Windows Server 2025 的新功能
本文介紹 Windows Server 2025 中的一些最新開發功能,其中包含可提高安全性、效能和靈活性的進階功能。 憑藉更快的儲存選項以及與混合雲端環境整合的能力,您現在能更簡單地管理基礎結構。 Windows Server 2025 建置在其前身的強大基礎之上,並引進了一系列創新增強功能來適應您的需求。
桌面體驗和升級
探索升級選項和桌面體驗。
使用 Windows Update 升級
您可以從來源媒體或 Windows Update 執行就地升級。 Microsoft透過稱為功能更新的 Windows Update 提供選擇性就地升級功能。 此功能更新適用於 Windows Server 2019 和 Windows Server 2022 裝置。
當您從 [設定] 對話框使用 Windows Update 進行升級時,您可以直接從桌面內的 Windows Update 或使用 Server Core 的 SConfig 來執行安裝。 您的組織可能偏好以累加方式實作升級,並想要使用組策略控制此選擇性升級的可用性。
若要深入瞭解如何管理功能更新的提供,請參閱 如何在 Windows Server 上使用群組原則管理功能更新。
從 Windows Server 2012 R2 就地升級
使用 Windows Server 2025,您一次最多可以升級四個版本。 您可以從 Windows Server 2012 R2 和更新版本直接升級至 Windows Server 2025。
Desktop 殼層
當您第一次登入時,Desktop 殼層體驗符合 Windows 11 的樣式和外觀。
Bluetooth
您現在可以透過 Windows Server 2025 中的藍牙連接滑鼠、鍵盤、耳機、音訊裝置等等。
DTrace
Windows Server 2025 將 dtrace 配置為原生工具。 DTrace 是命令行公用程式,可讓用戶即時監視和疑難解答其系統的效能。 使用 DTrace,您可以動態檢測核心和使用者空間程式代碼,而不需要修改程式碼本身。 這個多功能工具支援一系列資料收集和分析技術,例如彙總、長條圖和追蹤使用者層級事件。 若要深入瞭解,請參閱
電子郵件和帳戶
您現在可以在 Windows server 2025 的 [帳戶]>[電子郵件] & 帳戶底下,於 [Windows 設定] 中新增下列帳戶類型:
- Microsoft Entra ID
- Microsoft 帳戶
- 公司或學校帳戶
在大部分情況下,仍然需要加入網域。
意見反應中樞
若要提交您在使用 Windows Server 2025 時遇到的意見反應或回報問題,請使用 Windows 意見反應中樞。 包含造成問題的程式的螢幕快照或錄製,以協助我們瞭解您的情況,並分享建議來增強您的 Windows 體驗。 若要深入了解,請參閱探索意見反應中樞。
檔案壓縮
Windows Server 2025 具有新的壓縮功能。 要壓縮某個項目,請用滑鼠右鍵按一下,然後選取壓縮至。 此功能支援 ZIP、7z和 TAR 壓縮格式,並針對每種格式提供特定的壓縮方法。
已釘選的應用程式
釘選您最常使用的應用程式現在可透過 [開始] 功能表
- Azure Arc 設定
- 意見反應中樞
- 檔案總管
- Microsoft Edge
- 伺服器管理員
- 設定
- 終端機
- Windows PowerShell
工作管理員
Windows Server 2025 使用現代任務管理器應用程式,搭配 Mica 材質, 合乎 Windows 11 的樣式。
Wi-Fi
現在更容易啟用無線功能,因為預設會安裝無線 LAN 服務功能。 無線啟動服務會設定為手動。 若要啟用,請在命令提示字元、Windows 終端機或 PowerShell 中執行 net start wlansvc。
Windows 終端機
Windows 終端機 是命令行用戶的強大且有效率的多shell 應用程式,可在 Windows Server 2025 中使用。 在搜尋欄中搜尋 終端機。
WinGet
默認會安裝 WinGet,這是命令行 Windows 套件管理員工具,可提供在 Windows 裝置上安裝應用程式的完整套件管理員解決方案。 若要深入瞭解,請參閱 使用 WinGet 工具來安裝和管理應用程式。
進階多層安全性
瞭解 Windows 2025 中的安全性。
熱帕奇 (預覽)
在 Azure Arc 入口網站中啟用 Hotpatch 之後,已連線至 Azure Arc 的 Windows Server 2025 機器現在可以使用 Hotpatch。 您可以使用 Hotpatch 來套用 OS 安全性更新,而不需重新啟動電腦。 若要深入瞭解,請參閱熱修補。
重要
啟用了 Azure Arc 的 Hotpatch 目前處於預覽階段。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Credential Guard
