID gespeichert.
Pfad | Ereignis-ID |
---|---|
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
Überwachung von SMB über QUIC
Die Verbindungsüberwachung für den Client für SMB über QUIC erfasst Ereignisse, die in ein Ereignisprotokoll geschrieben werden, um den QUIC-Transport in die Ereignisanzeige einzuschließen. Diese Protokolle werden in den folgenden Pfaden mit ihrer spezifischen Ereignis-ID gespeichert.
Pfad | Ereignis-ID |
---|---|
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity | 30832 |
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Connectivity | 1913 |
SMB über QUIC-Clientzugriffskontrolle
Windows Server 2025 umfasst die Clientzugriffssteuerung für SMB über QUIC. SMB over QUIC ist eine Alternative zu TCP und RDMA, die sichere Konnektivität zu Edgedateiservern über nicht vertrauenswürdige Netzwerke bereitstellt. Die Clientzugriffssteuerung führt weitere Steuerelemente ein, um den Zugriff auf Ihre Daten mithilfe von Zertifikaten einzuschränken. Weitere Informationen finden Sie unter Funktionsweise der Clientzugriffskontrolle.
Alternative SMB-Ports
Sie können den SMB-Client verwenden, um eine Verbindung mit alternativen TCP-, QUIC- und RDMA-Ports anstelle ihrer IANA/IETF-Standardwerte von 445, 5445 und 443 herzustellen. Sie können alternative Ports über Gruppenrichtlinien oder PowerShell konfigurieren. Zuvor hat der SMB-Server in Windows eingehende Verbindungen für die Verwendung des IANA-registrierten Ports TCP/445 vorgeschrieben, während der SMB-TCP-Client nur ausgehende Verbindungen mit demselben TCP-Port erlaubte. Jetzt ermöglicht SMB over QUIC alternative Ports für SMB, bei denen QUIC-vorgeschriebene UDP/443-Ports sowohl für Server- als auch für Clientgeräte verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren alternativer SMB-Ports.
Härtung der SMB-Firewall-Regeln
Bei der Erstellung einer Freigabe wurden die SMB-Firewallregeln zuvor automatisch so konfiguriert, dass die Gruppe Datei- und Druckerfreigabe für die relevanten Firewallprofile aktiviert wurde. Die Erstellung einer SMB-Freigabe in Windows führt nun zur automatischen Konfiguration der neuen Gruppe Datei- und Druckerfreigabe (Restriktiv), die eingehende NetBIOS-Ports 137-139 nicht mehr zulässt. Weitere Informationen finden Sie unter Aktualisierte Firewallregeln.
SMB-Verschlüsselung
Die SMB-Verschlüsselung wird für alle ausgehenden SMB-Clientverbindungen aktiviert. Mit diesem Update können Administratoren ein Mandat festlegen, das alle Zielserver SMB 3.x und Verschlüsselung unterstützen. Wenn auf einem Server diese Funktionen fehlen, kann der Client keine Verbindung herstellen.
SMB-Authentifizierungs-Ratenbegrenzer
Der Grenzwert für die SMB-Authentifizierungsrate begrenzt die Anzahl der Authentifizierungsversuche innerhalb eines bestimmten Zeitraums. Der SMB-Authentifizierungsratengrenzer hilft bei der Bekämpfung von Brute-Force-Authentifizierungsangriffen. Der Dienst für den SMB-Server verwendet den Authentifizierungsratengrenzer, um eine Verzögerung zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch zu implementieren. Der Dienst ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Funktionsweise des SMB-Authentifizierungsratenlimiters.
SMB NTLM deaktivieren
Ab Windows Server 2025 unterstützt der SMB-Client ntLM-Blockierung für ausgehende Remoteverbindungen. Zuvor hat der Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) Kerberos, NTLM und andere Mechanismen mit dem Zielserver ausgehandelt, um ein unterstütztes Sicherheitspaket zu ermitteln. Weitere Informationen finden Sie unter Blockieren von NTLM-Verbindungen auf SMB.
