Co nowego w systemie Windows Server 2025

W tym artykule opisano niektóre najnowsze rozwiązania w systemie Windows Server 2025, które oferują zaawansowane funkcje zwiększające bezpieczeństwo, wydajność i elastyczność. Dzięki szybszym opcjom magazynowania i możliwości integracji ze środowiskami chmury hybrydowej zarządzanie infrastrukturą jest teraz bardziej usprawnione. System Windows Server 2025 opiera się na silnej podstawie swojego poprzednika i wprowadza szereg innowacyjnych ulepszeń, aby dostosować się do Twoich potrzeb.

Środowisko pulpitu i aktualizacja

Zapoznaj się z opcjami uaktualniania i środowiskiem pulpitu.

Uaktualnienie bezpośrednie z systemu Windows Server 2012 R2

W systemie Windows Server 2025 można uaktualnić maksymalnie cztery wersje naraz. Uaktualnienie można uaktualnić bezpośrednio do systemu Windows Server 2025 z systemu Windows Server 2012 R2 lub nowszego.

Desktop shell

Po pierwszym zalogowaniu środowisko powłoki pulpitu jest zgodne ze stylem i wyglądem systemu Windows 11.

Bluetooth

Teraz możesz łączyć myszy, klawiatury, zestawy nagłowne, urządzenia audio i nie tylko za pośrednictwem połączenia Bluetooth w systemie Windows Server 2025.

DTrace

System Windows Server 2025 jest wyposażony w dtrace jako narzędzie natywne. DTrace to narzędzie wiersza polecenia, które umożliwia użytkownikom monitorowanie i rozwiązywanie problemów z wydajnością systemu w czasie rzeczywistym. Dzięki funkcji DTrace można dynamicznie instrumentować zarówno jądro, jak i kod przestrzeni użytkownika bez konieczności modyfikowania samego kodu. To uniwersalne narzędzie obsługuje szereg technik zbierania i analizy danych, takich jak agregacje, histogramy i śledzenie zdarzeń na poziomie użytkownika. To learn more, see DTrace for command-line help and DTrace on Windows for other capabilities.

Adres e-mail i konta

You can now add the following types of accounts in Windows Settings under Accounts>Email & accounts for Windows Server 2025:

• Microsoft Entra ID
• konto Microsoft
• Konto służbowe lub szkolne

Dołączanie do domeny jest nadal wymagane w większości sytuacji.

Feedback Hub

Aby przesłać opinię lub zgłosić problemy występujące podczas korzystania z systemu Windows Server 2025, użyj Centrum opinii systemu Windows. Dołącz zrzuty ekranu lub nagrania procesu, które spowodowały problem, aby pomóc nam zrozumieć twoją sytuację i udostępnić sugestie w celu ulepszenia środowiska systemu Windows. Aby dowiedzieć się więcej, zobacz Centrum opinii.

File compression

System Windows Server 2025 ma nową funkcję kompresji. To compress an item, right-click and select Compress to. This feature supports ZIP, 7z, and TAR compression formats with specific compression methods for each one.

Pinned apps

Pinning your most-used apps is now available through the Start menu and is customizable to suit your needs. Domyślne przypięte aplikacje są obecnie:

• Konfiguracja usługi Azure Arc
• Feedback Hub
• Eksplorator plików
• Microsoft Edge
• Server Manager
• Settings
• Terminal
• Windows PowerShell

Task Manager

Windows Server 2025 uses the modern Task Manager app with Mica material that conforms to the style of Windows 11.

Wi-Fi

Teraz łatwiej jest włączyć możliwości bezprzewodowe, ponieważ funkcja bezprzewodowej sieci LAN jest teraz instalowana domyślnie. Usługa bezprzewodowego uruchamiania jest ustawiona na ręczne. Aby ją włączyć, uruchom net start wlansvc w wierszu polecenia, terminalu systemu Windows lub programie PowerShell.

Windows Terminal

W systemie Windows Server 2025 dostępny jest Windows Terminal, zaawansowana i wydajna aplikacja multi-shell dla użytkowników konsoli. Search for Terminal on the search bar.

WinGet

WinGet jest instalowany domyślnie, co jest narzędziem Menedżera pakietów systemu Windows wiersza polecenia, które udostępnia kompleksowe rozwiązania menedżera pakietów do instalowania aplikacji na urządzeniach z systemem Windows. Aby dowiedzieć się więcej, zobacz Używanie narzędzia WinGet do instalowania aplikacji i zarządzania nimi.

Zaawansowane zabezpieczenia wielowarstwowe

Dowiedz się więcej o zabezpieczeniach w systemie Windows 2025.

Hotpatch (preview)

Funkcja hotpatch jest teraz dostępna dla maszyn z systemem Windows Server 2025 połączonych z usługą Azure Arc po włączeniu funkcji Hotpatch w witrynie Azure Arc Portal. Możesz użyć funkcji Hotpatch, aby zastosować aktualizacje zabezpieczeń systemu operacyjnego bez ponownego uruchamiania maszyny. To learn more, see Hotpatch.

Important

Funkcja Hotpatch z obsługą Azure Arc jest obecnie w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Credential Guard

Począwszy od systemu Windows Server 2025, funkcja Credential Guard jest teraz domyślnie włączona na urządzeniach, które spełniają wymagania. Aby uzyskać więcej informacji na temat funkcji Credential Guard, zobacz Configure Credential Guard.

Active Directory Domain Services

Najnowsze ulepszenia usług Active Directory Domain Services (AD DS) i Active Directory Lightweight Domain Services (AD LDS) wprowadzają szereg nowych funkcji i możliwości mających na celu optymalizację środowiska zarządzania domeną:

• pl-PL: opcjonalna funkcja rozmiaru strony bazy danych 32k: Active Directory używa bazy danych Extensible Storage Engine (ESE) od czasu jej wprowadzenia w Windows 2000, która wykorzystuje rozmiar strony bazy danych o wielkości 8k. Decyzja dotycząca projektowania architektury 8k spowodowała ograniczenia w usłudze Active Directory, które są udokumentowane w Limity maksymalne usługi Active Directory: Skalowalność. Przykładem tego ograniczenia jest pojedynczy rekord obiektu usługi Active Directory, który nie może przekraczać rozmiaru 8k bajtów. Przejście do formatu strony bazy danych 32k oferuje ogromną poprawę obszarów dotkniętych starszymi ograniczeniami. Atrybuty wielowartościowe mogą teraz przechowywać do około 3200 wartości, co jest wzrostem o współczynnik 2,6.

  Można zainstalować nowe kontrolery domeny (DCs) z 32k-stronicową bazą danych, która używa 64-bitowych identyfikatorów wartości długich (LID) i uruchomić w trybie 8k-page w celu zachowania zgodności z poprzednimi wersjami. Uaktualniony kontroler domeny nadal używa bieżącego formatu bazy danych i 8 tys. stron. Przejście do bazy danych o objętości 32 tys. stron odbywa się w zakresie całego lasu i wymaga, aby wszystkie kontrolery domeny w lesie miały bazę danych obsługującą 32 tys. stron.

