Neuigkeiten in Windows Server 2025
In diesem Artikel werden einige der neuesten Entwicklungen in Windows Server 2025 beschrieben, die erweiterte Features zur Verbesserung der Sicherheit, Leistung und Flexibilität bieten. Dank schnellerer Speicheroptionen und der Möglichkeit zur Integration in hybride Cloudumgebungen ist die Verwaltung Ihrer Infrastruktur jetzt optimiert. Windows Server 2025 baut auf der starken Grundlage seines Vorgängers auf und führt eine Reihe innovativer Verbesserungen ein, um sich an Ihre Anforderungen anzupassen.
Wenn Sie die neuesten Features von Windows Server 2025 vor der offiziellen Version ausprobieren möchten, lesen Sie Erste Schritte mit Windows Server Insiders Preview.
Desktoperfahrung und -upgrade
Upgrade mit Windows Update
Sie können ein direktes Upgrade auf eine von zwei Arten ausführen: von Quellmedien oder Windows Update. Microsoft bietet eine optionale direkte Upgradefunktion über Windows Update, die als Funktionsupdate bezeichnet wird. Das Featureupdate ist für Windows Server 2019- und Windows Server 2022-Geräte verfügbar.
Wenn Sie ein Upgrade mit Windows Update über das Dialogfeld "Einstellungen" durchführen, können Sie die Installation direkt über Windows Update auf dem Desktop oder mithilfe von SConfig für Server Core ausführen. Ihre Organisation empfiehlt es sich möglicherweise, Upgrades inkrementell zu implementieren und die Verfügbarkeit dieses optionalen Upgrades mithilfe von Gruppenrichtlinien zu steuern.
Weitere Informationen zum Verwalten des Angebots von Featureupdates finden Sie unter Verwalten von Featureupdates mit Gruppenrichtlinien unter Windows Server.
Direktes Upgrade von Windows Server 2012 R2
Mit Windows Server 2025 können Sie jeweils bis zu vier Versionen aktualisieren. Sie können ein direktes Upgrade auf Windows Server 2025 von Windows Server 2012 R2 und höher durchführen.
Desktop-Shell
Wenn Sie sich zum ersten Mal anmelden, entspricht die Desktop-Shell-Umgebung dem Stil und der Darstellung von Windows 11.
Bluetooth
In Windows Server 2025 haben Sie nun die Möglichkeit, Mäuse, Tastaturen, Headsets, Audiogeräte und vieles mehr über Bluetooth zu verbinden.
DTrace
Windows Server 2025 enthält dtrace
als systemeigenes Tool. DTrace ist ein Befehlszeilenprogramm, mit dem Benutzer die Systemleistung in Echtzeit überwachen und Probleme beheben können. DTrace ermöglicht es Benutzern, sowohl den Kernel- als auch den Benutzerbereichscode dynamisch zu instrumentieren, ohne den Code selbst ändern zu müssen. Dieses leistungsstarke Tool unterstützt eine Reihe von Datenerfassungs- und Analysetechniken, wie Aggregationen, Histogramme und Ablaufverfolgung von Ereignissen auf Benutzerebene. Weitere Informationen finden Sie unter DTrace für die Befehlszeilenhilfe und DTrace unter Windows für weitere Funktionen.
E-Mail und Konten
Sie können jetzt die folgenden Kontotypen in den Windows-Einstellungen in "E-Mail- und Konten > für Konten" für Windows Server 2025 hinzufügen:
- Microsoft Entra ID
- Microsoft-Konto
- Geschäfts-, Schul- oder Unikonto
Es ist wichtig zu beachten, dass in den meisten Situationen weiterhin ein Domänenbeitritt erforderlich ist.
Feedback-Hub
Die Übermittlung von Feedback oder die Meldung von Problemen, die bei der Verwendung von Windows Server 2025 aufgetreten sind, kann jetzt über den Windows-Feedback-Hub durchgeführt werden. Sie können Screenshots oder Aufzeichnungen des Vorgangs, der das Problem verursacht hat, anhängen, damit wir Ihre Situation besser verstehen und Vorschläge zur Verbesserung Ihrer Windows-Erfahrung machen können. Um mehr zu erfahren, lesen Sie Erkunden des Feedback-Hubs.
Dateikomprimierung
Windows Server 2025 verfügt über ein neues Komprimierungsfeature beim Komprimieren eines Elements, indem mit der rechten Maustaste auf "Komprimieren" geklickt wird. Dieses Feature unterstützt die Komprimierungsformate ZIP, 7z und TAR mit bestimmten Komprimierungsmethoden für jedes.
Angeheftete Apps
Die Funktion zum Anheften der am häufigsten verwendeten Apps ist jetzt über das Startmenü verfügbar und kann individuell angepasst werden.. Die angehefteten Standard-Apps sind derzeit:
- Azure Arc Setup
- Feedback-Hub
- Datei-Explorer
- Microsoft Edge
- Server-Manager
- Einstellungen
- Terminal
- Windows PowerShell
Task-Manager
Windows Server 2025 verwendet die moderne Task-Manager-App mit Mica-Material , das dem Stil von Windows 11 entspricht.
WLAN
Es ist nun einfacher, Wireless-Funktionen zu aktivieren, da das Feature „Wireless LAN-Dienst“ jetzt standardmäßig installiert ist. Der drahtlose Startdienst ist auf manuell festgelegt und kann aktiviert werden, indem er in der Eingabeaufforderung, Windows-Terminal oder PowerShell ausgeführt net start wlansvc
wird.
Windows-Terminal
Die Windows-Terminal, eine leistungsstarke und effiziente Multishell-Anwendung für Befehlszeilenbenutzer, ist in Windows Server 2025 verfügbar. Suchen Sie in der Suchleiste nach Terminal .
WinGet
Winget ist standardmäßig installiert. Dies ist ein Windows-Paket-Managertool mit Befehlszeilen, die umfassende Paket-Manager-Lösungen zum Installieren von Anwendungen auf Windows-Geräten bereitstellt. Weitere Informationen finden Sie unter Installieren und Verwalten von Anwendungen mit dem Tool „winget“
Erweiterte mehrstufige Sicherheit
Hotpatch (Vorschau)
Hotpatch ist jetzt für Mit Azure Arc verbundene Windows Server 2025-Computer verfügbar, wenn sie im Azure Arc-Portal aktiviert sind. Hotpatch ermöglicht es Ihnen, Betriebssystem-Sicherheitsupdates anzuwenden, ohne den Computer neu starten zu müssen. Weitere Informationen finden Sie unter Hotpatch.
Wichtig
Azure Arc-fähiges Hotpatch befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Credential Guard
Ab Windows Server 2025 ist Credential Guard jetzt standardmäßig auf allen Geräten aktiviert, die die Anforderungen erfüllen. Weitere Informationen zu Credential Guard finden Sie in Credential Guard konfigurieren.
