Windows Server 2025: что нового и стоит ли мигрировать

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я провёл десятки миграций Windows Server — с 2008 R2 на 2016, с 2016 на 2019, с 2019 на 2022. Новый 2025-й вышел в ноябре 2024, за год накопилось достаточно практики. Я развернул его у себя и у двух клиентов — холдинг на 180 рабочих мест и юридическая компания на 65. Поэтому рассказываю не по пресс-релизам Microsoft, а по ощущениям после реальных внедрений.

Что поменялось по сравнению с Server 2022

Server 2025 — это не косметический апдейт, а заметный шаг вперёд. Основные направления: патчинг без перезагрузки, безопасность AD, производительность SMB, хранилища и Hyper-V. Я выделил десяток фич, которые реально меняют расклад:

• Hotpatching для on-premises. Раньше был только в Azure Edition, теперь включается на обычном Server 2025 по подписке Azure Arc. Патчи безопасности накатываются без перезагрузки — до 8 месяцев без reboot-ов.
• AD Database 32K pages. Размер страницы AD увеличен с 8 КБ до 32 КБ, что снимает лимит на количество атрибутов в записи и ускоряет поиск в больших каталогах (10 000+ объектов).
• SMB over QUIC везде. Раньше только Azure Edition, теперь во всех редакциях Standard/Datacenter. Доступ к шарам через 443/udp без VPN.
• Hyper-V GPU-P. Partitioning видеокарт между VM — для VDI, 3D, видеомонтажа.
• Storage Replica в Standard. Раньше репликация была только в Datacenter, теперь и в Standard — но с ограничением 2 ТБ на том.
• ReFS Deduplication для продакшн. Дедупликация на ReFS-томах стала стабильной, особенно для VHDX-хранилищ.
• DNS over HTTPS. DoH-клиент встроен в сервер, шифрованные запросы к DNS-resolver-ам.
• Delegated Managed Service Accounts (dMSA). Эволюция gMSA — безопасные сервисные учётки без хранения паролей.
• NVMe over Fabrics. Нативная поддержка удалённых NVMe-массивов.
• Windows Admin Center глубже. Основной инструмент управления, MMC-консоли устаревают.

Hotpatching — главная фишка

Я всегда считал, что ежемесячные перезагрузки серверов — зло. Особенно когда у клиента 1С-сервер, куда подключаются 40 бухгалтеров, и каждый вторник второй недели ты ищешь окно для ребута. Hotpatching эту проблему решает.

Как это работает: из 12 месяцев года 8 прилетают hotpatch-обновления, они ставятся на живой сервер и активируются в памяти без перезагрузки. 4 раза в год (квартально) — базовый патч с обязательным ребутом. Таким образом, вместо 12 ребутов в год получается 4.

Ограничения: нужна подписка Azure Arc (бесплатно в ознакомительный период), поддерживается только Datacenter/Standard Server 2025, сервер должен быть зарегистрирован в Azure. Для не-облачных сценариев Microsoft готов, но требует подключения к Azure для сертификации.

Active Directory: 32K pages и безопасность

Увеличение страницы базы NTDS.dit с 8 КБ до 32 КБ — это не про скорость в первую очередь, а про ёмкость. Раньше при очень большом числе атрибутов в одном объекте (сертификаты, групповые политики, пользовательские расширения) вы упирались в лимит 8 КБ. В Server 2025 — 32 КБ, четырёхкратный запас.

Плюсы безопасности: по умолчанию отключены NTLMv1 и SMB1 (как и в 2022), добавлены более строгие проверки сертификатов при PKINIT, усилено шифрование Kerberos (AES-SHA256, SHA384). Для компаний, где у вас 1000+ пользователей и сложные схемы делегирования, это заметный выигрыш.

Практика: у нас на практике обновление схемы AD на Server 2025 занимает 15–30 минут на forest с 5 DC. Откат невозможен, поэтому работу делаем в субботу с холодным бэкапом System State.

SMB over QUIC — VPN-киллер для файлов

Это моя любимая новинка. Удалённый сотрудник из дома хочет открыть \\fileserver\documents. Раньше — поднимай VPN (OpenVPN, AnyConnect, L2TP). С Server 2025 — доступ напрямую через 443/udp, шифрованно, с аутентификацией по сертификату.

# На сервере
New-SmbServerCertificateMapping -Name fs01.example.ru -Thumbprint "A1B2..."
Set-SmbServerConfiguration -EncryptionCiphers AES_128_GCM,AES_256_GCM

# На клиенте (Windows 11 24H2+)
net use Z: \\fs01.example.ru\shared /transport:quic

Плюсы по сравнению с VPN: нет нагрузки на VPN-шлюз, скорость выше за счёт QUIC мультиплексирования, сертификатная аутентификация из PKI. Минусы: только Windows 11 и Server 2025, никакого Linux-клиента, фаерволы могут резать 443/udp.

