Windows Server 2025: Novidades, Requisitos e Guia de Migração para PME
Windows Server 2025 · Hyper-V · Storage Spaces Direct · Active Directory · Migração · PowerShell · Azure Arc | ✎ Duarte Spínola | 2026-06-26
O Windows Server 2025 é a versão mais recente do sistema operativo de servidores da Microsoft, com foco em desempenho, segurança e integração híbrida com a cloud. Para uma PME portuguesa que ainda corre Windows Server 2019 ou 2016 — e em alguns casos 2012 R2 já sem suporte — a actualização não é opcional: é uma questão de segurança e continuidade. Este guia percorre as novidades mais relevantes (Hyper-V, Storage Spaces Direct, Active Directory, networking, segurança, Remote Desktop Services, Windows Admin Center e Azure Arc), os requisitos de sistema, as edições disponíveis e, na segunda metade, um guia de migração passo-a-passo com comandos PowerShell reais. As fontes oficiais da Microsoft estão referenciadas inline. Para diagnóstico de conectividade entre servidores, consulte o Diagnóstico de Conectividade Windows Server; para gestão de tickets durante a migração, o Registar e Documentar Tickets Correctamente.
Neste artigo
- O Que Há de Novo no Windows Server 2025
- Requisitos de Sistema e Edições Disponíveis
- Storage Spaces Direct e Armazenamento
- Virtualização Hyper-V: Melhorias
- Identidade e Active Directory
- Networking: Novidades
- Segurança: Novidades e Protecção
- Remote Desktop Services
- Windows Admin Center, Application Server e Azure Arc
- Pré-Migração: Avaliação e Preparação
- Migração: Passo a Passo com PowerShell
- Erros Comuns na Migração
- Checklist Final de Migração
1. O Que Há de Novo no Windows Server 2025
O Windows Server 2025 traz melhorias incrementais mas significativas face ao Windows Server 2022. A Microsoft manteve o modelo de Long-Term Servicing Channel (LTSC) — sem o canal Semi-Annual que existiu entre 2017 e 2019 — o que significa uma versão estável com 10 anos de suporte (5 de suporte principal + 5 de suporte alargado). As áreas mais impactadas são virtualização Hyper-V, armazenamento com Storage Spaces Direct, identidade, networking de alta performance, segurança e gestão híbrida via Azure Arc.
A lista completa de novidades está documentada oficialmente em What’s New in Windows Server 2025. As plataformas suportadas (físicas, virtuais e cloud) estão em Supported Platforms.
| Área | Principal novidade no WS 2025 | Impacto prático para PME |
|---|---|---|
| Hyper-V | Suporte a GPUs discretas em VMs, live migration melhorado | Mais cargas gráficas/CAD sem servidor físico dedicado |
| Storage Spaces Direct | Reclustering mais rápido, NVMe optimizado | Storage mais resiliente, menor tempo de recuperação |
| Active Directory | Melhor sincronização, Kerberos reforçado | Menos falhas de replicação entre DCs |
| Networking | TCP Hybla, desempenho UDP optimizado | Mais débito em ligações WAN de alta latência |
| Segurança | SMB over QUIC alargado, credencial guard reforçado | Mais protecção contra ataques de credenciais |
| RDS | Suporte de clientes modernizado | Experiência mais fluida em ligações remotas |
⚠ Atenção
O Windows Server 2025 mantém a interface Server Core como instalação recomendada para produção. A instalação Desktop Experience (GUI) continua disponível mas consome mais recursos e aumenta a superfície de ataque. Para PME sem equipa de Windows dedicada, a GUI é aceitável; para instalações com mais de 3 servidores, preferir Server Core com gestão via Windows Admin Center.
Nota: Ao contrário da série Windows 11 (que tem ciclos anuais — ver Windows 11 24H2/25H2: Migração Empresarial), o Windows Server segue o modelo LTSC de 2-3 anos entre versões. O Windows Server 2025 é a base para os próximos 10 anos de infraestrutura on-premises.