Active Directory Domain Services
Die neuesten Verbesserungen an Active Directory Domain Services (AD DS) und Active Directory Lightweight Domain Services (AD LDS) bieten eine Reihe neuer Funktionen und Möglichkeiten zur Optimierung Ihrer Domänenverwaltungserfahrung:
Optionale Funktion 32k-Datenbankseitengröße – AD verwendet seit seiner Einführung in Windows 2000 eine ESE-Datenbank (Extensible Storage Engine), die eine 8k-Datenbankseitengröße verwendet. Die architektonische Entscheidung für 8k hat zu Einschränkungen in AD geführt, die in Maximale Skalierbarkeit von AD dokumentiert sind. Ein Beispiel für diese Einschränkung ist, dass ein AD-Objekt mit einem einzelnen Datensatz nicht größer als 8k Bytes sein darf. Die Umstellung auf ein 32k-Datenbankseitenformat bietet eine enorme Verbesserung in Bereichen, die von veralteten Beschränkungen betroffen sind. So können mehrwertige Attribute jetzt bis zu ~3200 Werte enthalten, was einer Steigerung um den Faktor 2,6 entspricht.
Neue DCs können mit einer 32k-Datenbankseite installiert werden, die 64-Bit-LIDs (Long Value IDs) verwendet und in einem "8k-Seitenmodus" ausgeführt wird, um die Kompatibilität mit früheren Versionen zu gewährleisten. Ein aktualisierter DC verwendet weiterhin sein aktuelles Datenbankformat und 8k-Seiten. Die Umstellung auf 32k-Datenbankseiten erfolgt für die gesamte Gesamtstruktur und setzt voraus, dass alle DCs in der Gesamtstruktur über eine 32k-Seiten-fähige Datenbank verfügen.
AD-Schema-Updates – Es werden zwei neue LDFs (Log Database Files) eingeführt, die das AD-Schema erweitern,
sch89.ldf
,sch90.ldf
undsch91.ldf
. Die entsprechenden AD LDS-Schemaupdates befinden sich inMS-ADAM-Upgrade3.ldf
. Erfahren Sie unter Windows Server AD-Schema-Updates mehr über frühere Schema-Updates.AD-Objektreparatur – AD ermöglicht Unternehmensadministrator*innen jetzt, Objekte mit fehlenden Kernattributen SamAccountType und ObjectCategory zu reparieren. Unternehmensadministrator*innen können das LastLogonTimeStamp-Attribut für ein Objekt auf die aktuelle Uhrzeit zurücksetzen. Diese Vorgänge werden über ein neues RootDSE-Feature zur Vorgangsänderung vorgenommen, das als fixupObjectState bezeichnet wird.
Support für Kanalbindungs-Audits – Die Ereignisse 3074 und 3075 können jetzt für die LDAP-Kanalbindung (Lightweight Directory Access Protocol) aktiviert werden. Wenn die Kanalbindungsrichtlinie in eine sicherere Einstellung geändert wird, kann ein Administrator Geräte in der Umgebung identifizieren, die keine Kanalbindung unterstützen oder fehlschlagen. Diese Audit-Ereignisse sind auch in Windows Server 2022 und höher über KB4520412 verfügbar.
Verbesserungen am DC-Lokalisierungsalgorithmus – Der DC-Ermittlungsalgorithmus bietet neue Funktionen mit Verbesserungen bei der Zuordnung von kurzen Domänennamen im NetBIOS-Stil zu Domänennamen im DNS-Stil. Erfahren Sie mehr unter Änderungen am Active Directory DC-Locator.
Hinweis
Windows verwendet während der DC-Ermittlungsvorgänge keine Mailslots, da Microsoft die Abschaffung von WINS und Mailslots für diese veralteten Technologien angekündigt hat.
Funktionsebene Gesamtstruktur und Domäne – Der neue Funktionslevel wird für den allgemeinen Support verwendet und ist für die neue Funktion der 32K-Datenbankseitengröße erforderlich. Die neue Funktionsebene wird den Werten
DomainLevel 10
undForestLevel 10
für unbeaufsichtigte Installationen zugeordnet. Microsoft plant keine Nachrüstung der Funktionsebenen für Windows Server 2019 und Windows Server 2022. Um eine unbeaufsichtigte Herauf- und Herabstufung eines Domänencontrollers (DC) durchzuführen, lesen Sie DCPROMO-Antwortdatei-Syntax für die unbeaufsichtigte Herauf- und Herabstufung von Domänencontrollern.Die DsGetDcName-API (Application Programming Interface) unterstützt außerdem ein neues Flag
DS_DIRECTORY_SERVICE_13_REQUIRED
, das die Lokalisierung von DCs ermöglicht, die Windows Server 2025 ausführen. Weitere Informationen zu Funktionsebenen finden Sie in den folgenden Artikeln:Hinweis
Neue AD-Gesamtstrukturen oder AD LDS-Konfigurationssätze müssen über die Funktionsebene von Windows Server 2016 oder höher verfügen. Zum Heraufstufen eines AD- oder AD LDS-Replikats muss die vorhandene Domäne oder der Konfigurationssatz bereits mit einer Funktionsebene von Windows Server 2016 oder höher ausgeführt werden.
Microsoft empfiehlt allen Kunden, jetzt mit der Planung eines Upgrades ihrer AD- und AD LDS-Server auf Windows Server 2022 zu beginnen, um sich auf das nächste Release vorzubereiten.
Verbesserte Algorithmen für Name/SID-Suchvorgänge – Die LSA- (Local Security Authority, lokale Sicherheitsautorität) und SID-Suchweiterleitung zwischen Computerkonten verwendet nicht mehr den älteren sicheren Netlogon-Kanal. Stattdessen werden Kerberos-Authentifizierung und DC-Locator-Algorithmus verwendet. Um die Kompatibilität mit älteren Betriebssystemen zu wahren, kann auch der sichere Netlogon-Kanal weiterhin als Fallbackoption verwendet werden.
Verbesserte Sicherheit für vertrauliche Attribute – DCs und AD LDS-Instanzen ermöglichen nur das Hinzufügen, Suchen und Ändern von Vorgängen mit vertraulichen Attributen, wenn die Verbindung verschlüsselt ist.
Verbesserte Sicherheit für Computerkonto-Standardkennwörter – AD verwendet jetzt zufällig generierte Standardkennwörter für das Computerkonto. Windows 2025-DCs verhindern, dass Computerkontokennwörter auf das Standardkennwort des Computerkontonamens festgelegt werden.
Dieses Verhalten kann mithilfe der folgenden GPO-Einstellung gesteuert werden: Domänencontroller: Festlegen des Computerkonto-Standardkennwort verweigern in: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Hilfsprogramme wie Active Directory Administrative Center (ADAC), Active Directory-Benutzer und -Computer (ADUC),
net computer
unddsmod
berücksichtigen dieses neue Verhalten. Sowohl ADAC als auch ADUC lassen das Erstellen eines Vorabkontos für Windows 2000 nicht mehr zu.Kerberos PKINIT-Unterstützung für kryptografische Agilität – Die Implementierung des PKINIT-Protokolls (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) wurde aktualisiert, um kryptographische Flexibilität zu ermöglichen, indem mehr Algorithmen unterstützt und hartcodierte Algorithmen entfernt wurden.
