Windows Server 2025 im Expertenblick – Das sind die Neuerungen
© Asaad | Adobe Stock

Windows Server 2025 im Expertenblick – Das sind die Neuerungen

Sicherheit, Leistung und Flexibilität
Veröffentlicht am
Zuletzt aktualisiert am

Windows Server 2025 bietet mit seinen erweiterten Features wieder einmal mehr Sicherheit, Leistung und Flexibilität. Durch schnellere Speicheroptionen und der Integration der Verwaltung in hybride Cloudumgebungen, ist Ihre Infrastruktur nun noch besser strukturiert.

Hier sind die Neuerungen, ergänzt durch die Kommentare unseres Softwarespezialisten (in kursiv).

Beschleunigter Netzwerkbetrieb: Optimierte I/O-Virtualisierung

Durch das beschleunigte Netzwerk (AccelNet) in Windows Server 2025 wird die Verwaltung der I/O-Virtualisierung (SR-IOV) für virtuelle Maschinen vereinfacht, die auf Clustern laufen. Der optimierte SR-IOV-Datenpfad senkt Latenz, Jitter und CPU-Auslastung. Eine neue Verwaltungsebene verbessert den Zugriff auf Prüfungen, Hostkonfiguration und Leistungseinstellungen der VMs.

Der „beschleunigte Netzwerkbetrieb“ in Windows Server 2025 vereinfacht die Netzwerkverwaltung für virtuelle Maschinen und reduziert Verzögerungen und CPU-Belastung. Administratoren profitieren von schnellerem Zugriff auf Netzwerkeinstellungen und gesteigerter Server-Reaktionsgeschwindigkeit—ideal für Unternehmen, die Effizienz und Leistung optimieren möchten.

Active Directory Domain Services: Technische Verbesserungen und neue Funktionen

Hier warten eine Reihe neuer Funktionen und Möglichkeiten zur Optimierung Ihrer Domänenverwaltungserfahrung auf Sie, auf die im Folgenden näher eingegangen wird. 

Erhöhte Datenbankseitengröße

Im Gegensatz zu Vorgängerversionen, die seit der Einführung von Windows 2000 eine ESE-Datenbank mit nur 8k Datenbankseitengröße verwenden, punktet Windows Server 2025 nun mit einer Datenbankseitengröße von 32k. Dieses Feature macht endlich Schluss mit der Einschränkung, dass ein AD-Objekt mit einem einzelnen Datensatz nicht größer als 8k Bytes sein darf. Neue DCs können nun mit einer 32k Datenbankseite installiert werden, die 64-Bit-LIDs (Long Value IDs) verwenden. Eine Umstellung der DCs in der Gesamtstruktur setzt jedoch voraus, dass alle DCs über eine 32k-Seiten-fähige Datenbank verfügen.

Die Erhöhung der Datenbankseitengröße von 8k auf 32k ist eine wichtige technische Verbesserung, die die Verwaltung von Active Directory (AD) modernisiert und flexibler gestaltet. Die bisherigen 8k-Seiten stellten früher oft ein Hindernis dar, da sie größere AD-Objekte limitierten. Nun sind größere und detailliertere Einträge im Active Directory möglich, was die Verwaltung komplexer Umgebungen erleichtert. Allerdings erfordert die Umstellung eine koordinierte Migration aller Domain Controller – ein notwendiger, aber zusätzlicher Verwaltungsaufwand.

Neue AD-Schema-Updates

Weitere Neuerungen im Bereich Active Directory Domain Services sind AD-Schema-Updates. Es werden zwei neue LDFs (Log Database Files) eingeführt, die das AD-Schema erweitern, sch89.ldf, sch90.ldf und sch91.ldf. Die entsprechenden AD LDS-Schemaupdates befinden sich in MS-ADAM-Upgrade3.ldf. Das Active Directory-Schema (AD-Schema) ist wie ein Bauplan für alle im AD gespeicherten Daten. Windows Server 2025 bringt drei neue LDF-Dateien (sch89.ldf, sch90.ldf, sch91.ldf), die das Schema erweitern und neue Funktionen unterstützen. Dies macht das Active Directory zukunftssicher und erleichtert die Integration neuer Funktionen ohne Neuinstallation. Allerdings können ältere Systeme möglicherweise nicht vollständig kompatibel sein und Anpassungen erfordern.

