Windows Server 2025 の新機能
この記事では、セキュリティ、パフォーマンス、柔軟性を向上させる高度な機能を備える Windows Server 2025 の最新の開発について説明します。 より高速なストレージ オプションとハイブリッド クラウド環境と統合する機能により、インフラストラクチャの管理が効率化されました。 Windows Server 2025 は、先行の Windows Server の強力な基盤に基づいて構築され、ニーズに合わせてさまざまな革新的な機能強化が導入されています。
公式リリース前に Windows Server 2025 の最新機能を試したい場合は、 「Windows Server Insiders Preview の概要」を参照してください。
デスクトップ エクスペリエンスとアップグレード
Windows Update を使用したアップグレード
インプレース アップグレードは、ソース メディアまたは Windows Update の 2 つの方法のいずれかで実行できます。 Microsoft は、機能更新プログラムと呼ばれる Windows Update を通じて、オプションのインプレース アップグレード機能を提供しています。 この機能更新プログラムは、Windows Server 2019 および Windows Server 2022 デバイスで使用できます。
[設定] ダイアログから Windows Update を使用してアップグレードする場合は、デスクトップ内の Windows Update から直接、または Server Core の SConfig を使用してインストールを実行できます。 組織では、アップグレードを段階的に実装し、グループ ポリシーを使用してこのオプションのアップグレードの可用性を制御したい場合があります。
機能更新プログラムのオファーを管理する方法の詳細については、「windows Server のグループ ポリシーを使用した機能更新プログラムの管理を参照してください。
Windows Server 2012 R2 からのインプレース アップグレード
Windows Server 2025 では、一度に最大 4 つのバージョンをアップグレードできます。 Windows Server 2012 R2 以降から Windows Server 2025 に直接アップグレードできます。
デスクトップ シェル
初めてサインインすると、デスクトップ シェル エクスペリエンスは Windows 11 のスタイルと外観に準拠します。
Bluetooth
Windows Server 2025 で Bluetooth を使用してマウス、キーボード、ヘッドセット、オーディオ デバイスなどを接続できるようになりました。
DTrace
Windows Server 2025 には、ネイティブ ツールとして dtrace
が搭載されています。 DTrace は、ユーザーがシステム パフォーマンスをリアルタイムで監視およびトラブルシューティングできるコマンド ライン ユーティリティです。 DTrace を使用すると、ユーザーは、コード自体を変更することなく、カーネル コードとユーザー空間コードの両方を動的にインストルメント化できます。 この汎用性の高いツールは、集計、ヒストグラム、ユーザー レベルのイベントのトレースなど、さまざまなデータ収集と分析の手法をサポートします。 詳細については、「DTrace」でコマンド ライン ヘルプに関する情報を参照してください。その他の機能については、「Windows 上の DTrace」を参照してください。
電子メールとアカウント
Windows Server 2025 の Accounts > Email & accounts で、次の種類のアカウントを Windows 設定に追加できるようになりました。
- Microsoft Entra ID
- Microsoft アカウント
- 職場または学校アカウント
ほとんどの場合、ドメイン参加が必要であることにご注意ください。
フィードバック Hub
Windows Server 2025 の使用中に発生したフィードバックの送信または問題の報告は、Windows フィードバック Hub を使用して行えるようになりました。 問題が発生したプロセスのスクリーンショットや録画を添付していただくと、お客様の状況を理解し、Windows エクスペリエンスを向上させるための提案を共有することができます。 詳細については、 フィードバック Hubのページを参照してください。
ファイル圧縮
Windows Server 2025 には、 Compress to と呼ばれる右クリックを実行して項目を圧縮する際の新しい圧縮機能があります。 この機能では、 ZIP、 7z、 TAR の圧縮形式とそれぞれに固有の圧縮方法がサポートされています。
ピン留めされたアプリ
最も使用されているアプリのピン留めは、 スタート メニューから行えるようになり、ニーズに合わせてカスタマイズできるようになりました。 現在、既定のピン留めされたアプリは次のとおりです。
- Azure Arc のセットアップ
- フィードバック Hub
- エクスプローラー
- Microsoft Edge
- サーバー マネージャー
- 設定
- ターミナル
- Windows PowerShell
タスク マネージャ
Windows Server 2025 では、Windows 11 のスタイルに準拠マイカ 素材を備えた最新のタスク マネージャー アプリが使用されます。
Wi-Fi
ワイヤレス LAN サービス機能が既定でインストールされるようになったため、ワイヤレス機能を簡単に有効化できるようになりました。 ワイヤレス スタートアップ サービスは手動に設定され、コマンド プロンプト、Windows ターミナル、または PowerShell でnet start wlansvc
を実行して有効にすることができます。
Windows ターミナル
コマンド ライン ユーザー向けの強力で効率的なマルチシェル アプリケーションである Windows ターミナル は、Windows Server 2025 で使用できます。 検索バーで Terminal を検索します。
WinGet
Winget は既定でインストールされ、Windows デバイスにアプリケーションをインストールするための包括的なパッケージ マネージャー ソリューションを提供するコマンド ライン Windows パッケージ マネージャー ツールです。 詳細については、「winget ツールを使用したアプリケーションのインストールと管理」を参照してください。
高度な多層セキュリティ
ホットパッチ (プレビュー)
Azure Arc ポータルで有効にすると、Azure Arc に接続された Windows Server 2025 マシンでホットパッチを使用できるようになりました。 ホットパッチを使用すると、コンピューターを再起動しなくても OS セキュリティ更新プログラムを適用できます。 詳細については、ホットパッチに関するページを参照してください。
重要
Azure Arc 対応ホットパッチは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Credential Guard
