Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan beberapa pengembangan terbaru di Windows Server 2025, yang membanggakan fitur canggih yang meningkatkan keamanan, performa, dan fleksibilitas. Dengan opsi penyimpanan yang lebih cepat dan kemampuan untuk berintegrasi dengan lingkungan cloud hibrid, mengelola infrastruktur Anda sekarang lebih efisien. Windows Server 2025 dibangun berdasarkan fondasi kuat pendahulunya dan memperkenalkan berbagai peningkatan inovatif untuk beradaptasi dengan kebutuhan Anda.
Pengalaman desktop dan peningkatan versi
Jelajahi opsi peningkatan dan pengalaman desktop.
Pembaruan di tempat dari Windows Server 2012 R2
Dengan Windows Server 2025, Anda dapat memutakhirkan hingga empat versi pada satu waktu. Anda dapat memutakhirkan langsung ke Windows Server 2025 dari Windows Server 2012 R2 dan yang lebih baru.
Antarmuka desktop
Ketika Anda masuk untuk pertama kalinya, pengalaman shell desktop sesuai dengan gaya dan tampilan Windows 11.
Bluetooth
Anda sekarang dapat menyambungkan mouse, keyboard, headset, perangkat audio, dan lainnya melalui Bluetooth di Windows Server 2025.
DTrace
Windows Server 2025 dilengkapi dengan dtrace sebagai alat bawaan. DTrace adalah utilitas baris perintah yang memungkinkan pengguna untuk memantau dan memecahkan masalah performa sistem mereka secara real time. Dengan DTrace, Anda dapat menginstrumen secara dinamis baik kernel maupun kode pengguna tanpa perlu memodifikasi kode itu sendiri. Alat serbaguna ini mendukung berbagai teknik pengumpulan dan analisis data, seperti agregasi, histogram, dan pelacakan peristiwa tingkat pengguna. Untuk mempelajari selengkapnya, lihat DTrace untuk bantuan baris perintah dan DTrace di Windows untuk kemampuan lain.
Email dan akun
Sekarang Anda dapat menambahkan jenis akun berikut di Pengaturan Windows di bawah Akun>akun & Email untuk Windows Server 2025:
- Microsoft Entra ID
- Akun Microsoft
- Akun kantor atau sekolah
Gabungan domain masih diperlukan untuk sebagian besar situasi.
Hub Umpan Balik
Untuk mengirimkan umpan balik atau melaporkan masalah yang Anda temui saat menggunakan Windows Server 2025, gunakan Hub Umpan Balik Windows. Sertakan cuplikan layar atau rekaman proses yang menyebabkan masalah untuk membantu kami memahami situasi Anda dan berbagi saran untuk meningkatkan pengalaman Windows Anda. Untuk mempelajari selengkapnya, lihat Jelajahi Hub Umpan Balik.
Kompresi file
Windows Server 2025 memiliki fitur kompresi baru. Untuk mengompres item, klik kanan dan pilih Kompres ke. Fitur ini mendukung ZIP, 7z, dan format kompresi TAR dengan metode kompresi tertentu untuk masing-masing format.
Aplikasi yang disematkan
Menyematkan aplikasi yang paling sering digunakan sekarang tersedia melalui menu Mulai dan dapat disesuaikan dengan kebutuhan Anda. Aplikasi default yang disematkan saat ini:
- Penyiapan Azure Arc
- Hub Umpan Balik
- File Explorer
- Microsoft Edge
- Pengelola Server
- Pengaturan
- Terminal
- Windows PowerShell
Pengelola Tugas
Windows Server 2025 menggunakan aplikasi Pengelola Tugas modern dengan Mica material yang sesuai dengan gaya Windows 11.
Wi-Fi (jaringan nirkabel)
Sekarang lebih mudah untuk mengaktifkan kemampuan nirkabel karena fitur Layanan LAN Nirkabel sekarang diinstal secara default. Layanan startup nirkabel diatur ke manual. Untuk mengaktifkannya, jalankan net start wlansvc di prompt perintah, Terminal Windows, atau PowerShell.
Windows Terminal
Terminal Windows, aplikasi multishell yang kuat dan efisien untuk pengguna baris perintah, tersedia di Windows Server 2025. Cari Terminal di bilah pencarian.
WinGet
WinGet diinstal secara default, yang merupakan alat Windows Package Manager baris perintah yang menyediakan solusi pengelola paket komprehensif untuk menginstal aplikasi di perangkat Windows. Untuk mempelajari lebih lanjut, lihat Menggunakan alat WinGet untuk menginstal dan mengelola aplikasi.
Keamanan multilayer tingkat lanjut
Pelajari tentang keamanan di Windows 2025.
Hotpatch (pratinjau)
Hotpatch sekarang tersedia untuk komputer Windows Server 2025 yang terhubung ke Azure Arc setelah Hotpatch diaktifkan di portal Azure Arc. Anda dapat menggunakan Hotpatch untuk menerapkan pembaruan keamanan OS tanpa memulai ulang komputer Anda. Untuk mempelajari lebih lanjut, lihat Hotpatch.
Penting
Hotpatch dengan dukungan Azure Arc saat ini dalam pratinjau. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.
Penjaga Kredensial
Dimulai dengan Windows Server 2025, Credential Guard sekarang diaktifkan secara default pada perangkat yang memenuhi persyaratan. Untuk informasi selengkapnya tentang Credential Guard, lihat Mengonfigurasi Credential Guard.
Layanan Domain Active Directory
Penyempurnaan terbaru untuk Active Directory Domain Services (AD DS) dan Active Directory Lightweight Domain Services (AD LDS) memperkenalkan berbagai fungsionalitas dan kemampuan baru yang bertujuan untuk mengoptimalkan pengalaman manajemen domain Anda:
fitur opsional ukuran halaman database 32k: Direktori Aktif menggunakan database Extensible Storage Engine (ESE) sejak diperkenalkan di Windows 2000 yang menggunakan ukuran halaman database 8k. Keputusan desain arsitektur 8k menghasilkan batasan di seluruh Active Directory yang didokumentasikan dalam Active Directory batas maksimal: Skalabilitas. Contoh pembatasan ini adalah satu objek rekaman tunggal Active Directory, yang tidak boleh melebihi ukuran 8 kilobyte. Beralih ke format halaman database 32k menawarkan peningkatan besar di area yang dipengaruhi oleh pembatasan bawaan. Atribut multinilai sekarang dapat menampung hingga sekitar 3.200 nilai, yang merupakan peningkatan dengan faktor 2,6.