• aktualizacje schematu usługi Active Directory: wprowadzono trzy nowe pliki bazy danych dzienników rozszerzające schemat usługi Active Directory: sch89.ldf, sch90.ldfi sch91.ldf. Równoważne aktualizacje schematów AD LDS znajdują się w MS-ADAM-Upgrade3.ldf. Aby dowiedzieć się więcej o poprzednich aktualizacjach schematu, zobacz aktualizacje schematu usługi Active Directory systemu Windows Server.

• naprawa obiektów usługi Active Directory: Administratorzy przedsiębiorstwa mogą teraz naprawiać obiekty z brakującymi podstawowymi atrybutami SamAccountType i ObjectCategory. Administratorzy przedsiębiorstwa mogą zresetować atrybut LastLogonTimeStamp obiektu do bieżącej godziny. These operations are achieved through a new RootDSE modify operation feature on the affected object called fixupObjectState.

• Obsługa inspekcji powiązań kanału: Teraz można włączyć zdarzenia 3074 i 3075 dla powiązań kanału w protokole LDAP (Lightweight Directory Access Protocol). Gdy zasady powiązań kanałowych zostaną zmodyfikowane w celu ustanowienia bezpieczniejszego ustawienia, administrator może zidentyfikować urządzenia w środowisku, które nie obsługują powiązania kanału lub napotykają problemy z jego obsługą. These audit events are also available in Windows Server 2022 and later via KB4520412.

• Ulepszenia algorytmu lokalizacji kontrolerów domeny: Algorytm odkrywania kontrolera domeny zapewnia nowe funkcje z ulepszeniami mapowania krótkich nazw domen w stylu NetBIOS na nazwy domen w stylu DNS. Aby dowiedzieć się więcej, zobacz Lokalizowanie kontrolerów domeny w systemach Windows i Windows Server.

  Note

  System Windows nie korzysta z mailslotów podczas operacji odnajdywania kontrolera domeny, ponieważ firma Microsoft ogłosiła wycofanie usług WINS i mailslotów dla tych starszych technologii.

• Poziomy funkcjonalności lasu i domeny: Nowy poziom funkcjonalności jest używany do ogólnego wsparcia i jest wymagany dla nowej funkcji rozmiaru strony bazy danych 32k. Nowy poziom funkcjonalności odnosi się do wartości DomainLevel 10 i ForestLevel 10 dla instalacji nienadzorowanych. Firma Microsoft nie ma planów modernizacji poziomów funkcjonalności dla systemów Windows Server 2019 i Windows Server 2022. Aby wykonać nienadzorowane podwyższanie poziomu i obniżanie poziomu kontrolera domeny, zobacz składnię pliku odpowiedzi DCPROMO dla nienadzorowanego podwyższania i obniżania poziomu kontrolerów domeny.

  The DsGetDcName API also supports the new flag DS_DIRECTORY_SERVICE_13_REQUIRED that enables location of DCs running Windows Server 2025. Więcej informacji na temat poziomów funkcjonalności można uzyskać w następujących artykułach:

  • poziomy funkcjonalności usług AD DS
  • Podnieś poziom funkcjonalności domeny
  • podnieść poziom funkcjonalności lasu

  Note

  Nowe lasy usługi Active Directory lub zestawy konfiguracji usług AD LDS są wymagane do poziomu funkcjonalności systemu Windows Server 2016 lub nowszego. Podwyższenie poziomu repliki usług Active Directory lub AD LDS wymaga, aby istniejąca domena lub zestaw konfiguracji był już uruchomiony z poziomem funkcjonalności systemu Windows Server 2016 lub nowszym.

  Firma Microsoft zaleca, aby wszyscy klienci zaczęli planować teraz uaktualnianie serwerów usług Active Directory i AD LDS do systemu Windows Server 2022 w ramach przygotowań do następnej wersji.

• Ulepszone algorytmy wyszukiwania nazw i identyfikatorów SID: Przesyłanie wyszukiwań nazw i identyfikatorów SID między kontami maszyn nie korzysta już ze starszego bezpiecznego kanału Netlogon. Zamiast tego używane są algorytm lokalizatora kontrolerów domeny i uwierzytelnianie Kerberos. Aby zachować zgodność ze starszymi systemami operacyjnymi, nadal można użyć bezpiecznego kanału Netlogon jako opcji rezerwowej.

• Ulepszone zabezpieczenia atrybutów poufnych: Kontrolery domeny i instancje usług AD LDS zezwalają na operacje dodawania, wyszukiwania i modyfikowania obejmujące poufne atrybuty tylko wtedy, gdy połączenie jest zaszyfrowane.

• ulepszone zabezpieczenia domyślnych haseł kont komputera: usługa Active Directory używa teraz domyślnych haseł konta komputera, które są generowane losowo. Kontrolery domeny Windows 2025 blokują ustawianie haseł konta komputera na domyślne hasło nazwy konta komputera.

  Aby kontrolować to zachowanie, włącz ustawienie obiektu zasad grupy (GPO) kontroler domeny: Odmawiaj ustawienia domyślnego hasła konta komputera znajdujące się w Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń.

  Narzędzia takie jak Centrum administracyjne usługi Active Directory (ADAC), Użytkownicy i komputery usługi Active Directory (ADUC), net computeri dsmod również przestrzegają tego nowego zachowania. Usługi ADAC i ADUC nie zezwalają już na tworzenie konta przed systemem Windows 2000.

• Obsługa protokołu PKINIT dla elastyczności kryptograficznej: Kryptografia klucza publicznego dla protokołu Kerberos (PKINIT) zostaje zaktualizowana, aby zapewnić elastyczność kryptograficzną poprzez obsługę większej liczby algorytmów i usunięcie twardo zakodowanych algorytmów.

• Zmiany w Kerberos dotyczące algorytmów używanych do biletów przyznawania dostępu: Centrum Dystrybucji Kerberos nie będzie już wystawiać biletów przyznających dostęp przy użyciu szyfrowania RC4, takiego jak RC4-HMAC(NT).

• Zmiany protokołu Kerberos dla obsługiwanej konfiguracji typu szyfrowania: Protokół Kerberos nie obsługuje już starszego klucza rejestru REG_DWORD SupportedEncryptionTypes znalezionego w ścieżce HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Firma Microsoft zaleca zamiast tego używanie zasad grupy. Aby dowiedzieć się więcej na temat ustawień zasad grupy, zobacz Zabezpieczenia sieciowe: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos.

• Ustawienie obiektu zasad grupy LAN Manager: Ustawienie obiektu zasad grupy Zabezpieczenia sieci: nie zapisywać wartości skrótu LAN Manager przy następnej zmianie hasła nie występuje już i nie ma zastosowania w nowych wersjach systemu Windows.