Windows Server 2025 以降、要件を満たすデバイスでは Credential Guard が既定で有効になります。 Credential Guard の詳細については、「Credential Guard の構成」を参照してください。
[Active Directory ドメイン サービス]
Active Directory Domain Services (AD DS) と Active Directory Lightweight Domain Services (AD LDS) に行われた最新の機能強化では、ドメイン管理エクスペリエンスの最適化を目的とするさまざまな新機能が導入されています。
32k データベース ページ サイズのオプション機能 - AD では、8k データベース ページ サイズを使用する Windows 2000 の導入以降、拡張記憶域エンジン (E Standard Edition) データベースが使用されます。 8k アーキテクチャ設計の決定により、AD 全体に制限が生じ、 AD の最大制限のスケーラビリティに記載されています。 この制限の例としては、サイズが 8K バイトを超えることができない単一レコード AD オブジェクトがあります。 32k データベース ページ形式への移行により、複数値属性が最大 3200 個の値を保持できるようになりました。これは 2.6 倍に増加するなど、従来の制限によって影響を受ける領域が大幅に改善されました。
新しい DC は、64 ビット Long Value ID (LID) を使用し、以前のバージョンとの互換性を保つために「8k ページ モード」で実行される 32k ページ データベースとともにインストールできます。 アップグレードされた DC は、現在のデータベース形式と 8,000 ページを引き続き使用します。 32k データベース ページへの移行はフォレスト全体で行われ、フォレスト内のすべての DC に 32k ページ対応のデータベースが必要となります。
ADスキーマの更新 - AD スキーマを拡張する 3 つの新しいログ データベース ファイル (LDF)
sch89.ldf
、sch90.ldf
、sch91.ldf
が導入されました。 AD LDS と同等のスキーマの更新がMS-ADAM-Upgrade3.ldf
に含まれています。 以前のスキーマ更新の詳細については、 Windows Server AD スキーマの更新を参照してください.AD オブジェクトの修復- AD では、エンタープライズ管理者がコア属性 SamAccountType および ObjectCategoryが欠落しているオブジェクトを修復できるようになりました。 エンタープライズ管理者は、オブジェクトの LastLogonTimeStamp 属性を現在の時刻にリセットできます。 これらの操作は、 fixupObjectStateと呼ばれる、影響を受けるオブジェクトに対する新しい RootDSE 変更操作機能を通じて実現されます。
チャネル バインド監査のサポート - Lightweight Directory Access Protocol (LDAP) チャネル バインドに対して、イベント 3074 と 3075 を有効にできるようになりました。 チャネル バインド ポリシーをより安全な設定に変更すると、管理者は、チャネル バインドをサポートしていない、または失敗する環境内のデバイスを識別できます。 これらの監査イベントは、Windows Server 2022 以降でも KB4520412を介して使用できます。
DC 位置アルゴリズムの機能強化 - DC 検出アルゴリズムは、短い NetBIOS 形式のドメイン名から DNS 形式のドメイン名へのマッピングを改善する、新しい機能を提供します。 詳細については、「Active Directory DCロケーターの変更」を参照してください。
Note
Windows は、DC 検出操作中に mailslots を使用しません。マイクロソフトは、これらのレガシ テクノロジの WINS と mailslot の廃止を発表しています。
`フォレストとドメインの機能レベル - 新しい機能レベルは、一般的なサポートのために使用され、新しい 32K データベース ページ サイズ機能に必要です。 新しい機能レベルは、自動実行インストールの値
DomainLevel 10
と、自動実行インストールの値ForestLevel 10
にマップされます。 Microsoft には、Windows Server 2019 と Windows Server 2022 の機能レベルを新しく入れ替える予定はありません。 ドメイン コントローラー (DC) の自動昇格と降格を実行するには、「ドメイン コントローラーの自動昇格と降格に関する DCPROMO 応答ファイルの構文」を参照してください。DsGetDcName アプリケーション プログラミング インターフェイス (API) では、Windows Server 2025 を実行している DC の場所を有効にする新しいフラグ
DS_DIRECTORY_SERVICE_13_REQUIRED
もサポートされています。 機能レベルの詳細については、次の記事を参照してください。Note
AD フォレストまたは AD LDS の新しい構成セットには、Windows Server 2016 以上の機能レベルを与える必要があります。 AD または AD LDS レプリカの昇格には、既存のドメインまたは構成セットが既に Windows Server 2016 以上の機能レベルで実行されていることが必要になります。
Microsoft はすべてのお客様に、次のリリースの準備として、AD サーバーと AD LDS サーバーを Windows Server 2022 にアップグレードする計画を今すぐ開始することを推奨しています。
名前/SID ルックアップのアルゴリズムの改善- マシン アカウント間のローカル セキュリティ機関 (LSA) 名と Sid ルックアップ転送では、従来の Netlogon セキュア チャネルが使用されなくなりました。 代わりに、Kerberos 認証と DC ロケーター アルゴリズムが使用されます。 従来のオペレーティング システムとの互換性を維持するために、フォールバック オプションとして Netlogon セキュア チャネルを使用することも可能です。
機密属性のセキュリティが強化されました - DC と AD LDS インスタンスでは、LDAP が接続の暗号化時にのみ、機密属性に関連する操作を追加、検索、および変更できます。
デフォルトのマシンアカウントパスワードのセキュリティの向上- AD は、ランダムに生成されたデフォルトのコンピューター アカウント パスワードを使用するようになりました。 Windows 2025 DC では、コンピューター アカウントのパスワードをコンピューター アカウント名の既定のパスワードに設定することがブロックされます。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionsにある GPO 設定 ドメイン コントローラ: デフォルトのマシン アカウント パスワードの設定を拒否する を有効にすることで制御できます。
