Windows Server 2025 to najnowsza odsłona flagowego systemu serwerowego Microsoftu, która wprowadza przełomową technologię hotpatching — możliwość instalowania krytycznych poprawek bezpieczeństwa bez restartowania serwera. Oprócz tego system otrzymał dziesiątki usprawnień w zakresie bezpieczeństwa (Credential Guard domyślnie włączony, SMB over QUIC dla wszystkich edycji), wydajności (NVMe, GPU-P, Hyper-V do 4 PB RAM) oraz integracji z chmurą hybrydową przez Azure Arc.
W skrócie
- Hotpatching — comiesięczne łatki bezpieczeństwa aplikowane w locie, bez restartu; restart tylko co 3 miesiące przy aktualizacji bazowej (baseline)
- Hotpatching działa na Windows Server 2025 Standard i Datacenter podłączonych do Azure Arc (funkcja dostępna od 2025 roku bez dodatkowych kosztów)
- Credential Guard domyślnie aktywny; SMB signing obowiązkowy dla wszystkich połączeń wychodzących; LDAP szyfrowany i TLS 1.3
- Active Directory: nowy poziom funkcjonalności Forest/Domain Level 10, opcjonalne 32K strony bazy danych (wzrost pojemności atrybutów wielowartościowych 2,6×)
- Hyper-V: do 4 PB RAM i 2048 procesorów logicznych na hosta, GPU Partitioning z Live Migration, Workgroup Clusters
- Storage: NVMe zoptymalizowane, natywna deduplikacja i kompresja ReFS, thin provisioned volumes w Storage Spaces Direct
- Cena orientacyjna: Standard ~$1176 (16 rdzeni), Datacenter ~$6771 (16 rdzeni); dostępny też model pay-as-you-go przez Azure Arc
Czym jest hotpatching w Windows Server 2025?
Hotpatching to technologia pozwalająca na instalowanie comiesięcznych aktualizacji zabezpieczeń systemu Windows Server bez konieczności restartowania maszyny. Mechanizm działa poprzez łatania kodu w pamięci (in-memory patching) działających procesów — zamiast zatrzymywać i ponownie uruchamiać usługi, system podmienia podatny kod bezpośrednio w locie.
Microsoft po raz pierwszy udostępnił hotpatching dla Windows Server 2022 Azure Edition (tylko na maszynach wirtualnych w chmurze Azure). W Windows Server 2025 technologia ta została rozszerzona — przez integrację z Azure Arc hotpatching jest dostępny także dla serwerów on-premises i w innych chmurach, pod warunkiem połączenia ich z platformą Azure Arc.
Jak działa harmonogram hotpatchy
Hotpatching operuje w cyklu kwartalnym:
| Miesiąc | Typ aktualizacji | Restart wymagany? | Zawartość |
|---|---|---|---|
| Miesiąc 1 (np. styczeń) | Baseline (planowana) | ✅ Tak | Pełna aktualizacja zbiorcza (Cumulative Update) — wszystkie poprawki bezpieczeństwa i jakościowe |
| Miesiąc 2 (np. luty) | Hotpatch | ❌ Nie | Tylko poprawki bezpieczeństwa Windows (bez .NET, sterowników, poprawek niefunkcjonalnych) |
| Miesiąc 3 (np. marzec) | Hotpatch | ❌ Nie | Tylko poprawki bezpieczeństwa Windows |
| Miesiąc 4 (np. kwiecień) | Baseline (planowana) | ✅ Tak | Kolejna pełna aktualizacja zbiorcza — cykl się powtarza |
Microsoft zastrzega również możliwość wydania nieplanowanej baseline (unplanned baseline) — na przykład w przypadku łatki zero-day, której nie da się dostarczyć jako hotpatch. Taka awaryjna aktualizacja również wymaga restartu.
Czego hotpatching NIE obejmuje
Warto znać ograniczenia — następujące typy poprawek zawsze wymagają restartu:
- Aktualizacje niefunkcjonalne (nonsecurity updates) samego Windows
- Aktualizacje .NET Framework i .NET
- Aktualizacje sterowników, firmware i innych komponentów spoza systemu Windows
Oznacza to, że nawet przy włączonym hotpatchingu, restart co kwartał przy instalacji baseline jest nieunikniony. Jednak w porównaniu z tradycyjnym comiesięcznym restartowaniem (12 restartów rocznie), hotpatching redukuje liczbę restartów do zaledwie 4 rocznie.
