Windows Server 2016の製品ライフサイクルとサポート終了日(End of LifeCycle《EOL》、End of Support《EOS》)である2027年1月12日までまだ1年以上ありますが、対策に着手するには遅すぎるくらいです。前回まで、物理サーバーやVMをWindows Server 2025 Hyper-V環境に移行する方法について説明してきましたが、今回は、最新OS、最新ハードウェアに移行することの一般的なメリットをまとめてみました。
サポートと互換性
一般的なサーバーハードウェアは、数年(3年など)のハードウェア保証が標準で付与され、有償で5年程度まで延長可能です。そして、発売からそれ以上過ぎると、ベンダーによる保守部品の提供や技術サポートが終了します。保守サポートが切れたハードウェアを利用し続けることは、故障というリスクに常にさらされることになります。できれば導入時から、ハードウェアサポートのライフサイクルを考慮した、定期的なシステム更改を計画しておくべきですが、さまざまな理由で先送りされることは、OSのEOL/EOSのたびに移行問題が注目されることから考えると、珍しいことではないようです。
Microsoftは長期サービスチャネル(LTSC)のサーバーOSに対して、固定ライフサイクルポリシーに従って、メインストリームサポート5年、延長サポート5年の合計10年のサポートを提供しています。サポートが終了すると、セキュリティ更新プログラムが提供されなくなるため、脆弱性を放置したまま使用し続けることは、セキュリティリスクが日に日に高まります。また、最新のアプリケーションやセキュリティ製品は、サポートの終了したOSを早々に非対応にする可能性があります。
Microsoftからまだ公式の発表はありませんが、Windows Server 2016に対しても最大3年間の拡張セキュリティ更新プログラム(ESU)が提供されることになるでしょう。ESUを利用すれば、サポート終了後も、有償または無償(Azure上のインスタンスの場合)で重大(緊急、Critical)および重要(Important)と評価されるセキュリティ問題に対するセキュリティ更新プログラムを受け取ることが可能です。ただし、ESUに含まれるのは、セキュリティ更新プログラムの提供、およびESUのアクティブ化・インストールに関するサポート、ならびにESUに起因する問題に対するサポートのみです。ESUによって製品のライフサイクルが延長されることがなければ、延長サポートで使用可能であった有償の技術サポートを受けられるわけでもありません。
Windows Server の拡張セキュリティ更新プログラムの概要|Windows Server(Microsoft Learn)
セキュリティの強化
サポートが終了したOSにはセキュリティ更新プログラムが提供されず(ESUを利用しない限り)、脆弱性が累積され、セキュリティリスクが高まります。そのため、OSのライフサイクルの間に後継OSに移行することが重要です。Windows Server 2025では、Windows Server 2022まではDatacenter: Azure Edition限定であったホットパッチが、DatacenterおよびStandardエディションでも利用可能になりました(画面1)。これにより、最新のセキュリティ更新プログラムで脆弱性に対策しながら、再起動なしで長期運用できるようになりました。
画面1 ホットパッチは、3か月ごとの再起動が必要な通常の更新(ベースラインの更新)の間に利用可能な再起動不要のセキュリティ更新プログラム
vol.71 Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に(体感ビデオ付)|Windows Server 2025大特集(8)
ITニュース. Windows Server 2025 Datacenter/Standardのホットパッチは7月に正式提供開始
vol.120 再起動不要のWindows Server用ホットパッチ|Azure Update Managerでサーバー更新管理(9)
また、より強力な暗号化アルゴリズムや、最新の認証方式、プロトコルは、新しいOSに実装され、利用可能になります。一方で、脆弱性のある認証方式やプロトコル、アプリケーションは、新しいOSでは既定で無効にされるか、削除されているため安全です。例えば、Windows Server 205ではTLS 1.0/1.1、SMBv1、PPTP/L2TPは既定で無効、NTLMv1、Internet Explorer*1は削除されています。ファイルサーバーでは、非推奨のNetBIOS over TCP/IP(NBT)によるSMB通信が、Windowsファイアウォールの新しい「ファイルとプリンターの共有(制限付き)」グループ送受信規則でブロックされます。
