次の方法で共有

Windows Server 2025 の新機能

この記事では、セキュリティ、パフォーマンス、柔軟性を向上させる高度な機能を備える Windows Server 2025 の最新の開発について説明します。 より高速なストレージ オプションとハイブリッド クラウド環境と統合する機能により、インフラストラクチャの管理が効率化されました。 Windows Server 2025 は、その前身の強力な基盤に基づいており、ニーズに合わせてさまざまな革新的な機能強化が導入されています。

デスクトップ エクスペリエンスとアップグレード

アップグレード オプションとデスクトップ エクスペリエンスについて確認します。

Windows Update を使用したアップグレード

ソース メディアまたは Windows Update からインプレース アップグレードを実行できます。 Microsoft では、機能更新プログラムと呼ばれる Windows Update を通じて、オプションのインプレース アップグレード機能を提供しています。 この機能更新プログラムは、Windows Server 2019 および Windows Server 2022 デバイスで使用できます。

[設定] ダイアログから Windows Update を使用してアップグレードする場合は、デスクトップ内の Windows Update から直接、または Server Core の SConfig を使用してインストールを実行できます。 組織では、アップグレードを段階的に実装し、グループ ポリシーを使用してこのオプションのアップグレードの可用性を制御したい場合があります。

機能更新プログラムのオファーを管理する方法の詳細については、「Windows Serverのグループ ポリシーを使用した機能更新プログラムの管理」を参照してください。

Windows Server 2012 R2 からのインプレース アップグレード

Windows Server 2025 では、一度に最大 4 つのバージョンをアップグレードできます。 Windows Server 2012 R2 以降から Windows Server 2025 に直接アップグレードできます。

デスクトップ シェル

初めてサインインすると、デスクトップ シェル エクスペリエンスは Windows 11 のスタイルと外観に準拠します。

Bluetooth

Windows Server 2025 のBluetoothを使用して、マウス、キーボード、ヘッドセット、オーディオ デバイスなどを接続できるようになりました。

DTrace

Windows Server 2025 には、ネイティブ ツールとして dtrace が搭載されています。 DTrace は、ユーザーがシステムのパフォーマンスをリアルタイムで監視およびトラブルシューティングできるようにするコマンド ライン ユーティリティです。 DTrace を使用すると、カーネル コードとユーザー空間コードの両方を動的にインストルメント化できます。コード自体を変更する必要はありません。 この汎用性の高いツールは、集計、ヒストグラム、ユーザー レベルのイベントのトレースなど、さまざまなデータ収集と分析の手法をサポートします。 詳細については、コマンドラインヘルプについて DTrace をご覧ください。その他の機能については Windows 上での DTrace を参照してください。

電子メールとアカウント

Windows Server 2025 の [アカウント]>[電子メール & アカウント] の [Windows 設定] で、次の種類のアカウントを追加できるようになりました。

  • Microsoft Entra ID
  • Microsoft アカウント
  • 職場または学校アカウント

ドメイン参加は、ほとんどの状況で引き続き必要です。

フィードバック Hub

Windows Server 2025 の使用時に発生したフィードバックや問題を報告するには、Windows フィードバック ハブを使用します。 問題の原因となったプロセスのスクリーンショットや記録を含めると、お客様の状況を把握し、Windows エクスペリエンスを向上させる提案を共有できます。 詳細については、 フィードバック Hubのページを参照してください。

ファイル圧縮

Windows Server 2025 には、新しい圧縮機能があります。 アイテムを圧縮するには、右クリックして [圧縮してへ] を選択します。 この機能では、ZIP 7z、および tar 圧縮形式 をサポートし、それぞれに固有の圧縮方法を使用します。

ピン留めされたアプリ

最も使用されているアプリのピン留めは、[スタート] メニューから利用できるようになり、ニーズに合わせてカスタマイズできるようになりました。 現在、既定のピン留めされたアプリは次のとおりです。

  • Azure Arc のセットアップ
  • フィードバック Hub
  • エクスプローラー
  • Microsoft Edge
  • サーバー マネージャー
  • 設定
  • ターミナル
  • Windows PowerShell

タスク マネージャ

Windows Server 2025 は、Windows 11 のスタイルに準拠 Mica 素材 を備えた最新のタスク マネージャー アプリを使用します。

Wi-Fi

ワイヤレス LAN サービス機能が既定でインストールされるようになったため、ワイヤレス機能を有効にする方が簡単になりました。 ワイヤレス スタートアップ サービスは手動に設定されています。 有効にするには、コマンド プロンプト、Windows ターミナル、または PowerShell で net start wlansvc を実行します。

Windows ターミナル

コマンド ライン ユーザー向けの強力で効率的なマルチシェル アプリケーションである Windows ターミナル は、Windows Server 2025 で使用できます。 検索バーで ターミナル を検索します。

WinGet

WinGet は既定でインストールされます。これは、Windows デバイスにアプリケーションをインストールするための包括的なパッケージ マネージャー ソリューションを提供するコマンドライン Windows パッケージ マネージャー ツールです。 詳細については、「WinGet ツールを使用してアプリケーションをインストールおよび管理する」を参照してください。

高度な多層セキュリティ

Windows 2025 のセキュリティについて説明します。

ホットパッチ (プレビュー)

ホットパッチは、Azure Arc ポータルでホットパッチが有効になった後、Azure Arc に接続されている Windows Server 2025 マシンで使用できるようになりました。 Hotpatch を使用すると、コンピューターを再起動せずに OS セキュリティ更新プログラムを適用できます。 詳細については、ホットパッチに関するページを参照してください。

重要

Azure Arc 対応ホットパッチは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Credential Guard

Windows Server 2025 以降、要件を満たすデバイスでは Credential Guard が既定で有効になります。 Credential Guard の詳細については、「Credential Guard の構成」を参照してください。

[Active Directory ドメイン サービス]

