Windows Server 2025 中的新增功能
本文介绍 Windows Server 2025 中的一些最新发展,它拥有一些可提高安全性、性能和灵活性的高级功能。 借助更快的存储选项和与混合云环境集成的能力,现在管理基础结构变得更加简单。 Windows Server 2025 基于其前身的强大基础构建,并引入了一系列创新增强功能来适应你的需求。
桌面体验和升级
浏览升级选项和桌面体验。
使用 Windows 更新进行升级
可以从源媒体或 Windows 更新执行就地升级。 Microsoft通过 Windows 更新(称为功能更新)提供可选的就地升级功能。 此功能更新适用于 Windows Server 2019 和 Windows Server 2022 设备。
从设置对话框中通过 Windows 更新进行升级时,你可以直接在桌面中通过 Windows 更新或者通过使用 Server Core SConfig
来执行安装。 组织可能希望以增量方式实施升级,并希望使用组策略控制此可选升级的可用性。
若要详细了解如何管理功能更新的提供,请参阅 使用 Windows Server 上的组策略管理功能更新。
从 Windows Server 2012 R2 就地升级
使用 Windows Server 2025,一次最多可以升级四个版本。 可以直接从 Windows Server 2012 R2 及更高版本升级到 Windows Server 2025。
桌面 shell
首次登录时,桌面 shell 体验符合 Windows 11 的样式和外观。
蓝牙
现在可以通过 Windows Server 2025 中的蓝牙连接鼠标、键盘、耳机、音频设备等。
DTrace(动态追踪工具)
Windows Server 2025 自带 dtrace
作为原生工具。 DTrace 是一个命令行实用工具,可让用户实时监视和排查系统性能问题。 使用 DTrace,可以动态检测内核和用户空间代码,而无需修改代码本身。 此多功能工具支持一系列数据收集和分析技术,如聚合、直方图和用户级事件跟踪。 若要了解详细信息,请参阅 DTrace 以获取命令行帮助,并在 Windows 上 DTrace 以获取其他功能。
电子邮件和帐户
现在可以在 Windows 设置 中,帐户>电子邮件 & 帐户 下,添加以下类型的帐户,以用于 Windows Server 2025:
- Microsoft Entra ID
- Microsoft 帐户
- 工作或学校帐户
大多数情况下,仍需要加入域。
反馈中心
若要提交使用 Windows Server 2025 时遇到的反馈或报告问题,请使用 Windows 反馈中心。 包括导致问题的过程的屏幕截图或录制内容,帮助我们了解你的情况并分享有关增强 Windows 体验的建议。 若要了解详细信息,请参阅浏览反馈中心。
文件压缩
Windows Server 2025 具有新的压缩功能。 若要压缩项目,请右键单击并选择 压缩到。 此功能支持 ZIP、7z和 TAR 压缩格式,并为每种格式提供特定的压缩方法。
已固定应用
现在可通过开始菜单固定最常用的应用,并且可根据需要进行自定义。 当前默认固定的应用包括:
- Azure Arc 安装程序
- 反馈中心
- 文件资源浏览器
- Microsoft Edge
- 服务器管理器
- 设置
- 终端
- Windows PowerShell
任务管理器
Windows Server 2025 会将新式任务管理器应用与符合 Windows 11 样式的 Mica 材料配合使用。
WLAN
现在更容易启用无线功能,因为默认情况下已安装无线 LAN 服务功能。 无线启动服务设置为手动。 若要启用它,请在命令提示符、Windows 终端或 PowerShell 中运行 net start wlansvc
。
Windows 终端
Windows Server 2025 中提供了Windows 终端,这是一个功能强大的高效多shell 应用程序,适用于命令行用户。 在搜索栏中搜索 终端。
WinGet
WinGet 默认安装,它是一种命令行 Windows 包管理器工具,它提供全面的包管理器解决方案,用于在 Windows 设备上安装应用程序。 若要了解详细信息,请参阅 使用 WinGet 工具安装和管理应用程序。
高级多层安全性
了解 Windows 2025 中的安全性。
热补丁(预览版)
在 Azure Arc 门户中启用 Hotpatch 后,Hotpatch 现在可用于已连接到 Azure Arc 的 Windows Server 2025 计算机。 可以使用 Hotpatch 应用 OS 安全更新,而无需重启计算机。 要了解详细信息,请参阅热补丁。
重要
启用了 Azure Arc 的 Hotpatch 目前处于预览阶段。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
Credential Guard
从 Windows Server 2025 开始,在符合要求的设备上将默认启用 Credential Guard。 有关 Credential Guard 的详细信息,请参阅配置 Credential Guard。
