
Что нового в Windows Server 2025: полный обзор возможностей для бизнеса
Windows Server 2025 — это не «ещё один релиз с мелкими правками». За 15 лет работы с серверной инфраструктурой я такое говорю редко, но здесь Microsoft действительно переделала многое по-крупному. К нам в АйТи Фреш уже обратились более десятка компаний с запросом на миграцию — и честно говоря, те, кто тянет с переходом, просто накапливают долг: дырявая безопасность, железо на пределе, и никакого запаса на рост.
Что нового в Windows Server 2025 и почему это важно для бизнеса?
Microsoft выпустила Windows Server 2025 в октябре 2024 года. LTSC-релиз — поддержка до 2034 года, десять лет без принудительных переходов. Три направления изменились кардинально: безопасность, производительность хранилища и гибридная работа с Azure. Остальное — эволюция, но эти три — реальный сдвиг.
- Hotpatch — обновления безопасности без перезагрузки сервера. Мы ждали этого лет пять, если не больше. Для бизнеса это означает нулевой downtime при патчинге — никаких ночных окон обслуживания по пятницам.
- dMSA (Delegated Managed Service Accounts) — новый тип сервисных учёток AD с автоматической ротацией паролей. Больше никаких «пароль не менялся 3 года, потому что никто не знает, где он используется»
- SMB over QUIC — файловые шары через интернет без VPN, с шифрованием TLS 1.3. Звучит просто, на практике — решает головную боль половины удалённых команд
- NVMe Storage Spaces Direct — поддержка NVMe-пулов в кластерах, скорости до 14 млн IOPS. Цифра выглядит фантастически, но мы уже видели её в реальных тестах
- GPU Partitioning — разделение видеокарт между виртуалками для AI/ML нагрузок. Одна карта — несколько VM, без костылей и сторонних драйверов
Какие системные требования у Windows Server 2025?
По требованиям к железу Microsoft подняла планку заметно выше Server 2022. Проверьте парк заранее — сюрпризы бывают неприятные:
- Процессор: 64-bit, 1.4 GHz, совместимый с x64. Важно: поддержка POPCNT обязательна — именно на этом срезались несколько наших клиентов с серверами 2011–2013 годов
- ОЗУ: минимум 512 МБ (Server Core) / 2 ГБ (Desktop Experience). Но это цифры для галочки — на практике от 8 ГБ для продакшена, иначе страдания с подкачкой
- Диск: минимум 32 ГБ по документации. Мы рекомендуем SSD от 100 ГБ под систему — на HDD ставить смысла нет, только мучения
- Сеть: Gigabit Ethernet адаптер минимум, PXE-boot совместимый. Со 100 Мбит даже не начинайте
- TPM 2.0: рекомендуется для Secured-core server. Если планируете эту функцию — проверьте чип заранее, не в момент установки
- Secure Boot: поддержка UEFI обязательна. Legacy BIOS — всё, финал
Реальная история из нашей практики. Клиент пришёл с парком на Intel Xeon E5-2600 v2 — железо 2013 года. Половина серверов не прошла проверку совместимости. Мы не стали латать несовместимое — подобрали Dell PowerEdge R660xs, провели миграцию за выходные. В понедельник утром люди пришли на работу и ничего не заметили. Ни часа простоя в рабочее время.
Как работает Hotpatch и зачем он вашему бизнесу?
Hotpatch — это то, чего администраторы ждали годами. Раньше каждый Patch Tuesday превращался в переговоры с бизнесом: «когда можно перезагрузить продакшн?». Договаривались на ночь, на выходные, кто-то дежурил. Теперь критические обновления безопасности применяются прямо на работающей системе — без остановки сервисов.
Как это работает под капотом:
- Microsoft выпускает hotpatch-совместимое обновление — не каждый патч подходит, только помеченные как hotpatch-capable
- Патч модифицирует работающий код прямо в памяти, не трогая файлы на диске — да, именно так, без остановки процессов
- Раз в квартал всё равно нужен полный cumulative update с перезагрузкой (baseline) — от этого не уйти
- Между baseline — только hotpatch без рестартов. Три месяца спокойной жизни
# Проверка статуса Hotpatch
Get-HotFix | Where-Object {$_.Description -eq "Hotpatch"}
# Настройка через Azure Arc
az connectedmachine extension create --name WindowsOSHotpatch --publisher Microsoft.WindowsServer --type WindowsOSHotpatch --resource-group MyRG --machine-name MySrv
Что такое dMSA и как это защитит вашу Active Directory?
Delegated Managed Service Accounts — это эволюция gMSA, и эволюция осмысленная. У gMSA была неприятная дыра: скомпрометировав один сервер, атакующий получал Kerberos TGT для сервисной учётки, а дальше — всё, что она имела права делать. dMSA привязывает учётные данные к конкретной машине. Утёк один узел — остальные не пострадали.