Active Directory Domain Services (AD DS) と Active Directory Lightweight Domain Services (AD LDS) に行われた最新の機能強化では、ドメイン管理エクスペリエンスの最適化を目的とするさまざまな新機能が導入されています。

  • 32k データベース ページ サイズのオプション機能: Active Directory では、8k データベース のページ サイズを使用する Windows 2000 の導入以降、拡張可能記憶域エンジン (ESE) データベースを使用します。 8k アーキテクチャ設計の決定により、Active Directory 全体で制限が生じ、Active Directory の最大制限であるスケーラビリティに関する記事に記載されています。 この制限の例として、Active Directory オブジェクトが 8k バイト以下の単一レコードである場合があります。 32,000 個のデータベース ページ形式に移行すると、従来の制限の影響を受ける領域が大幅に改善されます。 複数値の属性が最大で約 3,200 の値を保持できるようになりました。これは、2.6 倍の増加です。

    64 ビットの長い値 ID (LID) を使用する 32k ページ データベースを使用して新しいドメイン コントローラー (DC) をインストールし、以前のバージョンとの互換性のために 8k ページ モードで実行できます。 アップグレードされた DC は、現在のデータベース形式と 8,000 ページを引き続き使用します。 32k ページデータベースへの移行はフォレスト全体で行われ、フォレスト内のすべての DC に 32k ページ対応データベースが必要です。

  • Active Directory スキーマの更新: Active Directory スキーマを拡張する 3 つの新しいログ データベース ファイル (sch89.ldfsch90.ldfsch91.ldf) が導入されました。 AD LDS と同等のスキーマの更新が MS-ADAM-Upgrade3.ldf に含まれています。 以前のスキーマ更新プログラムの詳細については、Windows Server Active Directory スキーマの更新に関するページを参照してください。

  • Active Directory オブジェクト修復: エンタープライズ管理者は、SamAccountType および ObjectCategory不足しているコア属性を持つオブジェクトを修復できるようになりました。 エンタープライズ管理者は、オブジェクトの LastLogonTimeStamp 属性を現在の時刻にリセットできます。 これらの操作は、fixupObjectStateと呼ばれる影響を受けるオブジェクトの新しい RootDSE 変更操作機能によって実現されます。

  • チャネル バインド監査のサポート: Lightweight Directory Access Protocol (LDAP) チャネル バインドに対してイベント 3074 と 3075 を有効にできるようになりました。 チャネル バインド ポリシーをより安全な設定に変更すると、管理者は、チャネル バインドをサポートしていない、または失敗する環境内のデバイスを識別できます。 これらの監査イベントは、Windows Server 2022 以降でも KB4520412を介して使用できます。

  • DC ロケーション アルゴリズムの機能強化: DC 検出アルゴリズムは、短い NetBIOS スタイルのドメイン名を DNS スタイルのドメイン名にマッピングする機能が強化された新機能を提供します。 詳細については、「Windows および Windows Serverでのドメイン コントローラーの検索」を参照してください。

    Note

    Windows では DC 検出操作中に mailslots を使用しません。マイクロソフトは、これらのレガシ テクノロジの WINS と mailslots の 廃止を発表したためです。

  • フォレストとドメインの機能レベル: 新しい機能レベルは、一般的なサポートのために使用され、新しい 32k データベース ページ サイズ機能に必要です。 新しい機能レベルは、自動実行インストールの値 DomainLevel 10 と、自動実行インストールの値 ForestLevel 10 にマップされます。 Microsoft には、Windows Server 2019 と Windows Server 2022 の機能レベルを新しく入れ替える予定はありません。 DC の無人昇格と降格を実行するには、ドメイン コントローラーの無人昇格と降格 DCPROMO 応答ファイル構文を参照してください。

    DsGetDcName API では、Windows Server 2025 を実行している DC の場所を有効にする新しいフラグ DS_DIRECTORY_SERVICE_13_REQUIRED もサポートされています。 機能レベルの詳細については、次の記事を参照してください。

    Note

    新しい Active Directory フォレストまたは AD LDS 構成セットは、Windows Server 2016 以降の機能レベルを持っている必要があります。 Active Directory または AD LDS レプリカを昇格するには、既存のドメインまたは構成セットが Windows Server 2016 以降の機能レベルで既に実行されている必要があります。

    Microsoft では、次のリリースに備えて、すべてのお客様が Active Directory および AD LDS サーバーを Windows Server 2022 にアップグレードする計画を開始することをお勧めします。

  • 名前/SID 参照のアルゴリズムが改善されました:ローカル セキュリティ機関 (LSA) 名とマシン アカウント間の SID 参照転送では、従来の Netlogon セキュリティで保護されたチャネルが使用されなくなりました。 代わりに、Kerberos 認証と DC ロケーター アルゴリズムが使用されます。 従来のオペレーティング システムとの互換性を維持するために、フォールバック オプションとして Netlogon セキュア チャネルを使用することも可能です。

  • 機密属性セキュリティが強化されました。DC と AD LDS インスタンスでは、LDAP が接続の暗号化時に機密属性を含む操作の追加、検索、変更のみを行うことができます。

  • 既定のコンピューター アカウント パスワードのセキュリティが強化: Active Directory では、ランダムに生成される既定のコンピューター アカウント パスワードが使用されるようになりました。 Windows 2025 DC では、コンピューター アカウントのパスワードをコンピューター アカウント名の既定のパスワードに設定することがブロックされます。

    この動作を制御するには、ドメイン コントローラー グループ ポリシー オブジェクト (GPO) 設定を有効にします。コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション にある既定のコンピューター アカウント のパスワード の設定を拒否します。

    Active Directory 管理センター (ADAC)、Active Directory ユーザーとコンピューター (ADUC)、net computerdsmod などのユーティリティでも、この新しい動作が優先されます。 ADAC と ADUC の両方で、Windows 2000 より前のアカウントの作成が許可されなくなりました。