• pl-PL: Szyfrowanie LDAP domyślnie: Cała komunikacja klienta LDAP po związaniu za pomocą prostego uwierzytelniania i warstwy zabezpieczeń (SASL) domyślnie używa szyfrowania LDAP. To learn more about SASL, see SASL Authentication.

• obsługa protokołu LDAP dla protokołu Transport Layer Security (TLS) 1.3: protokół LDAP używa najnowszej implementacji SCHANNEL i obsługuje protokół TLS 1.3 dla protokołu LDAP za pośrednictwem połączeń TLS. Korzystanie z protokołu TLS 1.3 eliminuje przestarzałe algorytmy kryptograficzne i zwiększa bezpieczeństwo starszych wersji. Protokół TLS 1.3 ma na celu szyfrowanie jak największej części procesu uzgadniania. Aby dowiedzieć się więcej, zobacz protokoły w TLS/SSL (Schannel SSP) i szyfry TLS w systemie Windows Server 2022.

• Zmiana zachowania hasła w menedżerze kont zabezpieczeń (SAM) przy zdalnym wywołaniu procedury (RPC): Bezpiecznych protokołów, takich jak Kerberos, używa się jako preferowanego sposobu zmiany haseł użytkowników domeny. On DCs, the latest SAM RPC password change method SamrUnicodeChangePasswordUser4 by using Advanced Encryption Standard (AES) is accepted by default when it's called remotely. Następujące starsze metody protokołu SAM RPC są domyślnie blokowane, gdy są wywoływane zdalnie:

  • SamrChangePasswordUser
  • SamrOemChangePasswordUser2
  • SamrUnicodeChangePasswordUser2

  For domain users that are members of the Protected Users group and for local accounts on domain member computers, all remote password changes through the legacy SAM RPC interface are blocked by default, including SamrUnicodeChangePasswordUser4.

  Aby kontrolować to zachowanie, użyj następującego ustawienia GPO:

  Computer Configuration>Administrative Templates>System>Security Account Manager>Configure SAM change password RPC methods policy

• obsługa niejednolitego dostępu do pamięci (NUMA): usługi AD DS korzystają teraz ze sprzętu z obsługą architektury NUMA, wykorzystując procesory we wszystkich grupach procesorów. Wcześniej usługa Active Directory używałaby tylko procesorów CPU w grupie 0. Usługa Active Directory może rozszerzać się poza 64 rdzenie.

• Performance counters: Monitoring and troubleshooting the performance of the following counters are now available:

  • DC Locator: Counters specific to clients and DCs are available.
  • LSA Lookups: Name and SID Lookups through the LsaLookupNames, LsaLookupSids, and equivalent APIs. Te liczniki są dostępne zarówno w wersjach klienta, jak i serwera.
  • LDAP client: Available in Windows Server 2022 and later via the KB 5029250 update.

• kolejność priorytetu replikacji: Administratorzy mogą teraz zwiększyć priorytet replikacji obliczanej przez system z określonym partnerem replikacji dla określonego kontekstu nazewnictwa. Ta funkcja umożliwia większą elastyczność konfigurowania kolejności replikacji w celu rozwiązania określonych scenariuszy.

Delegowane Zarządzane Konto Usługowe

Ten nowy typ konta umożliwia migrację z konta usługi do delegowanego zarządzanego konta usługi (dMSA). Ten typ konta zawiera zarządzane i w pełni losowe klucze, aby zapewnić minimalne zmiany aplikacji, gdy oryginalne hasła konta usługi są wyłączone. Aby dowiedzieć się więcej, zobacz Przegląd delegowanych zarządzanych kont usług.

Rozwiązanie do zarządzania hasłami lokalnych administratorów w systemie Windows

Rozwiązanie LAPS (Local Administrator Password Solution) systemu Windows ułatwia organizacjom zarządzanie hasłami administratora lokalnego na komputerach przyłączonych do domeny. Automatycznie generuje unikatowe hasła dla konta administratora lokalnego każdego komputera. Następnie przechowuje je bezpiecznie w usłudze Active Directory i regularnie je aktualizuje. Automatycznie generowane hasła pomagają zwiększyć bezpieczeństwo. Zmniejszają one ryzyko uzyskania dostępu do poufnych systemów przez osoby atakujące przy użyciu złamanych lub łatwych do odgadnięcia haseł.

W systemie Microsoft LAPS wprowadzono kilka nowych funkcji, które wprowadzają następujące usprawnienia:

• Nowe automatyczne zarządzanie kontami: administratorzy IT mogą teraz łatwo tworzyć zarządzane konto lokalne. Dzięki tej funkcji możesz dostosować nazwę konta i włączyć lub wyłączyć konto. Można nawet losować nazwę konta dla zwiększonych zabezpieczeń. Aktualizacja obejmuje również ulepszoną integrację z istniejącymi lokalnymi zasadami zarządzania kontami firmy Microsoft. Aby dowiedzieć się więcej na temat tej funkcji, zobacz tryby zarządzania kontami Windows LAPS .

• Nowe wykrywanie cofnięcia obrazu: Windows LAPS teraz wykrywa, kiedy wystąpi cofnięcie obrazu. Jeśli nastąpi wycofanie, hasło przechowywane w usłudze Active Directory może już nie być zgodne z hasłem przechowywanym lokalnie na urządzeniu. Rollbacks can result in a torn state. W takim przypadku administrator IT nie może zalogować się na urządzeniu przy użyciu utrwalonego hasła systemu Windows LAPS.

  Aby rozwiązać ten problem, dodano nową funkcję zawierającą atrybut usługi Active Directory o nazwie msLAPS-CurrentPasswordVersion. Ten atrybut zawiera losowy unikatowy identyfikator globalny (GUID) napisany przez system Windows LAPS za każdym razem, gdy nowe hasło jest utrwalane w usłudze Active Directory i zapisywane lokalnie. Podczas każdego cyklu przetwarzania identyfikator GUID przechowywany w msLAPS-CurrentPasswordVersion jest badany i porównywany z lokalnie utrwalonej kopii. Jeśli są różne, hasło jest natychmiast zmieniane.

  Aby włączyć tę funkcję, uruchom najnowszą wersję polecenia cmdlet Update-LapsADSchema. System Windows LAPS rozpoznaje nowy atrybut i zaczyna go używać. Jeśli nie uruchomisz zaktualizowanej wersji polecenia cmdlet Update-LapsADSchema, system Windows LAPS rejestruje zdarzenie ostrzegawcze 10108 w dzienniku zdarzeń, ale nadal działa normalnie we wszystkich innych aspektach.

  Żadne ustawienia zasad nie są używane do włączania ani konfigurowania tej funkcji. Funkcja jest zawsze włączona po dodaniu nowego atrybutu schematu.

• New passphrase: IT admins can now use a new feature in Windows LAPS that enables the generation of less-complex passphrases. An example is a passphrase such as EatYummyCaramelCandy. This phrase is easier to read, remember, and type compared to a traditional password like V3r_b4tim#963?.