Active Directory 域服务
Active Directory 域服务 (AD DS) 和 Active Directory 轻型域服务 (AD LDS) 的最新增强功能引入了一系列新功能和增强功能,旨在优化你的域管理体验:
32k 数据库页大小可选功能:Active Directory 自从 Windows 2000 引入以来,一直使用采用 8k 数据库页大小的可扩展存储引擎(ESE)数据库。 8k 架构设计决策导致了整个 Active Directory 的限制,这些限制记录在 Active Directory 最大限制:可伸缩性中。 此限制的一个示例是单个记录 Active Directory 对象,不能超过 8k 字节大小。 迁移到 32k 数据库页面格式对受旧版限制影响的方面提供了巨大的改进。 多值属性现在可以容纳大约 3,200 个值,这相当于增加了 2.6 倍。
可以使用 32k 页的数据库安装新的域控制器(DC),该数据库使用 64 位长值 ID(LID),并在 8k 页模式下运行,以便与以前的版本兼容。 升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。 迁移到 32k 页面数据库操作会在林范围内完成,且要求林中的所有 DC 均具有支持 32k 页面的数据库。
Active Directory 架构更新:引入了三个新的日志文件来扩展 Active Directory 架构:
sch89.ldf
、sch90.ldf
和sch91.ldf
。 AD LDS 等效架构更新在MS-ADAM-Upgrade3.ldf
中。 若要详细了解以前的架构更新,请参阅 Windows Server Active Directory 架构更新。Active Directory 对象修复:企业管理员可以修复缺少的核心属性
SamAccountType
和ObjectCategory
的对象。 企业管理员可以将对象的LastLogonTimeStamp
属性重置为当前时间。 这些操作会通过新的 RootDSE 来修改名为fixupObjectState
的受影响对象的操作功能来实现。通道绑定审核支持:现在可以为轻型目录访问协议(LDAP)通道绑定启用事件 3074 和 3075。 当通道绑定策略修改为更安全的设置时,管理员可以识别环境中不支持或失败的通道绑定的设备。 这些审核事件也可在 Windows Server 2022 及更高版本中通过 KB4520412 来查询。
DC 位置算法改进:DC 发现算法提供了新功能,同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。 若要了解详细信息,请参阅 在 Windows 和 Windows Server中查找域控制器。
注意
Windows 不会在 DC 发现操作期间使用邮件槽,因为 Microsoft 已宣布为这些旧技术弃用 WINS 和邮件槽。
林和域功能级别:新的功能级别可用于实现一般可支持性,而新的 32K 数据库页面大小功能必须使用该级别。 新的功能级别将映射到针对无人参与安装的
DomainLevel 10
和ForestLevel 10
值。 Microsoft 没有改造 Windows Server 2019 和 Windows Server 2022 的功能级别的计划。 若要执行 DC 的无人参与升级和降级,请参阅域控制器无人参与升级和降级的 DCPROMO 应答文件语法。DsGetDcName API 还支持一个新标志
DS_DIRECTORY_SERVICE_13_REQUIRED
,可以用于定位运行 Windows Server 2025 的 DC。 可以在以下文章中了解有关功能级别的详细信息:注意
需要新的 Active Directory 林或 AD LDS 配置集才能具有 Windows Server 2016 或更高的功能级别。 要升级 Active Directory 或 AD LDS 副本,要求现有域或配置集已在运行,且其功能级别为 Windows Server 2016 或更高。
Microsoft建议所有客户现在开始计划将其 Active Directory 和 AD LDS 服务器升级到 Windows Server 2022,为下一个版本做准备。
改进针对名称/SID 查找的算法:不同计算机帐户之间的本地安全机构 (LSA) 名称和 SID 查找转发功能不再使用旧版 Netlogon 安全通道。 将改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性,仍可使用 Netlogon 安全通道作为回退选项。
改进了机密属性的安全性:仅当连接加密时,DC 和 AD LDS 实例才允许 LDAP 执行涉及机密属性的添加、搜索和修改操作。
改进了默认计算机帐户密码的安全性:Active Directory 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。
若要控制此行为,请 域控制器启用组策略对象(GPO)设置:拒绝 计算机配置\Windows 设置\安全设置\本地策略\安全选项中设置默认计算机帐户 密码。
