Neuigkeiten in Windows Server 2025

• Gilt für:

  ✅ Windows Server 2025

In diesem Artikel werden einige der neuesten Entwicklungen in Windows Server 2025 beschrieben, die erweiterte Features zur Verbesserung der Sicherheit, Leistung und Flexibilität bieten. Dank schnellerer Speicheroptionen und der Möglichkeit zur Integration in hybride Cloudumgebungen ist die Verwaltung Ihrer Infrastruktur jetzt optimiert. Windows Server 2025 baut auf der starken Grundlage seines Vorgängers auf und führt eine Reihe innovativer Verbesserungen ein, um sich an Ihre Anforderungen anzupassen.

Desktoperfahrung und -upgrade

Erkunden Sie die Upgrade-Optionen und die Desktop-Erfahrung.

Upgrade mithilfe von Windows Update

Sie können ein direktes Upgrade über ein Quellmedium oder über Windows Update durchführen. Microsoft bietet eine optionale In-Place-Upgrade-Funktion über Windows Update, die als Funktionsupdate bekannt ist. Das Featureupdate ist für Windows Server 2019- und Windows Server 2022-Geräte verfügbar.

Wenn Sie ein Upgrade mithilfe von Windows Update über das Dialogfeld Einstellungen durchführen, können Sie die Installation direkt über Windows Update auf dem Desktop oder mithilfe von SConfig für Server Core ausführen. Ihre Organisation könnte es vorziehen, Upgrades inkrementell zu implementieren und die Verfügbarkeit dieses optionalen Upgrades mithilfe der Gruppenrichtlinie zu steuern.

Weitere Informationen zum Verwalten des Angebots von Featureupdates finden Sie unter Verwalten von Featureupdates mit Gruppenrichtlinien unter Windows Server.

In-Place Upgrade von Windows Server 2012 R2

Mit Windows Server 2025 können Sie jeweils bis zu vier Versionen aktualisieren. Sie können ein direktes Upgrade auf Windows Server 2025 von Windows Server 2012 R2 und höher durchführen.

Desktop-Shell

Wenn Sie sich zum ersten Mal anmelden, entspricht die Desktop-Shell-Umgebung dem Stil und der Darstellung von Windows 11.

Bluetooth

Sie können jetzt Mäuse, Tastaturen, Headsets, Audiogeräte und vieles mehr über Bluetooth in Windows Server 2025 verbinden.

DTrace

Windows Server 2025 enthält dtrace als systemeigenes Tool. DTrace ist ein Befehlszeilenprogramm, mit dem Benutzer die Leistung ihres Systems in Echtzeit überwachen und beheben können. Mit DTrace können Sie sowohl den Kernel- als auch den Benutzerraumcode dynamisch instrumentieren, ohne den Code selbst ändern zu müssen. Dieses leistungsstarke Tool unterstützt eine Reihe von Datenerfassungs- und Analysetechniken, wie Aggregationen, Histogramme und Ablaufverfolgung von Ereignissen auf Benutzerebene. Weitere Informationen finden Sie unter DTrace (Befehlszeilenhilfe) und DTrace unter Windows (weitere Funktionen).

E-Mail und Konten

Sie können jetzt die folgenden Kontotypen unter Windows Einstellungen im Bereich Konten>E-Mail & Konten für Windows Server 2025 hinzufügen:

• Microsoft Entra ID
• Microsoft-Konto
• Geschäfts-, Schul- oder Unikonto

Der Domänenbeitritt ist für die meisten Situationen weiterhin erforderlich.

Feedback-Hub

Wenn Sie Feedback senden oder Probleme melden möchten, die bei verwendung von Windows Server 2025 auftreten, verwenden Sie den Windows Feedback Hub. Schließen Sie Screenshots oder Aufzeichnungen des Prozesses ein, der das Problem verursacht hat. So können wir Ihre Situation besser verstehen und Verbesserungsvorschläge für Ihre Windows-Erfahrung geben. Um mehr zu erfahren, lesen Sie Erkunden des Feedback-Hubs.

Dateikomprimierung

Windows Server 2025 verfügt über ein neues Komprimierungsfeature. Um ein Element zu komprimieren, klicken Sie mit der rechten Maustaste, und wählen Sie Komprimieren aus. Dieses Feature unterstützt ZIP-, 7z-und TAR- Komprimierungsformate mit bestimmten Komprimierungsmethoden für jedes.

Angeheftete Apps

Die Funktion zum Anheften der am häufigsten verwendeten Apps ist jetzt über das Startmenü verfügbar und kann individuell angepasst werden.. Die standardmäßig angehefteten Apps sind aktuell:

• Einrichtung von Azure Arc
• Feedback-Hub
• Datei-Explorer
• Microsoft Edge
• Server-Manager
• Einstellungen
• Terminal
• Windows PowerShell

Task-Manager

Windows Server 2025 verwendet die moderne Task-Manager-App mit Mica-Material, das dem Stil von Windows 11 entspricht.

WLAN

Es ist jetzt einfacher, drahtlose Funktionen zu aktivieren, da das Feature "Wireless LAN-Dienst" jetzt standardmäßig installiert ist. Der drahtlose Startdienst ist auf manuell festgelegt. Um sie zu aktivieren, führen Sie net start wlansvc in der Eingabeaufforderung, im Windows Terminal oder in PowerShell aus.

Windows-Terminal

Die Windows-Terminal, eine leistungsstarke und effiziente Multishell-Anwendung für Befehlszeilenbenutzer, ist in Windows Server 2025 verfügbar. Suchen Sie in der Suchleiste nach Terminal.

WinGet

WinGet ist standardmäßig installiert, bei dem es sich um ein Befehlszeilentool des Windows-Paket-Managers handelt, das umfassende Paket-Manager-Lösungen zum Installieren von Anwendungen auf Windows-Geräten bereitstellt. Weitere Informationen finden Sie unter Verwenden des WinGet-Tools zum Installieren und Verwalten von Anwendungen.

Erweiterte Mehrschichtsicherheit

Erfahren Sie mehr über die Sicherheit in Windows 2025.

Hotpatch (Vorschau)

Hotpatch ist jetzt für Windows Server 2025-Computer verfügbar, die mit Azure Arc verbunden sind, nachdem Hotpatch im Azure Arc-Portal aktiviert wurde. Sie können Hotpatch verwenden, um Betriebssystemsicherheitsupdates anzuwenden, ohne den Computer neu zu starten. Weitere Informationen finden Sie unter Hotpatch.

Wichtig

Die Azure Arc-fähige Hotpatch-Funktion befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Credential Guard

Ab Windows Server 2025 ist Credential Guard jetzt standardmäßig auf allen Geräten aktiviert, die die Anforderungen erfüllen. Weitere Informationen zu Credential Guard finden Sie in Credential Guard konfigurieren.

