Windows Server 2025 Neuerungen

Dieser Artikel beschreibt einige der neuesten Entwicklungen in Windows Server 2025, das über erweiterte Funktionen verfügt, die Sicherheit, Leistung und Flexibilität verbessern. Mit schnelleren Speicheroptionen und der Möglichkeit, sich in hybride Cloud-Umgebungen zu integrieren, wird die Verwaltung Ihrer Infrastruktur jetzt noch einfacher. Windows Server 2025 baut auf dem soliden Fundament seines Vorgängers auf und führt eine Reihe innovativer Verbesserungen ein, um sich Ihren Anforderungen anzupassen.

Neuerungen in Windows Server 2025

Die folgenden neuen Funktionen sind nur für Windows Server mit Desktop-Erfahrung spezifisch. Es sind sowohl die physischen Geräte, die das Betriebssystem ausführen, als auch die richtigen Treiber erforderlich.

Beschleunigtes Netzwerk

Das beschleunigte Netzwerk (Accelerated Networking, AccelNet) vereinfacht die Verwaltung der Single-Root-I/O-Virtualisierung (SR-IOV) für virtuelle Maschinen (VMs), die auf Windows Server 2025-Clustern gehostet werden. Diese Funktion verwendet den Hochleistungs-SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. AccelNet umfasst auch eine Verwaltungsebene, die Vorabprüfungen, Hostkonfiguration und VM-Leistungseinstellungen behandelt.

Active Directory-Domänendienste

Die neuesten Erweiterungen für die Active Directory-Domänendienste (AD DS) und die Active Directory-Leichtgewicht-Domänendienste (AD LDS) führen eine Reihe neuer Funktionen und Fähigkeiten ein, die darauf abzielen, Ihr Domänenverwaltungs-Erlebnis zu optimieren:

Optionale Funktion zur 32k-Datenbankseitengröße

AD verwendet seit seiner Einführung in Windows 2000 eine Extensible Storage Engine (ESE)-Datenbank, die eine 8k-Datenbankseitengröße verwendet. Die Entscheidung für ein 8k-Design führte zu Einschränkungen innerhalb von AD, die in der AD-Maximumsgrenzen-Skalierbarkeit dokumentiert sind. Ein Beispiel für diese Einschränkung ist ein einzelnes AD-Objekt, das nicht mehr als 8k Bytes groß sein darf. Der Wechsel zu einem 32k-Datenbankseitenformat bietet eine enorme Verbesserung in Bereichen, die von alten Einschränkungen betroffen sind, einschließlich Mehrwert-Attributen, die jetzt bis zu ~3.200 Werte halten können, was eine Steigerung um den Faktor 2,6 bedeutet.

Neue DCs mit 32k-Seiten-Datenbank

Neue Domänencontroller (DCs) können mit einer 32k-Seiten-Datenbank installiert werden, die 64-Bit Long Value IDs (LIDs) verwendet und im „8k-Seitenmodus“ zur Kompatibilität mit vorherigen Versionen läuft. Ein aktualisierter DC verwendet weiterhin sein aktuelles Datenbankformat und 8k-Seiten. Der Wechsel zu 32k-Datenbankseiten erfolgt auf einer Wald-weiten Basis und erfordert, dass alle DCs im Wald über eine Datenbank mit 32k-Seiten-Kompatibilität verfügen.

AD-Schema-Updates

Drei neue Log-Datenbankdateien (LDF) werden eingeführt, die das AD-Schema erweitern: sch89.ldf, sch90.ldf und sch91.ldf. Die entsprechenden Schema-Updates für AD LDS sind in MS-ADAM-Upgrade3.ldf. Weitere Informationen zu früheren Schema-Updates finden Sie unter Windows Server AD Schema Updates.

AD-Objektreparatur

AD erlaubt jetzt Unternehmensadministratoren, Objekte mit fehlenden Kernattributen SamAccountType und ObjectCategory zu reparieren. Unternehmensadministratoren können das LastLogonTimeStamp-Attribut eines Objekts auf die aktuelle Zeit zurücksetzen. Diese Vorgänge werden über eine neue RootDSE-Änderungsoperation für das betroffene Objekt namens fixupObjectState erreicht.

Kanalbindungs-Audit-Unterstützung

Ereignisse 3074 und 3075 können jetzt für die Kanalbindung im Lightweight Directory Access Protocol (LDAP) aktiviert werden. Wenn die Kanalbindung auf eine sicherere Einstellung geändert wird, kann ein Administrator Geräte identifizieren, die die Kanalbindung nicht unterstützen oder daran scheitern.

