一、更新系统方式

可通过以下两种方式之一执行就地升级：从镜像文件或Windows 更新。

1、全新安装

通过优盘等媒介全新安装；

2、Windows 更新

Microsoft通过Windows 更新（称为功能更新）提供可选的就地升级功能。 此功能更新适用于 Windows Server 2019 和 Windows Server 2022 设备；

二、新版本更新内容

1.1、桌面 shell

首次登录时，桌面 shell 体验符合 Windows 11 的样式和外观。Windows Server 2025 中提供了Windows 终端，这是一个功能强大的高效多shell 应用程序，适用于命令行用户。 在搜索栏中搜索 终端 。

1.2、蓝牙连接更方便

现在，可以在 Windows Server 2025 中通过蓝牙连接鼠标、键盘、耳机、音频设备等。

1.3、配置WLAN无线更便捷

现在，启用无线功能更容易，因为无线 LAN 服务功能现在默认情况下已安装。 无线启动服务设置为手动，可通过在命令提示符、Windows 终端或 PowerShell 中运行net start wlansvc来启用。

1.4、新增1个性能分析工具

Windows Server 2025 配备了 dtrace 作为本机工具。 DTrace 是一款命令行实用工具，可让用户实时监控系统性能并排除故障。 DTrace 允许用户动态检测内核和用户空间代码，而无需修改代码本身。 此多功能工具支持一系列数据收集和分析技术，如聚合、直方图和用户级事件跟踪。

1.5、右键菜单增加新增文件压缩

Windows Server 2025 通过执行名为 “压缩到”的右键单击来压缩项时具有新的压缩功能。 此功能支持 ZIP、7z 和 TAR 压缩格式，每个格式都有特定的压缩方法。

1.6、可在开始菜单自定义收藏最常用的应用

现在可通过开始菜单固定最常用的应用，并且可根据需要进行自定义；

1.7、新的任务管理器外观

Windows Server 2025 使用符合 Windows 11 样式的 任务管理器外观；

1.8、WinGet

Winget 默认情况下已安装，这是一个命令行 Windows 程序包管理器工具，可提供用于在 Windows 设备上安装应用程序的全面程序包管理器解决方案。

1.9、默认集成OpenSSH组件

在早期版本的 Windows Server 中，OpenSSH 连接工具在使用前需要手动安装。 OpenSSH 服务器端组件默认安装在 Windows Server 2025 中。 服务器管理器 UI 还包括远程 SSH 访问下的一步选项，用于启用或禁用sshd.exe该服务。 此外，你还可以将用户添加到 OpenSSH 用户组，以允许或限制访问设备。

1.10、安全增强

1.10.1、增强Active Directory 域服务

Active Directory 域服务 (AD DS) 和 Active Directory 轻型域服务 (AD LDS) 的最新增强功能引入了一系列新功能和增强功能，旨在优化你的域管理体验：

