Windows Server 2022 の新機能

適用対象: Windows Server 2022

この記事では、Windows Server 2022 の新機能の一部について説明します。 Windows Server 2022 は Windows Server 2019 の強力な基盤の上に構築されています。これにより、セキュリティ、Azure ハイブリッド統合および管理、アプリケーション プラットフォームという 3 つの主要テーマに関する多くの技術革新が実現します。 また、Windows Server 2022 Datacenter: Azure Edition により、クラウドの利点を利用して、ダウンタイムを最小限に抑えながら VM を最新の状態に保つことができます。

セキュリティ

Windows Server 2022 の新しいセキュリティ機能は、Windows Server の他のセキュリティ機能を複数の領域にまたがって統合して、高度な脅威に対する多層防御を実現します。 Windows Server 2022 の高度な多層セキュリティにより、サーバーに現在必要な包括的な保護が提供されます。

セキュア コア サーバー

セキュア コア サーバーは、高度な攻撃に対して役立つ保護を提供し、データの機密性が最も高い一部の業界でミッション クリティカルなデータを処理する場合に保証を強化できます。 これは、簡素化されたセキュリティ、高度な保護、予防的防御という 3 つの主要な柱に基づいて構築されています。

簡素化されたセキュリティ

セキュア コア サーバーの OEM からハードウェアを購入すると、セキュア コアの確約を満たすハードウェア、ファームウェア、およびドライバーのセットを OEM が提供しているという保証を得られます。 Windows Server システムでは、セキュア コアのセキュリティ機能を有効にするために、Windows Admin Center で簡単に構成できます。

高度な保護

セキュア コア サーバーでは、ハードウェア、ファームウェア、およびオペレーティング システムの機能を最大限に利用して、現在および将来の脅威を防御します。 セキュア コア サーバーによって実現される保護は、そのサーバーで使用される重要なアプリケーションおよびデータ向けにセキュリティで保護されたプラットフォームを作成することを目的としています。 セキュア コア機能は、次の領域にまたがります。

  • ハードウェアの信頼のルート

    トラステッド プラットフォーム モジュール 2.0 (TPM 2.0) は、セキュア コア サーバーを使用できるサーバーに標準で付属しています。 TPM 2.0 は、起動時に読み込まれたコンポーネントの測定値など、機密性の高いキーとデータに対してセキュリティで保護されたストアを提供します。 このハードウェアの信頼のルートは、BitLocker などの機能によって提供される保護を強化します。また、TPM 2.0 を使用し、ゼロ トラストのセキュリティ戦略に組み込むことができる構成証明ベースのワークフローの作成を容易にします。

  • ファームウェアの保護

    ファームウェアの実行に使用される高い特権と、従来のウイルス対策ソリューションに対してファームウェア内で発生していることの相対的な不透明度により、ファームウェア領域で報告されているセキュリティの脆弱性が明らかに増加しています。 最近のレポートは、マルウェアとランサムウェアのプラットフォームにおいて、Active Directory ドメイン コントローラーなどのエンタープライズ リソースを対象としていることが既に確認されているファームウェアの攻撃のリスクを高めるファームウェア機能が追加されていることを示しています。 セキュア コア システムは、Dynamic Root of Trust of Measurement (DRTM) テクノロジのプロセッサ サポートを DMA 保護と共に使用して、このような攻撃からセキュリティ上重要なハイパーバイザーを分離します。

  • 仮想化ベースのセキュリティ (VBS)

    セキュア コア サーバーは、VBS とハイパーバイザー ベースのコード整合性 (HVCI) をサポートします。 VBS と HVCI は、カーネルなどのオペレーティング システムとその他のシステムの特権のある部分間で VBS が提供する分離を前提として、暗号通貨マイニング攻撃で使用される脆弱性のクラス全体を保護します。 また、VBS は、お客様が有効にできるより多くの機能を提供します (ドメイン資格情報をより適切に保護する Credential Guard など)。

予防的防御

セキュア コア機能を有効にすると、攻撃者がシステムを悪用するために使用するおそれのある多くの経路を積極的に防御し、妨害することができます。 また、この一連の防御により、IT および SecOps チームは、注意が必要な多くの領域にわたって時間をより効果的に利用できるようになります。