Active Directory 管理センター (ADAC)、Active Directory ユーザーとコンピューター (ADUC) などのユーティリティ
net computer
、とdsmod
新しい動作も尊重します。 ADAC と ADUC の両方で、2k 以前の Windows アカウントを作成できなくなりました。暗号化の俊敏性のための Kerberos PKINIT のサポート - Kerberos PKINIT (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) プロトコルの実装が更新され、より多くのアルゴリズムをサポートし、ハードコーディングされたアルゴリズムを削除することで、暗号化の俊敏性が実現しました。
LAN Manager GPO設定 - GPO 設定 ネットワーク セキュリティ: [次回のパスワード変更時に LAN Manager ハッシュ値を保存しない] は存在しなくなり、新しいバージョンの Windows にも適用されなくなりました。
デフォルトの LDAP 暗号化 - Simple Authentication and Security Layer (SASL) バインド後のすべての LDAP クライアント通信は、既定で LDAP シーリングを利用します。 SASL の詳細については、 SASL 認証に関するページを参照してください。
TLS 1.3 の LDAP サポート - LDAP は最新の SCHANNEL 実装を使用して、TLS 接続上の LDAP で TLS 1.3 をサポートします。 TLS 1.3 を使用することで、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化され、できるだけ多くのハンドシェイクの暗号化が目標とされています。 詳細については、 Windows Server 2022 の TLS/SSL (Schannel SSP) および TLS 暗号スイートのプロトコルに関するページを参照してください。
従来の SAM RPC パスワードの変更動作 - ドメイン ユーザーのパスワードを変更するには、Kerberos などの安全なプロトコルを使用することをお勧めします。 DC では、AES を使用した最新の SAM RPC パスワード変更メソッド SamrUnicodeChangePasswordUser4 がリモートで呼び出されると、既定で受け入れられます。 リモートで呼び出されたとき、次のレガシ SAM RPC がブロックされます。
保護対象ユーザー グループのメンバーであるドメイン ユーザー、およびドメイン メンバー コンピューターのローカル アカウントの場合、従来の SAM RPC インターフェイスを介したすべてのリモート パスワード変更は、
SamrUnicodeChangePasswordUser4
を含め、既定でブロックされます。この動作は、次のグループ ポリシー オブジェクト (GPO) 設定を使用して制御できます。
コンピューターの構成 > 管理用テンプレート > システム > セキュリティ アカウント マネージャー > SAM の構成 パスワードの変更RPC メソッド ポリシー
NUMAのサポート - AD DS は、すべてのプロセッサ グループの CPU を利用することで、Non-Uniform Memory Access (NUMA) 対応ハードウェアを利用できるようになりました。 以前は、AD はグループ 0 の CPU のみを使用していました。 Active Directory は 64 コアを超えて拡張できます。
パフォーマンス カウンター - 次のカウンターのパフォーマンスの監視とトラブルシューティングを利用できるようになりました。
DC ロケーター - クライアントおよび DC 固有のカウンターを使用できます。
LSA Lookups - Name および SID は、 LsaLookupNames、 LsaLookupSids、および同等の API を介した検索。 これらのカウンターは、クライアント SKU とサーバー SKU の両方で使用できます。
LDAP クライアント - Windows Server 2022 以降で KB 5029250 更新プログラムを使用して使用できます。
レプリケーションの優先順位 - AD を使用すると、管理者は、特定のネーミング コンテキストの特定のレプリケーション パートナーでシステムが計算したレプリケーションの優先順位を高めることができるようになりました。 この機能により、特定のシナリオに対処するため、レプリケーション順位を今までより柔軟に構成できます。
委任された管理サービス アカウント
この新しい種類のアカウントにより、サービス アカウントから委任された管理サービス アカウント (dMSA) への移行が可能になります。 このアカウントの種類には、マネージド キーと完全ランダム化キーが付属しており、元のサービス アカウント パスワードを無効にしながら、アプリケーションの変更を最小限に抑えます。 詳細については、 委任された管理サービスアカウントの概要を参照してください。
Windows ローカル管理者パスワード ソリューション (LAPS)
Windows LAPS は、組織が自分のドメインに参加しているコンピューターでローカル管理者のパスワードを管理するのに役立ちます。 Windows LAPS により、各コンピューターのローカル管理者アカウントに対して一意のパスワードが自動的に生成され、AD に安全に保存され、定期的に更新されます。 自動的に生成されたパスワードは、攻撃者が侵害された、または推測しやすいパスワードを使用して機密性の高いシステムにアクセスするリスクを減らすことで、セキュリティの向上に役立ちます。
Microsoft LAPS には、次のような改善を実現する機能が導入されています。
新しい自動アカウント管理機能
最新の更新プログラムを使用すると、IT 管理者はマネージド ローカル アカウントを簡単に作成できます。 この機能を使用すると、アカウント名をカスタマイズしたり、アカウントを有効または無効にしたり、アカウント名をランダム化してセキュリティを強化したりできます。 さらに、この更新プログラムでは、Microsoft の既存のローカル アカウント管理ポリシーとの統合が強化されています。 この機能の詳細については、 Windows LAPS アカウント管理モードに関するページを参照してください。
新しい画像ロールバック検出機能
Windows LAPS は、イメージのロールバックが発生したときにそれを検出するようになりました。 ロールバックが行われると、AD に格納されているパスワードが、デバイスにローカルに格納されているパスワードと一致しなくなる可能性があります。 ロールバックにより、永続化された Windows LAPS パスワードを使用して IT 管理者がデバイスにサインインできない "破損状態" が発生する可能性があります。
