Windows Server 2022 の新機能

適用対象: Windows Server 2022

この記事では、Windows Server 2022 の新機能の一部について説明します。 Windows Server 2022 は Windows Server 2019 の強力な基盤の上に構築されています。これにより、セキュリティ、Azure ハイブリッド統合および管理、アプリケーション プラットフォームという 3 つの主要テーマに関する多くの技術革新が実現します。 また、Windows Server 2022 Datacenter: Azure Edition により、クラウドの利点を利用して、ダウンタイムを最小限に抑えながら VM を最新の状態に保つことができます。

セキュリティ

Windows Server 2022 の新しいセキュリティ機能は、Windows Server の他のセキュリティ機能を複数の領域にまたがって統合して、高度な脅威に対する多層防御を実現します。 Windows Server 2022 の高度な多層セキュリティにより、サーバーに現在必要な包括的な保護が提供されます。

セキュア コア サーバー

OEM パートナーが提供する認定セキュアコア サーバー ハードウェアには、高度な攻撃に対して役に立つ追加のセキュリティ保護機能があります。 これを利用すると、最もデータの影響を受けやすい業界でミッション クリティカル データを処理するときの安心感が高まります。 高度な Windows Server セキュリティ機能を実現するために、セキュアコア サーバーにはハードウェア、ファームウェア、ドライバーの機能が使用されています。 これらの機能の多くは Windows セキュアコア PC に搭載されていますが、セキュアコア サーバー ハードウェアと Windows Server 2022 でも使用できるようになりました。 セキュアコア サーバーの詳細については、セキュアコア サーバーに関するページを参照してください。

ハードウェアの信頼のルート

トラステッド プラットフォーム モジュール 2.0 (TPM 2.0) セキュア暗号化プロセッサ チップには、システム整合性の測定を含め、機密性の高い暗号化キーとデータに対応するセキュリティで保護されたハードウェアベースのストアが用意されています。 TPM 2.0 を使用すると、サーバーが正当なコードで起動され、後続のコード実行によって信頼できることを確認できます。 これはハードウェアの信頼のルートと呼ばれ、BitLocker ドライブ暗号化などの機能に使用されています。

ファームウェアの保護

ファームウェアは高い特権で実行され、従来のウイルス対策ソリューションからは検出できないことが多いため、ファームウェアを使用した攻撃が増えています。 セキュアコア サーバー プロセッサは、Dynamic Root of Trust for Measurement (DRTM) テクノロジを使用したブート プロセスの測定と検証、ダイレクト メモリ アクセス (DMA) 保護機能を使用したドライバーのメモリへのアクセスの分離をサポートしています。

UEFI セキュア ブート

UEFI セキュア ブートは、悪意のあるルートキットからサーバーを守るセキュリティ標準です。 セキュア ブートにより、サーバーはハードウェア製造元によって信頼されているファームウェアとソフトウェアのみを確実に起動します。 サーバーが起動されると、ファームウェアは、ファームウェア ドライバーや OS を含む各ブート コンポーネントの署名をチェックします。 署名が有効な場合、サーバーが起動し、ファームウェアによって OS に制御が渡されます。

仮想化ベースのセキュリティ (VBS)

セキュアコア サーバーは、仮想化ベースのセキュリティ (VBS) とハイパーバイザーベースのコード整合性 (HVCI) をサポートしています。 メモリのセキュリティで保護された領域を作成し、通常のオペレーティング システムから隔離するために、VBS にはハードウェア仮想化機能が使用されています。これにより、暗号通貨マイニング攻撃に使用される全クラスの脆弱性から保護されます。 また、VBS に Credential Guard を使用して、オペレーティング システムから直接アクセスできない仮想コンテナーにユーザーの資格情報とシークレット情報を格納することもできます。

HVCI には VBS が使用され、コード整合性ポリシーの適用が大幅に強化されています。たとえば、仮想化環境内のすべてのカーネル モード ドライバーとバイナリを起動前に確認し、署名されていないドライバーやシステム ファイルがシステム メモリに読み込まれるのを防ぐカーネル モード整合性などです。

カーネル データ保護 (KDP) には、メモリ ページがハイパーバイザーによって保護される実行不可能なデータを含むカーネル メモリの読み取り専用メモリ保護が備わっています。 KDP は、Windows Defender System Guard ランタイムでのキー構造が改ざんされるのを防ぎます。