*1 Internet Explorer(IE)は実際には削除されていませんが、Windows 11と同様にデスクトップアプリとして起動することはできなくなりました。IEの機能は、Microsoft EdgeのIEモードは利用可能です。
セキュアコアサーバー認定ハードウェアあるいは同等のハードウェアを導入すれば、WindowsおよびWindows Serverで強化され続けているOS組み込みの高度なセキュリティ機能(System Guard《Measure Boot、Secure Launch》、Credential Guard、Device Guard、Virtualization-Based Security《VBS》、ハイパーバイザーによるコード整合性の強制《HVCI》など)で、OSの起動直後からシステムが保護されます(画面2)。
画面2 セキュアコアサーバーとしての現在のシステムのセキュリティ状態。このハードウェアは数年前のモデルであり、一部の機能を利用できない(DMA保護に必要なIOMMUや、Secure Launch《セキュア起動》に必要なIntel TXT/AMD DRTMに非対応)
パフォーマンス・スケーラビリティの向上
Windows Server 2025は、現時点で最高のスケーラビリティを備えているWindows Server OSです。Hyper-Vのスケーラビリティで比較すると、ホストあたりの論理プロセッサ数は4倍(512→2048)、物理メモリは約167倍(24TB→4PB)、仮想プロセッサ数6.4倍(320→2048)と、スケーラビリティが大幅に向上しています。仮想マシン(VM)あたりでは、VMあたりの仮想プロセッサ数8.5倍(240→2048)、割り当て可能メモリ10倍(12TB→240TB)に拡張されています。これにより、より高性能な、より少ないホストまたはホストクラスターに、仮想化インスタンスを集約することができます。
Windows Server での Hyper-V のスケーラビリティの計画|Windows Server(Microsoft Learn)
運用・管理性の改善、強化
Microsoftは2018年から、Webベースのサーバー管理ツール「Windows Admin Center(WAC)」を提供しています。最新バージョンはベース技術が刷新された「WAC(v2)バージョン2410」です。WAC(v2)は、Windows Server 2016以降またはWindows 10以降にインストールできますが、Windows Server 2025はOS組み込みの「Windows Admin Center Setup」を使用して、簡単にインストールできるようになっています。WAC(v2)を使用すると、Windows Server 2019以降で導入されたシステムインサイトによるリソース使用の予測分析や、フェールオーバークラスターのセットアップの簡素化(画面3)、Windows Server 2025の新機能であるセキュリティベースライン(OSConfig)の実装など、運用と管理性が改善、強化されます。
画面3 Windows Server 2019以降に搭載されるシステムインサイトを使用すると、プロセッサ、メモリ、ネットワーク、ストレージ、ボリュームの予測分析が可能になる
AzureとAzure以外のリソースを一元管理できる「Azure Arc」についても、Windows Server 2025(およびWindows Server 2022)はOS組み込みの「Azure Arc Setup」を使用してAzure Connected MachineエージェントのインストールとAzure ArcへのAzure Arc対応サーバーとしての登録を簡単に行えるようになりました。Azure Arc対応サーバーは、Windows Server 2025の新機能であるオンプレミスのサーバーのホットパッチや、従量課金制(PAYG)ライセンスの購入、レガシサーバーに対する拡張セキュリティ更新プログラム(ESU)のサブスクリプション購入、Azure Update Managerによる更新管理など、Azureと連携した運用、管理機能を利用できるようになります。
vol.70 Azure Arc/WAC/sshdの簡単セットアップ|Windows Server 2025大特集(7)
vol.80 CIS対応のセキュリティ態勢を簡単に導入、維持できる新機能「OSConfig」|Windows Server 2025大特集(17)
メモ. Windows Server 2025 PAYG(従量課金制)サブスクリプションライセンスの実際の価格