SMB-Dialektsteuerung
Sie können jetzt SMB-Dialekte in Windows verwalten. Bei der Konfiguration bestimmt der SMB-Server, welche SMB 2- und SMB 3-Dialekte er im Vergleich zum vorherigen Verhalten aushandelt und vergleicht nur den höchsten Dialekt.
SMB-Signatur
SMB-Signierung ist jetzt standardmäßig für alle ausgehenden SMB-Verbindungen erforderlich. Zuvor war dies nur erforderlich, wenn Sie eine Verbindung mit Freigaben mit dem Namen SYSVOL und NETLOGON auf Active Directory-DCs hergestellt haben. Weitere Informationen finden Sie unter Funktionsweise der Signierung.
Remotemailslot
Das RemoteMaillot-Protokoll ist standardmäßig für SMB und für die Verwendung des DC Locator-Protokolls mit Active Directory deaktiviert. RemoteMaillot kann in einer späteren Version entfernt werden. Weitere Informationen finden Sie unter Features, die wir nicht mehr entwickeln.
Härten von Routing- und Remotezugriffsdiensten
Standardmäßig akzeptieren neue RRAS-Installationen (Routing and Remote Access Services) keine VPN-Verbindungen basierend auf PPTP und L2TP. Sie können diese Protokolle bei Bedarf weiterhin aktivieren. VPN-Verbindungen, die auf SSTP und IKEv2 basieren, werden weiterhin ohne Änderung akzeptiert.
Vorhandene Konfigurationen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren und ein Upgrade auf Windows Server 2025 mithilfe eines direkten Upgrades durchführen, werden Verbindungen, die auf L2TP und PPTP basieren, weiterhin akzeptiert. Diese Änderung wirkt sich nicht auf Windows-Clientbetriebssysteme aus. Weitere Informationen zur Wiederaktivierung von PPTP und L2TP finden Sie unter Konfigurieren von VPN-Protokollen.
Hyper-V, KI und Leistung
In den folgenden Abschnitten werden Hyper-V, KI und Leistung erläutert.
Beschleunigter Netzwerkbetrieb
Beschleunigter Netzwerkbetrieb (AccelNet) erleichtert die Verwaltung der E/A-Virtualisierung mit Einzelstamm (SR-IOV) für virtuelle Maschinen (VMs), die auf Windows Server 2025-Clustern gehostet werden. Dieses Feature verwendet den hochleistungsorientierten SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. AccelNet enthält auch eine Verwaltungsebene, die die Erforderliche Überprüfung, Hostkonfiguration und VM-Leistungseinstellungen behandelt. Weitere Informationen finden Sie unter "Beschleunigtes Netzwerk" am Edge (Vorschau).
Hyper-V-Manager
Wenn Sie eine neue VM über Hyper-V Manager erstellen, ist Generation 2 jetzt als Standardoption im Assistenten für neue virtuelle Computer festgelegt.
Hypervisor-erzwungene Pagingübersetzung
Hypervisor-erzwungene Pagingübersetzung (HVPT) ist eine Sicherheitsverbesserung, um die Integrität linearer Adressübersetzungen zu erzwingen. HVPT schützt kritische Systemdaten vor Schreib-was-wo-Angriffen, bei denen der Angreifer einen beliebigen Wert an einen beliebigen Ort schreibt, häufig als Ergebnis eines Pufferüberlaufs. HVPT schützt Seitentabellen, die wichtige Systemdatenstrukturen konfigurieren. HVPT enthält alles, was bereits mit hypervisorgeschützter Codeintegrität (HVCI) gesichert ist. HVPT ist standardmäßig aktiviert, wo Hardwareunterstützung verfügbar ist. HVPT ist nicht aktiviert, wenn Windows Server als Gast in einer VM ausgeführt wird.