從 Windows Server 2025 開始,符合要求的裝置都已預設啟用 Credential Guard。 如需 Credential Guard 的詳細資訊,請參閱設定 Credential Guard。
Active Directory 網域服務
Active Directory 網域服務 (AD DS) 和 Active Directory 輕量型網域服務 (AD LDS) 的最新增強功能引進了一系列新功能和功能,旨在最佳化您的網域管理體驗:
32k 資料庫頁面大小選用功能:Active Directory 自從在 Windows 2000 中引進以來,一直使用可延伸儲存引擎(ESE)資料庫,該資料庫使用 8k 資料庫頁面大小。 8k 架構設計決策導致 Active Directory 在整體上受到限制,這些限制記載於 Active Directory 最大限制:延展性。 這項限制的範例是單一記錄 Active Directory 物件,其大小不能超過 8k 位元組。 移至 32k 資料庫頁面格式可大幅改善受舊版限制影響的區域。 多重值屬性現在最多可以容納大約 3,200 個值,這是增加了 2.6 倍。
您可以安裝新的網域控制站(DC),使用 32k 頁面資料庫,該資料庫採用 64 位長值識別碼(LID),並以 8k 頁模式運行,以確保與舊版的相容性。 升級的 DC 會繼續使用其目前的資料庫格式和 8k 頁面。 移至 32k 頁面的資料庫是以全樹系為基礎完成,而且要求樹系中的所有 DC 都有 32k 頁可用的資料庫。
Active Directory 架構更新:引進三個新的記錄資料庫檔案來擴充 Active Directory 架構:
sch89.ldf、sch90.ldf和sch91.ldf。 AD LDS 對等結構描述更新位於MS-ADAM-Upgrade3.ldf中。 若要深入瞭解先前的架構更新,請參閱Windows Server Active Directory 架構更新。 Active Directory 物件修復:企業系統管理員現在可以修復缺少核心屬性的物件,
SamAccountType和ObjectCategory。 企業管理員可以將 物件上的LastLogonTimeStamp屬性重設為目前時間。 這些作業的達成是透過受影響物件上的一項新功能 —— RootDSE 修改作業,該功能名為fixupObjectState。通道綁定稽核支援:您現在可以啟用輕量型目錄存取通訊協定 (LDAP) 通道綁定的事件 3074 和 3075。 當通道系結原則修改為更安全的設定時,系統管理員可以識別環境中不支援或失敗通道系結的裝置。 這些稽核事件也可透過 KB4520412 在 Windows Server 2022 和更新版本中使用。
DC 位置演算法改善:DC 探索演算法提供新功能,可改善短 NetBIOS 樣式功能變數名稱與 DNS 樣式功能變數名稱的對應。 若要深入瞭解,請參閱在 Windows 和 Windows Server中尋找域控制器
。 注意
Windows 不會在 DC 探索作業期間使用 mailslot,因為Microsoft已針對這些舊版技術宣佈 取代 WINS 和 mailslots。
樹系和網域功能等級:新的功能等級會用於一般支援性,而且需要新的 32k 資料庫頁面大小功能。 新的功能等級會對應至無人值守安裝中的
DomainLevel 10和ForestLevel 10的值。 Microsoft 沒有計劃為 Windows Server 2019 和 Windows Server 2022 改造功能等級。 若要執行域控制器的自動升級和降級,請參閱 DCPROMO 回應檔案語法。DsGetDcName API 也支援新的旗標
DS_DIRECTORY_SERVICE_13_REQUIRED,允許定位在執行 Windows Server 2025 的 DC。 您可以在下列文章中深入了解功能等級:注意
需要新的 Active Directory 樹系或 AD LDS 組態集,才能具備 Windows Server 2016 或更新版本的功能等級。 升級 Active Directory 或 AD LDS 副本需要現有的網域或組態集已具備 Windows Server 2016 或更高版本的運作等級來執行。
Microsoft建議所有客戶現在開始規劃將其 Active Directory 和 AD LDS 伺服器升級至 Windows Server 2022,以準備下一個版本。
名稱/SID 查閱改善演算法:本機安全性授權單位 (LSA) 在電腦帳戶之間進行名稱和 SID 查閱轉送,將不再使用舊版的 Netlogon 安全通道。 會改用 Kerberos 驗證和 DC 定位器演算法。 為了保持與舊作業系統的相容性,仍然可以使用 Netlogon 安全通道作為後援選項。
改善機密屬性的安全性:DC 和 AD LDS 實例只允許 LDAP 在加密連線時新增、搜尋和修改涉及機密屬性的作業。
改善預設電腦帳戶密碼的安全性:Active Directory 現在會使用隨機產生的預設電腦帳戶密碼。 Windows 2025 DC 禁止將電腦帳戶密碼設定為電腦帳戶名稱的預設密碼。