この問題に対処するために、 msLAPS-CurrentPasswordVersionという AD 属性を含む新しい機能が追加されました。 この属性には、新しいパスワードが AD に永続化され、ローカルに保存されるたびに、Windows LAPS によって書き込まれたランダムな GUID が含まれます。 すべての処理サイクル中に、 msLAPS-CurrentPasswordVersion に保存された GUID が照会され、ローカルに永続化されたコピーと比較されます。 それらが異なる場合、パスワードはすぐにローテーションされます。
この機能を有効にするには、最新バージョンの
Update-LapsADSchema
コマンドレットを実行する必要があります。 完了すると、Windows LAPS は新しい属性を認識し、その使用を開始します。 更新されたバージョンのUpdate-LapsADSchema
コマンドレットを実行しない場合、Windows LAPS はイベント ログに 10108 警告イベントを記録しますが、他のすべての点で正常に機能し続けます。この機能を有効化または構成するためにポリシー設定は使用されません。 この機能は、新しいスキーマ属性が追加されると常に有効になります。
新しいパスフレーズ機能
IT 管理者は Windows LAPS の新機能を利用できるようになりました。これにより、複雑でないパスフレーズの生成が可能になります。 例としては EatYummyCaramelCandy などのパスフレーズが挙げられます。これは V3r_b4tim#963? のような従来のパスワードと比較して、読みやすく、覚えやすく、入力しやすいものです。
この新機能では、 PasswordComplexity ポリシー設定を構成して、3 つの異なるパスフレーズ ワード リストのいずれかを選択することもできます。これらのリストはすべて、個別のダウンロードを必要とせずに Windows に含まれています。 PassphraseLength という新しいポリシー設定は、パスフレーズで使用される単語の数を制御します。
パスフレーズを作成すると、選択した単語リストから指定した単語数がランダムに選択され、連結されます。 各単語の最初の文字は、読みやすくするために大文字になります。 この機能では、Windows Server AD または Microsoft Entra ID へのパスワードのバックアップも完全にサポートされています。
3 つの新しい PasswordComplexity パスフレーズ設定で使用されるパスフレーズ ワード リストは、Electronic Frontier Foundation の記事「Deep Dive: EFF'S New Wordlists for Random Passphrases」から引用したものです。 Windows LAPS パスフレーズ Word リスト は CC-BY-3.0 属性ライセンスの下でライセンスされており、ダウンロードできます。
Note
Windows LAPS では、組み込みの単語リストのカスタマイズや、顧客が構成した単語リストの使用はできません。
読みやすさの向上したパスワード ディクショナリ
Windows LAPS では、IT 管理者が複雑でないパスワードを作成できる新しい PasswordComplexity 設定が導入されています。 この機能を使用すると、LAPS をカスタマイズして、既存の複雑さ設定の 4 と同様に、4 つの文字カテゴリ (大文字、小文字、数字、特殊文字) をすべて使用できます。 ただし、新しい設定である 5 を使用した場合、パスワードの読みやすさを高め、混乱を最小限に抑えるために、複雑な文字が除外されます。 たとえば、数字 "1" と文字 "I" は、新しい設定では使用されません。
PasswordComplexity を 5 に構成すると、既定のパスワード ディクショナリ文字セットに次の変更が加えられます。
- 'I'、'O'、'Q'、'l'、'o' の文字は使用しない。
- '0'、'1' の数値を使用しない。
- 特殊文字、 ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'を使用しない。
- ':'、'='、'?'、'*' の "特殊文字" の使用を開始する。
Active Directory ユーザーとコンピューター スナップイン (Microsoft 管理コンソール経由) の Windows LAPS タブが強化されました。Windows LAPS パスワードが新しいフォントで表示され、プレーン テキストで表示される際の読みやすさが向上しました。
個々のプロセスを終了するための PostAuthenticationAction のサポート
新しいオプションが、PostAuthenticationActions (PAA) グループ ポリシー設定に追加されました。"パスワードのリセット、マネージド アカウントのサインアウト、および残存プロセスの終了" で、 コンピューターの構成 > 管理テンプレート > システム > LAPS > 認証後アクションにあります。
この新しいオプションは、以前の "パスワードをリセットしてマネージド アカウントをサインアウトする" オプションの拡張機能です。 構成が完了すると、PAA は対話型サインイン セッションを通知して終了します。 Windows LAPS で管理されているローカル アカウント ID でまだ実行されている、残存プロセスを列挙して終了します。 この終了の前に通知がないことに注意してください。
さらに、認証後のアクションの実行中にイベント記録が拡張され、操作に関するより深い分析情報が得られます。
Windows LAPS の詳細については、「Windows LAPS とは」を参照してください。
OpenSSH
以前のバージョンの Windows Server では、OpenSSH 接続ツールを使用する前に手動インストールが必要でした。 OpenSSH サーバー側コンポーネントは、Windows Server 2025 に既定でインストールされます。 サーバー マネージャー UI には、sshd.exe
サービスを有効または無効にする リモート SSH アクセスの 1 ステップ オプションも含まれています。 また、 OpenSSH Users グループにユーザーを追加して、デバイスへのアクセスを許可または制限することもできます。 詳細については、「OpenSSH for Windows の概要」を参照してください。
セキュリティ ベースライン
カスタマイズされたセキュリティ ベースラインを実装することで、推奨されるセキュリティ態勢に基づいて、デバイスまたは VM ロールのセキュリティ対策を最初から確立できます。 このベースラインには、350 を超える事前構成済みの Windows セキュリティ設定が用意されています。これにより、Microsoft と業界標準で推奨されるベスト プラクティスに合わせて特定のセキュリティ設定を適用できます。 詳細については、「OSConfig の概要」を参照してください。
仮想化ベースのセキュリティ (VBS) エンクレーブ
VBS エンクレーブは、ホスト アプリケーションのアドレス空間内にあるソフトウェアベースの高信頼実行環境 (TEE) です。 VBS エンクレーブでは、ベースとなる VBS テクノロジ を使用してアプリケーションの機密性の高い部分をメモリのセキュリティで保護されたパーティションに分離します。 VBS エンクレーブを使用すると、機密性の高いワークロードをホスト アプリケーションとシステムの残りの部分の両方から分離できます。