• 32k 数据库页面大小可选功能 -
  新的 DC 可与 32k 页面数据库一起安装，而该数据库会使用 64 位长整型值 ID (LID) 并在“8k 页面模式”下运行，以便与以前的版本保持兼容。 升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。 迁移到 32k 数据库页面操作会在林范围内完成，且要求林中的所有 DC 均具有支持 32k 页面的数据库。
• AD 架构更新 - 引入三个新的日志数据库文件 (LDF)，以用于扩展 AD 架构、sch89.ldf、sch90.ldf 和 sch91.ldf。
• AD 对象修复 - AD 现在允许企业管理员修复缺少核心属性 SamAccountType 和 ObjectCategory 的对象。 企业管理员可将对象的 LastLogonTimeStamp 属性重置为当前时间。 这些操作会通过新的 RootDSE 来修改名为 fixupObjectState 的受影响对象的操作功能来实现。
• 通道绑定审核支持 - 现在可为轻型目录访问协议 (LDAP) 通道绑定启用事件 3074 和 3075。 当通道绑定策略修改为更安全的设置时，管理员可以识别环境中不支持或失败的通道绑定的设备。 这些审核事件也可在 Windows Server 2022 及更高版本中通过 KB4520412 来查询。
• DC 位置算法改进 - DC 发现算法提供了新功能，同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。 Windows 不会在 DC 发现操作期间使用邮件槽，因为 Microsoft 已宣布为这些旧技术弃用 WINS 和邮件槽。
• 林和域功能级别 - 新的功能级别可用于实现一般可支持性，而新的 32K 数据库页面大小功能必须使用该级别。 新的功能级别将映射到针对无人参与安装的 DomainLevel 10 和 ForestLevel 10 值。 Microsoft 没有改造 Windows Server 2019 和 Windows Server 2022 的功能级别的计划。
• 备注
  需要新的 AD 林或 AD LDS 配置集才能具有 Windows Server 2016 或更高的功能级别。 要升级 AD 或 AD LDS 副本，要求现有域或配置集已在运行，且其功能级别为 Windows Server 2016 或更高。
  Microsoft 建议所有客户现在开始规划将其 AD 和 AD LDS 服务器升级到 Windows Server 2022，以便为下一个版本做好准备。
• 改进针对名称/Sid 查找的算法 - 不同计算机帐户之间的本地安全机构 (LSA) 名称和 Sid 查找转发功能不再使用旧版 Netlogon 安全通道。 改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性，仍可使用 Netlogon 安全通道作为回退选项。
• 改进了机密属性 的安全性 - DC 和 AD LDS 实例仅允许 LDAP 在加密连接时添加、搜索和修改涉及机密属性的操作。
• 改进默认计算机帐户密码的安全性 - AD 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。
  可通过启用 GPO 设置域控制器：拒绝设置默认计算机帐户密码来控制此行为，而该设置位于：计算机配置\Windows 设置\安全设置\本地策略\安全选项
  Active Directory 管理中心 (ADAC)、Active Directory 用户和计算机 (ADUC)、net computer 和 dsmod 等实用工具也遵循此新行为。 ADAC 和 ADUC 均不再允许创建 2k 之前的 Windows 帐户。
• 用于实现加密敏捷性的 Kerberos PKINIT 支持 - 现已更新 Kerberos 中用于初始身份验证的 Kerberos 公钥加密 (PKINIT) 协议实现，从而通过支持更多算法并删除硬编码算法来实现加密敏捷性。
• LAN Manager GPO 设置 - GPO 设置“网络安全性:下次更改密码时不存储 LAN Manager 哈希值”不再显示，同时也不适用于新版本的 Windows。
• 默认进行 LDAP 加密 - 默认情况下，执行简单身份验证和安全层 (SASL) 绑定后，所有 LDAP 客户端通信均会使用 LDAP 密封。 要了解有关 SASL 的详细信息，请参阅 SASL 身份验证。
• 针对 TLS 1.3 的 LDAP 支持 - LDAP 使用最新的 SCHANNEL 实现，并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可以消除过时的加密算法，提供比旧版本更高的安全性，旨在实现尽可能多的握手加密。
• 对于属于受保护用户组成员的域用户和域成员计算机上的本地帐户，默认情况下会阻止所有通过旧 SAM RPC 接口进行的远程密码更改，包括 SamrUnicodeChangePasswordUser4。
  可使用以下组策略对象 (GPO) 设置来控制此行为：
  计算机配置 > 管理模板 > 系统 > 安全帐户管理器 > 配置 SAM 更改密码 RPC 方法策略
• NUMA 支持 - AD DS 现在会通过使用所有处理器组中的 CPU 来利用支持非一致性内存访问 (NUMA) 的硬件。 以前，AD 只会在组 0 中使用 CPU。 Active Directory 可扩展到 64 个内核以上。
• 性能计数器 - 现在提供针对以下计数器的性能监视和故障排除：
• DC 定位器 - 提供特定于客户端和 DC 的计数器。
• 通过 LsaLookupNames、LsaLookupSids 和等效 API 的 LSA 查找 - 名称和 SID 查找。 这些计数器可同时用于客户端与服务器 SKU。
• LDAP 客户端 - 可通过 KB 5029250 更新在 Windows Server 2022 及更高版本中使用。
• 复制优先级顺序 - AD 现在允许管理员为特定命名上下文提高针对特定复制伙伴的系统计算出的复制优先级。 此功能允许更灵活地配置复制顺序以解决特定方案。

