Windows Server 最新情報

4.4K Views

December 09, 23

#windows server #windows server 2025 #hotpatch #smb #hyper-v #active directory

スライド概要

Windows Server & Cloud User Group Japan 第37回勉強会の資料です。
Windows Server v.Next (Windows Server 2025)の新機能について Insider Preview Build をベースに紹介します。

profile-image
スライド一覧

インフラエンジニア

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 3.3MB)

関連スライド

slide-thumbnail

Active Directory 構築面でのお話
active directory active directory domain services adds domain controller windows server windows time ntp dns
user-img Kazuki Takai 57.9K
slide-thumbnail

Windows Server 2025 Active Directory の新機能
windows server 2025 active directory windows server
user-img Kazuki Takai 21.4K
slide-thumbnail

Active Directory に依存しない Windows Server Failover Clustering
windows server windows server 2025 failover clustering wsfc active directory workgroup clustering
user-img Kazuki Takai 7.8K
slide-thumbnail

はじめての WinGet Configuration
winget cli package manager powershell dsc configuration manager
user-img Kazuki Takai 7.1K
slide-thumbnail

Azure Arc Automanage Machine Configuration による構成の管理と適用
microsoft azure azure arc arc enabled infrastructures azure automanage azure automation powershell dsc desired state configuration powershell dsc ansible
user-img Kazuki Takai 3.3K
slide-thumbnail

Arc 対応サーバーへの SSH アクセス
microsoft azure azure arc ssh rdp remote desktop remote access arc enabled servers
user-img Kazuki Takai 2.7K
各ページのテキスト
1.

Windows Server 最新情報 SCUGJ (wSCUGJ) 勉強会 #37 2023-12-09 Kazuki Takai Windows Server & Cloud User Group Japan

2.

お話しすること • Microsoft Ignite 2023 で発表された Windows Server v.Next 関連の Topic • 今年(後半)に発表された Windows Server 関連の Topic (の一部)

3.

自己紹介 • たかい (Kazuki Takai) • 会社員 (某ISP勤務) • サービス基盤開発、技術開発 • ライセンス関連 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • 趣味:カメラ(風景写真)、ビデオゲーム、旅行(温泉) • Microsoft MVP - Microsoft Azure

4.

Notice • 本セッションで説明する内容には、 リリース前の機能が含まれます • サービスのリリース、リリース後 のエンハンスにより仕様や動作が 変更となる場合があります

5.

Windows Server 30周年 • 1993年7月27日 Windows NT 3.1 Server https://techcommunity.microsoft.com/t5/windows-serveressentials-and/30-years-of-windows-server/ba-p/3884810

6.

Windows Server innovation Server Datacenter & Virtualization • Windows NT 3.1 Server • Windows NT 3.5 Server • Windows NT 3.51 Server • Windows NT 4.0 Server • Windows Server 2008 • Windows Server 2008 R2 • Windows Server 2012 • Windows Server 2012 R2 Enterprise Cloud • Windows 2000 Server • Windows Server 2003 • Windows Server 2003 R2 • Windows Server 2016 • Windows Server 2019 • Windows Server 2022

7.

Windows Server v.Next Introduction

8.

What’s New in Windows Server v.Next • Azure Arc による Hotpatch • SMB over QUIC と SMB に関するその他のエンハンス • Active Directory に関する各種エンハンス • NTML 廃止に向けた取り組み • Hyper-V 関連のエンハンス • Storage と Network に関するエンハンス • その他

9.

Azure Edition の一部機能が利用可能に • Windows Server Datacenter Azure Edition • Azure VM のみで利用可能な特別な OS Edition • Azure の他、Azure Stack HCI などで利用可能 • Azure Edition で利用可能となっている代表的な機能 • ホットパッチ • SMB over QUIC • Azure Extended Network

10.

Azure Edition のおさらい • 詳しくは、2021年12月の勉強会資料を参照

11.