Anda dapat menginstal pengendali domain (DC) baru dengan database halaman 32k yang menggunakan ID Nilai Panjang (LID) 64-bit dan berjalan dalam mode halaman 8k untuk kompatibilitas dengan versi sebelumnya. DC yang telah ditingkatkan terus menggunakan format basis data saat ini dan halaman 8k. Pindah ke database halaman 32k dilakukan di seluruh hutan dan mengharuskan semua DC di dalam hutan memiliki database yang mendukung halaman 32k.
pembaruan skema Direktori Aktif: Tiga file database log baru diperkenalkan yang memperluas skema Direktori Aktif:
sch89.ldf,sch90.ldf, dansch91.ldf. Pembaruan skema yang setara untuk AD LDS berada diMS-ADAM-Upgrade3.ldf. Untuk mempelajari selengkapnya tentang pembaruan skema sebelumnya, lihat pembaruan skema Windows Server Active Directory.perbaikan objek Direktori Aktif: Administrator perusahaan sekarang dapat memperbaiki objek dengan atribut inti yang hilang
SamAccountTypedanObjectCategory. Administrator perusahaan dapat mengatur ulang atributLastLogonTimeStamppada objek ke waktu saat ini. Operasi ini dicapai melalui fitur modifikasi operasi RootDSE baru pada objek yang terpengaruh yang disebutfixupObjectState.Dukungan Audit Pengikatan Saluran: Anda sekarang bisa mengaktifkan event 3074 dan 3075 untuk pengikatan saluran Lightweight Directory Access Protocol (LDAP). Saat kebijakan pengikatan saluran dimodifikasi ke pengaturan yang lebih aman, administrator dapat mengidentifikasi perangkat di lingkungan yang tidak mendukung atau gagal mengikat saluran. Peristiwa audit ini juga tersedia di Windows Server 2022 dan yang lebih baru melalui KB4520412.
penyempurnaan algoritma lokasi DC: Algoritma penemuan DC menyediakan fungsionalitas baru dengan peningkatan pemetaan nama domain pendek bergaya NetBIOS ke nama domain bergaya DNS. Untuk mempelajari selengkapnya, lihat Menemukan pengendali domain di Windows dan Windows Server.
Catatan
Windows tidak menggunakan mailslots selama operasi penemuan DC karena Microsoft telah mengumumkan penghentian WINS dan mailslots untuk teknologi warisan ini.
Tingkat fungsional Forest dan domain: Tingkat fungsional yang baru digunakan untuk dukungan umum dan diperlukan untuk fitur ukuran halaman database 32k yang baru. Tingkat fungsional baru berhubungan dengan nilai
DomainLevel 10danForestLevel 10untuk penginstalan tanpa pemantauan. Microsoft tidak memiliki rencana untuk meretrofit tingkat fungsi untuk Windows Server 2019 dan Windows Server 2022. Untuk melakukan promosi tanpa pengawasan dan penurunan pangkat DC, lihat sintaks file jawaban DCPROMO untuk promosi tanpa pengawasan dan penurunan pengontrol domain.DsGetDcName API juga mendukung parameter baru
DS_DIRECTORY_SERVICE_13_REQUIREDyang memungkinkan menemukan lokasi DC yang menggunakan Windows Server 2025. Anda dapat mempelajari selengkapnya tentang tingkat fungsi di artikel berikut:Catatan
Forest Active Directory baru atau kumpulan konfigurasi AD LDS memerlukan level fungsional Windows Server 2016 atau yang lebih baru. Promosi replika Active Directory atau AD LDS mengharuskan domain atau set konfigurasi yang ada sudah berjalan dengan tingkat fungsional Windows Server 2016 atau yang lebih baru.
Microsoft menyarankan agar semua pelanggan mulai merencanakan sekarang untuk meningkatkan server Active Directory dan AD LDS mereka ke Windows Server 2022 sebagai persiapan untuk rilis berikutnya.
Algoritma yang Diperbaiki untuk Pencarian Nama/SID: Penerusan Pencarian Nama dan SID dari otoritas keamanan lokal (LSA) antar akun mesin sekarang tidak lagi menggunakan saluran aman Netlogon yang lama. Autentikasi Kerberos dan algoritma Pencari Lokasi DC digunakan sebagai gantinya. Untuk menjaga kompatibilitas dengan sistem operasi warisan, anda masih dapat menggunakan saluran aman Netlogon sebagai opsi fallback.
Peningkatan keamanan untuk atribut rahasia: instans DC dan AD LDS hanya memungkinkan LDAP untuk menambahkan, mencari, dan memodifikasi operasi yang melibatkan atribut rahasia saat koneksi dienkripsi.
Peningkatan keamanan untuk kata sandi akun komputer default: Direktori Aktif sekarang menggunakan kata sandi akun komputer default yang dihasilkan secara acak. Windows 2025 DC memblokir pengaturan kata sandi akun komputer sebagai kata sandi default yang sesuai dengan nama akun komputer.
Untuk mengontrol perilaku ini, aktifkan pengaturan Objek Kebijakan Grup (GPO) Pengendali domain: Tolak pengaturan kata sandi akun komputer default terletak di Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan.
Utilitas seperti Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC),
net computer, dandsmodjuga menghormati perilaku baru ini. BAIK ADAC maupun ADUC tidak lagi mengizinkan pembuatan akun pra-Windows 2000.dukungan PKINIT Kerberos untuk kelincahan kriptografi: Implementasi protokol Kriptografi Kunci Publik untuk Autentikasi Awal di Kerberos (PKINIT) telah diperbarui untuk memungkinkan kelincahan kriptografi dengan mendukung lebih banyak algoritma dan menghapus algoritma yang dikodekan secara keras.
Perubahan Kerberos untuk Algoritma yang digunakan dalam penerbitan Tiket: Pusat Distribusi Kerberos tidak akan lagi menerbitkan Tiket Pemberian Izin menggunakan enkripsi RC4, seperti RC4-HMAC(NT).
Perubahan Kerberos untuk konfigurasi jenis enkripsi yang didukung: Kerberos tidak lagi menghormati kunci registri warisan REG_DWORD
SupportedEncryptionTypesditemukan di jalurHKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters, Microsoft merekomendasikan penggunaan kebijakan grup sebagai gantinya. Untuk mempelajari selengkapnya tentang pengaturan kebijakan grup, lihat Keamanan jaringan: Mengonfigurasi jenis enkripsi yang diizinkan untuk Kerberos.pengaturan GPO LAN Manager: Pengaturan GPO Keamanan jaringan: Jangan simpan nilai hash LAN Manager pada perubahan kata sandi berikutnya tidak lagi ada dan tidak berlaku untuk versi baru Windows.
enkripsi LDAP secara default: Semua komunikasi klien LDAP setelah pengikatan Simple Authentication and Security Layer (SASL) menggunakan penyegelan LDAP secara default. Untuk mempelajari selengkapnya tentang SASL, lihat Autentikasi SASL.
dukungan LDAP untuk Transport Layer Security (TLS) 1.3: LDAP menggunakan implementasi SCHANNEL terbaru dan mendukung TLS 1.3 untuk LDAP melalui koneksi TLS. Menggunakan TLS 1.3 menghilangkan algoritma kriptografi usang dan meningkatkan keamanan atas versi yang lebih lama. TLS 1.3 bertujuan untuk mengenkripsi jabat tangan sebanyak mungkin. Untuk mempelajari lebih lanjut, lihat Protokol di TLS/SSL (Schannel SSP) dan TLS Cipher Suites di Windows Server 2022.