VBS エンクレーブでは、管理者を信頼する必要性を排除し、悪意のある攻撃者に対する防御を強化することで、アプリケーションでシークレットを保護できます。 詳細については、 VBS エンクレーブ Win32 リファレンスを参照してください。
仮想化ベースのセキュリティ (VBS) のキー保護
VBS キー保護を使用すると、Windows 開発者は仮想化ベースのセキュリティ (VBS) を使用して暗号化キーをセキュリティで保護できます。 VBS では、CPU の仮想化拡張機能を使用して、通常の OS の外部に分離されたランタイムを作成します。 使用する場合、VBS キーはセキュリティで保護されたプロセス内に分離されるため、このスペースの外部で秘密キー マテリアルを公開することなくキー操作を実行できます。 保存時には、秘密キー マテリアルは TPM キーによって暗号化され、VBS キーがデバイスにバインドされます。 この方法で保護されたキーは、プロセス メモリからダンプしたり、ユーザーのコンピューターからプレーン テキストでエクスポートしたりすることはできません。 VBS キー保護は、管理者レベルの攻撃者による流出攻撃を防ぐのに役立ちます。 キー保護を使用するには、VBS を有効にする必要があります。 VBS を有効にする方法については、「メモリの整合性の有効化」をご覧ください。
セキュリティで保護された接続
セキュリティで保護された証明書管理
Windows での証明書の検索または取得では、関数 CertFindCertificateInStore および CertGetCertificateContextProperty で説明されているように、SHA-256 ハッシュがサポートされるようになりました。 TLS サーバー認証は Windows 全体でより安全であり、RSA キーの最小長は 2,048 ビットである必要があります。 詳細については、TLS サーバー認証における弱い RSA 証明書の廃止に関するブログを参照してください。
SMB over QUIC
SMB over QUIC サーバー機能が、Windows Server Standard バージョンと Windows Server Datacenter バージョンの両方で使用できるようになりました。 SMB over QUIC には、低遅延の暗号化された接続を提供するという QUIC のメリットが追加されています。
SMB over QUIC 有効化ポリシー
管理者は、グループ ポリシーと PowerShell を使用して QUIC クライアント経由で SMB を無効にすることができます。 グループ ポリシーを使用して SMB over QUIC を無効にするには、次のパスの Enable SMB over QUIC ポリシーを Disabled に設定します。
Computer Configuration\Administrative Templates\Network\Lanman Workstation
Computer Configuration\Administrative Templates\Network\Lanman Server
PowerShell を使用して SMB over QUIC を無効にするには、管理者特権の PowerShell プロンプトで次のコマンドを実行します。
Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB署名と暗号化の監査
管理者は、SMB サーバーとクライアントの監査を有効にして、SMB 署名と暗号化をサポートできます。 Microsoft 以外のクライアントまたはサーバーが SMB 暗号化または署名をサポートしていない場合は、検出できます。 Microsoft 以外のデバイスまたはソフトウェアで SMB 3.1.1 がサポートされていると示されているが、SMB 署名のサポートに失敗した場合、 SMB 3.1.1 認証前の整合性 プロトコル要件に違反します。
グループ ポリシーまたは PowerShell を使用して、SMB 署名と暗号化の監査設定を構成できます。 これらのポリシーは、次のグループ ポリシー パスで変更できます。
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは暗号化をサポートしていません
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは署名をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは暗号化をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは署名をサポートしていません
PowerShell を使用してこれらの変更を実行するには、管理者特権のプロンプトで次のコマンドを実行します。ここで、 $true
はこれらの設定を有効 $false
または無効にします。
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
これらの変更のイベント ログは、指定されたイベント ID を持つ次のイベント視聴者パスに格納されます。
Path | イベント ID |
---|---|
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
SMB over QUIC 監査
SMB over QUIC クライアント接続監査では、QUIC トランスポートをイベント ビューアーに含めるためにイベント ログに書き込まれたイベントがキャプチャされます。 これらのログは、指定されたイベント ID を持つ次のパスに格納されます。
Path | イベント ID |
---|---|
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity | 30832 |
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity | 1913 |
SMB over QUIC クライアント アクセス制御
Windows Server 2025 には、QUIC クライアント アクセス制御経由の SMB が含まれています。 SMB over QUIC は、信頼されていないネットワーク経由でエッジ ファイル サーバーにセキュリティで保護された接続を提供する TCP および RDMA の代替手段です。 クライアント アクセス制御では、証明書を使用してデータへのアクセスを制限するためのより多くの制御が導入されています。 詳細については、 「クライアント アクセス制御のしくみ」を参照してください。
SMB 代替ポート
