Delen via


Wat is er nieuw in Windows Server 2025

In dit artikel worden enkele van de nieuwste ontwikkelingen in Windows Server 2025 beschreven, met geavanceerde functies die de beveiliging, prestaties en flexibiliteit verbeteren. Met snellere opslagopties en de mogelijkheid om te integreren met hybride cloudomgevingen, is het beheer van uw infrastructuur nu gestroomlijnder. Windows Server 2025 bouwt voort op de sterke basis van zijn voorganger en introduceert een reeks innovatieve verbeteringen die u kunt aanpassen aan uw behoeften.

Bureaubladervaring en upgraden

Verken upgradeopties en de bureaubladervaring.

Upgraden met Windows Update

U kunt een in-place upgrade uitvoeren met bronmedia of via Windows Update. Microsoft biedt een optionele in-place upgrademogelijkheid via Windows Update. Dit wordt een functie-update genoemd. De onderdelenupdate is beschikbaar voor Windows Server 2019- en Windows Server 2022-apparaten.

Wanneer u een upgrade uitvoert met behulp van Windows Update vanuit het dialoogvenster Instellingen, kunt u de installatie rechtstreeks vanuit Windows Update uitvoeren op het bureaublad of met behulp van SConfig voor Server Core. Uw organisatie wil mogelijk incrementeel upgrades implementeren en de beschikbaarheid van deze optionele upgrade beheren met behulp van Groepsbeleid.

Zie Onderdelenupdates beheren met Groepsbeleid op Windows Servervoor meer informatie over het beheren van de aanbieding van functie-updates.

In-place upgrade van Windows Server 2012 R2

Met Windows Server 2025 kunt u maximaal vier versies tegelijk upgraden. U kunt rechtstreeks upgraden naar Windows Server 2025 vanuit Windows Server 2012 R2 en hoger.

Bureaubladschil

Wanneer u zich voor het eerst aanmeldt, voldoet de bureaubladshell-ervaring aan de stijl en vormgeving van Windows 11.

Bluetooth

U kunt nu muizen, toetsenborden, headsets, audioapparaten en meer verbinden via Bluetooth in Windows Server 2025.

DTrace

Windows Server 2025 is uitgerust met dtrace als systeemeigen hulpprogramma. DTrace is een opdrachtregelprogramma waarmee gebruikers in realtime de prestaties van hun systeem kunnen bewaken en oplossen. Met DTrace kunt u zowel de kernel- als de gebruikersruimtecode dynamisch instrumenteren zonder dat u de code zelf hoeft te wijzigen. Dit veelzijdige hulpprogramma ondersteunt een reeks technieken voor het verzamelen en analyseren van gegevens, zoals aggregaties, histogrammen en tracering van gebeurtenissen op gebruikersniveau. Zie DTrace- voor opdrachtregelhulp en DTrace in Windows voor andere mogelijkheden voor meer informatie.

E-mail en accounts

U kunt nu de volgende typen accounts toevoegen in Windows Settings onder Accounts>E-mail & accounts voor Windows Server 2025:

  • Microsoft Entra ID
  • Microsoft-account
  • Werk- of schoolaccount

Domeindeelname is nog steeds vereist voor de meeste situaties.

Feedback-hub

Als u feedback wilt verzenden of problemen wilt melden die optreden wanneer u Windows Server 2025 gebruikt, gebruikt u de Windows Feedback Hub. Neem schermopnamen of opnamen op van het proces dat het probleem heeft veroorzaakt, zodat we inzicht krijgen in uw situatie en suggesties delen om uw Windows-ervaring te verbeteren. Zie De feedbackhub verkennenvoor meer informatie.

Bestandscompressie

Windows Server 2025 heeft een nieuwe compressiefunctie. Als u een item wilt comprimeren, klik dan met de rechtermuisknop en selecteer Comprimeren naar. Deze functie ondersteunt ZIP-, 7z-en TAR-compressieindelingen met specifieke compressiemethoden voor elk bestand.

Vastgemaakte apps

Het vastpinnen van uw meest gebruikte apps is nu beschikbaar via het Startmenu en kan worden aangepast aan uw behoeften. De standaard gepinde apps zijn momenteel:

  • Azure Arc instellen
  • Feedback-hub
  • Verkenner
  • Microsoft Edge
  • Serverbeheer
  • Instellingen
  • Terminal
  • Windows PowerShell

Taakbeheer

Windows Server 2025 maakt gebruik van de moderne Taakbeheer-app met Mica-materiaal die voldoet aan de stijl van Windows 11.

Wi-Fi

Het is nu eenvoudiger om draadloze mogelijkheden in te schakelen, omdat de functie Wireless LAN Service nu standaard is geïnstalleerd. De draadloze opstartservice is ingesteld op handmatig. Als u dit wilt inschakelen, voert u net start wlansvc uit in de opdrachtprompt, Windows Terminal of PowerShell.

Windows Terminal

De Windows Terminal, een krachtige en efficiënte multishell-toepassing voor opdrachtregelgebruikers, is beschikbaar in Windows Server 2025. Zoek Terminal op de zoekbalk.

WinGet

WinGet is standaard geïnstalleerd. Dit is een opdrachtregelprogramma voor Windows Package Manager dat uitgebreide pakketbeheeroplossingen biedt voor het installeren van toepassingen op Windows-apparaten. Zie Het WinGet-hulpprogramma gebruiken voor het installeren en beheren van toepassingenvoor meer informatie.

Geavanceerde beveiliging met meerdere lagen

Meer informatie over beveiliging in Windows 2025.

Hotpatch (voorbeeld)

Hotpatch is nu beschikbaar voor Windows Server 2025-machines die zijn verbonden met Azure Arc nadat Hotpatch is ingeschakeld in azure Arc Portal. U kunt Hotpatch gebruiken om beveiligingsupdates voor het besturingssysteem toe te passen zonder uw computer opnieuw op te starten. Zie Hotpatchvoor meer informatie.

Belangrijk

Hotpatch met Azure Arc is momenteel beschikbaar als preview-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet algemeen beschikbaar zijn.

Aanmeldingsbescherming

Vanaf Windows Server 2025 is Credential Guard nu standaard ingeschakeld op apparaten die voldoen aan de vereisten. Zie Credential Guard configurerenvoor meer informatie over Credential Guard.

Active Directory Domain Services

De nieuwste verbeteringen in Active Directory Domain Services (AD DS) en Active Directory Lightweight Domain Services (AD LDS) introduceren een reeks nieuwe functies en mogelijkheden die zijn gericht op het optimaliseren van uw domeinbeheerervaring:

  • 32k database paginaformaat optionele functie: Active Directory maakt gebruik van een ESE-database (Extensible Storage Engine) sinds de introductie in Windows 2000 die gebruikmaakt van een paginagrootte van 8k-databases. De ontwerpbeslissing voor 8k-architectuur heeft geleid tot beperkingen in Active Directory die zijn gedocumenteerd in maximale limieten voor Active Directory: Schaalbaarheid. Een voorbeeld van deze beperking is een Active Directory-object met één record, dat de grootte van 8.000 bytes niet overschrijdt. Het verplaatsen naar een 32k-databasepagina-indeling biedt een enorme verbetering op gebieden die worden beïnvloed door verouderde beperkingen. Kenmerken met meerdere waarden kunnen nu maximaal 3.200 waarden bevatten. Dit is een toename met een factor 2,6.

