• Praxis

Windows Server 2025: Die Features, die den Umstieg tatsächlich rechtfertigen

Autor: Redaktion

13. Juli 2026

Lesedauer:

9–13 Minuten

Jede neue Windows-Server-Version bringt eine lange Liste an „Neuerungen“ mit, von denen die meisten im Admin-Alltag nie eine Rolle spielen. Bei Windows Server 2025 ist das anders. Drei Änderungen greifen tief genug in Betrieb und Sicherheit ein, dass sie über die reine Marketingfolie hinausgehen: Hotpatching hat gerade einen kompletten Kurswechsel hingelegt, Active Directory bekommt die…

Jede neue Windows-Server-Version bringt eine lange Liste an „Neuerungen“ mit, von denen die meisten im Admin-Alltag nie eine Rolle spielen. Bei Windows Server 2025 ist das anders. Drei Änderungen greifen tief genug in Betrieb und Sicherheit ein, dass sie über die reine Marketingfolie hinausgehen: Hotpatching hat gerade einen kompletten Kurswechsel hingelegt, Active Directory bekommt die erste neue Functional Level seit 2016, und SMB over QUIC ist nicht mehr der Datacenter-Edition vorbehalten. Dieser Artikel geht auf genau diese drei Features in der Tiefe ein – inklusive der Stolperfallen, die in Migrationsprojekten regelmäßig übersehen werden.

Inhaltsverzeichnis

Hotpatching: Vom teuren Testballon zum kostenlosen Standard

Hotpatching ist die Fähigkeit von Windows Server 2025, sicherheitsrelevante Updates direkt im Arbeitsspeicher laufender Prozesse einzuspielen, ohne dass der Server dafür neu gestartet werden muss. Technisch läuft das über einen Austausch der betroffenen Codeabschnitte im Speicher: Der Kernel leitet Systemaufrufe auf den neuen Code um, ein abschließender Integritätscheck stellt sicher, dass die Änderung sauber übernommen wurde. Anders als beim klassischen Update-Prozess, bei dem Änderungen auf die Festplatte geschrieben und erst durch einen Neustart aktiv werden, entfällt dieser Zwischenschritt komplett.

Für den Betrieb heißt das: kürzere Wartungsfenster, weniger abgestimmte Reboot-Termine mit Fachabteilungen, schnellere Reaktion auf kritische Sicherheitslücken, weil der Patch nicht erst auf das nächste geplante Wartungsfenster warten muss. Gerade bei Systemen mit hohen Verfügbarkeitsanforderungen – Terminalserver, Datenbank-Hosts, Domain Controller in großen Umgebungen – ist das ein handfester Vorteil.

Die Kostenhistorie, die Sie kennen sollten

Hier lohnt sich ein genauer Blick, weil sich der Stand innerhalb weniger Monate mehrfach geändert hat und viele Admins noch mit veralteten Informationen unterwegs sind. Bei der Freigabe von Windows Server 2025 im November 2024 war Hotpatching zunächst als Preview-Feature verfügbar. Ab dem 1. Juli 2025 machte Microsoft es kostenpflichtig: 1,50 US-Dollar pro CPU-Kern und Monat für Azure-Arc-verbundene Maschinen außerhalb von Azure. Diese Hürde hat viele Unternehmen davon abgehalten, das Feature überhaupt in Betracht zu ziehen.

Seit dem 15. Mai 2026 ist genau diese Abrechnung Geschichte: Hotpatching ist für Azure-Arc-verbundene Windows-Server-2025-Maschinen (Standard und Datacenter) jetzt kostenlos, unabhängig davon, ob die Server on-premises, in einer anderen Cloud oder in einer Multi-Cloud-Umgebung laufen. Bereits abonnierte Maschinen wurden automatisch umgestellt, ohne dass administrativ etwas zu tun war. Für Server, die nativ in Azure oder auf Azure Local unter der Datacenter-Azure-Edition laufen, war die Funktion ohnehin bereits im Lizenzpreis enthalten.