Active Directory 管理中心(ADAC)、Active Directory 用户和计算机(ADUC)、
net computer
等实用工具,dsmod
也遵循这一新行为。 ADAC 和 ADUC 都不再允许创建 Windows 2000 之前的帐户。zh-CN: Kerberos PKINIT 对加密敏捷性的支持:Kerberos 公钥加密的初始身份验证协议实现已更新,通过支持更多算法和移除硬编码算法来实现加密敏捷性。
Kerberos 对用于票证授予票证的算法进行的变更:Kerberos 分发中心将不再颁发使用 RC4 加密(例如 RC4-HMAC(NT))的票证授予票证。
LAN Manager GPO 设置:GPO 设置 网络安全:不要将 LAN Manager 哈希值存储在下次密码更改中。 该设置已不存在,也不适用于新版本的 Windows。
默认情况下 LDAP 加密:简单身份验证和安全层 (SASL) 绑定后的所有 LDAP 客户端通信默认使用 LDAP 密封。 要了解有关 SASL 的详细信息,请参阅 SASL 身份验证。
针对传输层安全 (TLS) 1.3 的 LDAP 支持:LDAP 使用最新的 SCHANNEL 实现,并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可消除过时的加密算法,并增强旧版本的安全性。 TLS 1.3 旨在尽可能多地加密握手。 若要了解详细信息,请参阅 TLS/SSL (Schannel SSP) 中的协议和 Windows Server 2022 中的 TLS 密码套件。
旧版安全帐户管理器(SAM)远程过程调用(RPC)密码更改行为:安全协议(如 Kerberos)是更改域用户密码的首选方法。 在 DC 上,当远程调用时,默认使用高级加密标准 (AES) 接受最新的 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 默认情况下,远程调用以下旧 SAM RPC 方法时会阻止这些方法:
对于属于 受保护用户 组和域成员计算机上的本地帐户的域用户,默认情况下会阻止通过旧 SAM RPC 接口进行的所有远程密码更改,包括
SamrUnicodeChangePasswordUser4
。若要控制此行为,请使用以下 GPO 设置:
计算机配置>管理模板>系统>安全帐户管理器>配置 SAM 更改密码 RPC 方法策略
非一致性内存访问 (NUMA) 支持:AD DS 现在会使用所有处理器组中的 CPU 来利用支持 NUMA 的硬件。 以前,Active Directory 只会在组 0 中使用 CPU。 Active Directory 可扩展到 64 个内核以上。
性能计数器:现在可以监视和排查以下计数器的性能问题:
- DC 定位器:特定于客户端和 DC 的计数器可用。
- LSA 查找:通过
LsaLookupNames
、LsaLookupSids
和等效的 API 进行的名称和 SID 查找。 这些计数器在客户端和服务器版本上都可用。 - LDAP 客户端:通过 KB 5029250 更新在 Windows Server 2022 及更高版本中可用。
复制优先级顺序:管理员现在可以为特定命名上下文选择特定复制伙伴,并增加系统计算出的复制优先级。 此功能允许更灵活地配置复制顺序以解决特定方案。
委派托管服务帐户
这种新类型的帐户支持从服务帐户迁移到委派托管服务帐户 (dMSA)。 此帐户类型附带托管密钥和完全随机密钥,以确保在禁用原始服务帐户密码时尽量减少应用程序更改。 若要了解更多信息,请参阅委派的托管服务帐户概述。
Windows 本地管理员密码解决方案
Windows 本地管理员密码解决方案(LAPS)可帮助组织在其已加入域的计算机上管理本地管理员密码。 它会自动为每个计算机的本地管理员帐户生成唯一密码。 然后,它将安全地存储在 Active Directory 中,并定期更新它们。 自动生成的密码有助于提高安全性。 他们通过使用泄露或容易猜出的密码来降低攻击者获取敏感系统访问权限的风险。
Microsoft LAPS 的多项新增功能引入了以下改进:
新的自动帐户管理:IT 管理员可以轻松创建托管的本地帐户。 使用此功能,可以自定义帐户名称并启用或禁用该帐户。 甚至可以随机化帐户名称以提高安全性。 此更新还包括改进与来自Microsoft的现有本地帐户管理策略的集成。 若要了解有关此功能的更多信息,请参阅 Windows LAPS 帐户管理模式。
新映像回滚检测:在发生映像回滚时,Windows LAPS 现在可以检测到。 如果发生回滚,则存储在 Active Directory 中的密码可能不再与存储在设备上的本地密码匹配。 回滚可能会导致撕裂状态。 在这种情况下,IT 管理员无法使用持久化 Windows LAPS 密码登录到设备。
为了解决此问题,添加了一项新功能,其中包括名为
msLAPS-CurrentPasswordVersion
的 Active Directory 属性。 此属性包含由 Windows LAPS 编写的随机全局唯一标识符 (GUID),每次将新密码持久化到 Active Directory 并在本地保存时都会生成。 在每个处理周期中,查询存储在msLAPS-CurrentPasswordVersion