LAN Manager GPO-Einstellung – Die GPO-Einstellung Netzwerksicherheit: LAN Manager Hash-Wert bei nächster Kennwortänderung nicht speichern ist nicht mehr vorhanden und gilt nicht mehr für neue Versionen von Windows.
LDAP-Standardverschlüsselung – Die gesamte Kommunikation von LDAP-Clients nach einer SASL-Bindung (Simple Authentication and Security Layer) verwendet standardmäßig die LDAP-Versiegelung. Weitere Informationen zu SASL finden Sie unter SASL-Authentifizierung.
LDAP-Unterstützung für TLS 1.3 – LDAP verwendet die neueste SCHANNEL-Implementierung und unterstützt TLS 1.3 für LDAP über TLS-Verbindungen. TLS 1.3 räumt mit veralteten Kryptografiealgorithmen auf, erhöht die Sicherheit gegenüber älteren Versionen und zielt darauf ab, einen möglichst großen Teil des Handshakes zu verschlüsseln. Um mehr zu erfahren, lesen Sie Protokolle in TLS/SSL (Schannel SSP) und TLS Cipher-Suites in Windows Server 2022.
Veraltetes SAM-RPC-Verhalten bei der Änderung von Kennwörtern – Sichere Protokolle wie Kerberos sind der bevorzugte Weg, um die Kennwörter von Domänenbenutzern zu ändern. Auf DCs wird die neueste SAM-RPC-Methode (SamrUnicodeChangePasswordUser4) zur Änderung von Kennwörtern mit AES standardmäßig akzeptiert, wenn sie remote aufgerufen wird. Die folgenden älteren SAM-RPC-Methoden werden bei einem Remoteaufruf standardmäßig blockiert:
Bei Domänenbenutzer*innen, die der Gruppe Geschützte Benutzer angehören, und für lokale Konten auf Domänenmitgliedscomputern werden alle Remotekennwortänderungen über die veraltete SAM-RPC-Schnittstelle standardmäßig blockiert, einschließlich
SamrUnicodeChangePasswordUser4
.Dieses Verhalten kann mit der folgenden Einstellung des Gruppenrichtlinienobjekts (GPO) gesteuert werden:
Computerkonfiguration > Administrative Vorlagen > System > Sicherheitskontenmanager > SAM-Richtlinie für RPC-Methoden zum Ändern des Kennworts konfigurieren
NUMA-Support – AD DS nutzt jetzt die Vorteile von NUMA-fähiger Hardware (Non-uniform Memory Access), indem es CPUs in allen Prozessorgruppen verwendet. Bisher wurden in AD nur CPUs in Gruppe 0 verwendet. Active Directory kann über 64 Kerne hinaus erweitert werden.
Leistungszähler – Die Überwachung und Fehlerbehebung der Leistung der folgenden Zähler ist jetzt verfügbar:
DC Locator – Client- und DC-spezifische Zähler verfügbar.
LSA Lookups - Name und SID über LsaLookupNames, LsaLookupSids und entsprechende APIs. Diese Zähler sind sowohl für Client- als auch für Server-SKUs verfügbar.
LDAP-Client – Verfügbar in Windows Server 2022 und höher über das KB 5029250-Update.
Replikationsprioritätsreihenfolge – AD bietet jetzt Administrator*innen die Möglichkeit, die vom System berechnete Replikationspriorität mit einem bestimmten Replikationspartner für einen bestimmten Namenskontext zu erhöhen. Dieses Feature ermöglicht mehr Flexibilität beim Konfigurieren der Replikationsreihenfolge, um bestimmte Szenarien zu behandeln.
Delegiertes verwaltetes Dienstkonto
Dieser neue Kontotyp ermöglicht die Migration von einem Dienstkonto zu einem delegierten verwalteten Dienstkonto (Delegated Managed Service Account, dMSA). Dieser Kontotyp enthält verwaltete und vollständig randomisierte Schlüssel, die minimale Anwendungsänderungen sicherstellen, während die ursprünglichen Kennwörter des Dienstkontos deaktiviert werden. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.
Windows Kennwortlösung für lokale Administratoren (LAPS)
Windows LAPS unterstützt Unternehmen bei der Verwaltung lokaler Administratorkennwörter auf ihren domänenverbundenen Computern. Es generiert automatisch eindeutige Kennwörter für das lokale Administratorkonto jedes Computers, speichert sie sicher in AD und aktualisiert sie regelmäßig. Automatisch generierte Kennwörter helfen, die Sicherheit zu verbessern, indem das Risiko verringert wird, dass Angreifer Zugriff auf sensible Systeme erhalten, indem sie kompromittierte oder leicht erratene Kennwörter verwenden.
In Microsoft LAPS wurden mehrere Funktionen eingeführt, die die folgenden Verbesserungen mit sich bringen:
Neue Funktion zur automatischen Kontoverwaltung
Mit dem neuesten Update können IT-Administratoren ganz einfach ein verwaltetes lokales Konto erstellen. Mit dieser Funktion können Sie den Kontonamen anpassen, das Konto aktivieren oder deaktivieren und sogar den Kontonamen nach dem Zufallsprinzip vergeben, um die Sicherheit zu erhöhen. Darüber hinaus beinhaltet das Update eine verbesserte Integration mit den bestehenden lokalen Kontoverwaltungsrichtlinien von Microsoft. Weitere Informationen zu dieser Funktion finden Sie unter Windows LAPS-Kontoverwaltungsmodi.
Neue Funktion zur Erkennung von Bild-Rollbacks
Windows LAPS erkennt jetzt, wenn ein Image-Rollback stattfindet. Wenn ein Rollback auftritt, stimmt das in AD gespeicherte Kennwort möglicherweise nicht mehr mit dem lokal auf dem Gerät gespeicherten Kennwort überein. Rollbacks können zu einem „zerrissenen Zustand“ führen, in dem der IT-Administrator nicht in der Lage ist, sich mit dem gespeicherten Windows LAPS-Kennwort am Gerät anzumelden.
Um dieses Problem zu beheben, wurde eine neue Funktion hinzugefügt, die ein AD-Attribut namens msLAPS-CurrentPasswordVersion enthält. Dieses Attribut enthält eine zufällige GUID, die von Windows LAPS jedes Mal geschrieben wird, wenn ein neues Kennwort im AD beibehalten und lokal gespeichert wird. Bei jedem Verarbeitungszyklus wird die in msLAPS-CurrentPasswordVersion gespeicherte GUID abgefragt und mit der lokal persistierten Kopie verglichen. Wenn sie unterschiedlich sind, wird das Passwort sofort geändert.
