다음을 통해 공유

Windows Server 2025의 새로운 기능

이 문서에서는 보안, 성능 및 유연성을 향상시키는 고급 기능이 포함된 Windows Server 2025의 몇 가지 최신 개발에 대해 설명합니다. 더 빠른 스토리지 옵션과 하이브리드 클라우드 환경과 통합할 수 있는 기능을 통해 인프라 관리가 더욱 간소화되었습니다. Windows Server 2025는 이전 버전의 강력한 기반에서 빌드되었으며 요구 사항에 맞게 다양하며 혁신적인 개선 사항이 도입되었습니다.

공식 릴리스 전에 Windows Server 2025의 최신 기능을 사용해 보려면 Windows Server Insiders 미리 보기 시작을 참조하세요.

데스크톱 환경 및 업그레이드

Windows 업데이트 사용하여 업그레이드

원본 미디어 또는 Windows 업데이트 두 가지 방법 중 하나로 현재 위치 업그레이드를 수행할 수 있습니다. Microsoft는 기능 업데이트라고 하는 Windows 업데이트 통해 선택적 현재 위치 업그레이드 기능을 제공합니다. 이 기능 업데이트는 Windows Server 2019 및 Windows Server 2022 디바이스에서 사용할 수 있습니다.

설정 대화 상자에서 Windows 업데이트 사용하여 업그레이드하는 경우 데스크톱 내의 Windows 업데이트 또는 Server Core용 SConfig를 사용하여 직접 설치를 수행할 수 있습니다. 조직에서는 업그레이드를 증분 방식으로 구현하고 그룹 정책을 사용하여 이 선택적 업그레이드의 가용성을 제어하려고 할 수 있습니다.

기능 업데이트 제안을 관리하는 방법에 대한 자세한 내용은 Windows Server에서 그룹 정책을 사용하여 기능 업데이트 관리를 참조 하세요.

Windows Server 2012 R2에서 현재 위치 업그레이드

Windows Server 2025를 사용하면 한 번에 최대 4개의 버전을 업그레이드할 수 있습니다. Windows Server 2012 R2 이상에서 Windows Server 2025로 직접 업그레이드할 수 있습니다.

데스크톱 셸

처음으로 로그인하면 데스크톱 셸 환경이 Windows 11의 스타일 및 모양을 준수합니다.

Bluetooth

이제 Windows Server Preview에서 bluetooth를 통해 마우스, 키보드, 헤드셋, 오디오 장치 등을 연결할 수 있습니다.

DTrace

Windows Server 2025에는 네이티브 도구가 장착되어 dtrace 있습니다. DTrace는 사용자가 시스템 성능을 실시간으로 모니터링하고 디버그할 수 있는 명령줄 유틸리티입니다. DTrace를 사용하면 사용자가 코드 자체를 수정할 필요 없이 커널 및 사용자 공간 코드를 동적으로 계측할 수 있습니다. 이 다양한 도구는 사용자 수준 이벤트의 집계, 히스토그램 및 추적과 같은 다양한 데이터 수집 및 분석 기술을 지원합니다. 명령줄 도움말은 DTrace를 참조하고 기타 기능은 Windows의 DTrace를 참조하세요.

전자 메일 및 계정

이제 Windows Server 2025용 계정 전자 메일 및 계정의 Windows 설정에서 > 다음 유형의 계정을 추가할 수 있습니다.

  • Microsoft Entra ID
  • Microsoft 계정
  • 회사 또는 학교 계정

대부분의 경우 도메인 가입이 여전히 필요하다는 점을 명심해야 합니다.

피드백 허브

Windows Server 2025를 사용하는 동안 발생한 피드백 제출 또는 문제 보고는 이제 Windows 피드백 허브를 사용하면 됩니다. 문제를 발생시킨 프로세스의 스크린샷 또는 기록을 포함하면 사용자의 상황을 이해하고 Windows 환경을 향상시키기 위한 제안을 공유할 수 있습니다. 자세한 내용은 피드백 허브 탐색을 참조하세요.

파일 압축

Windows Server 2025에는 압축이라는 마우스 오른쪽 단추를 수행하여 항목을 압축할 때 새로운 압축 기능이 있습니다. 이 기능은 각각에 대한 특정 압축 방법을 사용하여 ZIP, 7zTAR 압축 형식을 지원합니다.

고정된 앱

이제 시작 메뉴를 통해 가장 자주 사용되는 앱을 고정할 수 있으며 필요에 맞게 사용자 지정할 수 있습니다. 고정된 기본 앱은 현재 다음과 같습니다.

  • Azure Arc 설치
  • 피드백 허브
  • 파일 탐색기
  • Microsoft Edge
  • 서버 관리자
  • 설정
  • Terminal
  • Windows PowerShell

작업 관리자

Windows Server 2025는 최신 작업 관리자 앱과 Windows 11 스타일을 준수하는 Mica 자료를 사용합니다.

Wi-Fi

이제 무선 LAN 서비스 기능이 기본적으로 설치되므로 무선 기능을 사용하도록 설정하는 것이 더 쉬워집니다. 무선 시작 서비스는 수동으로 설정되며 명령 프롬프트, Windows 터미널 또는 PowerShell에서 실행 net start wlansvc 하여 사용하도록 설정할 수 있습니다.

Windows 터미널

명령줄 사용자를 위한 강력하고 효율적인 다중 셸 애플리케이션인 Windows 터미널 Windows Server 2025에서 사용할 수 있습니다. 검색 창에서 터미널을 검색합니다.

WinGet

Winget은 Windows 디바이스에 애플리케이션을 설치하기 위한 포괄적인 패키지 관리자 솔루션을 제공하는 명령줄 Windows 패키지 관리자 도구인 기본적으로 설치됩니다. 자세한 내용은 winget 도구를 사용하여 애플리케이션 설치 및 관리를 참조하세요.

고급 다중 계층 보안

핫패치(미리 보기)

이제 Azure Arc Portal에서 사용하도록 설정하면 Azure Arc 연결된 Windows Server 2025 컴퓨터에서 핫패치를 사용할 수 있습니다. 핫패치를 사용하면 컴퓨터를 다시 시작할 필요 없이 OS 보안 업데이트를 적용할 수 있습니다. 자세히 알아보려면 핫패치를 참조하세요.

Important

Azure Arc 지원 핫패치는 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Credential Guard

Windows Server 2025부터 Credential Guard는 이제 요구 사항을 충족하는 디바이스에서 기본적으로 사용하도록 설정됩니다. Credential Guard에 대한 자세한 내용은 Credential Guard를 참조하세요.

Active Directory Domain Services

AD DS(Active Directory 도메인 Services) 및 AD LDS(Active Directory Lightweight Domain Services)의 최신 개선 사항은 도메인 관리 환경을 최적화하기 위한 다양한 새로운 기능을 소개합니다.