Voraussetzungen und Funktionsweise im Detail

Damit ein Server hotpatch-fähig ist, müssen folgende Bedingungen erfüllt sein:

  • Windows Server 2025, Edition Standard oder Datacenter
  • Verbindung mit Azure Arc (auch für On-Premises- und Multi-Cloud-Server zwingend erforderlich)
  • Aktivierte Virtualization-Based Security (VBS) auf der Maschine

Der Update-Zyklus folgt einem Quartalsrhythmus: In den Baseline-Monaten Januar, April, Juli und Oktober wird ein kumulatives Sicherheitsupdate eingespielt, das einen klassischen Neustart erfordert. In den beiden Folgemonaten kommen ausschließlich Hotpatches ohne Neustart zum Einsatz. Das bedeutet in der Praxis: Ein Server, der auf Hotpatching läuft, braucht trotzdem vier geplante Reboots im Jahr – das Feature reduziert die Anzahl der Neustarts drastisch, eliminiert sie aber nicht vollständig.

Nicht jedes Update ist hotpatch-fähig. Ausgenommen sind insbesondere Nicht-Sicherheitsupdates, .NET-Patches sowie Treiber- und Firmware-Aktualisierungen von Drittanbietern. Für diese Kategorien bleibt der klassische Update-Weg mit Neustart bestehen. Die Verwaltung erfolgt primär über den Azure Update Manager, alternativ über Gruppenrichtlinien für den Windows-Update-Client oder SConfig für Server-Core-Installationen.

Active Directory: Die erste neue Functional Level seit 2016

Seit Windows Server 2016 hatte Microsoft keine neue Forest- oder Domain-Functional-Level mehr eingeführt – Server 2019 und 2022 liefen beide weiterhin auf FFL/DFL 2016. Windows Server 2025 durchbricht diese Pause, und das mit substanziellen Änderungen, nicht mit kosmetischen Anpassungen.

32k-Datenbankseiten: Ende einer jahrzehntealten Beschränkung

Active Directory nutzt seit Windows 2000 eine Extensible-Storage-Engine-Datenbank (ESE) mit einer Seitengröße von 8 KB. Diese Designentscheidung hat über die Jahre zu handfesten Skalierungsproblemen geführt, etwa bei der maximalen Größe einzelner AD-Objekte oder der Anzahl der Werte in mehrwertigen Attributen. Mit der neuen Functional Level lässt sich optional auf ein 32k-Seitenformat umstellen. Das erhöht die maximale Anzahl von Werten in mehrwertigen Attributen um den Faktor 2,6 auf etwa 3.200 – relevant vor allem für Umgebungen mit vielen Zertifikaten, Gruppenmitgliedschaften oder Token-bezogenen Attributen pro Objekt.

Wichtig für die Praxis: Die Umstellung auf das 32k-Format ist eine forestweite Operation. Ein einzelner Domain Controller, der auf Windows Server 2025 aktualisiert wird, nutzt weiterhin sein bestehendes 8k-Format – neue DCs können zwar direkt mit 32k-Datenbank installiert werden, aber eine forestweite Umstellung erfordert, dass wirklich alle DCs im Forest 32k-fähig sind.

DC-Locator und Kerberos-Härtung

Die Domain-Controller-Lokalisierung wurde grundlegend überarbeitet. Bislang erfolgte die Suche nach einem DC teilweise über NetBIOS-Mechanismen und Mailslots – Verfahren ohne durchgängige Authentifizierung, die anfällig für Man-in-the-Middle-Angriffe waren. Der neue DC-Locator nutzt DNSSEC-Ressourceneinträge zur Validierung von DNS-Antworten und schützt so vor DNS-Spoofing, unabhängig davon, ob der anfragende Client selbst DNSSEC-fähig ist. Die veraltete NetBIOS-basierte DC-Discovery ist in der neuen Functional Level standardmäßig deaktiviert.

Auf der kryptografischen Seite verabschiedet sich Microsoft endgültig von RC4: Domain Controller erlauben inzwischen standardmäßig nur noch AES-SHA1 für Kerberos, RC4 bleibt deaktiviert. Zusätzlich kommt SHA-384 als robustere Alternative zur Signierung und Verschlüsselung von Service-Tickets hinzu. Für Umgebungen, die noch auf ältere Kerberos-Verschlüsselungstypen angewiesen sind – etwa wegen Legacy-Anwendungen –, kann das vor dem Anheben der Functional Level zu bösen Überraschungen führen.

