Nyheter i Windows Server 2025

2025-03-06
Gäller för: ✅ Windows Server 2025

Den här artikeln beskriver några av de senaste utvecklingarna i Windows Server 2025, som har avancerade funktioner som förbättrar säkerhet, prestanda och flexibilitet. Med snabbare lagringsalternativ och möjligheten att integrera med hybridmolnmiljöer är det nu mer effektivt att hantera infrastrukturen. Windows Server 2025 bygger på den starka grunden för föregångaren och introducerar en rad innovativa förbättringar för att anpassa sig till dina behov.

Skrivbordsmiljö och uppgradering

Utforska uppgraderingsalternativ och skrivbordsmiljön.

Uppgradering på plats från Windows Server 2012 R2

Med Windows Server 2025 kan du uppgradera upp till fyra versioner åt gången. Du kan uppgradera direkt till Windows Server 2025 från Windows Server 2012 R2 och senare.

Skrivbordsgränssnitt

När du loggar in för första gången överensstämmer skrivbordsgränssnittsupplevelsen med stilen och utseendet på Windows 11.

Bluetooth

Nu kan du ansluta möss, tangentbord, headset, ljudenheter med mera via Bluetooth i Windows Server 2025.

DTrace

Windows Server 2025 är utrustad med dtrace som ett internt verktyg. DTrace är ett kommandoradsverktyg som gör det möjligt för användare att övervaka och felsöka systemets prestanda i realtid. Med DTrace kan du dynamiskt instrumentera både kernel- och användarutrymmeskoden utan att behöva ändra själva koden. Det här mångsidiga verktyget stöder en rad olika datainsamlings- och analystekniker, till exempel aggregeringar, histogram och spårning av händelser på användarnivå. Mer information finns i DTrace- för kommandoradshjälp och DTrace i Windows för andra funktioner.

E-post och konton

Nu kan du lägga till följande typer av konton i Windows Inställningar under Konton>e-post & konton för Windows Server 2025:

Microsoft Entra-ID
Microsoft-konto
Arbets- eller skolkonto

Domänanslutning krävs fortfarande för de flesta situationer.

Feedbackhub

Om du vill skicka feedback eller rapportera problem som uppstår när du använder Windows Server 2025 använder du Windows Feedback Hub. Ta med skärmbilder eller inspelningar av processen som orsakade problemet för att hjälpa oss att förstå din situation och dela förslag för att förbättra din Windows-upplevelse. Mer information finns i Utforska feedbackhubben.

Filkomprimering

Windows Server 2025 har en ny komprimeringsfunktion. För att komprimera ett objekt, högerklickar du och väljer Komprimera till. Den här funktionen stöder ZIP, 7zoch TAR komprimeringsformat med specifika komprimeringsmetoder för var och en.

Fästa(d)e appar

Det är nu tillgängligt att fästa dina mest använda appar via menyn Start och kan anpassas efter dina behov. Standardfästa appar är just nu:

Azure Arc-installation
Feedbackhub
Filutforskaren
Microsoft Edge
Serverhanteraren
Inställningar
Terminal
Windows PowerShell

Aktivitetshanteraren

Windows Server 2025 använder den moderna Task Manager-appen med Mica-material som överensstämmer med stilen i Windows 11.

Wi-Fi

Nu är det enklare att aktivera trådlösa funktioner eftersom funktionen trådlös LAN-tjänst nu är installerad som standard. Den trådlösa starttjänsten är inställd på manuell. Om du vill aktivera det kör du net start wlansvc i kommandotolken, Windows Terminal eller PowerShell.

Windows-terminal

Windows-terminalen, ett kraftfullt och effektivt multishell-program för kommandoradsanvändare, finns i Windows Server 2025. Sök efter Terminal i sökfältet.

WinGet

WinGet installeras som standard, vilket är ett kommandoradsverktyg för Windows Package Manager som tillhandahåller omfattande pakethanterarlösningar för installation av program på Windows-enheter. Mer information finns i Använd WinGet-verktyget för att installera och hantera program.

Avancerad säkerhet för flera lager

Lär dig mer om säkerhet i Windows 2025.

Hotpatch (förhandsversion)

Hotpatch är nu tillgängligt för Windows Server 2025-datorer som är anslutna till Azure Arc när Hotpatch har aktiverats i Azure Arc-portalen. Du kan använda Hotpatch för att tillämpa os-säkerhetsuppdateringar utan att starta om datorn. Mer information finns i Hotpatch.

Viktig

Azure Arc-aktiverad Hotpatch är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Microsoft Azure Previews för juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Credential Guard (skydd för autentiseringsuppgifter)

Från och med Windows Server 2025 är Credential Guard nu aktiverat som standard på enheter som uppfyller kraven. Mer information om Credential Guard finns i Configure Credential Guard.

Active Directory domänstjänster

De senaste förbättringarna av Active Directory Domain Services (AD DS) och Active Directory Lightweight Domain Services (AD LDS) introducerar en rad nya funktioner och funktioner som syftar till att optimera din domänhanteringsupplevelse:

32k databassidstorlek valfri funktion: Active Directory använder en Extensible Storage Engine (ESE) databas sedan det introducerades i Windows 2000 som använder en 8k databassidstorlek. Beslutet om 8k-arkitekturdesign resulterade i begränsningar genom hela Active Directory som dokumenteras i Active Directory-maxgränser: Skalbarhet. Ett exempel på den här begränsningen är ett Active Directory-objekt med en enda post, som inte får överstiga 8k-bytesstorlek. Att flytta till ett 32k-databassideformat ger en enorm förbättring i områden som påverkas av äldre begränsningar. Flervärdesattribut kan nu innehålla upp till cirka 3 200 värden, vilket är en ökning med en faktor på 2,6.