SMB クライアントを使用して、IANA/IETF の既定値である 445、5445、443 ではなく、代替 TCP、QUIC、RDMA ポートに接続できます。 代替ポートは、グループ ポリシーまたは PowerShell を使用して構成できます。 これまで、Windows の SMB サーバーでは IANA に登録されているポート TCP/445 を使用することを受信接続に要求し、SMB TCP クライアントでは同じ TCP ポートへの送信接続のみを許可していました。 現在、SMB over QUIC では、QUIC で義務付けられている UDP/443 ポートをサーバー デバイスとクライアント デバイスの両方で使用できる、 SMB 代替ポート を使用できます。 詳細については、 「代替 SMB ポートの構成」を参照してください。
SMB ファイアウォール規則のセキュリティ強化
以前は、共有が作成されると、関連するファイアウォール プロファイルの File と Printer Sharing グループを有効にするように SMB ファイアウォール規則が自動的に構成されていました。 Windows で SMB 共有を作成すると、新しい File と Printer Sharing (Restrictive)) グループが自動的に構成され、受信 NetBIOS ポート 137 から 139 が許可されなくなります。 詳細については、 「更新したファイアウォール規則」を参照してください。
SMB 暗号化
SMB 暗号化を適用 は、すべての送信 SMB クライアント接続に対して有効になります。 この更新により、管理者は、すべての接続先サーバーが SMB 3.x と暗号化をサポートすることを義務付けることができます。 サーバーにこれらの機能がない場合、クライアントは接続を確立できません。
SMB 認証レートリミッター
SMB 認証レートリミッターは、特定の期間内に行うことができる認証試行の数を制限するように設計されています。 SMB 認証レートリミッターは、ブルート フォース認証攻撃に対処するのに役立ちます。 SMB サーバー サービスは、認証レート制限機能を使用して、失敗した NTLM または PKU2U ベースの認証試行間の遅延を実装し、既定で有効になっています。 詳細については、「
SMB NTLM を無効にする
Windows Server 2025 以降、SMB クライアントはリモート送信接続の NTLM ブロックをサポートしています。 以前は、Windows Simple and Protected GSSAPI ネゴシエーション メカニズム (SPNEGO) は、Kerberos、NTLM、およびその他のメカニズムを移行先サーバーとネゴシエートして、サポートされているセキュリティ パッケージを決定しました。 詳細については、「SMB での NTLM 接続のブロックを参照してください。
SMB 言語制御
Windows で SMB 方言をできるようになりました。 構成すると、SMB サーバーは、最も高い方言のみに一致する以前の動作と比較して、どの SMB 2 と SMB 3 の方言をネゴシエートするかを決定します。
SMB 署名
SMB 署名は、以前は AD ドメイン コントローラー上の SYSVOL および NETLOGON という名前の共有に接続する場合にのみ必要であったすべての SMB 送信接続に対して既定で必要になりました。 詳しくは、「署名のしくみ」を参照してください。
リモート メールスロット
リモート Mailslot プロトコルは、SMB および Active Directory での DC ロケーター プロトコルの使用に対して、既定で無効になっています。 リモート Mailslot は、後のリリースで削除される可能性があります。 詳しくは、「開発の終了した機能」を参照してください。
ルーティングとリモート アクセス サービス (RRAS) のセキュリティ強化
既定では、新しいルーティングおよびリモート アクセス サービス (RRAS) のインストールでは、PPTP プロトコルと L2TP プロトコルに基づく VPN 接続は受け入れられません。 その場合でも、必要に応じてこれらのプロトコルを有効にできます。 SSTP および IKEv2 ベースの VPN 接続は、変更なしで引き続き受け入れられます。
既存の構成はそのまま動作します。 たとえば、Windows Server 2019 を実行し、PPTP 接続と L2TP 接続を受け入れ、インプレース アップグレードを使用して Windows Server 2025 にアップグレードする場合、L2TP および PPTP ベースの接続は引き続き受け入れられます。 この変更は、Windows クライアント オペレーティング システムには影響しません。 PPTP と L2TP を再度有効にする方法の詳細については、「VPN プロトコルの構成を参照してください。
Hyper-V、AI、およびパフォーマンス
高速ネットワーク
高速ネットワーク (AccelNet) を使用すると、Windows Server 2025 クラスターでホストされている仮想マシン (VM) の単一ルート I/O 仮想化 (SR-IOV) の管理が簡素化されます。 この機能では、高パフォーマンスの SR-IOV データ パスを使用して、待機時間、ジッター、および CPU 使用率を削減します。 AccelNet には、前提条件のチェック、ホスト構成、および VM のパフォーマンス設定を処理する管理レイヤーも含まれています。 詳細については、「 エッジでのAccelerated Networking (プレビュー)」を参照してください。
Hyper-V マネージャーは
Hyper-V マネージャーを使用して新しい VM を作成すると、 Generation 2 が 新しい仮想マシン ウィザードの既定のオプションとして設定されるようになりました。
ハイパーバイザーによって適用されるページング変換
ハイパーバイザーによって適用されるページング変換 (HVPT) は、線形アドレス変換の整合性を適用するためのセキュリティ強化です。 HVPT は、攻撃者が任意の値を任意の場所 (多くの場合、バッファー オーバーフローの結果として) 書き込む場所の攻撃から重要なシステム データを保護します。 HVPT は、重要なシステム データ構造を構成するページ テーブルを保護します。 HVPT には、ハイパーバイザーで保護されたコード整合性 (HVCI) で既に保護されているすべてが含まれています。 HVPT は、ハードウェア サポートが利用可能な既定で有効になっています。 WINDOWS Server が VM でゲストとして実行されている場合、HVPT は有効になりません。
GPU パーティショニング (GPU-P)
GPU パーティション分割を使用すると、物理 GPU デバイスを複数の仮想マシン (VM) と共有することができます。 GPU パーティション分割では、GPU 全体を 1 つの VM に割り当てる代わりに、GPU の専用の割合が各 VM に割り当てられます。 Hyper-V GPU-P 高可用性では、計画外のダウンタイムが発生した場合に、GPU-P VM が別のクラスター ノードで自動的に有効になります。 GPU-P ライブ マイグレーションは、GPU-P を使用して VM を (計画されたダウンタイムまたは負荷分散のために) スタンドアロンまたはクラスター化された別のノードに移動するソリューションを提供します。 GPU パーティション分割の詳細については、GPU パーティション分割を参照してください。
動的プロセッサの互換性