    U kunt nieuwe domeincontrollers (DC's) installeren met een 32k-pagina database die gebruikmaakt van 64-bit Long Value ID's (LID's) en wordt uitgevoerd in de 8k-pagina modus voor compatibiliteit met eerdere versies. Een bijgewerkte DC blijft de huidige database-indeling en 8k-pagina's gebruiken. Het overschakelen naar een database met 32.000 pagina's wordt op een forestbrede schaal uitgevoerd en vereist dat alle DC's in het forest een 32.000-pagina's database hebben.

  • Active Directory-schema-updates: er worden drie nieuwe logboekdatabasebestanden geïntroduceerd waarmee het Active Directory-schema wordt uitgebreid: sch89.ldf, sch90.ldfen sch91.ldf. De equivalente schema-updates van AD LDS bevinden zich in MS-ADAM-Upgrade3.ldf. Zie Windows Server Active Directory-schema-updatesvoor meer informatie over eerdere schema-updates.

  • Active Directory-objectherstel: ondernemingsbeheerders kunnen nu objecten herstellen met de ontbrekende kernkenmerken SamAccountType en ObjectCategory. Ondernemingsbeheerders kunnen het kenmerk LastLogonTimeStamp voor een object opnieuw instellen op de huidige tijd. Deze bewerkingen worden bereikt via een nieuwe RootDSE wijzigingsfunctie op het betrokken object met de naam fixupObjectState.

  • Ondersteuning voor audit van kanaalbindingen: u kunt nu gebeurtenissen 3074 en 3075 voor LDAP-kanaalbinding (Lightweight Directory Access Protocol) inschakelen. Wanneer het beleid voor kanaalbinding wordt gewijzigd in een veiligere instelling, kan een beheerder apparaten in de omgeving identificeren die geen ondersteuning bieden voor of mislukken van kanaalbinding. Deze controlegebeurtenissen zijn ook beschikbaar in Windows Server 2022 en hoger via KB4520412.

  • DC-locatie-algoritme verbeteringen: Het DC-detectie-algoritme biedt nieuwe functionaliteit met verbeteringen in de toewijzing van korte NetBIOS-stijl domeinnamen aan DNS-stijl domeinnamen. Zie domeincontrollers zoeken in Windows en Windows Servervoor meer informatie.

    Notitie

    Windows gebruikt geen mailslots tijdens DC-detectiebewerkingen omdat Microsoft de afschaffing van WINS en mailslots heeft aangekondigd voor deze verouderde technologieën.

  • Forest- en domeinfunctionaliteitsniveaus: het nieuwe functionele niveau wordt gebruikt voor algemene ondersteuning en is vereist voor de nieuwe functie voor paginaformaat van de 32k-database. Het nieuwe functionele niveau komt overeen met de waarde van DomainLevel 10 en ForestLevel 10 voor installaties zonder toezicht. Microsoft heeft geen plannen om functionele niveaus aan te passen voor Windows Server 2019 en Windows Server 2022. Zie DCPROMO-antwoordbestandssyntaxis voor promotie zonder toezicht en degradatie van domeincontrollersom een promotie zonder toezicht en degradatie van domeincontrollers uit te voeren.

    De DsGetDcName-API ondersteunt ook de nieuwe vlag DS_DIRECTORY_SERVICE_13_REQUIRED waarmee de locatie van DC's met Windows Server 2025 mogelijk is. In de volgende artikelen vindt u meer informatie over functionele niveaus:

    Notitie

    Nieuwe Active Directory-forests of AD LDS-configuratiesets zijn vereist voor een functioneel niveau van Windows Server 2016 of hoger. Promotie van een Active Directory- of AD LDS-replica vereist dat de bestaande domein- of configuratieset al wordt uitgevoerd met een functioneel niveau van Windows Server 2016 of hoger.

    Microsoft raadt aan dat alle klanten nu van plan zijn om hun Active Directory- en AD LDS-servers te upgraden naar Windows Server 2022 ter voorbereiding op de volgende release.

  • Verbeterde algoritmen voor het zoeken naar Naam/SID: De doorgave van LSA (Local Security Authority) Naam- en SID-zoekopdrachten tussen computeraccounts maakt niet langer gebruik van het verouderde Netlogon-beveiligde kanaal. Kerberos-verificatie en het DC Locator-algoritme worden in plaats daarvan gebruikt. Als u compatibiliteit met oudere besturingssystemen wilt behouden, is het nog steeds mogelijk om het beveiligde Netlogon-kanaal te gebruiken als een terugvaloptie.

  • Verbeterde beveiliging voor vertrouwelijke kenmerken: DC's en AD LDS-exemplaren staan alleen LDAP toe om bewerkingen toe te voegen, te zoeken en te wijzigen die vertrouwelijke kenmerken bevatten wanneer de verbinding is versleuteld.

  • Verbeterde beveiliging voor standaardwachtwoorden voor computeraccounts: Active Directory maakt nu gebruik van standaardwachtwoorden voor computeraccounts die willekeurig worden gegenereerd. Windows 2025-DC's blokkeren het instellen van wachtwoord voor computeraccounts op het standaardwachtwoord van de computeraccountnaam.

    Als u dit gedrag wilt beheren, schakelt u de groepsbeleidsobjectinstelling (GPO) in "Domeincontroller: Weigeren het standaardwachtwoord van de computeraccount in te stellen" binnen Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties.

    Hulpprogramma's zoals Active Directory Administrative Center (ADAC), Active Directory: gebruikers en computers (ADUC), net computeren dsmod ondersteunen ook dit nieuwe gedrag. Zowel ADAC als ADUC staan het maken van een pre-Windows 2000-account niet meer toe.

  • Kerberos PKINIT-ondersteuning voor cryptografische flexibiliteit: De Cryptografie van openbare sleutel kerberos voor initiële verificatie in het PKINIT-protocolimplementatie van Kerberos (PKINIT) wordt bijgewerkt om cryptografische flexibiliteit mogelijk te maken door meer algoritmen te ondersteunen en vastgelegde algoritmen te verwijderen.

  • Kerberos-wijzigingen voor algoritmen die worden gebruikt voor Ticket Granting Tickets: het Kerberos-distributiecentrum geeft geen tickets meer uit met RC4-versleuteling, zoals RC4-HMAC(NT).