Wymagania i dostępność hotpatchingu
Hotpatching w Windows Server 2025 nie jest dostępny od razu po instalacji — trzeba spełnić następujące warunki:
- System: Windows Server 2025 Standard lub Datacenter (dowolna wersja — Desktop Experience lub Server Core)
- Azure Arc: serwer musi być połączony z Azure Arc (darmowa usługa pomostowa Microsoftu)
- Aktywacja: funkcję hotpatch włącza się w portalu Azure Arc dla każdego serwera osobno
- Stan: hotpatching w wydaniu Azure Arc jest obecnie w fazie preview (podgląd techniczny) — podlega warunkom Supplemental Terms of Use for Microsoft Azure Previews
Koszty: samo hotpatching przez Azure Arc nie generuje dodatkowych opłat — Microsoft udostępnił tę funkcję bezpłatnie od 2025 roku.
Najważniejsze nowe funkcje Windows Server 2025 (poza hotpatchingiem)
Windows Server 2025 to nie tylko hotpatching. Poniżej kluczowe obszary, w których system przeszedł istotną ewolucję względem Windows Server 2022.
Bezpieczeństwo — architektura hardened by default
| Funkcja | Opis | Status |
|---|---|---|
| Credential Guard | Izolacja poświadczeń w wirtualizowanym kontenerze; chroni przed atakami Pass-the-Hash i Pass-the-Ticket | ✅ Domyślnie włączony |
| SMB signing | Podpisywanie wszystkich wychodzących połączeń SMB obowiązkowe (wcześniej tylko dla SYSVOL/NETLOGON) | ✅ Domyślnie wymagane |
| SMB over QUIC | Szyfrowane połączenia SMB przez internet z niskimi opóźnieniami (protokół QUIC zamiast TCP/445) | ✅ Dostępne we wszystkich edycjach (wcześniej tylko Azure Edition) |
| LDAP encryption | Nowe wdrożenia AD wymagają podpisywania (sealing) LDAP po bindzie SASL | ✅ Domyślnie |
| TLS 1.3 dla LDAP | LDAP przez TLS wykorzystuje najnowszy standard TLS 1.3 | ✅ Wspierane |
| Kerberos — rezygnacja z RC4 | KDC nie wydaje już Ticket Granting Tickets szyfrowanych RC4-HMAC(NT) | ✅ Obowiązuje |
| SMB authentication rate limiter | Ogranicznik prób uwierzytelnienia — opóźnienie po każdej nieudanej próbie NTLM/PKU2U | ✅ Domyślnie |
| VBS enclaves | Wirtualizowane środowisko wykonawcze (trusted execution) izolujące wrażliwy kod w enklawie | ✅ Nowość |
| VBS key protection | Klucze kryptograficzne chronione przez VBS + TPM — niemożliwe do zrzutu z pamięci | ✅ Nowość |
| HVPT | Hypervisor-enforced paging translation — ochrona integralności translacji adresów liniowych | ✅ Domyślnie |
Active Directory — nowy poziom funkcjonalności i 32K strony
Windows Server 2025 wprowadza Forest Level 10 / Domain Level 10 — nowy poziom funkcjonalności domeny i lasu, wymagany m.in. do skorzystania z opcjonalnej funkcji 32K stron bazy danych AD.
Do tej pory baza danych Active Directory (ESE — Extensible Storage Engine) od Windows 2000 operowała na 8-kilobajtowych stronach. Przejście na 32K strony umożliwia:
- Zwiększenie limitu atrybutów wielowartościowych z ~1200 do ~3200 wartości (wzrost 2,6×)
- Usunięcie ograniczenia 8 KB na pojedynczy obiekt AD
- Poprawę wydajności dla bardzo dużych domen
Uwaga: migracja na 32K wymaga, aby wszystkie kontrolery domeny w lesie obsługiwały ten format — jest to decyzja na poziomie całego lasu, a nie pojedynczego DC.