動的プロセッサ互換モードが更新され、クラスター環境の新しいプロセッサ機能が利用されます。 動的プロセッサ互換性では、クラスター内のすべてのサーバーで使用可能なプロセッサ機能の最大数が使用されます。 このモードでは、以前のバージョンのプロセッサ互換性と比較してパフォーマンスが向上します。 動的プロセッサの互換性により、さまざまな世代のプロセッサを使用する仮想化ホスト間でその状態を保存することもできます。 プロセッサ互換モードでは、第 2 レベルのアドレス変換 (SLAT) が可能なプロセッサで強化された動的機能が提供されるようになりました。 更新された互換モードの詳細については、「 Dynamic プロセッサ互換モードを参照してください。
ワークグループ クラスター
Hyper-V ワークグループ クラスターは、特別な種類の Windows Server フェールオーバー クラスターです。Hyper-V クラスター ノードは、ワークグループ クラスター内の VM をライブ マイグレーションする機能を持つ Active Directory ドメインのメンバーではありません。
Network ATC
ネットワーク ATC は、Windows Server 2025 クラスターのネットワーク構成の展開と管理を効率化します。 ネットワーク ATC では、意図ベースのアプローチを利用します。ユーザーは、ネットワーク アダプターの管理、コンピューティング、ストレージなど、目的の意図を指定し、展開は目的の構成に基づいて自動化されます。 この方法により、ホスト ネットワークのデプロイに関連する時間、複雑さ、エラーが軽減され、クラスター全体の構成の一貫性が確保され、構成の誤差が排除されます。 詳細については、「 ネットワーク ATC を使用したホスト ネットワークのデプロイを参照してください。
スケーラビリティ
Windows Server 2025 では、Hyper-V はホストあたり最大 4 ペタバイトのメモリと 2,048 個の論理プロセッサをサポートするようになりました。 この増加により、仮想化されたワークロードのスケーラビリティとパフォーマンスが向上します。
Windows Server 2025 では、第 2 世代 VM に対して最大 240 TB のメモリと 2,048 個の仮想プロセッサもサポートされており、大規模なワークロードを実行するための柔軟性が向上しています。 詳細については、「 Plan for Hyper-V scalability in Windows Server」を参照してください。
Storage
ブロッククローンのサポート
Windows 11 24H2 および Windows Server 2025 以降、Dev Drive ではブロックの複製がサポートされるようになりました。 Dev Drive では ReFS ファイル システム形式が使用されるため、ブロック複製のサポートにより、ファイルのコピー時にパフォーマンス上の大きな利点が得られます。 ブロック複製を使用すると、ファイル システムは、基になる物理データに対して高価な読み取りと書き込み操作を実行するのではなく、低コストのメタデータ操作として、アプリケーションに代わってファイル バイトの範囲をコピーできます。 これにより、複数のファイルが同じ論理クラスターを共有できるようになり、ファイルのコピーがより速く完了し、基盤となるストレージへの I/O が削減され、ストレージ容量が向上します。 詳細については、「ReFS でのブロッククローン作成」を参照してください。
Dev Drive
Dev Drive は、重要な開発者ワークロードのパフォーマンスを向上させることを目的としたストレージ ボリュームです。 Dev Drive は ReFS テクノロジーを活用し、特定のファイル システム最適化を組み込むことで、ストレージ ボリュームの設定とセキュリティをより細かく制御できます。 これには、信頼を指定し、ウイルス対策設定を構成し、添付されたフィルターに対する管理制御を実行する機能が含まれます。 詳細については、「Windows 11 で Dev Drive をセットアップする」を参照してください。
NVMe
NVMe は、高速ソリッドステート ドライブ (SSD) の新しい標準です。 NVMe ストレージのパフォーマンスは Windows Server 2025 で最適化されており、パフォーマンスが向上し、IOPS が増加し、CPU 使用率が低下します。
記憶域レプリカの圧縮
記憶域レプリカの圧縮により、レプリケーション中にネットワーク経由で転送されるデータの量が減ります。 記憶域レプリカでの圧縮の詳細については、「 Storage レプリカの概要を参照してください。
記憶域レプリカ拡張ログ
拡張ログは、記憶域レプリカ ログの実装に役立ち、ファイル システムの抽象化に関連するパフォーマンス コストを排除し、ブロック レプリケーションのパフォーマンスを向上させます。 詳細については、「記憶域レプリカ拡張ログ」を参照してください。
ReFS ネイティブ ストレージの重複除去と圧縮
ReFS ネイティブ ストレージの重複除去と圧縮は、ファイル サーバーや仮想デスクトップなどの静的ワークロードとアクティブ ワークロードの両方のストレージ効率を最適化するために使用される手法です。 ReFS 重複除去と圧縮の詳細については、「 Azure Stack HCI での ReFS 重複除去と圧縮によるストレージの最適化を参照してください。
シン プロビジョニングボリューム
記憶域スペース ダイレクトでプロビジョニングされたシン ボリュームは、クラスターで必要な場合にのみプールから割り当てることで、記憶域リソースをより効率的に割り当て、コストの高い割り当てを回避する方法です。 固定ボリュームからシン プロビジョニング ボリュームに変換することもできます。 固定ボリュームからシン プロビジョニング ボリュームに変換すると、未使用の記憶域がプールに戻され、他のボリュームで使用できるようになります。 シン プロビジョニングボリュームの詳細については、「 Storage シン プロビジョニングを参照してください。
サーバー メッセージ ブロック
サーバー メッセージ ブロック (SMB) は、ネットワーク上のデバイス間でファイルなどのリソースを共有する信頼性の高い方法を提供することにより、ネットワークで最も広く使用されているプロトコルの 1 つです。 Windows Server 2025 には、業界標準の LZ4 圧縮アルゴリズムの SMB 圧縮サポートが含まれています。 LZ4 は、SMB に加えて、XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1、およびPATTERN_V1の既存のサポートを提供しています。
Azure Arc とハイブリッド
Azure Arc のセットアップの簡略化
既定では、Azure Arc セットアップ オンデマンド機能がインストールされています。これにより、わかりやすいウィザード インターフェイスとシステム トレイ アイコンがタスク バーに用意され、Azure Arc にサーバーを追加するプロセスが容易になります。Azure Arc により Azure プラットフォームの機能が拡張され、多様な環境で動作するアプリケーションとサービスの作成が可能になります。 これらの環境には、データ センター、エッジ、マルチクラウド環境が含まれており、柔軟性が向上します。 詳細については、「Azure Arc セットアップを使用して Windows Server マシンを Azure に接続する」を参照してください。