  • groepsbeleidsobjectinstelling LAN Manager: de groepsbeleidsobjectinstelling netwerkbeveiliging: sla de hash-waarde van LAN Manager niet op bij de volgende wachtwoordwijziging niet meer aanwezig is en is niet van toepassing op nieuwe versies van Windows.

  • LDAP-versleuteling standaard: Alle LDAP-clientcommunicatie na een SASL-binding (Simple Authentication and Security Layer) maakt standaard gebruik van LDAP-verzegeling. Zie SASL-verificatievoor meer informatie over SASL.

  • LDAP-ondersteuning voor TLS (Transport Layer Security) 1.3: LDAP maakt gebruik van de nieuwste SCHANNEL-implementatie en ondersteunt TLS 1.3 voor LDAP via TLS-verbindingen. Door TLS 1.3 te gebruiken, worden verouderde cryptografische algoritmen geëlimineerd en wordt de beveiliging verbeterd ten opzichte van oudere versies. TLS 1.3 is bedoeld om zoveel mogelijk handshake te versleutelen. Zie Protocollen in TLS/SSL (Schannel SSP) en TLS-coderingssuites in Windows Server 2022voor meer informatie.

  • Gedrag voor wachtwoordwijziging van Legacy Security Account Manager (SAM) via een remote procedure call (RPC): Veilige protocollen zoals Kerberos zijn de geprefereerde manier om wachtwoorden van domeingebruikers te wijzigen. Op DC's wordt de meest recente methode voor wachtwoordwijziging van SAM RPC SamrUnicodeChangePasswordUser4 met behulp van Advanced Encryption Standard (AES) standaard geaccepteerd wanneer deze extern wordt aangeroepen. De volgende verouderde SAM RPC-methoden worden standaard geblokkeerd wanneer ze extern worden aangeroepen:

    Voor domeingebruikers die lid zijn van de beveiligde gebruikers groep en voor lokale accounts op domeinlidcomputers, worden alle externe wachtwoordwijzigingen via de verouderde SAM RPC-interface standaard geblokkeerd, inclusief SamrUnicodeChangePasswordUser4.

    Gebruik de volgende groepsbeleidsobjectinstelling om dit gedrag te beheren:

    Computerconfiguratie>Beheersjablonen>Systeem>Security Account Manager configureren>SAM wachtwoord wijzigen RPC-methodes beleid

  • NUMA (Non-uniform Memory Access) ondersteunt: AD DS maakt nu gebruik van NUMA-compatibele hardware door CPU's in alle processorgroepen te gebruiken. Voorheen zou Active Directory alleen CPU's gebruiken in groep 0. Active Directory kan meer dan 64 kernen uitbreiden.

  • Prestatiemetertellers: Het bewaken en oplossen van problemen met de prestaties van de volgende tellers is nu beschikbaar:

    • DC-locator: tellers die specifiek zijn voor klanten en datacenters zijn beschikbaar.
    • LSA Lookups: Naam- en SID-zoekacties via de LsaLookupNames, LsaLookupSidsen equivalente API's. Deze tellers zijn beschikbaar op zowel client- als serverversies.
    • LDAP-client: beschikbaar in Windows Server 2022 en hoger via de update van KB 5029250.
  • volgorde van replicatieprioriteit: beheerders kunnen nu de door het systeem berekende replicatieprioriteit verhogen met een bepaalde replicatiepartner voor een bepaalde naamgevingscontext. Deze functie biedt meer flexibiliteit bij het configureren van de replicatievolgorde om specifieke scenario's aan te pakken.

Gedelegeerd beheerd serviceaccount

Dit nieuwe type account maakt migratie van een serviceaccount naar een gedelegeerd beheerd serviceaccount (dMSA) mogelijk. Dit accounttype wordt geleverd met beheerde en volledig gerandomiseerde sleutels om ervoor te zorgen dat minimale toepassingswijzigingen worden aangebracht terwijl de wachtwoorden van het oorspronkelijke serviceaccount zijn uitgeschakeld. Zie Overzicht van gedelegeerde beheerde serviceaccountsvoor meer informatie.

Windows Oplossing voor Lokale Beheerderswachtwoorden

Windows Local Administrator Password Solution (LAPS) helpt organisaties bij het beheren van lokale beheerderswachtwoorden op hun computers die lid zijn van een domein. Er worden automatisch unieke wachtwoorden gegenereerd voor het lokale beheerdersaccount van elke computer. Vervolgens worden ze veilig opgeslagen in Active Directory en worden ze regelmatig bijgewerkt. Automatisch gegenereerde wachtwoorden helpen de beveiliging te verbeteren. Ze verminderen het risico dat aanvallers toegang krijgen tot gevoelige systemen door gebruik te maken van gecompromitteerde of eenvoudig te raden wachtwoorden.

Verschillende functies die nieuw zijn voor Microsoft LAPS introduceren de volgende verbeteringen:

  • Nieuwe automatische accountbeheer: IT-beheerders kunnen nu eenvoudig een beheerd lokaal account maken. Met deze functie kunt u de accountnaam aanpassen en het account in- of uitschakelen. U kunt zelfs de accountnaam willekeurig maken voor verbeterde beveiliging. De update bevat ook verbeterde integratie met bestaand lokaal accountbeheerbeleid van Microsoft. Zie Beheermodi voor Windows LAPS-accountsvoor meer informatie over deze functie.

  • Nieuwe detectie van terugdraaien van systeemafbeeldingen: Windows LAPS detecteert nu wanneer een terugdraaiing van een systeemafbeelding plaatsvindt. Als er een terugdraaiactie plaatsvindt, komt het wachtwoord dat is opgeslagen in Active Directory mogelijk niet meer overeen met het wachtwoord dat lokaal op het apparaat is opgeslagen. Terugdraaien kan resulteren in een onvolledige toestand. In dit geval kan de IT-beheerder zich niet aanmelden bij het apparaat met behulp van het persistente Windows LAPS-wachtwoord.

    Om dit probleem op te lossen, is er een nieuwe functie toegevoegd die een Active Directory-kenmerk bevat met de naam msLAPS-CurrentPasswordVersion. Dit kenmerk bevat een willekeurige GUID (Globally Unique Identifier) die door Windows LAPS wordt geschreven telkens wanneer een nieuw wachtwoord wordt bewaard in Active Directory en lokaal wordt opgeslagen. Tijdens elke verwerkingscyclus wordt de GUID die is opgeslagen in msLAPS-CurrentPasswordVersion opgevraagd en vergeleken met de lokaal persistente kopie. Als deze verschillen zijn, wordt het wachtwoord onmiddellijk vernieuwd.

    Als u deze functie wilt inschakelen, voert u de nieuwste versie van de Update-LapsADSchema-cmdlet uit. Windows LAPS herkent vervolgens het nieuwe kenmerk en begint het te gebruiken. Als u de bijgewerkte versie van de Update-LapsADSchema-cmdlet niet uitvoert, registreert Windows LAPS een waarschuwingsevenement van 10108 in het gebeurtenislogboek, maar blijft normaal functioneren in alle andere opzichten.