Active Directory Domain Services

Die neuesten Verbesserungen an Active Directory Domain Services (AD DS) und Active Directory Lightweight Domain Services (AD LDS) bieten eine Reihe neuer Funktionen und Möglichkeiten zur Optimierung Ihrer Domänenverwaltungserfahrung:

• Optionale Funktion für die 32k-Datenbankseitengröße: Active Directory verwendet seit der Einführung in Windows 2000 eine ESE-Datenbank (Extensible Storage Engine), die eine 8k-Datenbankseitengröße verwendet. Die architektonische Entscheidung für 8k hat zu Einschränkungen in Active Directory geführt, die unter Maximale Active Directory-Grenzwerte: Skalierbarkeit dokumentiert sind. Ein Beispiel für diese Einschränkung ist, dass ein Active Directory-Objekt mit einem einzelnen Datensatz nicht größer als 8k Bytes sein darf. Der Wechsel zu einem 32k-Datenbankseitenformat bietet eine enorme Verbesserung in Bereichen, die von älteren Einschränkungen betroffen sind. Mehrwertige Attribute können nun bis zu ca. 3.200 Werte enthalten, was eine Erhöhung um den Faktor 2,6 darstellt.

  Sie können neue Domänencontroller (DCs) mit einer 32k-Seitendatenbank, die 64-Bit-LIDs (Long Value IDs) verwendet, installieren und im 8k-Seitenmodus ausführen, um die Kompatibilität mit früheren Versionen zu gewährleisten. Ein aktualisierter DC verwendet weiterhin sein aktuelles Datenbankformat und 8k-Seiten. Die Umstellung auf eine Datenbank mit 32k-Seiten erfolgt für die Gesamtstruktur und setzt voraus, dass alle DCs in der Gesamtstruktur über eine Datenbank verfügen, die mit 32k-Seiten verwendet werden kann.

• Active Directory-Schemaaktualisierungen: Drei neue Protokolldateien werden eingeführt, die das Active Directory-Schema erweitern: sch89.ldf, sch90.ldfund sch91.ldf. Die entsprechenden Schemaupdates für AD LDS befinden sich in MS-ADAM-Upgrade3.ldf. Weitere Informationen zu vorherigen Schemaupdates finden Sie unter Windows Server Active Directory-Schemaupdates.

• Active Directory-Objektreparatur: Unternehmensadministratoren können jetzt Objekte mit den fehlenden Kernattributen SamAccountType und ObjectCategoryreparieren. Unternehmensadministratoren können das attribut LastLogonTimeStamp für ein Objekt auf die aktuelle Uhrzeit zurücksetzen. Diese Vorgänge werden über eine neue RootDSE-Änderungsoperation auf dem betroffenen Objekt vorgenommen, die als fixupObjectState bezeichnet wird.

• Unterstützung für Kanalbindungsüberwachungen: Sie können nun die Ereignisse 3074 und 3075 für die LDAP-Kanalbindung (Lightweight Directory Access Protocol) aktivieren. Wenn die Kanalbindungsrichtlinie in eine sicherere Einstellung geändert wird, kann ein Administrator Geräte in der Umgebung identifizieren, die keine Kanalbindung unterstützen oder fehlschlagen. Diese Audit-Ereignisse sind auch in Windows Server 2022 und höher über KB4520412 verfügbar.

• Verbesserungen am DC-Lokalisierungsalgorithmus: Der DC-Ermittlungsalgorithmus bietet neue Funktionen mit Verbesserungen bei der Zuordnung von kurzen Domänennamen im NetBIOS-Stil zu Domänennamen im DNS-Stil. Weitere Informationen erhalten Sie unter Auffinden von Domänencontrollern in Windows und Windows Server.

  Hinweis

  Windows verwendet während der DC-Ermittlungsvorgänge keine Mailslots, da Microsoft die Abschaffung von WINS und Mailslots für diese veralteten Technologien angekündigt hat.

• Funktionsebenen für Gesamtstruktur und Domäne: Die neue Funktionsebene wird für die allgemeine Unterstützbarkeit verwendet und ist für die neue Funktion der 32K-Datenbankseitengröße erforderlich. Die neue Funktionsebene wird den Werten DomainLevel 10 und ForestLevel 10 für unbeaufsichtigte Installationen zugeordnet. Microsoft plant keine Nachrüstung der Funktionsebenen für Windows Server 2019 und Windows Server 2022. Um eine unbeaufsichtigte Höher- und Herabstufung eines Domänencontrollers durchzuführen, siehe Syntax der DCPROMO-Antwortdatei für die unbeaufsichtigte Höher- und Herabstufung von Domänencontrollern.

  Die DsGetDcName-API unterstützt auch das neue Flag DS_DIRECTORY_SERVICE_13_REQUIRED, das die Lokalisierung von DCs unter Windows Server 2025 ermöglicht. Weitere Informationen zu Funktionsebenen finden Sie in den folgenden Artikeln:

  • AD DS-Funktionsebenen
  • Erhöhen der Domänenfunktionsebene
  • Heraufstufen des Funktionsniveaus des Waldes

  Hinweis

  Neue Active Directory-Gesamtstrukturen oder AD LDS-Konfigurationssätze müssen über die Funktionsebene von Windows Server 2016 oder höher verfügen. Zum Höherstufen eines Active Directory- oder AD LDS-Replikats muss die vorhandene Domäne oder der Konfigurationssatz bereits mit einer Funktionsebene von Windows Server 2016 oder höher ausgeführt werden.

  Microsoft empfiehlt, dass alle Kunden jetzt mit dem Upgrade ihrer Active Directory- und AD LDS-Server auf Windows Server 2022 beginnen, um die nächste Version vorzubereiten.

• Verbesserte Algorithmen für Name- und SID-Abfragen: Die Weiterleitung von Name- und SID-Abfragen der lokalen Sicherheitsautorität (Local Security Authority, LSA) zwischen Computerkonten verwendet nicht mehr den veralteten sicheren Kanal von Netlogon. Stattdessen werden Kerberos-Authentifizierung und der DC-Locator-Algorithmus verwendet. Um die Kompatibilität mit älteren Betriebssystemen zu wahren, kann auch der sichere Netlogon-Kanal weiterhin als Fallbackoption verwendet werden.

• Verbesserte Sicherheit für vertrauliche Attribute: DCs und AD-LDS-Instanzen bieten nur dann die Möglichkeit, LDAP-Vorgänge zum Hinzufügen, Suchen und Ändern von vertraulichen Attributen zuzulassen, wenn die Verbindung verschlüsselt ist.

• Verbesserte Sicherheit für Standardmäßige Computerkonto-Kennwörter: Active Directory verwendet jetzt Standardmäßige Computerkonto-Kennwörter, die zufällig generiert werden. Windows 2025-DCs verhindern, dass Computerkontokennwörter auf das Standardkennwort des Computerkontonamens festgelegt werden.

  Zum Steuern dieses Verhaltens aktivieren Sie die GPO-Einstellung (Group Policy Object, Gruppenrichtlinienobjekt) Domänencontroller: Festlegen des Computerkonto-Standardkennworts verweigern unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.

  Hilfsprogramme wie Active Directory Administrative Center (ADAC), Active Directory-Benutzer und -Computer (ADUC), net computer und dsmod berücksichtigen dieses neue Verhalten ebenfalls. Sowohl ADAC als auch ADUC lassen die Erstellung eines Vor-Windows 2000-Kontos nicht mehr zu.

• Kerberos-PKINIT-Unterstützung für kryptografische Flexibilität: Die Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) Protokollimplementierung wird aktualisiert, um kryptografische Flexibilität zu ermöglichen, indem mehr Algorithmen unterstützt und hartcodierte Algorithmen entfernt werden.