Perilaku perubahan kata sandi dengan panggilan prosedur jarak jauh (RPC) dari Pengelola Akun Keamanan (SAM) lama: Protokol aman seperti Kerberos adalah cara yang lebih disukai untuk mengubah kata sandi pengguna domain. Pada DC, metode perubahan kata sandi RPC SAM terbaru SamrUnicodeChangePasswordUser4 dengan menggunakan Advanced Encryption Standard (AES) diterima secara default ketika dipanggil dari jarak jauh. Metode RPC SAM warisan berikut diblokir secara default ketika dipanggil dari jarak jauh:
Untuk pengguna domain yang merupakan anggota grup Pengguna Terlindungi
dan untuk akun lokal di komputer anggota domain, semua perubahan kata sandi jarak jauh melalui antarmuka SAM RPC warisan diblokir secara default, termasuk . Untuk mengontrol perilaku ini, gunakan pengaturan GPO berikut:
Konfigurasi Komputer>Templat Administratif>System>Security Account Manager>Mengonfigurasi kebijakan metode RPC perubahan kata sandi SAM
dukungan Akses Memori Non-seragam (NUMA): AD DS sekarang memanfaatkan perangkat keras berkemampuan NUMA dengan menggunakan CPU di semua grup prosesor. Sebelumnya, Direktori Aktif hanya akan menggunakan CPU di grup 0. Active Directory dapat meluas melebihi 64 core.
Penghitung kinerja: Memantau dan memecahkan masalah performa penghitung berikut sekarang tersedia:
- DC Locator: Penghitung yang spesifik untuk klien dan Domain Controller (DC) tersedia.
-
Pencarian LSA: Pencarian Nama dan SID melalui API
LsaLookupNames,LsaLookupSids, dan setara. Penghitung ini tersedia pada versi klien dan server. Klien LDAP : Tersedia di Windows Server 2022 dan versi lebih baru melalui pembaruan KB 5029250.
Urutan prioritas replikasi: Administrator sekarang dapat meningkatkan prioritas replikasi yang dihitung sistem dengan mitra replikasi tertentu untuk konteks penamaan tertentu. Fitur ini memungkinkan lebih banyak fleksibilitas dalam mengonfigurasi urutan replikasi untuk mengatasi skenario tertentu.
Akun Layanan Terkelola yang Didelegasikan
Jenis akun baru ini memungkinkan migrasi dari akun layanan ke Akun Layanan Terkelola (dMSA) yang didelegasikan. Jenis akun ini dilengkapi dengan kunci terkelola dan sepenuhnya acak untuk memastikan perubahan aplikasi minimal saat kata sandi akun layanan asli dinonaktifkan. Untuk mempelajari selengkapnya, lihat Gambaran umum Akun Layanan Terkelola yang Didelegasikan.
Solusi Kata Sandi Administrator Lokal Windows
Windows Local Administrator Password Solution (LAPS) membantu organisasi mengelola kata sandi administrator lokal di komputer yang bergabung dengan domain mereka. Ini secara otomatis menghasilkan kata sandi unik untuk setiap akun administrator lokal komputer. Kemudian menyimpannya dengan aman di Direktori Aktif dan memperbaruinya secara teratur. Kata sandi yang dihasilkan secara otomatis membantu meningkatkan keamanan. Mereka mengurangi risiko penyerang mendapatkan akses ke sistem sensitif dengan menggunakan kata sandi yang disusupi atau mudah ditebak.
Beberapa fitur baru microsoft LAPS memperkenalkan peningkatan berikut:
Manajemen akun otomatis baru: Admin TI sekarang dapat membuat akun lokal terkelola dengan mudah. Dengan fitur ini, Anda dapat menyesuaikan nama akun dan mengaktifkan atau menonaktifkan akun. Anda bahkan dapat mengacak nama akun untuk keamanan yang ditingkatkan. Pembaruan ini juga mencakup peningkatan integrasi dengan kebijakan manajemen akun lokal yang ada dari Microsoft. Untuk mempelajari selengkapnya tentang fitur ini, lihat mode manajemen akun LAPS Windows.
Deteksi pemutaran kembali gambar baru: Windows LAPS sekarang mendeteksi kapan pemutaran kembali gambar terjadi. Jika pemutaran kembali terjadi, kata sandi yang disimpan di Direktori Aktif mungkin tidak lagi cocok dengan kata sandi yang disimpan secara lokal di perangkat. Pembatalan dapat mengakibatkan keadaan rusak . Dalam hal ini, admin TI tidak dapat masuk ke perangkat dengan menggunakan kata sandi Windows LAPS yang bertahan.
Untuk mengatasi masalah ini, fitur baru ditambahkan yang menyertakan atribut Direktori Aktif yang disebut
msLAPS-CurrentPasswordVersion. Atribut ini berisi pengidentifikasi unik global acak (GUID) yang ditulis oleh Windows LAPS setiap kali kata sandi baru disimpan di Direktori Aktif dan disimpan secara lokal. Selama setiap siklus pemrosesan, GUID yang disimpan dalammsLAPS-CurrentPasswordVersiondikueri dan dibandingkan dengan salinan yang disimpan secara lokal. Jika berbeda, kata sandi segera diganti.Untuk mengaktifkan fitur ini, jalankan cmdlet
Update-LapsADSchemaversi terbaru. Windows LAPS kemudian mengenali atribut baru dan mulai menggunakannya. Jika Anda tidak menjalankan versi cmdletUpdate-LapsADSchemayang diperbarui, Windows LAPS mencatat peristiwa peringatan 10108 di log peristiwa tetapi terus berfungsi secara normal dalam semua hal lainnya.Tidak ada pengaturan kebijakan yang digunakan untuk mengaktifkan atau mengonfigurasi fitur ini. Fitur ini selalu diaktifkan setelah atribut skema baru ditambahkan.
Frasa sandi baru: Admin TI sekarang dapat menggunakan fitur baru di Windows LAPS yang memungkinkan pembuatan frasa sandi yang kurang kompleks. Contohnya adalah frasa sandi seperti EatYummyCaramelCandy. Frasa ini lebih mudah dibaca, diingat, dan ditiru dibandingkan dengan kata sandi tradisional seperti V3r_b4tim#963?.