Azure Edition の一部機能が利用可能に • Windows Server Datacenter Azure Edition • Azure VM のみで利用可能な特別な OS Edition • Azure の他、Azure Stack HCI などで利用可能 • 現状、Azure Edition のみで利用可能な機能 • ホットパッチ • SMB over QUIC • Azure Extended Network

12.

Windows Server 2022 Datacenter: Azure Edition New Hotpatch with Azure Automanage (Preview) SMB over QUIC Core Desktop Core Desktop Core Desktop Azure Edition 以外でも v.Next で利用可能に Azure Extended Networking

13.

Windows Server v.Next Arc-enabled Windows Server v.Next Hotpatching

14.

Hotpatch • 再起動を必要としない形式の更新プログラム • 月次の OS セキュリティ更新プログラム(のみ)が対象 • 定期的にベースラインとなる更新プログラムの適用が必要 • ベースラインの適用時は再起動が必要 • 計画ベースラインは、3か月ごとにリリース

15.

Baseline Hotpatch Planned Baseline 2021-10 Unplanned Baseline ? 2021-11 2021-12 2022-01 2022-02 2022-03 2022-04

16.

Arc-enabled Windows Server v.Next Hotpatching • Windows Server v.Next では Azure Edition 以外もホッ トパッチを利用可能 • Standard Edition と Datacenter Edition • 物理及び仮想サーバー(他クラウド上の仮想マシン含む) • Azure Arc による Azure への接続とコントロールが必要 • 月額のサブスクリプションとして提供 • Azure や Azure Stack HCI 上の VM で Azure Edition の OS を利用する場合は、(引き続き)無償で提供

17.

Windows Server v.Next File Server SMB over QUIC and other SMB enhancements

18.

SMB over QUIC • 443/udp で通信 • TLS v1.3 による通信経路の暗号化 • 前提条件 • サーバ側 : Windows Server v.Next or 2022 Azure Edition • クライアント側 : Windows 11 以降又は Server 2022 以降 • TLS 証明書

19.

SMB over QUIC 証明書の要件 フィールド 値 Key usage digital signature Purpose Server Authentication (EKU 1.3.6.1.5.5.7.3.1) Signature algorithm SHA256RSA 以上 Signature hash SHA256 以上 Public key algorithm ECDCA_P256 以上 (または RSA で鍵長 2048 bit 以上) Subject Alternative Name <SMB アクセスする際の DNS 名> Subject CN=<SMB サーバーのコンピューター名> ※ CN=<何かの値> となっていれば動作はする ※ 実際のコンピューター名と異なっていても動作するが、空は NG Private key included yes

20.

SMB over QUIC の設定 • 通常は Windows Admin Center から実施 • Windows Server 2022 Datacenter Azure Edition の方法 • 現時点で、Windows Admin Center は Azure Edition かどうかをチェックしており、Windows Server v.Next Insider Preview の SMB over QUIC を有効化できない • New-SmbServerCertificateMapping を使用 New-SmbServerCertificateMapping -Name <Server FQDN> -ThumbPrint <Certificate Thumbprint> -Storename My

21.

SMB over QUIC の使用ポート変更 • Set-SmbServerAlternativePort で変更可能 Set-SmbServerAlternativePort -TransportType QUIC -Port <Port number (0 - 65536)> -EnableInstances Default • Windows Server Insider Build では(現時点で)TCP 用のポートを 445/tcp から変更することをサポートして いない

22.

SMB 代替ポートの利用可否制御

23.

SMB over QUIC Client Access Control • 要するに、クライアント証明書認証(追加認証) • クライアント証明書が信頼できる(証明書として Trust チェー ンに問題が無い)場合であっても、クライアント証明書ごとに TLS レイヤーでアクセス可否を制御可能 • 信頼できる証明書の場合、クライアント証明書ごとの制御を行 わずアクセスを許可することも可能 • SMB レベルの(アカウント)認証は、引き続き実施

24.