• Kerberos-Änderungen für Algorithmen, die für Ticket Granting Ticketsverwendet werden: Das Kerberos-Verteilungszentrum gibt keine Ticket Granting Tickets mehr mithilfe der RC4-Verschlüsselung aus, z. B. RC4-HMAC(NT).

• LAN Manager-GPO-Einstellung: Die GPO-Einstellung Netzwerksicherheit: LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht speichern ist nicht mehr vorhanden und gilt nicht für neue Windows-Versionen.

• LDAP-Standardverschlüsselung: Die gesamte Kommunikation von LDAP-Clients nach einer SASL-Bindung (Simple Authentication and Security Layer) verwendet standardmäßig die LDAP-Versiegelung. Weitere Informationen zu SASL finden Sie unter SASL-Authentifizierung.

• LDAP-Unterstützung für Transport Layer Security (TLS) 1.3: LDAP verwendet die neueste SCHANNEL-Implementierung und unterstützt TLS 1.3 für LDAP über TLS-Verbindungen. Die Verwendung von TLS 1.3 beseitigt veraltete kryptografische Algorithmen und verbessert die Sicherheit gegenüber älteren Versionen. TLS 1.3 zielt darauf ab, so viel wie möglich von dem Handshake zu verschlüsseln. Um mehr zu erfahren, lesen Sie Protokolle in TLS/SSL (Schannel SSP) und TLS Cipher-Suites in Windows Server 2022.

• Veraltetes Verhalten bei der Änderung von Kennwörtern mit RPC (Remote Procedure Call, Remoteprozeduraufruf) über SAM (Security Account Manager, Sicherheitskonto-Manager): Sichere Protokolle wie Kerberos sind der bevorzugte Weg, um die Kennwörter von Domänenbenutzern zu ändern. Auf DCs wird die neueste SAM-RPC-Kennwortänderungsmethode SamrUnicodeChangePasswordUser4 mithilfe von Advanced Encryption Standard (AES) standardmäßig akzeptiert, wenn sie remote aufgerufen wird. Die folgenden legacy SAM RPC-Methoden werden standardmäßig blockiert, wenn sie remote aufgerufen werden:

  • SamrChangePasswordUser
  • SamrOemChangePasswordUser2
  • SamrUnicodeChangePasswordUser2

  Bei Domänenbenutzern, die der Gruppe Geschützte Benutzer angehören, und für lokale Konten auf Domänenmitgliedscomputern werden alle Remotekennwortänderungen über die veraltete SAM-RPC-Schnittstelle standardmäßig blockiert, einschließlich SamrUnicodeChangePasswordUser4.

  Verwenden Sie die folgende GPO-Einstellung, um dieses Verhalten zu steuern:

  Computerkonfiguration>Administrative Vorlagen>System>Sicherheitskonto-Manager>SAM-Richtlinie für RPC-Methoden zum Ändern des Kennworts konfigurieren

• NUMA-Unterstützung (Non-uniform Memory Access): AD DS nutzt jetzt die Vorteile von NUMA-fähiger Hardware, indem CPUs in allen Prozessorgruppen verwendet werden. Bisher würde Active Directory nur CPUs in Gruppe 0 verwenden. Active Directory kann über 64 Kerne hinaus erweitert werden.

• Leistungsindikatoren: Die Überwachung und Fehlerbehebung der Leistung der folgenden Indikatoren ist jetzt verfügbar:

  • DC-Locator: Für Clients und DCs sind spezifische Indikatoren verfügbar.
  • LSA-Suchvorgänge: Suchvorgänge nach Name und SID über LsaLookupNames, LsaLookupSids und gleichwertige APIs. Diese Zähler sind sowohl in Client- als auch in Serverversionen verfügbar.
  • LDAP-Client: Verfügbar unter Windows Server 2022 und höher über das KB 5029250-Update.

• Replikationsprioritätsreihenfolge: Administrierende können nun die vom System berechnete Replikationspriorität mit einem bestimmten Replikationspartner für einen bestimmten Namenskontext erhöhen. Dieses Feature ermöglicht mehr Flexibilität beim Konfigurieren der Replikationsreihenfolge, um bestimmte Szenarien zu behandeln.

Delegiertes verwaltetes Dienstkonto

Dieser neue Kontotyp ermöglicht die Migration von einem Dienstkonto zu einem delegierten verwalteten Dienstkonto (Delegated Managed Service Account, dMSA). Dieser Kontotyp enthält verwaltete und vollständig randomisierte Schlüssel, um minimale Anwendungsänderungen sicherzustellen, während die ursprünglichen Dienstkonto-Kennwörter deaktiviert sind. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.

Windows Lokale Administrator-Passwortlösung

LAPS (Windows Local Administrator Password Solution, Windows Kennwortlösung für lokale Administratoren) hilft Organisationen beim Verwalten lokaler Administratorkennwörter auf ihren in die Domäne eingebundenen Computern. Es generiert automatisch eindeutige Kennwörter für das lokale Administratorkonto jedes Computers. Sie speichert sie dann sicher in Active Directory und aktualisiert sie regelmäßig. Automatisch generierte Kennwörter helfen, die Sicherheit zu verbessern. Sie verringern das Risiko, dass Angreifer Zugriff auf sensible Systeme erhalten, indem sie kompromittierte oder leicht erratene Kennwörter verwenden.

Mehrere neue Funktionen in Microsoft LAPS führen zu den folgenden Verbesserungen:

• Neue automatische Kontoverwaltung: IT-Administratoren können jetzt problemlos ein verwaltetes lokales Konto erstellen. Mit diesem Feature können Sie den Kontonamen anpassen und das Konto aktivieren oder deaktivieren. Sie können sogar den Kontonamen für erhöhte Sicherheit zufällig festlegen. Das Update umfasst auch eine verbesserte Integration mit vorhandenen lokalen Kontoverwaltungsrichtlinien von Microsoft. Weitere Informationen zu dieser Funktion finden Sie unter Windows LAPS-Kontoverwaltungsmodi.

• Neue Image-Rollback-Erkennung: Windows LAPS erkennt jetzt, wenn ein Image-Rollback auftritt. Wenn ein Rollback auftritt, stimmt das in Active Directory gespeicherte Kennwort möglicherweise nicht mehr mit dem lokal auf dem Gerät gespeicherten Kennwort überein. Rollbacks können zu einer Konfliktsituation führen. In diesem Fall kann sich der IT-Administrator nicht mit dem beibehaltenen Windows LAPS-Kennwort beim Gerät anmelden.

  Um dieses Problem zu beheben, wurde ein neues Feature hinzugefügt, das ein Active Directory-Attribut mit dem Namen msLAPS-CurrentPasswordVersionenthält. Dieses Attribut enthält eine zufällige GUID (Globally Unique Identifier), die von Windows LAPS jedes Mal erstellt wird, wenn ein neues Kennwort in Active Directory persistiert und lokal gespeichert wird. Während jedes Verarbeitungszyklus wird die in msLAPS-CurrentPasswordVersion gespeicherte GUID abgefragt und mit der lokal gespeicherten Kopie verglichen. Wenn sie unterschiedlich sind, wird das Passwort sofort geändert.

  Um dieses Feature zu aktivieren, führen Sie die neueste Version des cmdlets Update-LapsADSchema aus. Windows LAPS erkennt dann das neue Attribut und beginnt mit der Verwendung. Wenn Sie die aktualisierte Version des cmdlets Update-LapsADSchema nicht ausführen, protokolliert Windows LAPS ein 10108-Warnereignis im Ereignisprotokoll, funktioniert aber in allen anderen Punkten weiterhin normal.