Du kan installera nya domänkontrollanter (DCs) med en 32k-sidig databas som använder 64-bitars LID (Long Value ID) och körs i 8k-sidläge för kompatibilitet med tidigare versioner. En uppgraderad DC fortsätter att använda sitt aktuella databasformat och 8k-sidor. Att flytta till en 32k-sidig databas görs på skogsomfattande basis och kräver att alla domänkontrollanter i skogen har en databas med 32 sidig kapacitet.
Active Directory-schemauppdateringar: Tre nya loggdatabasfiler introduceras som utökar Active Directory-schemat: sch89.ldf, sch90.ldfoch sch91.ldf. AD LDS-motsvarande schemauppdateringar finns i MS-ADAM-Upgrade3.ldf. Mer information om tidigare schemauppdateringar finns i Windows Server Active Directory-schemauppdateringar.
Active Directory-objektreparation: Företagsadministratörer kan nu reparera objekt med de saknade kärnattributen SamAccountType och ObjectCategory. Företagsadministratörer kan återställa attributet LastLogonTimeStamp för ett objekt till den aktuella tiden. Dessa åtgärder utförs via en ny RootDSE förändringsfunktion på det berörda objektet som heter fixupObjectState.
Channel Binding Audit Support: Nu kan du aktivera händelser 3074 och 3075 för LDAP-kanalbindning (Lightweight Directory Access Protocol). När kanalbindningsprincipen ändras till en säkrare inställning kan en administratör identifiera enheter i miljön som inte stöder eller misslyckas med kanalbindning. Dessa granskningshändelser är också tillgängliga i Windows Server 2022 och senare via KB4520412.
förbättringar av DC-platsalgoritmen: DC-identifieringsalgoritmen ger nya funktioner med förbättringar av mappning av korta domännamn i NetBIOS-stil till domännamn i DNS-stil. Mer information finns i Om att hitta domänkontrollanter i Windows och Windows Server.

Not

Windows använder inte mailslots under DC-upptäcktsoperationer eftersom Microsoft har meddelat utfasning av WINS och mailslots för dessa legacyteknologier.
Funktionsnivåer för skogar och domäner: Den nya funktionsnivån används för allmän stödbarhet och krävs för den nya funktionen för databassidans storlek på 32k. Den nya funktionsnivån motsvarar värdet för DomainLevel 10 och ForestLevel 10 för obevakade installationer. Microsoft har inga planer på att eftermontera funktionsnivåer för Windows Server 2019 och Windows Server 2022. Information om hur du utför en obevakad befordran och degradering av en domänkontrollant finns i DCPROMO-svarsfilsyntax för obevakad befordran och degradering av domänkontrollanter.

API:et DsGetDcName stöder också den nya flaggan DS_DIRECTORY_SERVICE_13_REQUIRED som möjliggör att hitta domänkontrollanter som kör Windows Server 2025. Du kan lära dig mer om funktionsnivåer i följande artiklar:
Not

Nya Active Directory-skogar eller AD LDS-konfigurationsuppsättningar måste ha en funktionsnivå för Windows Server 2016 eller senare. Befordran av en Active Directory- eller AD LDS-replik kräver att den befintliga domänen eller konfigurationsuppsättningen redan körs med en funktionell nivå i Windows Server 2016 eller senare.

Microsoft rekommenderar att alla kunder börjar planera nu för att uppgradera sina Active Directory- och AD LDS-servrar till Windows Server 2022 inför nästa version.
Förbättrade algoritmer för Namn/SID-sökningar: LSA-namn (Local Security Authority) och SID Lookup-vidarebefordran mellan datorkonton använder inte längre den äldre Netlogon-säkra kanalen. Kerberos-autentisering och DC-positioneraralgoritmen används i stället. För att upprätthålla kompatibiliteten med äldre operativsystem är det fortfarande möjligt att använda netlogon-säker kanal som reservalternativ.
Förbättrad säkerhet för konfidentiella attribut: DCs- och AD LDS-instanser tillåter endast att LDAP lägger till, söker efter och ändrar åtgärder som omfattar konfidentiella attribut när anslutningen krypteras.
Förbättrad säkerhet för standardlösenord för datorkonton: Active Directory använder nu standardlösenord för datorkonton som genereras slumpmässigt. Windows 2025 DCs blockerar inställningen av datorkontolösenord till standardlösenordet för datorkontots namn.

Om du vill styra det här beteendet aktiverar du grupprincipobjektinställningen (GPO) Domänkontrollant: Neka inställning av standardlösenord för datorkonto finns i Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ.

Verktyg som Active Directory Administrationscenter (ADAC), Active Directory Användare och Datorer (ADUC), net computeroch dsmod respekterar också detta nya beteende. Både ADAC och ADUC tillåter inte längre skapande av ett pre-Windows 2000-konto.
sv-SE: Kerberos PKINIT-stöd för kryptografisk flexibilitet: Implementeringen av protokollet för Kerberos offentlig nyckelkryptografi för initial autentisering (PKINIT) har uppdaterats för att möjliggöra kryptografisk flexibilitet genom att stödja fler algoritmer och ta bort hårdkodade algoritmer.
Kerberos-ändringar för algoritmer som används för biljettbeviljande biljetter: Kerberos Distribution Center utfärdar inte längre biljettbeviljande biljetter med HJÄLP av RC4-kryptering, till exempel RC4-HMAC(NT).
Kerberos-ändringar för konfiguration av krypteringstyper som stöds: Kerberos respekterar inte längre den äldre registernyckeln REG_DWORD SupportedEncryptionTypes som finns i sökvägen HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters, Microsoft rekommenderar att du använder en grupprincip i stället. Mer information om grupprincipinställningarna finns i Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos.
LAN Manager GPO-inställning: GPO-inställningen Nätverkssäkerhet: Lagra inte LAN Manager-hashvärdet vid nästa lösenordsändring inte längre finns och gäller inte för nya versioner av Windows.
LDAP-kryptering som standard: All LDAP-klientkommunikation efter en SASL-bindning (Simple Authentication and Security Layer) använder LDAP-tätning som standard. Mer information om SASL finns i SASL-autentisering.
LDAP-stöd för TLS (Transport Layer Security) 1.3: LDAP använder den senaste SCHANNEL-implementeringen och stöder TLS 1.3 för LDAP över TLS-anslutningar. Att använda TLS 1.3 eliminerar föråldrade kryptografiska algoritmer och förbättrar säkerheten för äldre versioner. TLS 1.3 syftar till att kryptera så mycket av handskakningen som möjligt. För mer information, se Protocols in TLS/SSL (Schannel SSP) och TLS Cipher Suites i Windows Server 2022.
beteende för fjärrproceduranrop (RPC) i Sam (Legacy Security Account Manager): Säkra protokoll som Kerberos är det bästa sättet att ändra domänanvändarlösenord. På domänkontrollanter accepteras som standard den senaste SAM RPC-metoden för lösenordsändring SamrUnicodeChangePasswordUser4 med hjälp av Advanced Encryption Standard (AES) när den anropas på distans. Följande äldre SAM RPC-metoder blockeras som standard när de anropas via fjärranslutning:
För domänanvändare som är medlemmar i gruppen skyddade användare och för lokala konton på domänmedlemsdatorer blockeras alla fjärrlösenordsändringar via det äldre SAM RPC-gränssnittet som standard, inklusive SamrUnicodeChangePasswordUser4.