  • 32k 데이터베이스 페이지 크기 선택적 기능 - AD는 8k 데이터베이스 페이지 크기를 사용하는 Windows 2000에서 도입된 이후 ESE(Extensible Storage Engine) 데이터베이스를 사용합니다. 8k 아키텍처 디자인 결정으로 인해 AD 전반에 제한 사항이 발생했으며 AD 최대 제한 확장성에 설명되어 있습니다.. 이 제한 사항의 예로는 크기가 8k바이트를 초과할 수 없는 단일 레코드 AD 개체가 있습니다. 32k 데이터베이스 페이지 형식으로 전환하면 다중값 특성을 포함하여 레거시 제한의 영향을 받는 영역이 크게 개선됩니다. 다중 값 속성은 이제 최대 3,200개의 값을 보유할 수 있으며, 이는 2.6배 증가한 것입니다.

    새 DC는 64비트 LID(Long Value ID)를 사용하고 이전 버전과의 호환성을 위해 "8k 페이지 모드"에서 실행되는 32k 페이지 데이터베이스와 함께 설치할 수 있습니다. 업그레이드된 DC는 현재 데이터베이스 형식과 8k 페이지를 계속 사용합니다. 32k 데이터베이스 페이지로 이동하는 작업은 포리스트 전체에서 수행되며 포리스트의 모든 DC에 32k 페이지 지원 데이터베이스가 있어야 합니다.

  • AD 스키마 업데이트 - AD 스키마를 확장하는 세 개의 LDF(로그 데이터베이스 파일)인 sch89.ldf, sch90.ldf, sch91.ldf가 도입되었습니다. AD LDS에 해당하는 스키마 업데이트는 MS-ADAM-Upgrade3.ldf에 있습니다. 이전 스키마 업데이트에 대한 자세한 내용은 Windows Server AD 스키마 업데이트를 참조하세요.

  • AD 개체 복구 - 이제 AD를 사용하면 엔터프라이즈 관리자가 핵심 특성인 SamAccountTypeObjectCategory가 누락된 개체를 복구할 수 있습니다. 엔터프라이즈 관리자는 개체의 LastLogonTimeStamp 특성을 현재 시간으로 다시 설정할 수 있습니다. 이 작업은 fixupObjectState라고 하는 영향 받은 개체에서 새 RootDSE 수정 작업 기능을 통해 수행됩니다.

  • 채널 바인딩 감사 지원 - 이제 LDAP(Lightweight Directory Access Protocol) 채널 바인딩에 대해 이벤트 3074 및 3075를 사용하도록 설정할 수 있습니다. 채널 바인딩 정책이 보다 안전한 설정으로 수정되면 관리자는 채널 바인딩을 지원하거나 실패하지 않는 환경에서 디바이스를 식별할 수 있습니다. 이러한 감사 이벤트는 KB4520412를 통해 Windows Server 2022 이상에서도 사용할 수 있습니다.

  • DC 위치 알고리즘 개선 사항 - DC 검색 알고리즘은 짧은 NetBIOS 스타일 도메인 이름을 DNS 스타일 도메인 이름에 매핑하는 개선 사항이 포함된 새로운 기능을 제공합니다. 자세한 내용은 Active Directory DC 로케이터 변경 내용을 참조하세요.

    참고 항목

    Microsoft가 이러한 레거시 기술에 대한 WINS 및 mailslots의 사용 중단을 발표함에 따라 Windows는 DC 검색 작업 중에 mailslot을 사용하지 않습니다.

  • 포리스트 및 도메인 기능 수준 - 새 기능 수준은 일반적인 지원을 위해 사용되며 새 32K 데이터베이스 페이지 크기 기능에 필요합니다. 새 기능 수준은 무인 설치를 위해 DomainLevel 10ForestLevel 10 값에 매핑됩니다. Microsoft는 Windows Server 2019 및 Windows Server 2022의 기능 수준을 개조할 계획이 없습니다. DC(도메인 컨트롤러)의 무인 승격 및 강등을 수행하려면 도메인 컨트롤러의 무인 승격 및 강등에 대한 DCPROMO 응답 파일 구문을 참조하세요.

    DsGetDcName API(애플리케이션 프로그래밍 인터페이스)는 Windows Server 2025를 실행하는 DC의 위치를 사용하도록 설정하는 새 플래그인 DS_DIRECTORY_SERVICE_13_REQUIRED도 지원합니다. 다음 문서에서는 기능 레벨에 대해 자세히 알아볼 수 있습니다.

    참고 항목

    Windows Server 2016 이상의 기능 수준을 사용하려면 새 AD 포리스트 또는 AD LDS 구성 집합이 필요합니다. AD 또는 AD LDS 복제본을 승격하려면 기존 도메인 또는 구성 집합이 Windows Server 2016 이상의 기능 수준으로 이미 실행되고 있어야 합니다.

    Microsoft는 모든 고객이 다음 릴리스를 준비하기 위해 AD 및 AD LDS 서버를 Windows Server 2022로 업그레이드할 계획을 시작할 것을 권장합니다.

  • 이름/시드 조회에 대한 향상된 알고리즘 - 컴퓨터 계정 간의 LSA(로컬 보안 기관) 이름 및 시드 조회 전달은 더 이상 레거시 Netlogon 보안 채널을 사용하지 않습니다. Kerberos 인증 및 DC 로케이터 알고리즘이 대신 사용됩니다. 레거시 운영 체제와의 호환성을 유지하기 위해 Netlogon 보안 채널을 대체 옵션으로 사용할 수 있습니다.

  • 기밀 특성 에 대한 보안 향상 - DC 및 AD LDS 인스턴스는 연결이 암호화될 때 LDAP가 기밀 특성과 관련된 작업을 추가, 검색 및 수정할 수 있도록 허용합니다.

  • 기본 컴퓨터 계정 암호의 보안 향상 - AD는 이제 임의로 생성된 기본 컴퓨터 계정 암호를 사용합니다. Windows 2025 DC는 컴퓨터 계정 암호를 컴퓨터 계정 이름의 기본 암호로 설정하는 것을 차단합니다.

    이 동작은 GPO 설정인 도메인 컨트롤러: 기본 컴퓨터 계정 암호 설정 거부(위치: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)를 사용하도록 설정하여 제어할 수 있습니다.

    ADAC(Active Directory 관리 센터), ADUC(Active Directory 사용자 및 컴퓨터), net computerdsmod 같은 유틸리티도 이 새로운 동작을 적용합니다. ADAC와 ADUC 모두 더 이상 pre-2k Windows 계정을 만들 수 없습니다.