若要控制此行為,請在域控制器 啟用組策略物件 (GPO) 設定:拒絕設定位於 計算機設定\Windows 設定\安全性設定\本機原則\安全性選項的預設計算機帳戶 密碼。
Active Directory 管理中心(ADAC)、Active Directory 使用者和計算機(ADUC)、
net computer等公用程式,dsmod也接受這項新行為。 ADAC 和 ADUC 都不再允許建立早於 Windows 2000 的帳戶。Kerberos PKINIT 支援密碼編譯靈活度:Kerberos 通訊協定實作中初始驗證的 Kerberos 公鑰密碼編譯已更新,藉由支援更多演算法和移除硬式編碼演算法來允許密碼編譯靈活度。
LAN Manager GPO 設定:GPO 設定 網路安全性:在下一次密碼變更時,不儲存 LAN Manager 哈希值 已不存在,且不適用於新版本的 Windows。
依預設 LDAP 加密:在簡單驗證和安全性層 (SASL) 系結之後的所有 LDAP 用戶端通訊預設會使用 LDAP 密封。 若要深入了解 SASL,請參閱 SASL 驗證:
LDAP 支援傳輸層安全性 (TLS) 1.3:LDAP 使用最新的 SCHANNEL 實作,並支援透過 TLS 連線使用 LDAP 的 TLS 1.3。 使用 TLS 1.3 可消除過時的密碼編譯演算法,並增強舊版的安全性。 TLS 1.3 的目標是盡可能加密握手。 若要深入了解,請參閱 TLS/SSL 中的通訊協定 (安全通道 SSP) 和 Windows Server 2022 中的 TLS 加密套件。
舊版安全性帳戶管理員(SAM)遠端程序呼叫(RPC)密碼變更行為:安全通訊協定,例如 Kerberos,是變更網域用戶密碼的首選方式。 在 DC 上,預設會接受使用進階加密標準 (AES) 的最新 SAM RPC 密碼變更方法 SamrUnicodeChangePasswordUser4,當其被遠端呼叫時。 在遠端呼叫 SAM RPC 方法時,預設會封鎖下列舊版 SAM RPC 方法:
對於屬於 受保護使用者群組成員的網域 使用者,以及網域成員計算機上的本機帳戶,預設會封鎖透過舊版 SAM RPC 介面進行的所有遠端密碼變更,包括
SamrUnicodeChangePasswordUser4。若要控制此行為,請使用下列 GPO 設定:
計算機設定>系統管理範本>系統>安全性帳戶管理員>設定 SAM 變更密碼 RPC 方法原則
非統一記憶體存取(NUMA)支援:AD DS 現在利用所有處理器群組中的 CPU 來發揮支援 NUMA 的硬體功能。 先前,Active Directory 只會在群組 0 中使用 CPU。 Active Directory 可以擴充 64 個核心以上。
效能計數器:現在可以對下列計數器進行效能監控與排除故障:
- DC定位器:用戶端和DC專用的計數器可供使用。
-
LSA 查找:透過
LsaLookupNames、LsaLookupSids和等效 API 的名稱和 SID 查找。 用戶端和伺服器版本都提供這些計數器。 - LDAP 用戶端:可透過 KB 5029250 更新,在 Windows Server 2022 及更高版本中取得。
複寫優先順序:系統管理員現在可以針對特定命名內容,使用特定復寫夥伴來增加系統計算的復寫優先順序。 這項功能可讓您更彈性地設定複寫順序,以因應特定案例。
委派的受控服務帳戶
這種新類型帳戶可讓您從服務帳戶遷移至委派的受控服務帳戶 (dMSA)。 此帳戶類型隨附受控和完全隨機密鑰,以確保在停用原始服務帳戶密碼時,應用程式變更最少。 若要深入了解,請參閱委派受控服務帳戶概觀。
Windows 本機系統管理員密碼解決方案
Windows 本機系統管理員密碼解決方案 (LAPS) 可協助組織在其已加入網域的電腦上管理本機系統管理員密碼。 它會自動為每個電腦的本機系統管理員帳戶產生唯一的密碼。 然後,它會安全地將它們儲存在 Active Directory 中,並定期更新它們。 自動產生的密碼有助於改善安全性。 他們藉由使用遭入侵或容易猜測的密碼,降低攻擊者取得敏感性系統存取的風險。
Microsoft LAPS 的數項新功能引進了下列改進功能:
新的自動帳戶管理:IT 系統管理員現在可以輕鬆建立受控本機帳戶。 透過這項功能,您可以自定義帳戶名稱,並啟用或停用帳戶。 您甚至可以隨機化帳戶名稱,以提升安全性。 更新也包含 Microsoft 提供的與現有本機帳戶管理原則的整合改進。 若要深入了解這項功能,請參閱 Windows LAPS 帳戶管理模式。
新的映射復原偵測:Windows LAPS 現在會偵測映射復原何時發生。 如果發生還原,儲存在 Active Directory 中的密碼可能不再與裝置本機儲存的密碼相符。 回復可能會導致 破壞狀態。 在此情況下,IT 系統管理員無法使用保存的 Windows LAPS 密碼登入裝置。
若要解決此問題,已新增一項新功能,其中包含名為