AD-Objektreparatur: Fehlerbehebung leicht gemacht

Die AD-Objektreparatur ist ein neues Feature in Windows Server 2025, das es Administrator*innen ermöglicht, verlorene oder fehlerhafte Eigenschaften von AD-Objekten wiederherzustellen. Die Attribute „SamAccountType“ und „ObjectCategory“ enthalten wichtige Daten über Netzwerkbenutzer oder -gruppen und sind essenziell für die Funktionalität des Active Directory. Wenn diese Attribute fehlen oder beschädigt sind, können sie über das neue „RootDSE-Tool“ („fixupObjectState“) repariert werden. Zusätzlich lässt sich das „LastLogonTimeStamp-Attribut“ aktualisieren, das die letzte Anmeldezeit eines Benutzers erfasst.

Die AD-Objektreparatur ist ein praktisches Tool, das IT-Teams hilft, Probleme im Active Directory schneller zu beheben. Besonders hilfreich ist es, dass fehlerhafte Objekte nun direkt im System korrigiert werden können, ohne dass eine manuelle Neukonfiguration notwendig ist. Dies kann die Verwaltung im Alltag erleichtern und Ausfälle durch korrupte Objekte reduzieren.

Sicherheitsupdates für LDAP

Eine weitere Neuerung ist der Support für Kanalbindungs-Audits. Dieser bietet eine neue Sicherheitsprüfung für LDAP (Lightweight Directory Access Protocol). LDAP ist ein Netzwerkprotokoll, das häufig zur Verwaltung von Benutzerinformationen in einem Netzwerk verwendet wird. Mit den neuen Audit-Ereignissen 3074 und 3075 können Administratorinnen jetzt überprüfen, ob die Kanalbindung aktiviert ist – das ist eine Sicherheitsmaßnahme, die verhindert, dass sensible Daten von ungesicherten Geräten abgegriffen werden. Die Audit-Funktion gibt Bescheid, wenn ein Gerät versucht, ohne die richtige Kanalbindung auf das Netzwerk zuzugreifen, was Administrator*innen dabei hilft, veraltete oder unsichere Geräte zu identifizieren.

Diese Funktion ist eine super Ergänzung für die Sicherheit, denn sie sorgt für mehr Transparenz und Kontrolle im Netzwerk. Gerade für größere Unternehmen ist es ein Vorteil, potenziell unsichere Zugriffe schnell zu erkennen und zu beheben, ohne umfassende manuelle Prüfungen durchführen zu müssen.

Verbesserter Lokalisierungsalgorithmus

Der DC-Lokalisierungsalgorithmus (Domain Controller Locator) in Windows Server 2025 wurde optimiert, sodass er nun besser kurze Domänennamen im alten NetBIOS-Format in die aktuellere DNS-Formatierung (Domain Name System) übersetzen kann. Domain Controller (DC) sind Server, die in einer Windows-Umgebung für die Authentifizierung und die Verwaltung von Benutzerdaten verantwortlich sind. Diese Optimierung hilft besonders dann, wenn ältere Programme oder Systeme auf die neuen DCs zugreifen möchten, da die Übersetzung der Namensformate so reibungsloser und schneller ablaufen kann.

Diese Verbesserung optimiert die Kompatibilität zwischen alten und neuen Systemen und sorgt im Idealfall für weniger Netzwerkfehler bei der Domänenerkennung. Insbesondere Unternehmen mit gemischten Systemumgebungen profitieren davon, da die Umstellung auf DNS-basierte Domänennamen so erleichtert wird und der Netzbetrieb zuverlässiger ablaufen kann.