  Es werden keine Richtlinieneinstellungen zur Aktivierung oder Konfiguration dieser Funktion verwendet. Das Feature wird immer aktiviert, nachdem das neue Schema-Attribut hinzugefügt wurde.

• Neue Passphrase: IT-Administratoren können jetzt ein neues Feature in Windows LAPS verwenden, das die Generierung weniger komplexer Passphrasen ermöglicht. Ein Beispiel ist eine Passphrase wie EatYummyCaramelCandy. Diese Phrase ist im Vergleich zu einem herkömmlichen Kennwort wie V3r_b4tim#963?einfacher zu lesen, zu merken und zu tippen.

  Mit diesem neuen Feature können Sie die PasswordComplexity Richtlinieneinstellung konfigurieren, um eine von drei verschiedenen Wortlisten für Passphrasen auszuwählen. Alle Listen sind in Windows enthalten und erfordern keinen separaten Download. Eine neue Richtlinieneinstellung namens PassphraseLength steuert die Anzahl der Wörter, die in der Passphrase verwendet werden.

  Wenn Sie eine Passphrase erstellen, wird die angegebene Anzahl von Wörtern zufällig aus der ausgewählten Wortliste ausgewählt und verkettet. Der erste Buchstabe eines jeden Wortes wird groß geschrieben, um die Lesbarkeit zu verbessern. Dieses Feature unterstützt vollständig das Sichern von Kennwörtern in Active Directory oder Microsoft Entra ID.

  Die Wortlisten der Passphrasen, die in den drei neuen Einstellungen für PasswordComplexity-Passphrasen verwendet werden, stammen aus dem Artikel von Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Die Wortlisten mit Windows LAPS-Passphrasen ist lizenziert unter der CC-BY-3.0 Attribution-Lizenz und steht zum Download zur Verfügung.

  Hinweis

  Windows LAPS lässt keine Anpassung der integrierten Wortlisten oder die Verwendung von vom Kunden konfigurierten Wortlisten zu.

• Verbesserte Lesbarkeit des Kennwortwörterbuchs: Windows LAPS führt eine neue PasswordComplexity Einstellung ein, mit der IT-Administratoren weniger komplexe Kennwörter erstellen können. Mit diesem Feature können Sie LAPS so anpassen, dass alle vier Zeichenkategorien (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) wie bei der vorhandenen Komplexitätseinstellung von 4verwendet werden. Mit der neuen Einstellung von 5werden die komplexeren Zeichen ausgeschlossen, um die Lesbarkeit von Kennwörtern zu verbessern und Verwirrung zu minimieren. Beispielsweise werden die Ziffer 1 und der Buchstabe I nie mit der neuen Einstellung verwendet.

  Wenn PasswordComplexity für 5konfiguriert ist, werden die folgenden Änderungen am Standardzeichensatz für das Kennwortwörterbuch vorgenommen:

  • Verwenden Sie die folgenden Buchstaben nicht: I, O, Q, l, o
  • Verwenden Sie die folgenden Zahlen nicht: 0, 1
  • Verwenden Sie die folgenden Sonderzeichen nicht: ,, ., &, {, }, [, ], (, ), ;
  • Verwenden Sie die folgenden Sonderzeichen: :, =, ?, *

  Das ADUC-Snap-In (über die Microsoft-Verwaltungskonsole) verfügt jetzt über eine verbesserte Windows LAPS-Registerkarte. Das Windows LAPS-Kennwort wird nun in einer neuen Schriftart angezeigt, die die Lesbarkeit bei der Anzeige als Klartext verbessert.

• Unterstützung von Aktionen nach der Authentifizierung für die Beendigung einzelner Prozesse: Der Gruppenrichtlinieneinstellung Aktionen nach Authentifizierung (Post-Authentication Actions, PAA) wurde eine neue Option (Reset the password, sign out the managed account, and terminate any remaining processes) hinzugefügt, die sich unter Computerkonfiguration>Administrative Vorlagen>System>LAPS>Aktionen nach Authentifizierung befindet.

  Diese neue Option ist eine Erweiterung der vorherigen Option Reset the password and log off the managed account. Nach der Konfiguration benachrichtigt die PAA die Benutzer und beendet dann alle interaktiven Anmeldesitzungen. Sie listet alle verbleibenden Prozesse auf und beendet sie, die noch unter der lokalen Kontoidentität ausgeführt werden, die von Windows LAPS verwaltet wird. Der Beendigung geht keine Benachrichtigung voraus.

  Die Erweiterung der Protokollierungsereignisse während der Ausführung von PAA bietet genauere Erkenntnisse zum Betrieb.

Weitere Informationen über Windows LAPS finden Sie unter What is Windows LAPS?.

OpenSSH

In früheren Versionen von Windows Server war das OpenSSH-Konnektivitätstool vor der Verwendung manuell installiert. Die serverseitige OpenSSH-Komponente wird standardmäßig in Windows Server 2025 installiert. Die Server-Manager UI enthält auch eine Ein-Schritt-Option unter Remote SSH-Zugriff, die den sshd.exe Dienst aktiviert oder deaktiviert. Außerdem können Sie der Gruppe OpenSSH-Benutzer Benutzer hinzufügen, um den Zugriff auf Ihre Geräte zuzulassen oder einzuschränken. Weitere Informationen finden Sie unter Übersicht über OpenSSH für Windows.

Sicherheitsgrundwerte

Durch die Implementierung einer angepassten Sicherheitsbaseline können Sie von Anfang an Sicherheitsmaßnahmen für Ihr Gerät oder Ihre VM-Rolle festlegen, die auf dem empfohlenen Sicherheitsstatus basieren. Diese Basislinie ist mit mehr als 350 vorkonfigurierten Windows-Sicherheitseinstellungen ausgestattet. Sie können die Einstellungen verwenden, um bestimmte Sicherheitseinstellungen anzuwenden und zu erzwingen, die den von Microsoft und Branchenstandards empfohlenen bewährten Methoden entsprechen. Weitere Informationen finden Sie unter Übersicht über OSConfig.

Virtualisierungsbasierte Sicherheitsenklaven

Eine virtualisierungsbasierte Sicherheitsenklave (VBS) ist eine softwarebasierte vertrauenswürdige Ausführungsumgebung innerhalb des Adressraums einer Hostanwendung. VBS-Enclaves verwenden die zugrunde liegende VBS-Technologie , um den sensiblen Teil einer Anwendung in einer sicheren Speicherpartition zu isolieren. VBS-Enclaves ermöglichen die Isolierung sensibler Workloads sowohl von der Hostanwendung als auch vom Rest des Systems.

Mithilfe von VBS-Enclaves lassen sich die Geheimnisse von Anwendungen schützen. Dies gelingt durch den Verzicht auf die Notwendigkeit, auf Administratoren zu vertrauen, und die Absicherung vor böswilligen Angreifern. Weitere Informationen finden Sie in der Win32-Referenz zu VBS-Enclaves.

Virtualisierungsbasierter Sicherheitsschlüsselschutz

Mit VBS-Schlüsselschutz können Windows-Entwickler kryptografische Schlüssel mithilfe von VBS sichern. VBS verwendet die CPU-Funktion für die Virtualisierungserweiterung, um eine isolierte Laufzeit außerhalb des normalen Betriebssystems zu erstellen.

