Windows Serverは、企業のファイルサーバーやWebサーバーなどの用途で世界中の企業に活用されている。そうした中、日本マイクロソフトが提供するサーバーOSの最新版「Windows Server 2025」が、昨年リリースされた。おなじみの「サーバーマネージャー」や「役割と機能の追加」画面はそのままに、サイバーセキュリティやMicrosoft Azure(以下、Azure)連携の強化などに対応し、デジタルインフラをサポートする機能を豊富に備えているWindows Server 2025。新たなWindows Serverのサポート体制を紹介していこう。
再起動不要でパッチ適用
Windows Serverの刷新点の一つに、ホットパッチへの対応がある。Azureで2年間実績を積んだものと同じテクノロジーを使用しており、メモリー内コードにパッチを適用することで再起動せずにセキュリティパッチをインストールすることが可能だ。また、更新プログラムのインストール速度も大幅に短縮され、ワークロードへの影響の縮小化と運用コスト削減を実現する。
セキュリティも大幅に改善された。特にSMB(ネットワーク上でファイルを共有するための標準的なプロトコル)で、Windows NT時代から続く古いNTLM接続は既定でのブロック、既定で有効化された暗号化、ファイアウォールのルール強化では受信NetBIOSポートも拒否され、SMB認証の試行回数の制限でブルートフォース認証攻撃対策も行っている。
また、TCP通信の代替手段となる「SMB over QUIC」もファイルサーバーセキュリティ強化をサポートする。SMB over QUIC は IETF(Internet Engineering Task Force)で標準化されたプロトコルで、インターネットなどの信頼されていないネットワークを介してエッジファイルサーバーへの安全で信頼性の高い接続を提供する。全てのパケットは常に暗号化され、TLS 1.3で認証される。署名の要求やセキュリティが強固な接続プロトコルなどを経由することで転送中のデータを安全に運用できるだろう。
他ソリューションとの連携も強化
Windows Server 2025のHyper-Vでは、複数台のサーバーで可用性を高められる「フェールオーバークラスタリング」にライブマイグレーション機能を備えたワークグループクラスターが登場した。ホスト側で最大4PBのRAM、最大2,048個の論理プロセッサー、「Windows Server VM」は最大240TBのRAMと2,048個の仮想プロセッサーをサポートするなど、大規模なワークロードを実行するための拡張性が向上している。また、複数VM 間でGPUを共有する「GPU パーティショニング」機能、動的プロセッサ互換モード、AccelNetというネットワーク高速化機能などが追加されている。
「Azure Arc」とも連携できる。「Azure Arc 対応サーバー」を使用することで、Azureの外部、つまりオンプレミスやほかのクラウドプロバイダー上でホストされているWindowsやLinuxの物理サーバーと仮想マシンを管理できるのだ。Windows Server 2025の「標準Azure Arc インストールウィザード」では、Azure Arcへの登録から有効化まで容易に実現できる。Azureからの監視、ポリシー管理、更新管理、インベントリ/変更管理、セキュリティ態勢管理、スクリプト実行、Azure 経由のコンソール接続など包括的な運用が可能となり、WSUS置き換えへの道にもなる。Azure VM以外のホットパッチは「Azure Arc 対応Windows Server 2025」でサポートする。
ライセンスとして「Standard」「Datacenter Edition」を用意しており、物理、仮想、その他のクラウドなどに適用可能だ。また、短期的な容量ニーズへの対応には、Windows Server用の「Azure Arc 対応従量課金制オプション」を推奨したい。Windows Serverデバイスを展開し、使用した分だけ支払う従量課金制で、Azureサブスクリプション経由で課金される。必要に応じて、従量課金制を柔軟に無効化できる。さらに、試用版として有効化した後、最初の7日間は従量課金制を無料で使用できる。
遠隔操作や一括管理もサポート
Active Directory(AD)も大きく刷新している。各種アルゴリズムの改善に加え、ドメインコントローラーがNUMA(Non-Uniform Memory Access)に対応し、64個の論理プロセッサを超えて拡張可能になった。新しい機能レベルでは3万2,000ページのデータベースを持つことができ、従来の制限の影響を受ける領域が大幅に改善された。「委任された管理サービス アカウント」 (dMSA) と呼ばれる新しいアカウントの種類も提供され、従来のサービスアカウントからマネージドキーと完全ランダム化キーを持つマシンアカウントに移行し、元のサービスアカウントパスワードを無効化できる。dMSAの認証はデバイスIDにリンクされ、ADにマップされた指定されたマシンIDのみがアカウントにアクセス可能だ。dMSAを使用することで、従来のサービスアカウントで生じやすい問題である、漏えいしたアカウント(ケルベロースティング)を使用した認証情報のハーベスティングを防げる。
既定でインストールされる「WinGet」も紹介したい。WinGetは、Windowsデバイスにアプリケーションをインストールするための包括的なCLIのWindowsパッケージマネージャーツールで、アプリケーションの検出、インストール、アップグレード、削除および構成機能を提供することでソフトウェア管理を効率化する。インターフェースはコマンドを入力して指示を行うCLIで、コマンドプロンプトまたはPowerShellで指示を出す。オープンソースで無料のため、オープンソースコミュニティに貢献もできる。
セキュリティや管理機能、開発など、さまざまな方向で機能刷新を実現したWindows Server 2025は、Windows Server 2019/2022ならパッチ適用と同じ手法でアップグレードも可能だ。脆弱性の保護も兼ねて、OSアップグレードを進めよう。