msLAPS-CurrentPasswordVersion的 Active Directory 屬性。 這個屬性包含由 Windows LAPS 每次將新密碼保存到 Active Directory 並在本地保存時生成的隨機全域唯一標識碼(GUID)。 在每個處理週期期間,會查詢儲存在msLAPS-CurrentPasswordVersion中的 GUID 並與本機保存的副本進行比較。 如果不同,則會立即輪替密碼。若要啟用此功能,請執行最新版的
Update-LapsADSchemaCmdlet。 Windows LAPS 接著會辨識新的屬性,並開始使用它。 如果您未執行更新版本的Update-LapsADSchemaCmdlet,Windows LAPS 會在事件記錄檔中記錄 10108 警告事件,但會繼續在所有其他方面正常運作。不會使用任何原則設定來啟用或設定此功能。 新增架構屬性之後,一律會啟用此功能。
新的通行密碼:IT 系統管理員現在可以在 Windows LAPS 中使用一項新功能,以產生較不複雜的通行密碼。 例如,像 EatYummyCaramelCandy這樣的口令。 相較於傳統密碼,此片語更容易閱讀、記住和輸入,例如 V3r_b4tim#963?。
透過這項新功能,您可以設定
PasswordComplexity原則設定,以選擇三個不同的文字清單之一用於口令。 所有清單都包含在 Windows 中,而且不需要個別下載。 名為PassphraseLength的新策略設定會控制通行短語中使用的字數。當您建立複雜密碼時,會從所選單字清單中隨機選取指定的字數,並串連。 每個單字的第一個字母都會大寫,以增強可讀性。 這項功能也完全支援將密碼備份到 Active Directory 或 Microsoft Entra ID。
在三個新的
PasswordComplexity通行短語設定中使用的文字清單,取自電子前線基金會的 文章《深入探討:EFF 的隨機通行短語新詞表》。 Windows LAPS 密碼短語詞匯列表 是以 CC-BY-3.0 署名授權發布,可供下載。注意
Windows LAPS 不允許自定義內建字清單或使用客戶設定的單字清單。
改善的可讀性密碼字典:Windows LAPS 引進了新的
PasswordComplexity設定,可讓 IT 系統管理員建立較不複雜的密碼。 您可以使用這項功能來自定義 LAPS,以使用所有四個字元類別(大寫字母、小寫字母、數位和特殊字元),例如現有的複雜度設定4。 使用新的5設定時,會排除更複雜的字元,以增強密碼可讀性,並將混淆降到最低。 例如,數位 1 和字母 I 永遠不會與新的設定搭配使用。當
PasswordComplexity設定為5時,默認密碼字典字元集會進行下列變更:- 不使用: 字母 I、O、Q、l、o
- 不使用: 數字 0,1
- 不使用: 特殊字元 、、。、&、{、}、[、];
- 使用: 特殊字元 :、=、?、*
ADUC 嵌入式管理單元 (透過 Microsoft 管理控制台) 現在具有改良的 Windows LAPS 索引標籤。Windows LAPS 密碼現在會出現在新字型中,以純文本顯示時,可增強其可讀性。
支援終止個別程序的驗證後動作:在 驗證後動作 (PAA) 組策略設定中新增了一個新選項,
Reset the password, sign out the managed account, and terminate any remaining processes,其位於 計算機設定>管理範本>系統>LAPS>驗證後動作。這個新選項是上一個選項的延伸,
Reset the password and log off the managed account。 設定之後,PAA 會通知並終止任何互動式登入會話。 它會列舉並終止仍在 Windows LAPS 所管理之本機帳戶身分識別下執行的任何剩餘進程。 此終止之前沒有通知。PAA 執行期間記錄事件的擴充可提供作業的更深入見解。
若要深入了解 Windows LAPS,請參閱什麼是 Windows LAPS?。
OpenSSH
在舊版的 Windows Server 中,OpenSSH 連線工具在使用之前需要手動安裝。 預設會在 Windows Server 2025 中安裝 OpenSSH 伺服器端元件。 伺服器管理員 UI 也包含 [遠端存取] 底下的單步驟選項,可啟用或停用sshd.exe服務。 此外,您也可以將使用者新增至 OpenSSH 使用者群組,藉此允許或限制裝置的存取。 若要深入瞭解,請參閱適用於 Windows 的 OpenSSH 概觀。
安全性基準
透過實作自訂的安全性基線,您可以根據建議的安全性態勢,從一開始就為您的裝置或 VM 角色建立安全性措施。 此基準隨附超過 350 個預先設定的 Windows 安全性設定。 您可以使用這些設定來套用並強制執行符合Microsoft和業界標準所建議最佳做法的特定安全性設定。 若要深入了解,請參閱 OSConfig 概觀:
基於虛擬化的安全隔離區域
虛擬化安全(VBS)區域是一種在主機應用程式地址空間內的軟體型信任執行環境。 VBS 記憶體保護區會使用基礎的 VBS 技術,在記憶體的安全分割區中隔離應用程式的敏感部分。 無論是來自主機應用程式或系統其餘部分的敏感工作負載,VBS 記憶體保護區皆可隔離。