Bei Verwendung sind VBS-Schlüssel innerhalb eines sicheren Prozesses isoliert. Schlüsselvorgänge können ausgeführt werden, ohne dass privates Schlüsselmaterial außerhalb dieses Bereichs offengelegt wird. Im Ruhezustand verschlüsselt ein TPM-Schlüssel privates Schlüsselmaterial. Dadurch wird der VBS-Schlüssel an das Gerät gebunden. Auf diese Weise geschützte Schlüssel können nicht aus dem Prozessspeicher entnommen oder im Klartext vom Computer eines Benutzers exportiert werden.

DER VBS-Schlüsselschutz verhindert Exfiltrationsangriffe von Angreifern auf Administratorebene. VBS muss aktiviert sein, um den Schlüsselschutz verwenden zu können. Informationen zum Aktivieren von VBS finden Sie unter Aktivieren der Speicherintegrität.

Gesicherte Konnektivität

In den folgenden Abschnitten wird die Sicherheit für Verbindungen erläutert.

Sichere Zertifikatverwaltung

Das Durchsuchen oder Abrufen von Zertifikaten unter Windows unterstützt jetzt SHA-256-Hashes, wie in den Funktionen CertFindCertificateInStore und CertGetCertificateContextPropertybeschrieben. Die TLS-Serverauthentifizierung ist in Windows sicherer und erfordert jetzt eine minimale RSA-Schlüssellänge von 2.048 Bits. Mehr Informationen finden Sie in TLS-Server-Authentifizierung: Abschaffung schwacher RSA-Zertifikate.

SMB über QUIC

Das zuvor nur in Windows Server Azure Edition verfügbare Serverfeature SMB over QUIC ist jetzt in Windows Server Standard- und Windows Server Datacenter-Versionen verfügbar. SMB over QUIC fügt die Vorteile der QUIC hinzu, die niedrige Latenz, verschlüsselte Verbindungen über das Internet bietet.

SMB over QUIC Aktivierungsrichtlinie

Administratoren können den Client für SMB über QUIC über die Gruppenrichtlinie und PowerShell deaktivieren. Wenn Sie SMB über QUIC mithilfe der Gruppenrichtlinie deaktivieren möchten, legen Sie die Richtlinie SMB über QUIC aktivieren in den folgenden Pfaden auf Deaktiviert fest:

• Computerkonfiguration\Administrative Vorlagen\Network\Lanman Workstation
• Computerkonfiguration\Administrative Vorlagen\Network\Lanman Server

Um SMB über QUIC mithilfe von PowerShell zu deaktivieren, führen Sie diesen Befehl in einer PowerShell-Eingabeaufforderung mit erhöhten Berechtigungen aus.

PowerShell

Set-SmbClientConfiguration -EnableSMBQUIC $false

Überwachen der SMB-Signatur und -Verschlüsselung

Administratoren können die Überwachung des SMB-Servers und -Clients aktivieren, um die SMB-Signatur und -Verschlüsselung zu unterstützen. Wenn ein Nicht-Microsoft-Client oder -Server keine Unterstützung für die SMB-Verschlüsselung oder -Signatur hat, kann er erkannt werden. Wenn ein Nicht-Microsoft-Gerät oder eine nicht von Microsoft stammende Software SMB 3.1.1 unterstützt, die SMB-Signatur jedoch nicht unterstützt, verstößt es gegen die SMB 3.1.1 Pre-Authentication Integrity-Protokollanforderung .

Sie können SMB-Signatur- und Verschlüsselungsüberwachungseinstellungen mithilfe von Gruppenrichtlinien oder PowerShell konfigurieren. Sie können diese Richtlinien in den folgenden Gruppenrichtlinienpfaden ändern:

• Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Überwachungsclient unterstützt keine Verschlüsselung
• Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Prüfclient unterstützt keine Signierung
• Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Überwachungsserver unterstützt keine Verschlüsselung
• Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Audit-Server unterstützt keine Signierung

Um diese Änderungen mithilfe von PowerShell vorzunehmen, führen Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. $true dient zum Aktivieren und $false zum Deaktivieren dieser Einstellungen:

PowerShell

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Ereignisprotokolle für diese Änderungen werden in den folgenden Ereignisanzeigepfaden mit ihrer spezifischen Ereignis-ID gespeichert.

Pfad	Ereignis-ID
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Audit	31998 31999
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit	3021 3022

Überwachung von SMB über QUIC

Die Verbindungsüberwachung für den Client für SMB über QUIC erfasst Ereignisse, die in ein Ereignisprotokoll geschrieben werden, um den QUIC-Transport in die Ereignisanzeige einzuschließen. Diese Protokolle werden in den folgenden Pfaden mit ihrer spezifischen Ereignis-ID gespeichert.

Pfad	Ereignis-ID
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity	30832
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Connectivity	1913

SMB über QUIC-Clientzugriffskontrolle

Windows Server 2025 umfasst die Clientzugriffssteuerung für SMB über QUIC. SMB over QUIC ist eine Alternative zu TCP und RDMA, die sichere Konnektivität zu Edgedateiservern über nicht vertrauenswürdige Netzwerke bereitstellt. Die Clientzugriffssteuerung führt weitere Steuerelemente ein, um den Zugriff auf Ihre Daten mithilfe von Zertifikaten einzuschränken. Weitere Informationen finden Sie unter Funktionsweise der Clientzugriffskontrolle.

Alternative SMB-Ports

Sie können den SMB-Client verwenden, um eine Verbindung mit alternativen TCP-, QUIC- und RDMA-Ports anstelle ihrer IANA/IETF-Standardwerte von 445, 5445 und 443 herzustellen. Sie können alternative Ports über Gruppenrichtlinien oder PowerShell konfigurieren. Zuvor hat der SMB-Server in Windows eingehende Verbindungen für die Verwendung des IANA-registrierten Ports TCP/445 vorgeschrieben, während der SMB-TCP-Client nur ausgehende Verbindungen mit demselben TCP-Port erlaubte. Jetzt ermöglicht SMB over QUIC alternative Ports für SMB, bei denen QUIC-vorgeschriebene UDP/443-Ports sowohl für Server- als auch für Clientgeräte verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren alternativer SMB-Ports.

Härtung der SMB-Firewall-Regeln

Bei der Erstellung einer Freigabe wurden die SMB-Firewallregeln zuvor automatisch so konfiguriert, dass die Gruppe Datei- und Druckerfreigabe für die relevanten Firewallprofile aktiviert wurde. Die Erstellung einer SMB-Freigabe in Windows führt nun zur automatischen Konfiguration der neuen Gruppe Datei- und Druckerfreigabe (Restriktiv), die eingehende NetBIOS-Ports 137-139 nicht mehr zulässt. Weitere Informationen finden Sie unter Aktualisierte Firewallregeln.

SMB-Verschlüsselung

SMB-Verschlüsselung erzwingen ist für alle ausgehenden SMB Client-Verbindungen aktiviert. Mit diesem Update können Administratoren ein Mandat festlegen, das alle Zielserver SMB 3.x und Verschlüsselung unterstützen. Wenn auf einem Server diese Funktionen fehlen, kann der Client keine Verbindung herstellen.