中的 GUID,并将其与本地持久化副本进行比较。 如果两者不一致,则会立即轮换密码。若要启用此功能,请运行最新版本的
Update-LapsADSchema
cmdlet。 然后,Windows LAPS 识别新属性并开始使用它。 如果未运行更新版本的Update-LapsADSchema
cmdlet,则 Windows LAPS 会在事件日志中记录 10108 警告事件,但仍在所有其他方面正常运行。不使用策略设置来启用或配置此功能。 添加新架构属性后,始终启用该功能。
新的通行短语:IT 管理员现在可以在 Windows LAPS 中使用新功能来生成不太复杂的通行短语。 EatYummyCaramelCandy 等通行短语就是一个示例。 与传统密码(如 V3r_b4tim#963)相比,此短语更易于阅读、记住和键入?。
使用此新功能,可以将
PasswordComplexity
策略设置配置为为通行短语选择三个不同的单词列表之一。 所有列表都包含在 Windows 中,不需要单独下载。 名为PassphraseLength
的新策略设置控制通行短语中使用的单词数。创建通行短语时,将从所选单词列表中随机选择指定的单词数并连接。 每个单词的第一个字母大写,以提高可读性。 此功能还完全支持将密码备份到 Active Directory 或 Microsoft Entra ID。
三个新的
PasswordComplexity
通行短语设置中使用的单词列表源自电子前沿基金会的文章 《深度探索:EFF 的随机通行短语新单词列表》。 Windows LAPS 密码短语列表 根据 CC-BY-3.0 署名许可协议授权,可供下载。注意
Windows LAPS 不允许自定义内置单词列表或使用客户配置的单词列表。
改进了可读性密码字典:Windows LAPS 引入了一个新的
PasswordComplexity
设置,使 IT 管理员能够创建不太复杂的密码。 可以使用此功能来自定义 LAPS,以使用所有四个字符类别(大写字母、小写字母、数字和特殊字符),例如现有的4
复杂性设置。 通过新的5
设置,将排除更复杂的字符以提高密码可读性,并最大程度地减少混淆。 例如,数字 1 和字母 I 永远不会与新设置一起使用。PasswordComplexity
配置为5
时,将对默认密码字典字符集进行以下更改:- 不使用: 字母 I、O、Q、l、o
- 请勿使用:数字 0、1
- 不使用: 特殊字符 、、。,&,{, }, [, ], (, ), ;
- 使用: 特殊字符 :、=、?,*
ADUC 管理单元(通过 Microsoft 管理控制台)现在具有改进的 Windows LAPS 选项卡。Windows LAPS 密码现在使用新字体显示,可在纯文本中显示时增强其可读性。
身份验证后操作支持终止各个进程:在 身份验证后操作(PAA)组策略设置中添加了一个新选项,
Reset the password, sign out the managed account, and terminate any remaining processes
该设置位于 计算机配置>管理模板>系统>LAPS>身份验证后操作。此新选项是上一选项的扩展,
Reset the password and log off the managed account
。 配置后,PAA 会通知并终止任何交互式登录会话。 它枚举并终止仍在由 Windows LAPS 管理的本地帐户标识下运行的任何剩余进程。 此终止之前没有通知。在 PAA 执行过程中扩展日志事件可以更深入地了解操作。
若要了解有关 Windows LAPS 的更多信息,请参阅什么是 Windows LAPS?。
OpenSSH
在早期版本的 Windows Server 中,OpenSSH 连接工具在使用前需要手动安装。 OpenSSH 服务器端组件默认安装在 Windows Server 2025 中。 服务器管理器 UI 还包括远程 SSH 访问下的一步选项,用于启用或禁用sshd.exe
该服务。 此外,你还可以将用户添加到 OpenSSH 用户组,以允许或限制访问设备。 若要了解详细信息,请参阅适用于 Windows 的 OpenSSH 概述。
安全基线
通过实现自定义的安全基线,可以根据建议的安全状况,从头开始为设备或 VM 角色建立安全措施。 此基线配备了 350 多个预配置的 Windows 安全设置。 可以使用这些设置应用和强制实施特定的安全设置,这些设置符合Microsoft和行业标准建议的最佳做法。 若要了解详细信息,请参阅 OSConfig 概述。
基于虚拟化的安全性 Enclave
基于虚拟化的安全性(VBS)区段是主机应用程序地址空间内的基于软件的受信任执行环境。 VBS enclaves 会使用底层 VBS 技术,将应用程序的敏感部分隔离在内存的安全分区中。 VBS Enclave 可以使敏感工作负载与主机应用程序和系统的其余部分隔离。
VBS Enclave 可使应用程序不需要信任管理员并能有效抵御恶意攻击者,从而保护自己的机密。 有关详细信息,请阅读 VBS Enclave Win32 参考。