VBS 記憶體保護區可讓應用程式移除信任管理員的需求並加強防範惡意攻擊者,藉此保護機密。 如需詳細資訊,請參閱 VBS 記憶體保護區 Win32 參考資料。
虛擬化型安全性密鑰保護
VBS 密鑰保護可讓 Windows 開發人員使用 VBS 來保護密碼編譯密鑰。 VBS 會使用 CPU 的虛擬化延伸模組功能,在一般作業系統外部建立隔離的執行時間。
使用時,VBS 金鑰會在安全進程中隔離。 重要操作可以在不將私密鑰匙材料暴露於此空間之外的情況下進行。 靜止時,TPM 金鑰會加密私鑰材料,以將 VBS 金鑰系結至裝置。 以這種方式保護的金鑰無法從進程記憶體傾印,或從用戶的機器以純文本匯出。
VBS 密鑰保護有助於防止任何系統管理員層級攻擊者遭到外洩攻擊。 您必須啟用 VBS,才能使用金鑰保護。 如需如何啟用 VBS 的資訊,請參閱 啟用記憶體完整性。
安全的連線能力
下列各節將討論連線的安全性。
安全憑證管理
搜尋或擷取 Windows 上的憑證現在支援 SHA-256 哈希,如 CertFindCertificateInStore 和 CertGetCertificateContextProperty中所述。 跨 Windows 的 TLS 伺服器驗證更安全,現在需要最低 RSA 金鑰長度 2,048 位。 如需詳細資訊,請參閱 TLS 伺服器驗證:弱式 RSA 憑證的取代。
透過 QUIC 的 SMB
SMB over QUIC 伺服器功能僅適用於 Windows Server Azure Edition,現在可在 Windows Server Standard 和 Windows Server Datacenter 版本中使用。 透過 QUIC 的 SMB 增加 QUIC 的優點,透過網際網路提供低延遲、加密的連線。
透過 QUIC 啟用原則的 SMB
系統管理員可以透過組策略和PowerShell透過QUIC用戶端停用SMB。 若要使用組策略停用 QUIC 上的 SMB,請在下列路徑中將
- 計算機設定\系統管理範本\網络\Lanman 工作站
- 計算機設定\系統管理範本\網络\Lanman Server
若要透過 QUIC 使用 PowerShell 停用 SMB,請在提升許可權的 PowerShell 提示中執行此命令:
Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB 簽署和加密稽核
系統管理員可以啟用對 SMB 伺服器和用戶端的審核,以支援 SMB 簽署和加密。 如果非Microsoft用戶端或伺服器缺少SMB加密或簽署的支援,則可以偵測到它。 當非Microsoft裝置或軟體指出其支援SMB 3.1.1,但無法支援SMB簽署時,它違反 SMB 3.1.1預先驗證完整性 通訊協定需求。
您可以使用組策略或 PowerShell 來設定 SMB 簽署和加密稽核設定。 您可以在下列群組策略路徑中變更這些原則:
- 電腦設定\系統管理範本\網路\Lanman 伺服器\稽核用戶端不支援加密
- 電腦設定\系統管理範本\網路\Lanman 伺服器\稽核用戶端不支援簽署
- 電腦設定\系統管理範本\網路\Lanman 工作站\稽核伺服器不支援加密
- 電腦設定\系統管理範本\網路\Lanman 工作站\稽核伺服器不支援簽署
若要使用 PowerShell 執行這些變更,請在提升權限提示字元中執行這些命令,其中 $true 啟用這些設定,$false 停用這些設定。
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
這些變更的事件記錄檔會儲存在下列具有其特定事件標識碼的事件查看器路徑中。
| 路徑 | 事件識別碼 |
|---|---|
| 應用程式及服務記錄檔\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
| 應用程式及服務記錄檔\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
SMB over QUIC 稽核
SMB over QUIC 用戶端連線審核會擷取寫入事件記錄檔的事件,以將 QUIC 傳輸包含在事件檢視器中。 這些記錄會儲存在具有其特定事件標識碼的下列路徑中。
| 路徑 | 事件識別碼 |
|---|---|
| 應用程式及服務記錄檔\Microsoft\Windows\SMBClient\連線能力 | 30832 |
| 應用程式及服務記錄檔\Microsoft\Windows\SMBServer\連線能力 | 1913 |
SMB over QUIC 用戶端存取控制
Windows Server 2025 包含透過 QUIC 的 SMB 用戶端存取控制。 透過 QUIC 的 SMB 是 TCP 和 RDMA 的替代方案,可透過不受信任的網路安全地連線到邊緣檔案伺服器。 用戶端訪問控制引進了更多控制件,以使用憑證來限制對數據的存取。 若想深入了解,請參閱用戶端存取控制的運作方式。
SMB 替代埠