Om du vill styra det här beteendet använder du följande GPO-inställning:

Datorkonfiguration>Administrativa mallar>System>Security Account Manager>Konfigurera princip för SAM-ändring av RPC-metoder för lösenord
Stöd för icke-enhetlig minnesåtkomst (NUMA): AD DS drar nu nytta av NUMA-kompatibel maskinvara med hjälp av processorer i alla processorgrupper. Tidigare använde Active Directory endast processorer i grupp 0. Active Directory kan expandera bortom 64 kärnor.
prestandaräknare: Övervakning och felsökning av prestanda för följande räknare är nu tillgängliga:
- DC-lokaliserare: Räknare specifika för klienter och DC:er är tillgängliga.
- LSA-sökningar: Namn och SID-sökningar via LsaLookupNames, LsaLookupSidsoch motsvarande API:er. Dessa räknare är tillgängliga i både klient- och serverversioner.
- LDAP-klient: Finns i Windows Server 2022 och senare via uppdateringen KB 5029250.
Prioritetsordning för replikering: Administratörer kan nu öka den systemberäknade replikeringsprioriteten med en viss replikeringspartner för en viss namngivningskontext. Den här funktionen ger större flexibilitet när det gäller att konfigurera replikeringsordningen för att hantera specifika scenarier.

Delegerat hanterat tjänstkonto

Den här nya typen av konto möjliggör migrering från ett tjänstkonto till ett delegerat hanterat tjänstkonto (dMSA). Den här kontotypen levereras med hanterade och helt slumpmässiga nycklar för att säkerställa minimala programändringar medan de ursprungliga lösenorden för tjänstkontot är inaktiverade. Mer information finns i översikten över delegerade hanterade tjänstkonton.

Lösenordslösning för lokal Windows-administratör

Windows Local Administrator Password Solution (LAPS) hjälper organisationer att hantera lokala administratörslösenord på sina domänanslutna datorer. Det genererar automatiskt unika lösenord för varje dators lokala administratörskonto. Den lagrar dem sedan säkert i Active Directory och uppdaterar dem regelbundet. Lösenord som genereras automatiskt bidrar till att förbättra säkerheten. De minskar risken för att angripare får åtkomst till känsliga system med hjälp av komprometterade eller lätt att gissa lösenord.

Flera funktioner som är nya för Microsoft LAPS introducerar följande förbättringar:

Ny automatisk kontohantering: IT-administratörer kan nu enkelt skapa ett hanterat lokalt konto. Med den här funktionen kan du anpassa kontonamnet och aktivera eller inaktivera kontot. Du kan till och med randomisera kontonamnet för förbättrad säkerhet. Uppdateringen innehåller även förbättrad integrering med befintliga lokala kontohanteringsprinciper från Microsoft. Mer information om den här funktionen finns i windows LAPS-kontohanteringslägen.
Ny detektering av systemavbildningsåterställning: Windows LAPS identifierar nu när en återställning av systemavbildning inträffar. Om en återställning sker kanske lösenordet som lagras i Active Directory inte längre matchar lösenordet som lagras lokalt på enheten. Återställningar kan resultera i ett skadat tillstånd. I det här fallet kan IT-administratören inte logga in på enheten med hjälp av det bevarade Windows LAPS-lösenordet.

För att åtgärda det här problemet har en ny funktion lagts till som innehåller ett Active Directory-attribut som heter msLAPS-CurrentPasswordVersion. Det här attributet innehåller en slumpmässig globalt unik identifierare (GUID) som skrivs av Windows LAPS varje gång ett nytt lösenord sparas i Active Directory och sparas lokalt. Under varje bearbetningscykel efterfrågas GUID som lagras i msLAPS-CurrentPasswordVersion och jämförs med den lokalt bevarade kopian. Om de skiljer sig roteras lösenordet omedelbart.

Om du vill aktivera den här funktionen kör du den senaste versionen av cmdleten Update-LapsADSchema. Windows LAPS identifierar sedan det nya attributet och börjar använda det. Om du inte kör den uppdaterade versionen av cmdleten Update-LapsADSchema loggar Windows LAPS en 10108-varningshändelse i händelseloggen men fortsätter att fungera normalt i alla andra avseenden.