Dengan fitur baru ini, Anda dapat mengonfigurasi pengaturan kebijakan
PasswordComplexityuntuk memilih salah satu dari tiga daftar kata yang berbeda untuk frasa sandi. Semua daftar disertakan dalam Windows dan tidak memerlukan unduhan terpisah. Pengaturan kebijakan baru yang disebutPassphraseLengthmengontrol jumlah kata yang digunakan dalam frasa sandi.Saat Anda membuat frase sandi, jumlah kata yang ditentukan dipilih secara acak dari daftar kata yang dipilih dan digabungkan. Huruf pertama dari setiap kata dikapitalkan untuk meningkatkan keterbacaan. Fitur ini juga sepenuhnya mendukung pencadangan kata sandi ke Direktori Aktif atau ID Microsoft Entra.
Daftar kata sandi yang digunakan dalam tiga pengaturan frasa sandi
PasswordComplexitybaru bersumber dari artikel Electronic Frontier Foundation Deep Dive: Daftar Kata Baru EFF untuk Frasa Sandi Acak. The Windows LAPS Passphrase Word Lists berlisensi di bawah lisensi atribusi CC-BY-3.0 dan tersedia untuk diunduh.Catatan
Windows LAPS tidak memungkinkan penyesuaian daftar kata bawaan atau penggunaan daftar kata yang dikonfigurasi pelanggan.
Peningkatan keterbacaan kamus kata sandi: Windows LAPS memperkenalkan pengaturan
PasswordComplexitybaru yang memungkinkan admin TI membuat kata sandi yang tidak terlalu rumit. Anda dapat menggunakan fitur ini untuk menyesuaikan LAPS untuk menggunakan keempat kategori karakter (huruf besar, huruf kecil, angka, dan karakter khusus) seperti pengaturan kompleksitas yang ada4. Dengan pengaturan baru5, semakin banyak karakter kompleks dikecualikan untuk meningkatkan keterbacaan kata sandi dan meminimalkan kebingungan. Misalnya, angka 1 dan huruf I tidak pernah digunakan dengan pengaturan baru.Ketika
PasswordComplexitydikonfigurasi untuk5, perubahan berikut dilakukan pada kumpulan karakter kamus kata sandi default:- Jangan gunakan: Huruf I, O, Q, l, o
- Jangan gunakan: Angka 0, 1
- Jangan gunakan: Karakter khusus ,, ., &, {, }, [, ], (, ), ;
- Gunakan: Karakter khusus :, =, ?, *
Snap-in ADUC (melalui Konsol Manajemen Microsoft) sekarang menampilkan tab Windows LAPS yang ditingkatkan. Kata sandi Windows LAPS sekarang muncul dalam font baru yang meningkatkan keterbacaannya ketika muncul dalam teks biasa.
dukungan Tindakan Pasca-autentikasi untuk mengakhiri proses individual: Opsi baru ditambahkan ke pengaturan Kebijakan Grup Tindakan Pasca-autentikasi (PAA),
Reset the password, sign out the managed account, and terminate any remaining processes, yang terletak di Konfigurasi Komputer>Templat Administratif>Sistem>LAPS>Tindakan Pasca-autentikasi.Opsi baru ini adalah ekstensi dari opsi sebelumnya,
Reset the password and log off the managed account. Setelah konfigurasi, PAA memberi tahu dan kemudian mengakhiri sesi masuk interaktif apa pun. Ini menghitung dan mengakhiri proses yang tersisa yang masih berjalan di bawah identitas akun lokal yang dikelola oleh Windows LAPS. Tidak ada pemberitahuan yang mendahului penghentian ini.Perluasan peristiwa pencatatan selama eksekusi PAA memberikan wawasan yang lebih mendalam terhadap operasi.
Untuk mempelajari selengkapnya tentang Windows LAPS, lihat Apa itu Windows LAPS?.
OpenSSH
Di versi Windows Server sebelumnya, alat konektivitas OpenSSH memerlukan penginstalan manual sebelum digunakan. Komponen sisi server OpenSSH diinstal secara default di Windows Server 2025. UI Manajer Server juga menyertakan opsi satu langkah di bawah Akses SSH Jarak Jauh yang mengaktifkan atau menonaktifkan sshd.exe layanan. Selain itu, Anda dapat menambahkan pengguna ke grup Pengguna OpenSSH untuk mengizinkan atau membatasi akses ke perangkat Anda. Untuk mempelajari selengkapnya, lihat Gambaran umum OpenSSH untuk Windows.
Garis besar keamanan
Dengan menerapkan garis besar keamanan yang disesuaikan, Anda dapat menetapkan langkah-langkah keamanan langsung dari awal untuk peran perangkat atau VM Anda berdasarkan postur keamanan yang direkomendasikan. Dasar ini dilengkapi dengan lebih dari 350 pengaturan keamanan Windows yang telah dikonfigurasi sebelumnya. Anda dapat menggunakan pengaturan untuk menerapkan dan menerapkan pengaturan keamanan tertentu yang selaras dengan praktik terbaik yang direkomendasikan oleh Microsoft dan standar industri. Untuk mempelajari lebih lanjut, lihat Gambaran umum OSConfig.
Enklave keamanan berbasis virtualisasi
Enklave keamanan berbasis virtualisasi (VBS) adalah lingkungan eksekusi tepercaya berbasis perangkat lunak di dalam ruang alamat aplikasi host. Enklave VBS menggunakan teknologi VBS yang mendasar untuk mengisolasi bagian sensitif aplikasi dalam partisi memori yang aman. Enklave VBS memungkinkan isolasi beban kerja sensitif dari aplikasi host dan sistem lainnya.
Enklave VBS memungkinkan aplikasi untuk melindungi rahasia mereka dengan menghilangkan kebutuhan untuk mempercayai admin dan meningkatkan keamanan terhadap serangan berbahaya. Untuk informasi selengkapnya, baca referensi Win32 enklave VBS.
Perlindungan kunci keamanan berbasis virtualisasi
Perlindungan kunci VBS memungkinkan pengembang Windows untuk mengamankan kunci kriptografi dengan menggunakan VBS. VBS menggunakan kemampuan ekstensi virtualisasi CPU untuk membuat runtime terisolasi di luar OS normal.
Saat digunakan, kunci VBS diisolasi dalam proses yang aman. Operasi kunci dapat terjadi tanpa mengekspos informasi kunci privat ke luar dari ruang ini. Saat tidak aktif, kunci TPM mengenkripsi materi kunci privat, yang mengikat kunci VBS ke perangkat. Kunci yang dilindungi dengan cara ini tidak dapat dibuang dari memori proses atau diekspor dalam teks biasa dari komputer pengguna.