GPU-Partitionierung
Sie können ein physisches GPU-Gerät mit mehreren VMs freigeben, indem Sie die GPU-Partitionierung nutzen. Anstatt die gesamte GPU einem einzelnen virtuellen Computer zuzuweisen, weist die GPU-Partitionierung (GPU-P) dedizierte Brüche der GPU jedem virtuellen Computer zu. Bei Hyper-V mit GPU-P-Hochverfügbarkeit wird automatisch eine GPU-P-VM auf einem anderen Clusterknoten aktiviert, wenn eine ungeplante Downtime auftritt.
GPU-P Live Migration bietet eine Lösung zum Verschieben einer VM (für geplante Ausfallzeiten oder Lastenausgleich) mit GPU-P auf einen anderen Knoten, unabhängig davon, ob sie eigenständig oder gruppiert ist. Weitere Informationen zur GPU-Partitionierung finden Sie unter GPU-Partitionierung.
Kompatibilität dynamischer Prozessoren
Der Kompatibilitätsmodus für dynamische Prozessor wird aktualisiert, um neue Prozessorfunktionen in einer gruppierten Umgebung nutzen zu können. Die Dynamische Prozessorkompatibilität verwendet die maximale Anzahl der Prozessorfunktionen, die auf allen Servern in einem Cluster verfügbar sind. Der Modus verbessert die Leistung im Vergleich zur vorherigen Version der Prozessorkompatibilität.
Sie können auch die Kompatibilität dynamischer Prozessoren nutzen, um seinen Zustand zwischen Virtualisierungshosts zu speichern, die unterschiedliche Generationen von Prozessoren verwenden. Der Prozessorkompatibilitätsmodus bietet jetzt erweiterte, dynamische Funktionen für Prozessoren, die in der Lage sind, Adressübersetzung auf zweiter Ebene durchzuführen. Weitere Informationen zum aktualisierten Kompatibilitätsmodus finden Sie im Kompatibilitätsmodus für dynamische Prozessor.
Arbeitsgruppencluster
Hyper-V Arbeitsgruppencluster sind ein spezieller Typ von Windows Server-Failover-Cluster, bei dem die Hyper-V Clusterknoten keine Mitglieder einer Active Directory-Domäne sind und die Fähigkeit haben, virtuelle Maschinen in einem Arbeitsgruppencluster live zu migrieren.
Network ATC
Das Netzwerk-ATC optimiert die Bereitstellung und Verwaltung von Netzwerkkonfigurationen für Windows Server 2025-Cluster. Netzwerk ATC verwendet einen absichtsbasierten Ansatz, bei dem Benutzende ihre gewünschten Absichten angeben, z. B. Verwaltung, Compute oder Speicher für einen Netzwerkadapter. Die Bereitstellung erfolgt automatisiert basierend auf der beabsichtigten Konfiguration.
Dieser Ansatz reduziert die Zeit, Komplexität und Fehler, die mit der Hostnetzwerkbereitstellung verbunden sind. Dadurch wird die Konfigurationskonsistenz im gesamten Cluster sichergestellt und auch die Konfigurationsabweichung beseitigt. Weitere Informationen finden Sie unter Bereitstellen von Hostnetzwerken mit Network ATC.
Skalierbarkeit
Mit Windows Server 2025 unterstützt Hyper-V jetzt bis zu 4 Petabyte Arbeitsspeicher und 2.048 logische Prozessoren pro Host. Diese Erhöhung ermöglicht eine höhere Skalierbarkeit und Leistung für virtualisierte Workloads.
Windows Server 2025 unterstützt auch bis zu 240 TB Arbeitsspeicher und 2.048 virtuelle Prozessoren für VMs der Generation 2, was eine höhere Flexibilität für die Ausführung großer Workloads bietet. Weitere Informationen finden Sie unter Plan for Hyper-V skalierbarkeit in Windows Server.
Storage
In den folgenden Abschnitten werden Speicherupdates beschrieben.