セキュリティで保護された接続

トランスポート: Windows Serer 2022 で既定で有効になっている HTTPS と TLS 1.3

セキュリティで保護された接続は、現在の相互接続システムの中核です。 トランスポート層セキュリティ (TLS) 1.3 は、最も採用されているインターネットのセキュリティ プロトコルの最新バージョンです。これは、データを暗号化して、2 つのエンドポイント間にセキュリティで保護された通信チャネルを提供します。 HTTPS と TLS 1.3 は Windows Server 2022 では既定で有効になり、サーバーに接続するクライアントのデータを保護します。 これにより、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化され、できるだけ多くのハンドシェイクの暗号化が目標とされています。 サポートされている TLS のバージョンサポートされている暗号スイートについて詳細を確認してください。

セキュリティで保護された DNS: DNS-over-HTTPS で暗号化された DNS 名前解決要求

Windows Server 2022 の DNS クライアントで、HTTPS プロトコルを使用して DNS クエリを暗号化する DNS-over-HTTPS (DoH) がサポートされるようになりました。 これは、傍受と DNS データの操作を防ぐことで、トラフィックをできるだけプライベートに保てるようにします。 DoH を使用するように DNS クライアントを構成する方法について詳細を確認してください。

サーバー メッセージ ブロック (SMB): セキュリティを最も重視する場合の SMB AES-256 暗号化

Windows Server 2022 では、AES-256-GCM および AES-256-CCM 暗号化スイートが SMB 暗号化と署名用にサポートされるようになりました。 Windows では、このより高度な暗号方法がそれをサポートする別のコンピューターに接続するときに自動的にネゴシエートされます。これは、グループ ポリシーを使用して強制させることもできます。 Windows Server は、下位互換性のために AES-128 を引き続きサポートしています。

SMB: 内部クラスター通信の東西 SMB 暗号化の制御

Windows Server フェールオーバー クラスターでは、クラスターの共有ボリューム (CSV) と記憶域バス層 (SBL) のノード内記憶域通信の暗号化と署名のきめ細かい制御がサポートされるようになりました。 つまり、記憶域スペース ダイレクトを使用する場合、より高いセキュリティのために、クラスター自体の中で東西の通信を暗号化または署名することを決定できます。

SMB ダイレクトと RDMA の暗号化

SMB ダイレクトと RDMA では、記憶域スペース ダイレクト、記憶域レプリカ、Hyper-V、スケールアウト ファイル サーバー、SQL Server などのワークロード用の高帯域幅、低遅延のネットワーク ファブリックを提供します。 Windows Server 2022 の SMB ダイレクトは、暗号化に対応するようになりました。 以前は、SMB 暗号化を有効にすると、データの直接配置が無効になっていました。これは意図的に行われていましたが、パフォーマンスに重大な影響を及ぼしていました。 現在は、データは配置前に暗号化されるため、パフォーマンスの低下ははるかに少なくなり、さらに AES-128 と AES-256 で保護されたパケットのプライバシーが追加されました。

SMB over QUIC

SMB over QUIC は、TCP の代わりに QUIC プロトコルを使用するために、Windows Server 2022 Datacenter: Azure Edition の SMB 3.1.1 プロトコルと、サポートされている Windows クライアントを更新します。 TLS 1.3 と共に SMB over QUIC を使用することで、ユーザーとアプリケーションが Azure で実行されているエッジ ファイル サーバーからデータに安全かつ確実にアクセスできます。 在宅勤務者とモバイルのユーザーは、Windows を使用している場合に、SMB 経由でファイル サーバーにアクセスするために VPN が不要となりました。 詳細については、SMB over QUIC に関するドキュメントを参照してください。

Azure ハイブリッドの機能

以前よりも簡単にデータ センターを Azure に拡張できる、Windows Server 2022 の組み込みのハイブリッド機能を使用して、効率性と機敏性を向上させることができます。

Azure Arc 対応 Windows サーバー

Windows Server 2022 を備えた Azure Arc 対応サーバーを使用すると、オンプレミスとマルチクラウドの Windows Server を Azure Arc を含む Azure に移行できます。この管理エクスペリエンスは、ネイティブの Azure 仮想マシンの管理方法と整合するように設計されています。 ハイブリッド マシンは、Azure に接続されると接続済みマシンになり、Azure 内のリソースとして扱われます。 詳細については、Azure Arc 対応サーバーに関するドキュメントを参照してください。