1.10.2、支持从服务账户迁移到委派托管服务帐户

这种新类型的帐户支持从服务帐户迁移到委派托管服务帐户 (dMSA)。 此帐户类型附带托管密钥和完全随机密钥，可确保在禁用原始服务帐户密码时尽量减少应用程序更改。

1.10.3、Windows 本地管理员密码解决方案 (LAPS)

Microsoft LAPS 引入了多项功能，提供以下改进：

• 全新自动帐户管理功能
  最新更新允许 IT 管理员轻松创建托管的本地帐户。 利用该功能，可以自定义账户名称、启用或禁用帐户，甚至可以随机设置帐户名称以增强安全性。 此外，该更新还改进了与 Microsoft 现有本地帐户管理策略的集成。
• 新增映像回滚检测功能
  Windows LAPS 现在能检测到映像回滚。 如果发生回滚，则存储在 AD 中的密码可能不再与存储在设备上的本地密码匹配。 回滚可能会导致 IT 管理员无法使用持久化 Windows LAPS 密码登录到设备时出现“撕裂状态”。
• 新增密码功能
  IT 管理员现在可以利用 Windows LAPS 中的新功能，生成不太复杂的密码。 例如，与传统密码（如V3r_b4tim#963?）相比，EatYummyCaramelCandy 等密码更容易读取、记住和键入。
• 改善密码字典的可读性
  Windows LAPS 引入了新的 PasswordComplexity 设置，使 IT 管理员能够创建不太复杂的密码。 此功能允许自定义 LAPS 以使用所有四个字符类别（大写字母、小写字母、数字和特殊字符），就像现有的 4 位复杂性设置一样。 不过，新设置为 5 时，较复杂的字符被排除在外，以提高密码的可读性并尽量减少混淆。 例如，数字“1”和字母“I”在新设置中将永不使用。
• Active Directory 用户和计算机管理单元（通过 Microsoft 管理控制台）现在具有改进的 Windows LAPS 选项卡。Windows LAPS 密码现在使用新字体显示，可在纯文本中显示时增强其可读性。
• 为终止单个进程提供 PostAuthenticationAction 支持
  将新选项添加到 PostAuthenticationActions (PAA) 组策略设置“重置密码、注销托管帐户并终止任何剩余进程”（位于“计算机配置”>“管理模板”>“系统”>“LAPS”>“身份验证后操作”）。

1.11、SMB功能增强

1.11.1、基于 QUIC 的 SMB

SMB over QUIC 服务器功能以前仅在 Windows Server Azure 版本中可用，现在在 Windows Server Standard 和 Windows Server Datacenter 版本中均可用。 SMB over QUIC 增加了 QUIC 的优势，通过 Internet 提供低延迟、加密的连接。

管理员可以通过组策略和 PowerShell 禁用基于 QUIC 的 SMB 客户端。 若要使用组策略禁用基于 QUIC 的 SMB，请在以下路径中将“启用 SMB over QUIC”策略设置为“已禁用” ：

• Computer Configuration\Administrative Templates\Network\Lanman Workstation
• Computer Configuration\Administrative Templates\Network\Lanman Server

1.11.2、SMB 安全增强

1）SMB 加密

为所有出站 SMB 客户端连接启用强制 SMB 加密 。 通过此更新，管理员可以设置一个命令，即所有目标服务器都支持 SMB 3.x 和加密。 如果服务器缺少这些功能，则客户端无法建立连接。