2. Requisitos de Sistema e Edições Disponíveis
Os requisitos de hardware do Windows Server 2025 são semelhantes aos do 2022, mas a Microsoft aumentou o mínimo de RAM para 2 GB (era 512 MB em versões anteriores) e passou a exigir TPM 2.0 e Secure Boot em instalações físicas — alinhado com os requisitos do Windows 11.
| Recurso | Mínimo | Recomendado para PME (DC/ficheiros) | Recomendado (Hyper-V / S2D) |
|---|---|---|---|
| Processador | 1.4 GHz x64, 2 núcleos | 4 núcleos | 8+ núcleos |
| RAM | 2 GB | 8 GB | 32-128 GB |
| Disco | 32 GB | 120 GB SSD | 4× NVMe/SSD (S2D) |
| Rede | 1 GbE | 1 GbE | 10/25 GbE (S2D) |
| TPM | 2.0 (físico) | 2.0 | 2.0 |
| Secure Boot | Obrigatório (físico) | Sim | Sim |
As edições disponíveis mantêm a estrutura de sempre: Standard (direitos de virtualização limitados — 2 VMs por licença) e Datacenter (virtualização ilimitada). Não há edições específicas para PME; a escolha depende do número de VMs que se pretende correr.
Get-CimInstance -ClassName Win32_Processor | Select-Object Name, NumberOfCores, NumberOfLogicalProcessors
Get-CimInstance -ClassName Win32_PhysicalMemory | Measure-Object -Property Capacity -Sum | ForEach-Object { “{0:N0} GB” -f ($_.Sum / 1GB) }
# Verificar TPM 2.0 e Secure Boot
$tpm = Get-Tpm
Write-Host “TPM 2.0: $($tpm.TpmReady) – Versão: $($tpm.TpmVersion)”
Confirm-SecureBootUEFI
⚠ Atenção
Se a máquina física não tiver TPM 2.0, a instalação do Windows Server 2025 é bloqueada. Antes de planear a migração, auditar o hardware existente. Servidores com mais de 7-8 anos provavelmente não cumprem este requisito e terão de ser substituídos ou continuar com Windows Server 2019/2022 até ao fim do suporte.
3. Storage Spaces Direct e Armazenamento
O Storage Spaces Direct (S2D) é a tecnologia de armazenamento hiperconvergente da Microsoft, que agrupa discos locais de vários servidores num único volume partilhado tolerante a falhas. No Windows Server 2025, o S2D recebeu melhorias no reclustering (reconstrução automática após falha de um nó) e optimização para NVMe, reduzindo o tempo de recuperação em casos de falha de disco ou servidor.
A documentação completa está em Storage Spaces Direct Overview.
S2D é relevante para PME com 2 a 4 servidores físicos que pretendem criar um cluster hiperconvergente (computação + armazenamento no mesmo nó). Para PME com um único servidor ou que não precisa de alta disponibilidade, o S2D é excessivo — basta um RAID hardware ou Storage Spaces simples (sem cluster).
Get-PhysicalDisk | Select-Object DeviceId, FriendlyName, MediaType, BusType, Size
# Verificar se a função Failover Clustering está instalada
Get-WindowsFeature -Name Failover-Clustering | Select-Object Name, Installed
# Pré-validação do cluster (correr antes de criar)
Test-Cluster -Node SRV-NODE1, SRV-NODE2, SRV-NODE3 -Include “Storage Spaces Direct”, “Inventory”, “Network”
⚠ Atenção
O S2D requer no mínimo 2 nós (com testemunha de quórum) para resiliência básica, e 3 ou mais para tolerância a falhas simultâneas. Não activar S2D num servidor único — nesse caso, usar Storage Spaces sem cluster. S2D sem cluster não dá tolerância a falhas e configura-se incorrectamente sem dar erro imediato, mas perde-se tudo quando o servidor falha.
💡 Nota
O S2D suporta três tipos de resiliência: Mirror (espelho, similar a RAID 1/10), Parity (similar a RAID 5/6) e Mirror-Accelerated Parity (combinação). Para cargas de trabalho de VMs, a Microsoft recomenda Mirror; para ficheiros de arquivo, Parity poupa espaço.
4. Virtualização Hyper-V: Melhorias
O Hyper-V no Windows Server 2025 mantém-se como a plataforma de virtualização nativa da Microsoft. As melhorias mais relevantes são: suporte alargado a GPUs discretas (GPU Partitioning já existia, agora mais estável), live migration optimizado para redes de alta latência, e melhor integração com o Windows Admin Center para gestão remota.
A documentação de virtualização está em Windows Server Virtualization.
Para uma PME, o Hyper-V permite consolidar 3-5 servidores físicos antigos numa só máquina nova, reduzindo custos de hardware, energia e licenciamento. A escolha entre Standard (2 VMs incluídas por licença) e Datacenter (VMs ilimitadas) depende deste número.