Um diese Funktion zu aktivieren, müssen Sie die neueste Version des Cmdlets
Update-LapsADSchema
ausführen. Sobald dies abgeschlossen ist, erkennt Windows LAPS das neue Attribut und beginnt, es zu verwenden. Wenn Sie die aktualisierte Version des CmdletsUpdate-LapsADSchema
nicht ausführen, protokolliert Windows LAPS ein 10108-Warnungsereignis im Ereignisprotokoll, funktioniert aber ansonsten weiterhin normal.Es werden keine Richtlinieneinstellungen zur Aktivierung oder Konfiguration dieser Funktion verwendet. Die Funktion ist immer aktiviert, sobald das neue Schemaattribut hinzugefügt wurde.
Neue Passphrase-Funktion
IT-Administratoren können jetzt eine neue Funktion in Windows LAPS nutzen, die die Generierung von weniger komplexen Passphrasen ermöglicht. Ein Beispiel wäre eine Passphrase wie EatYummyCaramelCandy, die im Vergleich zu einem herkömmlichen Kennwort wie V3r_b4tim#963? leichter zu lesen, zu merken und einzugeben ist.
Mit dieser neuen Funktion kann auch die Richtlinieneinstellung PasswordComplexity so konfiguriert werden, dass eine von drei verschiedenen Passphrase-Wortlisten ausgewählt wird, die alle in Windows enthalten sind, ohne dass ein separater Download erforderlich ist. Eine neue Richtlinieneinstellung namens PassphraseLength steuert die Anzahl der in der Passphrase verwendeten Wörter.
Beim Erstellen einer Passphrase wird die angegebene Anzahl von Wörtern nach dem Zufallsprinzip aus der gewählten Wortliste ausgewählt und aneinandergehängt. Der erste Buchstabe eines jeden Wortes wird groß geschrieben, um die Lesbarkeit zu verbessern. Diese Funktion unterstützt auch das Sichern von Passwörtern in Windows Server AD oder Microsoft Entra ID.
Die Wortlisten der Passphrasen, die in den drei neuen PasswordComplexity-Passphrasen-Einstellungen verwendet werden, stammen aus dem Artikel der Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Die Windows LAPS Passphrase Word Lists ist lizenziert unter der CC-BY-3.0 Attribution Lizenz und steht zum Download zur Verfügung.
Hinweis
Windows LAPS erlaubt weder die Anpassung der eingebauten Wortlisten noch die Verwendung von kundenkonfigurierten Wortlisten.
Verbesserte Lesbarkeit des Passwort-Wörterbuchs
Windows LAPS führt eine neue PasswordComplexity-Einstellung ein, die es IT-Administratoren ermöglicht, weniger komplexe Passwörter zu erstellen. Mit dieser Funktion können Sie LAPS so anpassen, dass alle vier Zeichenkategorien (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) wie bei der bestehenden Komplexitätseinstellung von 4 verwendet werden. Mit der neuen Einstellung von 5 werden jedoch die komplexeren Zeichen ausgeschlossen, um die Lesbarkeit des Passworts zu verbessern und Verwirrung zu vermeiden. So werden beispielsweise die Zahl „1“ und der Buchstabe „I“ bei der neuen Einstellung nie verwendet.
Wenn PasswordComplexity auf 5 konfiguriert ist, werden die folgenden Änderungen am Standardzeichensatz des Kennwortwörterbuchs vorgenommen:
- Verwenden Sie diese Buchstaben nicht: „I“, „O“, „Q“, „l“, „o“
- Verwenden Sie diese Zahlen nicht: „0“, „1“
- Verwenden Sie diese „Sonderzeichen“ nicht: „,“, „.“, „&“, „{“, „}“, „[“, „]“, „(“, „)“, „;“
- Verwenden Sie diese „Sonderzeichen“: „:“, „=“, „?“, „*“
Das Snap-In Active Directory-Benutzer und -Computer (über die Microsoft Management Console) verfügt jetzt über eine verbesserte Registerkarte Windows LAPS. Das Windows LAPS-Kennwort wird jetzt in einer neuen Schriftart angezeigt, die die Lesbarkeit des Kennworts verbessert, wenn es im Klartext angezeigt wird.
PostAuthenticationAction-Unterstützung für die Beendigung einzelner Prozesse
Der Gruppenrichtlinieneinstellung „PostAuthenticationActions (PAA)“ wird eine neue Option hinzugefügt: „Reset the password, sign out the managed account, and terminate any remaining processes” zu finden unter Computer Configuration > Administrative Templates > System > LAPS > Post-authentication actions.
Diese neue Option ist eine Erweiterung der bisherigen Option „Reset the password and sign out the managed account“. Nach der Konfiguration benachrichtigt das PAA alle interaktiven Anmeldesitzungen und beendet sie dann. Er listet alle verbleibenden Prozesse auf, die noch unter der von Windows LAPS verwalteten lokalen Kontoidentität laufen, und beendet sie. Es ist wichtig zu wissen, dass dieser Kündigung keine Benachrichtigung vorausgeht.
Darüber hinaus bietet die Erweiterung der Protokollierung von Ereignissen während der Ausführung von Aktionen nach der Authentifizierung tiefere Einblicke in den Vorgang.
Weitere Informationen über Windows LAPS finden Sie unter What is Windows LAPS?.
OpenSSH
In früheren Versionen von Windows Server war das OpenSSH-Konnektivitätstool vor der Verwendung manuell installiert. Die serverseitige OpenSSH-Komponente wird standardmäßig in Windows Server 2025 installiert. Die Server-Manager UI enthält auch eine Ein-Schritt-Option unter Remote SSH-Zugriff, die den sshd.exe
Dienst aktiviert oder deaktiviert. Außerdem können Sie der Gruppe OpenSSH-Benutzer Benutzer hinzufügen, um den Zugriff auf Ihre Geräte zuzulassen oder einzuschränken. Weitere Informationen finden Sie unter Übersicht über OpenSSH für Windows.
Sicherheitsbaseline
Durch die Implementierung einer angepassten Sicherheitsbaseline können Sie von Anfang an Sicherheitsmaßnahmen für Ihr Gerät oder Ihre VM-Rolle festlegen, die auf dem empfohlenen Sicherheitsstatus basieren. Diese Baseline umfasst mehr als 350 vorkonfigurierte Windows-Sicherheitseinstellungen, mit denen Sie bestimmte Sicherheitseinstellungen anwenden und erzwingen können, die den von Microsoft empfohlenen bewährten Methoden und den Branchenstandards entsprechen. Weitere Informationen finden Sie unter Übersicht über OSConfig.
Virtualisierungsbasierte Sicherheit (VBS) Enklaven
Eine VBS-Enclave ist eine softwarebasierte Trusted Execution Environment (vertrauenswürdige Ausführungsumgebung, TEE) im Adressraum einer Hostanwendung. VBS-Enclaves verwenden die zugrunde liegende VBS-Technologie , um den sensiblen Teil einer Anwendung in einer sicheren Speicherpartition zu isolieren. VBS-Enclaves ermöglichen die Isolierung sensibler Workloads sowohl von der Hostanwendung als auch vom Rest des Systems.