    Er worden geen beleidsinstellingen gebruikt om deze functie in te schakelen of te configureren. De functie wordt altijd ingeschakeld nadat het nieuwe schemakenmerk is toegevoegd.

  • Nieuwe wachtwoordzin: IT-beheerders kunnen nu een nieuwe functie gebruiken in Windows LAPS waarmee de generatie van minder complexe wachtwoordzinnen mogelijk is. Een voorbeeld is een wachtwoordzin zoals EatYummyCaramelCandy. Deze woordgroep is gemakkelijker te lezen, te onthouden en te typen in vergelijking met een traditioneel wachtwoord, zoals V3r_b4tim#963?.

    Met deze nieuwe functie kunt u de PasswordComplexity beleidsinstelling configureren om een van de drie verschillende woordlijsten voor wachtwoordzinnen te selecteren. Alle lijsten zijn opgenomen in Windows en vereisen geen afzonderlijke download. Een nieuwe beleidsinstelling met de naam PassphraseLength bepaalt het aantal woorden dat in de wachtwoordzin wordt gebruikt.

    Wanneer u een wachtwoordzin maakt, wordt het opgegeven aantal woorden willekeurig geselecteerd in de gekozen woordenlijst en samengevoegd. De eerste letter van elk woord heeft een hoofdletter om de leesbaarheid te verbeteren. Deze functie biedt ook volledige ondersteuning voor het maken van back-ups van wachtwoorden naar Active Directory of Microsoft Entra ID.

    De wachtwoordzin woordenlijsten die worden gebruikt in de drie nieuwe PasswordComplexity configuraties voor wachtwoordzinnen zijn afkomstig uit het artikel van de Electronic Frontier Foundation Deep Dive: Nieuwe Wordlists van EFF voor willekeurige wachtwoordzinnen. De Windows LAPS Passphrase Word Lists is gelicentieerd onder de cc-BY-3.0-toeschrijvingslicentie en is beschikbaar voor download.

    Notitie

    Windows LAPS staat niet toe dat de ingebouwde woordenlijsten of het gebruik van door de klant geconfigureerde woordlijsten worden aangepast.

  • Verbeterde leesbaarheid van wachtwoordwoordenlijst: Windows LAPS introduceert een nieuwe PasswordComplexity-instelling waarmee IT-beheerders minder complexe wachtwoorden kunnen maken. U kunt deze functie gebruiken om LAPS aan te passen om alle vier de tekencategorieën (hoofdletters, kleine letters, cijfers en speciale tekens) te gebruiken, zoals de bestaande complexiteitsinstelling van 4. Met de nieuwe instelling van 5worden de complexere tekens uitgesloten om de leesbaarheid van wachtwoorden te verbeteren en verwarring te minimaliseren. De cijfers 1 en de letter ik worden bijvoorbeeld nooit gebruikt met de nieuwe instelling.

    Wanneer PasswordComplexity is geconfigureerd voor 5, worden de volgende wijzigingen aangebracht in de standaardwoordenlijsttekenset voor wachtwoorden:

    • Niet gebruiken: de letters I, O, Q, l, o
    • Niet gebruiken: de getallen 0, 1
    • Niet gebruiken: De speciale tekens ,, ., &, {, }, [, ], (, ), ;
    • Gebruiken: De speciale tekens :, =, ?, *

    De ADUC-module (via Microsoft Management Console) bevat nu een verbeterd Windows LAPS-tabblad. Het Windows LAPS-wachtwoord wordt nu weergegeven in een nieuw lettertype dat de leesbaarheid verbetert wanneer het in tekst zonder opmaak wordt weergegeven.

  • Ondersteuning voor post-authenticatie acties voor het beëindigen van afzonderlijke processen: er wordt een nieuwe optie toegevoegd aan de instelling voor post-authenticatie acties (PAA) van het groepsbeleid Reset the password, sign out the managed account, and terminate any remaining processes, die zich bevindt in Computerconfiguratie>Beheersjablonen>Systeem>LAPS>Post-authenticatie acties.

    Deze nieuwe optie is een uitbreiding van de vorige optie, Reset the password and log off the managed account. Na de configuratie meldt de PAA alle interactieve aanmeldingssessies en beëindigt deze. Hierin worden alle resterende processen opgesomd en beëindigd die nog worden uitgevoerd onder de identiteit van het lokale account die wordt beheerd door Windows LAPS. Er wordt geen melding voorafgegaan door deze beëindiging.

    De uitbreiding van logboekgebeurtenissen tijdens de uitvoering van PAA biedt meer inzicht in de bewerking.

Voor meer informatie over Windows LAPS, zie Wat is Windows LAPS?.

OpenSSH

In eerdere versies van Windows Server vereist het OpenSSH-connectiviteitsprogramma handmatige installatie voordat u deze gebruikt. Het OpenSSH-onderdeel aan de serverzijde is standaard geïnstalleerd in Windows Server 2025. De gebruikersinterface van Serverbeheer bevat ook een optie in één stap onder externe SSH-toegang waarmee de sshd.exe-service wordt ingeschakeld of uitgeschakeld. U kunt ook gebruikers toevoegen aan de OpenSSH-gebruikersgroep groep om toegang tot uw apparaten toe te staan of te beperken. Zie Overzicht van OpenSSH voor Windowsvoor meer informatie.

Beveiligingsbasislijn

Door een aangepaste beveiligingsbasislijn te implementeren, kunt u vanaf het begin beveiligingsmaatregelen instellen voor uw apparaat- of VM-rol op basis van het aanbevolen beveiligingspostuur. Deze basislijn wordt geleverd met meer dan 350 vooraf geconfigureerde Windows-beveiligingsinstellingen. U kunt de instellingen gebruiken om specifieke beveiligingsinstellingen toe te passen en af te dwingen die overeenkomen met de aanbevolen procedures die door Microsoft en industriestandaarden worden aanbevolen. Zie OSConfig-overzichtvoor meer informatie.

Op virtualisatie gebaseerde beveiligings enclaves

Een VBS-enclave (virtualisatiegebaseerde beveiliging) is een op software gebaseerde vertrouwde uitvoeringsomgeving in de adresruimte van een hosttoepassing. VBS-enclaves maken gebruik van onderliggende VBS-technologie om het gevoelige gedeelte van een toepassing te isoleren in een beveiligde partitie van het geheugen. VBS-enclaves maken isolatie van gevoelige workloads mogelijk vanuit zowel de hosttoepassing als de rest van het systeem.

Met VBS-enclaves kunnen toepassingen hun geheimen beveiligen door de noodzaak te verwijderen om beheerders te vertrouwen en beveiliging tegen kwaadwillende aanvallers te beschermen. Lees de VBS-enclaves win32-referentievoor meer informatie.