セキュリティで保護された接続

トランスポート: Windows Serer 2022 で既定で有効になっている HTTPS と TLS 1.3

セキュリティで保護された接続は、現在の相互接続システムの中核です。 トランスポート層セキュリティ (TLS) 1.3 は、最も採用されているインターネットのセキュリティ プロトコルの最新バージョンです。これは、データを暗号化して、2 つのエンドポイント間にセキュリティで保護された通信チャネルを提供します。 HTTPS と TLS 1.3 は Windows Server 2022 では既定で有効になり、サーバーに接続するクライアントのデータを保護します。 これにより、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化され、できるだけ多くのハンドシェイクの暗号化が目標とされています。 サポートされている TLS のバージョンサポートされている暗号スイートについて詳細を確認してください。

プロトコル レイヤーの TLS 1.3 は既定で有効になりましたが、アプリケーションとサービスでもそれをアクティブにサポートする必要があります。 詳細については、これらのアプリケーションとサービスのドキュメントを参照してください。 Microsoft Security ブログの投稿「TLS 1.3 を使用してトランスポート層セキュリティ (TLS) を次のレベルへ」 にも、詳細が記載されています。

セキュリティで保護された DNS: DNS-over-HTTPS で暗号化された DNS 名前解決要求

Windows Server 2022 の DNS クライアントで、HTTPS プロトコルを使用して DNS クエリを暗号化する DNS-over-HTTPS (DoH) がサポートされるようになりました。 これは、傍受と DNS データの操作を防ぐことで、トラフィックをできるだけプライベートに保てるようにします。 DoH を使用するように DNS クライアントを構成する方法について詳細を確認してください。

サーバー メッセージ ブロック (SMB): セキュリティを最も重視する場合の SMB AES-256 暗号化

Windows Server は、SMB の暗号化に AES-256-GCM と AES-256-CCM の暗号化スイートをサポートするようになりました。 Windows では、このより高度な暗号方法がそれをサポートする別のコンピューターに接続するときに自動的にネゴシエートされます。これは、グループ ポリシーを使用して強制させることもできます。 Windows Server は、下位互換性のために AES-128 を引き続きサポートしています。 また、AES-128-GMAC の署名により、署名のパフォーマンスが向上しました。

SMB: 内部クラスター通信の東西 SMB 暗号化の制御

Windows Server フェールオーバー クラスターでは、クラスターの共有ボリューム (CSV) と記憶域バス層 (SBL) のノード内記憶域通信の暗号化と署名のきめ細かい制御がサポートされるようになりました。 つまり、記憶域スペース ダイレクトを使用する場合、より高いセキュリティのために、クラスター自体の中で東西の通信を暗号化または署名することを決定できます。

SMB ダイレクトと RDMA の暗号化

SMB ダイレクトと RDMA では、記憶域スペース ダイレクト、記憶域レプリカ、Hyper-V、スケールアウト ファイル サーバー、SQL Server などのワークロード用の高帯域幅、低遅延のネットワーク ファブリックを提供します。 Windows Server 2022 の SMB ダイレクトは、暗号化に対応するようになりました。 以前は、SMB 暗号化を有効にすると、データの直接配置が無効になっていました。これは意図的に行われていましたが、パフォーマンスに重大な影響を及ぼしていました。 現在は、データはデータ配置前に暗号化されるため、パフォーマンスの低下ははるかに少なくなり、さらに AES-128 と AES-256 で保護されたパケットのプライバシーが追加されました。

SMB の暗号化、署名の高速化、セキュア RDMA、クラスターのサポートの詳細については、SMB のセキュリティの強化に関するページを参照してください。

SMB over QUIC

SMB over QUIC は、TCP の代わりに QUIC プロトコルを使用するために、Windows Server 2022 Datacenter: Azure Edition の SMB 3.1.1 プロトコルと、サポートされている Windows クライアントを更新します。 TLS 1.3 と共に SMB over QUIC を使用することで、ユーザーとアプリケーションが Azure で実行されているエッジ ファイル サーバーからデータに安全かつ確実にアクセスできます。 在宅勤務者とモバイルのユーザーは、Windows を使用している場合に、SMB 経由でファイル サーバーにアクセスするために VPN が不要となりました。 詳細については、SMB over QUIC に関するドキュメントを参照してください。

Azure ハイブリッドの機能

以前よりも簡単にデータ センターを Azure に拡張できる、Windows Server 2022 の組み込みのハイブリッド機能を使用して、効率性と機敏性を向上させることができます。

Azure Arc 対応 Windows サーバー

Windows Server 2022 を備えた Azure Arc 対応サーバーを使用すると、オンプレミスとマルチクラウドの Windows Server を Azure Arc を含む Azure に移行できます。この管理エクスペリエンスは、ネイティブの Azure 仮想マシンの管理方法と整合するように設計されています。 ハイブリッド マシンは、Azure に接続されると接続済みマシンになり、Azure 内のリソースとして扱われます。 詳細については、Azure Arc 対応サーバーに関するドキュメントを参照してください。