  • 暗号化の機敏性に対する Kerberos PKINIT のサポート : Kerberos (PKINIT) プロトコル実装での初期認証のための Kerberos 公開キー暗号化が更新され、より多くのアルゴリズムをサポートし、ハードコーディングされたアルゴリズムを削除することで、暗号化の機敏性が実現されます。

  • LAN Manager GPO 設定: GPO 設定 ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager ハッシュ値を格納しないでください は存在せず、新しいバージョンの Windows には適用されません。

  • LDAP 暗号化の既定の: 簡易認証およびセキュリティ層 (SASL) バインド後のすべての LDAP クライアント通信では、既定で LDAP シールが使用されます。 SASL の詳細については、 SASL 認証に関するページを参照してください。

  • LDAP によるトランスポート層セキュリティ (TLS) 1.3のサポート: LDAP は最新の SCHANNEL 実装を使用し、TLS 接続を介した LDAP に対して TLS 1.3 をサポートします。 TLS 1.3 を使用すると、古い暗号化アルゴリズムが不要になり、古いバージョンよりもセキュリティが強化されます。 TLS 1.3 は、できるだけ多くのハンドシェイクを暗号化することを目的としています。 詳細については、 Windows Server 2022 の TLS/SSL (Schannel SSP) および TLS 暗号スイートのプロトコルに関するページを参照してください。

  • レガシ セキュリティ アカウント マネージャー (SAM) リモート プロシージャ コール (RPC) のパスワード変更動作: Kerberos などのセキュリティで保護されたプロトコルは、ドメイン ユーザー パスワードを変更する推奨される方法です。 DC では、リモートで呼び出されたときに、SamrUnicodeChangePasswordUser4 Advanced Encryption Standard (AES) を使用して 最新の SAM RPC パスワード変更方法が既定で受け入れられます。 次の従来の SAM RPC メソッドは、リモートで呼び出されると既定でブロックされます。

    Protected Users グループのメンバーであるドメイン ユーザーと、ドメイン メンバー コンピューター上のローカル アカウントの場合、従来の SAM RPC インターフェイスを介したリモート パスワードの変更はすべて既定でブロックされます (SamrUnicodeChangePasswordUser4を含む)。

    この動作を制御するには、次の GPO 設定を使用します。

    コンピューターの構成>管理用テンプレート>システム>セキュリティ アカウント マネージャー>SAM 変更パスワード RPC メソッド ポリシーの構成

  • 一様でないメモリ アクセス (NUMA) のサポート: AD DS では、すべてのプロセッサ グループで CPU を使用して NUMA 対応ハードウェアを利用できるようになりました。 以前は、Active Directory はグループ 0 の CPU のみを使用していました。 Active Directory は 64 コアを超えて拡張できます。

  • パフォーマンス カウンター: 次のカウンターのパフォーマンスの監視とトラブルシューティングを利用できるようになりました。

    • DC ロケーター: クライアントおよび DC に固有のカウンターを使用できます。
    • LSA 検索: LsaLookupNamesLsaLookupSids、および同等の API を使用した名前と SID の検索。 これらのカウンターは、クライアントとサーバーの両方のバージョンで使用できます。
    • LDAP クライアント: KB 5029250更新プログラムを介して Windows Server 2022 以降で使用できます。

  • レプリケーションの優先順位: 管理者は、特定の名前付けコンテキストに対して、特定のレプリケーション パートナーを使用して、システム計算レプリケーションの優先順位を上げることができます。 この機能により、特定のシナリオに対処するため、レプリケーション順位を今までより柔軟に構成できます。

委任された管理サービス アカウント

この新しい種類のアカウントにより、サービス アカウントから委任された管理サービス アカウント (dMSA) への移行が可能になります。 このアカウントの種類には、元のサービス アカウント パスワードが無効になっている間にアプリケーションの変更を最小限に抑えるために、マネージド キーと完全ランダム化キーが付属しています。 詳細については、 委任された管理サービスアカウントの概要を参照してください。

Windows ローカル管理者パスワード ソリューション

Windows ローカル管理者パスワード ソリューション (LAPS) は、組織がドメインに参加しているコンピューターでローカル管理者パスワードを管理するのに役立ちます。 各コンピューターのローカル管理者アカウントに対して一意のパスワードが自動的に生成されます。 その後、Active Directory に安全に格納され、定期的に更新されます。 自動的に生成されたパスワードは、セキュリティの向上に役立ちます。 攻撃者が侵害されたパスワードや推測しやすいパスワードを使用して機密性の高いシステムにアクセスするリスクを軽減します。

Microsoft LAPS の新機能には、次の機能強化が導入されています。

  • 新しい自動アカウント管理: IT 管理者は、マネージド ローカル アカウントを簡単に作成できるようになりました。 この機能を使用すると、アカウント名をカスタマイズし、アカウントを有効または無効にすることができます。 セキュリティを強化するためにアカウント名をランダム化することもできます。 この更新プログラムには、Microsoft の既存のローカル アカウント管理ポリシーとの統合も強化されています。 この機能の詳細については、 Windows LAPS アカウント管理モードに関するページを参照してください。

  • 新しいイメージ ロールバック検出: Windows LAPS は、イメージのロールバックが発生したときに検出されるようになりました。 ロールバックが行われると、Active Directory に格納されているパスワードが、デバイスにローカルに格納されているパスワードと一致しなくなる可能性があります。 ロールバックにより、破損状態になることがあります。 この場合、IT 管理者は、永続化された Windows LAPS パスワードを使用してデバイスにサインインできません。

    この問題に対処するために、msLAPS-CurrentPasswordVersionと呼ばれる Active Directory 属性を含む新しい機能が追加されました。 この属性には、新しいパスワードが Active Directory に永続化され、ローカルに保存されるたびに、Windows LAPS によって書き込まれるランダム・グローバル一意識別子 (GUID) が含まれます。 すべての処理サイクル中に、msLAPS-CurrentPasswordVersion に格納されている GUID が照会され、ローカルに永続化されたコピーと比較されます。 それらが異なる場合、パスワードはすぐにローテーションされます。