SMB NTLM の無効化 • NTLM シークレットの発行を抑止 • グループポリシー又は PowerShell で設定 Set-SmbClientConfiguration –DisableNTLM $true • グループポリシーで例外リストを構成可能

25.

SMB NTLM の無効化

26.

SMB NTLM の無効化

27.

SMB Dialect の制御 • 利用を許可する SMB のバージョン範囲を指定可能 • version 2.x から version 3.x で上限と下限を設定 • グループポリシー又は PowerShell で設定 Set-SmbClientConfiguration -Smb2DialectMax -Smb2DialectMin Set-SmbServerConfiguration -Smb2DialectMax -Smb2DialectMin • 注意 : SMB v1 のコンポーネントが有効となっている場 合、この設定は SMB v1 の利用可否に影響しない • この設定で、SMB v1 を拒否することは不可

28.

SMB Dialect の制御

29.

SMB Dialect の制御

30.

SMB 向けの Firewall ルールのセキュア化 • ファイルサーバーの役割インストール時、NetBIOS の ポートを自動でオープンしない • 「ファイルとプリンターの共有(制限付き)」のみ有効化 • ちなみに… • Active Directory Domain Services をインストールすると、 NetBIOS のルールも有効化される

31.

SMB 向けの Firewall ルールのセキュア化 無効なまま 有効化される

32.

Windows Server v.Next Active Directory

33.

Active Directory 32k DB Page Sizes • データベースのページサイズが、32k になる • 新規にインストールしたドメインコントローラーが対象 • アップグレードしたドメインコントローラーは 8k のまま • 64bit Long Value IDs (LIDs) • 互換性のために 8k page mode で動作 • 32k page mode への移行には、フォレスト内の全ての ドメインコントローラーが 32k page 互換となる必要が ある

34.

Active Directory 32k DB Page Sizes

35.

パフォーマンス関連のエンハンス • AD DS が NUMA を意識して動作 • パフォーマンスモニターのカウンターが追加 • Active Directory Diagnostic Data Collector Set

36.

セキュリティ関連のエンハンス • LDAP が最新の schannel 実装を利用するように • LDAP で TLS 1.3 が利用可能 • Confidential attributes の操作時、暗号化通信が必須に • Kerberos でより強度の高い暗号化、署名が利用可能 • SHA-256 / SHA-384 • AES がデフォルトの対象暗号となり、RC4 は非推奨に • PKINT での SHA-2 サポート追加

37.

Active Directory 機能レベル • ドメインとフォレストの機能レベルが追加 • 新しい機能は、新しい機能レベルが必要となる見込み • 既存のドメインで Windows Server v.Next のホストを ドメインコントローラーへ昇格する場合、ドメイン機能 レベルとして Windows Server 2016 が必要

38.

Active Directory 機能レベル

39.

Local KDC & IAKerb • Local KDC • Kerberos キー配布サービスが、ドメインコントローラーだけ でなく、それ以外の Windows ホストにも組み込まれるように • 基本的には、ローカル アカウントの認証用 • IAKerb • Initial and Pass Through Authentication Using Kerberos • 従来より広範なネットワークトポロジーで Kerberos 認証を可 能とする

40.

Windows Server v.Next Hyper-V

41.

GPU Partitioning (GPU-P) • GPU を分割して VM へアサイン • ライブ マイグレーション • フェールオーバー

42.

GPU Partitioning (GPU-P) • SR-IOV が必要 • 対応 CPU • Intel Sapphire Rapids 以降 • AMD Milan 以降 • 対応 GPU • nVidia A2, A10, A16, A40 • 対応ゲスト OS • Windows 10 / 11, Windows Server 2019 / 2022 • Ubuntu 18.04 LTS / 20.04 LTS

43.

GPU with DDA HA Support • PCI Express リソースプールを作成 • GPU をプールに追加 • VM に GPU をアサイン • フェールオーバー可能

44.