Inga principinställningar används för att aktivera eller konfigurera den här funktionen. Funktionen aktiveras alltid när det nya schemaattributet har lagts till.
Ny lösenfras: IT-administratörer kan nu använda en ny funktion i Windows LAPS som möjliggör generering av mindre komplexa lösenfraser. Ett exempel är en lösenfras som EatYummyCaramelCandy. Den här frasen är lättare att läsa, komma ihåg och skriva jämfört med ett traditionellt lösenord som V3r_b4tim#963?.

Med den här nya funktionen kan du konfigurera principinställning PasswordComplexity för att välja en av tre ordlistor för lösenfraser. Alla listor ingår i Windows och kräver ingen separat nedladdning. En ny principinställning med namnet PassphraseLength styr antalet ord som används i lösenfrasen.

När du skapar en lösenfras väljs det angivna antalet ord slumpmässigt från den valda ordlistan och sammanfogas. Den första bokstaven i varje ord är versaliserad för att förbättra läsbarheten. Den här funktionen har också fullt stöd för säkerhetskopiering av lösenord till antingen Active Directory eller Microsoft Entra ID.

Lösenfrasens ordlistor som används i de tre nya PasswordComplexity lösenfrasinställningarna kommer från artikeln Electronic Frontier Foundation Deep Dive: EFF:s nya ordlistor för slumpmässiga lösenfraser. Windows LAPS-lösenfras-ordlistor är licensierad under CC-BY-3.0-attributionslicensen och är tillgänglig för nedladdning.

Not

Windows LAPS tillåter inte anpassning av de inbyggda ordlistorna eller användningen av kundkonfigurerade ordlistor.
Förbättrad läsbarhetsordlista: Windows LAPS introducerar en ny PasswordComplexity inställning som gör det möjligt för IT-administratörer att skapa mindre komplexa lösenord. Du kan använda den här funktionen för att anpassa LAPS till att använda alla fyra teckenkategorierna (stora bokstäver, små bokstäver, siffror och specialtecken) likt den befintliga komplexitetsinställningen för 4. Med den nya inställningen 5utesluts de mer komplexa tecknen för att förbättra lösenordsläsbarheten och minimera förvirringen. Till exempel används aldrig siffran 1 och bokstaven jag med den nya inställningen.

När PasswordComplexity har konfigurerats för att 5görs följande ändringar i standarduppsättningen för lösenordsordlistetecken:
- Använd inte: Bokstäverna I, O, Q, l, o
- Använd inte: Siffrorna 0, 1
- Använd inte: Specialtecken ,, ., &, {, }, [, ], (, ), ;
- Använd: Specialtecken :, =, ?, *
Snapin-modulen ADUC (via Microsoft Management Console) har nu en förbättrad Windows LAPS-flik. Windows LAPS-lösenordet visas nu i ett nytt teckensnitt som förbättrar läsbarheten när det visas i oformaterad text.
stöd för åtgärder efter autentisering för att avsluta enskilda processer: Ett nytt alternativ läggs till i grupprincipinställningen efter autentiseringsåtgärder (PAA), Reset the password, sign out the managed account, and terminate any remaining processes, som finns i Datorkonfiguration>Administrativa mallar>System>LAPS>åtgärder efter autentisering.

Det här nya alternativet är ett tillägg till föregående alternativ, Reset the password and log off the managed account. Efter konfigurationen meddelar PAA och avslutar sedan interaktiva inloggningssessioner. Den räknar upp och avslutar alla återstående processer som fortfarande körs under den lokala kontoidentiteten som hanteras av Windows LAPS. Inget meddelande föregår den här uppsägningen.

Expansionen av loggningshändelser under körningen av PAA ger djupare insikter i operationen.

Mer information om Windows LAPS finns i Vad är Windows LAPS?.

OpenSSH

I tidigare versioner av Windows Server krävde OpenSSH-anslutningsverktyget manuell installation före användning. OpenSSH-komponenten på serversidan installeras som standard i Windows Server 2025. Serverhanterarens användargränssnitt innehåller också ett ettstegsalternativ under Fjärr-SSH-åtkomst som aktiverar eller inaktiverar sshd.exe-tjänsten. Du kan också lägga till användare i gruppen OpenSSH-användare för att tillåta eller begränsa åtkomsten till dina enheter. Mer information finns i Översikt över OpenSSH för Windows.

Säkerhetsbaslinje

Genom att implementera en anpassad säkerhetsbaslinje kan du upprätta säkerhetsåtgärder redan från början för din enhets- eller VM-roll baserat på den rekommenderade säkerhetsstatusen. Den här baslinjen är utrustad med mer än 350 förkonfigurerade Windows-säkerhetsinställningar. Du kan använda inställningarna för att tillämpa och tillämpa specifika säkerhetsinställningar som överensstämmer med de metodtips som rekommenderas av Microsoft och branschstandarder. Mer information finns i OSConfig-översikt.

Virtualiseringsbaserade säkerhetskapslingar

En virtualiseringsbaserad säkerhetsenklav (VBS) är en programvarubaserad betrodd körningsmiljö i adressutrymmet för ett värdprogram. VBS-enklaver använder underliggande VBS-teknik för att isolera den känsliga delen av ett program i en säker minnespartition. VBS-enklaver möjliggör isolering av känsliga arbetsbelastningar från både värdprogrammet och resten av systemet.

VBS-enklaver gör det möjligt för program att skydda sina hemligheter genom att ta bort behovet av att lita på administratörer och härda mot skadliga angripare. För mer information, läs Win32-referensen för VBS-enklaver.

Virtualiseringsbaserat säkerhetsnyckelskydd

Med VBS-nyckelskydd kan Windows-utvecklare skydda kryptografiska nycklar med hjälp av VBS. VBS använder virtualiseringstilläggsfunktionen i processorn för att skapa en isolerad miljö utanför det vanliga operativsystemet.

Vid användning isoleras VBS-nycklar i en säker process. Nyckelåtgärder kan utföras utan att exponera det privata nyckelmaterialet utanför det här utrymmet. I vila krypterar en TPM-nyckel privat nyckelmaterial som binder VBS-nycklar till enheten. Nycklar som skyddas på det här sättet kan inte dumpas från processminnet eller exporteras i oformaterad text från en användares dator.