Verbesserungen des DC-Lokalisierungsalgorithmus

Der DC-Erkennungsalgorithmus bietet neue Funktionen mit Verbesserungen zur Zuordnung von kurzen NetBIOS-Domänennamen zu DNS-Domänennamen.

Wald- und Domänenfunktionsebenen

Die neue Funktionsebene wird für die allgemeine Unterstützung benötigt und ist für die neue 32k-Datenbankseitengröße erforderlich. Die neue Funktionsebene entspricht dem Wert von DomainLevel 10 und ForestLevel 10 für unbeaufsichtigte Installationen.

Verbesserte Algorithmen für Name/Sid-Lookups

Local Security Authority (LSA) Name- und Sid-Lookup-Weiterleitung zwischen Maschinenkonten verwendet nicht mehr den alten Netlogon-Sicherungskanal. Stattdessen werden Kerberos-Authentifizierung und DC-Locator-Algorithmus verwendet.

Verbesserte Sicherheit für vertrauliche Attribute

DCs und AD LDS-Instanzen erlauben nur LDAP-Operationen zum Hinzufügen, Suchen und Ändern von vertraulichen Attributen, wenn die Verbindung verschlüsselt ist.

Verbesserte Sicherheit für Standard-Computer-Kontenpasswörter

AD verwendet jetzt zufällig generierte Standard-Passwörter für Computerkonten. Windows 2025 DCs blockieren das Setzen von Computerkontenpasswörtern auf das Standardpasswort des Computerkontonamens.

Kerberos PKINIT-Unterstützung für kryptografische Flexibilität

Die Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)-Protokollimplementierung wurde aktualisiert, um kryptografische Flexibilität zu ermöglichen, indem mehr Algorithmen unterstützt und fest codierte Algorithmen entfernt wurden.

LAN Manager GPO-Einstellung

Die GPO-Einstellung Network Security: Don’t store LAN Manager hash value on next password change ist in neuen Windows-Versionen nicht mehr vorhanden oder anwendbar.

LDAP-Verschlüsselung standardmäßig – Windows Server 2025

Alle LDAP-Client-Kommunikation nach einer SASL-Bindung (Simple Authentication and Security Layer) verwendet standardmäßig LDAP-Sealing.

LDAP-Unterstützung für TLS 1.3

LDAP verwendet die neueste SCHANNEL-Implementierung und unterstützt TLS 1.3 für LDAP-Verbindungen über TLS.

Legacy SAM RPC Passwortwechselverhalten

Sichere Protokolle wie Kerberos sind der bevorzugte Weg, um Domänenbenutzerpasswörter zu ändern. Die neueste SAM RPC-Passwortänderungsmethode SamrUnicodeChangePasswordUser4 unter Verwendung von AES wird standardmäßig akzeptiert.

NUMA-Unterstützung

AD DS nutzt jetzt Non-uniform Memory Access (NUMA)-fähige Hardware, indem CPUs in allen Prozessgruppen genutzt werden.

Leistungszähler

Monitoring und Fehlerbehebung der folgenden Leistungszähler sind jetzt verfügbar:

• DC Locator – Client- und DC-spezifische Zähler sind verfügbar.
• LSA Lookups – Namens- und SID-Lookups über die LsaLookupNames, LsaLookupSids und ähnliche APIs.
• LDAP Client – Verfügbar in Windows Server 2022 und höher über das KB 5029250-Update.

Replikationsprioritätsreihenfolge – Windows Server 2025

AD ermöglicht Administratoren, die systemberechnete Replikationspriorität mit einem bestimmten Replikationspartner für einen bestimmten Namenskontext zu erhöhen.

Windows Server 2025 – Azure Arc

Standardmäßig wird die Azure Arc Setup-Feature-on-Demand installiert, die eine benutzerfreundliche Assistenten-Oberfläche und ein Taskleisten-Symbol bietet, um den Prozess des Hinzufügens von Servern zu Azure Arc zu erleichtern.

Unterstützung für Block-Klonen

Ab Windows 11 24H2 und Windows Server 2025 unterstützt Dev Drive das Block-Klonen.

Windows Server 2025 – Bluetooth

Sie können jetzt Mäuse, Tastaturen, Headsets, Audiogeräte und mehr über Bluetooth in Windows Server 2025 verbinden.

Credential Guard

Ab Windows Server 2025 ist Credential Guard standardmäßig auf Geräten aktiviert, die die Anforderungen erfüllen. Weitere Informationen zu Credential Guard finden Sie unter Configure Credential Guard.