Der Upgrade-Pfad in der Praxis

Um die Domain- oder Forest-Functional-Level auf 2025 anzuheben, müssen ausnahmslos alle Domain Controller der jeweiligen Domäne beziehungsweise des gesamten Forests auf Windows Server 2025 laufen. Die Domain Functional Level kann dabei höher als die Forest Functional Level gesetzt werden, aber nie niedriger. Eine bestehende Domäne muss zudem mindestens auf der Functional Level 2016 stehen, bevor sich überhaupt ein Windows-Server-2025-DC hinzufügen lässt.

In gemischten Umgebungen bedeutet das ein klassisches Henne-Ei-Problem: Neue 2025er-DCs einführen, alte DCs schrittweise demoten oder upgraden, und erst wenn kein DC mehr unterhalb von Windows Server 2025 läuft, die Functional Level anheben. Ein Punkt, der in unseren Schulungen regelmäßig für Aha-Momente sorgt: Die Anhebung der Functional Level ist nicht rückgängig zu machen, ohne den Forest aus einem Backup wiederherzustellen oder komplett neu aufzubauen – das ist keine Einstellung, die man „mal eben ausprobiert“.

SMB over QUIC: Jetzt auch ohne Datacenter-Edition

SMB over QUIC ermöglicht verschlüsselten Dateizugriff über das QUIC-Protokoll, ohne dass dafür ein klassisches VPN aufgebaut werden muss. Statt SMB über TCP Port 445 im internen Netz oder per Site-to-Site-VPN zu tunneln, läuft der Datenverkehr über Port 443 – denselben Port, den auch normaler HTTPS-Verkehr nutzt – und ist durchgehend TLS-1.3-verschlüsselt.

Bei Windows Server 2022 war diese Funktion der Datacenter-Edition vorbehalten. Mit Windows Server 2025 steht SMB over QUIC in allen Editionen zur Verfügung, also auch in Standard. Das verschiebt den praktischen Einsatzbereich deutlich: Filialen, Homeoffice-Arbeitsplätze oder Außendienstmitarbeiter können sicher auf Dateifreigaben zugreifen, ohne dass ein VPN-Client konfiguriert oder eine Site-to-Site-Verbindung aufgebaut werden muss – vorausgesetzt, die entsprechende Firewall-Freigabe für Port 443 in Richtung des Fileservers existiert und ein gültiges Zertifikat für den QUIC-Endpunkt vorliegt.

Für die Umsetzung braucht der Fileserver ein Serverzertifikat mit dem passenden Server Authentication Extended Key Usage, ausgestellt auf den FQDN, über den die Clients zugreifen. Die Zertifikatsverwaltung ist damit der eigentliche administrative Aufwand bei der Einführung – nicht die SMB-Konfiguration selbst, die sich über PowerShell mit wenigen Befehlen aktivieren lässt.

Praxisszenarien

Filialserver ohne Site-to-Site-VPN: Ein mittelständisches Unternehmen mit mehreren Standorten reduziert den Netzwerk-Konfigurationsaufwand, indem Außenstellen-Clients direkt per SMB over QUIC auf die Fileserver in der Zentrale zugreifen – ohne dass an jedem Standort eine VPN-Appliance betrieben werden muss. Die Zugriffskontrolle bleibt dabei vollständig über NTFS-Berechtigungen und Zertifikatsvalidierung bestehen.

Rechenzentrum mit engen Wartungsfenstern: Ein Betrieb mit strengen SLAs für seine Terminalserver-Farm nutzt Hotpatching, um die Anzahl der abgestimmten Wartungsfenster von monatlich auf vierteljährlich zu reduzieren. Die Fachabteilungen müssen nur noch viermal im Jahr mit kurzen Downtimes rechnen statt monatlich.

Konzern-AD mit vielen Zertifikaten pro Benutzerobjekt: Ein Unternehmen mit umfangreicher PKI-Infrastruktur und vielen SmartCard-gebundenen Zertifikaten pro Benutzer stößt regelmäßig an die 8k-Grenze bei mehrwertigen Attributen. Nach forestweiter Umstellung auf 32k-Datenbankseiten – die naturgemäß erst nach vollständiger DC-Migration auf Windows Server 2025 möglich ist – entfällt dieses wiederkehrende Supportthema.

Stolperfallen in der Praxis

„Kein Neustart mehr“ ist ein Missverständnis. Hotpatching reduziert Neustarts, eliminiert sie aber nicht. Die Baseline-Monate im Quartalsrhythmus erfordern weiterhin einen klassischen Reboot. Wer das bei der Wartungsfensterplanung nicht berücksichtigt, wird böse überrascht.