VBS-nyckelskydd hjälper till att förhindra exfiltreringsattacker av alla angripare på administratörsnivå. VBS måste vara aktiverat för att använda nyckelskydd. Information om hur du aktiverar VBS finns i Aktivera minnesintegritet.

Skyddad anslutning

I följande avsnitt beskrivs säkerhet för anslutningar.

Säker certifikathantering

Sökning eller hämtning av certifikat i Windows stöder nu SHA-256-hashar, enligt beskrivningen i funktionerna CertFindCertificateInStore och CertGetCertificateContextProperty. TLS-serverautentisering är säkrare i Windows och kräver nu en minsta RSA-nyckellängd på 2 048 bitar. Mer information finns i TLS-serverautentisering: Utfasning av svaga RSA-certifikat.

SMB över QUIC

Funktionen SMB over QUIC server, som endast var tillgänglig i Windows Server Azure Edition, är nu tillgänglig i både Windows Server Standard- och Windows Server Datacenter-versioner. SMB via QUIC lägger till fördelarna med QUIC, som ger krypterade anslutningar med låg svarstid via Internet.

SMB över QUIC-aktiveringspolicy

Administratörer kan inaktivera SMB över QUIC-klienten via grupprincip och PowerShell. Om du vill inaktivera SMB via QUIC med hjälp av grupprincip ställer du in policyn Aktivera SMB över QUIC i följande sökvägar till Inaktiverad:

Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Workstation
Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Server

Om du vill inaktivera SMB över QUIC med hjälp av PowerShell kör du det här kommandot i en upphöjd PowerShell-prompt:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Granskning av SMB-signering och kryptering

Administratörer kan aktivera granskning av SMB-servern och -klienten för stöd för SMB-signering och kryptering. Om en icke-Microsoft-klient eller server saknar stöd för SMB-kryptering eller signering kan den identifieras. När en icke-Microsoft-enhet eller programvara säger att den stöder SMB 3.1.1, men inte stöder SMB-signering, bryter den mot SMB 3.1.1 förautenticeringens integritet protokollkravet.

Du kan konfigurera inställningar för SMB-signering och krypteringsgranskning med hjälp av grupprincip eller PowerShell. Du kan ändra dessa principer i följande gruppolicyvägar:

Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Server\Granskningsklient stöder inte kryptering
Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Server\Granskningsklient stöder inte signering
Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Workstation\Granskningsserver stöder inte kryptering
Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Workstation\Granskningsserver stöder inte signering

Om du vill utföra dessa ändringar med hjälp av PowerShell kör du dessa kommandon i en upphöjd prompt där $true aktiverar och $false inaktiverar dessa inställningar:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Händelseloggar för dessa ändringar lagras i följande Händelseloggen-sökvägar med sina specifika händelse-ID.

Sökväg	Händelse-ID
Program- och tjänstloggar\Microsoft\Windows\SMBClient\Audit	31998 31999
Program- och tjänstloggar\Microsoft\Windows\SMBServer\Audit	3021 3022

SMB över QUIC-granskning

Granskning av SMB-klientanslutningar över QUIC samlar in händelser som skrivs till en händelselogg, inklusive QUIC-transporten i Händelsevisaren. Dessa loggar lagras i följande sökvägar med deras specifika händelse-ID.

Sökväg	Händelse-ID
Program- och tjänstloggar\Microsoft\Windows\SMBClient\Connectivity	30832
Program- och tjänstloggar\Microsoft\Windows\SMBServer\Connectivity	1913

SMB över QUIC-klientåtkomstkontroll

Windows Server 2025 innehåller klientåtkomstkontroll för SMB via QUIC. SMB över QUIC är ett alternativ till TCP och RDMA som tillhandahåller säker anslutning till edge-filservrar över ej betrodda nätverk. Klientåtkomstkontroll introducerar fler kontroller för att begränsa åtkomsten till dina data med hjälp av certifikat. Mer information finns i Hur klientåtkomstkontroll fungerar.

Alternativa portar för SMB

Du kan använda SMB-klienten för att ansluta till alternativa TCP-, QUIC- och RDMA-portar i stället för deras IANA/IETF-standardvärden på 445, 5445 och 443. Du kan konfigurera alternativa portar via grupprincip eller PowerShell. Tidigare gav SMB-servern i Windows inkommande anslutningar i uppdrag att använda den IANA-registrerade porten TCP/445 medan SMB TCP-klienten endast tillät utgående anslutningar till samma TCP-port. Nu tillåter SMB via QUIC alternativa SMB-portar där QUIC-bemyndigade UDP/443-portar är tillgängliga för både server- och klientenheter. Mer information finns i Konfigurera alternativa SMB-portar.

Förstärkning av SMB-brandväggsregler

Tidigare, när en resurs skapades, konfigurerades SMB-brandväggsreglerna automatiskt för att aktivera gruppen fil- och skrivardelning för relevanta brandväggsprofiler. Nu resulterar skapandet av en SMB-resurs i Windows i att den nya gruppen för fil- och skrivardelning (restriktiv) automatiskt konfigureras. Denna grupp tillåter inte längre inkommande NetBIOS-portar 137-139. Mer information finns i Uppdaterade brandväggsregler.

SMB-kryptering

Framtvinga SMB-kryptering är aktiverat för alla utgående SMB-klientanslutningar. Med den här uppdateringen kan administratörer ange ett krav att alla målservrar måste stödja SMB 3.x och kryptering. Om en server saknar dessa funktioner kan klienten inte upprätta en anslutning.