Blockieren der Klonungsunterstützung
Dev Drive unterstützt nun ab Windows 11 24H2 und Windows Server 2025 das Klonen von Blöcken. Da Dev Drive das ReFS-Format (Resilient File System) verwendet, bietet die Block-Kloning-Unterstützung erhebliche Leistungsvorteile, wenn Sie Dateien kopieren. Mit dem Block-Kloning kann das Dateisystem einen Bereich von Dateibytes für eine Anwendung als kostengünstige Metadaten-Operation kopieren, anstatt teure Lese- und Schreibvorgänge auf den zugrunde liegenden physischen Daten auszuführen.
Dies führt dazu, dass das Kopieren von Dateien schneller abgeschlossen, E/A auf den zugrunde liegenden Speicher reduziert und die Speicherkapazität verbessert wird, indem mehrere Dateien dieselben logischen Cluster gemeinsam nutzen können. Weitere Informationen finden Sie unter Klonen von Blöcken in ReFS.
Dev Drive
Dev Drive ist ein Speichervolume, das die Leistung wichtiger Entwicklerworkloads verbessern soll. Dev Drive verwendet ReFS-Technologie und enthält spezifische Dateisystemoptimierungen, um eine bessere Kontrolle über die Speichervolumeseinstellungen und -sicherheit zu bieten. Administratoren haben jetzt die Möglichkeit, Vertrauensstellungen festzulegen, Antivireneinstellungen zu konfigurieren und administrative Kontrolle über angefügte Filter auszuüben. Weitere Informationen finden Sie unter Einrichten eines Dev Drive unter Windows 11.
NVMe
NVMe ist ein neuer Standard für schnelle Festkörperlaufwerke. Die NVMe-Speicherleistung ist in Windows Server 2025 optimiert. Das Ergebnis ist eine verbesserte Leistung mit einer Erhöhung der IOPS und einer Abnahme der CPU-Auslastung.
Speicherreplikatkomprimierung
Die Speicherreplikatkomprimierung reduziert die Menge der Daten, die während der Replikation über das Netzwerk übertragen werden. Weitere Informationen zur Komprimierung im Speicherreplikat finden Sie unter Übersicht über Speicherreplikate.
Erweitertes Speicherreplikat-Protokoll
Das erweiterte Speicherreplikatprotokoll hilft bei der Protokollimplementierung, um die Leistungseinbußen zu beseitigen, die mit Dateisystemabstraktionen verbunden sind. Die Blockreplikationsleistung wird verbessert. Weitere Informationen finden Sie unter Erweitertes Speicherreplikatprotokoll.
ReFS Native Storage Deduplizierung und Komprimierung
ReFS-native Speicherdeduplizierung und -komprimierung sind Techniken, die zur Optimierung der Speichereffizienz sowohl für statische als auch für aktive Workloads verwendet werden, z. B. Dateiserver oder virtuelle Desktops. Weitere Informationen zur ReFS-Deduplizierung und -komprimierung finden Sie unter Optimieren des Speichers mit ReFS-Deduplizierung und Komprimierung in Azure Local.
Bereitgestellte Dünnvolumes
Thin provisioned volumes with Speicherplätze Direct are a way to allocate storage resources more efficiently and avoid costly overallocation by allocating from the pool only when needed in a cluster. Sie können fest auch in dünn bereitgestellte Volumes konvertieren. Beim Konvertieren von fest in dünn bereitgestellten Volumes werden alle nicht verwendeten Speicher für andere Volumes zurück in den Pool zurückgegeben. Weitere Informationen zu dünn bereitgestellten Volumes finden Sie unter "Thin Provisioning für Speicher".
Server Message Block
Server Message Block (SMB) ist eines der am häufigsten verwendeten Protokolle in Netzwerken. SMB ermöglicht das zuverlässige Teilen von Dateien und anderen Ressourcen zwischen Geräten in Ihrem Netzwerk. Windows Server 2025 enthält SMB-Komprimierungsunterstützung für den Branchenstandard-LZ4-Komprimierungsalgorithmus. LZ4 ist eine Ergänzung zur bestehenden Unterstützung von XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 und PATTERN_V1.