    この機能を有効にするには、Update-LapsADSchema コマンドレットの最新バージョンを実行します。 その後、Windows LAPS は新しい属性を認識し、使用を開始します。 更新されたバージョンの Update-LapsADSchema コマンドレットを実行しない場合、Windows LAPS はイベント ログに 10108 警告イベントを記録しますが、他のすべての点で正常に機能し続けます。

    この機能を有効化または構成するためにポリシー設定は使用されません。 この機能は、新しいスキーマ属性が追加された後に常に有効になります。

  • 新しいパスフレーズ: IT 管理者は、複雑でないパスフレーズを生成できる Windows LAPS の新機能を使用できるようになりました。 例として、EatYummyCaramelCandyなどのパスフレーズがあります。 この語句は、V3r_b4tim#963 のような従来のパスワードと比較して、読みやすく、覚えやすく、入力しやすいですか?.

    この新機能を使用すると、PasswordComplexity ポリシー設定を構成して、パスフレーズに 3 つの異なる単語リストのいずれかを選択できます。 すべてのリストは Windows に含まれており、個別のダウンロードは必要ありません。 PassphraseLength と呼ばれる新しいポリシー設定は、パスフレーズで使用される単語の数を制御します。

    パスフレーズを作成すると、選択した単語リストから指定した単語数がランダムに選択され、連結されます。 各単語の最初の文字は、読みやすくするために大文字になります。 この機能では、Active Directory または Microsoft Entra ID へのパスワードのバックアップも完全にサポートされています。

    3 つの新しい PasswordComplexity パスフレーズ設定で使用されるパスフレーズ ワード リストは、Electronic Frontier Foundation の記事「Deep Dive: EFF'S New Wordlists for Random Passphrases」から引用したものです。 Windows LAPS パスフレーズ ワードリスト は CC-BY-3.0 表示ライセンスに基づいてライセンスされており、ダウンロードできます。

    Note

    Windows LAPS では、組み込みの単語リストのカスタマイズや、顧客が構成した単語リストの使用は許可されません。

  • 読みやすさのパスワード ディクショナリのが改善されました。Windows LAPS では、IT 管理者が複雑でないパスワードを作成できる新しい PasswordComplexity 設定が導入されています。 この機能を使用すると、LAPS をカスタマイズして、4の既存の複雑さの設定のような 4 つの文字カテゴリ (大文字、小文字、数字、特殊文字) をすべて使用できます。 5の新しい設定では、パスワードの読みやすさを高め、混乱を最小限に抑えるために、より複雑な文字が除外されます。 たとえば、1 数字と、I 文字は、新しい設定では使用されません。

    5するように PasswordComplexity を構成すると、既定のパスワード ディクショナリ文字セットに次の変更が加えられます。

    • 使用しないでください: 文字 IOQlo
    • 使用しないでください: 数字 01
    • 使用しないでください: 特殊文字 ,, ., &, {, }, [, ], (, ), ;
    • 使用: 特殊文字 :=*

    ADUC スナップイン (Microsoft 管理コンソール経由) で、Windows LAPS タブが強化されました。Windows LAPS パスワードが新しいフォントに表示され、プレーン テキストで表示される際の読みやすさが向上します。

  • 個々のプロセスを終了するための認証後アクションのサポート: 認証後アクション (PAA) グループ ポリシー設定 (Reset the password, sign out the managed account, and terminate any remaining processes) に新しいオプションが追加されます。これは、コンピューター構成>管理用テンプレート>システム>LAPS>認証後アクションにあります。

    この新しいオプションは、前のオプション Reset the password and log off the managed accountの拡張機能です。 構成後、PAA は対話型サインイン セッションを通知して終了します。 Windows LAPS によって管理されているローカル アカウント ID でまだ実行されている残りのプロセスを列挙して終了します。 この終了の前に通知はありません。

    PAA の実行中にログ イベントを拡張すると、操作に関するより深い分析情報が得られます。

Windows LAPS の詳細については、「Windows LAPS とは」を参照してください。

OpenSSH

以前のバージョンの Windows Server では、OpenSSH 接続ツールを使用する前に手動インストールが必要でした。 OpenSSH サーバー側コンポーネントは、Windows Server 2025 に既定でインストールされます。 サーバー マネージャー UI には、 サービスを有効または無効にする sshd.exeの 1 ステップ オプションも含まれています。 また、 OpenSSH Users グループにユーザーを追加して、デバイスへのアクセスを許可または制限することもできます。 詳細については、「OpenSSH for Windows の概要」を参照してください。

セキュリティ ベースライン

カスタマイズされたセキュリティ ベースラインを実装することで、推奨されるセキュリティ態勢に基づいて、デバイスまたは VM ロールのセキュリティ対策を最初から確立できます。 このベースラインには、350 を超える構成済みの Windows セキュリティ設定が用意されています。 この設定を使用して、Microsoft と業界標準で推奨されるベスト プラクティスに沿った特定のセキュリティ設定を適用および適用できます。 詳細については、「OSConfig の概要」を参照してください。

仮想化ベースのセキュリティ エンクレーブ

仮想化ベースのセキュリティ (VBS) エンクレーブは、ホスト アプリケーションのアドレス空間内のソフトウェア ベースの信頼された実行環境です。 VBS エンクレーブでは、ベースとなる VBS テクノロジ を使用してアプリケーションの機密性の高い部分をメモリのセキュリティで保護されたパーティションに分離します。 VBS エンクレーブを使用すると、機密性の高いワークロードをホスト アプリケーションとシステムの残りの部分の両方から分離できます。

VBS エンクレーブでは、管理者を信頼する必要性を排除し、悪意のある攻撃者に対する防御を強化することで、アプリケーションでシークレットを保護できます。 詳細については、 VBS エンクレーブ Win32 リファレンスを参照してください。