Gräns för SMB-autentiseringshastighet

SMB-autentiseringshastighetsbegränsningen begränsar antalet autentiseringsförsök inom en viss tidsperiod. SMB-autentiseringshastighetsbegränsaren hjälper till att bekämpa råstyrkeautentiseringsattacker. Tjänsten för SMB-servern använder autentiseringshastighetsbegränsaren för att implementera en fördröjning mellan varje misslyckat NTLM- eller PKU2U-baserat autentiseringsförsök. Tjänsten är aktiverad som standard. För mer information, se Hur SMB-autentiseringsbegränsaren fungerar.

Inaktivera SMB NTLM

Från och med Windows Server 2025 stöder SMB-klienten NTLM-blockering för fjärrutgående anslutningar. Tidigare förhandlade Windows Simple och Protected GSSAPI Negotiation Mechanism (SPNEGO) med målservern om Kerberos, NTLM och andra mekanismer för att fastställa vilket säkerhetspaket som stöds. För att lära dig mer, se Blockera NTLM-anslutningar på SMB.

SMB-dialektkontroll

Nu kan du hantera SMB-dialekter i Windows. När den konfigureras avgör SMB-servern vilka SMB 2- och SMB 3-dialekter den förhandlar om jämfört med det tidigare beteendet och matchar endast den högsta dialekten.

SMB-signering

SMB-signering krävs nu som standard för alla utgående SMB-anslutningar. Tidigare behövdes det bara när du anslöt till resurser med namnet SYSVOL och NETLOGON- på Active Directory-domänkontrollanter. Mer information finns i Så här fungerar signering.

Fjärrpostfack

Protokollet Remote Mailslot är inaktiverat som standard för SMB och för DC Locator-protokollanvändning med Active Directory. Remote Mailslot kan tas bort i en senare version. Mer information finns i funktioner som har tagits bort eller inte längre utvecklats i Windows Server.

Härdning av routnings- och fjärråtkomsttjänster

Som standard accepterar inte nya RRAS-installationer (Routing and Remote Access Services) VPN-anslutningar baserat på PPTP och L2TP. Du kan fortfarande aktivera dessa protokoll om det behövs. VPN-anslutningar baserade på SSTP och IKEv2 godkänns fortfarande utan någon ändring.

Befintliga konfigurationer behåller sitt beteende. Om du till exempel kör Windows Server 2019 och accepterar PPTP- och L2TP-anslutningar och uppgraderar till Windows Server 2025 med hjälp av en uppgradering på plats, godkänns fortfarande anslutningar baserade på L2TP och PPTP. Den här ändringen påverkar inte Windows-klientoperativsystem. Mer information om hur du återanvänder PPTP och L2TP finns i Konfigurera VPN-protokoll.

Standardändring av IPsec-nyckelningsprotokoll

Standardmodulerna för nyckelning har ändrats till IKEv1- och IKEv2 för IPsec-anslutningar autentiserade med datorcertifikat. För andra autentiseringsmetoder finns standard-AuthIP och IKEv1 kvar. Detta gäller både Windows Server 2025- och Windows 11 24H2-klienter. I registersökvägen HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parametersanvänder posten IpsecRestoreLegacyKeyMod med värdet 0 den nya sekvensen IKEv2 och IKEv1. Värdet 1 använder föregående sekvens, AuthIP och IKEv1. Om du vill återgå till det tidigare beteendet lägger du till följande registernyckel på system med hjälp av den nya standardnyckelprotokollsekvensen. En omstart krävs för att ändringarna ska börja gälla.

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1

Hyper-V, AI och prestanda

I följande avsnitt beskrivs Hyper-V, AI och prestanda.

Accelererat nätverk (förhandsversion)

Accelererat nätverk (AccelNet) förenklar hanteringen av enstaka rot-I/O-virtualisering (SR-IOV) för virtuella datorer (VM) som finns i Windows Server 2025-kluster. Den här funktionen använder den högpresterande SR-IOV-datasökvägen för att minska svarstiden, jitter och CPU-användningen. AccelNet innehåller också ett hanteringslager som hanterar kravkontroll, värdkonfiguration och prestandainställningar för virtuella datorer. Mer information finns i Accelererat nätverk (förhandsversion).

Dynamisk processorkompatibilitet

Kompatibilitetsläget för den dynamiska processorn uppdateras för att dra nytta av nya processorfunktioner i en kluster-miljö. Dynamisk processorkompatibilitet använder det maximala antalet processorfunktioner som är tillgängliga på alla servrar i ett kluster. Läget förbättrar prestanda jämfört med den tidigare versionen av processorkompatibiliteten.

Du kan också använda dynamisk processorkompatibilitet för att spara dess tillstånd mellan virtualiseringsvärdar som använder olika generationer av processorer. Processorkompatibilitetsläget ger nu förbättrade, dynamiska funktioner för processorer som kan översätta adresser på andra nivån. Mer information om det uppdaterade kompatibilitetsläget finns i dynamiskt processorkompatibilitetsläge.

Hyper-V Chef

När du skapar en ny virtuell dator via Hyper-V Manager anges nu generation 2- som standardalternativ i guiden Ny virtuell dator.

Hypervisor-påbjuden sidöversättning

Hypervisor-framtvingad sidöversättning (HVPT) är en säkerhetsförbättring för att säkerställa integriteten för linjära adressöversättningar. HVPT skyddar kritiska systemdata från write-what-where-attacker, där angriparen skriver ett godtyckligt värde till en godtycklig plats, ofta som ett resultat av ett buffertspill. HVPT skyddar sidtabeller som konfigurerar kritiska systemdatastrukturer. HVPT innehåller allt som redan skyddas med hypervisorskyddad kodintegritet (HVCI). HVPT är aktiverat som standard, där maskinvarustöd är tillgängligt. HVPT är inte aktiverat när Windows Server körs som gäst på en virtuell dator.