基于虚拟化的安全密钥保护
VBS 密钥保护使 Windows 开发人员能够使用 VBS 保护加密密钥。 VBS 利用 CPU 的虚拟化扩展能力,在正常 OS 之外创建一个隔离的运行时。
使用时,VBS 密钥在安全进程中隔离。 无需在该空间外暴露私钥材料即可执行密钥操作。 在静态状态下,TPM 密钥会加密私钥材料,用于将 VBS 密钥绑定到设备。 以这种方式保护的密钥无法从进程内存中转储,也不能以纯文本形式从用户计算机导出。
VBS 密钥保护有助于防止任何管理员级攻击者发生外泄攻击。 必须启用 VBS 才能使用密钥保护。 有关如何启用 VBS 的信息,请参阅启用内存完整性。
安全连接
以下部分讨论连接的安全性。
安全证书管理
在 Windows 上搜索或检索证书现在支持 SHA-256 哈希,如函数 CertFindCertificateInStore 和 CertGetCertificateContextProperty中所述。 TLS 服务器身份验证在 Windows 中更安全,现在要求最低 RSA 密钥长度为 2,048 位。 有关详细信息,请阅读 TLS 服务器身份验证:弃用弱 RSA 证书。
基于 QUIC 的 SMB
SMB over QUIC 服务器功能以前仅在 Windows Server Azure 版本中可用,现在在 Windows Server Standard 和 Windows Server Datacenter 版本中均可用。 SMB over QUIC 增加了 QUIC 的优势,通过 Internet 提供低延迟、加密的连接。
基于 QUIC 的 SMB 的启用策略
管理员可以通过组策略和 PowerShell 通过 QUIC 客户端禁用 SMB。 若要通过组策略禁用 QUIC 上的 SMB,请在以下路径中将 启用 SMB over QUIC 策略设置为 禁用:
- 计算机配置\管理模板\网络\Lanman 工作站
- 计算机配置\管理模板\网络\Lanman Server
若要使用 PowerShell 在 QUIC 上禁用 SMB,请在提升的 PowerShell 提示符中运行以下命令:
Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB 签名和加密审核
管理员可以启用对 SMB 服务器和客户端的审核,以支持 SMB 签名和加密。 如果非Microsoft客户端或服务器缺少对 SMB 加密或签名的支持,则可以检测到它。 当非Microsoft设备或软件声明它支持 SMB 3.1.1,但不支持 SMB 签名时,它违反了 SMB 3.1.1 预身份验证完整性 协议要求。
可以使用组策略或 PowerShell 配置 SMB 签名和加密审核设置。 可以在以下组策略路径中更改这些策略:
- 计算机配置\管理模板\网络\Lanman服务器\审计客户端不支持加密
- 计算机配置\管理模板\网络\Lanman 服务器\审核客户端不支持签名
- 计算机配置\管理模板\网络\Lanman 工作站\审计服务器不支持加密
- 计算机配置\管理模板\网络\Lanman工作站\审计服务器不支持签名
若要使用 PowerShell 执行这些更改,请在提升的提示符下运行以下命令,其中 $true
启用并 $false
禁用这些设置:
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
这些更改的事件日志存储在以下具有特定事件 ID 的事件查看器路径中。
路径 | 事件 ID |
---|---|
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
基于 QUIC 的 SMB 审核
基于 QUIC 的 SMB 客户端连接审核可捕获写入事件日志的事件,以便在事件查看器中包含 QUIC 传输。 这些日志存储在以下路径中,其中包含其特定的事件 ID。
路径 | 事件标识 |
---|---|
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity | 30832 |
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity | 1913 |
SMB over QUIC 客户端访问控制
Windows Server 2025 包括针对 QUIC 上的 SMB 的客户端访问控制。 SMB over QUIC 是 TCP 和 RDMA 的替代方法,它通过不受信任的网络提供与边缘文件服务器的安全连接。 客户端访问控制引入了更多控制措施,以使用证书限制对数据的访问。 要了解详细信息,请参阅客户端访问控制的工作原理。
SMB 备用端口
可以使用 SMB 客户端连接到备用 TCP、QUIC 和 RDMA 端口,而不是其 IANA/IETF 默认值 445、5445 和 443。 可以通过组策略或 PowerShell 配置备用端口。 以前,Windows 中的 SMB 服务器授权入站连接使用 IANA 注册的端口 TCP/445,而 SMB TCP 客户端只允许与同一 TCP 端口建立出站连接。 现在,SMB over QUIC 支持 SMB 替代端口,其中 QUIC 强制的 UDP/443 端口可用于服务器和客户端设备。 要了解详细信息,请参阅配置替代 SMB 端口。