Mithilfe von VBS-Enclaves lassen sich die Geheimnisse von Anwendungen schützen. Dies gelingt durch den Verzicht auf die Notwendigkeit, auf Administratoren zu vertrauen, und die Absicherung vor böswilligen Angreifern. Weitere Informationen finden Sie in der Win32-Referenz zu VBS-Enclaves.
Virtualisierungsbasierte Sicherheit (VBS) – Schlüsselschutz
Mit dem VBS-Schlüsselschutz können Windows-Entwickler kryptografische Schlüssel mithilfe der virtualisierungsbasierten Sicherheit (VBS) schützen. VBS verwendet die CPU-Funktion für die Virtualisierungserweiterung, um eine isolierte Laufzeit außerhalb des normalen Betriebssystems zu erstellen. VBS-Schlüssel sind während der Verwendung in einem sicheren Prozess isoliert. Auf diese Weise können Schlüsselvorgänge ausgeführt werden, ohne dass privates Schlüsselmaterial außerhalb dieses Raums verfügbar wird. Privates Schlüsselmaterial wird im Ruhezustand durch einen TPM-Schlüssel verschlüsselt, durch den VBS-Schlüssel an das Gerät gebunden werden. Auf diese Weise geschützte Schlüssel können nicht aus dem Prozessspeicher oder in Nur-Text vom Computer eines Benutzers exportiert werden. DER VBS-Schlüsselschutz verhindert Exfiltrationsangriffe von Angreifern auf Administratorebene. VBS muss aktiviert sein, um den Schlüsselschutz verwenden zu können. Informationen zum Aktivieren von VBS finden Sie unter Aktivieren der Speicherintegrität .
Gesicherte Konnektivität
Sichere Zertifikatverwaltung
Die Suche oder das Abrufen von Zertifikaten unter Windows unterstützt jetzt SHA-256-Hashes, wie in den Funktionen CertFindCertificateInStore und CertGetCertificateContextProperty beschrieben. Die TLS-Serverauthentifizierung ist in Windows sicherer und erfordert jetzt eine minimale RSA-Schlüssellänge von 2.048 Bits. Weitere Informationen finden Sie unter TLS-Serverauthentifizierung: Veraltete schwache RSA-Zertifikate.
SMB über QUIC
Das zuvor nur in Windows Server Azure Edition verfügbare Serverfeature SMB over QUIC ist jetzt in Windows Server Standard- und Windows Server Datacenter-Versionen verfügbar. SMB over QUIC fügt die Vorteile der QUIC hinzu, die niedrige Latenz, verschlüsselte Verbindungen über das Internet bietet.
SMB over QUIC Enablement Policy
Administratoren können den Client für SMB über QUIC über die Gruppenrichtlinie und PowerShell deaktivieren. Um SMB über QUIC mithilfe der Gruppenrichtlinie zu deaktivieren, legen Sie die Richtlinie "SMB over QUIC aktivieren" in den folgenden Pfaden auf "Deaktiviert" fest:
Computer Configuration\Administrative Templates\Network\Lanman Workstation
Computer Configuration\Administrative Templates\Network\Lanman Server
Führen Sie zum Deaktivieren von SMB über QUIC mithilfe von PowerShell den folgenden Befehl an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus:
Set-SmbClientConfiguration -EnableSMBQUIC $false
Überwachen der SMB-Signatur und -Verschlüsselung
Administratoren können die Überwachung des SMB-Servers und -Clients aktivieren, um die SMB-Signatur und -Verschlüsselung zu unterstützen. Wenn ein Nicht-Microsoft-Client oder -Server keine Unterstützung für die SMB-Verschlüsselung oder -Signatur hat, kann er erkannt werden. Wenn ein Nicht-Microsoft-Gerät oder eine nicht von Microsoft stammende Software SMB 3.1.1 unterstützt, die SMB-Signatur jedoch nicht unterstützt, verstößt es gegen die SMB 3.1.1 Pre-Authentication Integrity-Protokollanforderung .
Sie können die Überwachungseinstellungen für SMB-Signatur und -Verschlüsselung mithilfe der Gruppenrichtlinie oder von PowerShell konfigurieren. Diese Richtlinien können in den folgenden Gruppenrichtlinienpfaden geändert werden:
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Verschlüsselung vom Überwachungsclient nicht unterstützt
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Signierung vom Überwachungsclient nicht unterstützt
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Verschlüsselung vom Überwachungsserver nicht unterstützt
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Signierung vom Überwachungsserver nicht unterstützt
Um diese Änderungen mithilfe von PowerShell vorzunehmen, führen Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. $true
dient zum Aktivieren und $false
zum Deaktivieren dieser Einstellungen:
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
Ereignisprotokolle für diese Änderungen werden mit ihrer jeweiligen Ereignis-ID in den folgenden Pfaden der Ereignisanzeige gespeichert.
Pfad | Ereignis-ID |
---|---|
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
Überwachung von SMB über QUIC
Die Verbindungsüberwachung für den Client für SMB über QUIC erfasst Ereignisse, die in ein Ereignisprotokoll geschrieben werden, um den QUIC-Transport in die Ereignisanzeige einzuschließen. Diese Protokolle werden mit ihrer jeweiligen Ereignis-ID in den folgenden Pfaden gespeichert:
Pfad | Ereignis-ID |
---|---|
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity | 30832 |
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Connectivity | 1913 |
SMB über QUIC-Clientzugriffskontrolle
Windows Server 2025 umfasst SMB über QUIC-Clientzugriffskontrolle. SMB over QUIC ist eine Alternative zu TCP und RDMA, die sichere Konnektivität zu Edgedateiservern über nicht vertrauenswürdige Netzwerke bereitstellt. Die Clientzugriffssteuerung führt weitere Steuerelemente ein, um den Zugriff auf Ihre Daten mithilfe von Zertifikaten einzuschränken. Weitere Informationen finden Sie unter Funktionsweise der Clientzugriffskontrolle.
Alternative SMB-Ports
Sie können den SMB-Client verwenden, um eine Verbindung mit alternativen TCP-, QUIC- und RDMA-Ports anstelle ihrer IANA/IETF-Standardwerte von 445, 5445 und 443 herzustellen. Alternative Ports können über Gruppenrichtlinien oder PowerShell konfiguriert werden. Zuvor haben SMB-Server in Windows eingehende Verbindungen für die Verwendung des IANA-registrierten Ports TCP/445 vorgeschrieben, während der SMB TCP-Client nur ausgehende Verbindungen mit demselben TCP-Port zugelassen hat. Jetzt ermöglicht SMB over QUIC alternative Ports für SMB, bei denen QUIC-vorgeschriebene UDP/443-Ports sowohl für Server- als auch für Clientgeräte verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren alternativer SMB-Ports.
SMB Firewall Rule Hardening
Bei der Erstellung einer Freigabe wurden die SMB-Firewallregeln automatisch so konfiguriert, dass die Gruppe "Datei- und Druckerfreigabe " für die relevanten Firewallprofile aktiviert wird. Die Erstellung einer SMB-Freigabe in Windows führt nun zur automatischen Konfiguration der neuen Gruppe "Datei- und Druckerfreigabe "Restriktiv ", die eingehende NetBIOS-Ports 137-139 nicht mehr zulässt. Weitere Informationen finden Sie unter Aktualisierte Firewallregeln.