Наши инженеры уже развернули dMSA у трёх клиентов. Делимся пошаговым процессом — без воды, только то, что реально работает:
# Создание dMSA
New-ADServiceAccount -Name "svc-webapp" -DNSHostName "webapp.company.local" -DelegatedManagedServiceAccount -PrincipalsAllowedToRetrieveManagedPassword "WEBAPP-SRV$"
# Установка на целевой сервер
Install-ADServiceAccount -Identity "svc-webapp"
# Проверка
Test-ADServiceAccount -Identity "svc-webapp"
Как SMB over QUIC заменяет VPN для удалённых офисов?
SMB over QUIC — файловые шары через интернет без VPN. Протокол QUIC работает поверх UDP, несёт в себе шифрование TLS 1.3 и, что важно, нормально проходит через капризные NAT и корпоративные файрволы, где TCP 445 заблокирован наглухо.
Реальный кейс: компания, 15 удалённых сотрудников, VPN рвётся по несколько раз в день, работа с файлами — мука. Классическая картина. Мы настроили SMB over QUIC — люди подключаются к файловому серверу напрямую, ощущение как в офисе. Скорость выросла втрое, заявки в поддержку по этой теме — ноль. Уже три месяца тишина.
# Настройка SMB over QUIC на сервере
New-SmbServerCertificateMapping -Name "fs.company.ru" -Thumbprint "CERT_THUMBPRINT" -StoreName "My"
# Проверка статуса
Get-SmbServerCertificateMapping
# На клиенте — просто подключаемся
net use Z: \\fs.company.ru\Share /transport:QUIC
Доверьте миграцию на Windows Server 2025 профессионалам
Наши инженеры настроят всё быстро и надёжно. Более 15 лет опыта, работа с юрлицами, договор, SLA. Не тратьте время на эксперименты — звоните.
Какие улучшения Storage Spaces Direct ждут в 2025?
Компаниям на гиперконвергентной инфраструктуре (HCI) под Windows Server 2025 стоит присмотреться внимательнее — улучшения здесь не косметические:
- NVMe-native пулы: Storage Spaces Direct наконец работает напрямую с NVMe, без прослойки SCSI. На практике это до 14 миллионов IOPS на кластер — цифра, которая раньше была уделом только специализированных СХД
- ReFS improvements: автоматическая дефрагментация и заметно лучшая производительность при работе с мелкими файлами — то, на что жаловались годами
- Storage thin provisioning: тонкое выделение места теперь работает на уровне ReFS — не нужно резервировать весь объём сразу
- Native NVMe multipath: отказоустойчивость NVMe-хранилищ без стороннего ПО. Одним лицензионным геморроем меньше
Как GPU Partitioning изменит работу с виртуализацией?
GPU-P (GPU Partitioning) — это то, чего не хватало виртуализации последние лет пять. Раньше через DDA (Discrete Device Assignment) одна физическая карта уходила целиком одной VM. Хочешь дать GPU двум машинам — покупай две карты. Теперь одну карту можно разделить между несколькими виртуалками нормально, на уровне гипервизора.
Где это реально используется в бизнесе:
- VDI с аппаратным ускорением графики — AutoCAD, Revit, 3ds Max без тормозов на удалёнке
- AI/ML inference на виртуальных машинах — когда модели нужен GPU, но выделять карту целиком под каждую задачу расточительно
- Видеонаблюдение с аналитикой на GPU — несколько потоков с разных камер обрабатываются параллельно на одном железе
- Терминальные серверы с GPU-ускорением для RemoteFX
Какие изменения в Active Directory Domain Services?
AD DS в Server 2025 — это не косметика. Там есть изменения, которые реально влияют на работу инфраструктуры:
- Новый функциональный уровень леса/домена: Windows Server 2025 — без него dMSA и ряд других новых фич просто не заработают
- 32k pages для AD database: на больших инфраструктурах запросы к AD летают заметно быстрее — разница ощущается особенно там, где каталог перевалил за несколько сотен тысяч объектов
- Улучшенная репликация: трафик между сайтами теперь сжимается — WAN-каналы спасибо скажут
- LDAP channel binding по умолчанию: защита от relay-атак включена сразу, ничего отдельно настраивать не нужно
Был у нас один показательный случай. Компания решила самостоятельно повысить функциональный уровень домена — и не проверила совместимость всех контроллеров. Итог: split-brain AD и несколько часов паники. Наши инженеры зашли, провели аудит, разгребли рассинхрон и корректно подняли уровень — всё уложилось в одну ночь. Могло бы не уложиться, если бы тянули дольше.