Azure Arc und Hybrid
In den folgenden Abschnitten werden Azure Arc und Hybridkonfigurationen erläutert.
Vereinfachtes Azure Arc-Setup
Azure Arc Setup ist eine Bedarfsfunktion und wird daher standardmäßig installiert. Eine benutzerfreundliche Assistentenschnittstelle und ein Taskleistensymbol in der Taskleiste helfen, den Prozess des Hinzufügens von Servern zu Azure Arc zu erleichtern. Azure Arc erweitert die Funktionen der Azure-Plattform, sodass Sie Anwendungen und Dienste erstellen können, die in verschiedenen Umgebungen funktionieren können. Zu diesen Umgebungen gehören Rechenzentren, Edge- und Multicloudumgebungen und bieten eine höhere Flexibilität. Weitere Informationen finden Sie unter Verbinden von Windows Server-Computern mit Azure Über Azure Arc Setup.
Pay-as-you-go-Lizenzierung
Die Pay-as-you-go-Lizenzoption für Azure Arc-Abonnements ist eine Alternative zur herkömmlichen unbefristeten Lizenzierung für Windows Server 2025. Mit der Option "Pay-as-you-go" können Sie ein Windows Server-Gerät bereitstellen, es lizenzieren und nur so viel bezahlen, wie Sie es verwenden. Dieses Feature wird über Azure Arc erleichtert und über Ihr Azure-Abonnement in Rechnung gestellt. Weitere Informationen finden Sie unter Azure Arc-Lizenzierung mit nutzungsbasierter Bezahlung.
Windows Server-Verwaltung mit Azure Arc-Unterstützung
Die von Azure Arc aktivierte Windows Server-Verwaltung bietet Kunden mit Windows Server-Lizenzen mit aktiven Software Assurance- oder Windows Server-Lizenzen, die aktive Abonnementlizenzen sind, neue Vorteile. Windows Server 2025 bietet die folgenden wichtigsten Vorteile:
- Windows Admin Center in Azure Arc: Integriert Azure Arc in Windows Admin Center, sodass Sie Ihre Windows Server-Instanzen über das Azure Arc-Portal verwalten können. Diese Integration bietet eine einheitliche Verwaltungsoberfläche für Ihre Windows Server-Instanzen, unabhängig davon, ob sie lokal, in der Cloud oder am Edge ausgeführt werden.
- Remoteunterstützung: Bietet Kunden mit professionellem Support die Möglichkeit, Just-in-Time-Zugriff mit detaillierten Ausführungstranskripts und Widerrufsrechten zu gewähren.
- Best Practices Assessment: Sammlung und Analyse von Serverdaten führt zu der Erkennung von Problemen und liefert Anleitungen zur Behebung sowie zur Leistungsverbesserung.
- Azure Site Recovery-Konfiguration: Die Konfiguration von Azure Site Recovery stellt die Geschäftskontinuität sicher und bietet Replikations- und Datenresilienz für kritische Workloads.
Weitere Informationen zur von Azure Arc aktivierten Windows Server-Verwaltung und den verfügbaren Vorteilen finden Sie unter Windows Server Management enabled by Azure Arc.
Softwaredefinierte Netzwerke
Software-Defined Networking (SDN) ist ein Ansatz für Netzwerke, mit dem Netzwerkadministratoren Netzwerkdienste über die Abstraktion von Funktionen auf niedrigerer Ebene verwalten können. SDN ermöglicht die Trennung der Netzwerksteuerungsebene, die das Netzwerk verwaltet, von der Datenebene, die den Datenverkehr verarbeitet. Diese Trennung ermöglicht eine höhere Flexibilität und Programmierbarkeit in der Netzwerkverwaltung. SDN bietet die folgenden Vorteile in Windows Server 2025:
- Netzwerkcontroller: Diese Steuerebene für SDN wird jetzt direkt als Failoverclusterdienste auf den physischen Hostcomputern gehostet. Durch die Verwendung einer Clusterrolle ist es nicht erforderlich, virtuelle Computer bereitzustellen, was die Bereitstellung und Verwaltung vereinfacht und Ressourcen spart.