SMB-Verschlüsselung
Die SMB-Verschlüsselung wird für alle ausgehenden SMB-Clientverbindungen aktiviert. Mit diesem Update können Administratoren ein Mandat festlegen, das alle Zielserver SMB 3.x und Verschlüsselung unterstützen. Wenn auf einem Server diese Funktionen fehlen, kann der Client keine Verbindung herstellen.
SMB-Authentifizierungsratenlimiter
Der Grenzwert für die SMB-Authentifizierungsrate ist so konzipiert, dass die Anzahl der Authentifizierungsversuche beschränkt wird, die innerhalb eines bestimmten Zeitraums durchgeführt werden können. Der SMB-Authentifizierungsratengrenzer hilft bei der Bekämpfung von Brute-Force-Authentifizierungsangriffen. Der SMB-Serverdienst verwendet den Authentifizierungsratengrenzer, um eine Verzögerung zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch zu implementieren und ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Funktionsweise des SMB-Authentifizierungsratenlimiters.
SMB NTLM deaktivieren
Ab Windows Server 2025 unterstützt der SMB-Client ntLM-Blockierung für ausgehende Remoteverbindungen. Zuvor hat der Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) Kerberos, NTLM und andere Mechanismen mit dem Zielserver ausgehandelt, um ein unterstütztes Sicherheitspaket zu ermitteln. Weitere Informationen finden Sie unter Blockieren von NTLM-Verbindungen auf SMB.
SMB-Dialekt-Steuerelement
Sie können jetzt SMB-Dialekte in Windows verwalten. Bei der Konfiguration bestimmt der SMB-Server, welche SMB 2- und SMB 3-Dialekte im Vergleich zum vorherigen Verhalten nur mit dem höchsten Dialekt verglichen werden.
SMB-Signatur
SMB-Signierung ist jetzt standardmäßig für alle ausgehenden SMB-Verbindungen erforderlich, bei denen es zuvor nur erforderlich war, wenn eine Verbindung mit Freigaben namens SYSVOL und NETLOGON auf AD-Domänencontrollern hergestellt wurde. Weitere Informationen finden Sie unter Funktionsweise der Signierung.
Remotemailslots
Das RemoteMaillot-Protokoll ist standardmäßig für SMB und für die Verwendung des DC-Locator-Protokolls mit Active Directory deaktiviert. RemoteMaillot kann in einer späteren Version entfernt werden. Weitere Informationen finden Sie unter Features, die wir nicht mehr entwickeln.
Härtung von Routing- und Remotezugriffsdiensten (RRAS)
Standardmäßig akzeptieren neue RRAS-Installationen (Routing and Remote Access Services) keine VPN-Verbindungen basierend auf PPTP- und L2TP-Protokollen. Sie können diese Protokolle weiterhin aktivieren, wenn notwendig. SSTP- und IKEv2-basierte VPN-Verbindungen werden weiterhin ohne Änderung akzeptiert.
Vorhandene Konfigurationen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren und ein Upgrade auf Windows Server 2025 mit einem direkten Upgrade durchführen, werden L2TP- und PPTP-basierte Verbindungen weiterhin akzeptiert. Diese Änderung wirkt sich nicht auf die Betriebssysteme für Windows-Clients aus. Weitere Informationen zum Erneuten Aktivieren von PPTP und L2TP finden Sie unter Konfigurieren von VPN-Protokollen.
Hyper-V, KI und Leistung
Beschleunigter Netzwerkbetrieb
Beschleunigtes Netzwerk (AccelNet) vereinfacht die Verwaltung der einzelnen I/O-Virtualisierung (SR-IOV) für virtuelle Computer (VM), die auf Windows Server 2025-Clustern gehostet werden. Dieses Feature verwendet den hochleistungsorientierten SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. AccelNet enthält auch eine Verwaltungsebene, die die Erforderliche Überprüfung, Hostkonfiguration und VM-Leistungseinstellungen behandelt. Weitere Informationen finden Sie unter "Beschleunigtes Netzwerk" am Edge (Vorschau).
Hyper-V-Manager
Wenn Sie einen neuen virtuellen Computer über den Hyper-V-Manager erstellen, wird generation 2 jetzt als Standardoption im Assistenten für neue virtuelle Computer festgelegt.
Hypervisor-erzwungene Pagingübersetzung
Hypervisor-erzwungene Pagingübersetzung (HVPT) ist eine Sicherheitsverbesserung, um die Integrität linearer Adressübersetzungen zu erzwingen. HVPT schützt kritische Systemdaten vor Schreib-was-wo-Angriffen, bei denen der Angreifer einen beliebigen Wert an einen beliebigen Ort schreibt, häufig als Ergebnis eines Pufferüberlaufs. HVPT schützt Seitentabellen, die wichtige Systemdatenstrukturen konfigurieren. HVPT enthält alles, was bereits mit hypervisorgeschützter Codeintegrität (HVCI) gesichert ist. HVPT ist standardmäßig aktiviert, wenn Hardwareunterstützung verfügbar ist. HVPT ist nicht aktiviert, wenn Windows Server als Gast in einer VM ausgeführt wird.
GPU-Partitionierung (GPU-P)
Die GPU-Partitionierung ermöglicht es Ihnen, ein physisches GPU-Gerät mit mehreren virtuellen Maschinen (VMs) zu teilen. Anstatt die gesamte GPU einem einzelnen virtuellen Computer zuzuweisen, weist die GPU-Partitionierung dedizierte Brüche der GPU jedem virtuellen Computer zu. Bei Hyper-V GPU-P High Availability wird eine GPU-P-VM bei ungeplanten Ausfallzeiten automatisch auf einem anderen Clusterknoten aktiviert. GPU-P Live Migration bietet eine Lösung zum Verschieben einer VM (für geplante Ausfallzeiten oder Lastenausgleich) mit GPU-P auf einen anderen Knoten, unabhängig davon, ob sie eigenständig oder gruppiert ist. Weitere Informationen zur GPU-Partitionierung finden Sie unter GPU-Partitionierung.
Kompatibilität dynamischer Prozessor
Der Kompatibilitätsmodus für dynamische Prozessor wird aktualisiert, um neue Prozessorfunktionen in einer gruppierten Umgebung zu nutzen. Die dynamische Prozessorkompatibilität verwendet die maximale Anzahl der Prozessorfunktionen, die auf allen Servern in einem Cluster verfügbar sind. Der Modus verbessert die Leistung im Vergleich zur vorherigen Version der Prozessorkompatibilität. Die Dynamische Prozessorkompatibilität ermöglicht es Ihnen auch, den Zustand zwischen Virtualisierungshosts zu speichern, die unterschiedliche Generationen von Prozessoren verwenden. Der Prozessorkompatibilitätsmodus bietet jetzt erweiterte, dynamische Funktionen für Prozessoren, die eine Adressübersetzung auf zweiter Ebene (Second-Level Address Translation, SLAT) bieten. Weitere Informationen zum aktualisierten Kompatibilitätsmodus finden Sie im Kompatibilitätsmodus für dynamische Prozessor.