Windows Server 2016のサーバーを運用していて、毎月のセキュリティ更新プログラムのダウンロードとインストール、再起動に酷く時間がかかると感じてはいないでしょうか(画面4)。Microsoft Updateカタログ上のサイズで比較すると、更新プログラムパッケージ(MSU)のサイズは、Windows Server 2016よりWindows Server 2025向けの更新プログラムのサイズの方が圧倒的に大きい(2025年9月の場合、Windows Server 2016が約1.6GBなのに対して、Windows Server 2025は約3.2GB)のですが、Windows Updateによるダウンロードとインストールについては、Windows Server 2025のほうがスムーズに進みます。
画面4 Windows Server 2016のWindows Updateは、初期のWindows 10の実装のままで、ダウンロード、インストール、再起動に時間がかかる
Windows Server 2016は、Windows 10の初期のバージョンのWindows Updateの技術に基づいています。Windows Updateの技術はその後、継続的に改善が加えられており、Windows Server 2025はWindows 11でも使用されているUUP(Unified Update Platform)技術を使用して、高度化された差分更新により、ダウンロードとインストールが効率化され、時間短縮が図られています。Windows Server 2025に移行することで、Windows Updateの改善の利点を得られるだけでなく、インプレースアップグレードの場合は、長期間の繰り返される更新プログラムのインストールで肥大化したコンポーネントストア(C:¥Windows¥WinSxS)の問題が解消され、結果として多くのディスク領域を解放できます。
新機能の活用
最新のWindows Server 2025に移行すると、Windows Server 2025の新機能はもちろん、Windows Server 2019以降で実装された新機能を利用できるようになります。例えば、フェールオーバークラスター用の記憶域スペースダイレクト(S2D)では、Windows Server 2019でReFSボリュームの重複除去と圧縮がサポートされ、Windows Server 2022で修復機能の調整やノード間通信の暗号化がサポートされ、Windows Server 2025ではシン(仮想)プロビジョニングに対応しました(画面5)。Windows Server 2016でもサポートされていたワークグループクラスターでは、大きな制約であったVMのライブマイグレーションがWindows Server 2025でサポートされるようになりました。これらは一例に過ぎません。Windows Server 2016では利用できなかった、高度なセキュリティ機能、移行機能(記憶域の移行サービス)、セキュリティベースライン、プロトコル(HTTP2、TLS 1.3、SMB over QUICなど)、新しいライセンスオプション(PAYGライセンス)などが、Windows Server 2025では利用できます。
Windows Server 2025 の新機能|Windows Server(Microsoft Learn)
Windows Server 2022 の新機能|Windows Server(Microsoft Learn)
Windows Server 2019 の新機能|Windows Server(Microsoft Learn)
画面5 記憶域スペースダイレクト(S2D)のシンプロビジョニング機能は、Azure Local(旧称、Azure Stack HCI)で初めてサポートされ、Windows Server 2025に組み込まれた
第4回 Windows Server 2025、既知の問題のその後+新機能&非推奨機能ピックアップ|セイテク・シス管道場(アーカイブ)
メモ. Windows Server 2025新機能OSConfig――使いこなしデモ|セイテク・シス管道場フォローアップなお、ワークグループクラスターではこれまで、Hyper-VワークロードとSQL Serverワークロードがサポートされていましたが、Windows Server 2025の登場により、HyperーVワークロードのサポートはWindows Server 2022以前のワークグループクラスターから削除されたことに注意してください。
vol.82 ワークグループクラスターの新機能とは|Windows Server 2025大特集(19)
ワークグループ クラスターのサポート ポリシー変更に関して|Microsoft Japan Windows Technology Support Blog(Microsoft)
Windows Server 2016 EOSまであとX日(1)|...|(11)|(12)|(13)|(14)|(15)|(16)