Leistungssteigerung bei Name/SID-Suchvorgängen

Weiterhin sorgen die verbesserten Algorithmen fürName/SID-Suchvorgänge in Windows Server 2025 dafür, dass Abfragen zur Identifikation von Benutzern und Computern nun über den Kerberos-Authentifizierungsprozess und den neuen DC-Locator-Algorithmus erfolgen. Dies bedeutet, dass Anfragen für Sicherheits-IDs (SIDs) und Namensauflösungen effizienter und sicherer ablaufen, da der modernere Kerberos-Prozess anstelle des älteren Netlogon-Kanals genutzt wird. Falls jedoch ältere Betriebssysteme im Netzwerk sind, bleibt der Netlogon-Kanal weiterhin als Backup-Möglichkeit verfügbar, um Kompatibilität zu gewährleisten.

Der Wechsel auf Kerberos und den DC-Locator-Algorithmus verbessert die Sicherheit und Performance bei Name/SID-Abfragen und nutzt neuere Authentifizierungsprotokolle, was insgesamt der Sicherheit im Netzwerk zugutekommt. Die Fallback-Option für den Netlogon-Kanal ist ebenfalls als sinnvoll anzusehen, da so eine reibungslose Kompatibilität mit älteren Systemen bestehen bleibt – ein Vorteil für Unternehmen, die noch gemischte Netzwerke betreiben.

Die verbesserte Sicherheit für vertrauliche Attribute bedeutet für Nutzer, dass Domänencontroller (DCs) und Active Directory Lightweight Directory Services (AD LDS)-Instanzen jetzt zusätzliche Sicherheitsmaßnahmen verwenden: Nur verschlüsselte Verbindungen dürfen sensible Informationen hinzufügen, durchsuchen oder ändern.

So wird der Zugriff auf besonders vertrauliche Daten wie Passwörter und andere private Informationen nur auf sichere Weise erlaubt.

Erhöhte Sicherheit für vertrauliche Daten

Durch die verbesserte Sicherheit für Computerkonto-Standardkennwörter verwendet Active Directory (AD) jetzt zufällig generierte Standardkennwörter für Computerkonten. Das neue System von Windows Server 2025 verhindert, dass die Kennwörter auf den Standardwert, der dem Computerkontonamen entspricht, festgelegt werden. Dadurch wird das Risiko von Sicherheitslücken verringert.

Weitere Sicherheitsupdates: Kerberos PKINIT, Standardkennwörter und mehr

Kerberos PKINIT: Flexiblere Kryptografie

Die Neuerung Kerberos PKINIT-Unterstützung für kryptografische Agilität bedeutet, dass das PKINIT-Protokoll in Windows Server 2025 aktualisiert wurde, um eine größere Flexibilität in der Kryptografie zu ermöglichen. Dies geschieht durch die Unterstützung zusätzlicher Algorithmen und das Entfernen von hartcodierten Algorithmen, was die Sicherheitsoptionen verbessert.

Diese Anpassung ist besonders vorteilhaft, da sie eine bessere Anpassungsfähigkeit an neue kryptografische Standards und Algorithmen ermöglicht. So können Administratoren sicherstellen, dass ihre Systeme stets die aktuellsten Sicherheitsmaßnahmen nutzen, ohne an veralteten Technologien festhalten zu müssen.

Entfernung der LAN Manager Hash-Wert-Einstellung

Im neuen Windows Server 2025 wurde die GPO-Einstellung „Netzwerksicherheit: LAN Manager Hash-Wert bei nächster Kennwortänderung nicht speichern“ entfernt und ist nicht mehr relevant für die neuen Windows-Versionen. Dies bedeutet, dass diese spezifische Sicherheitsrichtlinie nicht mehr in den Gruppenrichtlinieneinstellungen vorhanden ist.
Was bedeutet das für Nutzer? Die Entfernung dieser Einstellung zeigt, dass Windows moderne Sicherheitsmethoden priorisiert und veraltete, unsichere Praktiken hinter sich lässt. Administratoren sollten jedoch auch alternative Sicherheitsrichtlinien kennen, um die Netzwerksicherheit aufrechtzuerhalten.

LDAP-Standardverschlüsselung für mehr Sicherheit

Mit der neuen LDAP-Standardverschlüsselung stellt Windows sicher, dass die Kommunikation zwischen LDAP-Clients und Servern verbessert ist. Nach der sogenannten SASL-Bindung (ein Verfahren zur Authentifizierung) werden alle Daten standardmäßig verschlüsselt. Das bedeutet, dass sensible Informationen geschützt sind und nicht von Dritten abgefangen oder verändert werden können.