Desktop-Shell

Beim ersten Anmelden passt sich die Desktop-Shell-Erfahrung dem Stil und Aussehen von Windows 11 an.

Delegierte Managed Service-Konten

Dieser neue Kontotyp ermöglicht die Migration von einem Dienstkonto zu einem delegierten Managed Service-Konto (dMSA). Dieser Kontotyp verfügt über verwaltete und vollständig zufällige Schlüssel, die minimale Anwendungsänderungen ermöglichen und gleichzeitig die ursprünglichen Dienstkontopasswörter deaktivieren. Weitere Informationen finden Sie unter Delegated Managed Service Accounts overview.

Dev Drive – Windows Server 2025

Dev Drive ist ein Speicherlaufwerk, das die Leistung wichtiger Entwickler-Workloads verbessern soll. Dev Drive nutzt die ReFS-Technologie und enthält spezifische Dateisystemoptimierungen, die eine bessere Kontrolle über die Speicherlaufeinstellungen und die Sicherheit bieten. Dies umfasst die Möglichkeit, Vertrauen zu definieren, Antivireneinstellungen zu konfigurieren und eine administrative Kontrolle über angehängte Filter auszuüben. Weitere Informationen finden Sie unter Set up a Dev Drive on Windows 11.

DTrace

Windows Server 2025 ist mit DTrace als nativen Tool ausgestattet. DTrace ist ein Befehlszeilen-Dienstprogramm, mit dem Benutzer die Systemleistung in Echtzeit überwachen und Fehler beheben können. DTrace ermöglicht es Benutzern, sowohl Kernel- als auch Benutzercode dynamisch zu instrumentieren, ohne den Code selbst zu ändern. Dieses vielseitige Tool unterstützt eine Reihe von Datenanalyse- und -sammeltechniken wie Aggregationen, Histogramme und das Tracing von Benutzerevents. Weitere Informationen finden Sie unter DTrace für Befehlszeilenhilfe und DTrace auf Windows für weitere Funktionen.

Email & Konten

Sie können jetzt die folgenden Konten in Einstellungen > Konten > E-Mail & Konten für Windows Server 2025 hinzufügen:

• Microsoft Entra ID
• Microsoft-Konto
• Arbeits- oder Schulkonto

Es ist wichtig zu beachten, dass die Domänenverbindung in den meisten Fällen weiterhin erforderlich ist.

Feedback-Hub in Windows Server 2025

Das Übermitteln von Feedback oder das Melden von Problemen, die bei der Verwendung von Windows Server 2025 aufgetreten sind, kann jetzt über den Windows Feedback-Hub erfolgen. Sie können Screenshots oder Aufnahmen des Prozesses hinzufügen, der das Problem verursacht hat, um uns zu helfen, Ihre Situation zu verstehen, und Vorschläge zur Verbesserung der Windows-Erfahrung teilen. Weitere Informationen finden Sie unter Explore the Feedback Hub.

Dateikomprimierung in Windows Server 2025

Build 26040 enthält eine neue Komprimierungsfunktion namens „Komprimieren nach“, die durch einen Rechtsklick aktiviert werden kann. Diese Funktion unterstützt die Komprimierungsformate ZIP, 7z und TAR mit spezifischen Komprimierungsmethoden für jedes Format.

Hyper-V-Manager in Windows Server 2025

Wenn Benutzer eine neue VM über den Hyper-V-Manager erstellen, ist jetzt Generation 2 standardmäßig im Assistenten für neue virtuelle Maschinen ausgewählt.

Hypervisor-Erzwungene Seitentranslation

Hypervisor-erzwungene Seitentranslation (Hypervisor-Enforced Paging Translation, HVPT) ist eine Sicherheitsverbesserung zur Durchsetzung der Integrität linearer Adressübersetzungen. HVPT schützt kritische Systemdaten vor „Write-What-Where“-Angriffen, bei denen der Angreifer einen beliebigen Wert an einem beliebigen Ort schreibt, oft als Ergebnis eines Pufferüberlaufs. HVPT schützt Seitentabellen, die kritische Systemdatenstrukturen konfigurieren. HVPT umfasst alles, was bereits durch die hypervisor-geschützte Code-Integrität (HVCI) gesichert ist. HVPT ist standardmäßig aktiviert, wenn Hardwareunterstützung verfügbar ist. HVPT ist nicht aktiviert, wenn Windows Server als Gast in einer VM ausgeführt wird.