Die FFL-Anhebung ist eine Einbahnstraße. Anders als viele Konfigurationsänderungen in AD lässt sich eine einmal angehobene Forest- oder Domain-Functional-Level nicht mehr zurücksetzen. Ein sauberer Testlauf in einer Laborumgebung vor der Produktivumstellung ist hier keine Kür, sondern Pflicht.

Exchange-Koexistenz kann DC-Upgrades blockieren. Wer noch Exchange Server 2016 im Einsatz hat, kann keinen Windows-Server-2025-Domain-Controller in den Forest aufnehmen – Exchange 2016 unterstützt Active-Directory-Server oberhalb von Windows Server 2022 schlicht nicht. Das Exchange-Upgrade oder die Migration muss also vor dem AD-Upgrade abgeschlossen sein, nicht parallel dazu geplant werden.

Azure Arc ist für viele On-Premise-Häuser die eigentliche Hürde. Hotpatching klingt zunächst nach einer reinen On-Premises-Funktion, setzt aber zwingend eine Azure-Arc-Anbindung voraus. Für Unternehmen mit strikter Cloud-Abstinenz-Policy bedeutet das: Vor der Hotpatching-Einführung steht erst die grundsätzliche Entscheidung für eine Azure-Arc-Anbindung – ein Governance-Thema, das oft unterschätzt wird.

RC4-Deaktivierung trifft Legacy-Anwendungen. Bevor Sie die neue Functional Level aktivieren, lohnt sich eine Bestandsaufnahme, welche älteren Anwendungen oder Geräte noch auf RC4-Kerberos-Verschlüsselung angewiesen sind. Diese Systeme benötigen entweder ein Update oder eine gezielte Ausnahmeregelung.

Kurse zu Microsoft Windows Server

Abgrenzung und Limitierungen

Hotpatching deckt ausschließlich Windows-Sicherheitsupdates ab – Treiber, Firmware und Drittanbieter-Patches müssen weiterhin klassisch mit Neustart eingespielt werden. Wer eine Umgebung mit viel Fremdsoftware auf Server-Ebene betreibt, sollte den Effekt auf die tatsächliche Reboot-Häufigkeit realistisch einschätzen und nicht mit der Erwartung eines komplett neustartfreien Betriebs planen.

Bei der Active-Directory-Functional-Level gilt: Ein Upgrade der Domain Controller auf Windows Server 2025 bringt allein noch keine der neuen Features. Erst das aktive Anheben der Functional Level – und im Fall der 32k-Datenbank eine zusätzliche, separate Aktivierung – schaltet die Funktionen frei. Viele Umgebungen laufen deshalb nach einem reinen Betriebssystem-Upgrade faktisch noch mit dem alten Funktionsumfang.

SMB over QUIC ersetzt kein vollwertiges VPN für alle Anwendungsfälle. Für Szenarien, die über reinen Dateizugriff hinausgehen – etwa vollständigen Netzwerkzugriff auf mehrere interne Systeme – bleibt eine klassische VPN-Lösung oder ein Zero-Trust-Netzwerkzugriffskonzept die passendere Wahl.

Lizenz- und Editionsfragen

An der grundsätzlichen Editionsstruktur ändert sich wenig: Windows Server 2025 Standard eignet sich weiterhin für Umgebungen mit geringem Virtualisierungsgrad bis zu zwei virtuellen Maschinen, lizenziert nach Prozessorkernen, ergänzt um Windows Server User- oder Device-CALs für den Zugriff. Datacenter kennt keine Beschränkung bei der Anzahl virtueller Maschinen.

Neu ist die Pay-as-you-Go-Lizenzierung über Azure Arc, die ausschließlich in der Retail-Version verfügbar ist und eine nutzungsbasierte Abrechnung ohne klassische CALs ermöglicht – interessant für temporäre Projekte oder saisonale Lastspitzen, für Remotedesktop- oder AD-Rechteverwaltungsdienste werden aber weiterhin separate CALs benötigt.

Für die Migrationsplanung relevant: Der Mainstream-Support für Windows Server 2022 läuft bis Oktober 2026 aus, der Extended Support bis Oktober 2031. Wer aktuell stabil auf 2022 läuft und keines der 2025er-Features zwingend benötigt, hat also noch Zeit – muss die Migration aber nicht auf die lange Bank schieben, wenn der Extended-Support-Zeitraum ohnehin überbrückt werden soll.