SMB-Authentifizierungs-Ratenbegrenzer

Der Grenzwert für die SMB-Authentifizierungsrate begrenzt die Anzahl der Authentifizierungsversuche innerhalb eines bestimmten Zeitraums. Der SMB-Authentifizierungsratengrenzer hilft bei der Bekämpfung von Brute-Force-Authentifizierungsangriffen. Der Dienst für den SMB-Server verwendet den Authentifizierungsratengrenzer, um eine Verzögerung zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch zu implementieren. Der Dienst ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Funktionsweise des SMB-Authentifizierungsratenlimiters.

SMB NTLM deaktivieren

Ab Windows Server 2025 unterstützt der SMB-Client ntLM-Blockierung für ausgehende Remoteverbindungen. Zuvor hat der Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) Kerberos, NTLM und andere Mechanismen mit dem Zielserver ausgehandelt, um ein unterstütztes Sicherheitspaket zu ermitteln. Weitere Informationen finden Sie unter Blockieren von NTLM-Verbindungen auf SMB.

SMB-Dialektsteuerung

Sie können jetzt SMB-Dialekte in Windows verwalten. Bei der Konfiguration bestimmt der SMB-Server, welche SMB 2- und SMB 3-Dialekte er im Vergleich zum vorherigen Verhalten aushandelt und vergleicht nur den höchsten Dialekt.

SMB-Signatur

SMB-Signierung ist jetzt standardmäßig für alle ausgehenden SMB-Verbindungen erforderlich. Zuvor war dies nur erforderlich, wenn Sie eine Verbindung mit Freigaben mit dem Namen SYSVOL und NETLOGON auf Active Directory-DCs hergestellt haben. Weitere Informationen finden Sie unter Funktionsweise der Signierung.

Fern-Mailslot

Das RemoteMaillot-Protokoll ist standardmäßig für SMB und für die Verwendung des DC Locator-Protokolls mit Active Directory deaktiviert. RemoteMaillot kann in einer späteren Version entfernt werden. Weitere Informationen finden Sie unter Entfernte oder nicht mehr entwickelte Features in Windows Server.

Härten von Routing- und Remotezugriffsdiensten

Standardmäßig akzeptieren neue RRAS-Installationen (Routing and Remote Access Services) keine VPN-Verbindungen basierend auf PPTP und L2TP. Sie können diese Protokolle bei Bedarf weiterhin aktivieren. VPN-Verbindungen, die auf SSTP und IKEv2 basieren, werden weiterhin ohne Änderung akzeptiert.

Vorhandene Konfigurationen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren und ein Upgrade auf Windows Server 2025 mithilfe eines direkten Upgrades durchführen, werden Verbindungen, die auf L2TP und PPTP basieren, weiterhin akzeptiert. Diese Änderung wirkt sich nicht auf Windows-Clientbetriebssysteme aus. Weitere Informationen zur Wiederaktivierung von PPTP und L2TP finden Sie unter Konfigurieren von VPN-Protokollen.

Änderung des IPsec-Standardschlüsselprotokolls

Die Standardschlüsselmodule wurden in IKEv1 und IKEv2 für IPsec-Verbindungen geändert, die mit Computerzertifikaten authentifiziert wurden. Bei anderen Authentifizierungsmethoden bleiben die Standardauthentifizierungsmethoden AuthIP und IKEv1. Dies gilt sowohl für Windows Server 2025- als auch für Windows 11 24H2-Clients. Im Registrierungspfad HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parametersverwendet der IpsecRestoreLegacyKeyMod Eintrag mit dem Wert 0 die neue Sequenz IKEv2 und IKEv1. Ein Wert von 1 verwendet die vorherige Sequenz, AuthIP und IKEv1. Wenn Sie zum vorherigen Verhalten zurückkehren möchten, fügen Sie den folgenden Registrierungsschlüssel auf Systemen mit der neuen Standardschlüsselprotokollsequenz hinzu. Ein Neustart ist erforderlich, damit die Änderungen wirksam werden.

PowerShell

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1

Hyper-V, KI und Leistung

In den folgenden Abschnitten werden Hyper-V, KI und Leistung erläutert.

Beschleunigtes Netzwerk (Vorschau)

Beschleunigter Netzwerkbetrieb (AccelNet) erleichtert die Verwaltung der E/A-Virtualisierung mit Einzelstamm (SR-IOV) für virtuelle Maschinen (VMs), die auf Windows Server 2025-Clustern gehostet werden. Dieses Feature verwendet den hochleistungsorientierten SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. AccelNet enthält auch eine Verwaltungsebene, die Voraussetzungenprüfung, Hostkonfiguration und VM-Leistungseinstellungen behandelt. Weitere Informationen finden Sie unter Accelerated Networking (Vorschau).

Kompatibilität dynamischer Prozessoren

Der Kompatibilitätsmodus für dynamische Prozessor wird aktualisiert, um neue Prozessorfunktionen in einer gruppierten Umgebung nutzen zu können. Die Dynamische Prozessorkompatibilität verwendet die maximale Anzahl der Prozessorfunktionen, die auf allen Servern in einem Cluster verfügbar sind. Der Modus verbessert die Leistung im Vergleich zur vorherigen Version der Prozessorkompatibilität.

Sie können auch die Kompatibilität dynamischer Prozessoren nutzen, um seinen Zustand zwischen Virtualisierungshosts zu speichern, die unterschiedliche Generationen von Prozessoren verwenden. Der Prozessorkompatibilitätsmodus bietet jetzt erweiterte, dynamische Funktionen für Prozessoren, die in der Lage sind, Adressübersetzung auf zweiter Ebene durchzuführen. Weitere Informationen zum aktualisierten Kompatibilitätsmodus finden Sie im Kompatibilitätsmodus für dynamische Prozessor.

Hyper-V-Manager

Wenn Sie eine neue VM über Hyper-V Manager erstellen, ist Generation 2 jetzt als Standardoption im Assistenten für neue virtuelle Computer festgelegt.

Hypervisor-erzwungene Paging-Übersetzung

Hypervisor-erzwungene Paging-Übersetzung (HVPT) ist eine Sicherheitsverbesserung, um die Integrität von linearen Adressübersetzungen zu erzwingen. HVPT schützt kritische Systemdaten vor Schreib-was-wo-Angriffen, bei denen der Angreifer einen beliebigen Wert an einen beliebigen Ort schreibt, häufig als Ergebnis eines Pufferüberlaufs. HVPT schützt Seitentabellen, die wichtige Systemdatenstrukturen konfigurieren. HVPT enthält alles, was bereits mit hypervisorgeschützter Codeintegrität (HVCI) gesichert ist. HVPT ist standardmäßig aktiviert, wo Hardwareunterstützung verfügbar ist. HVPT ist nicht aktiviert, wenn Windows Server als Gast in einer VM ausgeführt wird.

GPU-Partitionierung

Sie können ein physisches GPU-Gerät mit mehreren VMs freigeben, indem Sie die GPU-Partitionierung nutzen. Anstatt die gesamte GPU einem einzelnen virtuellen Computer zuzuweisen, weist die GPU-Partitionierung (GPU-P) dedizierte Brüche der GPU jedem virtuellen Computer zu. Bei Hyper-V mit GPU-P-Hochverfügbarkeit wird automatisch eine GPU-P-VM auf einem anderen Clusterknoten aktiviert, wenn eine ungeplante Downtime auftritt.