Beveiliging van beveiligingssleutels op basis van virtualisatie

Met VBS-sleutelbeveiliging kunnen Windows-ontwikkelaars cryptografische sleutels beveiligen met behulp van VBS. VBS maakt gebruik van de virtualisatieuitbreidingsfunctie van de CPU om een geïsoleerde runtime buiten het normale besturingssysteem te maken.

Wanneer vbs wordt gebruikt, worden VBS-sleutels geïsoleerd in een beveiligd proces. Sleutelbewerkingen kunnen plaatsvinden zonder het persoonlijke sleutelmateriaal buiten deze ruimte beschikbaar te maken. In rust versleutelt een TPM-sleutel het persoonlijke sleutelmateriaal, waarmee VBS-sleutels aan het apparaat worden gekoppeld. Sleutels die op deze manier zijn beveiligd, kunnen niet worden gedumpt uit het werkgeheugen van het proces of in platte tekst worden geëxporteerd van de computer van een gebruiker.

VBS-sleutelbeveiliging helpt exfiltratieaanvallen te voorkomen door aanvallers op beheerdersniveau. VBS moet zijn ingeschakeld om sleutelbeveiliging te kunnen gebruiken. Zie Geheugenintegriteit inschakelenvoor meer informatie over het inschakelen van VBS.

Beveiligde connectiviteit

In de volgende secties wordt de beveiliging voor verbindingen besproken.

Beveiligd certificaatbeheer

Het zoeken of ophalen van certificaten in Windows ondersteunt nu SHA-256 hashes, zoals beschreven in de functies CertFindCertificateInStore en CertGetCertificateContextProperty. TLS-serververificatie is veiliger in Windows en vereist nu een minimale RSA-sleutellengte van 2048 bits. Lees TLS-serververificatie voor meer informatie: afschaffing van zwakke RSA-certificaten.

SMB over QUIC

De SMB via QUIC serverfunctie, die alleen beschikbaar was in Windows Server Azure Edition, is nu beschikbaar in zowel Windows Server Standard- als Windows Server Datacenter-versies. SMB via QUIC biedt de voordelen van de QUIC, die versleutelde verbindingen met lage latentie via internet biedt.

SMB via QUIC-activeringsbeleid

Beheerders kunnen de SMB via QUIC-client uitschakelen via groepsbeleid en PowerShell. Als u SMB via QUIC wilt uitschakelen met groepsbeleid, stelt u de SMB inschakelen via QUIC--beleid in de volgende paden naar uitgeschakelde:

  • Computerconfiguratie\Beheersjablonen\Network\Lanman Workstation
  • Computerconfiguratie\Beheersjablonen\Network\Lanman Server

Als u SMB via QUIC wilt uitschakelen met behulp van PowerShell, voert u deze opdracht uit in een PowerShell-prompt met verhoogde bevoegdheid:

Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB-ondertekening en versleutelingscontrole

Beheerders kunnen controle van de SMB-server en -client inschakelen voor ondersteuning van SMB-ondertekening en -versleuteling. Als een niet-Microsoft-client of -server geen ondersteuning biedt voor SMB-versleuteling of -ondertekening, kan deze worden gedetecteerd. Wanneer een niet-Microsoft-apparaat of -software SMB 3.1.1 ondersteunt, maar SMB-ondertekening niet ondersteunt, wordt de SMB 3.1.1-verificatieintegriteit protocolvereiste geschonden.

U kunt SMB-instellingen voor ondertekening en versleuteling configureren met behulp van Groepsbeleid of PowerShell. U kunt dit beleid wijzigen in de volgende groepsbeleidspaden:

  • Computerconfiguratie\Beheersjablonen\Network\Lanman Server\Audit-client biedt geen ondersteuning voor versleuteling
  • Computerconfiguratie\Beheersjablonen\Network\Lanman Server\Audit-client biedt geen ondersteuning voor ondertekening
  • Computerconfiguratie\Beheersjablonen\Network\Lanman Workstation\Audit-server biedt geen ondersteuning voor versleuteling
  • Computerconfiguratie\Beheersjablonen\Network\Lanman Workstation\Audit-server biedt geen ondersteuning voor ondertekening

Als u deze wijzigingen wilt uitvoeren met behulp van PowerShell, voert u deze opdrachten uit in een prompt met verhoogde bevoegdheid waarbij $true deze instellingen inschakelt en $false uitschakelt:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Gebeurtenislogboeken voor deze wijzigingen worden opgeslagen in de volgende logboekenpaden met hun specifieke gebeurtenis-id.

Pad Gebeurtenis-id
Logboeken Toepassingen en Services\Microsoft\Windows\SMBClient\Audit 31998
31999
Logboeken toepassingen en services\Microsoft\Windows\SMBServer\Audit 3021
3022
SMB via QUIC-controle

SMB over QUIC-clientverbindingauditing legt gebeurtenissen vast in een gebeurtenislogboek om het QUIC-transport in de Event Viewer op te nemen. Deze logboeken worden opgeslagen in de volgende paden met hun specifieke gebeurtenis-id.

Pad Gebeurtenis-id
Logboeken applicaties en services\Microsoft\Windows\SMBClient\Connectivity 30832
Logboeken toepassingen en services\Microsoft\Windows\SMBServer\Connectivity 1913
SMB via QUIC-clienttoegangsbeheer

Windows Server 2025 bevat clienttoegangsbeheer voor SMB via QUIC. SMB via QUIC is een alternatief voor TCP en RDMA die beveiligde connectiviteit biedt met edge-bestandsservers via niet-vertrouwde netwerken. Clienttoegangsbeheer introduceert meer maatregelen om de toegang tot uw gegevens te beperken door certificaten te gebruiken. Zie Hoe clienttoegangsbeheer werktvoor meer informatie.

Alternatieve SMB-poorten

U kunt de SMB-client gebruiken om verbinding te maken met alternatieve TCP-, QUIC- en RDMA-poorten in plaats van hun IANA/IETF-standaardwaarden van 445, 5445 en 443. U kunt alternatieve poorten configureren via Groepsbeleid of PowerShell. Voorheen verplichtte de SMB-server in Windows binnenkomende verbindingen om de IANA-geregistreerde poort TCP/445 te gebruiken, terwijl de SMB TCP-client alleen uitgaande verbindingen met dezelfde TCP-poort toestaat. Nu maakt SMB via QUIC alternatieve SMB-poorten mogelijk waarbij UDP/443-poorten die door QUIC zijn verplicht, beschikbaar zijn voor zowel server- als clientapparaten. Zie Alternatieve SMB-poorten configurerenvoor meer informatie.