仮想化ベースのセキュリティ キー保護

VBS キー保護を使用すると、Windows 開発者は VBS を使用して暗号化キーをセキュリティで保護できます。 VBS では、CPU の仮想化拡張機能を使用して、通常の OS の外部に分離されたランタイムを作成します。

使用中は、VBS キーはセキュリティで保護されたプロセスで分離されます。 キー操作は、この領域の外部で秘密キー マテリアルを公開することなく発生する可能性があります。 待機状態では、TPMキーが秘密鍵のマテリアルを暗号化し、VBSキーをデバイスに紐づけます。 この方法で保護されたキーは、プロセス メモリからダンプしたり、ユーザーのコンピューターからプレーン テキストでエクスポートしたりすることはできません。

VBS キー保護は、管理者レベルの攻撃者による流出攻撃を防ぐのに役立ちます。 キー保護を使用するには、VBS を有効にする必要があります。 VBS を有効にする方法については、「メモリ整合性を有効にする」を参照してください。

セキュリティで保護された接続

次のセクションでは、接続のセキュリティについて説明します。

セキュリティで保護された証明書管理

Windows での証明書の検索または取得では、CertFindCertificateInStore および CertGetCertificateContextProperty関数で説明されているように、SHA-256 ハッシュがサポートされるようになりました。 TLS サーバー認証は Windows 全体でより安全であり、RSA キーの最小長は 2,048 ビットである必要があります。 詳細については、TLS サーバー認証における弱い RSA 証明書の廃止に関するブログを参照してください。

SMB over QUIC

SMB over QUIC サーバー機能が、Windows Server Standard バージョンと Windows Server Datacenter バージョンの両方で使用できるようになりました。 SMB over QUIC には、低遅延の暗号化された接続を提供するという QUIC のメリットが追加されています。

SMB over QUIC 有効化ポリシー

管理者は、グループ ポリシーと PowerShell を使用して、QUIC 経由の SMB クライアントを無効にすることができます。 グループ ポリシーを使用して SMB over QUIC を無効にするには、次のパスの [SMB over QUIC ポリシーを有効にする][無効] に設定します。

  • コンピューターの構成\管理用テンプレート\Network\Lanman Workstation
  • コンピューターの構成\管理用テンプレート\Network\Lanman Server

PowerShell を使用して SMB over QUIC を無効にするには、管理者特権の PowerShell プロンプトで次のコマンドを実行します。

Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB署名と暗号化の監査

管理者は、SMB サーバーとクライアントの監査を有効にして、SMB 署名と暗号化をサポートできます。 Microsoft 以外のクライアントまたはサーバーが SMB 暗号化または署名をサポートしていない場合は、検出できます。 Microsoft 以外のデバイスまたはソフトウェアで SMB 3.1.1 がサポートされていると示されているが、SMB 署名のサポートに失敗した場合、 SMB 3.1.1 認証前の整合性 プロトコル要件に違反します。

グループ ポリシーまたは PowerShell を使用して、SMB 署名と暗号化の監査設定を構成できます。 これらのポリシーは、次のグループ ポリシー パスで変更できます。

  • Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは暗号化をサポートしていません
  • Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは署名をサポートしていません
  • Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは暗号化をサポートしていません
  • Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは署名をサポートしていません

PowerShell を使用してこれらの変更を実行するには、管理者特権のプロンプトで次のコマンドを実行します。ここで、$true はこれらの設定を有効にし、$false は無効にします。

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

これらの変更のイベント ログは、特定のイベント ID を持つ次のイベント ビューアー パスに格納されます。

Path イベント ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit 31998
31999
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit 3021
3022
SMB over QUIC 監査

SMB over QUIC クライアント接続監査では、QUIC トランスポートをイベント ビューアーに含めるためにイベント ログに書き込まれたイベントがキャプチャされます。 これらのログは、特定のイベント ID を持つ次のパスに格納されます。

Path イベント ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity 30832
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity 1913
SMB over QUIC クライアント アクセス制御

Windows Server 2025 には、SMB over QUIC のクライアント アクセス制御が含まれています。 SMB over QUIC は、信頼されていないネットワーク経由でエッジ ファイル サーバーにセキュリティで保護された接続を提供する TCP および RDMA の代替手段です。 クライアント アクセス制御では、証明書を使用してデータへのアクセスを制限するためのより多くの制御が導入されています。 詳細については、 「クライアント アクセス制御のしくみ」を参照してください。

SMB 代替ポート

SMB クライアントを使用して、IANA/IETF の既定値である 445、5445、443 ではなく、代替 TCP、QUIC、RDMA ポートに接続できます。 グループ ポリシーまたは PowerShell を使用して、代替ポートを構成できます。 以前は、Windows の SMB サーバーは、IANA に登録されたポート TCP/445 を使用する受信接続を要求し、SMB TCP クライアントは同じ TCP ポートへの送信接続のみを許可しました。 現在、SMB over QUIC では、QUIC で義務付けられている UDP/443 ポートをサーバー デバイスとクライアント デバイスの両方で使用できる、 SMB 代替ポート を使用できます。 詳細については、 「代替 SMB ポートの構成」を参照してください。

SMB ファイアウォール規則のセキュリティ強化

以前は、共有が作成されたときに、関連するファイアウォール プロファイルの ファイルとプリンター共有 グループを有効にするように SMB ファイアウォール規則が自動的に構成されていました。 Windows で SMB 共有を作成すると、新しい ファイルおよびプリンター共有 (制限付き) グループが自動的に構成され、受信 NetBIOS ポート 137 から 139 が許可されなくなります。 詳細については、 「更新したファイアウォール規則」を参照してください。

SMB 暗号化

SMB 暗号化を適用 は、すべての送信 SMB クライアント接続に対して有効になります。 この更新により、管理者は、すべての接続先サーバーが SMB 3.x と暗号化をサポートすることを義務付けることができます。 サーバーにこれらの機能がない場合、クライアントは接続を確立できません。

