Windows Server 2025

Am 1. November 2024 hat Microsoft Windows Server 2025 veröffentlicht. Der reguläre "Mainstream-Support" soll bis 9. Okt.2029 und der erweiterte Support bis 10. Okt.2034 laufen. Microsoft behält damit seinen 3-Jahres-Turnus bei, zu dem neue Versionen veröffentlicht werden. Der Unterbau ist an vielen Stellen mit Windows 11 24H2 identisch.

Neuerungen

Eine neue Version ist auch immer eine Möglichkeit, neue Funktionen oder größere Erweiterungen auszuliefern. Die Liste von Microsoft ist relativ lange

Daher hier nur ein kleiner Auszug:

  • Hot Patching
    Microsoft möchte nicht nur die Anzahl der erforderlichen Neustarts durch "on the fly Patching" reduzieren, sondern sicher auch die Verzögerung bis zur Installation verkürzen. Viele Firmen haben auch kritische Updates erst zu einem "für den Betrieb geeigneten Zeitpunkt" installiert. Eine Unterbrechung muss ja geplant werden. Das kann durch diese neue Funktion vereinfacht werden
  • Neuerungen im AD
    Sie müssen mindestens auf Windows 2016 Forest functional Level sein, um einen Windows 2025 DC zu installieren. Wenn sie mögen (und alle Server auf 2025 sind), können Sie die "Pagesize" im AD von den bisherigen 8kB auf 32kB anheben. Dazu gibt es auch einen neuen Forest und Domain functional level und eine Schemaerweiterung. Auch der Zugriff per LDAP ist nun per "per Default Secure". Denken Sie daran, wenn ein alter Scanner per LDAP ohne SSL mit Klartextanmeldung das Adressbuch laden möchte. Viele Änderungen gibt es bei der Sicherheit von Kerberos NTLM, LDAP, AD-Feldern etc. 
  • SSH Server installiert bei Default
    Normalerweise bin ich ein Freund von "weniger ist mehr" und wenn ich einen SSH-Server brauche, dann könnte ich den auch durch ein angepasstes Setup mit installieren. Microsoft hat sich anders entschieden und SSHD mit installiert aber er ist damit nicht automatisch aktiv und auch die Firewall-Regekn sind nicht "offen".
    https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview
    https://learn.microsoft.com/en-us/windows-server/administration/OpenSSH/openssh_install_firstuse?tabs=powershell&pivots=windows-server-2025#enable-openssh-for-windows-server-2025
  • Azure ARC
    Die Module zum Management aus der Cloud sind nun per Default installiert.
  • Desktop
    Der Unterbau von Windows 11 24H2 bringt nun auch beim Server Funktionen wie Credential Guard, Bluetooth für Tastaturen etc. die neue "Shell", Paket für ZIP, 7z und TAR, die Möglichkeiten Apps an die Taskleiste zu pinnen
  • Remote Access Server
    Wer Windows 2025 als RAS-Server für VPNs nutzt, kann sich nicht mehr per PPTP oder L2TP verbinden, da sie per Default erst einmal deaktiviert sind. SSTP und IKEc2 sind weiter möglich.
  • SMB / File Services
    Windows 2025 bietet nun auch SMB over QUIC - HTTP/3im internen LAN an. SMB Signing und Encryption gehen ja schon länger aber nun können Sie ein Auditing aktivieren, um die unsicheren Clients zu finden, ehe Sie irgendwann dann die schwachen SMB-Verfahren blockieren. Auch die Nutzung von QUIC können Sie nun erfassen.
  • LAPS
    Die Sicherung des lokalen Administrators und Rotierung des Kennworts wurde weiter verbessert.

Das sind nur ein paar der Aspekte. Als Administrator sollten Sie genau prüfen, welche Produkte mit der aktuellen Version schon kompatibel sind. Denken Sie daran, dass Sie mit der Installation des ersten Servers schon die CAls für Windows Server 2025 für alle Clients bereitstellen müssen.