SMB 防火墙规则强化
以前,创建共享时,SMB 防火墙规则会自动配置为为相关防火墙配置文件启用 文件和打印机共享 组。 现在,在 Windows 中创建 SMB 共享会导致自动配置新的 文件和打印机共享(限制) 组,该组不再允许入站 NetBIOS 端口 137-139。 要了解详细信息,请参阅更新的防火墙规则。
SMB 加密
为所有出站 SMB 客户端连接启用强制 SMB 加密 。 通过此更新,管理员可以设置一个命令,即所有目标服务器都支持 SMB 3.x 和加密。 如果服务器缺少这些功能,则客户端无法建立连接。
SMB 身份验证速率限制器
SMB 身份验证速率限制程序限制特定时间段内的身份验证尝试次数。 SMB 身份验证速率限制器有助于打击暴力身份验证攻击。 为了减少每次失败的 NTLM 或基于 PKU2U 的身份验证尝试之间的时间延迟,SMB 服务器服务使用身份验证速率限制器。 默认情况下,该服务处于启用状态。 若要了解详细信息,请参阅 SMB 身份验证速率限制程序的工作原理。
禁用 SMB NTLM
从 Windows Server 2025 开始,SMB 客户端支持远程出站连接 NTLM 阻止。 以前,Windows 简单和受保护的 GSSAPI 协商机制(SPNEGO)与目标服务器协商了 Kerberos、NTLM 和其他机制,以确定受支持的安全包。 若要了解详细信息,请参阅 SMB 上的阻止 NTLM 连接。
SMB 方言控件
现在可以 在 Windows 中管理 SMB 方言。 配置后,SMB 服务器会确定与之前的行为相比协商的是哪些 SMB 2 和 SMB 3 方言,并且仅匹配最高级方言。
SMB 签名
默认情况下,所有 SMB 出站连接都需要 SMB 签名。 以前,只有在连接到 Active Directory DC 上名为 SYSVOL 和 NETLOGON 的共享时才需要此要求。 要了解详细信息,请参阅签名的工作原理。
远程 Mailslot
远程 Mailslot 协议默认处于禁用状态,以将 SMB 和 DC 定位器与 Active Directory 配合使用。 远程 Mailslot 可能会在后续版本中被移除。 若要了解详细信息,请参阅在 Windows Server 中删除或不再开发功能。
路由和远程访问服务强化
默认情况下,新的路由和远程访问服务(RRAS)安装不接受基于 PPTP 和 L2TP 的 VPN 连接。 如有必要,仍可以启用这些协议。 仍接受基于 SSTP 和 IKEv2 的 VPN 连接,无需进行任何更改。
现有配置会保留其行为。 例如,如果运行 Windows Server 2019 并接受 PPTP 和 L2TP 连接,并且使用就地升级升级到 Windows Server 2025,则仍接受基于 L2TP 和 PPTP 的连接。 此更改不会影响 Windows 客户端作系统。 若要详细了解如何重新允许 PPTP 和 L2TP,请参阅 配置 VPN 协议。
IPsec 默认密钥协议更改
对于使用计算机证书进行身份验证的 IPsec 连接,默认密钥模块已更改为 IKEv1 和 IKEv2。 对于其他身份验证方法,默认的 AuthIP 和 IKEv1 保持不变。 这适用于 Windows Server 2025 和 Windows 11 24H2 客户端。 在注册表路径 HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters
中,值为 0 的 IpsecRestoreLegacyKeyMod
项利用新序列 IKEv2 和 IKEv1。 值 1 使用先前序列、AuthIP 和 IKEv1。 若要还原到以前的行为,请使用新的默认密钥协议序列在系统上添加以下注册表项。 需要重新启动才能使更改生效。
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1
Hyper-V、AI 和性能
以下部分讨论 Hyper-V、AI 和性能。
加速网络(预览版)
加速网络(AccelNet)简化了对托管在 Windows Server 2025 群集上的虚拟机的单根 I/O 虚拟化(SR-IOV)的管理。 此功能使用高性能 SR-IOV 数据路径来降低延迟、抖动和 CPU 利用率。 AccelNet 还包括一个管理层,用于处理先决条件检查、主机配置和 VM 性能设置。 若要了解详细信息,请参阅 加速网络(预览版)。
动态处理器兼容性
动态处理器兼容性模式已更新,以利用群集环境中的新处理器功能。 动态处理器兼容性使用群集中所有服务器提供的最大处理器功能数。 与以前版本的处理器兼容性相比,模式可提高性能。
还可以使用动态处理器兼容性在使用不同代处理器的虚拟化主机之间保存其状态。 处理器兼容性模式现在为能够进行二级地址转换的处理器提供增强的动态功能。 若要了解有关更新的兼容性模式的详细信息,请参阅 动态处理器兼容性模式。
Hyper-V 管理器
通过 Hyper-V 管理器创建新 VM 时,第 2 代 现在设置为 “新建虚拟机向导”中的默认选项。