GPU-partition

Du kan dela en fysisk GPU-enhet med flera virtuella datorer med hjälp av GPU-partitionering. I stället för att allokera hela GPU:n till en enda virtuell dator tilldelar GPU-partitionering (GPU-P) dedikerade bråktal av GPU:n till varje virtuell dator. Med Hyper-V GPU-P hög tillgänglighet aktiveras en GPU-P virtuell dator automatiskt på en annan klusternod om det finns oplanerad stilleståndstid.

GPU-P Direktmigrering tillhandahåller en lösning för att flytta en virtuell dator (för planerad stilleståndstid eller belastningsutjämning) med GPU-P till en annan nod oavsett om den är fristående eller klustrad. Mer information om GPU-partitionering finns i GPU-partitionering.

Nätverks-ATC

Nätverks-ATC effektiviserar distributionen och hanteringen av nätverkskonfigurationer för Windows Server 2025-kluster. Network ATC använder en avsiktsbaserad metod där användarna anger sina önskade avsikter, till exempel hantering, beräkning eller lagring för ett nätverkskort. Distributionen automatiseras baserat på den avsedda konfigurationen.

Den här metoden minskar tid, komplexitet och fel som är associerade med värdnätverksdistribution. Det säkerställer konfigurationskonsekvens i klustret och eliminerar även konfigurationsavvikelsen. Mer information finns i Distribuera värdnätverk med Network ATC.

Skalbarhet

Med Windows Server 2025 stöder Hyper-V nu upp till 4 petabyte minne och 2 048 logiska processorer per värd. Den här ökningen ger bättre skalbarhet och prestanda för virtualiserade arbetsbelastningar.

Windows Server 2025 stöder också upp till 240 TB minne och 2 048 virtuella processorer för virtuella datorer i generation 2, vilket ger ökad flexibilitet vid körning av stora arbetsbelastningar. För att få veta mer, se Planera för Hyper-V skalbarhet i Windows Server.

Arbetsgruppskluster

Hyper-V arbetsgruppskluster är en särskild typ av Windows Server-redundanskluster där Hyper-V klusternoder inte är medlemmar i en Active Directory-domän med möjlighet att direktmigrera virtuella datorer i ett arbetsgruppskluster.

Lagring

I följande avsnitt beskrivs lagringsuppdateringar.

Stöd för blockkloning

Dev Drive stöder nu blockkloning från och med Windows 11 24H2 och Windows Server 2025. Eftersom Dev Drive använder ReFS-formatet (Resilient File System) ger stöd för blockkloning betydande prestandafördelar när du kopierar filer. Med blockkloning kan filsystemet kopiera ett antal filbyte för ett program som en billig metadataåtgärd i stället för att utföra dyra läs- och skrivåtgärder till underliggande fysiska data.

Resultatet är snabbare slutförande av filkopiering, minskad I/O till den underliggande lagringen och förbättrad lagringskapacitet genom att flera filer kan dela samma logiska kluster. Mer information finns i Blockera kloning på ReFS.

Dev Drive

Dev Drive är en lagringsvolym som syftar till att förbättra prestanda för viktiga utvecklararbetsbelastningar. Dev Drive använder ReFS-teknik och innehåller specifika filsystemoptimeringar för att ge större kontroll över inställningar och säkerhet för lagringsvolymer. Administratörer har nu möjlighet att ange förtroende, konfigurera antivirusinställningar och utöva administrativ kontroll över anslutna filter. Mer information finns i Konfigurera en Dev Drive på Windows 11.

NVMe

NVMe är en ny standard för snabba halvledarenheter. NVMe-lagringsprestanda optimeras i Windows Server 2025. Resultatet är bättre prestanda med en ökning av IOPS och en minskning av CPU-användningen.

Komprimering av Storage Replica

Komprimering av Storage Replica minskar mängden data som överförs över nätverket under replikeringen. Mer information om komprimering i Storage Replica finns i Översikt över Storage Replica.

Utökad logg för Storage Replica

Förbättrad logg för Storage Replica hjälper till med loggimplementering för att eliminera prestandakostnaderna som är förknippade med filsystemets abstraktioner. Prestanda för blockreplikering har förbättrats. Mer information finns i Förbättrad logg för lagringsreplikering.

ReFS-intern lagringsdeduplicering och komprimering

ReFS interna lagringsdeduplicering och komprimering är tekniker som används för att optimera lagringseffektiviteten för både statiska och aktiva arbetsbelastningar, till exempel filservrar eller virtuella skrivbord. Mer information om ReFS-deduplicering och komprimering finns i Optimera lagring med ReFS-deduplicering och komprimering i Azure Local.

Tunn provisionerade volymer

Tunna etablerade volymer med Lagringsdirigering är ett sätt att allokera lagringsresurser mer effektivt och undvika kostsam överbeläggning genom att endast allokera från poolen när det behövs i ett kluster. Du kan också konvertera fasta till tunna provisionerade volymer. Om du konverterar från fasta till tunna etablerade volymer returneras all oanvänd lagring tillbaka till poolen så att andra volymer kan användas. Mer information om tunn provisionerade volymer finns i lagringsbesparande provisionering.

Blockering av servermeddelande

Server Message Block (SMB) är ett av de mest använda protokollen i nätverk. SMB är ett tillförlitligt sätt att dela filer och andra resurser mellan enheter i nätverket. Windows Server 2025 innehåller SMB-komprimeringsstöd för branschstandardens LZ4-komprimeringsalgoritm. LZ4 är utöver SMB:s befintliga stöd för XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 och PATTERN_V1.

Azure Arc och hybrid

I följande avsnitt beskrivs Azure Arc- och hybridkonfigurationer.

Förenklad Azure Arc-installation

Azure Arc-installationen är en funktion på begäran, så den installeras som standard. Ett användarvänligt guidegränssnitt och en systemfältsikon i aktivitetsfältet hjälper till att underlätta processen med att lägga till servrar i Azure Arc. Azure Arc utökar funktionerna i Azure-plattformen så att du kan skapa program och tjänster som kan fungera i olika miljöer. Dessa miljöer omfattar datacenter, gränsen och miljöer med flera moln och ger ökad flexibilitet. Mer information finns i Ansluta Windows Server-datorer till Azure via Azure Arc-installationsprogrammet.