Get-WindowsFeature -Name Hyper-V* | Select-Object Name, Installed
# Listar VMs existentes com estado e uso de memória
Get-VM | Select-Object Name, State, MemoryAssigned, ProcessorCount, Uptime
# Verificar suporte a virtualização no hardware
$cs = Get-CimInstance -ClassName Win32_ComputerSystem
Write-Host “Hyper-V Hypervisor em execução: $($cs.HypervisorPresent)”
Get-CimInstance -ClassName Win32_Processor | Select-Object Name, SecondLevelAddressTranslationExtensions, VirtualizationFirmwareEnabled
Nota: Para migrar VMs entre clusters Hyper-V de versões diferentes (ex.: do 2019 para o 2025), usar a funcionalidade de Hyper-V Replica ou export/import de VMs. O live migration directo entre versões diferentes não é suportado — a VM tem de estar desligada durante o import no novo cluster.
5. Identidade e Active Directory
O Active Directory Domain Services (AD DS) no Windows Server 2025 traz melhorias na replicação (menos conflitos em sites com ligações instáveis), reforço do Kerberos (suporte alargado a AES e descontinuação de RC4/HMAC-MD5 por defeito) e melhor integração com o Entra ID (antigo Azure AD) para cenários híbridos.
A documentação de identidade está em What’s New in Identity. Para configuração de um controlador de domínio alternativo baseado em Samba (cénario misto Linux/Windows), consulte o Samba AD: Controlador de Domínio Open Source.
⚠ Atenção
O Windows Server 2025 desactiva RC4-HMAC por defeito no Kerberos. Aplicações antigas que dependam de RC4 (alguns ERPs antigos, servidores Linux com krb5 mal configurado) vão falhar autenticação. Antes de promover um DC 2025, testar todas as autenticações Kerberos críticas. Se necessário, reactivar RC4 temporariamente via GPO, mas planear a sua remoção.
Get-ADDomain | Select-Object Name, DomainMode, ForestMode
Get-ADForest | Select-Object Name, ForestMode
# Listar controladores de domínio e versão do SO
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem, OperatingSystemVersion, Site
# Verificar protocolos Kerberos suportados pelo DC
Get-ADDomainController -Filter * | ForEach-Object {
Write-Host “$($_.Name): $($_.OperatingSystem) – KDC: activo”
}
Nota: O nível funcional mínimo para adicionar um DC Windows Server 2025 é Windows Server 2016. Se o domínio está ainda no nível 2012 R2, é necessário elevar primeiro para 2016 (adicionando um DC 2016/2019/2022 e removendo os 2012 R2). Não é possível saltar níveis.
6. Networking: Novidades
O networking no Windows Server 2025 recebeu optimizações de desempenho: TCP Hybla (algoritmo de congestionamento para ligações de alta latência, útil em WAN via satélite ou ligações intercontinentais), melhorias no desempenho UDP (relevante para media streaming e QUIC), e suporte alargado para network ATC (intent-based networking, que simplifica a configuração de clusters).
A documentação completa está em What’s New in Networking.
| Funcionalidade | Descrição | Quando usar numa PME |
|---|---|---|
| TCP Hybla | Algoritmo de congestionamento para RTT alto | Ligações WAN com latência > 100 ms |
| SMB over QUIC | SMB sobre UDP/QUIC (já em 2022, alargado em 2025) | Acesso a ficheiros via internet sem VPN |
| Network ATC | Configuração automática de networking de cluster | Clusters Hyper-V/S2D com múltiplas NICs |
| Hyper-V vSwitch melhorado | Mais débito, menor latência em RDMA | Clusters S2D com 10/25 GbE |
Nota: O SMB over QUIC permite aceder a pastas partilhadas via internet sem VPN tradicional, autenticando com certificados TLS. É útil para trabalhadores remotos, mas expõe o servidor à internet — proteger com firewall de aplicação e certificados válidos. Para gestão de encriptação de discos e identidade nestes cenários, consulte o BitLocker + Entra ID Join.
7. Segurança: Novidades e Protecção
A segurança é uma das áreas com mais novidades no Windows Server 2025. As melhorias incluem: Credential Guard activado por defeito em novas instalações (protecção de hashes NTLM na memória), SMB over QUIC com autenticação baseada em certificados, Windows Defender melhorado com detecção comportamental, e suporte para Secured-core Server (combinação de TPM 2.0, Secure Boot, DMA protection e virtualização-based security).
A documentação completa está em What’s New in Security.
$dg = Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Write-Host “Virtualização-Based Security: $($dg.VirtualizationBasedSecurityState)”
Write-Host “Credential Guard Configurado: $($dg.SecurityServicesConfigured)”
Write-Host “Credential Guard Em execução: $($dg.SecurityServicesRunning)”
# Verificar Windows Defender estado
Get-MpComputerStatus | Select-Object AMServiceEnabled, AntivirusEnabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated
⚠ Atenção
Activar Credential Guard pode quebrar aplicações legacy que injectam DLLs no processo LSASS (alguns agentes de inventário antigos, software de impressão antigo). Antes de activar por GPO a toda a empresa, testar com um grupo piloto. Se uma aplicação para de funcionar após activação, o culprit é quase sempre Credential Guard.