Ponadto nowe AD otrzymuje: naprawę obiektów bez atrybutów SamAccountType/ObjectCategory, ulepszone algorytmy Name/SID Lookup (zastępują przestarzały Netlogon secure channel przez Kerberos + DC Locator), szyfrowanie atrybutów poufnych tylko po TLS, losowe hasła domyślne kont komputerowych oraz wsparcie NUMA dla procesorów powyżej 64 rdzeni.
Hyper-V — skalowalność i GPU
- 4 PB RAM i 2048 procesorów logicznych na hosta (wobec 48 TB/512 w Windows Server 2022)
- Maszyny wirtualne Gen 2: do 240 TB RAM i 2048 vCPU
- GPU Partitioning (GPU-P) — dzielenie fizycznego GPU między wiele VM; z High Availability i Live Migration dla VM z GPU
- Workgroup Clusters — klaster Hyper-V bez domeny Active Directory
- Accelerated Networking (preview) — uproszczone zarządzanie SR-IOV dla VM
- Dynamic processor compatibility — automatyczne wykorzystanie maksymalnego zestawu funkcji procesora dostępnego we wszystkich węzłach klastra
Storage — NVMe, ReFS i deduplikacja
- NVMe zoptymalizowane — wyższe IOPS, niższe zużycie CPU
- Natywna deduplikacja i kompresja ReFS — dla obciążeń aktywnych (np. VDI, serwery plików)
- Thin provisioned volumes w Storage Spaces Direct — alokacja z puli tylko w miarę potrzeb, możliwość konwersji fixed → thin z odzyskaniem miejsca
- Block cloning na ReFS — błyskawiczne kopiowanie plików jako operacja metadanych
- Storage Replica Enhanced Log — wyższa wydajność replikacji blokowej
Inne istotne zmiany
- OpenSSH Server zainstalowany domyślnie (wcześniej wymagał ręcznego dodania)
- DTrace jako natywne narzędzie do debugowania i monitorowania wydajności w czasie rzeczywistym
- WinGet (Windows Package Manager) domyślnie obecny
- Bluetooth i Wi-Fi — obsługa bezprzewodowa wbudowana (Wireless LAN Service domyślnie zainstalowany)
- WinUI / Windows 11 shell — interfejs pulpitu zgodny ze stylem Windows 11
- SDN — Network Controller jako rola klastra Failover (bez potrzeby osobnych VM), tag-based segmentation, SDN Multisite
- Windows Containers portability — możliwość przenoszenia obrazów kontenerów między hostami bez modyfikacji
Porównanie Windows Server 2025 vs 2022
| Obszar | Windows Server 2022 | Windows Server 2025 |
|---|---|---|
| Hotpatching | Tylko Azure Edition (VM w Azure) | Standard + Datacenter przez Azure Arc (on-premises i multicloud); bezpłatnie |
| Maks. RAM Hyper-V hosta | 48 TB | 4 PB |
| Maks. vCPU na VM | 1024 (Gen 2) | 2048 (Gen 2) |
| SMB over QUIC | Tylko Azure Edition | Standard + Datacenter |
| Credential Guard | Opcjonalny | Domyślnie włączony |
| SMB signing | Obowiązkowe tylko dla SYSVOL/NETLOGON | Obowiązkowe dla wszystkich połączeń wychodzących |
| GPU Partitioning | Brak | Tak, z HA i Live Migration |
| AD — strony bazy | 8K | 8K z opcją 32K (wymagany Forest Level 10) |
| LDAP TLS | TLS 1.2 | TLS 1.3 |
| OpenSSH Server | Ręczna instalacja | Zainstalowany domyślnie |
| Desktop shell | Windows 10 | Windows 11 (Mica, zaokrąglone rogi) |
| NVMe | Standardowa obsługa | Zoptymalizowana wydajność IOPS/CPU |
| ReFS dedup + kompresja | Brak | Natywna |
| Thin provisioning | Brak | Storage Spaces Direct |
| Azure Arc pay-as-you-go | Brak | Dostępny ($33,58/core/miesiąc) |
Jak zdobyć licencję Windows Server 2025?