您可以使用 SMB 用戶端來連線到替代 TCP、QUIC 和 RDMA 連接埠,而不是其 IANA/IETF 預設值為 445、5445 和 443。 您可以透過組策略或PowerShell設定替代埠。 先前,Windows 中的 SMB 伺服器授權輸入連線使用 IANA 註冊的埠 TCP/445,而 SMB TCP 用戶端只允許與該相同 TCP 連接埠的輸出連線。 現在,透過 SMB over QUIC 允許 SMB 替代連接埠,其中 QUIC 規定的 UDP/443 連接埠可用於伺服器和用戶端裝置。 若想深入了解,請參閱設定備用 SMB 連接埠。
SMB 防火牆規則強化
先前,當建立資源共用時,SMB 防火牆規則會自動設定為啟用相關防火牆配置檔中的 檔案和印表機共用 群組。 現在,在 Windows 中建立 SMB 共用會導致自動設定新的 檔案和印表機共用 (限制式) 群組,而該群組不再允許輸入 NetBIOS 埠 137-139。 若想深入了解,請參閱更新的防火牆規則。
SMB 加密
針對所有輸出SMB用戶端連線啟用強制SMB加密 。 透過此更新,系統管理員可以設定所有目的地伺服器都支援 SMB 3.x 和加密的授權。 如果伺服器缺少這些功能,用戶端就無法建立連線。
SMB 驗證速率限制器
SMB 驗證速率限制器會限制特定期間內的驗證嘗試次數。 SMB 驗證速率限制器可協助對抗暴力密碼破解驗證攻擊。 SMB 伺服器的服務會使用身份驗證速率限制器,在每次失敗的 NTLM 或 PKU2U 型驗證嘗試之間實施延遲。 預設情況下,服務會被啟用。 若要深入瞭解,請參閱 SMB驗證速率限制器的運作方式。
停用SMB NTLM
從 Windows Server 2025 開始,SMB 用戶端支援 NTLM 封鎖遠端輸出連線。 先前,Windows Simple 和 Protected GSSAPI 交涉機制 (SPNEGO) 會與目的地伺服器交涉 Kerberos、NTLM 和其他機制,以判斷支援的安全性套件。 若要深入瞭解,請參閱 封鎖SMB上的NTLM連線。
SMB 方言控件
您現在可以 在 Windows 中管理 SMB 方言。 設定後,與之前的行為相比,SMB 伺服器決定要協商的 SMB 2 和 SMB 3 方言,並僅選擇最高的方言。
SMB 簽署
現在,所有 SMB 輸出連線預設都需要 SMB 簽署。 先前只有在您連線到 Active Directory DC 上名為 SYSVOL 和 NETLOGON 的共享時,才需要它。 若想深入了解,請參閱簽署的運作方式。
遠端郵件槽
根據預設,遠端 Mailslot 通訊協定在 SMB 和與 Active Directory 一起使用的 DC 定位器通訊協定中是被停用的。 遠端Mailslot可能會在更新版本中移除。 若想深入了解,請參閱我們不再開發的功能。
路由和遠端訪問服務強化
根據預設,新的路由和遠端訪問服務 (RRAS) 安裝不接受以PPTP和L2TP為基礎的 VPN 連線。 如有必要,您仍然可以啟用這些通訊協定。 根據 SSTP 和 IKEv2 的 VPN 連線仍可接受,而不會有任何變更。
現有的組態仍然保留原有的行為。 例如,如果您執行 Windows Server 2019 並接受 PPTP 和 L2TP 連線,而且您使用就地升級至 Windows Server 2025,則仍然接受以 L2TP 和 PPTP 為基礎的連線。 這項變更不會影響 Windows 用戶端操作系統。 若要深入瞭解如何重新啟用 PPTP 和 L2TP,請參閱 設定 VPN 通訊協定。
Hyper-V、AI 和效能
下列各節將討論 Hyper-V、AI 和效能。
加速網路
加速網路 (AccelNet) 可簡化 Windows Server 2025 叢集上虛擬機器 (VM) 的單根 I/O 虛擬化 (SR-IOV) 管理。 此功能使用高效能 SR-IOV 數據路徑來減少延遲、抖動和 CPU 使用率。 AccelNet 也包含一個管理層,可處理必要條件檢查、主機設定和 VM 效能設定。 若要深入瞭解,請參閱 Edge 的加速網路 (預覽版) 。
Hyper-V 管理員
當您透過 Hyper-V Manager 建立新的 VM 時,第 2 代 現在會設定為 [新增虛擬機精靈]中的預設選項。
Hypervisor 強制執行的分頁轉譯
Hypervisor 強制執行的分頁轉譯 (HVPT) 是強制執行線性地址轉譯完整性的安全性增強功能。 HVPT 可保護重要的系統數據不受寫入攻擊,攻擊者會將任意值寫入任意位置,通常是緩衝區溢位的結果。 HVPT 會保護設定重要系統數據結構的頁面數據表。 HVPT 包含已使用 Hypervisor 保護的程式代碼完整性 (HVCI) 保護的所有專案。 預設會啟用 HVPT,如果硬體支援可用。 當 Windows Server 以 VM 中的客體身分執行時,不會啟用 HVPT。
GPU 分割
您可以使用 GPU 分割,與多個 VM 共用實體 GPU 裝置。 GPU 分割(GPU-P)會將 GPU 的專用部分指派給每個 VM,而不是將整個 GPU 配置給單一 VM。 Hyper-V GPU-P 高可用性時,如果非計劃性停機,GPU-P VM 會自動在另一個叢集節點上啟用。