Как правильно планировать миграцию на Windows Server 2025?
За годы работы мы мигрировали десятки серверов. Вот чек-лист, который реально работает — не теория, а то, что мы сами используем:
- Аудит текущей инфраструктуры: полная инвентаризация — серверы, роли, приложения, зависимости
- Проверка совместимости оборудования: CPU смотрим в первую очередь, и не забываем про TPM 2.0 — без него установка не пройдёт
- Проверка совместимости ПО: антивирусы, бэкап-агенты, мониторинг — именно они чаще всего преподносят сюрпризы после обновления
- Тестовая миграция: поднимаем тестовый Server 2025 и прогоняем все критичные приложения — никаких «и так сойдёт»
- Бэкап всего: полный бэкап AD, файловых серверов, баз данных — и обязательно проверить, что он восстанавливается
- Миграция в нерабочее время: пятница вечером — воскресенье, по-другому на живом бизнесе не делается
- Пост-миграционное тестирование: каждый сервис из чек-листа проверяется руками — не «должно работать», а «проверили, работает»
Какие лицензии нужны для Windows Server 2025?
Лицензирование не изменилось — по-прежнему core-based, как в 2019 и 2022:
- Standard: 2 виртуалки на хост, базовый функционал — подходит большинству небольших компаний
- Datacenter: неограниченное число VM, Storage Spaces Direct, Shielded VMs — берёте, если гипервизор загружен под завязку
- Essentials: для малого бизнеса до 25 пользователей / 50 устройств — дешевле, но и возможностей меньше
Минимум — 16 ядер на сервер, считается пакетами по 2 ядра (8 core pack). Двухпроцессорник с 2×16 ядрами потребует 32 core-лицензии. Арифметика простая, но про неё регулярно забывают при планировании бюджета.
Когда стоит обратиться к профессионалам?
Самостоятельная миграция — это всегда лотерея. Иногда везёт, иногда нет. Есть конкретные ситуации, когда браться за это без профессионалов категорически нельзя:
- У вас Active Directory с несколькими контроллерами домена — одна ошибка, и репликация встанет
- Работают критичные бизнес-приложения: 1С, ERP, CRM — час простоя стоит дороже, чем услуги инженера
- Нет актуального бэкапа или он ни разу не проверялся на восстановление — это вообще отдельный разговор
- Вы никогда раньше не делали in-place upgrade серверной ОС — первый раз лучше не на продакшне
- У вас кластер: Failover Cluster, S2D, SQL Always On — там своя последовательность действий, и цена ошибки высока
Стоит ли обновляться прямо сейчас?
Если коротко — наш взгляд такой:
- Мигрировать сейчас, если: у вас Server 2016 или старше — EOL уже наступил, тянуть некуда; если нужен Hotpatch или строите инфраструктуру с нуля
- Подождать, если: Server 2022 работает стабильно и задач под GPU-P или SMB QUIC в ближайшее время нет — незачем гнать
- Срочно — если Server 2012 R2: поддержка закончена, уязвимости не закрываются, вы буквально живёте на пороховой бочке
Часто задаваемые вопросы
Что нового в Windows Server 2025 по сравнению с 2022?
Ключевые новшества: Hotpatch (обновления без перезагрузки), dMSA для защиты Active Directory, SMB over QUIC для работы без VPN, GPU Partitioning для виртуализации, улучшенный Storage Spaces Direct с NVMe.
Можно ли обновить Server 2019 до 2025 через in-place upgrade?
Да, in-place upgrade поддерживается с Server 2019 и 2022. Однако мы настоятельно рекомендуем чистую установку с миграцией ролей — это надёжнее.
Сколько стоит лицензия Windows Server 2025?
Стоимость зависит от редакции и количества ядер. Standard — от 80 000 руб., Datacenter — от 300 000 руб. Обратитесь к нам за точным расчётом.
Нужен ли TPM 2.0 для Windows Server 2025?
TPM 2.0 рекомендуется, но не обязателен для базовой установки. Для Secured-core server и BitLocker TPM 2.0 необходим.
Как работает Hotpatch в Windows Server 2025?
Hotpatch применяет обновления безопасности к работающему коду в памяти без перезагрузки. Раз в квартал требуется baseline-обновление с рестартом.
Поддерживает ли Server 2025 контейнеры Docker?
Да, Windows Server 2025 полностью поддерживает контейнеры Windows и Linux через WSL.
ООО «АйТи Фреш» возьмёт это на себя
Не хватает времени или своих специалистов — мы настроим, оптимизируем и возьмём вашу IT-инфраструктуру на постоянное сопровождение. Работаем с юридическими лицами в Москве и регионах. Собственный дата-центр, команда из 8 серверов Dell Xeon Platinum 8280 на базе МТС.