Windows Admin Center

Windows Server 2022 を管理するための Windows Admin Center の機能強化には、前述したセキュア コア機能の現在の状態について報告するものと、必要な場合にお客様がそれらの機能を有効にできるようにする機能の両方が含まれています。 これらとその他多数の Windows Admin Center の機能強化の詳細については、Windows Admin Center に関するドキュメントを参照してください。

Azure Automanage - Hotpatch

Azure Automanage の一部である Hotpatch は、Windows Server 2022 Datacenter: Azure Edition でサポートされています。 ホット パッチの適用は、新しい Windows Server Azure Edition の仮想マシン (VM) に更新プログラムをインストールするための新しい方法であり、インストール後に再起動を必要としません。 詳細については、Azure Automanage に関するドキュメントを参照してください。

アプリケーション プラットフォーム

Windows コンテナーに関するプラットフォームの機能強化は、アプリケーションの互換性や、Kubernetes を使用した Windows コンテナーのエクスペリエンスなど、いくつかあります。 主な機能強化として、Windows コンテナー イメージ サイズの最大 40% の削減があります。これにより、起動時間が 30% 速くなり、パフォーマンスが向上します。

また、コンテナー ホストにドメインを参加させずに、グループ マネージド サービス アカウント (gMSA) を使用して、Azure Active Directory に依存するアプリケーションを実行できるようになりました。さらに、Windows コンテナーは、Microsoft 分散トランザクション制御 (MSDTC) と Microsoft Message Queuing (MSMQ) をサポートするようになりました。

Kubernetes を使用した Windows コンテナーのエクスペリエンスを簡素化するその他の機能強化がいくつかあります。 これらの機能強化には、ノード構成のホストプロセス コンテナー、IPv6、Calico による一貫したネットワーク ポリシーの実装の各サポートが含まれます。

プラットフォームの機能強化に加えて、Windows Admin Center が更新され、.NET アプリケーションを簡単にコンテナー化できるようになりました。 アプリケーションがコンテナーに配置されたら、Azure Container Registry でそれをホストし、Azure Kubernetes Service などの他の Azure サービスにデプロイできます。

Intel Ice Lake プロセッサのサポートを備えた Windows Server 2022 では、SQL Server などのビジネスに不可欠で大規模なアプリケーションがサポートされます。これには、64 個の物理ソケットで実行される最大 48 TB のメモリと 2,048 論理コアが必要です。 Intel Ice Lake 上の Intel Secured Guard Extension (SGX) を使用した機密性の高いコンピューティングは、保護されたメモリを使用してアプリケーションを相互に分離することによって、アプリケーションのセキュリティを強化します。

その他の主な機能

AMD プロセッサの入れ子になった仮想化

入れ子になった仮想化は、Hyper-V 仮想マシン (VM) 内での Hyper-V の実行を可能にする機能です。 Windows Server 2022 は、AMD プロセッサを使用した入れ子になった仮想化のサポートを提供し、ご利用の環境により多くのハードウェアの選択肢を提供します。 詳細については、入れ子になった仮想化に関するドキュメントを参照してください。

Microsoft Edge ブラウザー

Internet Explorer に代わって、Microsoft Edge が Windows Server 2022 に付属しています。 これは、Chromium オープン ソース上に構築され、Microsoft のセキュリティと技術革新によってサポートされています。 これは、Server Core またはデスクトップ エクスペリエンス搭載サーバーのインストール オプションと共に使用できます。 詳細については、Microsoft Edge Enterprise ドキュメントを参照してください。 Microsoft Edge は、Windows Server の他のものとは異なり、そのサポート ライフサイクルに関してモダン ライフサイクルに従うことに注意してください。 詳細については、Microsoft Edge ライフサイクルに関するドキュメントを参照してください。