Perlindungan kunci VBS membantu mencegah serangan eksfiltrasi oleh penyerang tingkat admin apa pun. VBS harus diaktifkan untuk menggunakan perlindungan kunci. Untuk informasi tentang cara mengaktifkan VBS, lihat Mengaktifkan integritas memori.
Konektivitas yang terjamin
Bagian berikut membahas keamanan untuk koneksi.
Manajemen sertifikat aman
Mencari atau mengambil sertifikat di Windows sekarang mendukung hash SHA-256, seperti yang dijelaskan dalam fungsi CertFindCertificateInStore dan CertGetCertificateContextProperty. Autentikasi server TLS lebih aman di seluruh Windows dan sekarang memerlukan panjang kunci RSA minimum 2.048 bit. Untuk informasi selengkapnya, baca autentikasi server TLS: Penghentian sertifikat RSA yang lemah.
SMB melalui QUIC
Fitur server SMB over QUIC, yang hanya tersedia di Windows Server Azure Edition, sekarang tersedia di versi Windows Server Standard dan Windows Server Datacenter. SMB over QUIC menambahkan manfaat dari QUIC, yang menyediakan latensi rendah dan koneksi terenkripsi melalui internet.
Kebijakan untuk mengaktifkan SMB over QUIC
Administrator dapat menonaktifkan klien SMB over QUIC melalui Kebijakan Grup dan PowerShell. Untuk menonaktifkan SMB melalui QUIC dengan menggunakan Kebijakan Grup, atur kebijakan Aktifkan SMB melalui QUIC di jalur berikut ke Dinonaktifkan:
- Konfigurasi Komputer\Templat Administratif\Jaringan\Lanman Workstation
- Konfigurasi Komputer\Templat Administratif\Jaringan\Lanman Server
Untuk menonaktifkan SMB melalui QUIC dengan menggunakan PowerShell, jalankan perintah ini dalam prompt PowerShell yang ditingkatkan:
Set-SmbClientConfiguration -EnableSMBQUIC $false
Penandatanganan SMB dan audit enkripsi
Administrator dapat mengaktifkan audit server dan klien SMB untuk dukungan penandatanganan dan enkripsi SMB. Jika klien atau server non-Microsoft tidak memiliki dukungan untuk enkripsi atau penandatanganan SMB, itu dapat dideteksi. Ketika perangkat atau perangkat lunak non-Microsoft menyatakan mendukung SMB 3.1.1, tetapi gagal mendukung penandatanganan SMB, perangkat tersebut melanggar persyaratan protokol integritas Pra-autentikasi SMB 3.1.1.
Anda dapat mengonfigurasi pengaturan penandatanganan SMB dan audit enkripsi dengan menggunakan Kebijakan Grup atau PowerShell. Anda dapat mengubah kebijakan ini di jalur Kebijakan Grup berikut:
- Konfigurasi Komputer\Templat Administratif\Jaringan\Server Lanman\Audit klien tidak mendukung enkripsi
- Konfigurasi Komputer\Templat Administratif\Jaringan\Server Lanman\Audit klien tidak mendukung penandatanganan
- Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server tidak mendukung enkripsi
- Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server tidak mendukung penandatanganan
Untuk melakukan perubahan ini dengan menggunakan PowerShell, jalankan perintah ini dalam prompt yang ditingkatkan di mana $true mengaktifkan dan $false menonaktifkan pengaturan ini:
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
Log peristiwa untuk perubahan ini disimpan di jalur Pemeriksa Peristiwa berikut dengan ID Peristiwa tertentu.
| Jalur | ID Peristiwa |
|---|---|
| Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
| Log Aplikasi dan Layanan\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
Pengauditan SMB melalui QUIC
Pengauditan koneksi klien SMB over QUIC merekam peristiwa ke dalam log acara untuk menyertakan transport QUIC dalam Event Viewer. Log ini disimpan di jalur berikut dengan ID Peristiwa tertentu.
| Jalur | ID Peristiwa |
|---|---|
| Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Connectivity | 30832 |
| Log Aplikasi dan Layanan\Microsoft\Windows\SMBServer\Connectivity | 1913 |
Kontrol akses untuk klien "SMB over QUIC"
Windows Server 2025 menyertakan kontrol akses klien untuk SMB melalui QUIC. SMB over QUIC adalah alternatif untuk TCP dan RDMA yang menyediakan konektivitas aman ke server file edge melalui jaringan yang tidak tepercaya. Kontrol akses klien memperkenalkan lebih banyak kontrol untuk membatasi akses ke data Anda dengan menggunakan sertifikat. Untuk mempelajari selengkapnya, lihat Cara kerja kontrol akses klien.
Port alternatif SMB
Anda dapat menggunakan klien SMB untuk terhubung ke port TCP, QUIC, dan RDMA alternatif alih-alih menggunakan default IANA/IETF yaitu 445, 5445, dan 443. Anda dapat mengonfigurasi port alternatif melalui Kebijakan Grup atau PowerShell. Sebelumnya, server SMB di Windows mengamanatkan koneksi masuk untuk menggunakan port TCP/445 yang terdaftar IANA sementara klien SMB TCP hanya mengizinkan koneksi keluar ke port TCP yang sama. Sekarang, SMB over QUIC memungkinkan port alternatif SMB di mana port UDP/443 yang diamanatkan QUIC tersedia untuk perangkat server dan klien. Untuk mempelajari selengkapnya, lihat Mengonfigurasi port SMB alternatif.
Penguatan aturan firewall SMB
Sebelumnya, ketika sebuah berbagi dibuat, aturan firewall SMB secara otomatis dikonfigurasi untuk mengaktifkan grup Berbagi File dan Printer untuk profil firewall yang relevan. Sekarang, pembuatan berbagi SMB di Windows menghasilkan konfigurasi otomatis dari grup "Berbagi File dan Printer (Restrictive)" yang baru, yang tidak lagi mengizinkan port NetBIOS masuk 137-139. Untuk mempelajari selengkapnya, lihat Aturan firewall yang diperbarui.
Enkripsi Protokol SMB
Enkripsi SMB diaktifkan untuk semua koneksi klien SMB keluar. Dengan pembaruan ini, administrator dapat mengatur mandat bahwa semua server tujuan mendukung SMB 3.x dan enkripsi. Jika server tidak memiliki kemampuan ini, klien tidak dapat membuat koneksi.
Pembatas laju untuk autentikasi SMB
Pembatas laju autentikasi SMB membatasi jumlah upaya autentikasi dalam periode waktu tertentu. Pembatas laju autentikasi SMB membantu melawan serangan brute-force pada proses autentikasi. Layanan untuk server SMB menggunakan pembatas laju autentikasi untuk menerapkan penundaan antara setiap upaya autentikasi berbasis NTLM atau PKU2U yang gagal. Layanan diaktifkan secara default. Untuk mempelajari selengkapnya, lihat Cara kerja pembatas laju autentikasi SMB.