2）SMB 验证频率限制

SMB 身份验证速率限制器旨在限制在特定时间段内进行的身份验证尝试次数。 SMB 身份验证速率限制器有助于打击暴力身份验证攻击。 SMB 服务器服务使用身份验证速率限制器实现每个失败的 NTLM 或基于 PKU2U 的身份验证尝试之间的延迟，并且默认启用。

3）禁用 SMB NTLM

从 Windows Server 2025 开始，SMB 客户端支持远程出站连接的 NTLM 阻止。 以前，Windows 简单和受保护的 GSSAPI 协商机制（SPNEGO）与目标服务器协商了 Kerberos、NTLM 和其他机制，以确定受支持的安全包。

4）SMB 方言控件

现在可以 在 Windows 中管理 SMB 方言。 配置 SMB 服务器时，确定与之前的行为匹配的最高方言相比，它协商的 SMB 2 和 SMB 3 方言。

5）SMB 签名

现在，所有 SMB 出站连接（以前仅在连接到 AD 域控制器上名为 SYSVOL 和 NETLOGON 的共享时）都需要 SMB 签名。

6）远程 Mailslot

对于 SMB 和 ACTIVE Directory 的 DC 定位符协议使用情况，默认禁用远程 Mailslot 协议。 远程 Mailslot 可能会在更高版本中删除。

7）路由和远程访问服务 （RRAS）优化

默认情况下，新的路由和远程访问服务（RRAS）安装不接受基于 PPTP 和 L2TP 协议的 VPN 连接。 如有必要，仍可启用这些协议。 基于 SSTP 和 IKEv2 的 VPN 连接仍可接受，不会有任何变化。

现有配置会保留其行为。 例如，如果你运行的是 Windows Server 2019 并接受 PPTP 和 L2TP 连接，并且你使用就地升级升级到 Windows Server 2025，则仍接受基于 L2TP 和 PPTP 的连接。 这一更改不会影响 Windows 客户端操作系统。

1.12、增强Hyper-V（虚拟化）、AI 和性能增强

1）加速网络

加速网络（AccelNet）简化了 Windows Server 2025 群集上托管的虚拟机（SR-IOV）的单根 I/O 虚拟化（SR-IOV）的管理。 此功能使用高性能 SR-IOV 数据路径来降低延迟、抖动和 CPU 利用率。 AccelNet 还包括一个管理层，用于处理先决条件检查、主机配置和 VM 性能设置。

2）虚拟机监控程序强制执行的分页转换

虚拟机监控程序强制执行的分页转换（HVPT）是一项安全增强功能，用于强制实现线性地址转换的完整性。 HVPT 保护关键系统数据免受攻击者将任意值写入任意位置（通常是由于缓冲区溢出而导致）的写入位置攻击。 HVPT 保护配置关键系统数据结构的页表。 HVPT 包含已使用虚拟机监控程序保护的代码完整性（HVCI）保护的所有内容。 默认情况下，HVPT 在硬件支持可用的情况下处于启用状态。 当 Windows Server 作为来宾在 VM 中运行时，不会启用 HVPT。

3）GPU 分区 (GPU-P)

使用 GPU 分区，你可以与多个虚拟机 (VM) 共享一个物理 GPU 设备。 GPU 分区会将 GPU 的专用分数分配给每个 VM，而不是将整个 GPU 分配到单个 VM。 使用 Hyper-V GPU-P 高可用性时，在计划外停机的情况下，会自动在另一个群集节点上启用 GPU-P VM。 GPU-P 实时迁移提供了一种解决方案，用于将 VM（计划内停机或负载均衡）与 GPU-P 移到另一个节点（无论是独立节点还是群集节点）。

