「Windows Server 2022」正式リリース、セキュアコアサーバとは何者か？

Windows Server 2022はプレビュー版がそのままGA版に

　この連載では、今年4月に、プレビュー版（OSビルド20295）に基づいて、Windows Server 2022の新機能について取り上げました。しかし、新機能と言っても、その時点では、Windows Server 2019、あるいはその前のWindows Server 2016から、目新しい大きな変更点は見出せませんでした。


　マイクロソフトはその後、2021年6月から「Windows Server 2022プレビュー180日評価版」（OSビルド20348、最後のInsider Preview版と同じOSビルド）の提供を開始しました。注目すべき新機能が見当たらないという点ではこのプレビュービルドでも変わりませんでした。

　実は、GA版のOSビルドは最後のプレビュー版と変わらない「OSビルド20348」のままです。8月の累積更新プログラムをインストールした「OSビルド20348.169」でGA版と同じになるということです。すでにプレビュー180日評価版をインストールして評価している人は、新たに提供された「Windows Server 2022 180日評価版」をインストールする必要はありません。適切にWindows Updateを実施していれば、GA版と同じ環境が手に入っています。

　新機能がまったく無いわけではありません。Windows Server 2022の新機能については、以下のドキュメントにまとまっています。


　サーバの役割と機能について言えば、Windows Server 2019からほとんど変わっていません。唯一、「iSNSサーバサービス」がWindows Server 2022から削除された点が異なります。また、Windows Server 2012からのOSの標準機能であるLBFO（Load Balancing and Failover）NICチームへのHyper-V仮想スイッチのバインドは推奨されなくなり、GUIでは作成できなくなるほか（New-VMSwichの新しい-AllowNetLbfoTeamsパラメーターを使用して作成することはできます）、インプレースアップグレード時に削除またはSET（Switch Embedded Team）対応の仮想スイッチへの変換を要求されるようになりました。削除されたまたは推奨されなくなった機能については、Windows Server 2022だけでなく、Windows Server, version 1903以降のリストも確認することをお勧めします。

説明不足の“What' new”

　8月のGAをキャッチしたメディアやユーザーの記事やブログで、新機能について簡単に紹介しているのを見た人も多いでしょう。その中で1つ気になるのが、「セキュアコアサーバ（Secured-Core Server）」という用語がWindows Server 2022の新機能として少々誤解されて独り歩きしているような感があることです。たとえば、「セキュアコアサーバ搭載」という意味不明な記事です。

　Secured-Core Serverの内訳として、「ハードウェアベースの信頼のルート」「ファームウェア保護」「仮想化ベースのセキュリティ（Virtualizaton-based Security、VBS）」の3つが説明されていますが、VBSはWindows Server 2016およびWindows 10バージョン1607で初めて導入されたセキュリティ機能ですし、他の2つもWindows 10の半期チャネル（SAC）で継続的に強化されてきたセキュリティ機能です。

　マイクロソフトは2019年12月に「Secured-Core PC」という認定プログラムを開始しました。OEMがSecured-Core PCとして出荷している製品を購入すれば、OSの高度なセキュリティ機能を最大限に生かすことができるというものです。セキュリティに敏感なPC購入者の判断材料になる認定プログラムです。

　Secured-Core Serverは、簡単に言ってしまえばそのサーバ版です。Windows Server 2022の新機能（What' new）のドキュメントでのSecured-Core Serverの説明は、OEMがSecured-Core Server対応ハードウェアの認定を受けるためのざっくりとした条件というわけです。

　新機能があるとすれば、Windows Admin Centerの「Security（Preview）」ツールがSecured-Core Serverのハードウェアを認識してその状態をレポートし、Secured-Core Serverで利用可能な個別のセキュリティ機能を簡単にオン／オフできるようになる点でしょう。筆者が確認した時点では、Windows Admin Center Insider向け（https://aka.ms/wac-insiders-feedフィードから取得可能）の「Security（Preview）」拡張、バージョン「0.23.0」でSecured-Core Server対応機能を確認できました（画面1）。


　Secured-Core PCおよびSecured-Core Serverについては、以下のサイトおよびブログ記事で詳細を確認できます。Secured-Core Serverは今年3月に発表されていました。


　次に示す入れ子になった仮想化を除き、個々の新機能について、ここでは触れません。その他の新機能については、前述の新機能のドキュメントで確認してください。ただし、すべての機能が運用環境で利用できるわけではありません。たとえば、SMB圧縮はプレビュー機能ですし、SMB over QUICのサーバ機能とホットパッチはAzure仮想マシンとしてデプロイしたWindows Server 2022 Datacenter: Azure Edition Coreだけ（デスクトップエクスペリエンスのAzure Editionは非対応）のプレビュー機能です。

これは大きな改善、AMDプロセッサの入れ子になった仮想化

　少ない新機能の中で、筆者が個人的に注目しているのが、AMDプロセッサでようやくHyper-V入れ子になった仮想化（Nested Virtualization）がサポートされたことです（画面2）。


　入れ子になった仮想化はHyper-Vの仮想マシンごとに有効化することができ、仮想マシンのWindowsゲストOSでさらにHyper-Vを有効化したり、ハイパーバイザー依存の機能を利用可能にしたりできる機能です。Intelプロセッサについては、Windows Server 2016およびWindows 10バージョン1607（x64）からサポートされている機能です。5年の時を経て、ようやくAMDプロセッサで利用可能になったわけです。

　入れ子になった仮想化が利用できるのとできないのとでは、仮想化基盤としての機能性に大きな違いがあります。たとえば、物理的なHyper-Vホストやホストクラスター上で、複数の仮想マシン同士でサーバクラスターを構築できますし、Windows 10やWindows 11の仮想マシンの場合はMicrosoft Defender Application Guard（旧称、Windows Defender Application Guard）、デバイスガード、資格情報ガード、Windowsサンドボックスといった高度なセキュリティ機能や、WSL 2など、ハイパーバイザー依存の機能利用が可能になります。Hyper-VホストやHyper-Vサーバクラスター、Azure Stack HCIクラスター向けのフル機能のHyper-Vに対応したハードウェアの選択肢が一気に拡大されることになります。

【次ページ】重大な不具合発見？ある機能をインストールしたらRDP接続が不能に！