  • 암호화 민첩성에 대한 Kerberos PKINIT 지원 - 더 많은 알고리즘을 지원하고 하드 코딩된 알고리즘을 제거하여 암호화 민첩성을 허용하도록 Kerberos PKINIT(Kerberos) 프로토콜 구현의 초기 인증을 위한 Kerberos 공개 키 암호화가 업데이트됩니다.

  • LAN 관리자 GPO 설정 - GPO 설정 네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함은 더 이상 존재하지 않으며 새 Windows 버전에 적용할 수 없습니다.

  • 기본적으로 LDAP 암호화 - SASL(단순 인증 및 보안 계층) 바인딩 후의 모든 LDAP 클라이언트 통신은 기본적으로 LDAP 봉인을 활용합니다. SASL에 대한 자세한 내용은 SASL 인증을 참조하세요.

  • TLS 1.3에 대한 LDAP 지원 - LDAP는 최신 SCHANNEL 구현을 사용하고 TLS 연결을 통해 LDAP에 대해 TLS 1.3을 지원합니다. TLS 1.3을 사용하면 사용되지 않는 암호화 알고리즘이 제거되고, 이전 버전에 비해 보안이 더 강화되며, 가능한 많은 핸드셰이크를 암호화하는 것을 목표로 합니다. 자세한 내용은 TLS/SSL의 프로토콜(Schannel SSP)Windows Server 2022의 TLS 암호 그룹을 참조하세요.

  • 레거시 SAM RPC 암호 변경 동작 - Kerberos와 같은 보안 프로토콜은 도메인 사용자 암호를 변경하는 기본 방법입니다. DC에서 AES를 사용하는 최신 SAM RPC 암호 변경 메서드 SamrUnicodeChangePasswordUser4는 원격으로 호출될 때 기본적으로 허용됩니다. 다음 레거시 SAM RPC 메서드는 원격으로 호출될 때 기본적으로 차단됩니다.

    보호된 사용자 그룹의 구성원인 도메인 사용자 및 도메인 구성원 컴퓨터의 로컬 계정의 경우 모든 원격 암호 변경사항은 SamrUnicodeChangePasswordUser4를 포함한 레거시 SAM RPC 인터페이스를 통해 기본적으로 차단됩니다.

    이 동작은 다음 GPO(그룹 정책 개체) 설정을 사용하여 제어할 수 있습니다.

    컴퓨터 구성 > 관리 템플릿 > 시스템 > 보안 계정 관리자 > SAM 변경 암호 RPC 메서드 정책 구성

  • NUMA 지원 - AD DS는 이제 모든 프로세서 그룹의 CPU를 활용하여 NUMA(Non-Uniform Memory Access) 지원 하드웨어를 활용합니다. 이전에는 AD에서 그룹 0의 CPU만 사용했습니다. Active Directory는 64코어 이상으로 확장할 수 있습니다.

  • 성능 카운터 - 이제 다음 카운터의 성능 모니터링 및 문제 해결을 사용할 수 있습니다.

    • DC 로케이터 - 클라이언트 및 DC 특정 카운터를 사용할 수 있습니다.

    • LSA 조회 - LsaLookupNames, LsaLookupSids 및 해당 API를 통해 이름SID 조회 이러한 카운터는 클라이언트 및 서버 SKU 모두에서 사용할 수 있습니다.

    • LDAP 클라이언트 - KB 5029250 업데이트를 통해 Windows Server 2022 이상에서 사용 가능합니다.

  • 복제 우선 순위 순서 - 이제 AD를 사용하면 관리자가 특정 명명 컨텍스트에 대해 특정 복제 파트너와 함께 시스템 계산 복제 우선 순위를 늘릴 수 있습니다. 이 기능을 사용하면 특정 시나리오를 처리하도록 복제 순서를 보다 유연하게 구성할 수 있습니다.

위임 관리 서비스 계정

이 새로운 유형의 계정을 사용하면 서비스 계정에서 dMSA(위임된 관리 서비스 계정)로 마이그레이션할 수 있습니다. 이 계정 유형에는 원래 서비스 계정 암호를 사용하지 않도록 설정하면서 최소한의 애플리케이션 변경을 보장하는 완전히 무작위화된 관리형 키가 함께 제공됩니다. 자세한 내용은 위임 관리 서비스 계정 개요를 참조하세요.

WINDOWS 로컬 관리자 암호 솔루션(LAPS)

Windows LAPS를 사용하면 조직에서 도메인에 가입된 컴퓨터에서 로컬 관리자 암호를 관리할 수 있습니다. 각 컴퓨터의 로컬 관리자 계정에 대한 고유 암호를 자동으로 생성하고, AD에 안전하게 저장하고, 정기적으로 업데이트합니다. 자동으로 생성된 암호는 공격자가 손상되거나 쉽게 추측할 수 있는 암호를 사용하여 중요한 시스템에 액세스할 위험을 줄여 보안을 개선하는 데 도움이 됩니다.

다음과 같은 향상된 기능을 제공하는 Microsoft LAPS에 몇 가지 기능이 도입되었습니다.

  • 새 자동 계정 관리 기능

    최신 업데이트를 통해 IT 관리자는 관리되는 로컬 계정을 쉽게 만들 수 있습니다. 이 기능을 사용하면 계정 이름을 사용자 지정하고, 계정을 사용하거나 사용하지 않도록 설정하고, 보안 강화를 위해 계정 이름을 임의로 지정할 수도 있습니다. 또한 업데이트에는 Microsoft의 기존 로컬 계정 관리 정책과의 향상된 통합이 포함됩니다. 이 기능에 대한 자세한 내용은 Windows LAPS 계정 관리 모드를 참조하세요.

  • 새 이미지 롤백 검색 기능

    이제 Windows LAPS는 이미지 롤백이 발생하는 시기를 감지합니다. 롤백이 발생하는 경우 AD에 저장된 암호가 디바이스에 로컬로 저장된 암호와 더 이상 일치하지 않을 수 있습니다. 롤백하면 IT 관리자가 지속형 Windows LAPS 암호를 사용하여 디바이스에 로그인할 수 없는 "조각난 상태"가 발생할 수 있습니다.

    이 문제를 해결하기 위해 msLAPS-CurrentPasswordVersion이라는 AD 특성을 포함하는 새 기능이 추가되었습니다. 이 특성에는 새 암호가 AD에 유지되고 로컬로 저장될 때마다 Windows LAPS에서 작성한 임의의 GUID가 포함됩니다. 모든 처리 주기 동안 msLAPS-CurrentPasswordVersion에 저장된 GUID가 쿼리되고 로컬로 유지되는 복사본과 비교됩니다. 다른 경우 암호가 즉시 회전됩니다.

    이 기능을 사용하려면 최신 버전의 Update-LapsADSchema cmdlet을 실행해야 합니다. 완료되면 Windows LAPS는 새 특성을 인식하고 사용을 시작합니다. 업데이트된 버전의 Update-LapsADSchema cmdlet을 실행하지 않으면 Windows LAPS는 이벤트 로그에 10108 경고 이벤트를 기록하지만 다른 모든 측면에서는 정상적으로 계속 작동합니다.