  Dzięki tej nowej funkcji można skonfigurować ustawienie zasad PasswordComplexity, aby wybrać jedną z trzech różnych list wyrazów dla haseł. Wszystkie listy znajdują się w systemie Windows i nie wymagają oddzielnego pobierania. Nowe ustawienie zasad o nazwie PassphraseLength steruje liczbą słów używanych w hasłach.

  Podczas tworzenia hasła określona liczba wyrazów jest losowo wybierana z wybranej listy wyrazów i połączona. Pierwsza litera każdego słowa jest pisana wielką literą, aby zwiększyć czytelność. Ta funkcja w pełni obsługuje również tworzenie kopii zapasowych haseł w usłudze Active Directory lub identyfikatorze Entra firmy Microsoft.

  Listy wyrazów hasła używane w trzech nowych ustawieniach hasła PasswordComplexity pochodzą z artykułu Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Windows LAPS Passphrase Word Lists jest licencjonowany w ramach licencji CC-BY-3.0 z przypisaniem, i jest dostępny do pobrania.

  Note

  System Windows LAPS nie umożliwia dostosowywania wbudowanych list słów ani używania list wyrazów skonfigurowanych przez klienta.

• ulepszony słownik haseł czytelności: system Windows LAPS wprowadza nowe ustawienie PasswordComplexity, które umożliwia administratorom IT tworzenie mniej złożonych haseł. Za pomocą tej funkcji można dostosować rozwiązanie LAPS do używania wszystkich czterech kategorii znaków (wielkie litery, małe litery, cyfry i znaki specjalne), podobnie jak istniejące ustawienie złożoności 4. Nowe ustawienie 5powoduje wykluczenie bardziej złożonych znaków w celu zwiększenia czytelności hasła i zminimalizowania nieporozumień. For example, the numeral 1 and the letter I are never used with the new setting.

  Po skonfigurowaniu PasswordComplexity do 5zostaną wprowadzone następujące zmiany w domyślnym zestawie znaków słownika haseł:

  • Don't use: The letters I, O, Q, l, o
  • Don't use: The numbers 0, 1
  • Don't use: The special characters ,, ., &, {, }, [, ], (, ), ;
  • Use: The special characters :, =, ?, *

  Przystawka ADUC (za pośrednictwem programu Microsoft Management Console) oferuje teraz ulepszoną kartę Windows LAPS. Hasło Windows LAPS jest teraz wyświetlane nową czcionką, która zwiększa jego czytelność, gdy pojawia się jako zwykły tekst.

• Obsługa akcji po uwierzytelnieniu w celu zakończenia poszczególnych procesów: do ustawienia zasad grupy (PAA) dodawana jest nowa opcja: Reset the password, sign out the managed account, and terminate any remaining processesznajduje się w Konfiguracja komputera>Szablony administracyjne>System>LAPS>Akcje po uwierzytelnieniu.

  Ta nowa opcja jest rozszerzeniem poprzedniej opcji, Reset the password and log off the managed account. Po skonfigurowaniu usługa PAA powiadamia, a następnie kończy wszystkie interakcyjne sesje logowania. Wylicza i kończy wszystkie pozostałe procesy, które są nadal uruchomione w ramach tożsamości konta lokalnego zarządzanego przez system Windows LAPS. Żadne powiadomienie nie poprzedza tego zakończenia.

  Rozszerzenie zdarzeń rejestrowania podczas wykonywania usługi PAA zapewnia bardziej szczegółowy wgląd w operację.

Aby dowiedzieć się więcej na temat systemu Windows LAPS, zobacz Co to jest system Windows LAPS?.

OpenSSH

We wcześniejszych wersjach systemu Windows Server narzędzie łączności OpenSSH wymaga ręcznej instalacji. Składnik po stronie serwera OpenSSH jest instalowany domyślnie w systemie Windows Server 2025. Interfejs użytkownika Menedżera serwera zawiera również jednoetapową opcję pod zdalny dostęp SSH, która włącza lub wyłącza usługę sshd.exe. Also, you can add users to the OpenSSH Users group to allow or restrict access to your devices. Aby dowiedzieć się więcej, zobacz OpenSSH for Windows overview.

Security baseline

Implementując dostosowany punkt odniesienia zabezpieczeń, można ustanowić środki zabezpieczeń bezpośrednio od początku dla swojego urządzenia lub roli maszyny wirtualnej w oparciu o zalecany stan zabezpieczeń. Ten punkt odniesienia jest wyposażony w ponad 350 wstępnie skonfigurowanych ustawień zabezpieczeń systemu Windows. Możesz użyć tych ustawień, aby zastosować i wymusić określone ustawienia zabezpieczeń zgodne z najlepszymi rozwiązaniami zalecanymi przez firmę Microsoft i standardy branżowe. To learn more, see OSConfig overview.

Enklawy zabezpieczeń oparte na wirtualizacji

Enklawa zabezpieczeń opartych na wirtualizacji (VBS) to oparte na oprogramowaniu zaufane środowisko wykonawcze wewnątrz przestrzeni adresowej aplikacji hosta. VBS enclaves use underlying VBS technology to isolate the sensitive portion of an application in a secure partition of memory. Enklawy VBS umożliwiają izolację poufnych obciążeń zarówno z aplikacji hosta, jak i pozostałej części systemu.

Enklawy VBS umożliwiają aplikacjom ochronę swoich sekretów przez usunięcie konieczności zaufania administratorom i zabezpieczenie się przed złośliwymi atakującymi. Aby uzyskać więcej informacji, przeczytaj odniesienie Win32 dla enklaw VBS.

Ochrona klucza zabezpieczeń oparta na wirtualizacji

Ochrona kluczy VBS umożliwia deweloperom systemu Windows zabezpieczanie kluczy kryptograficznych przy użyciu języka VBS. VBS używa funkcji rozszerzenia wirtualizacji CPU do utworzenia izolowanego środowiska uruchomieniowego poza normalnym systemem operacyjnym.

Gdy klucze VBS są używane, są izolowane w bezpiecznym procesie. Kluczowe operacje mogą zachodzić bez ujawniania materiału klucza prywatnego poza tym obszarem. W spoczynku klucz TPM szyfruje materiał klucza prywatnego, w wyniku czego klucze VBS są wiązane z urządzeniem. Klucze chronione w ten sposób nie mogą być wyprowadzane z pamięci procesu ani eksportowane w postaci zwykłego tekstu z komputera użytkownika.

Ochrona klucza VBS pomaga zapobiegać atakom eksfiltracji przez atakujących z uprawnieniami administratora. Aby można było używać ochrony kluczy, należy włączyć VBS. Aby uzyskać informacje na temat włączania VBS, zobacz Włączanie integralności pamięci.

Secured connectivity

W poniższych sekcjach omówiono zabezpieczenia połączeń.