Network ATC

Network ATC vereinfacht die Bereitstellung und Verwaltung von Netzwerkkonfigurationen für Windows Server 2025-Cluster. Es nutzt einen intent-basierten Ansatz, bei dem Benutzer ihre gewünschten Ziele wie Verwaltung, Berechnung oder Speicherung für einen Netzwerkadapter angeben, und die Bereitstellung wird basierend auf der vorgesehenen Konfiguration automatisiert. Dieser Ansatz reduziert die Zeit, Komplexität und Fehler bei der Bereitstellung von Hostnetzwerken, stellt die Konsistenz der Konfiguration im gesamten Cluster sicher und beseitigt Konfigurationsabweichungen. Weitere Informationen finden Sie unter Deploy host networking with Network ATC.

NVMe

NVMe ist ein neuer Standard für schnelle Solid-State-Laufwerke (SSDs). Erleben Sie die Optimierung von NVMe in Windows Server 2025 mit verbesserter Leistung, die eine Steigerung der IOPS und eine Reduzierung der CPU-Auslastung zur Folge hat.

OpenSSH

In früheren Versionen von Windows Server erforderte das OpenSSH-Konnektivitäts-Tool eine manuelle Installation vor der Nutzung. Ab Build 26080 ist die OpenSSH-Serverkomponente standardmäßig in Windows Server 2025 installiert. Die Server-Manager-Benutzeroberfläche enthält auch eine Ein-Klick-Option unter Remote-SSH-Zugriff, mit der der Dienst sshd.exe aktiviert oder deaktiviert werden kann. Sie können Benutzer auch zur OpenSSH-Benutzergruppe hinzufügen, um den Zugriff auf Ihre Geräte zu erlauben oder einzuschränken. Weitere Informationen finden Sie unter OpenSSH für Windows overview.

Angeheftete Apps

Das Anheften Ihrer meistgenutzten Apps ist jetzt über das Startmenü möglich und kann an Ihre Bedürfnisse angepasst werden. Ab Build 26085 sind die standardmäßig angehefteten Apps derzeit:

• Azure Arc Setup
• Feedback-Hub
• Datei-Explorer
• Microsoft Edge
• Server-Manager
• Einstellungen
• Terminal
• Windows PowerShell

Windows Server 2025 – Remotezugriff

Standardmäßig akzeptieren neue Routing- und Remotezugriffsdienste (RRAS) keine VPN-Verbindungen basierend auf PPTP- und L2TP-Protokollen. Diese Protokolle können bei Bedarf weiterhin aktiviert werden. SSTP- und IKEv2-basierte VPN-Verbindungen werden unverändert akzeptiert.

Sicheres Zertifikatsmanagement

Die Suche oder das Abrufen von Zertifikaten auf Windows unterstützt jetzt SHA-256-Hashes, wie in den Funktionen CertFindCertificateInStore und CertGetCertificateContextProperty beschrieben. Die TLS-Serverauthentifizierung ist sicherer auf Windows und erfordert nun eine minimale RSA-Schlüssellänge von 2048 Bits. Weitere Informationen finden Sie unter TLS server authentication: Deprecation of weak RSA certificates.

Sicherheitsbasislinie

Durch die Implementierung einer angepassten Sicherheitsbasislinie können Sie von Anfang an Sicherheitsmaßnahmen für Ihre Geräte- oder VM-Rolle auf Grundlage der empfohlenen Sicherheitsstandards etablieren. Diese Basislinie ist mit über 350 vorkonfigurierten Windows-Sicherheitseinstellungen ausgestattet, mit denen Sie spezifische Sicherheitseinstellungen anwenden und durchsetzen können, die mit den von Microsoft und Branchenstandards empfohlenen Best Practices übereinstimmen. Weitere Informationen finden Sie unter OSConfig overview.

Server Message Block – Windows Server 2025

Server Message Block (SMB) ist eines der am weitesten verbreiteten Protokolle im Netzwerkbereich und bietet eine zuverlässige Möglichkeit, Dateien und andere Ressourcen zwischen Geräten in Ihrem Netzwerk zu teilen. Windows Server 2025 bringt die folgenden SMB-Funktionen mit sich.