Ausblick

Mit der kostenlosen Hotpatching-Freigabe und der ersten neuen AD-Functional-Level seit acht Jahren signalisiert Microsoft, dass Windows Server 2025 kein reines Zwischenrelease ist, sondern die Plattform für die nächsten Jahre. Die enge Kopplung vieler Neuerungen an Azure Arc zeigt außerdem die Richtung: Auch On-Premises-Infrastruktur wird zunehmend über Cloud-Verwaltungsebenen gesteuert, unabhängig davon, ob die eigentliche Workload jemals in der Cloud läuft. Wer sich mit Azure Arc noch nicht beschäftigt hat, sollte das spätestens jetzt nachholen – nicht wegen der Cloud-Migration, sondern wegen der Verwaltungsfunktionen, die zunehmend daran hängen.

Häufige Fragen (FAQ)

Ist Hotpatching jetzt komplett kostenlos? Für Azure-Arc-verbundene Windows-Server-2025-Maschinen (Standard und Datacenter) ja, seit dem 15. Mai 2026. Für Server, die nativ in Azure oder auf Azure Local unter der Datacenter-Azure-Edition laufen, war es das schon vorher.

Brauche ich für Hotpatching zwingend Azure Arc? Ja, außer der Server läuft bereits nativ in Azure oder auf Azure Local. Für On-Premises- und Multi-Cloud-Server ist die Azure-Arc-Anbindung Grundvoraussetzung.

Reicht ein Upgrade der Domain Controller, um die neuen AD-Features zu nutzen? Nein. Das Betriebssystem-Upgrade allein aktiviert die neue Functional Level nicht. Diese muss separat angehoben werden, und für 32k-Datenbankseiten ist zusätzlich eine eigene forestweite Aktivierung nötig.

Kann ich die Forest Functional Level später wieder zurücksetzen, falls es Probleme gibt? Nein, ein Downgrade ist nicht vorgesehen. Die einzige Möglichkeit ist eine Wiederherstellung aus einem Backup oder ein Neuaufbau des Forests. Ein Testlauf vor der Produktivumstellung ist daher essenziell.

Funktioniert SMB over QUIC auch in der Standard-Edition? Ja, im Gegensatz zu Windows Server 2022, wo dieses Feature der Datacenter-Edition vorbehalten war, steht SMB over QUIC bei Windows Server 2025 in allen Editionen zur Verfügung.

Muss ich beim AD-Upgrade auf Kerberos-Kompatibilität achten? Ja. Die neue Functional Level deaktiviert RC4 standardmäßig und setzt auf AES-SHA1 sowie SHA-384. Legacy-Systeme, die noch auf RC4 angewiesen sind, sollten vor dem Anheben der Functional Level identifiziert und aktualisiert werden.

Bis wann muss ich von Windows Server 2022 weg? Der Mainstream-Support für Windows Server 2022 endet im Oktober 2026, der Extended Support läuft bis Oktober 2031. Zeitdruck besteht also nicht akut, eine Migrationsplanung sollte aber nicht erst kurz vor Supportende beginnen.

Wir sind persönlich für Sie da

Nicht jeder Kurs passt sofort auf Anhieb. Wir helfen Ihnen dabei, aus Themen, Formaten und Anforderungen die passende Lösung zu finden – persönlich, praxisnah und mit Blick auf Ihren tatsächlichen Bedarf.

  • Persönliche Unterstützung bei der KursauswahlPersönliche Unterstützung bei der Kursauswahl
  • Passende Formate für Teams und EinzelpersonenPassende Formate für Teams und Einzelpersonen
  • Hilfe bei offenen Fragen vor der AnfrageHilfe bei offenen Fragen vor der Anfrage
  • Telefon+49 (911) 9523 – 260
  • Emailtrainings@sandata.de

Planen Sie einen Kurs oder Seminar und möchten sich vorab informieren?

Nicole Mühlbauer

Leiterin / Key Account Managerin

Haben Sie bereits einen Kurs gebucht und noch Fragen zum Ablauf vor Ort oder Online?

Alison Kreis

Seminarorganisation /
Trainer:innen Management

Haben Sie Fragen zu einer Raumvermietung oder unseren Räumlichkeiten vor Ort?

Anouk Mendoza

Seminarorganisation / Raumvermietungen

Kurse mit Garantieterminen