Windows Server 2025 jest licencjonowany w modelu per core — każda licencja obejmuje 16 rdzeni fizycznych. Kluczowe opcje:
- Windows Server 2025 Standard — orientacyjnie $1 176 (16 rdzeni), do 2 maszyn wirtualnych + 1 host Hyper-V na licencję, wymaga CAL
- Windows Server 2025 Datacenter — orientacyjnie $6 771 (16 rdzeni), nielimitowane VM i kontenery Hyper-V
- Pay-as-you-go przez Azure Arc — $33,58 za rdzeń/miesiąc (~$0,046/godz.), dla elastycznego skalowania
Dla firm i administratorów, którzy chcą wdrożyć nowy system przy możliwie niskim koszcie początkowym, opłacalną alternatywą wobec cen katalogowych Microsoftu są legalne licencje z rynku wtórnego (tzw. second-hand), dopuszczone do obrotu w UE na mocy wyroku TSUE w sprawie UsedSoft vs Oracle (C-128/11). W ofercie KluczeSoft.pl znajdziesz licencje Windows Server 2025 Datacenter i Standard w cenach znacząco niższych od sugerowanych — z fakturą VAT i natychmiastową dostawą klucza. Sprawdź dostępne warianty w kategorii licencje serwerowe.
Częste pytania
Czy hotpatching w Windows Server 2025 działa na serwerach on-premises bez połączenia z Azure?
Nie — hotpatching wymaga połączenia serwera z Azure Arc. Samo połączenie jest darmowe (Azure Arc to usługa bezpłatna), ale serwer musi mieć łączność wychodzącą do chmury Azure. Dla środowisk całkowicie odciętych od internetu (air-gapped) hotpatching nie jest dostępny.
Czy po włączeniu hotpatchingu wszystkie aktualizacje przestają wymagać restartu?
Nie. Hotpatching dotyczy wyłącznie comiesięcznych poprawek bezpieczeństwa Windows. Co 3 miesiące instalowana jest pełna aktualizacja bazowa (baseline), która wymaga restartu. Ponadto aktualizacje .NET, sterowników i poprawek niefunkcjonalnych zawsze wymagają restartu — po prostu są dostarczane tylko w miesiącach baseline.
Ile kosztuje hotpatching przez Azure Arc?
Zero. Microsoft ogłosił w 2025 roku, że Azure Arc-enabled Hotpatch dla Windows Server 2025 jest dostępny bez dodatkowych opłat. Potrzebujesz jedynie licencji na Windows Server 2025 Standard lub Datacenter oraz połączenia z Azure Arc (które również jest bezpłatne).
Czy można wykonać in-place upgrade do Windows Server 2025 z Windows Server 2012 R2?
Tak. Windows Server 2025 umożliwia bezpośredni upgrade z Windows Server 2012 R2 i nowszych — czyli maksymalnie o cztery wersje w górę. Oznacza to ścieżkę: 2012 R2 → 2025, 2016 → 2025, 2019 → 2025, 2022 → 2025.
Czy Credential Guard i SMB signing można wyłączyć, jeśli powodują problemy z kompatybilnością?
Tak, obie funkcje można wyłączyć przez Group Policy. Credential Guard wyłącza się przez GPO w ścieżce Computer Configuration > Administrative Templates > System > Device Guard. SMB signing można wyłączyć dla klienta poleceniem Set-SmbClientConfiguration -RequireSecuritySignature $false, jednak Microsoft zdecydowanie odradza wyłączanie tych zabezpieczeń na maszynach produkcyjnych.
Czy Active Directory 32K strony bazy są kompatybilne z kontrolerami domeny na Windows Server 2022?
Nie. Przejście na format 32K wymaga, aby wszystkie kontrolery domeny w lesie miały bazę zdolną do obsługi 32K stron (czyli działały na Windows Server 2025). Dopóki w lesie obecne są DC na starszych wersjach, baza pozostaje w trybie 8K. Jest to migracja na poziomie całego lasu — nie można mieć mieszanego środowiska.
Czy Windows Server 2025 Standard obsługuje nielimitowaną liczbę maszyn wirtualnych jak Datacenter?
Nie. Standard pozwala na uruchomienie 2 maszyn wirtualnych (Operating System Environments) plus 1 hosta Hyper-V na jedną licencję 16-rdzeniową. Datacenter oferuje nielimitowaną liczbę VM i kontenerów Hyper-V. Jeśli potrzebujesz gęstej wirtualizacji, Datacenter jest obligatoryjny — inaczej musisz dokupować kolejne licencje Standard.