GPU-P 即時移轉提供解決方案,可將 VM(針對計劃性停機或負載平衡)與 GPU-P 移至另一個節點,無論是獨立或叢集。 若要深入瞭解 GPU 分割,請參閱 GPU 分割。
動態處理器相容性
動態處理器相容性模式會更新,以利用叢集環境中的新處理器功能。 動態處理器相容性會使用叢集中所有伺服器可用的處理器功能數目上限。 相較於舊版處理器相容性,模式可改善效能。
您也可以使用動態處理器相容性,在使用不同處理器世代的虛擬化主機之間儲存其狀態。 處理器相容性模式現在為具備第二層位址轉譯功能的處理器提供增強的動態能力。 若要深入瞭解更新的相容性模式,請參閱 動態處理器相容性模式。
工作組叢集
Hyper-V 工作組叢集是 Windows Server 故障轉移叢集的特殊類型,其中 Hyper-V 叢集節點不是 Active Directory 網域的成員,能夠即時移轉工作組叢集中的 VM。
網路 ATC
網路 ATC 可簡化 Windows Server 2025 叢集網路設定的部署和管理。 網路 ATC 會使用意圖型方法,讓使用者指定其所需的意圖,例如網路適配器的管理、計算或記憶體。 部署會根據預期的組態進行自動化。
此方法可減少與主機網路部署相關聯的時間、複雜度和錯誤。 它可確保整個叢集的組態一致性,並排除設定漂移。 若要深入瞭解,請參閱 使用網路ATC部署主機網路功能。
延展性
使用 Windows Server 2025,Hyper-V 現在支援最多 4 PB 的記憶體和每部主機 2,048 個邏輯處理器。 這項增加可讓虛擬化工作負載具有更大的延展性和效能。
Windows Server 2025 也支援最多 240 TB 的記憶體,以及第 2 代 VM 的 2,048 個虛擬處理器,為執行大型工作負載提供更高的彈性。 若要深入瞭解,請參閱 在 Windows Server 中規劃 Hyper-V 延展性。
儲存體
下列各節說明記憶體更新。
區塊複製支援
「Dev Drive」現在開始支援區塊複製,從 Windows 11 24H2 及 Windows Server 2025 開始。 因為開發人員磁碟驅動器使用復原文件系統 (ReFS) 格式,因此當您複製檔案時,區塊複製支援會提供顯著的效能優勢。 使用區塊複製,檔案系統可以將應用程式的檔案位元組範圍作為低成本的元數據操作來複製,而不需執行昂貴的讀取和寫入操作到基礎實體數據。
結果是更快速地完成檔案複製、減少基礎記憶體的 I/O,以及讓多個檔案共用相同的邏輯叢集來改善儲存容量。 若要瞭解詳細資訊,請參閱對 ReFS 進行區塊複製。
開發人員磁碟機
開發人員磁碟機是一種儲存體磁碟區,用途是增強關鍵開發人員工作負載的效能。 Dev Drive 使用 ReFS 技術並整合特定的檔案系統優化,以提供對儲存磁碟區設定和安全性更大的控制。 系統管理員現在能夠指定信任、設定防毒設定,以及對附加篩選執行系統管理控制。 若要深入瞭解,請參閱在 Windows 11 設定開發人員磁碟機。
NVMe
NVMe 是快速固態硬碟的新標準。 NVMe 記憶體效能在 Windows Server 2025 中已優化。 結果會透過增加 IOPS 和減少 CPU 使用率來改善效能。
記憶體複本壓縮
記憶體複本壓縮可減少複寫期間透過網路傳輸的數據量。 若要深入瞭解記憶體複本中的壓縮,請參閱 儲存器複本概觀。
儲存體複本增強記錄檔
記憶體復本增強型記錄有助於記錄實作,以消除與文件系統抽象概念相關聯的效能成本。 區塊復寫效能已改善。 若要深入了解,請參閱儲存複本增強型記錄。
ReFS 原生記憶體重複資料刪除和壓縮
ReFS 原生儲存重複資料刪除和壓縮是優化靜態與動態工作負載儲存效率的技術,例如文件伺服器或虛擬桌面。 若要深入瞭解 ReFS 重複資料刪除和壓縮,請參閱 在 Azure 本機中使用 ReFS 重複資料刪除和壓縮優化記憶體。
精簡布建的磁碟區
具有 儲存空間直接存取 的精簡布建磁碟區是一種更有效率地配置記憶體資源的方法,只有在叢集中需要時才從集區配置,以避免成本過高。 您也可以將固定的布建磁碟區轉換成精簡布建磁碟區。 從固定到精簡布建磁碟區轉換會將任何未使用的記憶體傳回集區,以供其他磁碟區使用。 若要深入瞭解精簡布建磁碟區,請參閱 記憶體精簡布建。
伺服器訊息區
伺服器消息塊 (SMB) 是網路功能中最常用的通訊協定之一。 SMB 提供可靠的方式,可在網路上的裝置之間共用檔案和其他資源。 Windows Server 2025 包含業界標準 LZ4 壓縮演算法的 SMB 壓縮支援。 LZ4 是對於 SMB 現有的支持功能,如 XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1 和 PATTERN_V1 的補充。
Azure Arc 和混合式
下列各節將討論 Azure Arc 和混合式設定。
簡化的 Azure Arc 設定
Azure Arc 安裝程式是隨選功能,因此預設會加以安裝。 使用者友好的精靈介面和工作列中的系統匣圖示有助於更輕鬆地將伺服器新增至 Azure Arc。 Azure Arc 擴充 Azure 平台的功能,讓您可以建立可在多樣環境中運作的應用程式和服務。 這些環境包括數據中心、邊緣和多重雲端環境,並提供更高的彈性。 若要深入了解,請參閱透過 Azure Arc 安裝程式將 Windows Server 機器連線至 Azure。