虚拟机管理程序强制执行的分页转换
虚拟机监控程序强制执行的分页转换 (HVPT) 是一项安全增强功能,用于强制实现线性地址转换的完整性。 HVPT 保护关键系统数据免受写入到什么位置的攻击,攻击者将任意值写入任意位置,通常是缓冲区溢出的结果。 HVPT 对配置关键系统数据结构的页表进行保护。 HVPT 包含已使用虚拟机管理程序保护的代码完整性 (HVCI) 保护的所有内容。 默认情况下,如果提供了硬件支持,则会启用 HVPT。 当 Windows Server 作为来宾在 VM 中运行时,不会启用 HVPT。
GPU 分区
可以使用 GPU 分区与多个 VM 共享物理 GPU 设备。 GPU 分区(GPU-P)将 GPU 的专用部分分配给每个 VM,而不是将整个 GPU 分配到单个 VM。 借助 Hyper-V GPU-P 高可用性,如果出现计划外停机,则会自动在另一个群集节点上启用 GPU-P VM。
GPU-P 实时迁移提供了一种解决方案,用于将 VM(计划内停机或负载均衡)与 GPU-P 移到另一个节点(无论是独立节点还是群集节点)。 若要了解有关 GPU 分区的详细信息,请参阅 GPU 分区。
网络 ATC
网络 ATC 简化了 Windows Server 2025 群集的网络配置的部署和管理。 网络 ATC 使用基于意图的方法,用户可以为网络适配器指定所需的功能,例如管理、计算或存储。 部署基于预期配置自动执行。
此方法可减少与主机网络部署关联的时间、复杂性和错误。 它可确保群集中的配置一致性,并消除配置偏差。 若要了解详细信息,请参阅 使用网络 ATC 部署主机网络。
伸缩性
借助 Windows Server 2025,Hyper-V 现在支持多达 4 PB 内存和每个主机 2,048 个逻辑处理器。 这一增加可提高虚拟化工作负载的可伸缩性和性能。
对于第 2 代 VM,Windows Server 2025 还支持多达 240 TB 的内存和 2,048 个虚拟处理器,为运行大型工作负荷提供更高的灵活性。 若要了解详细信息,请参阅 Windows Server 中的 Hyper-V 可伸缩性规划。
工作组群集
Hyper-V 工作组群集是 Windows Server 故障转移群集的特殊类型,其中 Hyper-V 群集节点不是 Active Directory 域的成员,能够实时迁移工作组群集中的 VM。
存储
以下部分介绍存储更新。
阻止克隆支持
从 Windows 11 24H2 和 Windows Server 2025 开始,开发驱动器现在支持阻止克隆。 由于开发驱动器使用弹性文件系统(ReFS)格式,因此复制文件时,块克隆支持可提供显著的性能优势。 使用阻止克隆,文件系统可以代表应用程序复制一系列文件字节作为低成本的元数据操作,而不是对基础物理数据执行高昂的读取和写入操作。
结果是更快地完成文件复制、减少到基础存储的 I/O,并通过允许多个文件共享同一逻辑群集来提高存储容量。 若要了解详细信息,请参阅在 ReFS 上阻止克隆。
开发驱动器
开发驱动器是一个存储卷,旨在提高关键开发人员工作负载的性能。 开发驱动器使用 ReFS 技术并整合特定的文件系统优化,以更好地控制存储卷设置和安全性。 管理员现在可以指定信任、配置防病毒设置,以及对附加筛选器执行管理控制。 若要了解详细信息,请参阅 在 Windows 11 上设置开发驱动器。
NVMe
NVMe 是快速固态硬盘的新标准。 NVMe 存储性能在 Windows Server 2025 中得到优化。 结果是通过提高 IOPS 和减少 CPU 利用率来提高性能。
存储副本压缩
存储副本压缩可减少复制期间通过网络传输的数据量。 若要详细了解存储副本中的压缩,请参阅 存储副本概述。
存储副本增强型日志
存储副本增强型日志有助于日志实现,以消除与文件系统抽象相关的性能成本。 块复制性能得到改进。 若要了解详细信息,请参阅存储副本增强型日志。
ReFS 原生存储重复数据删除和压缩
ReFS 本机存储重复数据删除和压缩技术用于优化静态和活动工作负荷(例如文件服务器或虚拟桌面)的存储效率。 若要详细了解 ReFS 重复数据删除和压缩,请参阅 使用 Azure 本地中的 ReFS 重复数据删除和压缩优化存储。
精简预配卷
使用存储空间直通的精简配置卷是一种更有效地分配存储资源的方法,通过仅在群集中需要时才从池中分配来避免昂贵的过度分配。 你还可以将固定卷转换为精简配置卷。 从固定卷转换为精简预配卷会将任何未使用的存储返回到存储池中,以供其他卷使用。 要了解有关精简预配卷的详细信息,请参阅存储精简预配。
服务器消息块
服务器消息块(SMB)是网络中最常用的协议之一。 SMB 提供了在网络上的设备之间共享文件和其他资源的可靠方法。 Windows Server 2025 包括对行业标准 LZ4 压缩算法的 SMB 压缩支持。 LZ4 是对 SMB 已有的 XPRESS(LZ77)、XPRESS Huffman(LZ77+Huffman)、LZNT1 和 PATTERN_V1 支持的补充。
Azure Arc 和混合环境
以下部分讨论 Azure Arc 和混合配置。
简化的 Azure Arc 设置