Menonaktifkan SMB NTLM
Dimulai dengan Windows Server 2025, klien SMB mendukung pemblokiran NTLM untuk koneksi keluar jarak jauh. Sebelumnya, Windows Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) menegosiasikan Kerberos, NTLM, dan mekanisme lainnya dengan server tujuan untuk menentukan paket keamanan yang didukung. Untuk mempelajari lebih lanjut, lihat Memblokir koneksi NTLM di SMB.
Pengendalian Dialek SMB
Anda sekarang dapat mengelola dialek SMB di Windows. Ketika dikonfigurasi, server SMB menentukan dialek SMB 2 dan SMB 3 mana yang dinegosiasikannya dibandingkan dengan perilaku sebelumnya dan hanya menggunakan dialek tertinggi.
Penandatanganan SMB
Penandatanganan SMB kini diwajibkan secara default untuk semua koneksi keluar SMB. Sebelumnya, hanya diperlukan ketika Anda terhubung ke folder bersama bernama SYSVOL dan NETLOGON pada Active Directory DC. Untuk mempelajari selengkapnya, lihat Cara kerja penandatanganan.
Mailslot Jarak Jauh
Protokol Remote Mailslot dinonaktifkan secara default untuk SMB dan untuk penggunaan protokol Pencari Lokasi DC dengan Direktori Aktif. Mailslot Remote mungkin akan dihapus dalam versi mendatang. Untuk mempelajari selengkapnya, lihat Fitur dihapus atau tidak lagi dikembangkan di Windows Server.
Pengaturan Rute dan Penguatan Layanan Akses Jarak Jauh
Secara bawaan, instalasi Perutean dan Layanan Akses Jarak Jauh (RRAS) baru tidak menerima koneksi VPN berdasarkan PPTP dan L2TP. Anda masih dapat mengaktifkan protokol ini, jika perlu. Koneksi VPN berdasarkan SSTP dan IKEv2 masih diterima tanpa perubahan apa pun.
Konfigurasi yang ada mempertahankan perilakunya. Misalnya, jika Anda menjalankan Windows Server 2019 dan menerima koneksi PPTP dan L2TP, dan Anda meningkatkan ke Windows Server 2025 dengan menggunakan peningkatan di tempat, koneksi berdasarkan L2TP dan PPTP masih diterima. Perubahan ini tidak memengaruhi sistem operasi klien Windows. Untuk mempelajari selengkapnya tentang cara mengaktifkan kembali PPTP dan L2TP, lihat Mengonfigurasi protokol VPN.
Perubahan protokol kunci default IPsec
Modul kunci default telah diubah ke IKEv1 dan IKEv2 untuk koneksi IPsec yang diautentikasi dengan sertifikat komputer. Untuk metode autentikasi lainnya, AuthIP dan IKEv1 default tetap ada. Ini berlaku untuk klien Windows Server 2025 dan Windows 11 24H2. Di jalur registri HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters, entri IpsecRestoreLegacyKeyMod dengan nilai 0 menggunakan urutan baru, IKEv2 dan IKEv1. Nilai 1 menggunakan urutan sebelumnya, AuthIP dan IKEv1. Untuk kembali ke perilaku sebelumnya, tambahkan kunci registri berikut pada sistem menggunakan urutan protokol kunci default baru. Boot ulang diperlukan agar perubahan diterapkan.
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1
Hyper-V, AI, dan performa
Bagian berikut membahas Hyper-V, AI, dan performa.
Jaringan Terakselerasi (pratinjau)
Accelerated Networking (AccelNet) menyederhanakan manajemen virtualisasi I/O akar tunggal (SR-IOV) untuk komputer virtual (VM) yang dihosting pada kluster Windows Server 2025. Fitur ini menggunakan jalur data SR-IOV berperforma tinggi untuk mengurangi latensi, jitter, dan pemanfaatan CPU. AccelNet juga menyertakan lapisan manajemen yang menangani pemeriksaan prasyarat, konfigurasi host, dan pengaturan performa VM. Untuk mempelajari lebih lanjut, lihat Accelerated Networking (pratinjau).
Kompatibilitas prosesor yang dinamis
Mode kompatibilitas prosesor dinamis diperbarui untuk memanfaatkan kemampuan prosesor baru di lingkungan berkluster. Kompatibilitas prosesor dinamis menggunakan jumlah maksimum fitur prosesor yang tersedia di semua server dalam kluster. Mode ini meningkatkan performa dibandingkan dengan versi kompatibilitas prosesor sebelumnya.
Anda juga dapat menggunakan kompatibilitas prosesor dinamis untuk menyimpan statusnya antara host virtualisasi yang menggunakan generasi prosesor yang berbeda. Mode kompatibilitas prosesor sekarang menyediakan kemampuan dinamis yang ditingkatkan pada prosesor yang mampu menerjemahkan alamat tingkat kedua. Untuk mempelajari selengkapnya tentang mode kompatibilitas yang diperbarui, lihat Mode kompatibilitas prosesor dinamis.
Manajer Hyper-V
Saat Anda membuat VM baru melalui Hyper-V Manager, Generasi 2 sekarang diatur sebagai opsi default di Wizard Komputer Virtual Baru .
Terjemahan pemanggilan halaman yang diberlakukan oleh hypervisor
Hypervisor-enforced paging translation (HVPT) adalah peningkatan keamanan untuk memastikan integritas translasi alamat linier. HVPT melindungi data sistem penting dari serangan write-what-where, yaitu serangan di mana penyerang menulis nilai sembarang ke lokasi sembarang, sering kali terjadi akibat buffer overflow. HVPT melindungi tabel halaman yang mengonfigurasi struktur data sistem penting. HVPT mencakup segala sesuatu yang sudah diamankan dengan integritas kode yang dilindungi oleh hypervisor (HVCI). HVPT diaktifkan secara default, di mana dukungan perangkat keras tersedia. HVPT tidak diaktifkan ketika Windows Server berjalan sebagai tamu di VM.
Pemartisian GPU
Anda dapat berbagi perangkat GPU fisik dengan beberapa VM dengan menggunakan partisi GPU. Alih-alih mengalokasikan seluruh GPU ke satu VM, partisi GPU (GPU-P) menetapkan pecahan khusus GPU ke setiap VM. Dengan Hyper-V GPU-P ketersediaan tinggi, VM GPU-P diaktifkan secara otomatis pada node kluster lain jika ada waktu henti yang tidak direncanakan.