Wegfall

Einige Komponenten wurden in Windows Server 2025 aber nicht mehr fortgeführt

  • Wordpad
    Ich denke, dass niemand wirklich Wordpad aktiv genutzt hat. Entweder hat man Word auf dem Desktop oder vielleicht im Browser genutzt oder eben Notepad oder einen anderen besseren Editor wie Visual Studio Code, Notepad++ o.ä.
  • SMTP-Service
    Seit Windows 2012R2 ist dieser "kleine SMTP-Relay-Server" schon als depreciated geführt. Mit Windows 2025 ist er nun endgültig Geschichte. Auch die IIS6-Verwaltungskonsole konnte damit verschwinden.

Es gibt aber noch weitere Dinge, die nicht mehr im Standardumfang einhalten sind aber noch als "Feature on Demand (FoD)" nachinstalliert werden können, z.B.

Es gibt noch ein paar weitere Dinge aber mir ist bis auf den Windows SMTP-Service nichts aufgefallen, was ich vermissen würde.

Kompatibilität

Die neueren Security Defaults, z.B. die erhöhten Anforderungen an LDAP-Verbindungen oder der Wegfall von TLS 1.0/1.1 könnten einige Störungen verursachen. Vielleicht gibt es auch 3rd-Party Produkte, die eine Versionsabfrage nutzen und mit der neuen Version erst einmal nicht funktionieren wollen. Ansonsten sehe ich wenig Probleme auf Administratoren zukommen.

Es gehört natürlich zum Tagesgeschäft, dass man vor der Installation einmal prüft, ob die Installationsvoraussetzungen gegeben sind. Das gilt sowohl für die zusätzlichen Produkte wie Exchange Server, SQL-Server etc. aber auch was die Hardware betrifft. Windows 11 hat es ja vorgemacht, dass es z.B. CPU-Listen gibt, die mindestens Voraussetzung sind. TPM ist übrigens nicht immer erforderlich. Sie sollten aber überlegen, ob sie ihre Server mittels Bitlocker verschlüsseln und dann ist TPM 2.0 wieder Pflicht.

Updates

Windows Server 2025 kann auf einem neuen System installiert oder ein bestehendes System aktualisiert werden. Bei einem Inplace-Update ist allerdings wie bisher immer zu prüfen, ob alle Programme das problemlos mitmachen. Dass es im Grund "einfach" sein kann, sehen die ein oder anderen Administratoren auch im Windows Updates Dialog eines älteren Windows Servers:

Es ist nur ein "Funktionsupdate" aber dies hat bei einigen Firmen zu Problemen geführt, die mit einer Drittsoftware die Verteilung von Updates steuern. Wenn diese Software das Update als "wichtiges Sicherheitsupdate" missversteht und installiert, haben Sie unfreiwillig ein Inplace Updates durchgeführt und einen Rückweg über eine "Deinstallation" gibt es wohl nicht.

Some devices upgraded automatically to Windows Server 2025 (KB5044284). This was observed in environments that use third-party products to manage the update of clients and servers. Please verify whether third-party update software in your environment is configured not to deploy feature updates. This scenario has been mitigated.
Quelle: Windows Server 2022 and Server 2019 unexpectedly upgraded to Windows Server 2025 https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025#3404msgdesc

Windows Updates und Patches sind wichtig und auf Desktops ist es üblich, die anstehende Updates zeitnah zu installieren. Bei Servern sollten Sie vielleicht lieber zweimal hinschauen und eine Installation immer erst nach Freigabe erlauben.

Ein Inplace-Update ist aber gundsätzlich möglich, wenn der bestehende Server Windows 2012R, 2016, 2019 oder 2022 ist. Das ist insofern interessant, da früher Microsoft ein Update immer nur von den N-1/N-2 Versionen erlaubt hat. Die substanziellen Änderungen sind wohl nicht mehr so umfangreich wie bei früheren Entwicklungszyklen.

Exchange

Für Microsoft Exchange gilt wie immer die Aussage, dass in Inplace Update nicht möglich ist und in der Regel auch ein aktuelles CU erforderlich ist. Exchange 2019 CU14 und Exchange 2016 und älter können nicht auf Windows Server 2025 installiert werden. Aber das Exchange 2019 CU15 ist ja schon angekündigt und ist die erste Exchange Version, die auf Windows Server 2025 installiert werden kann. Damit haben Sie dann auch die aktuellste Basis für ein späteres Inplace Update von Exchange 2019 auf Exchange Server SE

Weitere Links