    이 기능을 사용하거나 구성하는 데는 정책 설정이 사용되지 않습니다. 이 기능은 새 스키마 특성이 추가되면 항상 사용하도록 설정됩니다.

  • 새 암호 기능

    이제 IT 관리자는 덜 복잡한 암호를 생성할 수 있도록 하는 Windows LAPS의 새로운 기능을 활용할 수 있습니다. 예를 들어 EatYummyCaramelCandy와 같은 암호는 V3r_b4tim#963과 같은 기존 암호에 비해 읽기, 기억 및 입력하기 쉽습니다.

    또한 이 새로운 기능을 사용하면 세 가지 암호 단어 목록 중 하나를 선택하도록 PasswordComplexity 정책 설정을 구성할 수 있으며, 모두 별도의 다운로드 없이 Windows에 포함되어 있습니다. PassphraseLength라고 하는 새 정책 설정은 암호에 사용되는 단어 수를 제어합니다.

    암호를 만들 때 선택한 단어 목록에서 지정된 단어 수를 임의로 선택하고 연결합니다. 각 단어의 첫 글자를 대문자로 표시하여 가독성을 향상시킵니다. 이 기능은 Windows Server AD 또는 Microsoft Entra ID까지 암호를 백업하는 기능도 완벽하게 지원합니다.

    세 가지 새로운 PasswordComplexity 암호 설정에 사용되는 암호 단어 목록은 전자 프론티어 재단의 문서 심층 분석: EFF의 임의 암호 문구에 대한 새 단어 목록에서 제공됩니다. Windows LAPS 암호 Word 목록은 CC-BY-3.0 특성 라이선스에 따라 라이선스가 부여되며 다운로드할 수 있습니다.

    참고 항목

    Windows LAPS는 기본 제공 단어 목록의 사용자 지정이나 고객이 구성한 단어 목록을 사용할 수 없습니다.

  • 향상된 가독성 암호 사전

    Windows LAPS에는 IT 관리자가 덜 복잡한 암호를 만들 수 있는 새로운 PasswordComplexity 설정이 도입되었습니다. 이 기능을 사용하면 기존 복잡성 설정 4와 같이 4개의 문자 범주(대문자, 소문자, 숫자 및 특수 문자)를 모두 사용하도록 LAPS를 사용자 지정할 수 있습니다. 그러나 새 설정이 5이면 암호 가독성을 높이고 혼동을 최소화하기 위해 더 복잡한 문자가 제외됩니다. 예를 들어 숫자 "1"과 문자 "I"는 새 설정과 함께 사용되지 않습니다.

    PasswordComplexity를 5로 구성하면 기본 암호 사전 문자 집합이 다음과 같이 변경됩니다.

    • 다음 문자를 사용하지 마세요 'I', 'O', 'Q', 'l', 'o'
    • 다음 숫자를 사용하지 마세요. '0', '1'
    • 다음 "특수" 문자를 사용하지 마세요. ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
    • 다음 "특수" 문자를 사용하여 시작하세요. ':', '=', '?', '*'

    이제 microsoft 관리 콘솔을 통해 Active Directory 사용자 및 컴퓨터 스냅인에 향상된 Windows LAPS 탭이 제공됩니다. 이제 Windows LAPS 암호가 일반 텍스트로 표시될 때 가독성을 향상시키는 새 글꼴로 표시됩니다.

  • 개별 프로세스 종료에 대한 PostAuthenticationAction 지원

    새 옵션은 PostAuthenticationActions(PAA) 그룹 정책 설정 “암호 재설정, 관리 계정 로그아웃 및 남아 있는 프로세스 종료”(컴퓨터 설정 > 관리 템플릿 > 시스템 > LAPS > 인증 후 작업에 위치함)에 추가됩니다..

    이 새로운 옵션은 이전 "암호 재설정 및 관리되는 계정 로그아웃" 옵션의 확장입니다. 구성되면 PAA는 대화형 로그인 세션을 알리고 종료합니다. Windows LAPS 관리 로컬 계정 ID에서 계속 실행 중인 나머지 프로세스를 열거하고 종료합니다. 이 종료 이전의 알림은 없다는 점에 유의해야 합니다.

    또한 인증 후 작업 실행 중에 로깅 이벤트를 확장하면 작업에 대한 심층적인 인사이트를 얻을 수 있습니다.

Windows LAPS에 대한 자세한 내용은 Windows LAPS란?을 참조하세요.

OpenSSH

이전 버전의 Windows Server에서는 OpenSSH 연결 도구를 사용하기 전에 수동으로 설치해야 했습니다. OpenSSH 서버 쪽 구성 요소는 기본적으로 Windows Server 2025에 설치됩니다. 서버 관리자 UI에는 서비스를 사용하거나 사용하지 않도록 설정하는 원격 SSH 액세스 아래의 1단계 옵션도 포함되어 있습니다sshd.exe. 또한 사용자를 OpenSSH 사용자 그룹에 추가하여 디바이스에 대한 액세스를 허용하거나 제한할 수 있습니다. 자세한 내용은 Windows용 OpenSSH 개요를 참조하세요.

보안 기준

사용자 지정된 보안 기준을 구현하여 권장되는 보안 태세에 따라 디바이스 또는 VM 역할에 대한 보안 조치를 처음부터 바로 설정할 수 있습니다. 이 기준에는 Microsoft 및 업계 표준에서 권장하는 모범 사례에 맞는 특정 보안 설정을 적용하고 적용할 수 있는 350개가 넘는 미리 구성된 Windows 보안 설정이 제공됩니다. 자세한 내용은 OSConfig 개요를 참조하세요.

VBS(가상화 기반 보안) Enclave

VBS enclave는 호스트 애플리케이션의 주소 공간 내에 있는 소프트웨어 기반 TEE(신뢰할 수 있는 실행 환경)입니다. VBS enclave는 기본 VBS 기술을 사용하여 메모리의 보안 파티션에서 애플리케이션의 중요한 부분을 격리합니다. VBS enclave를 사용하면 호스트 애플리케이션과 시스템의 나머지 부분 모두에서 중요한 워크로드를 격리할 수 있습니다.

VBS Enclave를 사용하면 관리자를 신뢰할 필요가 없어지고 악의적인 공격자에 대한 보안이 강화되어 애플리케이션에서 비밀을 보호할 수 있습니다. 자세한 내용은 VBS enclave Win32 참조를 참조하세요.