- Tagbasierte Segmentierung: Administrierende können benutzerdefinierte Diensttags verwenden, um Netzwerksicherheitsgruppen (NSGs) und VMs für die Zugriffssteuerung zuzuordnen. Anstatt IP-Bereiche anzugeben, können Administratoren jetzt einfache, selbsterklärende Bezeichnungen verwenden, um Arbeitsauslastungs-VMs zu markieren und Sicherheitsrichtlinien basierend auf diesen Tags anzuwenden. Tags vereinfachen den Prozess der Verwaltung der Netzwerksicherheit und vermeiden die Notwendigkeit, IP-Bereiche zu merken und neu einzuschreiben. Weitere Informationen finden Sie unter Konfigurieren von Netzwerksicherheitsgruppen mit Tags im Windows Admin Center.
- Standardnetzwerkrichtlinien in Windows Server 2025: Diese Richtlinien bieten Azure-ähnliche Schutzoptionen für NSGs für Workloads, die über Windows Admin Center bereitgestellt werden. Die Standardrichtlinie verweigert den gesamten eingehenden Zugriff und ermöglicht das selektive Öffnen bekannter eingehender Ports, während der vollständige ausgehende Zugriff von Workload-VMs zulässig ist. Standardmäßige Netzwerkrichtlinien stellen sicher, dass Workload-VMs ab dem Zeitpunkt der Erstellung gesichert werden. Weitere Informationen finden Sie unter Verwenden von Standardrichtlinien für den Netzwerkzugriff auf virtuellen Computern in Azure Local, Version 23H2.
- SDN an mehreren Standorten: Dieses Feature bietet native Layer-2- und Layer-3-Konnektivität zwischen Anwendungen an zwei Standorten ohne zusätzliche Komponenten. Mit SDN Multisite können Anwendungen nahtlos verschoben werden, ohne dass die Anwendung oder Netzwerke neu konfiguriert werden müssen. Außerdem bietet es eine einheitliche Netzwerkrichtlinienverwaltung für Workloads, sodass Sie keine Richtlinien aktualisieren müssen, wenn eine Workload-VM von einem Speicherort zu einem anderen wechselt. Weitere Informationen finden Sie unter Was ist SDN Multisite?.
- Verbesserte Leistung von SDN-Layer 3-Gateways: Layer 3-Gateways erzielen einen höheren Durchsatz und reduzierte CPU-Zyklen. Diese Verbesserungen sind standardmäßig aktiviert. Benutzer erzielen automatisch eine bessere Leistung, wenn eine SDN-Gatewayebene 3-Verbindung über PowerShell oder Windows Admin Center konfiguriert ist.
Portabilität von Windows-Containern
Portabilität ist ein wichtiger Aspekt der Containerverwaltung. Sie kann Upgrades durch verbesserte Flexibilität und Kompatibilität von Containern in Windows vereinfachen.
Portabilität ist ein Windows Server-Feature, das Benutzer verwenden können, um Containerimages und die zugehörigen Daten zwischen verschiedenen Hosts oder Umgebungen zu verschieben, ohne dass Änderungen erforderlich sind. Benutzer können ein Containerimage auf einem Host erstellen und es dann auf einem anderen Host bereitstellen, ohne sich Gedanken über Kompatibilitätsprobleme machen zu müssen. Weitere Informationen finden Sie unter Portabilität für Container.
Windows Server-Insider-Programm
Das Windows Server-Insider-Programm bietet frühzeitigen Zugriff auf die neuesten Windows-Betriebssystemversionen für eine Community von Enthusiasten. Als Mitglied gehören Sie zu den Ersten, die neue Ideen und Konzepte ausprobieren, die Microsoft entwickelt. Nachdem Sie sich als Mitglied registriert haben, können Sie an verschiedenen Veröffentlichungskanälen teilnehmen. Navigieren Sie zu Start>Einstellungen>Windows Update>Windows-Insider-Programm.