開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/09/21

「Windows Server 2022」正式リリース、セキュアコアサーバとは何者か?

山市良のマイクロソフトEYE

マイクロソフトは2021年9月1日(米国時間)、長期サポートチャネル(LTSC)の最新サーバOS「Windows Server 2022」のリリースを正式に発表しました。製品の完成はもっと早く、前月の8月18日(米国時間)にはGA(Generally Available、一般提供開始)版のメディアや180日評価版、Azure仮想マシンのイメージ、Windowsコンテナのイメージが利用可能になっており、製品のサポートライフサイクルの開始日もこの日に設定されています。静かにこの世に登場したことについて、色々と探っていきたいと思います。

フリーライター 山市 良

フリーライター 山市 良

IT 専門誌、Web 媒体を中心に執筆活動を行っているテクニカルライター。システムインテグレーター、IT 専門誌の編集者、地方の中堅企業のシステム管理者を経て、2008年にフリーランスに。雑誌やWebメディアに多数の記事を寄稿するほか、ITベンダー数社の技術文書 (ホワイトペーパー) の制作やユーザー事例取材なども行う。2008年10月よりMicrosoft MVP - Cloud and Datacenter Management(旧カテゴリ:Hyper-V)を毎年受賞。岩手県花巻市在住。
主な著書・訳書
『インサイドWindows 第7版 上』(訳書、日経BP社、2018年)
『Windows Sysinternals徹底解説 改定新版』(訳書、日経BP社、2017年)
『Windows Server 2016テクノロジ入門 完全版』(日経BP社、2016年)
『Windows Server 2012 R2テクノロジ入門』(日経BP社、2014年)
『Windows Server 2012テクノロジ入門』(日経BP社、2012年)
『Windows Server仮想化テクノロジ入門』(日経BP社、2011年)
『Windows Server 2008 R2テクノロジ入門』(日経BP社、2009年)
など

photo
Windows Server 2022正式版が登場した
(Photo/Getty Images)

Windows Server 2022はプレビュー版がそのままGA版に

 この連載では、今年4月に、プレビュー版(OSビルド20295)に基づいて、Windows Server 2022の新機能について取り上げました。しかし、新機能と言っても、その時点では、Windows Server 2019、あるいはその前のWindows Server 2016から、目新しい大きな変更点は見出せませんでした。


 マイクロソフトはその後、2021年6月から「Windows Server 2022プレビュー180日評価版」(OSビルド20348、最後のInsider Preview版と同じOSビルド)の提供を開始しました。注目すべき新機能が見当たらないという点ではこのプレビュービルドでも変わりませんでした。

 実は、GA版のOSビルドは最後のプレビュー版と変わらない「OSビルド20348」のままです。8月の累積更新プログラムをインストールした「OSビルド20348.169」でGA版と同じになるということです。すでにプレビュー180日評価版をインストールして評価している人は、新たに提供された「Windows Server 2022 180日評価版」をインストールする必要はありません。適切にWindows Updateを実施していれば、GA版と同じ環境が手に入っています。

 新機能がまったく無いわけではありません。Windows Server 2022の新機能については、以下のドキュメントにまとまっています。


 サーバの役割と機能について言えば、Windows Server 2019からほとんど変わっていません。唯一、「iSNSサーバサービス」がWindows Server 2022から削除された点が異なります。また、Windows Server 2012からのOSの標準機能であるLBFO(Load Balancing and Failover)NICチームへのHyper-V仮想スイッチのバインドは推奨されなくなり、GUIでは作成できなくなるほか(New-VMSwichの新しい-AllowNetLbfoTeamsパラメーターを使用して作成することはできます)、インプレースアップグレード時に削除またはSET(Switch Embedded Team)対応の仮想スイッチへの変換を要求されるようになりました。削除されたまたは推奨されなくなった機能については、Windows Server 2022だけでなく、Windows Server, version 1903以降のリストも確認することをお勧めします。


説明不足の“What' new”

 8月のGAをキャッチしたメディアやユーザーの記事やブログで、新機能について簡単に紹介しているのを見た人も多いでしょう。その中で1つ気になるのが、「セキュアコアサーバ(Secured-Core Server)」という用語がWindows Server 2022の新機能として少々誤解されて独り歩きしているような感があることです。たとえば、「セキュアコアサーバ搭載」という意味不明な記事です。