VBS(가상화 기반 보안) 키 보호

VBS 키 보호를 사용하면 Windows 개발자가 VBS(가상화 기반 보안)를 사용하여 암호화 키를 보호할 수 있습니다. VBS는 CPU의 가상화 확장 기능을 사용하여 일반 OS 외부에서 격리된 런타임을 만듭니다. 사용 중인 경우 VBS 키는 보안 프로세스에서 격리되므로 이 공간 외부에 프라이빗 키 자료를 노출하지 않고도 키 작업을 수행할 수 있습니다. 미사용 시 프라이빗 키 자료는 VBS 키를 디바이스에 바인딩하는 TPM 키로 암호화됩니다. 이러한 방식으로 보호되는 키는 프로세스 메모리에서 덤프하거나 사용자의 컴퓨터에서 일반 텍스트로 내보낼 수 없습니다. VBS 키 보호는 관리자 수준 공격자의 반출 공격을 방지하는 데 도움이 됩니다. 키 보호를 사용하려면 VBS를 사용하도록 설정해야 합니다. VBS를 사용하도록 설정하는 방법에 대한 자세한 내용은 메모리 무결성 사용을 참조하세요.

보안 연결

보안 인증서 관리

이제 Windows에서 인증서를 검색하거나 검색하면 CertFindCertificateInStoreCertGetCertificateContextProperty 함수에 설명된 대로 SHA-256 해시가 지원됩니다. TLS 서버 인증은 Windows 전체에서 더 안전하며 이제 최소 RSA 키 길이 2,048비트가 필요합니다. 자세한 내용은 TLS 서버 인증: 약한 RSA 인증서 사용 중단을 참조하세요.

SMB over QUIC

Windows Server Azure Edition에서만 사용할 수 있었던 SMB over QUIC 서버 기능은 이제 Windows Server Standard 및 Windows Server Datacenter 버전 모두에서 사용할 수 있습니다. SMB over QUIC는 인터넷을 통해 대기 시간이 짧고 암호화된 연결을 제공하는 QUIC의 이점을 추가합니다.

QUIC 사용 정책을 통해 SMB

관리자는 그룹 정책 및 PowerShell을 통해 SMB over QUIC 클라이언트를 사용하지 않도록 설정할 수 있습니다. 그룹 정책을 사용하여 QUIC를 통해 SMB를 사용하지 않도록 설정하려면 다음 경로에서 QUIC를 통해 SMB 사용 정책을 사용 안 함으로 설정합니다.

  • Computer Configuration\Administrative Templates\Network\Lanman Workstation

  • Computer Configuration\Administrative Templates\Network\Lanman Server

PowerShell을 사용하여 SMB over QUIC를 사용하지 않도록 설정하려면 관리자 권한 PowerShell 프롬프트에서 다음 명령을 실행합니다.

Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB 서명 및 암호화 감사

관리자는 SMB 서명 및 암호화를 지원하기 위해 SMB 서버 및 클라이언트의 감사를 사용하도록 설정할 수 있습니다. 비 Microsoft 클라이언트 또는 서버에서 SMB 암호화 또는 서명에 대한 지원이 없는 경우 검색할 수 있습니다. 타사 디바이스 또는 소프트웨어가 SMB 3.1.1을 지원하지만 SMB 서명을 지원하지 못하는 경우 SMB 3.1.1 사전 인증 무결성 프로토콜 요구 사항을 위반 합니다 .

그룹 정책 또는 PowerShell을 사용하여 SMB 서명 및 암호화 감사 설정을 구성할 수 있습니다. 이러한 정책은 다음 그룹 정책 경로에서 변경될 수 있습니다.

  • 컴퓨터 구성\관리 템플릿\네트워크\Lanman 서버\감사 클라이언트가 암호화를 지원하지 않음

  • 컴퓨터 구성\관리 템플릿\네트워크\Lanman 서버\감사 클라이언트가 암호화를 지원하지 않음

  • 컴퓨터 구성\관리 템플릿\네트워크\Lanman 워크스테이션\감사 서버가 암호화를 지원하지 않음

  • 컴퓨터 구성\관리 템플릿\네트워크\Lanman 워크스테이션\감사 서버가 서명을 지원하지 않음

PowerShell을 사용하여 이러한 변경 내용을 수행하려면 관리자 권한 프롬프트에서 다음 명령을 실행합니다. 여기서 $true는 이러한 설정을 사용하도록 설정하고 $false는 사용하지 않도록 설정합니다.

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

이러한 변경 내용에 대한 이벤트 로그는 지정된 이벤트 ID를 사용하여 다음 이벤트 뷰어 경로에 저장됩니다.

Path 이벤트 ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit 31998
31999
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit 3021
3022
SMB over QUIC 감사

SMB over QUIC 클라이언트 연결 감사는 이벤트 뷰어에서 QUIC 전송을 포함하도록 이벤트 로그에 기록된 이벤트를 캡처합니다. 이러한 로그는 지정된 이벤트 ID를 사용하여 다음 경로에 저장됩니다.

Path 이벤트 ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity 30832
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity 1913
QUIC 클라이언트 액세스 제어를 통해 SMB

Windows Server 2025에는 QUIC 클라이언트 액세스 제어를 통해 SMB가 포함됩니다. QUIC를 통해 SMB는 신뢰할 수 없는 네트워크를 통해 에지 파일 서버에 보안 연결을 제공하는 TCP 및 RDMA의 대안입니다. 클라이언트 액세스 제어는 인증서를 사용하여 데이터에 대한 액세스를 제한하는 더 많은 컨트롤을 도입합니다. 자세한 내용은 클라이언트 액세스 제어의 작동 방식을 참조하세요.

SMB 대체 포트

SMB 클라이언트를 사용하여 IANA/IETF 기본값인 445, 5445 및 443 대신 대체 TCP, QUIC 및 RDMA 포트에 연결할 수 있습니다. 그룹 정책 또는 PowerShell을 통해 대체 포트를 구성할 수 있습니다. 이전에는 Windows의 SMB 서버가 IANA 등록 포트 TCP/445를 사용하도록 인바운드 연결을 의무화했으며 SMB TCP 클라이언트는 동일한 TCP 포트에 대한 아웃바운드 연결만 허용했습니다. 이제 SMB over QUIC는 SMB 대체 포트를 허용합니다. 여기서 QUIC 필수 UDP/443 포트는 서버와 클라이언트 디바이스 모두에서 사용 가능합니다. 자세한 내용은 대체 SMB 포트 구성을 참조하세요.

SMB 방화벽 규칙 강화

이전에는 공유를 만들 때 관련 방화벽 프로필에 대해 파일 및 프린터 공유 그룹을 사용하도록 SMB 방화벽 규칙이 자동으로 구성되었습니다. 이제 Windows에서 SMB 공유를 만들면 새 파일 및 프린터 공유(제한) 그룹이 자동으로 구성되어 더 이상 인바운드 NetBIOS 포트 137-139를 허용하지 않습니다. 자세한 내용은 업데이트된 방화벽 규칙을 참조하세요.