Migrasi Langsung GPU-P menyediakan solusi untuk memindahkan VM (untuk waktu henti atau penyeimbangan beban yang direncanakan) dengan GPU-P ke simpul lain apakah itu mandiri atau berkluster. Untuk mempelajari selengkapnya tentang pemartisian GPU, lihat Pemartisian GPU.
Jaringan ATC
ATC Jaringan menyederhanakan penyebaran dan pengelolaan konfigurasi jaringan untuk kluster-kluster Windows Server 2025. NETWORK ATC menggunakan pendekatan berbasis niat, di mana pengguna menentukan niat yang diinginkan, seperti manajemen, komputasi, atau penyimpanan untuk adaptor jaringan. Penyebaran diotomatisasi berdasarkan konfigurasi yang dimaksudkan.
Pendekatan ini mengurangi waktu, kompleksitas, dan kesalahan yang terkait dengan penyebaran jaringan host. Ini memastikan konsistensi konfigurasi di seluruh kluster dan juga menghilangkan penyimpangan konfigurasi. Untuk mempelajari lebih lanjut, lihat Menyebarkan jaringan host dengan Network ATC.
Skalabilitas
Dengan Windows Server 2025, Hyper-V sekarang mendukung hingga 4 petabyte memori dan 2.048 prosesor logis per host. Peningkatan ini memungkinkan skalabilitas dan performa yang lebih besar untuk beban kerja virtual.
Windows Server 2025 juga mendukung memori hingga 240 TB dan 2.048 prosesor virtual untuk VM generasi 2, memberikan peningkatan fleksibilitas untuk menjalankan beban kerja besar. Untuk mempelajari selengkapnya, lihat Merencanakan skalabilitas Hyper-V di Windows Server.
Kluster grup kerja
Hyper-V kluster grup kerja adalah jenis khusus Kluster Failover Windows Server di mana node kluster Hyper-V bukan anggota domain Direktori Aktif dengan kemampuan untuk memigrasikan VM secara langsung dalam kluster grup kerja.
Penyimpanan
Bagian berikut menjelaskan pembaruan penyimpanan.
Dukungan untuk kloning blok
Dev Drive sekarang mendukung kloning blok yang dimulai dengan Windows 11 24H2 dan Windows Server 2025. Karena Dev Drive menggunakan format Resilient File System (ReFS), dukungan kloning blok memberikan manfaat performa yang signifikan saat Anda menyalin file. Dengan kloning blok, sistem file dapat menyalin berbagai byte file untuk aplikasi sebagai operasi metadata biaya rendah alih-alih melakukan operasi baca dan tulis yang mahal ke data fisik yang mendasar.
Hasilnya adalah penyelesaian penyalinan file yang lebih cepat, mengurangi I/O ke penyimpanan yang mendasar, dan peningkatan kapasitas penyimpanan dengan memungkinkan beberapa file untuk berbagi kluster logis yang sama. Untuk mempelajari selengkapnya, lihat Memblokir kloning di ReFS.
Dev Drive
Dev Drive adalah volume penyimpanan yang bertujuan untuk meningkatkan performa beban kerja pengembang yang penting. Dev Drive menggunakan teknologi ReFS dan menggabungkan pengoptimalan sistem file tertentu untuk menawarkan kontrol yang lebih besar atas pengaturan dan keamanan volume penyimpanan. Administrator sekarang memiliki kemampuan untuk menunjuk kepercayaan, mengonfigurasi pengaturan antivirus, dan menjalankan kontrol administratif atas filter yang terpasang. Untuk mempelajari selengkapnya, lihat Menyiapkan Dev Drive di Windows 11.
NVMe
NVMe adalah standar baru untuk drive berkecepatan tinggi berjenis solid-state. Performa penyimpanan NVMe dioptimalkan di Windows Server 2025. Hasilnya adalah peningkatan performa dengan peningkatan IOPS dan penurunan pemanfaatan CPU.
Kompresi Replika Penyimpanan
Kompresi Replika Penyimpanan mengurangi jumlah data yang ditransfer melalui jaringan selama replikasi. Untuk mempelajari lebih lanjut tentang kompresi di Storage Replica, lihat gambaran umum Storage Replica.
Log Tingkat Lanjut Replika Penyimpanan
Log Replika Penyimpanan yang Ditingkatkan membantu pelaksanaan log untuk mengurangi biaya kinerja yang terkait dengan abstraksi sistem file. Kinerja replikasi blok ditingkatkan. Untuk mempelajari selengkapnya, lihat Log Replika Penyimpanan yang Ditingkatkan.
Deduplikasi dan kompresi pada penyimpanan asli ReFS
Deduplikasi dan kompresi penyimpanan asli ReFS adalah teknik yang digunakan untuk mengoptimalkan efisiensi penyimpanan untuk beban kerja statis dan aktif, seperti server file atau desktop virtual. Untuk mempelajari selengkapnya tentang deduplikasi dan kompresi ReFS, lihat Mengoptimalkan penyimpanan dengan deduplikasi dan kompresi ReFS di Azure Local.
Volume yang dialokasikan tipis
Volume yang disiapkan secara tipis dengan Storage Spaces Direct adalah cara untuk mengalokasikan sumber daya penyimpanan secara lebih efisien dan untuk menghindari alokasi berlebih yang mahal dengan mengalokasikan dari kumpulan hanya ketika diperlukan dalam kluster. Anda juga dapat mengonversi volume tetap menjadi volume dengan provisioning tipis. Mengonversi dari volume tetap ke volume dengan penyediaan tipis mengembalikan penyimpanan yang tidak digunakan kembali ke kumpulan untuk digunakan oleh volume lainnya. Untuk mempelajari selengkapnya tentang volume thin provision, lihat Penyimpanan dengan provisi tipis.
Blok Pesan Server
Blok Pesan Server (SMB) adalah salah satu protokol yang paling banyak digunakan dalam jaringan. SMB menyediakan cara yang dapat diandalkan untuk berbagi file dan sumber daya lain antara perangkat di jaringan Anda. Windows Server 2025 menyertakan dukungan kompresi SMB untuk algoritma kompresi LZ4 standar industri. LZ4 merupakan tambahan dari dukungan SMB yang ada untuk XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1, dan PATTERN_V1.
Azure Arc dan hibrid
Bagian berikut membahas Azure Arc dan konfigurasi hibrid.
Penyetelan Azure Arc yang Disederhanakan
Penyiapan Azure Arc adalah Fitur sesuai Permintaan, sehingga diinstal secara default. Antarmuka wizard yang mudah digunakan dan ikon baki sistem di taskbar membantu memfasilitasi proses penambahan server ke Azure Arc. Azure Arc memperluas kemampuan platform Azure sehingga Anda dapat membuat aplikasi dan layanan yang dapat beroperasi di lingkungan yang beragam. Lingkungan ini mencakup pusat data, tepi, dan lingkungan multicloud dan memberikan peningkatan fleksibilitas. Untuk mempelajari selengkapnya, lihat Menyambungkan komputer Windows Server ke Azure melalui pengaturan Azure Arc.