Verharding van SMB-firewallregels

Toen een share werd gemaakt, werden de SMB-firewallregels automatisch geconfigureerd om de groep Bestands- en Printerdeling in te schakelen voor de relevante firewallprofielen. Nu resulteert het maken van een SMB-share in Windows in de automatische configuratie van de nieuwe groep Bestands- en Printerdeling (Beperkend), die geen binnenkomende NetBIOS-poorten 137-139 meer toestaat. Zie Bijgewerkte firewallregelsvoor meer informatie.

SMB-versleuteling

SMB-versleuteling afdwingen is ingeschakeld voor alle uitgaande SMB-clientverbindingen. Met deze update kunnen beheerders een mandaat instellen dat alle doelservers SMB 3.x en versleuteling ondersteunen. Als een server niet over deze mogelijkheden beschikt, kan de client geen verbinding tot stand brengen.

Frequentielimiet voor SMB-verificatie

De frequentielimiet voor SMB-verificatie beperkt het aantal verificatiepogingen binnen een bepaalde periode. De frequentielimiet voor SMB-verificatie helpt beveiligingsaanvallen te bestrijden. De service voor de SMB-server maakt gebruik van de verificatiesnelheidslimiet om een vertraging te implementeren tussen elke mislukte verificatiepoging op basis van NTLM of PKU2U. De service is standaard ingeschakeld. Zie Hoe de frequentielimiet voor SMB-verificatie werktvoor meer informatie.

SMB NTLM uitschakelen

Vanaf Windows Server 2025 ondersteunt de SMB-client NTLM-blokkeringen voor externe uitgaande verbindingen. Voorheen onderhandelde het Windows Simple en Protected GSSAPI-onderhandelingsmechanisme (SPNEGO) over Kerberos, NTLM en andere mechanismen met de doelserver om een ondersteund beveiligingspakket te bepalen. Zie NTLM-verbindingen blokkeren op SMBvoor meer informatie.

SMB dialectbeheer

U kunt nu SMB-dialecten beheren in Windows. Bij configuratie bepaalt de SMB-server welke SMB 2- en SMB 3-dialecten het onderhandelt, vergeleken met eerder gedrag, en selecteert alleen het hoogste dialect.

SMB-ondertekening

SMB-ondertekening is nu standaard vereist voor alle uitgaande SMB-verbindingen. Voorheen was het alleen vereist wanneer u verbinding hebt gemaakt met shares met de naam SYSVOL- en NETLOGON- op Active Directory-DC's. Zie Hoe ondertekening werktvoor meer informatie.

Op afstand mailslot

Het Remote Mailslot-protocol is standaard uitgeschakeld voor SMB en voor DC Locator-protocol dat wordt gebruikt met Active Directory. Remote Mailslot kan in een latere release worden verwijderd. Zie functies zijn verwijderd of niet meer ontwikkeld in Windows Servervoor meer informatie.

Beveiliging van routering en RAS-services

Standaard accepteren nieuwe RRAS-installaties (Routing and Remote Access Services) geen VPN-verbindingen op basis van PPTP en L2TP. U kunt deze protocollen nog steeds inschakelen, indien nodig. VPN-verbindingen op basis van SSTP en IKEv2 worden nog steeds geaccepteerd zonder enige wijziging.

Bestaande configuraties behouden hun gedrag. Als u bijvoorbeeld Windows Server 2019 uitvoert en PPTP- en L2TP-verbindingen accepteert en u een upgrade uitvoert naar Windows Server 2025 met behulp van een in-place upgrade, worden verbindingen op basis van L2TP en PPTP nog steeds geaccepteerd. Deze wijziging heeft geen invloed op windows-clientbesturingssystemen. Zie VPN-protocollen configurerenvoor meer informatie over het opnieuw inschakelen van PPTP en L2TP.

IPsec-standaardsleutelingsprotocolwijziging

De standaardsleutelmodules zijn gewijzigd in IKEv1 en IKEv2 voor IPsec-verbindingen die zijn geverifieerd met computercertificaten. Voor andere verificatiemethoden blijft de standaardauthIP en IKEv1 behouden. Dit geldt voor zowel Windows Server 2025- als Windows 11 24H2-clients. In het registerpad HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parametersmaakt de IpsecRestoreLegacyKeyMod vermelding met de waarde 0 gebruik van de nieuwe reeks, IKEv2 en IKEv1. Een waarde van 1 maakt gebruik van de vorige reeks, AuthIP en IKEv1. Als u wilt terugkeren naar het vorige gedrag, voegt u de volgende registersleutel toe aan systemen met behulp van de nieuwe standaardsleutelingprotocolreeks. Opnieuw opstarten is vereist om wijzigingen van kracht te laten worden.

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1

Hyper-V, AI en prestaties

In de volgende secties worden Hyper-V, AI en prestaties besproken.

Versneld netwerken (preview)

Versnelde netwerken (AccelNet) vereenvoudigt het beheer van enkele root I/O-virtualisatie (SR-IOV) voor virtuele machines (VM's) die worden gehost op Windows Server 2025-clusters. Deze functie maakt gebruik van het gegevenspad met hoge prestaties SR-IOV om latentie, jitter en CPU-gebruik te verminderen. AccelNet bevat ook een beheerlaag die de controle van vereisten, de hostconfiguratie en de prestatie-instellingen van de VM afhandelt. Zie Versneld netwerken (preview)-voor meer informatie.

Compatibiliteit met dynamische processor

De compatibiliteitsmodus voor dynamische processor wordt bijgewerkt om te profiteren van nieuwe processormogelijkheden in een geclusterde omgeving. Dynamische processorcompatibiliteit maakt gebruik van het maximum aantal processorfuncties dat beschikbaar is op alle servers in een cluster. De modus verbetert de prestaties vergeleken met de vorige versie van processorcompatibiliteit.

U kunt ook dynamische processorcompatibiliteit gebruiken om de status op te slaan tussen virtualisatiehosts die verschillende generaties processors gebruiken. De processorcompatibiliteitsmodus biedt nu verbeterde, dynamische mogelijkheden voor processors die geschikt zijn voor adresomzetting op het tweede niveau. Zie compatibiliteitsmodus voor dynamische processorvoor meer informatie over de bijgewerkte compatibiliteitsmodus.

Hyper-V Beheerder

Wanneer u een nieuwe VIRTUELE machine maakt via Hyper-V Manager, wordt generatie 2 nu ingesteld als de standaardoptie in de wizard Nieuwe virtuele machine.

Door de hypervisor afgedwongen pagingvertaling

Hypervisor-afgedwongen paginavertaling (HVPT) is een beveiligingsverbetering die de integriteit van lineaire adresomzettingen waarborgt. HVPT beschermt kritieke systeemgegevens tegen write-what-where-aanvallen, waarbij de aanvaller een willekeurige waarde naar een willekeurige locatie schrijft, vaak als gevolg van een bufferoverloop. HVPT bewaakt paginatabellen die kritieke systeemgegevensstructuren configureren. HVPT bevat alles wat reeds is beveiligd met hypervisor-beveiligde code-integriteit (HVCI). HVPT is standaard ingeschakeld, waar hardwareondersteuning beschikbaar is. HVPT is niet ingeschakeld wanneer Windows Server wordt uitgevoerd als gast in een VIRTUELE machine.