Azure Arc 安装程序是按需功能,因此默认安装。 任务栏中的用户友好向导界面和系统托盘图标有助于简化将服务器添加到 Azure Arc 的过程。Azure Arc 扩展了 Azure 平台的功能,以便可以创建可在不同环境中运行的应用程序和服务。 这些环境包括数据中心、边缘和多云环境,并提供更高的灵活性。 若要了解详细信息,请参阅通过 Azure Arc 安装程序将 Windows Server 计算机连接到 Azure。
按使用量付费许可
Azure Arc 即用即付订阅许可选项是 Windows Server 2025 常规永久许可的替代方法。 使用即用即付选项,可以部署 Windows Server 设备、授权它,并仅按你使用的费用付费。 此功能通过 Azure Arc 促进,并通过 Azure 订阅计费。 若要了解详细信息,请参阅 Azure Arc 即用即付许可。
Azure Arc 启用的 Windows Server 管理
Azure Arc 支持的 Windows Server 管理功能会为拥有 Windows Server 许可证(具有有效软件保障)或 Windows Server 许可证(是有效订阅许可证)的客户提供新的优势。 Windows Server 2025 具有以下主要优势:
- Azure Arc 中的 Windows Admin Center:将 Azure Arc 与 Windows Admin Center 集成,以便可以从 Azure Arc 门户管理 Windows Server 实例。 此集成可为你的 Windows Server 实例提供统一的管理体验,无论它们是在本地、云中还是在边缘运行。
- 远程支持:为客户提供专业支持,使其能够授予即时访问权限以及详细的执行记录和撤销权限。
- 最佳做法评估:收集和分析服务器数据会生成问题和修正指南和性能改进。
- Azure Site Recovery 配置:Azure Site Recovery 的配置可确保业务连续性,并为关键工作负荷提供复制和数据复原能力。
若要详细了解由 Azure Arc 启用的 Windows Server 管理以及可用优势,请参阅 Azure Arc 启用的 Windows Server 管理。
软件定义的网络
Software-Defined 网络(SDN)是一种网络方法,网络管理员可以通过抽象化较低级别的功能来管理网络服务。 SDN 允许从处理流量的数据平面分离网络控制平面(用于管理网络)。 这种分离允许提高网络管理的灵活性和可编程性。 SDN 在 Windows Server 2025 中具有以下优势:
- 网络控制器:SDN 的此控制平面现在直接作为故障转移群集服务在物理主机上托管。 使用群集角色无需部署 VM,从而简化部署和管理并节省资源。
- 基于标记的分段:管理员可以使用自定义服务标记来关联网络安全组(NSG)和 VM 进行访问控制。 管理员现在可以使用简单的自解释标签来标记工作负荷 VM,并根据这些标记应用安全策略,而不是指定 IP 范围。 标记简化了管理网络安全的过程,无需记住并重新键入 IP 范围。 若要了解详细信息,请参阅 在 Windows Admin Center 中使用标记配置网络安全组。
- Windows Server 2025中的默认网络策略:这些策略为通过 Windows Admin Center 部署的工作负载提供类似于 Azure 的保护选项。 默认策略拒绝所有入站访问,允许选择性地打开已知入站端口,同时允许从工作负荷 VM 进行完全出站访问。 默认网络策略确保从创建时起保护工作负载虚拟机。 若要了解详细信息,请参阅 使用 Azure 本地版本 23H2虚拟机上的默认网络访问策略。
- SDN 多站点:此功能在两个位置的应用程序之间提供原生的第 2 层(数据链路层)和第 3 层(网络层)连接,无需任何额外的组件。 借助 SDN 多站点,应用程序可以无缝移动,而无需重新配置应用程序或网络。 它还为工作负荷提供统一的网络策略管理,以便在工作负荷 VM 从一个位置移动到另一个位置时不需要更新策略。 若要了解详细信息,请参阅 什么是 SDN 多站点?。
- 增强 SDN 第 3 层网关的性能:第 3 层网关可实现更高的吞吐量和减少的 CPU 周期。 默认情况下启用这些改进。 通过 PowerShell 或 Windows Admin Center 配置 SDN 网关第 3 层连接时,用户会自动体验更好的性能。
Windows 容器可移植性
可移植性是容器管理的一个重要方面,能够通过增强 Windows 中容器的灵活性和兼容性来简化升级。
可移植性是一项 Windows Server 功能,用户可以在不同的主机或环境之间移动容器映像及其关联的数据,而无需进行任何修改。 用户可以在一台主机上创建容器映像,然后将其部署到另一台主机上,而不必担心兼容性问题。 要了解详细信息,请参阅容器的可移植性。
Windows Server 预览体验计划
Windows Server 预览体验计划为爱好者社区提供对最新 Windows OS 版本的早期访问。 作为成员之一,你是最早尝试微软正在开发的新想法和概念的人。 注册为成员后,可以参与不同的发布频道。 转到开始>设置>Windows 更新>Windows 预览体验计划。