 Secured-Core Serverの内訳として、「ハードウェアベースの信頼のルート」「ファームウェア保護」「仮想化ベースのセキュリティ(Virtualizaton-based Security、VBS)」の3つが説明されていますが、VBSはWindows Server 2016およびWindows 10バージョン1607で初めて導入されたセキュリティ機能ですし、他の2つもWindows 10の半期チャネル(SAC)で継続的に強化されてきたセキュリティ機能です。

 マイクロソフトは2019年12月に「Secured-Core PC」という認定プログラムを開始しました。OEMがSecured-Core PCとして出荷している製品を購入すれば、OSの高度なセキュリティ機能を最大限に生かすことができるというものです。セキュリティに敏感なPC購入者の判断材料になる認定プログラムです。

 Secured-Core Serverは、簡単に言ってしまえばそのサーバ版です。Windows Server 2022の新機能(What' new)のドキュメントでのSecured-Core Serverの説明は、OEMがSecured-Core Server対応ハードウェアの認定を受けるためのざっくりとした条件というわけです。

 新機能があるとすれば、Windows Admin Centerの「Security(Preview)」ツールがSecured-Core Serverのハードウェアを認識してその状態をレポートし、Secured-Core Serverで利用可能な個別のセキュリティ機能を簡単にオン/オフできるようになる点でしょう。筆者が確認した時点では、Windows Admin Center Insider向け(https://aka.ms/wac-insiders-feedフィードから取得可能)の「Security(Preview)」拡張、バージョン「0.23.0」でSecured-Core Server対応機能を確認できました(画面1)。

画像
画面1 「Security(Preview)」拡張(Insiderバージョン0.23.0)に搭載されたSecured-Core Server対応機能

 Secured-Core PCおよびSecured-Core Serverについては、以下のサイトおよびブログ記事で詳細を確認できます。Secured-Core Serverは今年3月に発表されていました。


 次に示す入れ子になった仮想化を除き、個々の新機能について、ここでは触れません。その他の新機能については、前述の新機能のドキュメントで確認してください。ただし、すべての機能が運用環境で利用できるわけではありません。たとえば、SMB圧縮はプレビュー機能ですし、SMB over QUICのサーバ機能とホットパッチはAzure仮想マシンとしてデプロイしたWindows Server 2022 Datacenter: Azure Edition Coreだけ(デスクトップエクスペリエンスのAzure Editionは非対応)のプレビュー機能です。

これは大きな改善、AMDプロセッサの入れ子になった仮想化

 少ない新機能の中で、筆者が個人的に注目しているのが、AMDプロセッサでようやくHyper-V入れ子になった仮想化(Nested Virtualization)がサポートされたことです(画面2)。

画像
画面2 AMDプロセッサでようやく入れ子になった仮想化がサポートされ、仮想マシンのWindowsゲストOSでハイパーバイザー機能を利用できるように

 入れ子になった仮想化はHyper-Vの仮想マシンごとに有効化することができ、仮想マシンのWindowsゲストOSでさらにHyper-Vを有効化したり、ハイパーバイザー依存の機能を利用可能にしたりできる機能です。Intelプロセッサについては、Windows Server 2016およびWindows 10バージョン1607(x64)からサポートされている機能です。5年の時を経て、ようやくAMDプロセッサで利用可能になったわけです。

 入れ子になった仮想化が利用できるのとできないのとでは、仮想化基盤としての機能性に大きな違いがあります。たとえば、物理的なHyper-Vホストやホストクラスター上で、複数の仮想マシン同士でサーバクラスターを構築できますし、Windows 10やWindows 11の仮想マシンの場合はMicrosoft Defender Application Guard(旧称、Windows Defender Application Guard)、デバイスガード、資格情報ガード、Windowsサンドボックスといった高度なセキュリティ機能や、WSL 2など、ハイパーバイザー依存の機能利用が可能になります。Hyper-VホストやHyper-Vサーバクラスター、Azure Stack HCIクラスター向けのフル機能のHyper-Vに対応したハードウェアの選択肢が一気に拡大されることになります。

【次ページ】重大な不具合発見?ある機能をインストールしたらRDP接続が不能に!

サーバ ジャンルのトピックス

サーバ ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!