SMB 암호화

모든 아웃바운드 SMB 클라이언트 연결에 대해 SMB 암호화 적용이 활성화됩니다. 이 업데이트를 통해 관리자는 모든 대상 서버가 SMB 3.x 및 암호화를 지원하도록 위임을 설정할 수 있습니다. 서버에 이러한 기능이 없는 경우 클라이언트는 연결을 설정할 수 없습니다.

SMB 인증 속도 제한

SMB 인증 속도 제한은 특정 기간 내에 수행할 수 있는 인증 시도 횟수를 제한하도록 설계되었습니다. SMB 인증 속도 제한기는 무차별 암호 대입 인증 공격에 대처하는 데 도움이 됩니다. SMB 서버 서비스는 인증 속도 제한기를 사용하여 실패한 각 NTLM 또는 PKU2U 기반 인증 시도 간에 지연을 구현하며 기본적으로 사용하도록 설정됩니다. 자세한 내용은 SMB 인증 속도 제한의 작동 방식을 참조 하세요.

SMB NTLM 사용 안 함

Windows Server 2025부터 SMB 클라이언트는 원격 아웃바운드 연결에 대한 NTLM 차단을 지원합니다. 이전에는 Windows SPNEGO(Simple and Protected GSSAPI Negotiation Mechanism)가 대상 서버와 Kerberos, NTLM 및 기타 메커니즘을 협상하여 지원되는 보안 패키지를 결정했습니다. 자세한 내용은 SMB에서 NTLM 연결 차단을 참조하세요.

SMB 방언 컨트롤

이제 Windows에서 SMB 방언을 관리할 수 있습니다. 구성된 경우 SMB 서버는 가장 높은 방언만 일치하는 이전 동작과 비교하여 협상하는 SMB 2 및 SMB 3 방언을 결정합니다.

SMB 서명

SMB 서명은 AD 도메인 컨트롤러에서 SYSVOLNETLOGON이라는 공유에 연결할 때만 이전에 필요했던 모든 SMB 아웃바운드 연결에 기본적으로 필요합니다. 자세한 내용은 서명 작동 방식을 참조하세요.

원격 메일 슬롯

Active Directory에서 SMB 및 DC 로케이터 프로토콜 사용에 대해 기본적으로 원격 Mailslot 프로토콜을 사용할 수 없습니다. 원격 메일 슬롯은 이후 릴리스에서 제거될 수 있습니다. 자세한 내용은 더 이상 개발하지 않는 기능을 참조하세요.

RRAS(라우팅 및 원격 액세스 서비스) 강화

기본적으로 새 RRAS(라우팅 및 원격 액세스 서비스) 설치는 PPTP 및 L2TP 프로토콜을 기반으로 VPN 연결을 허용하지 않습니다. 필요한 경우 이러한 프로토콜을 계속 사용하도록 설정할 수 있습니다. SSTP 및 IKEv2 기반 VPN 연결은 변경 없이 계속 허용됩니다.

기존 구성은 해당 동작을 유지합니다. 예를 들어 Windows Server 2019를 실행하고 PPTP 및 L2TP 연결을 수락하고 현재 위치 업그레이드를 사용하여 Windows Server 2025로 업그레이드하는 경우 L2TP 및 PPTP 기반 연결은 계속 허용됩니다. 이 변경 사항은 Windows 클라이언트 운영 체제에는 영향을 미치지 않습니다. PPTP 및 L2TP를 다시 사용하도록 설정하는 방법에 대한 자세한 내용은 VPN 프로토콜 구성을 참조 하세요.

Hyper-V, AI 및 성능

가속화된 네트워킹

AccelNet(가속 네트워킹)은 Windows Server 2025 클러스터에서 호스트되는 VM(가상 머신)에 대한 SR-IOV(단일 루트 I/O 가상화)의 관리를 간소화합니다. 이 기능은 고성능 SR-IOV 데이터 경로를 사용하여 대기 시간, 지터 및 CPU 사용률을 줄입니다. AccelNet에는 필수 구성 요소 검사, 호스트 구성 및 VM 성능 설정을 처리하는 관리 계층도 포함되어 있습니다. 자세한 내용은 Edge(미리 보기)에서 가속화된 네트워킹을 참조하세요.

Hyper-V 관리자

Hyper-V 관리자를 통해 새 VM을 만들면 이제 2세대가 새 가상 머신 마법사기본 옵션으로 설정됩니다.

하이퍼바이저 적용 페이징 번역

HVPT(하이퍼바이저 적용 페이징 변환)는 선형 주소 변환의 무결성을 적용하는 보안 향상 기능입니다. HVPT는 공격자가 버퍼 오버플로의 결과로 임의의 위치에 임의의 값을 쓰는 쓰기-위치 공격으로부터 중요한 시스템 데이터를 보호합니다. HVPT는 중요한 시스템 데이터 구조를 구성하는 페이지 테이블을 보호합니다. HVPT에는 HVCI(하이퍼바이저로 보호된 코드 무결성)로 이미 보호된 모든 항목이 포함되어 있습니다. HVPT는 하드웨어 지원을 사용할 수 있는 경우 기본적으로 사용하도록 설정됩니다. Windows Server가 VM에서 게스트로 실행되는 경우 HVPT를 사용할 수 없습니다.

GPU-P(GPU Partitioning)

GPU 분할을 사용하면 여러 가상 머신 (VMs)과 물리적 GPU 디바이스를 공유할 수 있습니다. 전체 GPU를 단일 VM에 할당하는 대신 GPU 분할은 각 VM에 GPU의 전용 분수를 할당합니다. Hyper-V GPU-P 고가용성을 사용하면 계획되지 않은 가동 중지 시간이 발생할 경우 다른 클러스터 노드에서 GPU-P VM이 자동으로 사용하도록 설정됩니다. GPU-P 실시간 마이그레이션은 GPU-P를 사용하여 VM(계획된 가동 중지 시간 또는 부하 분산용)을 독립 실행형 또는 클러스터된 노드로 이동하는 솔루션을 제공합니다. GPU 분할에 대한 자세한 내용은 GPU 분할을 참조 하세요.

동적 프로세서 호환성

동적 프로세서 호환성 모드는 클러스터형 환경에서 새로운 프로세서 기능을 활용하도록 업데이트됩니다. 동적 프로세서 호환성은 클러스터의 모든 서버에서 사용할 수 있는 최대 프로세서 기능 수를 사용합니다. 이 모드는 이전 버전의 프로세서 호환성에 비해 성능을 향상시킵니다. 동적 프로세서 호환성을 사용하면 다양한 세대의 프로세서를 사용하는 가상화 호스트 간에 상태를 저장할 수도 있습니다. 프로세서 호환성 모드는 이제 SLAT(두 번째 수준 주소 변환)를 수행할 수 있는 프로세서에서 향상된 동적 기능을 제공합니다. 업데이트된 호환성 모드에 대한 자세한 내용은 동적 프로세서 호환 모드를 참조하세요.