Bezpieczne zarządzanie certyfikatami

Searching or retrieving certificates on Windows now supports SHA-256 hashes, as described in the functions CertFindCertificateInStore and CertGetCertificateContextProperty. Uwierzytelnianie serwera TLS jest bezpieczniejsze w systemie Windows i teraz wymaga minimalnej długości klucza RSA wynoszącego 2048 bitów. Aby uzyskać więcej informacji, przeczytaj uwierzytelnianie serwera TLS: wycofanie słabych certyfikatów RSA.

SMB z użyciem QUIC

Funkcja SMB over QUIC server, która była dostępna tylko w systemie Windows Server Azure Edition, jest teraz dostępna zarówno w wersjach Windows Server Standard, jak i Windows Server Datacenter. Protokół SMB over QUIC dodaje zalety rozwiązania QUIC, który zapewnia małe opóźnienia, szyfrowane połączenia przez Internet.

Zasady włączania protokołu SMB za pośrednictwem platformy QUIC

Administratorzy mogą wyłączyć klienta SMB over QUIC za pomocą zasad grupy i programu PowerShell. Aby wyłączyć protokół SMB za pośrednictwem QUIC przy użyciu zasad grupy, ustaw zasadę Włącz protokół SMB za pośrednictwem QUIC w następujących ścieżkach na Wyłączone:

• Konfiguracja komputera\Szablony administracyjne\Sieć\Lanman Workstation
• Konfiguracja komputera\Szablony administracyjne\Network\Lanman Server

Aby wyłączyć protokół SMB przez QUIC przy użyciu PowerShell, uruchom to polecenie w podwyższonym wierszu polecenia PowerShell:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Inspekcja podpisywania i szyfrowania protokołu SMB

Administratorzy mogą włączyć inspekcję serwera SMB i klienta na potrzeby obsługi podpisywania i szyfrowania SMB. Jeśli klient lub serwer inny niż Microsoft nie obsługuje szyfrowania lub podpisywania protokołu SMB, można go wykryć. Gdy urządzenie lub oprogramowanie innej firmy niż Microsoft obsługuje protokół SMB 3.1.1, ale nie obsługuje podpisywania protokołu SMB, narusza wymagania dotyczące integralności uwierzytelniania wstępnego protokołu SMB 3.1.1.

Ustawienia inspekcji podpisywania i szyfrowania protokołu SMB można skonfigurować przy użyciu zasad grupy lub programu PowerShell. Te zasady można zmienić w następujących ścieżkach zasad grupowych:

• Konfiguracja komputera\Szablony administracyjne\Network\Lanman Server\Audit klienta nie obsługuje szyfrowania
• Konfiguracja komputera\Szablony administracyjne\Network\Lanman Server\Audit klienta nie obsługuje podpisywania
• Konfiguracja komputera\Szablony administracyjne\Network\Lanman Workstation\Audit server nie obsługuje szyfrowania
• Konfiguracja komputera\Szablony administracyjne\Sieć\Stacja robocza Lanman\Serwer inspekcji nie obsługuje podpisywania

Aby wykonać te zmiany przy użyciu programu PowerShell, uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień, w którym $true włącza i $false wyłącza następujące ustawienia:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Dzienniki zdarzeń dla tych zmian są przechowywane w następujących ścieżkach podglądu zdarzeń z określonym identyfikatorem zdarzenia.

Path	Event ID
Dzienniki aplikacji i usług\Microsoft\Windows\SMBClient\Audit	31998 31999
Dzienniki aplikacji i usług\Microsoft\Windows\SMBServer\Audit	3021 3022

Inspekcja protokołu SMB za pośrednictwem usługi QUIC

Inspekcja połączeń klienta SMB przez QUIC przechwytuje zdarzenia, które są zapisywane w dzienniku zdarzeń, aby uwzględnić transport QUIC w Podglądzie zdarzeń. Te dzienniki są przechowywane w poniższych ścieżkach z określonym identyfikatorem zdarzenia.

Path	Event ID
Dzienniki aplikacji i usług\Microsoft\Windows\SMBClient\Connectivity	30832
Dzienniki aplikacji i usług\Microsoft\Windows\SMBServer\Connectivity	1913

Kontrola dostępu klienta do SMB przez QUIC

System Windows Server 2025 obejmuje kontrolę dostępu klienta dla protokołu SMB za pośrednictwem quiC. Protokół SMB over QUIC jest alternatywą dla protokołu TCP i RDMA, która zapewnia bezpieczną łączność z serwerami plików brzegowych za pośrednictwem niezaufanych sieci. Kontrola dostępu klienta wprowadza więcej mechanizmów kontroli w celu ograniczenia dostępu do danych przy użyciu certyfikatów. Aby dowiedzieć się więcej, zobacz Jak działa kontrola dostępu klienta.

Alternatywne porty SMB

Za pomocą klienta SMB można nawiązać połączenie z alternatywnymi portami TCP, QUIC i RDMA zamiast ich domyślnych wartości IANA/IETF 445, 5445 i 443. Alternatywne porty można skonfigurować za pomocą zasad grupy lub programu PowerShell. Wcześniej serwer SMB w systemie Windows upoważnił połączenia przychodzące do korzystania z portu zarejestrowanego przez IANA TCP/445, podczas gdy klient SMB TCP zezwalał tylko na połączenia wychodzące z tym samym portem TCP. Teraz protokół SMB over QUIC umożliwia korzystanie z alternatywnych portów SMB, w których porty UDP/443 z mandatem QUIC są dostępne zarówno dla urządzeń serwerowych, jak i klienckich. Aby dowiedzieć się więcej, zobacz Konfigurowanie alternatywnych portów SMB.

Wzmacnianie reguł zapory sieciowej SMB

Wcześniej, gdy tworzono udział, reguły zapory SMB były automatycznie konfigurowane, aby włączyć grupę Udostępnianie plików i drukarek dla odpowiednich profili zapory. Teraz utworzenie udziału SMB w systemie Windows powoduje automatyczną konfigurację nowej grupy Udostępnianie plików i drukarek (restrykcyjne), które już nie zezwala na przychodzące porty NetBIOS 137-139. Aby dowiedzieć się więcej, zobacz Zaktualizowane reguły zapory.

SMB encryption

Wymuszanie szyfrowania SMB jest włączone we wszystkich wychodzących połączeniach klienckich SMB. Dzięki tej aktualizacji administratorzy mogą ustawić mandat, na który wszystkie serwery docelowe obsługują protokół SMB 3.x i szyfrowanie. Jeśli serwer nie ma tych możliwości, klient nie może nawiązać połączenia.

Ogranicznik szybkości uwierzytelniania protokołu SMB

Ogranicznik szybkości uwierzytelniania SMB ogranicza liczbę prób uwierzytelniania w określonym przedziale czasu. Ogranicznik szybkości uwierzytelniania SMB pomaga w walce z atakami siłowymi. Usługa dla serwera SMB używa ogranicznika szybkości uwierzytelniania, aby zaimplementować opóźnienie między każdym nieudanym uwierzytelnianiem NTLM lub PKU2U. Usługa jest domyślnie włączona. Aby dowiedzieć się więcej, zobacz Jak działa limitator szybkości uwierzytelniania SMB.