SMB 認証制限装置

SMB 認証レートリミッターは、特定の期間内の認証試行回数を制限します。 SMB 認証レートリミッターは、ブルート フォース認証攻撃に対処するのに役立ちます。 SMB サーバーのサービスは、認証レートリミッターを使用して、失敗した NTLM または PKU2U ベースの認証試行間の遅延を実装します。 サービスは既定で有効になっています。 詳細については、「 SMB 認証レートリミッターのしくみを参照してください。

SMB NTLM を無効にする

Windows Server 2025 以降、SMB クライアントはリモート送信接続の NTLM ブロックをサポートしています。 以前は、Windows Simple and Protected GSSAPI ネゴシエーション メカニズム (SPNEGO) は、Kerberos、NTLM、およびその他のメカニズムを移行先サーバーとネゴシエートして、サポートされているセキュリティ パッケージを決定しました。 詳細については、「SMB での NTLM 接続のブロックを参照してください。

SMB 言語制御

Windows で SMB 方言をできるようになりました。 構成すると、SMB サーバーは、従来の動作と比較して交渉する SMB 2 および SMB 3 のプロトコルを決定し、最も高いプロトコルのみ対応します。

SMB 署名

すべての SMB 送信接続に対して、SMB 署名が既定で必要になりました。 以前は、Active Directory DC 上の SYSVOL と NETLOGON 名前の共有に接続している場合にのみ必要でした。 詳しくは、「署名のしくみ」を参照してください。

リモートメールスロット

リモート Mailslot プロトコルは、SMB と ACTIVE Directory で DC ロケーター プロトコルを使用する場合、既定で無効になっています。 リモート Mailslot は、後のリリースで削除される可能性があります。 詳しくは、「開発の終了した機能」を参照してください。

ルーティングとリモート アクセス サービスのセキュリティ強化

既定では、新しいルーティングおよびリモート アクセス サービス (RRAS) のインストールでは、PPTP と L2TP に基づく VPN 接続は受け入れられません。 必要に応じて、これらのプロトコルを有効にすることもできます。 SSTP と IKEv2 に基づく VPN 接続は、変更なしで引き続き受け入れられます。

既存の構成はそのまま動作します。 たとえば、Windows Server 2019 を実行して PPTP 接続と L2TP 接続を受け入れ、インプレース アップグレードを使用して Windows Server 2025 にアップグレードする場合、L2TP と PPTP に基づく接続は引き続き受け入れられます。 この変更は、Windows クライアント オペレーティング システムには影響しません。 PPTP と L2TP を再び使用可能にする方法の詳細については、「VPN プロトコルを構成する」を参照してください。

Hyper-V、AI、およびパフォーマンス

以降のセクションでは、Hyper-V、AI、およびパフォーマンスについて説明します。

高速ネットワーク

高速ネットワーク (AccelNet) を使用すると、Windows Server 2025 クラスターでホストされている仮想マシン (VM) の単一ルート I/O 仮想化 (SR-IOV) の管理が簡略化されます。 この機能では、高パフォーマンスの SR-IOV データ パスを使用して、待機時間、ジッター、および CPU 使用率を削減します。 AccelNet には、前提条件のチェック、ホスト構成、および VM のパフォーマンス設定を処理する管理レイヤーも含まれています。 詳細については、「 エッジでのAccelerated Networking (プレビュー)」を参照してください。

Hyper-V マネージャーは

Hyper-V Manager を使用して新しい VM を作成すると、第 2 世代 が、仮想マシンの新規作成ウィザードの既定のオプションとして設定されるようになりました。

ハイパーバイザーによって適用されるページング変換

ハイパーバイザーによって適用されるページング変換 (HVPT) は、線形アドレス変換の整合性を適用するためのセキュリティ強化です。 HVPT は、重要なシステム データを書き込み先攻撃から保護します。攻撃者は、バッファー オーバーフローの結果として、任意の場所に任意の値を書き込みます。 HVPT は、重要なシステム データ構造を構成するページ テーブルを保護します。 HVPT には、ハイパーバイザーで保護されたコード整合性 (HVCI) で既に保護されているすべてが含まれています。 HVPT は既定で有効になっており、ハードウェア サポートを利用できます。 WINDOWS Server が VM でゲストとして実行されている場合、HVPT は有効になりません。

GPU パーティション分割

GPU パーティション分割を使用して、物理 GPU デバイスを複数の VM と共有できます。 GPU 全体を 1 つの VM に割り当てる代わりに、GPU パーティション分割 (GPU-P) によって各 VM に GPU の専用の一部が割り当てられます。 Hyper-V GPU-P の高可用性により、計画外のダウンタイムが発生した場合、GPU-P VM が別のクラスター ノードで自動的に有効化されます。

GPU-P ライブ マイグレーションは、GPU-P を使用して VM を (計画されたダウンタイムまたは負荷分散のために) スタンドアロンまたはクラスター化された別のノードに移動するソリューションを提供します。 GPU パーティション分割の詳細については、GPU パーティション分割を参照してください。

動的プロセッサの互換性

動的プロセッサ互換性モードが更新され、クラスター化された環境で新しいプロセッサ機能が利用されます。 動的プロセッサの互換性では、クラスター内のすべてのサーバーで使用可能なプロセッサ機能の最大数が使用されます。 このモードでは、以前のバージョンのプロセッサ互換性と比較してパフォーマンスが向上します。

動的プロセッサの互換性を使用して、さまざまな世代のプロセッサを使用する仮想化ホスト間でその状態を保存することもできます。 プロセッサ互換モードでは、第 2 レベルのアドレス変換が可能なプロセッサで強化された動的機能が提供されるようになりました。 更新された互換モードの詳細については、「 Dynamic プロセッサ互換モードを参照してください。