Diese Neuerung schützt zwar besser vor Datenmissbrauch, erhöht aber gleichzeitig auch die Komplexität bei der Einrichtung und könnte für einige Nutzer bedeuten, dass sie sich erst mit der Technik vertraut machen müssen. 

TLS 1.3: Verbesserte Verschlüsselung für LDAP

Mit der neuen Unterstützung für TLS 1.3 wird die LDAP-Verbindung sicherer, da sie die neuesten Standards für die Verschlüsselung verwendet. TLS 1.3 beseitigt veraltete Sicherheitsprotokolle und sorgt dafür, dass die Kommunikation zwischen LDAP-Servern und -Clients noch besser vor Angriffen geschützt ist. Außerdem wird ein Großteil des Verbindungsaufbaus (Handshakes) verschlüsselt, was die Sicherheit weiter erhöht.

Diese Verbesserung bietet einen signifikanten Sicherheitsgewinn, könnte jedoch zusätzliche Konfigurationsschritte für Unternehmen erfordern, um sicherzustellen, dass ihre Systeme mit dem neuesten Protokoll kompatibel sind.

Sichere Kennwortänderungen für Domänenbenutzer

In Windows Server 2025 wird das Ändern von Kennwörtern für Domänenbenutzer sicherer gestaltet, indem die Nutzung sicherer Protokolle wie Kerberos bevorzugt wird. Das System akzeptiert nun standardmäßig die neueste Methode zur Kennwortänderung (SamrUnicodeChangePasswordUser4) über das SAM-RPC-Protokoll, wenn es von einem anderen Computer aus aufgerufen wird. Dies bedeutet, dass ältere, unsichere Methoden zur Kennwortänderung automatisch blockiert werden, was das Risiko von Sicherheitsvorfällen verringert.
Wichtig: Ältere Methoden zur Passwortänderung über das SAM-RPC-Protokoll werden bei Remoteaufrufen standardmäßig blockiert. Dazu gehören die Methoden SamrChangePasswordUser, SamrOemChangePasswordUser2 und SamrUnicodeChangePasswordUser2. Auch für Domänenbenutzer*innen in der Gruppe Geschützte Benutzer und lokale Konten auf Domänenmitgliedscomputern werden Remotekennwortänderungen über die veraltete SAM-RPC-Schnittstelle blockiert.

Diese Einschränkungen erhöhen die Sicherheit, indem unsichere Methoden ausgeschlossen werden, machen  jedoch zusätzliche Anpassungen in den Gruppenrichtlinieneinstellungen in Unternehmen erforderlich.

NUMA-fähige Hardwareunterstützung für AD DS

Active Directory Domain Services (AD DS) profitiert jetzt von NUMA-fähiger Hardware, die es ermöglicht, CPUs aus allen Prozessorgruppen zu nutzen. Zuvor war es nur möglich, CPUs aus Gruppe 0 zu verwenden. Dadurch kann Active Directory über 64 Kerne hinaus skaliert werden, was die Leistung erheblich verbessert.

Diese Neuerung optimiert die Ressourcennutzung und steigert die Effizienz von AD DS auf leistungsstarker Hardware, was besonders für große Unternehmen von Vorteil ist.

Neue Leistungszähler für Fehlerbehebung

In Windows Server 2025 stehen nun Leistungszähler zur Überwachung und Fehlerbehebung zur Verfügung, die spezifische Informationen zu verschiedenen Aspekten des Systems liefern. Dazu gehören Zähler für den DC Locator, die Client- und Domain-Controller (DC)-spezifische Daten bereitstellen, sowie Zähler für LSA-Abfragen (Local Security Authority), die es ermöglichen, Namen und SID über verschiedene APIs abzurufen.

Diese Leistungsüberwachung verbessert die Fehlerbehebung und Systemadministration, da Administratoren jetzt gezielt Leistungsdaten erfassen können, um potenzielle Probleme frühzeitig zu identifizieren.