Lisensi bayar sesuai penggunaan
Opsi lisensi langganan prabayar Azure Arc adalah alternatif untuk lisensi abadi konvensional untuk Windows Server 2025. Dengan opsi bayar sesuai penggunaan, Anda dapat menyebarkan perangkat Windows Server, melisensikannya, dan membayar hanya sebanyak yang Anda gunakan. Fitur ini difasilitasi melalui Azure Arc dan ditagih melalui langganan Azure Anda. Untuk mempelajari selengkapnya, lihat lisensi prabayar Azure Arc.
Manajemen Windows Server diaktifkan oleh Azure Arc
Manajemen Windows Server yang diaktifkan oleh Azure Arc menawarkan manfaat baru bagi pelanggan dengan lisensi Windows Server yang memiliki lisensi Jaminan Perangkat Lunak aktif atau Windows Server yang merupakan lisensi langganan aktif. Windows Server 2025 memiliki manfaat utama berikut:
- Pusat Admin Windows di Azure Arc: Mengintegrasikan Azure Arc dengan Pusat Admin Windows sehingga Anda dapat mengelola instans Windows Server dari portal Azure Arc. Integrasi ini memberikan pengalaman manajemen terpadu untuk instans Windows Server Anda, baik yang berjalan secara lokal, di cloud, atau di tepi.
- Dukungan Jarak Jauh: Menawarkan pelanggan yang menerima dukungan profesional kemampuan untuk memberikan akses tepat waktu dengan catatan pelaksanaan terperinci dan hak mencabut.
- Penilaian Praktik Terbaik : Pengumpulan dan analisis data server menghasilkan masalah dan panduan remediasi dan peningkatan performa.
- Konfigurasi Azure Site Recovery: Konfigurasi Azure Site Recovery memastikan kelangsungan bisnis dan memberikan replikasi dan ketahanan data untuk beban kerja penting.
Untuk mempelajari selengkapnya tentang Manajemen Windows Server yang diaktifkan oleh Azure Arc dan manfaat yang tersedia, lihat Manajemen Windows Server yang diaktifkan oleh Azure Arc.
Jaringan Software-Defined
Software-Defined Networking (SDN) adalah pendekatan untuk jaringan yang dapat digunakan administrator jaringan untuk mengelola layanan jaringan melalui abstraksi fungsionalitas tingkat bawah. SDN memungkinkan pemisahan sarana kontrol jaringan, yang mengelola jaringan, dari bidang data, yang menangani lalu lintas. Pemisahan ini memungkinkan peningkatan fleksibilitas dan kemampuan pemrograman dalam manajemen jaringan. SDN memberikan manfaat berikut di Windows Server 2025:
- Network Controller: Sarana kontrol untuk SDN ini sekarang dihosting langsung sebagai layanan Kluster Failover pada komputer host fisik. Menggunakan peran kluster menghilangkan kebutuhan untuk menyebarkan VM, yang menyederhanakan penyebaran dan manajemen dan menghemat sumber daya.
- segmentasi berbasis tag: Administrator dapat menggunakan tag layanan kustom untuk mengaitkan grup keamanan jaringan (NSG) dan VM untuk kontrol akses. Alih-alih menentukan rentang IP, administrator sekarang dapat menggunakan label sederhana dan penjelasan mandiri untuk menandai VM beban kerja dan menerapkan kebijakan keamanan berdasarkan tag ini. Tag menyederhanakan proses pengelolaan keamanan jaringan dan menghilangkan kebutuhan untuk mengingat dan mengetik ulang rentang IP. Untuk mempelajari selengkapnya, lihat Mengonfigurasi grup keamanan jaringan dengan tag di Pusat Admin Windows.
- Kebijakan jaringan default di Windows Server 2025: Kebijakan ini membawa opsi perlindungan seperti Azure ke NSG untuk beban kerja yang disebarkan melalui Pusat Admin Windows. Kebijakan default menolak semua akses masuk, memungkinkan pembukaan selektif port masuk yang dikenal baik sambil mengizinkan akses keluar penuh tanpa batas dari VM yang menjalankan beban kerja. Kebijakan jaringan default memastikan bahwa virtual machine kerja diamankan sejak dibuat. Untuk mempelajari selengkapnya, lihat Menggunakan kebijakan akses jaringan default pada komputer virtual di Azure Local.
- SDN Multisite: Fitur ini menyediakan konektivitas lapisan 2 dan lapisan 3 asli antara aplikasi di dua lokasi tanpa komponen tambahan. Dengan SDN Multisite, aplikasi dapat bergerak dengan mulus tanpa perlu mengonfigurasi ulang aplikasi atau jaringan. Ini juga menawarkan manajemen kebijakan jaringan terpadu untuk beban kerja sehingga Anda tidak perlu memperbarui kebijakan saat VM beban kerja berpindah dari satu lokasi ke lokasi lain. Untuk mempelajari lebih lanjut, lihat Apa itu SDN Multisite?.
- Peningkatan performa gateway lapisan 3 SDN: Gateway Lapisan 3 mencapai throughput yang lebih tinggi dan siklus CPU yang berkurang. Peningkatan ini diaktifkan secara default. Pengguna secara otomatis mengalami performa yang lebih baik saat koneksi gateway SDN lapisan 3 dikonfigurasi melalui PowerShell atau Pusat Admin Windows.
Portabilitas Kontainer Windows
Portabilitas adalah aspek penting dari manajemen kontainer dan memiliki kemampuan untuk menyederhanakan peningkatan dengan menerapkan fleksibilitas dan kompatibilitas kontainer yang ditingkatkan di Windows.
Portabilitas adalah fitur Windows Server yang dapat digunakan pengguna untuk memindahkan gambar kontainer, dan data terkait mereka, antara host atau lingkungan yang berbeda tanpa memerlukan modifikasi apa pun. Pengguna dapat membuat gambar kontainer pada satu host dan kemudian menyebarkannya di host lain tanpa harus khawatir tentang masalah kompatibilitas. Untuk mempelajari selengkapnya, lihat Portabilitas untuk kontainer.
Windows Server Insider Program
Program Windows Server Insider menyediakan akses awal ke rilis OS Windows terbaru untuk komunitas penggemar. Sebagai anggota, Anda adalah salah satu yang pertama mencoba ide dan konsep baru yang dikembangkan Microsoft. Setelah mendaftar sebagai anggota, Anda dapat berpartisipasi dalam saluran rilis yang berbeda. Pergi ke Mulai >Pengaturan>Pembaruan Windows>Program Windows Insider.