GPU-P Live Migration bietet eine Lösung zum Verschieben einer VM (für geplante Ausfallzeiten oder Lastenausgleich) mit GPU-P auf einen anderen Knoten, unabhängig davon, ob sie eigenständig oder gruppiert ist. Weitere Informationen zur GPU-Partitionierung finden Sie unter GPU-Partitionierung.

Network ATC

Das Netzwerk-ATC optimiert die Bereitstellung und Verwaltung von Netzwerkkonfigurationen für Windows Server 2025-Cluster. Netzwerk ATC verwendet einen absichtsbasierten Ansatz, bei dem Benutzende ihre gewünschten Absichten angeben, z. B. Verwaltung, Compute oder Speicher für einen Netzwerkadapter. Die Bereitstellung erfolgt automatisiert basierend auf der beabsichtigten Konfiguration.

Dieser Ansatz reduziert die Zeit, Komplexität und Fehler, die mit der Hostnetzwerkbereitstellung verbunden sind. Dadurch wird die Konfigurationskonsistenz im gesamten Cluster sichergestellt und auch die Konfigurationsabweichung beseitigt. Weitere Informationen finden Sie unter Bereitstellen von Hostnetzwerken mit Network ATC.

Skalierbarkeit

Mit Windows Server 2025 unterstützt Hyper-V jetzt bis zu 4 Petabyte Arbeitsspeicher und 2.048 logische Prozessoren pro Host. Diese Erhöhung ermöglicht eine höhere Skalierbarkeit und Leistung für virtualisierte Workloads.

Windows Server 2025 unterstützt auch bis zu 240 TB Arbeitsspeicher und 2.048 virtuelle Prozessoren für VMs der Generation 2, was eine höhere Flexibilität für die Ausführung großer Workloads bietet. Weitere Informationen finden Sie unter Planung für die Skalierbarkeit von Hyper-V in Windows Server.

Arbeitsgruppencluster

Hyper-V Arbeitsgruppencluster sind ein spezieller Typ von Windows Server-Failover-Cluster, bei dem die Hyper-V Clusterknoten keine Mitglieder einer Active Directory-Domäne sind und die Fähigkeit haben, virtuelle Maschinen in einem Arbeitsgruppencluster live zu migrieren.

Speicherung

In den folgenden Abschnitten werden Speicherupdates beschrieben.

Blockieren der Klonungsunterstützung

Dev Drive unterstützt nun ab Windows 11 24H2 und Windows Server 2025 das Klonen von Blöcken. Da Dev Drive das ReFS-Format (Resilient File System) verwendet, bietet die Block-Kloning-Unterstützung erhebliche Leistungsvorteile, wenn Sie Dateien kopieren. Mit dem Block-Kloning kann das Dateisystem einen Bereich von Dateibytes für eine Anwendung als kostengünstige Metadaten-Operation kopieren, anstatt teure Lese- und Schreibvorgänge auf den zugrunde liegenden physischen Daten auszuführen.

Dies führt zu einem schnelleren Abschluss des Kopierens von Dateien, einer Reduzierung der E/A-Operationen auf den zugrunde liegenden Speicher und einer verbesserten Speicherkapazität, indem mehrere Dateien dieselben logischen Cluster gemeinsam nutzen können. Weitere Informationen finden Sie unter Klonen von Blöcken in ReFS.

Dev Drive

Dev Drive ist ein Speichervolume, das die Leistung wichtiger Entwicklerworkloads verbessern soll. Dev Drive verwendet ReFS-Technologie und enthält spezifische Dateisystemoptimierungen, um eine bessere Kontrolle über die Speichervolumeseinstellungen und -sicherheit zu bieten. Administratoren haben jetzt die Möglichkeit, Vertrauensstellungen festzulegen, Antivireneinstellungen zu konfigurieren und administrative Kontrolle über angefügte Filter auszuüben. Weitere Informationen finden Sie unter Einrichten eines Dev Drive unter Windows 11.

NVMe

NVMe ist ein neuer Standard für schnelle Festkörperlaufwerke. Die NVMe-Speicherleistung ist in Windows Server 2025 optimiert. Das Ergebnis ist eine verbesserte Leistung mit einer Erhöhung der IOPS und einer Abnahme der CPU-Auslastung.

Speicherreplikatkomprimierung

Die Speicherreplikatkomprimierung reduziert die Menge der Daten, die während der Replikation über das Netzwerk übertragen werden. Weitere Informationen zur Komprimierung im Speicherreplikat finden Sie unter Übersicht über Speicherreplikate.

Erweitertes Speicherreplikat-Protokoll

Das erweiterte Speicherreplikatprotokoll hilft bei der Protokollimplementierung, um die Leistungseinbußen zu beseitigen, die mit Dateisystemabstraktionen verbunden sind. Die Blockreplikationsleistung wird verbessert. Weitere Informationen finden Sie unter Erweitertes Speicherreplikatprotokoll.

Native Storage-Deduplizierung und Datenkomprimierung mit ReFS

ReFS-native Speicherdeduplizierung und -komprimierung sind Techniken, die zur Optimierung der Speichereffizienz sowohl für statische als auch für aktive Workloads verwendet werden, z. B. Dateiserver oder virtuelle Desktops. Weitere Informationen zur ReFS-Deduplizierung und -komprimierung finden Sie unter Optimieren des Speichers mit ReFS-Deduplizierung und Komprimierung in Azure Local.

Dünn bereitgestellte Volumes

Thin Provisioned Volumes mit Storage Spaces Direct sind eine Möglichkeit, Storage-Ressourcen effizienter zuzuweisen und eine kostspielige Überallzuweisung zu vermeiden, indem sie nur dann aus dem Pool zugewiesen werden, wenn sie in einem Cluster benötigt werden. Sie können auch feste Volumes in Thin Provisioned Volumes umwandeln. Beim Konvertieren von fest in dünn bereitgestellte Volumes wird nicht verwendeter Speicher in den Pool zurückgegeben, damit andere Volumes ihn nutzen können. Um mehr über Thin Provisioned Volumes zu erfahren, lesen Sie Storage Thin Provisioning.

Server Message Block

Server Message Block (SMB) ist eines der am häufigsten verwendeten Protokolle in Netzwerken. SMB ermöglicht das zuverlässige Teilen von Dateien und anderen Ressourcen zwischen Geräten in Ihrem Netzwerk. Windows Server 2025 enthält SMB-Komprimierungsunterstützung für den Branchenstandard-LZ4-Komprimierungsalgorithmus. LZ4 ist eine Ergänzung zur bestehenden Unterstützung von XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 und PATTERN_V1.

Azure Arc und Hybrid

In den folgenden Abschnitten werden Azure Arc und Hybridkonfigurationen erläutert.

Vereinfachtes Azure Arc-Setup

Azure Arc Setup ist eine Bedarfsfunktion und wird daher standardmäßig installiert. Eine benutzerfreundliche Assistentenschnittstelle und ein Taskleistensymbol in der Taskleiste helfen, den Prozess des Hinzufügens von Servern zu Azure Arc zu erleichtern. Azure Arc erweitert die Funktionen der Azure-Plattform, sodass Sie Anwendungen und Dienste erstellen können, die in verschiedenen Umgebungen funktionieren können. Zu diesen Umgebungen gehören Rechenzentren, Edge- und Multicloudumgebungen und bieten eine höhere Flexibilität. Weitere Informationen finden Sie unter Verbinden von Windows Server-Computern mit Azure Über Azure Arc Setup.