4）动态处理器兼容性

动态处理器兼容性模式已更新，以利用群集环境中的新处理器功能。 动态处理器兼容性使用群集中所有服务器提供的最大处理器功能数。 与以前版本的处理器兼容性相比，模式可提高性能。 动态处理器兼容性还允许你在使用不同代处理器的虚拟化主机之间保存其状态。 处理器兼容性模式现在为能够进行二级地址转换（SLAT）的处理器提供增强的动态功能。 若要了解有关更新的兼容性模式的详细信息，请参阅 动态处理器兼容性模式。

5）工作组群集

Hyper-V 工作组群集是一种特殊类型的 Windows Server 故障转移群集，其中 Hyper-V 群集节点不是 Active Directory 域的成员，能够实时迁移工作组群集中的 VM。

6）网络 ATC

网络 ATC 简化了 Windows Server 2025 群集的网络配置的部署和管理。 网络 ATC 使用基于意向的方法，用户指定其所需的意向，例如网络适配器的管理、计算或存储，并且部署基于预期配置自动进行。 此方法可减少与主机网络部署关联的时间、复杂性和错误，确保群集中的配置一致性，并消除配置偏差。 若要了解详细信息，请参阅 使用网络 ATC 部署主机网络。

7）伸缩性

借助 Windows Server 2025，Hyper-V 现在支持多达 4 PB 内存和每个主机 2,048 个逻辑处理器。 这一增加可提高虚拟化工作负载的可伸缩性和性能。

对于第 2 代 VM，Windows Server 2025 还支持多达 240 TB 的内存和 2,048 个虚拟处理器，为运行大型工作负荷提供更高的灵活性。

1.13、存储优化

1）阻止克隆支持

从 Windows 11 24H2 和 Windows Server 2025 开始，开发驱动器现在支持阻止克隆。 由于开发驱动器使用 ReFS 文件系统格式，因此复制文件时，块克隆支持可提供显著的性能优势。 通过块克隆，文件系统可以代表应用程序复制一系列文件字节作为低成本的元数据操作，而不是对基础物理数据执行昂贵的读取和写入操作。 这可以更快地完成文件复制、减少到基础存储的 I/O，并通过允许多个文件共享同一逻辑群集来提高存储容量。

2）开发驱动器

开发驱动器是一个存储卷，旨在提高关键开发人员工作负载的性能。 开发驱动器利用 ReFS 技术并整合特定的文件系统优化，以更好地控制存储卷设置和安全性。 这包括指定信任、配置防病毒设置以及对附加筛选器执行管理控制的功能。

3）NVMe

NVMe 是快速固态硬盘 (SSD) 的新标准。 NVMe 存储性能已在 Windows Server 2025 中进行了优化，性能有所提高，导致 IOPS 增加并降低 CPU 利用率。

4）存储副本压缩

存储副本压缩可减少复制期间通过网络传输的数据量。

5）存储副本增强型日志

增强型日志可帮助存储副本日志实现，以消除与文件系统抽象相关的性能成本，从而提高块复制性能。

6）ReFS 本机存储重复数据删除和压缩

ReFS 本机存储重复数据删除和压缩技术用于优化静态和活动工作负荷（如文件服务器或虚拟桌面）的存储效率。

7）精简预配卷

具有存储空间直通的精简预配卷是一种更高效地分配存储资源的方法，仅当群集中需要时，才从池中分配成本高昂的过度分配。 还可以将固定卷转换为精简预配卷。 从固定卷转换为精简预配卷会将任何未使用的存储返回池，以供其他卷使用。 若要了解有关精简预配卷的详细信息，

8）服务器消息块

服务器消息块 (SMB) 是网络中使用最广泛的协议之一，它提供了在网络上的设备之间共享文件和其他资源的可靠方式。 Windows Server 2025 包括对行业标准 LZ4 压缩算法的 SMB 压缩支持。 LZ4 除了对 XPRESS（LZ77）、XPRESS Huffman（LZ77+Huffman）、LZNT1 和 PATTERN_V1的现有 SBS 支持之外。