Replikationsprioritätsreihenfolge anpassen

Mit der neuen Replikationsprioritätsreihenfolge in Windows Server 2025 können Administratoren die Replikationspriorität für bestimmte Namenskontexte und Replikationspartner anpassen. Dies bedeutet, dass Sie bestimmen können, welcher Replikationspartner bevorzugt behandelt wird, wenn es um die Aktualisierung von Daten im Active Directory geht. Dieses Feature bietet mehr Flexibilität, um spezifische Anforderungen oder Herausforderungen in der Netzwerkumgebung zu adressieren.

Azure Arc: Erweiterte Cloud-Integration

Windows Server 2025 bietet jetzt die standardmäßige Funktion zur einfachen Einrichtung von Azure Arc. Mit einem benutzerfreundlichen Assistenten und einem Symbol in der Taskleiste können Server problemlos zu Azure Arc hinzugefügt werden. Azure Arc erweitert die Möglichkeiten von Azure, indem es die Entwicklung von Anwendungen und Diensten in verschiedenen Umgebungen ermöglicht, wie zum Beispiel in Rechenzentren und Multi-Cloud-Umgebungen. Azure Arc bietet in Windows Server 2025 eine vielversprechende Möglichkeit, die Flexibilität und Verwaltung von Servern in verschiedenen Umgebungen zu verbessern. Die Einführung von Azure Arc in bestehende Infrastrukturen kann jedoch zusätzliche Anforderungen und Komplexität mit sich bringen, insbesondere wenn Unternehmen bereits mehrere Unterschiedliche Systeme und Tools verwenden.

Klonungsunterstützung im Dev Drive

Windows Server 2025 ermöglicht nun die Unterstützung für das Klonen von Blöcken im Dev Drive, um so Dateien viel schneller zu kopieren. Dank des ReFS-Dateisystems kann das Klonen ganze Bereiche von Dateibytes als einfache Metadatenoperationen kopieren, anstatt aufwendige Lese- und Schreibvorgänge durchzuführen. Dies beschleunigt den Kopiervorgang, reduziert die E/A-Last auf dem Speicher und verbessert die Speicherkapazität, da mehrere Dateien dieselben logischen Cluster nutzen können.

Die Einführung des Blockklonens ist eine bedeutende Verbesserung, da sie die Effizienz bei Dateioperationen erheblich steigert und gleichzeitig Ressourcen spart.

Weitere Neuerungen im Überblick

  • Bluetooth
    In Windows Server 2025 können Sie jetzt verschiedene Geräte wie Mäuse, Tastaturen, Headsets und Audiogeräte über Bluetooth verbinden.
  • Credential Guard
    In Windows Server 2025 ist die Sicherheitsfunktion Credential Guard jetzt automatisch aktiviert, wenn das Gerät die entsprechenden Anforderungen erfüllt. Credential Guard schützt sensible Anmeldeinformationen, indem es sie in einer sicheren Umgebung speichert, sodass sie vor unbefugtem Zugriff geschützt sind.

    Die entsprechenden Anforderungen sind:

  1. Secure Boot: Hardwarebasiertes Secure Boot muss unterstützt werden.
  2. UEFI: Unterstützung der Unified Extensible Firmware Interface (UEFI).
  3. Virtualization-Based Security (VBS): Das Gerät muss Virtualisierungsschutz bieten.
  4. Firmware-Updates: Sichere Firmware-Update-Prozesse müssen gewährleistet sein.