Windows Admin Center

Windows Server 2022 を管理するための Windows Admin Center の機能強化には、前述したセキュア コア機能の現在の状態について報告するものと、必要な場合にお客様がそれらの機能を有効にできるようにする機能の両方が含まれています。 これらとその他多数の Windows Admin Center の機能強化の詳細については、Windows Admin Center に関するドキュメントを参照してください。

Azure Automanage - Hotpatch

Azure Automanage の一部である Hotpatch は、Windows Server 2022 Datacenter: Azure Edition でサポートされています。 ホット パッチの適用は、新しい Windows Server Azure Edition の仮想マシン (VM) に更新プログラムをインストールするための新しい方法であり、インストール後に再起動を必要としません。 詳細については、Azure Automanage に関するドキュメントを参照してください。

アプリケーション プラットフォーム

Windows コンテナーに関するプラットフォームの機能強化は、アプリケーションの互換性や、Kubernetes を使用した Windows コンテナーのエクスペリエンスなど、いくつかあります。 主な機能強化として、Windows コンテナー イメージ サイズの最大 40% の削減があります。これにより、起動時間が 30% 速くなり、パフォーマンスが向上します。

また、コンテナー ホストにドメインを参加させずに、グループ マネージド サービス アカウント (gMSA) を使用して、Azure Active Directory に依存するアプリケーションを実行できるようになりました。さらに、Windows コンテナーは、Microsoft 分散トランザクション制御 (MSDTC) と Microsoft Message Queuing (MSMQ) をサポートするようになりました。

Kubernetes を使用した Windows コンテナーのエクスペリエンスを簡素化するその他の機能強化がいくつかあります。 これらの機能強化には、ノード構成のホストプロセス コンテナー、IPv6、Calico による一貫したネットワーク ポリシーの実装の各サポートが含まれます。

プラットフォームの機能強化に加えて、Windows Admin Center が更新され、.NET アプリケーションを簡単にコンテナー化できるようになりました。 アプリケーションがコンテナーに配置されたら、Azure Container Registry でそれをホストし、Azure Kubernetes Service などの他の Azure サービスにデプロイできます。

Intel Ice Lake プロセッサのサポートを備えた Windows Server 2022 では、SQL Server などのビジネスに不可欠で大規模なアプリケーションがサポートされます。これには、64 個の物理ソケットで実行される最大 48 TB のメモリと 2,048 論理コアが必要です。 Intel Ice Lake 上の Intel Secured Guard Extension (SGX) を使用した機密性の高いコンピューティングは、保護されたメモリを使用してアプリケーションを相互に分離することによって、アプリケーションのセキュリティを強化します。

その他の主な機能

AMD プロセッサの入れ子になった仮想化

入れ子になった仮想化は、Hyper-V 仮想マシン (VM) 内での Hyper-V の実行を可能にする機能です。 Windows Server 2022 は、AMD プロセッサを使用した入れ子になった仮想化のサポートを提供し、ご利用の環境により多くのハードウェアの選択肢を提供します。 詳細については、入れ子になった仮想化に関するドキュメントを参照してください。

Microsoft Edge ブラウザー

Internet Explorer に代わって、Microsoft Edge が Windows Server 2022 に付属しています。 これは、Chromium オープン ソース上に構築され、Microsoft のセキュリティと技術革新によってサポートされています。 これは、デスクトップ エクスペリエンス搭載サーバーのインストール オプションと共に使用できます。 詳細については、Microsoft Edge Enterprise ドキュメントを参照してください。 Microsoft Edge は、Windows Server の他のものとは異なり、そのサポート ライフサイクルに関してモダン ライフサイクルに従うことに注意してください。 詳細については、Microsoft Edge ライフサイクルに関するドキュメントを参照してください。

ネットワーク パフォーマンス

UDP パフォーマンスの向上

UDP は、RTP とカスタム (UDP) ストリーミングおよびゲーミング プロトコルの普及により、伝達されるネットワーク トラフィックがますます増え、非常に人気の高いプロトコルになっています。 UDP をベースに構築された QUIC プロトコルでは、UDP のパフォーマンスは TCP と同等のレベルになっています。 重要なこととして、Windows Server 2022 には UDP セグメント化オフロード (USO) が含まれています。 USO によって、UDP パケットの送信に求められるほとんどの処理が、CPU からネットワーク アダプターの専用ハードウェアに移されます。 USO は UDP Receive Side Coalescing (UDP RSC) によって補完され、これによりパケットがまとめられ、UDP の処理にかかる CPU の使用率が低下します。 さらに、送信と受信の両方で UDP データ パスに何百もの改善を行いました。 この新しい機能は、Windows Server 2022 と Windows 11 の両方に備わっています。