Arbeitsgruppencluster
Hyper-V-Arbeitsgruppencluster sind ein spezieller Typ von Windows Server-Failovercluster, bei dem die Hyper-V-Clusterknoten keine Mitglieder einer Active Directory-Domäne sind und die Möglichkeit haben, virtuelle Computer in einem Arbeitsgruppencluster zu migrieren.
Network ATC
Das Netzwerk-ATC optimiert die Bereitstellung und Verwaltung von Netzwerkkonfigurationen für Windows Server 2025-Cluster. Netzwerk-ATC verwendet einen absichtsbasierten Ansatz, bei dem Benutzer ihre gewünschten Absichten angeben, z. B. Verwaltung, Compute oder Speicher für einen Netzwerkadapter, und die Bereitstellung wird basierend auf der beabsichtigten Konfiguration automatisiert. Dieser Ansatz reduziert die Zeit, Komplexität und Fehler im Zusammenhang mit der Hostnetzwerkbereitstellung, stellt die Konfigurationskonsistenz im gesamten Cluster sicher und beseitigt konfigurationsabweichungen. Weitere Informationen finden Sie unter Bereitstellen von Hostnetzwerken mit Network ATC.
Skalierbarkeit
Mit Windows Server 2025 unterstützt Hyper-V jetzt bis zu 4 Petabyte Arbeitsspeicher und 2.048 logische Prozessoren pro Host. Diese Erhöhung ermöglicht eine höhere Skalierbarkeit und Leistung für virtualisierte Workloads.
Windows Server 2025 unterstützt auch bis zu 240 TB Arbeitsspeicher und 2.048 virtuelle Prozessoren für VMs der Generation 2, was eine höhere Flexibilität für die Ausführung großer Workloads bietet. Weitere Informationen finden Sie unter Plan for Hyper-V skalierbarkeit in Windows Server.
Storage
Blockieren der Klonungsunterstützung
Ab Windows 11 24H2 und Windows Server 2025 unterstützt Dev Drive jetzt block cloning. Da Dev Drive das ReFS-Dateisystemformat verwendet, bietet die Unterstützung für block cloning erhebliche Leistungsvorteile beim Kopieren von Dateien. Mit block cloning kann das Dateisystem einen Bereich von Dateibytes im Namen einer Anwendung als kostengünstige Metadatenoperation kopieren, anstatt teure Lese- und Schreibvorgänge in die zugrunde liegenden physischen Daten auszuführen. Dies führt dazu, dass das Kopieren von Dateien schneller abgeschlossen, E/A auf den zugrunde liegenden Speicher reduziert und die Speicherkapazität verbessert wird, indem mehrere Dateien dieselben logischen Cluster gemeinsam nutzen können. Weitere Informationen finden Sie unter Klonen von Blöcken in ReFS.
Dev Drive
Dev Drive ist ein Speichervolume, das die Leistung wichtiger Entwicklerworkloads verbessern soll. Dev Drive nutzt die ReFS-Technologie und enthält spezifische Dateisystemoptimierungen, um eine bessere Kontrolle über die Einstellungen des Speichervolumens und die Sicherheit zu bieten. Dies umfasst die Möglichkeit, Vertrauensstellungen festzulegen, Antivireneinstellungen zu konfigurieren und administrative Kontrolle über angefügte Filter auszuüben. Weitere Informationen finden Sie unter Einrichten eines Dev Drive unter Windows 11.
NVMe
NVMe ist ein neuer Standard für schnelle SSD-Datenträger (Solid State Drive). Die NVMe-Speicherleistung wurde in Windows Server 2025 mit einer verbesserten Leistung optimiert, was zu einer Erhöhung der IOPS und einer Abnahme der CPU-Auslastung führt.
Speicherreplikatkomprimierung
Die Speicherreplikatkomprimierung reduziert die Datenmenge, die während der Replikation über das Netzwerk übertragen wird. Weitere Informationen zur Komprimierung im Speicherreplikat finden Sie unter "Übersicht über Speicherreplikate".
Erweitertes Speicherreplikat-Protokoll
Erweiterte Protokolle sind bei der Implementierung des Speicherreplikatprotokolls hilfreich, um die mit Dateisystemabstraktionen verbundenen Leistungskosten zu eliminieren, was zu einer verbesserten Blockreplikationsleistung führt. Weitere Informationen finden Sie unter Erweitertes Speicherreplikatprotokoll.
ReFS Native Storage Deduplizierung und Komprimierung
ReFS native Speicherdeduplizierung und Komprimierung sind Techniken, die verwendet werden, um die Speichereffizienz sowohl für statische als auch für aktive Workloads wie Dateiserver oder virtuelle Desktops zu optimieren. Weitere Informationen zur ReFS-Deduplizierung und -komprimierung finden Sie unter Optimieren des Speichers mit ReFS-Deduplizierung und Komprimierung in Azure Stack HCI.
Bereitgestellte Dünnvolumes
Thin provisioned volumes with Speicherplätze Direct are a way to allocate storage resources more efficiently and avoid costly overallocation by allocating from the pool only when needed in a cluster. Sie können fest auch in dünn bereitgestellte Volumes konvertieren. Beim Konvertieren von fest in dünn bereitgestellten Volumes werden alle nicht verwendeten Speicher für andere Volumes zurück in den Pool zurückgegeben. Weitere Informationen zu dünn bereitgestellten Volumes finden Sie unter "Thin Provisioning für Speicher".
Server Message Block
Server Message Block (SMB) ist eines der am weitesten verbreiteten Protokolle in Netzwerken, da es eine zuverlässige Möglichkeit bietet, Dateien und andere Ressourcen zwischen Geräten in Ihrem Netzwerk auszutauschen. Windows Server 2025 enthält SMB-Komprimierungsunterstützung für den Branchenstandard-LZ4-Komprimierungsalgorithmus. LZ4 ist neben smBs bestehende Unterstützung für XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 und PATTERN_V1.
Azure Arc und Hybrid
Vereinfachtes Azure Arc-Setup
Standardmäßig ist die Funktion zur Einrichtung von Azure Arc on-demand installiert, die eine einfach Assistentenoberfläche und ein Symbol in der Taskleiste bietet, um das Hinzufügen von Servern zu Azure Arc zu erleichtern. Azure Arc erweitert die Funktionalitäten der Azure-Plattform und lässt die Erstellung von Anwendungen und Diensten zu, die in verschiedenen Umgebungen betrieben werden können. Zu diesen Umgebungen gehören Rechenzentren, Edge-, Multicloud-Umgebungen und eine höhere Flexibilität. Weitere Informationen finden Sie unter Verbinden von Windows Server-Computern mit Azure Über Azure Arc Setup.