Wyłącz SMB NTLM

Począwszy od systemu Windows Server 2025, klient SMB obsługuje blokowanie NTLM dla zdalnych połączeń wychodzących. Previously, the Windows Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) negotiated Kerberos, NTLM, and other mechanisms with the destination server to determine a supported security package. Aby dowiedzieć się więcej, zobacz Blokuj połączenia NTLM w usłudze SMB.

Kontrolka dialektu SMB

Teraz można zarządzać dialektami SMB w systemie Windows. Po konfiguracji serwer SMB określa, które dialekty SMB 2 i SMB 3 negocjuje w porównaniu do poprzedniego działania, dopasowując wyłącznie najwyższy dialekt.

SMB signing

Podpisywanie SMB jest teraz domyślnie wymagane dla wszystkich połączeń wychodzących SMB. Previously, it was required only when you connected to shares named SYSVOL and NETLOGON on Active Directory DCs. Aby dowiedzieć się więcej, zobacz Jak działa podpisywanie.

Remote Mailslot

Protokół Remote Mailslot jest domyślnie wyłączony dla protokołu SMB i dla użycia protokołu DC Locator z usługą Active Directory. Mailslot zdalny może być wycofany w nowszej wersji. Aby dowiedzieć się więcej, zobacz Funkcje usunięte lub nie są już opracowywane w systemie Windows Server.

Wzmacnianie zabezpieczeń usług routingu i dostępu zdalnego

Domyślnie nowe instalacje usług routingu i dostępu zdalnego (RRAS) nie akceptują połączeń sieci VPN opartych na PPTP i L2TP. Nadal można włączyć te protokoły, jeśli to konieczne. Połączenia sieci VPN oparte na protokołach SSTP i IKEv2 są nadal akceptowane bez żadnych zmian.

Istniejące konfiguracje zachowują swoje zachowanie. Jeśli na przykład uruchomisz system Windows Server 2019 i zaakceptujesz połączenia PPTP i L2TP, a następnie uaktualnisz system Windows Server 2025 przy użyciu uaktualnienia w miejscu, połączenia oparte na L2TP i PPTP są nadal akceptowane. Ta zmiana nie ma wpływu na systemy operacyjne klienta systemu Windows. Aby dowiedzieć się więcej na temat ponownego włączania protokołów PPTP i L2TP, zobacz Konfigurowanie protokołów sieci VPN.

Zmiana domyślnego protokołu kluczowania IPsec

Domyślne moduły kluczy zostały zmienione na IKEv1 i IKEv2 dla połączeń IPsec uwierzytelnionych przy użyciu certyfikatów maszyny. W przypadku innych metod uwierzytelniania domyślne AuthIP i IKEv1 pozostają. Dotyczy to klientów systemów Windows Server 2025 i Windows 11 24H2. In the registry path HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters, the IpsecRestoreLegacyKeyMod entry with a value of 0 utilizes the new sequence, IKEv2 and IKEv1. A value of 1 utilizes the previous sequence, AuthIP and IKEv1. Aby przywrócić poprzednie zachowanie, dodaj następujący klucz rejestru w systemach przy użyciu nowej domyślnej sekwencji protokołu kluczy. Aby zmiany zaczęły obowiązywać, wymagany jest ponowny rozruch.

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1

Funkcja Hyper-V, sztuczna inteligencja i wydajność

W poniższych sekcjach omówiono funkcje Hyper-V, sztuczną inteligencję i wydajność.

Przyspieszona sieć (wersja zapoznawcza)

Przyspieszona sieć (AccelNet) upraszcza zarządzanie wirtualizacją SR-IOV (single root I/O virtualization) dla maszyn wirtualnych hostowanych w klastrach Windows Server 2025. Ta funkcja używa ścieżki danych SR-IOV o wysokiej wydajności, aby zmniejszyć opóźnienia, zakłócenia i wykorzystanie procesora CPU. AccelNet zawiera również warstwę zarządzania, która obsługuje sprawdzanie wymagań wstępnych, konfigurację hosta i ustawienia wydajności maszyny wirtualnej. Aby dowiedzieć się więcej, zobacz Przyspieszona Sieć (wersja zapoznawcza).

Zgodność dynamicznych procesorów

Tryb zgodności procesora dynamicznego jest aktualizowany w celu korzystania z nowych funkcji procesora w środowisku klastra. Dynamiczna zgodność procesora wykorzystuje maksymalną liczbę funkcji procesora dostępnych na wszystkich serwerach w klastrze. Tryb poprawia wydajność w porównaniu z poprzednią wersją zgodności procesora.

Można również użyć funkcji zgodności dynamicznej procesora, aby zapisać jego stan między hostami wirtualizacji korzystającymi z różnych generacji procesorów. Tryb zgodności procesora zapewnia teraz ulepszone, dynamiczne możliwości procesorów obsługujących translację adresów drugiego poziomu. Aby dowiedzieć się więcej na temat zaktualizowanego trybu zgodności, zobacz Tryb zgodności procesora dynamicznego.

Hyper-V Manager

When you create a new VM through Hyper-V Manager, Generation 2 is now set as the default option in the New Virtual Machine Wizard.

Translacja stronicowania wymuszona przez funkcję Hypervisor

Translacja stronicowania wymuszana przez funkcję Hypervisor (HVPT) to rozszerzenie zabezpieczeń wymuszające integralność translacji adresów liniowych. HVPT chroni krytyczne dane systemowe przed atakami typu write-what-where, gdzie atakujący zapisuje dowolną wartość w dowolnej lokalizacji, często w wyniku przepełnienia buforu. HVPT chroni tabele stron, które konfigurują krytyczne struktury danych systemowych. HVPT zawiera wszystko, co jest już zabezpieczone dzięki integralności kodu chronionego przez hypervisor (HVCI). Protokół HVPT jest domyślnie włączony, gdzie dostępna jest obsługa sprzętu. HVPT nie jest włączony, gdy system Windows Server działa jako gość na maszynie wirtualnej.

GPU partitioning

Fizyczne urządzenie GPU można udostępnić wielu maszynom wirtualnym przy użyciu partycjonowania procesora GPU. Zamiast przydzielać cały procesor GPU do jednej maszyny wirtualnej, partycjonowanie procesora GPU (GPU-P) przypisuje dedykowane ułamki procesora GPU do każdej maszyny wirtualnej. W przypadku Hyper-V GPU-P wysokiej dostępności, maszyna wirtualna GPU-P jest automatycznie uruchamiana na innym węźle klastra w przypadku nieplanowanego przestoju.

GPU-P Migracja na żywo zapewnia rozwiązanie do przenoszenia maszyny wirtualnej (na wypadek planowanego przestoju lub równoważenia obciążenia) z GPU-P do innego węzła, niezależnie od tego, czy jest on samodzielny, czy wchodzi w skład klastra. To learn more about GPU partitioning, see GPU partitioning.