GPU-partitionering

U kunt een fysiek GPU-apparaat delen met meerdere VM's met behulp van GPU-partitionering. In plaats van de volledige GPU toe te wijzen aan één VIRTUELE machine, wijst GPU-partitionering (GPU-P) toegewezen fracties van de GPU toe aan elke VIRTUELE machine. Met Hyper-V GPU-P hoge beschikbaarheid wordt een GPU-P VM automatisch ingeschakeld op een ander clusterknooppunt als er ongeplande downtime is.

GPU-P livemigratie biedt een oplossing voor het verplaatsen van een virtuele machine (voor geplande downtime of taakverdeling) met GPU-P naar een ander knooppunt, ongeacht of deze zelfstandig of geclusterd is. Zie GPU-partitioneringvoor meer informatie over GPU-partitionering.

Netwerk ATC

Netwerk-ATC stroomlijnt de implementatie en het beheer van netwerkconfiguraties voor Windows Server 2025-clusters. Netwerk-ATC maakt gebruik van een op intentie gebaseerde benadering, waarbij gebruikers hun gewenste intenties opgeven, zoals beheer, berekening of opslag voor een netwerkadapter. De implementatie wordt geautomatiseerd op basis van de beoogde configuratie.

Deze aanpak vermindert de tijd, complexiteit en fouten die zijn gekoppeld aan de implementatie van hostnetwerken. Het zorgt voor configuratieconsistentie in het cluster en elimineert ook configuratiedrift. Zie Hostnetwerken implementeren met Network ATCvoor meer informatie.

Schaalbaarheid

Met Windows Server 2025 ondersteunt Hyper-V nu maximaal 4 petabytes aan geheugen en 2048 logische processors per host. Hierdoor kunnen de schaalbaarheid en prestaties van gevirtualiseerde workloads groter worden.

Windows Server 2025 biedt ook ondersteuning voor maximaal 240 TB geheugen en 2048 virtuele processors voor vm's van de tweede generatie, wat meer flexibiliteit biedt voor het uitvoeren van grote workloads. Zie Plannen voor Hyper-V schaalbaarheid in Windows Servervoor meer informatie.

Werkgroepclusters

Hyper-V werkgroepclusters zijn een speciaal type Windows Server-failovercluster waarbij de Hyper-V clusterknooppunten geen lid zijn van een Active Directory-domein met de mogelijkheid om virtuele machines in een werkgroepcluster live te migreren.

Opslag

In de volgende secties worden opslagupdates beschreven.

Ondersteuning voor klonen blokkeren

Dev Drive ondersteunt nu blokklonen vanaf Windows 11 24H2 en Windows Server 2025. Omdat Dev Drive de ReFS-indeling (Resilient File System) gebruikt, biedt ondersteuning voor blokklonen aanzienlijke prestatievoordelen wanneer u bestanden kopieert. Met blokklonen kan het bestandssysteem een bereik van bestandsbytes voor een toepassing kopiëren als een goedkope metagegevensbewerking in plaats van dure lees- en schrijfbewerkingen uit te voeren naar de onderliggende fysieke gegevens.

Het resultaat is een snellere voltooiing van het kopiëren van bestanden, verminderde I/O naar de onderliggende opslag en verbeterde opslagcapaciteit door meerdere bestanden in staat te stellen dezelfde logische clusters te delen. Zie Klonen blokkeren op ReFS-voor meer informatie.

Dev Drive

Dev Drive is een opslagvolume dat de prestaties van cruciale workloads voor ontwikkelaars wil verbeteren. Dev Drive maakt gebruik van ReFS-technologie en bevat specifieke optimalisaties van het bestandssysteem om meer controle te bieden over de instellingen en beveiliging van opslagvolumes. Beheerders hebben nu de mogelijkheid om vertrouwensrelaties aan te wijzen, antivirusinstellingen te configureren en beheerbeheer uit te oefenen over gekoppelde filters. Zie Een dev-station instellen in Windows 11voor meer informatie.

NVMe

NVMe is een nieuwe standaard voor snelle solid-state drives. De prestaties van NVMe-opslag zijn geoptimaliseerd in Windows Server 2025. Het resultaat is verbeterde prestaties met een toename in IOPS en een afname van het CPU-gebruik.

Opslagreplicacompressie

Opslagreplicacompressie vermindert de hoeveelheid gegevens die tijdens de replicatie via het netwerk worden overgedragen. Zie Storage Replica-overzichtvoor meer informatie over compressie in Storage Replica.

Uitgebreid logboek voor Opslagreplica

Storage Replica Verbeterde Log helpt bij de implementatie van logs om de prestatiekosten te elimineren die gepaard gaan met abstracties van het bestandssysteem. De prestaties van blokreplicatie zijn verbeterd. Zie voor meer informatie uitgebreide logboeken van Storage Replica.

Systeemeigen opslagontdubbeling en compressie van ReFS

ReFS-systeemeigen opslagontdubbeling en -compressie zijn technieken voor het optimaliseren van de opslagefficiëntie voor zowel statische als actieve workloads, zoals bestandsservers of virtuele bureaubladen. Zie Opslag optimaliseren met ReFS-ontdubbeling en -compressie in Azure Localvoor meer informatie over ReFS-ontdubbeling en -compressie.

Dunne geprovisioneerde volumes

Dun ingerichte volumes met Opslagruimten Direct zijn een manier om opslagresources efficiënter toe te wijzen en kostbare overbezetting te voorkomen door alleen toe te wijzen aan de pool wanneer ze nodig zijn in een cluster. U kunt ook vaste volumes converteren naar volumes met thin provisioning. Wanneer u converteert van vaste naar dun ingerichte volumes, wordt ongebruikte opslagruimte vrijgemaakt en teruggegeven aan de pool voor gebruik door andere volumes. Zie Storage thin provisioningvoor meer informatie over volumes met thin provisioning .

Serverberichtblok

Server Message Block (SMB) is een van de meest gebruikte protocollen in netwerken. SMB biedt een betrouwbare manier om bestanden en andere resources tussen apparaten in uw netwerk te delen. Windows Server 2025 bevat SMB-compressieondersteuning voor het industriestandaard LZ4-compressiealgoritme. LZ4 is een aanvulling op de bestaande ondersteuning van SMB voor XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 en PATTERN_V1.

Azure Arc en hybride oplossingen

In de volgende secties worden Azure Arc- en hybride configuraties besproken.