従量課金制ライセンス
Azure Arc の従量課金制サブスクリプション ライセンス オプションは、Windows Server 2025 の従来の永続的ライセンスの代替手段です。 従量課金制では、Windows Server デバイスを展開し、ライセンスを取得し、使用した分だけ支払うことができます。 この機能は Azure Arc を通じて容易になり、Azure サブスクリプション経由で課金されます。 Azure Arc の従量課金制ライセンスの詳細を確認。
Azure Arc で有効化される Windows Server 管理
Azure Arc で有効になっている Windows Server 管理は、アクティブなソフトウェア アシュアランスを持つ Windows Server ライセンスまたはアクティブなサブスクリプション ライセンスである Windows Server ライセンスをお持ちのお客様に新しい利点を提供します。 Windows Server 2025 には、次の主な利点があります。
Azure Arc の Windows Admin Center: Windows Admin Center が Azure Arc と統合され、Azure Arc ポータルから Windows Server インスタンスを管理できるようになりました。 この統合により、Windows Server インスタンスがオンプレミス、クラウド、エッジのいずれで実行されているかに関係なく、統合された管理エクスペリエンスが提供されます。
リモート サポート: プロフェッショナル サポートをお持ちのお客様に、詳細な実行トランスクリプトと失効権限を使用して Just-In-Time (JIT) アクセスを許可する機能を提供します。
ベスト プラクティス評価: 問題と修復ガイダンスとパフォーマンスの向上を生成するためのサーバー データの収集と分析。
Azure Site Recovery の構成: ビジネス継続性を確保し、重要なワークロードのレプリケーションとデータの回復性を提供する Azure Site Recovery の構成。
Azure Arc で有効になっている Windows Server Management と利用可能な利点の詳細については、「 Windows Server Management enabled by Azure Arc」を参照してください。
ソフトウェア定義ネットワーク (SDN)
SDN は、ネットワーク管理者が下位レベルの機能を抽象化してネットワーク サービスを管理できるようにするネットワークへのアプローチです。 SDN を使用すると、ネットワークの管理を担当するネットワーク コントロール プレーンを、実際のトラフィックを処理するデータ プレーンから分離できます。 この分離により、ネットワーク管理における柔軟性とプログラミング性が向上します。 SDN には、Windows Server 2025 で次の利点があります。
SDN のコントロール プレーンであるネットワーク コントローラーは、物理ホスト マシン上のフェールオーバー クラスター サービスとして直接ホストされるようになりました。 クラスター ロールを使用すると、VM をデプロイする必要がなくなり、リソースを節約しながらデプロイと管理が簡素化されます。
タグベースのセグメント化を使用すると、管理者はカスタム サービス タグを使用して、アクセス制御のためにネットワーク セキュリティ グループ (NSG) と VM を関連付けることができます。 管理者は、IP 範囲を指定する代わりに、シンプルでわかりやすいラベルを使用してワークロード VM にタグを付け、これらのタグに基づいてセキュリティ ポリシーを適用できるようになりました。 タグを使用すると、ネットワーク セキュリティを管理するプロセスが簡素化され、IP 範囲を記憶して再入力する必要がなくなります。 詳細については、「 Windows Admin Center でタグを使用してネットワーク セキュリティ グループを構成するを参照してください。
Windows Server 2025 の既定のネットワーク ポリシーでは、Windows Admin Center を介してデプロイされたワークロードの NSG に Azure に似た保護オプションが提供されます。 既定のポリシーでは、すべての受信アクセスが拒否され、ワークロード VM からの完全な送信アクセスを許可しながら、既知の受信ポートを選択的に開きます。 既定のネットワーク ポリシーにより、ワークロード VM が作成時点からセキュリティで保護されます。 詳細については、「 Azure Stack HCI バージョン 23H2 の仮想マシンで既定のネットワーク アクセス ポリシーを使用するを参照してください。
SDN マルチサイトは、2 つの場所にわたるアプリケーション間のネイティブ レイヤー 2 とレイヤー 3 の接続を追加コンポーネントなしで提供します。 この機能により、アプリケーションやネットワークを再構成する必要なく、アプリケーションをシームレスに移動できます。 また、ワークロードの統合されたネットワーク ポリシー管理が提供されるため、ワークロード VM がある場所から別の場所に移動したときにポリシーを更新する必要はありません。 詳細については、「SDN マルチサイトとは」を参照してください。
SDN レイヤー 3 ゲートウェイのパフォーマンスが向上し、スループットが向上し、CPU サイクルが減少します。 これらの機能強化は、既定で有効になっています。 ユーザーは、PowerShell または Windows Admin Center を使用して SDN ゲートウェイ レイヤー 3 接続を構成すると、パフォーマンスが自動的に向上します。
Windows コンテナーの移植性
移植性はコンテナー管理の重要な側面であり、Windows でコンテナーの柔軟性と互換性を強化することでアップグレードを簡略化する機能を備えます。 移植性は、ユーザーが変更を必要とせずに、異なるホストまたは環境間でコンテナー イメージとそれに関連するデータを移動できるようにする Windows Server の機能です。 ユーザーは、互換性の問題を気にすることなく、1 つのホストにコンテナー イメージを作成し、別のホストにデプロイできます。 詳細については、「コンテナーの移植性」を参照してください。
Windows Server Insider Program
Windows Server Insider Program は、愛好家のコミュニティ向けに最新の Windows OS リリースへの早期アクセスを提供します。 メンバーとして、マイクロソフトが開発している新しいアイデアや概念をいち早く試すことができます。 メンバーとして登録した後、Windows Update から Windows Insider Program にアクセスして、さまざまなリリース チャネルに参加することを選択できます。