Storage и Hyper-V улучшения

В Hyper-V появилось несколько практически полезных изменений:

• GPU Partitioning — делим одну NVIDIA/AMD карту на 4–8 VM для VDI.
• Larger VM support — до 2048 vCPU и 240 ТБ RAM на VM (для специфичных HPC-нагрузок).
• Live migration с сжатием и быстрым копированием памяти.
• SMB Direct (RDMA) — поддержка более широкого спектра адаптеров (в том числе 40G Mellanox ConnectX-6).

По хранилищам:

Как я обновляю инфраструктуру

Я всегда следую одному сценарию in-place upgrade: новый сервер рядом с текущим, перенос ролей по очереди. Никогда не делаю ставку на in-place апгрейд Windows Server через Setup.exe — слишком много непредсказуемого.

Типовой план для заказчика с 2 DC, одним файл-сервером и Hyper-V:

1. Снимаем свежий бэкап System State всех DC.
2. Вводим в домен новый DC на Server 2025. Install-ADDSDomainController.
3. Реплицируем FSMO-роли на новый DC. Move-ADDirectoryServerOperationMasterRole.
4. Проверяем репликацию, DNS, функциональность 1–2 недели.
5. Понижаем старые DC. Uninstall-ADDSDomainController.
6. Повышаем уровень домена и леса до 2025.
7. Файл-сервер — поднимаем новый, DFS-R подтягивает данные, переключаем DFSN.
8. Hyper-V — добавляем ноду 2025 в кластер, Live Migration VM по очереди.

Реальный кейс: миграция холдинга со 180 РМ

В ноябре 2025 холдинг коммерческой недвижимости — 180 рабочих мест, 2 DC + 1 RODC в филиале — попросил обновить инфраструктуру. На тот момент у них стоял Server 2016, заканчивалась поддержка. Было решено сразу прыгать на 2025, минуя 2019/2022.

Подготовка заняла 3 недели: аудит, тестовый стенд с копией AD, проверка 1С, проверка RDS-фермы на 40 пользователей. Железо — Dell R760 с Xeon Platinum 8280, 256 ГБ RAM, в дата-центре МТС с аплинком 40G Mellanox. Миграция выполнена за два уикенда.

Результат: уровень леса поднят до 2025, включён Hotpatching, Kerberos AES-256, SMB over QUIC для 40 удалённых сотрудников. Время отклика AD запросов упало с 85 мс до 22 мс (32K pages плюс новое железо), ежемесячных перезагрузок DC стало ноль вместо двух. Стоимость проекта — 380 000 руб. за всё вместе с лицензиями.

Когда НЕ мигрировать

Server 2025 — хороший релиз, но не каждому нужно прыгать прямо сейчас. У нас на практике три ситуации, когда я отговариваю клиентов:

• Server 2019 ещё год на поддержке — живите на нём и готовьте миграцию планомерно.
• Критичный софт 1С/CRM от вендора без официальной поддержки 2025 — сначала уточните у разработчика.
• Старое железо без TPM 2.0 и Secure Boot — апгрейд возможен, но на пределе рекомендаций.
• Маленький офис (до 20 РМ) без сложных потребностей — 2022 отлично работает и поддерживается до 2031.

FAQ

Главная причина переходить на Windows Server 2025?

Hotpatching — установка патчей безопасности без перезагрузки до 8 месяцев подряд. Для серверов, где простой критичен, это сильно меняет расклад. Плюс поддержка Microsoft до 2034 года.

Какие минимальные требования?

1.4 GHz x64 CPU с поддержкой CMPXCHG16b, LAHF/SAHF, PrefetchW, NX bit. 512 МБ RAM для Core, 2 ГБ для GUI. 32 ГБ диск под систему. UEFI Secure Boot рекомендован. На старом железе не поедет.

Как подготовить AD к обновлению?

Сначала обновите схему: adprep /forestprep и adprep /domainprep. Уровень леса и домена поднимите до Windows Server 2025 только после того, как все DC обновлены. Откат невозможен.

SMB over QUIC — что это даёт?

Доступ к SMB-шарам через UDP 443 без VPN. Удалённый сотрудник открывает \\server\share из дома и проходит TLS-аутентификацию через сертификат. Работает быстрее, чем SMB поверх VPN.

Hyper-V GPU Partitioning — кому актуально?

GPU-P делит одну физическую карту между несколькими VM. Актуально для VDI с 3D-приложениями, CAD-инженеров, видеомонтажа. Раньше это был только Discrete Device Assignment.