Vereenvoudigde Installatie van Azure Arc

Azure Arc Setup is een functie op aanvraag, dus deze is standaard geïnstalleerd. Een gebruiksvriendelijke wizardinterface en een systeemvakpictogram op de taakbalk helpen het proces van het toevoegen van servers aan Azure Arc te vergemakkelijken. Azure Arc breidt de mogelijkheden van het Azure-platform uit, zodat u toepassingen en services kunt maken die in diverse omgevingen kunnen werken. Deze omgevingen omvatten datacenters, de rand en omgevingen met meerdere clouds en bieden meer flexibiliteit. Zie Windows Server-machines verbinden met Azure via Azure Arc Setupvoor meer informatie.

Gebruiksgebonden licenties

De licentieoptie voor betalen per gebruik van Azure Arc is een alternatief voor de conventionele permanente licentieverlening voor Windows Server 2025. Met de optie betalen per gebruik kunt u een Windows Server-apparaat implementeren, er een licentie voor geven en alleen betalen voor zoveel als u gebruikt. Deze functie wordt gefaciliteerd via Azure Arc en gefactureerd via uw Azure-abonnement. Zie Azure Arc-licenties voor betalen per gebruikvoor meer informatie.

Windows Server Management ingeschakeld door Azure Arc

Windows Server Management ingeschakeld door Azure Arc biedt nieuwe voordelen voor klanten met Windows Server-licenties met actieve Software Assurance- of Windows Server-licenties die actieve abonnementslicenties zijn. Windows Server 2025 heeft de volgende belangrijke voordelen:

  • Windows Admin Center in Azure Arc: Integreert Azure Arc met Het Windows-beheercentrum, zodat u uw Windows Server-exemplaren kunt beheren vanuit de Azure Arc-portal. Deze integratie biedt een uniforme beheerervaring voor uw Windows Server-exemplaren, ongeacht of ze on-premises, in de cloud of aan de rand worden uitgevoerd.
  • nl-NL: Remote Support: biedt klanten met professionele ondersteuning de mogelijkheid om just-in-time toegang te verlenen met gedetailleerde uitvoeringstranscripties en intrekkingsrechten.
  • Best Practices Assessment: Het verzamelen en analyseren van servergegevens genereert problemen en herstelrichtlijnen en prestatieverbeteringen.
  • Azure Site Recovery-configuratie: Configuratie van Azure Site Recovery zorgt voor bedrijfscontinuïteit en biedt replicatie- en gegevenstolerantie voor kritieke workloads.

Raadpleeg Windows Server Management met Azure Arcvoor meer informatie over de voordelen van Windows Server Management dat door Azure Arc wordt ingeschakeld.

Software-Defined Netwerken

Software-Defined Networking (SDN) is een benadering van netwerken die netwerkbeheerders kunnen gebruiken om netwerkservices te beheren via abstractie van functionaliteit op lager niveau. SDN maakt het mogelijk om het netwerkbesturingsvlak, dat het netwerk beheert, te scheiden van het gegevensvlak, waarmee het verkeer wordt verwerkt. Deze scheiding zorgt voor meer flexibiliteit en programmeerbaarheid in netwerkbeheer. SDN biedt de volgende voordelen in Windows Server 2025:

  • netwerkcontroller: dit besturingsvlak voor SDN wordt nu rechtstreeks gehost als failoverclusterservices op de fysieke hostcomputers. Als u een clusterrol gebruikt, hoeft u geen VM's te implementeren, wat de implementatie en het beheer vereenvoudigt en resources bespaart.
  • segmentatie op basis van tags: beheerders kunnen aangepaste servicetags gebruiken om netwerkbeveiligingsgroepen (NSG's) en VM's te koppelen voor toegangsbeheer. In plaats van IP-bereiken op te geven, kunnen beheerders nu eenvoudige zelf verklarende labels gebruiken om workload-VM's te taggen en beveiligingsbeleid toe te passen op basis van deze tags. Tags vereenvoudigen het proces van het beheren van netwerkbeveiliging en elimineren de noodzaak om IP-bereiken te onthouden en opnieuw te typen. Zie Netwerkbeveiligingsgroepen configureren met tags in het Windows-beheercentrumvoor meer informatie.
  • standaardnetwerkbeleid in Windows Server 2025: met dit beleid worden azure-achtige beveiligingsopties toegevoegd aan NSG's voor workloads die zijn geïmplementeerd via Windows Admin Center. Het standaardbeleid weigert alle binnenkomende toegang, waardoor selectieve opening van bekende binnenkomende poorten wordt toegestaan terwijl volledige uitgaande toegang vanaf workload-VM's is toegestaan. Standaardnetwerkbeleid zorgt ervoor dat workload-VM's worden beveiligd vanaf het moment van maken. Zie Standaardbeleid voor netwerktoegang gebruiken op virtuele machines in Azure Local, versie 23H2voor meer informatie.
  • SDN multisite: deze functie biedt systeemeigen laag 2- en laag 3-connectiviteit tussen toepassingen op twee locaties zonder extra onderdelen. Met SDN Multisite kunnen toepassingen naadloos worden verplaatst zonder dat de toepassing of netwerken opnieuw hoeven te worden geconfigureerd. Het biedt ook geïntegreerd netwerkbeleidsbeheer voor workloads, zodat u geen beleid hoeft bij te werken wanneer een workload-VM van de ene locatie naar de andere wordt verplaatst. Om meer te leren, zie Wat is SDN Multisite?.
  • Verbeterde prestaties van SDN Layer 3-gateways: Layer 3-gateways bereiken hogere doorvoer en verminderde CPU-cycli. Deze verbeteringen zijn standaard ingeschakeld. Gebruikers ervaren automatisch betere prestaties wanneer een SDN-gatewaylaag 3-verbinding is geconfigureerd via PowerShell of Windows-beheercentrum.

Draagbaarheid van Windows-containers

Portability is een cruciaal aspect van containerbeheer en biedt de mogelijkheid om upgrades te vereenvoudigen door verbeterde flexibiliteit en compatibiliteit van containers in Windows toe te passen.

Portabiliteit is een Windows Server-functie die gebruikers kunnen gebruiken om containerinstallatiekopieën en hun bijbehorende gegevens te verplaatsen tussen verschillende hosts of omgevingen zonder dat hiervoor wijzigingen nodig zijn. Gebruikers kunnen een containerinstallatiekopie op de ene host maken en deze vervolgens implementeren op een andere host zonder dat ze zich zorgen hoeven te maken over compatibiliteitsproblemen. Zie Portability voor containersvoor meer informatie.

Windows Server Insider-programma

Het Windows Server Insider-programma biedt vroege toegang tot de nieuwste versies van het Windows-besturingssysteem voor een community van liefhebbers. Als lid bent u een van de eersten om nieuwe ideeën en concepten uit te proberen die Microsoft ontwikkelt. Nadat u zich hebt geregistreerd als lid, kunt u deelnemen aan verschillende releasekanalen. Ga naar Start>Settings>Windows Update>Windows Insider Program.

discussies in de Windows Server Insider-community