작업 그룹 클러스터

Hyper-V 작업 그룹 클러스터는 Hyper-V 클러스터 노드가 작업 그룹 클러스터에서 VM을 실시간 마이그레이션할 수 있는 Active Directory 도메인의 멤버가 아닌 특수한 유형의 Windows Server 장애 조치(failover) 클러스터입니다.

네트워크 ATC

네트워크 ATC는 Windows Server 2025 클러스터에 대한 네트워크 구성의 배포 및 관리를 간소화합니다. 네트워크 ATC는 사용자가 네트워크 어댑터에 대한 관리, 컴퓨팅 또는 스토리지와 같은 원하는 의도를 지정하고 의도된 구성에 따라 배포가 자동화되는 의도 기반 접근 방식을 활용합니다. 이 방법은 호스트 네트워킹 배포와 관련된 시간, 복잡성 및 오류를 줄이고 클러스터 전체에서 구성 일관성을 보장하며 구성 드리프트를 제거합니다. 자세한 내용은 네트워크 ATC를 사용하여 호스트 네트워킹 배포를 참조하세요.

확장성

Windows Server 2025에서 Hyper-V는 이제 호스트당 최대 4페타바이트 메모리와 2,048개의 논리 프로세서를 지원합니다. 이렇게 증가하면 가상화된 워크로드의 확장성과 성능이 향상됩니다.

또한 Windows Server 2025는 2세대 VM에 대해 최대 240TB의 메모리와 2,048개의 가상 프로세서를 지원하므로 대규모 워크로드를 실행할 수 있는 유연성이 향상됩니다. 자세한 내용은 Windows Server의 Hyper-V 확장성 계획을 참조하세요.

스토리지

복제 지원 차단

Windows 11 24H2 및 Windows Server 2025부터 Dev Drive는 이제 블록 복제를 지원합니다. Dev Drive는 ReFS 파일 시스템 형식을 사용하므로 블록 복제 지원은 파일을 복사할 때 상당한 성능 이점을 제공합니다. 블록 복제를 사용하면 파일 시스템은 기본 물리적 데이터에 비용이 많이 드는 읽기 및 쓰기 작업을 수행하는 대신 애플리케이션을 대신하여 파일 바이트 범위를 저렴한 메타데이터 작업으로 복사할 수 있습니다. 이렇게 하면 여러 파일이 동일한 논리 클러스터를 공유할 수 있어, 파일 복사 완료 속도가 빨라지고, 기본 스토리지에 대한 I/O가 줄어들며 스토리지 용량이 향상됩니다. 자세한 내용은 ReFS에서 블록 복제를 참조하세요.

개발자 드라이브

개발자 드라이브는 중요한 개발자 워크로드의 성능을 향상시키는 것을 목표로 하는 스토리지 볼륨입니다. 개발자 드라이브는 ReFS 기술을 활용하고 특정 파일 시스템 최적화를 통합하여 스토리지 볼륨 설정 및 보안에 대한 제어를 강화합니다. 여기에는 트러스트를 지정하고, 바이러스 백신 설정을 구성하고, 연결된 필터에 대한 관리 제어를 실행하는 기능이 포함됩니다. 자세한 내용은 Windows 11에서 개발 드라이브 설정을 참조하세요.

NVMe

NVMe는 빠른 SSD(반도체 드라이브)의 새로운 표준입니다. NVMe 스토리지 성능은 향상된 성능으로 Windows Server 2025에서 최적화되어 IOPS가 증가하고 CPU 사용률이 감소합니다.

스토리지 복제본 압축

스토리지 복제본 압축은 복제 중에 네트워크를 통해 전송되는 데이터의 양을 줄입니다. 스토리지 복제본의 압축에 대한 자세한 내용은 스토리지 복제본 개요를 참조하세요.

스토리지 복제본 향상된 로그

향상된 로그를 사용하면 스토리지 복제본 로그를 구현하여 파일 시스템 추상화와 관련된 성능 비용을 제거하여 블록 복제 성능이 향상됩니다. 자세한 내용은 스토리지 복제본 향상된 로그를 참조하세요.

ReFS 네이티브 스토리지 중복 제거 및 압축

ReFS 네이티브 스토리지 중복 제거 및 압축은 파일 서버 또는 가상 데스크톱과 같은 정적 및 활성 워크로드 모두에 대한 스토리지 효율성을 최적화하는 데 사용되는 기술입니다. ReFS 중복 제거 및 압축에 대한 자세한 내용은 Azure Stack HCI에서 ReFS 중복 제거 및 압축을 사용하여 스토리지 최적화를 참조하세요.

씬 프로비저닝된 볼륨

저장소 공간 Direct를 사용하여 씬 프로비전된 볼륨은 스토리지 리소스를 보다 효율적으로 할당하고 클러스터에 필요한 경우에만 풀에서 할당하여 비용이 많이 드는 초과 할당을 방지하는 방법입니다. 고정된 볼륨을 씬 프로비전된 볼륨으로 변환할 수도 있습니다. 고정된 볼륨에서 씬 프로비저닝된 볼륨으로 변환하면 사용되지 않는 스토리지가 다른 볼륨에서 사용할 풀로 다시 반환됩니다. 씬 프로비저닝된 볼륨에 대한 자세한 내용은 Storage 씬 프로비저닝을 참조 하세요.

서버 메시지 블록

SMB(서버 메시지 블록)는 네트워크의 디바이스 간에 파일 및 기타 리소스를 공유할 수 있는 신뢰할 수 있는 방법을 제공하여 네트워킹에서 가장 널리 사용되는 프로토콜 중 하나입니다. Windows Server 2025에는 업계 표준 LZ4 압축 알고리즘에 대한 SMB 압축 지원이 포함되어 있습니다. LZ4는 XPRESS(LZ77), XPRESS Huffman(LZ77+Huffman), LZNT1 및 PATTERN_V1 대한 기존 SMB에 추가됩니다.

Azure Arc 및 하이브리드

간소화된 Azure Arc 설정

기본적으로 Azure Arc 설정 Feature-on-Demand가 설치되어 Azure Arc에 서버를 추가하는 프로세스를 용이하게 하기 위해 작업 표시줄에 사용자 친화적인 마법사 인터페이스와 시스템 트레이 아이콘을 제공합니다. Azure Arc는 Azure 플랫폼의 기능을 확장하여 다양한 환경에서 작동할 수 있는 애플리케이션 및 서비스를 만들 수 있도록 합니다. 이러한 환경에는 데이터 센터, 에지, 다중 클라우드 환경이 포함되며 향상된 유연성을 제공합니다. 자세한 내용은 Azure Arc 설정을 통해 Windows Server 컴퓨터를 Azure에 연결을 참조하세요.