ワークグループ クラスター

Hyper-V ワークグループ クラスターは、Hyper-V クラスター ノードがワークグループ クラスター内の VM をライブ マイグレーションする機能を持つ Active Directory ドメインのメンバーではない特殊な種類の Windows Server フェールオーバー クラスターです。

Network ATC

ネットワーク ATC は、Windows Server 2025 クラスターのネットワーク構成の展開と管理を効率化します。 ネットワーク ATC では、意図ベースのアプローチを使用します。ユーザーは、ネットワーク アダプターの管理、コンピューティング、ストレージなど、目的の意図を指定します。 デプロイは、目的の構成に基づいて自動化されます。

この方法により、ホスト ネットワークの展開に関連する時間、複雑さ、およびエラーが軽減されます。 これにより、クラスター全体の構成の一貫性が確保され、構成のずれも排除されます。 詳細については、「 ネットワーク ATC を使用したホスト ネットワークのデプロイを参照してください。

スケーラビリティ

Windows Server 2025 では、Hyper-V はホストあたり最大 4 ペタバイトのメモリと 2,048 個の論理プロセッサをサポートするようになりました。 この増加により、仮想化されたワークロードのスケーラビリティとパフォーマンスが向上します。

Windows Server 2025 では、第 2 世代 VM に対して最大 240 TB のメモリと 2,048 個の仮想プロセッサもサポートされており、大規模なワークロードを実行するための柔軟性が向上しています。 詳細については、「 Plan for Hyper-V scalability in Windows Server」を参照してください。

Storage

次のセクションでは、ストレージの更新について説明します。

ブロッククローンのサポート

開発ドライブでは、Windows 11 24H2 および Windows Server 2025 以降のブロック複製がサポートされるようになりました。 開発ドライブでは Resilient File System (ReFS) 形式が使用されるため、ブロック複製のサポートにより、ファイルをコピーするときにパフォーマンス上の大きな利点が得られます。 ブロック複製を使用すると、ファイル システムは、基になる物理データに対して負荷の高い読み取りと書き込みの操作を実行するのではなく、低コストのメタデータ操作としてアプリケーションのファイル バイトの範囲をコピーできます。

その結果、複数のファイルが同じ論理クラスターを共有できるようにすることで、ファイルのコピーの完了が高速化され、基になるストレージへの I/O が削減され、ストレージ容量が向上します。 詳細については、「ReFS でのブロッククローン作成」を参照してください。

Dev Drive

Dev Drive は、重要な開発者ワークロードのパフォーマンスを向上させることを目的としたストレージ ボリュームです。 Dev Drive は ReFS テクノロジを使用し、特定のファイル システムの最適化を組み込んで、ストレージ ボリュームの設定とセキュリティをより細かく制御します。 管理者は、信頼を指定し、ウイルス対策設定を構成し、アタッチされたフィルターに対する管理制御を実行できるようになりました。 詳細については、「Windows 11 で Dev Drive をセットアップする」を参照してください。

NVMe

NVMe は、高速ソリッドステート ドライブの新しい標準です。 NVMe ストレージのパフォーマンスは、Windows Server 2025 で最適化されています。 その結果、IOPS が増加し、CPU 使用率が低下してパフォーマンスが向上します。

記憶域レプリカの圧縮

記憶域レプリカの圧縮により、レプリケーション中にネットワーク経由で転送されるデータの量が減ります。 記憶域レプリカでの圧縮の詳細については、「記憶域レプリカの概要参照してください。

記憶域レプリカ拡張ログ

記憶域レプリカ拡張ログは、ログの実装に役立ち、ファイル システムの抽象化に関連するパフォーマンス コストを排除します。 ブロック レプリケーションのパフォーマンスが向上しました。 詳細については、「記憶域レプリカ拡張ログ」を参照してください。

ReFS ネイティブ ストレージの重複除去と圧縮

ReFS ネイティブ ストレージ重複除去と圧縮は、ファイル サーバーや仮想デスクトップなどの静的ワークロードとアクティブ ワークロードの両方のストレージ効率を最適化するために使用される手法です。 ReFS 重複除去と圧縮の詳細については、「Azure Localでの ReFS 重複除去と圧縮によるストレージの最適化」を参照してください。

シン プロビジョニングボリューム

記憶域スペース ダイレクトでプロビジョニングされたシン ボリュームは、クラスターで必要な場合にのみプールから割り当てることで、記憶域リソースをより効率的に割り当て、コストの高い割り当てを回避する方法です。 固定ボリュームからシン プロビジョニング ボリュームに変換することもできます。 固定ボリュームからシン プロビジョニング ボリュームに変換すると、未使用の記憶域がプールに戻され、他のボリュームで使用できるようになります。 シン プロビジョニングボリュームの詳細については、「 Storage シン プロビジョニングを参照してください。

サーバー メッセージ ブロック

サーバー メッセージ ブロック (SMB) は、ネットワークで最も広く使用されているプロトコルの 1 つです。 SMB は、ネットワーク上のデバイス間でファイルやその他のリソースを共有する信頼性の高い方法を提供します。 Windows Server 2025 には、業界標準の LZ4 圧縮アルゴリズムの SMB 圧縮サポートが含まれています。 LZ4 は、SMB の XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1、およびPATTERN_V1の既存のサポートに加えて提供されています。

Azure Arc とハイブリッド

以降のセクションでは、Azure Arc とハイブリッドの構成について説明します。

簡略化された Azure Arc セットアップ

Azure Arc セットアップはオンデマンド機能であるため、既定でインストールされます。 ユーザー フレンドリなウィザード インターフェイスとタスク バーのシステム トレイ アイコンは、Azure Arc にサーバーを追加するプロセスを容易にするのに役立ちます。Azure Arc は、さまざまな環境で動作できるアプリケーションとサービスを作成できるように、Azure プラットフォームの機能を拡張します。 これらの環境には、データセンター、エッジ、マルチクラウド環境が含まれており、柔軟性が向上します。 詳細については、「Azure Arc セットアップを使用して Windows Server マシンを Azure に接続する」を参照してください。