Pay-as-you-go-Lizenzierung
Die Zahlungs-as-You-Go-Abonnementlizenzierungsoption von Azure Arc ist eine Alternative zur herkömmlichen unbefristeten Lizenzierung für Windows Server 2025. Mit pay-as-you-go können Sie ein Windows Server-Gerät bereitstellen, es lizenzieren und nur so viel bezahlen wie Sie verwenden. Dieses Feature wird über Azure Arc erleichtert und über Ihr Azure-Abonnement in Rechnung gestellt. Erfahren Sie mehr über azure Arc Pay-as-you-go-Lizenzierung.
Windows Server-Verwaltung mit Azure Arc-Unterstützung
Die von Azure Arc aktivierte Windows Server-Verwaltung bietet Kunden mit Windows Server-Lizenzen mit aktiven Software Assurances- oder Windows Server-Lizenzen, die aktive Abonnementlizenzen sind, neue Vorteile. Windows Server 2025 bietet die folgenden wichtigsten Vorteile:
Windows Admin Center in Azure Arc: Windows Admin Center ist jetzt in Azure Arc integriert, sodass Sie Ihre Windows Server-Instanzen über das Azure Arc-Portal verwalten können. Diese Integration bietet eine einheitliche Verwaltungsoberfläche für Ihre Windows Server-Instanzen, unabhängig davon, ob sie lokal, in der Cloud oder am Edge ausgeführt werden.
Remotesupport: Bietet Kunden mit professionellem Support die Möglichkeit, just-in-time (JIT) Zugriff mit detaillierten Ausführungsaufzeichnungen und Widerrufsrechten zu gewähren.
Best Practices Assessment: Sammlung und Analyse von Serverdaten, um Probleme und Behebungsleitlinien und Leistungsverbesserungen zu generieren.
Azure Site Recovery-Konfiguration: Konfiguration von Azure Site Recovery, um die Geschäftskontinuität sicherzustellen, bietet Replikation und Datenresilienz für kritische Workloads.
Weitere Informationen zur von Azure Arc aktivierten Windows Server-Verwaltung und den verfügbaren Vorteilen finden Sie unter Windows Server Management enabled by Azure Arc.
Software-Defined Networking (SDN)
SDN ist ein Ansatz für Netzwerke, mit dem Netzwerkadministratoren Netzwerkdienste über die Abstraktion von Funktionen auf niedrigerer Ebene verwalten können. SDN ermöglicht die Trennung der Netzwerksteuerungsebene, die für die Verwaltung des Netzwerks verantwortlich ist, von der Datenebene, die den tatsächlichen Datenverkehr verarbeitet. Diese Trennung ermöglicht eine höhere Flexibilität und Programmierbarkeit in der Netzwerkverwaltung. SDN bietet die folgenden Vorteile in Windows Server 2025:
Der Netzwerkcontroller, der die Steuerebene für SDN ist, wird jetzt direkt als Failoverclusterdienste auf den physischen Hostcomputern gehostet. Durch die Verwendung einer Clusterrolle ist es nicht erforderlich, virtuelle Computer bereitzustellen, wodurch die Bereitstellung und Verwaltung vereinfacht wird, während Ressourcen gespart werden.
Mithilfe der tagbasierten Segmentierung können Administratoren benutzerdefinierte Diensttags verwenden, um Netzwerksicherheitsgruppen (Network Security Groups, NSGs) und VMs für die Zugriffssteuerung zuzuordnen. Anstatt IP-Bereiche anzugeben, können Administratoren jetzt einfache, selbsterklärende Bezeichnungen verwenden, um Arbeitsauslastungs-VMs zu markieren und Sicherheitsrichtlinien basierend auf diesen Tags anzuwenden. Tags vereinfachen den Prozess der Verwaltung der Netzwerksicherheit und vermeiden die Notwendigkeit, IP-Bereiche zu merken und neu einzuschreiben. Weitere Informationen finden Sie unter Konfigurieren von Netzwerksicherheitsgruppen mit Tags im Windows Admin Center.
Standardnetzwerkrichtlinien in Windows Server 2025 bieten Azure-ähnliche Schutzoptionen für NSGs für Workloads, die über Windows Admin Center bereitgestellt werden. Die Standardrichtlinie verweigert den gesamten eingehenden Zugriff und ermöglicht das selektive Öffnen bekannter eingehender Ports, während der vollständige ausgehende Zugriff von Workload-VMs zulässig ist. Standardmäßige Netzwerkrichtlinien stellen sicher, dass Arbeitsauslastungs-VMs vom Erstellungspunkt gesichert werden. Weitere Informationen finden Sie unter Verwenden von Standardrichtlinien für den Netzwerkzugriff auf virtuellen Computern auf Azure Stack HCI, Version 23H2.
SDN Multisite bietet native Layer 2- und Layer 3-Konnektivität zwischen Anwendungen an zwei Standorten ohne zusätzliche Komponenten. Dieses Feature ermöglicht eine nahtlose Bewegung von Anwendungen, ohne die Anwendung oder netzwerke neu konfigurieren zu müssen. Außerdem bietet es eine einheitliche Netzwerkrichtlinienverwaltung für Workloads, um sicherzustellen, dass Richtlinien nicht aktualisiert werden müssen, wenn eine Workload-VM von einem Speicherort zu einem anderen wechselt. Weitere Informationen finden Sie unter Was ist SDN Multisite?.
Die Leistung von SDN-Layer 3-Gateways wird verbessert, wodurch ein höherer Durchsatz erzielt und CPU-Zyklen reduziert werden. Diese Verbesserungen sind standardmäßig aktiviert. Benutzer erzielen automatisch eine bessere Leistung, wenn eine SDN-Gatewayebene 3-Verbindung über PowerShell oder Windows Admin Center konfiguriert ist.
Portabilität von Windows-Containern
Portabilität ist ein wichtiger Aspekt der Containerverwaltung. Sie kann Upgrades durch verbesserte Flexibilität und Kompatibilität von Containern in Windows vereinfachen. Portabilität ist ein Feature von Windows Server, mit dem Benutzer Containerimages und die zugehörigen Daten zwischen verschiedenen Hosts oder Umgebungen verschieben können, ohne dass Änderungen erforderlich sind. Benutzer können ein Containerimage auf einem Host erstellen und es dann auf einem anderen Host bereitstellen, ohne sich Gedanken über Kompatibilitätsprobleme machen zu müssen. Weitere Informationen finden Sie unter Portabilität für Container.
Windows Server-Insider-Programm
Das Windows Server-Insider-Programm bietet frühzeitigen Zugriff auf die neuesten Windows-Betriebssystemversionen für eine Community von Enthusiasten. Als Mitglied können Sie zu den ersten gehören, um neue Ideen und Konzepte auszuprobieren, die Microsoft entwickelt. Nachdem Sie sich als Mitglied registriert haben, können Sie sich für die Teilnahme an verschiedenen Veröffentlichungskanälen entscheiden, indem Sie über Windows Update zum Windows-Insider-Programm wechseln.