Pay-as-you-go-Lizenzierung

Die Pay-as-you-go-Lizenzoption für Azure Arc-Abonnements ist eine Alternative zur herkömmlichen unbefristeten Lizenzierung für Windows Server 2025. Mit der Option "Pay-as-you-go" können Sie ein Windows Server-Gerät bereitstellen, es lizenzieren und nur so viel bezahlen, wie Sie es verwenden. Dieses Feature wird über Azure Arc erleichtert und über Ihr Azure-Abonnement in Rechnung gestellt. Weitere Informationen finden Sie unter Azure Arc-Lizenzierung mit nutzungsbasierter Bezahlung.

Windows Server-Verwaltung mit Azure Arc-Unterstützung

Die von Azure Arc aktivierte Windows Server-Verwaltung bietet Kunden mit Windows Server-Lizenzen mit aktiven Software Assurance- oder Windows Server-Lizenzen, die aktive Abonnementlizenzen sind, neue Vorteile. Windows Server 2025 bietet die folgenden wichtigsten Vorteile:

• Windows Admin Center in Azure Arc: Integriert Azure Arc in Windows Admin Center, sodass Sie Ihre Windows Server-Instanzen über das Azure Arc-Portal verwalten können. Diese Integration bietet eine einheitliche Verwaltungsoberfläche für Ihre Windows Server-Instanzen, unabhängig davon, ob sie lokal, in der Cloud oder am Edge ausgeführt werden.
• Remoteunterstützung: Bietet Kunden mit professionellem Support die Möglichkeit, Just-in-Time-Zugriff mit detaillierten Ausführungstranskripts und Widerrufsrechten zu gewähren.
• Best Practices Assessment: Sammlung und Analyse von Serverdaten führt zu der Erkennung von Problemen und liefert Anleitungen zur Behebung sowie zur Leistungsverbesserung.
• Azure Site Recovery-Konfiguration: Die Konfiguration von Azure Site Recovery stellt die Geschäftskontinuität sicher und bietet Replikations- und Datenresilienz für kritische Workloads.

Weitere Informationen zur von Azure Arc aktivierten Windows Server-Verwaltung und den verfügbaren Vorteilen finden Sie unter Windows Server Management enabled by Azure Arc.

Softwaredefinierte Netzwerke

Software-Defined Networking (SDN) ist ein Ansatz für Netzwerke, mit dem Netzwerkadministratoren Netzwerkdienste über die Abstraktion von Funktionen auf niedrigerer Ebene verwalten können. SDN ermöglicht die Trennung der Netzwerksteuerungsebene, die das Netzwerk verwaltet, von der Datenebene, die den Datenverkehr verarbeitet. Diese Trennung ermöglicht eine höhere Flexibilität und Programmierbarkeit in der Netzwerkverwaltung. SDN bietet die folgenden Vorteile in Windows Server 2025:

• Netzwerkcontroller: Diese Steuerebene für SDN wird jetzt direkt als Failoverclusterdienste auf den physischen Hostcomputern gehostet. Durch die Verwendung einer Clusterrolle ist es nicht erforderlich, virtuelle Computer bereitzustellen, was die Bereitstellung und Verwaltung vereinfacht und Ressourcen spart.
• Tagbasierte Segmentierung: Administrierende können benutzerdefinierte Diensttags verwenden, um Netzwerksicherheitsgruppen (NSGs) und VMs für die Zugriffssteuerung zuzuordnen. Anstatt IP-Bereiche anzugeben, können Administratoren jetzt einfache, selbsterklärende Bezeichnungen verwenden, um Arbeitsauslastungs-VMs zu markieren und Sicherheitsrichtlinien basierend auf diesen Tags anzuwenden. Tags vereinfachen den Prozess der Verwaltung der Netzwerksicherheit und vermeiden die Notwendigkeit, IP-Bereiche zu merken und neu einzuschreiben. Weitere Informationen finden Sie unter Konfigurieren von Netzwerksicherheitsgruppen mit Tags im Windows Admin Center.
• Standardnetzwerkrichtlinien in Windows Server 2025: Diese Richtlinien bieten Azure-ähnliche Schutzoptionen für NSGs für Workloads, die über Windows Admin Center bereitgestellt werden. Die Standardrichtlinie verweigert den gesamten eingehenden Zugriff und ermöglicht das selektive Öffnen bekannter eingehender Ports, während der vollständige ausgehende Zugriff von Workload-VMs zulässig ist. Standardmäßige Netzwerkrichtlinien stellen sicher, dass Workload-VMs ab dem Zeitpunkt der Erstellung gesichert werden. Weitere Informationen finden Sie unter Verwenden von Standardrichtlinien für den Netzwerkzugriff auf virtuellen Computern in Azure Local, Version 23H2.
• SDN an mehreren Standorten: Dieses Feature bietet native Layer-2- und Layer-3-Konnektivität zwischen Anwendungen an zwei Standorten ohne zusätzliche Komponenten. Mit SDN Multisite können Anwendungen nahtlos verschoben werden, ohne dass die Anwendung oder Netzwerke neu konfiguriert werden müssen. Außerdem bietet es eine einheitliche Netzwerkrichtlinienverwaltung für Workloads, sodass Sie keine Richtlinien aktualisieren müssen, wenn eine Workload-VM von einem Speicherort zu einem anderen wechselt. Weitere Informationen finden Sie unter Was ist SDN Multisite?.
• Verbesserte Leistung von SDN-Layer 3-Gateways: Layer 3-Gateways erzielen einen höheren Durchsatz und reduzierte CPU-Zyklen. Diese Verbesserungen sind standardmäßig aktiviert. Benutzer erzielen automatisch eine bessere Leistung, wenn eine SDN-Gatewayebene 3-Verbindung über PowerShell oder Windows Admin Center konfiguriert ist.

Portabilität von Windows-Containern

Portabilität ist ein wichtiger Aspekt der Containerverwaltung. Sie kann Upgrades durch verbesserte Flexibilität und Kompatibilität von Containern in Windows vereinfachen.

Portabilität ist ein Windows Server-Feature, das Benutzer verwenden können, um Containerimages und die zugehörigen Daten zwischen verschiedenen Hosts oder Umgebungen zu verschieben, ohne dass Änderungen erforderlich sind. Benutzer können ein Containerimage auf einem Host erstellen und es dann auf einem anderen Host bereitstellen, ohne sich Gedanken über Kompatibilitätsprobleme machen zu müssen. Weitere Informationen finden Sie unter Portabilität für Container.

Windows Server-Insider-Programm

Das Windows Server-Insider-Programm bietet frühzeitigen Zugriff auf die neuesten Windows-Betriebssystemversionen für eine Community von Enthusiasten. Als Mitglied gehören Sie zu den Ersten, die neue Ideen und Konzepte ausprobieren, die Microsoft entwickelt. Nachdem Sie sich als Mitglied registriert haben, können Sie an verschiedenen Veröffentlichungskanälen teilnehmen. Navigieren Sie zu Start>Einstellungen>Windows Update>Windows-Insider-Programm.

Verwandte Inhalte

Windows Server Insider Community-Diskussionen