隨用隨付授權
Azure Arc 隨用隨付訂用帳戶授權選項是 Windows Server 2025 傳統永久授權的替代方案。 使用隨用隨付選項,您可以部署 Windows Server 裝置、授權它,並只支付您所使用的費用。 這項功能可透過 Azure Arc 加速,並透過您的 Azure 訂用帳戶計費。 若要深入瞭解,請參閱 Azure Arc 隨用隨付授權。
Azure Arc 所啟用的 Windows Server 管理
由 Azure Arc 所啟用的 Windows Server 管理為持有具有作用中軟體保證或有效訂閱授權的 Windows Server 授權的客戶提供新的權益。 Windows Server 2025 具有下列主要優點:
- Azure Arc中的 Windows Admin Center:整合 Azure Arc 與 Windows Admin Center,讓您可以從 Azure Arc 入口網站管理 Windows Server 實例。 此整合可為 Windows Server 實例提供統一的管理體驗,無論是在內部部署、雲端或邊緣執行。
- zh-TW: 遠端支援:為客戶提供專業支援,能夠即時授予存取權,並附有詳細的執行紀錄與撤銷權限。
- 最佳做法評定:收集和分析伺服器數據會產生問題和補救指引和效能改善。
- Azure Site Recovery 組態:Azure Site Recovery 的設定可確保商務持續性,並提供重要工作負載的復寫和數據復原能力。
若要深入瞭解由 Azure Arc 啟用的 Windows Server 管理,以及可用的優點,請參閱 由 Azure Arc 啟用的 Windows Server 管理。
Software-Defined 網路
Software-Defined 軟體定義網路(SDN)是一種網路方法,網路系統管理員可以透過較低層級功能的抽象來管理網路服務。 SDN 可讓管理網路的網路控制平面與處理流量的數據平面分離。 此區隔可讓您在網路管理中提高彈性和可程式性。 SDN 在 Windows Server 2025 中提供下列優點:
- 網路控制器:這個 SDN 的控制平面現在直接在實體主機上作為容錯移轉叢集服務來託管。 使用叢集角色可免除部署 VM 的需求,這可簡化部署和管理及節省資源。
- 標籤標型分割:系統管理員可以使用自訂服務標籤來關聯網路安全組 (NSG) 和 VM 進行存取控制。 系統管理員現在可以使用簡單且易於理解的標籤來標記工作負載虛擬機,並根據這些標籤套用安全策略,而不是指定 IP 範圍。 標籤可簡化管理網路安全性的程式,並不需要記住並重新輸入IP範圍。 若要深入瞭解,請參閱 在 Windows Admin Center 中使用標籤設定網路安全組。
- Windows Server 2025 中的預設網路原則:這些原則將 Azure 式保護選項引入 NSG,以保護透過 Windows Admin Center 部署的工作負載。 默認原則會拒絕所有輸入存取,允許選擇性開啟已知的輸入埠,同時允許從工作負載 VM 進行完整輸出存取。 預設網路政策確保工作負載 VM 從建立時起就受到安全保障。 若要深入瞭解,請參閱「在 Azure Local 版本 23H2 上的虛擬機器使用預設網路存取政策」。
- SDN 多站點:這項功能可在兩個位置的應用程式之間提供原生第 2 層和第 3 層網路連線,而不需要任何額外的元件。 透過 SDN Multisite,應用程式可以順暢地移動,而不需要重新設定應用程式或網路。 它也為工作負載提供統一的網路原則管理,因此當工作負載 VM 從某個位置移至另一個位置時,您不需要更新原則。 若要深入瞭解,請參閱 什麼是 SDN 多月臺?。
- SDN 第 3 層閘道的增強效能:第 3 層閘道可達到更高的輸送量和降低的 CPU 週期。 默認會啟用這些改進功能。 當使用者透過PowerShell或 Windows Admin Center 設定 SDN 閘道第 3 層連線時,會自動體驗更好的效能。
Windows 容器可移植性
可攜性是容器管理的一個重要層面,能夠透過在 Windows 中應用增強的容器靈活性和相容性來簡化升級。
可移植性是 Windows Server 功能,用戶可以在不同的主機或環境之間移動容器映像及其相關聯的數據,而不需要進行任何修改。 使用者可以在一台主機上建立容器映像,然後將其部署到另一台主機上,而無需擔心相容性問題。 若要深入瞭解,請參閱容器可攜性。
Windows Server 測試人員計劃
Windows Server 測試人員計劃提供早期存取愛好者社群的最新 Windows OS 版本。 身為成員,您是首批能夠嘗試 Microsoft 公司正在開發的新構想與概念的人之一。 註冊為成員之後,您可以參與不同的發行通道。 移至 [開始>設定]>Windows Update>Windows 測試人員計劃。