Network ATC

Usługa Network ATC usprawnia wdrażanie konfiguracji sieci i zarządzanie nimi dla klastrów systemu Windows Server 2025. Usługa Network ATC używa podejścia opartego na zamierzeniach, w którym użytkownicy określają swoje cele, takie jak zarządzanie, obliczenia lub magazynowanie związane z kartą sieciową. Wdrożenie jest zautomatyzowane na podstawie zamierzonej konfiguracji.

Takie podejście skraca czas, złożoność i błędy związane z wdrażaniem sieci hosta. Zapewnia spójność konfiguracji w klastrze, a także eliminuje dryf konfiguracji. Aby dowiedzieć się więcej, zobacz Wdrażanie sieci hosta za pomocą Network ATC.

Scalability

W systemie Windows Server 2025 Hyper-V obsługuje teraz maksymalnie 4 petabajty pamięci i 2048 procesorów logicznych na hosta. Ten wzrost umożliwia zwiększenie skalowalności i wydajności zwirtualizowanych obciążeń.

System Windows Server 2025 obsługuje również do 240 TB pamięci i 2048 procesorów wirtualnych generacji 2, zapewniając większą elastyczność uruchamiania dużych obciążeń. Aby dowiedzieć się więcej, zobacz Planowanie Hyper-V w zakresie skalowalności w systemie Windows Server.

Workgroup clusters

Hyper-V Klastry grupy roboczej to specjalny typ klastrów przełączania awaryjnego Windows Server, gdzie węzły klastra Hyper-V nie są członkami domeny Active Directory, ale mają możliwość migracji maszyn wirtualnych w trybie na żywo w ramach klastra grupy roboczej.

Magazyn

W poniższych sekcjach opisano aktualizacje przechowywania.

Obsługa klonowania bloków

Usługa Dev Drive obsługuje teraz klonowanie bloków, począwszy od systemów Windows 11 24H2 i Windows Server 2025. Ponieważ Dev Drive używa formatu ReFS, obsługa klonowania bloków zapewnia znaczne korzyści dla wydajności podczas kopiowania plików. W przypadku klonowania bloków system plików może skopiować zakres bajtów plików dla aplikacji jako operację metadanych o niskich kosztach zamiast wykonywać kosztowne operacje odczytu i zapisu do bazowych danych fizycznych.

Rezultatem jest szybsze ukończenie kopiowania plików, zmniejszenie liczby operacji wejścia/wyjścia w podstawowym magazynie pamięci i zwiększenie pojemności magazynu dzięki umożliwieniu współdzielenia tych samych klastrów logicznych przez wiele plików. Aby dowiedzieć się więcej, zobacz Klonowanie bloków na ReFS.

Dev Drive

Usługa Dev Drive to wolumin magazynu, który ma na celu zwiększenie wydajności kluczowych obciążeń deweloperskich. Usługa Dev Drive korzysta z technologii ReFS i zawiera określone optymalizacje systemu plików w celu zapewnienia większej kontroli nad ustawieniami woluminu magazynu i zabezpieczeniami. Administratorzy mają teraz możliwość wyznaczania zaufania, konfigurowania ustawień programu antywirusowego i wykonywania kontroli administracyjnej nad dołączonymi filtrami. Aby dowiedzieć się więcej, zobacz Konfigurowanie dysku deweloperskiego w systemie Windows 11.

NVMe

NVMe to nowy standard dla szybkich dysków półprzewodnikowych. Wydajność magazynu NVMe jest zoptymalizowana w systemie Windows Server 2025. Rezultatem jest poprawa wydajności dzięki wzrostowi IOPS i zmniejszeniu wykorzystania procesora.

Kompresja repliki przechowywania

Kompresja Storage Replica zmniejsza ilość danych przesyłanych przez sieć podczas replikacji. Aby dowiedzieć się więcej o kompresji w usłudze Storage Replica, zobacz Omówienie usługi Storage Replica.

Dziennik ulepszony repliki magazynowej

Rozszerzony dziennik programu Storage Replica pomaga w implementacji logów, eliminując koszty wydajności związane z abstrakcją systemu plików. Poprawiono wydajność replikacji blokowej. Aby dowiedzieć się więcej, zobacz Ulepszony dziennik Repliki Magazynowej.

Deduplikacja i kompresja magazynu natywnego systemu plików ReFS

Deduplikacja i kompresja magazynu reFS to techniki służące do optymalizowania wydajności magazynowania zarówno pod kątem obciążeń statycznych, jak i aktywnych, takich jak serwery plików lub pulpity wirtualne. Aby dowiedzieć się więcej na temat deduplikacji i kompresji systemu plików ReFS, zobacz Optymalizacja pamięci masowej przy użyciu deduplikacji i kompresji ReFS w usłudze Azure Local.

Woluminy cienko przydzielane

Cienko provisionowane woluminy z funkcją Storage Spaces Direct to sposób na bardziej wydajne alokowanie zasobów magazynowych i unikanie kosztownego nadmiernego przydzielania poprzez alokowanie zasobów z puli tylko wtedy, gdy są potrzebne w klastrze. Można również przekonwertować woluminy stałe na woluminy cienko aprowizowane. Konwersja z woluminów stałych na woluminy alokowane elastycznie zwraca wszelkie nieużywane miejsce z powrotem do puli, aby mogły z niego korzystać inne woluminy. Aby dowiedzieć się więcej na temat woluminów alokacji cienkiej, zobacz Alokacja cienka w usłudze Storage.

Blok komunikatów serwera

Blok komunikatów serwera (SMB) jest jednym z najczęściej używanych protokołów w sieci. Protokół SMB zapewnia niezawodny sposób udostępniania plików i innych zasobów między urządzeniami w sieci. System Windows Server 2025 obejmuje obsługę kompresji SMB dla standardu branżowego algorytmu kompresji LZ4. LZ4 jest dodatkiem do istniejącej obsługi protokołu SMB dla XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 i PATTERN_V1.

Azure Arc i rozwiązanie hybrydowe

W poniższych sekcjach omówiono usługę Azure Arc i konfiguracje hybrydowe.

Uproszczona konfiguracja usługi Azure Arc

Konfiguracja usługi Azure Arc to funkcja na żądanie, więc jest instalowana domyślnie. Przyjazny dla użytkownika interfejs kreatora i ikona paska zadań na pasku zadań ułatwiają proces dodawania serwerów do usługi Azure Arc. Usługa Azure Arc rozszerza możliwości platformy Azure, dzięki czemu można tworzyć aplikacje i usługi, które mogą działać w różnych środowiskach. Te środowiska obejmują centra danych, brzegowe i wielochmurowe środowiska oraz zapewniają większą elastyczność. Aby dowiedzieć się więcej, zobacz Connect Windows Server machines to Azure through Azure Arc Setup.