ネットワーク パフォーマンス

UDP パフォーマンスの向上

UDP は、伝達されるネットワーク トラフィックがますます増え、非常に人気の高いプロトコルになっています。 RTP とカスタム (UDP) ストリーミングおよびゲーミング プロトコルの人気が高まっています。UDP をベースに構築された QUIC プロトコルでは、UDP のパフォーマンスは TCP と同等のレベルになっています。 重要なこととして、Windows Server 2022 には UDP セグメント化オフロード (USO) が含まれています。 USO によって、UDP パケットの送信に求められるほとんどの処理が、CPU からネットワーク アダプターの専用ハードウェアに移されます。 USO は UDP Receive Side Coalescing (UDP RSC) によって補完され、これによりパケットがまとめられ、UDP の処理にかかる CPU の使用率が低下します。 さらに、送信と受信の両方で UDP データ パスに何百もの改善を行いました。 この新しい機能は、Windows Server 2022 と Windows 11 の両方に備わっています。

TCP パフォーマンスの向上

Windows Server 2022 では、TCP HyStart++ を使用して (特に高速ネットワークにおいて) 接続の起動中のパケット損失を減らし、RACK を使用して再転送タイムアウト (RTO) を減らしています。 これらの機能はトランスポート スタックで既定で有効になっており、高速時によりパフォーマンスを高める、より滑らかなネットワーク データ フローを実現します。 この新しい機能は、Windows Server 2022 と Windows 11 の両方に備わっています。

Hyper-V 仮想スイッチの改善

更新された Receive Segment Coalescing (RSC) により、Hyper-V の仮想スイッチが強化されました。 これにより、ハイパーバイザー ネットワークでパケットがまとめられ、1 つの大きなセグメントとして処理できます。 CPU のサイクル数が減り、セグメントは目的のアプリケーションによって処理されるまで、データ パス全体にわたってまとめられたままになります。 つまり、仮想 NIC で受信された外部ホストからのネットワーク トラフィックと、仮想 NIC から同じホスト上の別の仮想 NIC へのネットワーク トラフィックの両方のパフォーマンスが改善されました。

ストレージ

記憶域移行サービス

Windows Server 2022 の記憶域移行サービスの機能強化により、より多くのソースの場所から、Windows サーバーまたは Azure に記憶域を簡単に移行できます。 Windows Server 2022 で記憶域移行サーバー オーケストレーターを実行するときに使用できる機能を次に示します。

  • 新しいサーバーにローカル ユーザーとグループを移行する。
  • フェールオーバー クラスターからの記憶域の移行、フェールオーバー クラスターへの移行、スタンドアロン サーバーとフェールオーバークラスター間での移行を行う。
  • Samba を使用する Linux サーバーから記憶域を移行する。
  • Azure File Sync を使用して、Azure に移行された共有をより簡単に同期する。
  • Azure などの新しいネットワークに移行する。
  • NetApp CIFS サーバーを NetApp FAS 配列から Windows サーバーとクラスターに移行する。

調整可能なストレージの修復速度

ユーザーが調整可能な記憶域の修復速度は、記憶域スペース ダイレクトの新機能です。これにより、データのコピーを修復する (回復性) またはアクティブなワークロードを実行する (パフォーマンス) のいずれかのためにリソースを割り当てることで、データの再同期プロセスをより詳細に制御できます。 これにより、可用性が向上し、クラスターをより柔軟かつ効率的に利用できるようになります。

スタンドアロン サーバーでの記憶域スペースによる記憶域バス キャッシュ

記憶域バス キャッシュは、スタンドアロン サーバーで使用できるようになりました。 これにより、記憶域の効率を維持し、運用コストを低く抑えながら、読み取りと書き込みのパフォーマンスを大幅に向上させることができます。 記憶域スペース ダイレクトの実装と同様に、この機能は高速なメディア (NVMe や SSD など) と低速なメディア (HDD など) を組み合わせて、階層を作成します。 高速なメディアの層の一部は、キャッシュ用に予約されています。 詳細については、「スタンドアロン サーバーでの記憶域スペースによる記憶域バス キャッシュの有効化」を参照してください。

SMB の圧縮

Windows Server 2022 と Windows 11 の SMB の機能強化により、ユーザーまたはアプリケーションはネットワーク経由で転送するときにファイルを圧縮できます。 低速であるか、混雑しているネットワークで転送を大幅に高速化するために、ユーザーがファイルを手動で zip 圧縮する必要はなくなりました。 詳細については、「SMB の圧縮」を参照してください。