  • Delegiertes verwaltetes Dienstkonto
    Dieser neue Kontotyp ermöglicht die Umstellung von einem herkömmlichen Dienstkonto auf ein delegiertes verwaltetes Dienstkonto (Delegated Managed Service Account, dMSA). Die Neuerung beinhaltet verwaltete und vollständig randomisierte Schlüssel, wodurch nur minimale Änderungen an der Anwendung erforderlich sind, während die ursprünglichen Kennwörter des Dienstkontos deaktiviert werden.
  • Dev Drive
    Ein spezielles Speichervolume für Entwickler-Workloads, optimiert durch das ReFS-Dateisystem, um Einstellungen und Sicherheit gezielt zu steuern. Eher Sinnvoll für Entwickler, aber für gängige Server-Workloads weniger bedeutsam.
  • DTrace
    Echtzeit-Leistungsüberwachung und Fehlerbehebungstool, das tiefe Einblicke in Kernel- und Benutzerbereiche ermöglicht. Starke Erweiterung, die Windows Server im Vergleich zur Konkurrenz attraktiver für Systemüberwachung macht.
  • E-Mail und Konten
    Unterstützung für Microsoft-Konten und Microsoft Entra ID in den Kontoeinstellungen.
  • Feedback-Hub
    Neues Tool für Benutzerfeedback direkt im Betriebssystem. Gut für Problemlösungen, aber in vielen Serveranwendungen eher selten genutzt.
  • Dateikomprimierung
    Jetzt direkt über das Kontextmenü, mit Unterstützung für ZIP, 7z und TAR. Hilft, aber standardmäßig in vielen Betriebssystemen bereits vorhanden und kein Alleinstellungsmerkmal.
  • Hyper-V-Manager
    Erleichtert die VM-Erstellung durch Generation 2 als Standardeinstellung. Praktisch für schnellere VM-Konfiguration, aber keine fundamentale Neuerung.
  • HVPT (Hypervisor-erzwungene Pagingübersetzung)
    Schutz für Systemdaten durch bessere Sicherheit bei der Adressübersetzung. Bedeutender Sicherheitsvorteil, besonders für sensible Umgebungen und Systeme mit hohem Schutzbedarf.
  • Network ATC
    Automatisierte Bereitstellung und Verwaltung von Netzwerkkonfigurationen im Cluster. Effizienzsteigernd und besonders für größere Cluster sehr wertvoll.
  • NVMe
    Bessere SSD-Performance durch NVMe-Standard. Zwingend nötig, um modernen Standards zu entsprechen und wettbewerbsfähig zu bleiben.
  • OpenSSH
    Nun standardmäßig installiert, mit verbesserter Verwaltung und Benutzersteuerung. Ein längst überfälliger Schritt für mehr Benutzerfreundlichkeit bei der Verwaltung.
  • Angeheftete Apps
    Anpassbare Standard-Apps im Startmenü für schnellen Zugriff. Praktisch, aber für Serverumgebungen oft nicht unbedingt erforderlich.
  • Remotezugriff
    Standardmäßige Deaktivierung von PPTP und L2TP für neue VPN-Setups, Sicherung durch bevorzugte Protokolle. Ein sicherheitsorientierter Ansatz, der den Server zukunftssicher macht.
  • Sichere Zertifikatverwaltung
    Höhere Sicherheitsstandards durch SHA-256- und RSA-2048-Anforderungen. Bedeutender Schritt für die Zertifikatssicherheit, den andere Plattformen ebenfalls zunehmend implementieren.
  • Sicherheitsbaseline
    Mehr als 350 vordefinierte Sicherheitseinstellungen für Geräte und VM-Rollen. Erleichtert den Sicherheitsaufbau erheblich und hebt die Sicherheitsstandards für Server.
  • Server Message Block (SMB)
    Verbesserte Verwaltung von SMB-Einstellungen und erweiterte Überwachungsmöglichkeiten. Ideal für Netzwerke mit intensiver SMB-Nutzung und bringt zusätzliche Sicherheit und Kontrolle.

Unser Fazit: Windows Server 2025 setzt neue Standards

Windows Server 2025 bringt insgesamt zahlreiche Detailverbesserungen, die größtenteils auf moderne Bedürfnisse wie Sicherheit, Leistung und Verwaltungsfreundlichkeit zugeschnitten sind. Im Vergleich zu anderen modernen Serverlösungen auf dem Markt, kann Windows Server 2025 mit seiner umfassenden Cloud-Integration und Leistungssteigerung für KI-Workloads punkten und setzt damit neue Standards. Während Features wie hybride Netzwerkintegration und GPU-Partitionierung zunehmend zum Marktstandard werden, ist die Kombination aus Sicherheitsinnovationen und der nahtlosen Azure-Einbindung ein Alleinstellungsmerkmal, das insbesondere für Microsoft-Cloud-Nutzer attraktiv ist. Lange überfällig waren die Vereinfachungen im Update-Management und die erhöhte Effizienz im Speicherbereich, die nun zeitgemäße Anforderungen erfüllen.