Pay-as-you-go licensing

Opcja licencjonowania subskrypcji z płatnością zgodnie z użyciem usługi Azure Arc stanowi alternatywę dla tradycyjnego licencjonowania bezterminowego dla systemu Windows Server 2025. W przypadku opcji płatności zgodnie z rzeczywistym użyciem możesz wdrożyć urządzenie z systemem Windows Server, licencjonować je i płacić tylko za użycie. Ta funkcja jest ułatwiana za pośrednictwem usługi Azure Arc i rozliczana za pośrednictwem subskrypcji platformy Azure. Aby dowiedzieć się więcej, zobacz licencjonowanie usługi Azure Arc w modelu płatności zgodnie z użyciem.

Zarządzanie systemem Windows Server włączone przez usługę Azure Arc

Zarządzanie systemem Windows Server włączone przez usługę Azure Arc oferuje nowe korzyści klientom z licencjami systemu Windows Server z aktywnymi licencjami pakietu Software Assurance lub Windows Server, które są aktywnymi licencjami subskrypcji. System Windows Server 2025 ma następujące kluczowe korzyści:

• Centrum administracyjne systemu Windows w usłudze Azure Arc: integruje usługę Azure Arc z centrum administracyjnym systemu Windows, aby zarządzać wystąpieniami systemu Windows Server z poziomu portalu usługi Azure Arc. Ta integracja zapewnia ujednolicone środowisko zarządzania dla wystąpień systemu Windows Server, niezależnie od tego, czy działają lokalnie, w chmurze, czy na brzegu sieci.
• Remote Support: Offers customers with professional support the ability to grant just-in-time access with detailed execution transcripts and revocation rights.
• Ocena najlepszych praktyk: zbieranie i analiza danych serwera identyfikuje problemy i dostarcza wskazówek dotyczących rozwiązań i poprawy wydajności.
• konfiguracja usługi Azure Site Recovery: konfiguracja usługi Azure Site Recovery zapewnia ciągłość działania oraz zapewnia replikację i odporność danych na potrzeby obciążeń krytycznych.

Aby dowiedzieć się więcej na temat zarządzania systemem Windows Server włączonego przez usługę Azure Arc i dostępnych korzyści, zobacz Zarządzanie systemem Windows Server włączone przez usługę Azure Arc.

Software-Defined Networking

Software-Defined Networking (SDN) to podejście do sieci, za pomocą którego administratorzy sieci mogą zarządzać usługami sieciowymi za pośrednictwem abstrakcji funkcjonalności niższego poziomu. Sieć SDN umożliwia rozdzielenie płaszczyzny sterowania siecią, która zarządza siecią, z płaszczyzny danych, która obsługuje ruch. Ta separacja umożliwia zwiększenie elastyczności i możliwości programowania w zarządzaniu siecią. SDN zapewnia następujące korzyści w systemie Windows Server 2025:

• Network Controller: This control plane for SDN is now hosted directly as Failover Cluster services on the physical host machines. Użycie roli klastra eliminuje konieczność wdrażania maszyn wirtualnych, co upraszcza wdrażanie i zarządzanie oraz oszczędza zasoby.
• Tag-based segmentation: Administrators can use custom service tags to associate network security groups (NSGs) and VMs for access control. Zamiast określać zakresy adresów IP, administratorzy mogą teraz używać prostych etykiet objaśniających do tagowania maszyn wirtualnych obciążeń i stosować zasady zabezpieczeń na podstawie tych tagów. Tagi upraszczają proces zarządzania zabezpieczeniami sieci i eliminują konieczność zapamiętywania i ponownego wpisywania zakresów adresów IP. Aby dowiedzieć się więcej, zobacz Konfigurowanie sieciowych grup zabezpieczeń przy użyciu tagów w centrum administracyjnym systemu Windows.
• Domyślne zasady sieciowe w systemie Windows Server 2025: Te zasady wprowadzają opcje ochrony podobne do platformy Azure w grupach zabezpieczeń sieciowych dla obciążeń wdrożonych za pośrednictwem Centrum Administracyjnego systemu Windows. Zasady domyślne odrzucają cały dostęp przychodzący, umożliwiając selektywne otwieranie znanych portów przychodzących, zezwalając jednocześnie na pełny dostęp wychodzący z maszyn wirtualnych do obsługi obciążenia. Domyślne zasady sieciowe zapewniają, że maszyny wirtualne wykorzystywane do obciążeń są zabezpieczone od momentu utworzenia. Aby dowiedzieć się więcej, zobacz Use default network access policies on virtual machines on Azure Local (Używanie domyślnych zasad dostępu do sieci na maszynach wirtualnych na platformie Azure Lokalnie).
• SDN Multisite: This feature provides native layer 2 and layer 3 connectivity between applications across two locations without any extra components. Dzięki funkcji SDN Multisite aplikacje mogą bezproblemowo przenosić się bez konieczności ponownego konfigurowania aplikacji lub sieci. Oferuje również ujednolicone zarządzanie zasadami sieciowymi dla obciążeń, dzięki czemu nie trzeba aktualizować zasad, gdy maszyna wirtualna obciążenia przenosi się z jednej lokalizacji do innej. Aby dowiedzieć się więcej, zobacz Co to jest SDN Multisite?.
• zwiększona wydajność bram warstwy 3 SDN: bramy warstwy 3 osiągają większą przepływność i mniejsze cykle procesora CPU. Te ulepszenia są domyślnie włączone. Użytkownicy automatycznie uzyskują lepszą wydajność, gdy połączenie bramy SDN w warstwie 3 jest konfigurowane za pośrednictwem programu PowerShell lub Centrum administracyjnego systemu Windows.

Przenośność kontenerów Windows

Przenośność jest kluczowym aspektem zarządzania kontenerami i ma możliwość uproszczenia uaktualnień dzięki zastosowaniu zwiększonej elastyczności i zgodności kontenerów w systemie Windows.

Przenośność to funkcja systemu Windows Server, która umożliwia użytkownikom przenoszenie obrazów kontenerów i skojarzonych z nimi danych między różnymi hostami lub środowiskami bez konieczności wprowadzania żadnych modyfikacji. Użytkownicy mogą utworzyć obraz kontenera na jednym hoście, a następnie wdrożyć go na innym hoście bez konieczności martwienia się o problemy ze zgodnością. Aby dowiedzieć się więcej, zobacz Przenośność kontenerów.

Program niejawnych testerów systemu Windows Server

Windows Server Insider Program zapewnia wczesny dostęp do najnowszych wersji systemu operacyjnego Windows dla społeczności entuzjastów. Jako członek jesteś jednym z pierwszych, którzy wypróbują nowe pomysły i koncepcje opracowywane przez firmę Microsoft. Po zarejestrowaniu się jako członek możesz uczestniczyć w różnych kanałach wydań. Go to Start>Settings>Windows Update>Windows Insider Program.

Related content

dyskusje społeczności niejawnych testerów systemu Windows Server