その他のエンハンス • Dynamic Processor Compatibility • 明示的に CPU 互換性機能を設定しなくても、異なる世代の CPU を同一クラスターに混在可能とする • 当初は、Intel Xeon Scalable Processor の第3世代と第4世代 に対応 • 第2世代仮想マシンがデフォルトに • Hyper-V Manager での VM 新規作成時

45.

Windows Server v.Next Storage & Network

46.

ストレージ関連機能のエンハンス • NVMe SSD のパフォーマンス(IOPs)向上 • NVMe-oF TCP Initiator • NVMe 2.0 Specification • Storage Replica パフォーマンス向上 • Storage Replica 全てのエディションで圧縮を利用可能 • etc...

47.

ネットワーク関連機能のエンハンス • Azure Stack HCI で実装済みの機能の一部が利用可能に • Network ATC • Network HUD • SDN Multisite • SDN Gateway のパフォーマンス向上 • Hybrid AKS の Windows Server SDN 対応

48.

Windows Server v.Next Others

49.

デスクトップ エクスペリエンス

50.

51.

Wi-Fi のサポート • Windows Server with Desktop Experience で利用可能 • デフォルトでコンポーネントはインストール済み(?) • Windows Server Insider Build 25997.1000 で確認 • 発表では、デフォルトでは無効化されている、となっていたの で初期設定は変更されるかも

52.

Wi-Fi のサポート

53.

winget • winget が OS にビルトイン • インストール直後から利用可能 • Windows Server Build 25997.1000 では winget 1.5.2002 • Winget 1.6 系ではないので winget configuration は利 用不可 • 今後、ビルトインバージョンが変わる可能性あり • ちなみに、PowerShell は Windows PowerShell のみ (ビルトイン)

54.

winget

55.

Azure Arc セットアップの統合 • Azure Arc のセットアップをサーバーマネージャーから 実行可能 • OS の機能としてビルトイン、デフォルトで有効化 • Feature – Azure Arc Setup • 実行すると、Azure Arc の Agent をインターネット経由 でダウンロード・インストールし、初期構成を実施 • 役割と機能の削除から削除することは可能

56.

Azure Arc セットアップの統合

57.

Azure Arc セットアップの統合

58.

Azure Arc セットアップの統合

59.

Windows Update によるアップグレード • Windows Server 2022 から Windows Server v.Next に対して、Windows Update 経由でのインプレースアッ プグレードが可能

60.

Windows Update によるアップグレード

61.

サブスクリプションモデルでの課金 • Azure Arc 経由でサブスクリプションモデルでの課金 (Pay-as-you-go)によるライセンス付与が可能 • Azure Arc Setup の中で構成可能

62.

Demo

63.

まとめ • Windows Server v.Next では… • ホットパッチを利用可能(Arc が必要) • Azure Edition や Azure Stack HCI からの機能移植 • その他、セキュリティや物理ハードウェア向け改善 • Insider Build を使ってみてフィードバック!

64.

参考資料 • Thank You for 30 Years with Windows Server • Hotpatching is now available for Windows Server VMs on Azure with Desktop Experience! • Windows Server vNext at Microsoft Ignite, and What's New in Active Directory Technical Takeoff • Microsoft Technical Takeoff • What's new in Active Directory • #StopRansomware Guide

65.

参考資料 • SMB over QUIC now available in Windows Server Insider Datacenter and Standard editions • SMB over QUIC • SMB alternative ports now supported in Windows Insiders • SMB over QUIC client access control now supported in Windows Insider • SMB NTLM blocking now supported in Windows Insider • SMB dialect management now supported in Windows Insider • SMB firewall rule changes in Windows Insider

66.

参考資料 • The evolution of Windows authentication • ESE Deep Dive: Part 1: The Anatomy of an ESE database • 仮想マシンのホットパッチ • Azure VM での VM ゲストの自動パッチ適用 • Easily enable Azure Arc on Windows Server 2022 • SMB client encryption mandate now supported in Windows Insider • Announcing Windows Server Preview Build 26010