Deaktivierung von SMB über QUIC

Administratoren können den SMB über QUIC-Client über Gruppenrichtlinien und PowerShell deaktivieren. Um SMB über QUIC mit Gruppenrichtlinien zu deaktivieren, setzen Sie die Richtlinie „Enable SMB over QUIC“ in den folgenden Pfaden auf Deaktiviert:

• Computer Configuration\Administrative Templates\Network\Lanman Workstation
• Computer Configuration\Administrative Templates\Network\Lanman Server

Signatur- und Verschlüsselungsprüfung für SMB

Administratoren können das Auditing des SMB-Servers und -Clients für die Unterstützung der SMB-Signierung und -Verschlüsselung aktivieren. Wenn ein Drittanbieter-Client oder -Server keine Unterstützung für SMB-Verschlüsselung oder -Signierung bietet, kann dies erkannt werden. Sie können die Einstellungen für das SMB-Signatur- und Verschlüsselungs-Auditing mithilfe von Gruppenrichtlinien oder PowerShell konfigurieren.

Auditing von SMB über QUIC

Die Protokollierung der SMB über QUIC-Client-Verbindung erfasst Ereignisse, die in einem Ereignisprotokoll festgehalten werden und den QUIC-Transport im Event Viewer einschließen.

Softwaredefiniertes Netzwerk (SDN)

SDN ist ein Ansatz zur Netzwerkverwaltung, bei dem Netzwerkadministratoren Netzwerkdienste durch die Abstraktion niedrigerer Funktionen verwalten können. SDN ermöglicht die Trennung der Netzwerksteuerungsebene, die für die Verwaltung des Netzwerks verantwortlich ist, von der Datenebene, die den tatsächlichen Datenverkehr verarbeitet.

Storage Replica Enhanced Log

Enhanced Logs helfen der Storage Replica-Protokollimplementierung, die mit Dateisystemabstraktionen verbundenen Leistungskosten zu eliminieren, was zu einer verbesserten Blockreplikationsleistung führt. Weitere Informationen finden Sie unter Storage Replica Enhanced Log.

Windows Server 2025 – Task-Manager

Build 26040 präsentiert die moderne Task-Manager-App mit Mica-Material, das dem Stil von Windows 11 entspricht.

Virtualisierungsgestützte Sicherheit (VBS)-Enklaven

Eine VBS-Enklave ist eine softwarebasierte vertrauenswürdige Ausführungsumgebung (TEE) im Adressbereich einer Hostanwendung.

Virtualisierungsgestützte Sicherheit (VBS)-Schlüsselschutz

VBS-Schlüsselschutz ermöglicht Windows-Entwicklern, kryptografische Schlüssel mit Virtualisierungsgestützter Sicherheit (VBS) zu schützen.

Wi-Fi

Es ist jetzt einfacher, drahtlose Funktionen zu aktivieren, da der Wireless LAN-Dienst standardmäßig installiert ist.

Portabilität von Windows-Containern

Portabilität ist ein entscheidender Aspekt des Container-Managements und hat das Potenzial, Upgrades zu vereinfachen, indem sie die Flexibilität und Kompatibilität von Containern in Windows verbessert.

Windows-Insider-Programm

Das Windows-Insider-Programm bietet frühen Zugang zu den neuesten Windows-Betriebssystem-Releases für eine Community von Enthusiasten.

Windows Local Administrator Password Solution (LAPS)

Windows LAPS hilft Organisationen, lokale Administratorkennwörter auf ihren domänenverbundenen Computern zu verwalten. Es generiert automatisch eindeutige Kennwörter für das lokale Administratorkonto jedes Computers, speichert sie sicher in AD und aktualisiert sie regelmäßig.

Windows Terminal – Windows Server 2025

Das Windows Terminal, eine leistungsstarke und effiziente Multishell-Anwendung für Benutzer der Befehlszeile, ist in diesem Build verfügbar. Suchen Sie nach „Terminal“ in der Suchleiste.

Windows Server 2025 – Winget

Winget ist standardmäßig installiert und stellt ein Befehlszeilen-Tool zum Verwalten von Windows-Paketen zur Verfügung, das umfassende Lösungen für die Installation von Anwendungen auf Windows-Geräten bietet.

Beschleunigtes Netzwerk in Windows Server 2025

Das beschleunigte Netzwerk vereinfacht die Verwaltung der Single-Root-I/O-Virtualisierung (SR-IOV) für virtuelle Maschinen, die auf Windows Server 2025-Clustern gehostet werden. Diese Funktion verwendet den Hochleistungs-SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. Das beschleunigte Netzwerk fügt auch eine Verwaltungsebene hinzu, die die Prüfung der Voraussetzungen, die Hostkonfiguration und die Leistungseinstellungen der VM verwaltet.