종량제 라이선스

Azure Arc의 종량제 구독 라이선스 옵션은 Windows Server 2025의 기존 영구 라이선스 대신 사용할 수 있습니다. 종량제로 Windows Server 디바이스를 배포하고, 라이선스를 부여하고, 사용하는 만큼만 요금을 지불할 수 있습니다. 이 기능은 Azure Arc를 통해 촉진되고 Azure 구독을 통해 청구됩니다. Azure Arc 종량제 라이선스에 대해 자세히 알아보세요.

Azure Arc에서 사용하도록 설정된 Windows Server 관리

Azure Arc에서 사용하도록 설정된 Windows Server 관리는 활성 Software Assurances 또는 활성 구독 라이선스인 Windows Server 라이선스가 있는 Windows Server 라이선스를 사용하는 고객에게 새로운 이점을 제공합니다. Windows Server 2025에는 다음과 같은 주요 이점이 있습니다.

  • Azure Arc의 Windows Admin Center: 이제 Windows Admin Center가 Azure Arc와 통합되어 Azure Arc Portal에서 Windows Server 인스턴스를 관리할 수 있습니다. 이 통합은 온-프레미스, 클라우드 또는 에지에서 실행되는 Windows Server 인스턴스에 대한 통합 관리 환경을 제공합니다.

  • 원격 지원: 전문가 지원 고객에게 자세한 실행 기록 및 해지 권한으로 JIT(Just-In-Time) 액세스 권한을 부여할 수 있는 기능을 제공합니다.

  • 모범 사례 평가: 서버 데이터를 수집 및 분석하여 문제 및 수정 지침 및 성능 향상을 생성합니다.

  • Azure Site Recovery 구성: 비즈니스 연속성을 보장하기 위한 Azure Site Recovery 구성은 중요한 워크로드에 대한 복제 및 데이터 복원력을 제공합니다.

Azure Arc에서 사용하도록 설정된 Windows Server 관리 및 사용 가능한 이점에 대한 자세한 내용은 Azure Arc에서 사용하도록 설정된 Windows Server 관리를 참조 하세요.

SDN(소프트웨어 정의 네트워킹)

SDN은 네트워크 관리자가 하위 수준의 기능을 추상화하여 네트워크 서비스를 관리할 수 있도록 하는 네트워킹에 대한 접근 방식입니다. SDN을 사용하면 실제 트래픽을 처리하는 데이터 평면에서 네트워크 관리를 담당하는 네트워크 제어 평면을 분리할 수 있습니다. 이렇게 분리하면 네트워크 관리에서 유연성과 프로그래밍 기능이 향상됩니다. SDN은 Windows Server 2025에서 다음과 같은 이점을 제공합니다.

  • SDN의 제어 평면인 네트워크 컨트롤러는 이제 물리적 호스트 컴퓨터에서 장애 조치(failover) 클러스터 서비스로 직접 호스트됩니다. 클러스터 역할을 사용하면 VM을 배포할 필요가 없으므로 리소스를 절약하면서 배포 및 관리를 간소화할 수 있습니다.

  • 태그 기반 구분을 사용하면 관리자가 사용자 지정 서비스 태그를 사용하여 액세스 제어를 위해 NSG(네트워크 보안 그룹) 및 VM을 연결할 수 있습니다. 이제 관리자는 IP 범위를 지정하는 대신 간단한 자체 설명 레이블을 사용하여 워크로드 VM에 태그를 지정하고 이러한 태그에 따라 보안 정책을 적용할 수 있습니다. 태그는 네트워크 보안을 관리하는 프로세스를 간소화하고 IP 범위를 기억하고 다시 입력할 필요가 없습니다. 자세한 내용은 Windows Admin Center에서 태그를 사용하여 네트워크 보안 그룹 구성을 참조하세요.

  • Windows Server 2025의 기본 네트워크 정책은 Windows Admin Center를 통해 배포된 워크로드에 대해 Azure와 유사한 보호 옵션을 NSG에 제공합니다. 기본 정책은 모든 인바운드 액세스를 거부하므로 워크로드 VM에서 전체 아웃바운드 액세스를 허용하면서 잘 알려진 인바운드 포트를 선택적으로 열 수 있습니다. 기본 네트워크 정책은 워크로드 VM이 생성 시점부터 보호되도록 합니다. 자세한 내용은 Azure Stack HCI 버전 23H2의 가상 머신에서 기본 네트워크 액세스 정책 사용을 참조하세요.

  • SDN Multisite는 추가 구성 요소 없이 두 위치에서 애플리케이션 간에 네이티브 계층 2 및 계층 3 연결을 제공합니다. 이 기능을 사용하면 애플리케이션 또는 네트워크를 다시 구성할 필요 없이 애플리케이션을 원활하게 이동할 수 있습니다. 또한 워크로드에 대한 통합 네트워크 정책 관리를 제공하여 워크로드 VM이 한 위치에서 다른 위치로 이동할 때 정책을 업데이트할 필요가 없도록 합니다. 자세한 내용은 SDN Multisite란?을 참조하세요.

  • SDN 계층 3 게이트웨이의 성능이 향상되어 처리량이 향상되고 CPU 주기가 줄어듭니다. 이러한 개선 사항은 기본적으로 사용하도록 설정됩니다. PowerShell 또는 Windows Admin Center를 통해 SDN 게이트웨이 계층 3 연결을 구성하면 사용자가 자동으로 성능이 향상됩니다.

Windows 컨테이너 이식성

이식성은 컨테이너 관리의 중요한 측면이며 Windows에서 컨테이너의 향상된 유연성과 호환성을 적용하여 업그레이드를 간소화할 수 있습니다. 이식성은 사용자가 수정할 필요 없이 여러 호스트 또는 환경 간에 컨테이너 이미지와 관련 데이터를 이동할 수 있게 해주는 Windows Server의 기능입니다. 사용자는 호환성 문제에 대해 걱정할 필요 없이 한 호스트에서 컨테이너 이미지를 만든 다음 다른 호스트에 배포할 수 있습니다. 자세한 내용은 컨테이너의 이식성을 참조하세요.

Windows Server 참가자 프로그램

Windows Server 참가자 프로그램은 매니아 커뮤니티를 위한 최신 Windows OS 릴리스에 대한 초기 액세스를 제공합니다. 멤버가 되면 Microsoft에서 개발 중인 새로운 아이디어와 개념을 가장 먼저 체험해 볼 수 있습니다. 멤버로 등록한 후에는 Windows 업데이트 Windows 참가자 프로그램으로 이동하여 다른 릴리스 채널에 참여하도록 선택할 수 있습니다.

참고 항목