従量課金制ライセンス

Azure Arc 従量課金制サブスクリプション ライセンス オプションは、Windows Server 2025 の従来の永続的ライセンスの代替手段です。 従量課金制オプションを使用すると、Windows Server デバイスを展開し、ライセンスを取得し、使用した分だけ支払うことができます。 この機能は Azure Arc を通じて容易になり、Azure サブスクリプション経由で課金されます。 詳細については、Azure Arc の従量課金制ライセンスを参照してください。

Azure Arc で有効化される Windows Server 管理

Azure Arc で有効になっている Windows Server Management は、アクティブなソフトウェア アシュアランスを持つ Windows Server ライセンスまたはアクティブなサブスクリプション ライセンスである Windows Server ライセンスを持つお客様に新しい利点を提供します。 Windows Server 2025 には、次の主な利点があります。

  • Azure Arcの Windows Admin Center: Azure Arc と Windows Admin Center を統合して、Azure Arc ポータルから Windows Server インスタンスを管理できるようにします。 この統合により、Windows Server インスタンスがオンプレミス、クラウド、エッジのいずれで実行されているかに関係なく、統合された管理エクスペリエンスが提供されます。
  • リモート サポート: プロフェッショナル サポートをお持ちのお客様に、詳細な実行トランスクリプトと失効権限を持つ Just-In-Time アクセスを許可する機能を提供します。
  • ベスト プラクティス評価: サーバー データの収集と分析により、問題が発生し、修復ガイダンスとパフォーマンスが向上します。
  • Azure Site Recovery 構成: Azure Site Recovery の構成により、ビジネス継続性が確保され、重要なワークロードのレプリケーションとデータの回復性が提供されます。

Azure Arc で有効になっている Windows Server Management と利用可能な利点の詳細については、「 Windows Server Management enabled by Azure Arc」を参照してください。

Software-Defined ネットワーク

Software-Defined ネットワーク (SDN) は、ネットワーク管理者が下位レベルの機能を抽象化してネットワーク サービスを管理するために使用できるネットワークへのアプローチです。 SDN を使用すると、ネットワークを管理するネットワーク コントロール プレーンを、トラフィックを処理するデータ プレーンから分離できます。 この分離により、ネットワーク管理における柔軟性とプログラミング性が向上します。 SDN には、Windows Server 2025 で次の利点があります。

  • ネットワーク コントローラーの: SDN のこのコントロール プレーンは、物理ホスト マシン上のフェールオーバー クラスター サービスとして直接ホストされるようになりました。 クラスター ロールを使用すると、VM をデプロイする必要がなくなります。これにより、デプロイと管理が簡素化され、リソースが節約されます。
  • タグベースのセグメント化: 管理者は、カスタム サービス タグを使用して、アクセス制御のためにネットワーク セキュリティ グループ (NSG) と VM を関連付けることができます。 管理者は、IP 範囲を指定する代わりに、シンプルでわかりやすいラベルを使用してワークロード VM にタグを付け、これらのタグに基づいてセキュリティ ポリシーを適用できるようになりました。 タグを使用すると、ネットワーク セキュリティを管理するプロセスが簡素化され、IP 範囲を記憶して再入力する必要がなくなります。 詳細については、「 Windows Admin Center でタグを使用してネットワーク セキュリティ グループを構成するを参照してください。
  • Windows Server 2025の既定のネットワーク ポリシー: これらのポリシーは、Windows Admin Center を介してデプロイされたワークロードの NSG に Azure に似た保護オプションをもたらします。 既定のポリシーでは、すべての受信アクセスが拒否され、ワークロード VM からの完全な送信アクセスを許可しながら、既知の受信ポートを選択的に開きます。 既定のネットワーク ポリシーにより、ワークロード VM が作成時点からセキュリティで保護されます。 詳細については、「Azure Local バージョン 23H2上の仮想マシンで既定のネットワーク アクセス ポリシーを使用する」を参照してください。
  • SDN マルチサイト: この機能により、2 つの場所にまたがるアプリケーション間のネイティブ レイヤー 2 とレイヤー 3 の接続が、追加のコンポーネントなしで提供されます。 SDN マルチサイトを使用すると、アプリケーションまたはネットワークを再構成しなくても、アプリケーションをシームレスに移動できます。 また、ワークロード VM が別の場所に移動したときにポリシーを更新する必要がないように、ワークロードの統合されたネットワーク ポリシー管理も提供されます。 詳細については、「SDN マルチサイトとは」を参照してください。
  • SDN レイヤー 3 ゲートウェイのパフォーマンスが向上: レイヤー 3 ゲートウェイは、より高いスループットと CPU サイクルの削減を実現します。 これらの機能強化は、既定で有効になっています。 ユーザーは、PowerShell または Windows Admin Center を使用して SDN ゲートウェイ レイヤー 3 接続を構成すると、パフォーマンスが自動的に向上します。

Windows コンテナーの移植性

移植性はコンテナー管理の重要な側面であり、Windows でコンテナーの柔軟性と互換性を強化することでアップグレードを簡略化する機能を備えます。

移植性は、ユーザーがコンテナー イメージとそれに関連するデータを、変更を必要とせずに異なるホストまたは環境間で移動するために使用できる Windows Server 機能です。 ユーザーは、互換性の問題を気にすることなく、1 つのホストにコンテナー イメージを作成し、別のホストにデプロイできます。 詳細については、「コンテナーの移植性」を参照してください。

Windows Server Insider Program

Windows Server Insider Program は、愛好家のコミュニティ向けに最新の Windows OS リリースへの早期アクセスを提供します。 メンバーとして、Microsoft が開発している新しいアイデアや概念を最初に試すことができます。 メンバーとして登録すると、さまざまなリリース チャネルに参加できます。 スタート>設定>Windows Update>Windows Insider Programに移動します。

関連コンテンツ

Windows Server Insider Community のディスカッション