TCP パフォーマンスの向上

Windows Server 2022 では、TCP HyStart++ を使用して (特に高速ネットワークにおいて) 接続の起動中のパケット損失を減らし、RACK を使用して再転送タイムアウト (RTO) を減らしています。 これらの機能はトランスポート スタックで既定で有効になっており、高速時によりパフォーマンスを高める、より滑らかなネットワーク データ フローを実現します。 この新しい機能は、Windows Server 2022 と Windows 11 の両方に備わっています。

Hyper-V 仮想スイッチの改善

更新された Receive Segment Coalescing (RSC) により、Hyper-V の仮想スイッチが強化されました。 これにより、ハイパーバイザー ネットワークでパケットがまとめられ、1 つの大きなセグメントとして処理できます。 CPU のサイクル数が減り、セグメントは目的のアプリケーションによって処理されるまで、データ パス全体にわたってまとめられたままになります。 つまり、仮想 NIC で受信された外部ホストからのネットワーク トラフィックと、仮想 NIC から同じホスト上の別の仮想 NIC へのネットワーク トラフィックの両方のパフォーマンスが改善されました。

ストレージ

記憶域移行サービス

Windows Server 2022 の記憶域移行サービスの機能強化により、より多くのソースの場所から、Windows サーバーまたは Azure に記憶域を簡単に移行できます。 Windows Server 2022 で記憶域移行サーバー オーケストレーターを実行するときに使用できる機能を次に示します。

  • 新しいサーバーにローカル ユーザーとグループを移行する。
  • フェールオーバー クラスターからの記憶域の移行、フェールオーバー クラスターへの移行、スタンドアロン サーバーとフェールオーバークラスター間での移行を行う。
  • Samba を使用する Linux サーバーから記憶域を移行する。
  • Azure File Sync を使用して、Azure に移行された共有をより簡単に同期する。
  • Azure などの新しいネットワークに移行する。
  • NetApp CIFS サーバーを NetApp FAS 配列から Windows サーバーとクラスターに移行する。

調整可能なストレージの修復速度

ユーザーが調整可能な記憶域の修復速度は、記憶域スペース ダイレクトの新機能です。これにより、データのコピーを修復する (回復性) またはアクティブなワークロードを実行する (パフォーマンス) のいずれかのためにリソースを割り当てることで、データの再同期プロセスをより詳細に制御できます。 これにより、可用性が向上し、クラスターをより柔軟かつ効率的に利用できるようになります。

修復と再同期の高速化

ノードの再起動やディスク障害などのイベント後のストレージの修復と再同期が 2 倍早くなりました。 修復での時間の変動が小さくなったため、修復にかかる時間をより正確に把握できます。これは、データ追跡の粒度を高めることによって達成されています。 これにより、移動する必要のあるデータのみが移動され、使用されるシステム リソースと所用時間が削減されます。

スタンドアロン サーバーでの記憶域スペースによる記憶域バス キャッシュ

記憶域バス キャッシュは、スタンドアロン サーバーで使用できるようになりました。 これにより、記憶域の効率を維持し、運用コストを低く抑えながら、読み取りと書き込みのパフォーマンスを大幅に向上させることができます。 記憶域スペース ダイレクトの実装と同様に、この機能は高速なメディア (NVMe や SSD など) と低速なメディア (HDD など) を組み合わせて、階層を作成します。 高速なメディアの層の一部は、キャッシュ用に予約されています。 詳細については、「スタンドアロン サーバーでの記憶域スペースによる記憶域バス キャッシュの有効化」を参照してください。

ReFS ファイルレベルのスナップショット

Microsoft の Resilient File System (ReFS) に、クイック メタデータ操作を使用してファイルのスナップショットを撮る機能が含まれるようになりました。 スナップショットは、そのクローンでの ReFS ブロックの複製 (スナップショットは読み取り専用) とは異なり、書き込み可能です。 この機能は、VHD/VHDX ファイルを使用した仮想マシン バックアップのシナリオで特に便利です。 ReFS スナップショットは、ファイル サイズに関係なく一定の時間がかかるという意味でユニークです。 スナップショットのサポートは、ReFSUtil で、または API として利用できます。

SMB の圧縮

Windows Server 2022 と Windows 11 の SMB の機能強化により、ユーザーまたはアプリケーションはネットワーク経由で転送するときにファイルを圧縮できます。 低速であるか、混雑しているネットワークで転送を大幅に高速化するために、ユーザーがファイルを手動で zip 圧縮する必要はなくなりました。 詳細については、「SMB の圧縮」を参照してください。