Licensiering på löpande räkning

Licensieringsalternativet betala per användning i Azure Arc är ett alternativ till den konventionella eviga licensieringen för Windows Server 2025. Med alternativet betala per användning kan du distribuera en Windows Server-enhet, licensiera den och bara betala för så mycket som du använder. Den här funktionen underlättas via Azure Arc och faktureras via din Azure-prenumeration. Mer information finns om Azure Arc-licensiering med betalningsmodell efter användning.

Windows Server Management aktiverat av Azure Arc

Windows Server Management som aktiveras av Azure Arc erbjuder nya fördelar för kunder med Windows Server-licenser som har aktiva Software Assurance- eller Windows Server-licenser som är aktiva prenumerationslicenser. Windows Server 2025 har följande viktiga fördelar:

Windows Admin Center i Azure Arc: Integrerar Azure Arc med Windows Admin Center så att du kan hantera dina Windows Server-instanser från Azure Arc-portalen. Den här integreringen ger en enhetlig hanteringsupplevelse för dina Windows Server-instanser, oavsett om de körs lokalt, i molnet eller på gränsen.
Fjärrsupport: Erbjuder kunder som har professionell support möjligheten att bevilja just-in-time-åtkomst med detaljerade körningsloggar och rättigheter till återkallande.
Best Practices Assessment: Insamling och analys av serverdata genererar problem och reparationsvägledning och prestandaförbättringar.
Azure Site Recovery Configuration: Konfiguration av Azure Site Recovery säkerställer affärskontinuitet och ger replikering och dataresiliens för kritiska arbetsbelastningar.

Mer information om Windows Server Management som aktiveras av Azure Arc och de tillgängliga fördelarna finns i Windows Server Management aktiverat av Azure Arc.

Software-Defined Nätverk

Software-Defined Networking (SDN) är en metod för nätverk som nätverksadministratörer kan använda för att hantera nätverkstjänster genom abstraktion av funktioner på lägre nivå. SDN möjliggör separation av nätverkskontrollplanet, som hanterar nätverket, från dataplanet, som hanterar trafiken. Den här separationen ger ökad flexibilitet och programmerbarhet i nätverkshantering. SDN ger följande fördelar i Windows Server 2025:

Nätverksstyrenhet: Det här kontrollplanet för SDN finns nu direkt som redundansklustertjänster på de fysiska värddatorerna. Om du använder en klusterroll eliminerar du behovet av att distribuera virtuella datorer, vilket förenklar distributionen och hanteringen och sparar resurser.
Taggbaserad segmentering: Administratörer kan använda anpassade tjänsttaggar för att associera nätverkssäkerhetsgrupper (NSG:er) och virtuella datorer för åtkomstkontroll. I stället för att ange IP-intervall kan administratörer nu använda enkla, självförklarande etiketter för att tagga virtuella arbetsbelastningsdatorer och tillämpa säkerhetsprinciper baserat på dessa taggar. Taggar förenklar processen för att hantera nätverkssäkerhet och eliminerar behovet av att komma ihåg och skriva om IP-intervall. Mer information finns i Konfigurera nätverkssäkerhetsgrupper med taggar i Windows Admin Center.
Standardnätverksprinciper i Windows Server 2025: Dessa principer ger Azure-liknande skyddsalternativ till NSG:er för arbetsbelastningar som distribueras via Administrationscenter för Windows. Standardprincipen nekar all inkommande åtkomst, vilket tillåter selektiv öppning av välkända inkommande portar samtidigt som fullständig utgående åtkomst tillåts från virtuella arbetsbelastningsdatorer. Standardnätverksprinciper säkerställer att de virtuella arbetsbelastningsdatorerna skyddas från den tidpunkt då de skapas. Mer information finns i Använda standardprinciper för nätverksåtkomst på virtuella datorer på Azure Local.
SDN Multisite: Den här funktionen ger inbyggd layer 2- och layer 3-anslutning mellan program på två platser utan extra komponenter. Med SDN Multisite kan program flyttas sömlöst utan att programmet eller nätverken behöver konfigureras om. Den erbjuder också enhetlig hantering av nätverksprinciper för arbetsbelastningar så att du inte behöver uppdatera principer när en virtuell arbetsbelastningsdator flyttas från en plats till en annan. Mer information finns i Vad är SDN Multisite?.
Förbättrad prestanda för SDN layer 3-gatewayer: Layer 3-gatewayer uppnår högre dataflöde och minskade CPU-cykler. Dessa förbättringar är aktiverade som standard. Användarna får automatiskt bättre prestanda när en SDN-gateway layer 3-anslutning konfigureras via PowerShell eller Windows Admin Center.

Portabilitet för Windows-containrar

Portabilitet är en viktig aspekt av containerhantering och har möjlighet att förenkla uppgraderingar genom att tillämpa förbättrad flexibilitet och kompatibilitet för containrar i Windows.

Portabilitet är en Windows Server-funktion som användarna kan använda för att flytta containeravbildningar och tillhörande data mellan olika värdar eller miljöer utan att kräva några ändringar. Användare kan skapa en containeravbildning på en värd och sedan distribuera den på en annan värd utan att behöva oroa sig för kompatibilitetsproblem. Mer information finns i Portabilitet för containrar.

Windows Server Insider Program

Windows Server Insider Program ger tidig åtkomst till de senaste Windows OS-versionerna för en community med entusiaster. Som medlem är du bland de första som provar nya idéer och begrepp som Microsoft utvecklar. När du har registrerat dig som medlem kan du delta i olika versionskanaler. Gå till Starta>inställningar>Windows Update>Windows Insider Program.

Diskussioner i Windows Server Insider Community