8. Remote Desktop Services
O Remote Desktop Services (RDS) no Windows Server 2025 mantém a arquitectura de sempre (Session Host, Connection Broker, Gateway, Web Access, Licensing) mas com melhorias no desempenho de sessões (compressão optimizada), suporte para clientes modernos (Remote Desktop client multi-plataforma) e melhor integração com o Entra ID para autenticação híbrida.
A documentação está em What’s New in RDS.
Para uma PME, o RDS é a forma mais económica de fornecer acesso remoto a aplicações desktop (ERP, contabilidade, software de gestão) sem instalar essas aplicações em cada computador. A alternativa é o Azure Virtual Desktop, mas tem custo por utilizador/hora — para PME com 10-30 utilizadores RDS on-premises continua a ser mais barato.
⚠ Nota
O RDS no Windows Server 2025 suporta autenticação com Entra ID (Entra ID Authentication) para o Gateway e Web Access. Isto permite acesso remoto sem VPN, autenticando com a conta Microsoft 365. Configurar com cuidado: o Gateway fica exposto à internet. Proteger com MFA obrigatório e restringir por IP se possível.
9. Windows Admin Center, Application Server e Azure Arc
O Windows Admin Center (WAC) é a interface web de gestão de servidores Windows, que substitui gradualmente as consolas MMC tradicionais. No contexto do 2025, o WAC é a ferramenta principal para gerir clusters Hyper-V, S2D, failover clusters e servidores individuais — especialmente em Server Core, onde não há GUI local.
A documentação está em Windows Admin Center.
O Application Server no Windows Server 2025 mantém suporte para .NET, IIS e cargas de trabalho tradicionais. A documentação está em Application Server Overview.
O Azure Arc permite registar servidores on-premises no Azure para gestão centralizada (inventário, policies, updates, monitorização). Isto é relevante para PME que têm alguns servidores on-premises e querem gestão unificada sem migrar tudo para a cloud. A documentação está em Azure Arc Servers Overview. Para verificar se o agente do Azure Arc está instalado, correr Get-Service -Name himds no servidor; se não existir, o servidor não está registado no Arc. O estado do Windows Admin Center (se instalado como gateway) pode ser confirmado com Get-Service -Name ServerManagementGateway.
Nota: O Azure Arc é gratuito para funcionalidades básicas (inventário, gestão de updates via Azure Update Manager). Funcionalidades avançadas (Azure Monitor, Defender for Cloud, Azure Policy) têm custo. Para PME, o valor principal é o Azure Update Manager — centralizar patches de servidores on-premises e cloud num só painel.
10. Pré-Migração: Avaliação e Preparação
Antes de migrar para Windows Server 2025, é obrigatório avaliar a compatibilidade do ambiente actual. A Microsoft fornece a documentação de migração e modernização em Migration and Modernization.
Os passos de pré-migração para uma PME são:
- Inventariar servidores actuais: versão do SO, funções instaladas, número de utilizadores, aplicações críticas
- Verificar requisitos de hardware: TPM 2.0, RAM, disco
- Verificar níveis funcionais do domínio: mínimo 2016 para adicionar DC 2025
- Testar compatibilidade de aplicações: especialmente apps que dependam de RC4 Kerberos, .NET Framework antigo, ou COM+
- Planeamento de licenciamento: Standard vs Datacenter conforme número de VMs
- Backup completo: imagem/backup de todos os servidores antes de qualquer alteração
- Janela de manutenção: agendar com o negócio, comunicar antecipadamente
⚠ Atenção
Nunca iniciar uma migração sem backup recente e testado. Um backup que nunca foi restaurado é um backup não testado. Antes da migração, fazer pelo menos um restore de teste para confirmar que o backup funciona e que o tempo de recuperação é aceitável. Documentar cada passo como ticket — ver Registar e Documentar Tickets Correctamente.
11. Migração: Passo a Passo com PowerShell
A migração de um controlador de domínio é o cenário mais comum e mais sensível. O processo é uma migração lado-a-lado (adicionar novo DC, transferir FSMO, remover antigo) e não um upgrade in-place. O upgrade in-place não é recomendado para servidores de produção em PME — a Microsoft suporta-o mas a comunidade desaconselha devido a problemas residuais.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
# PASSO 2: Promover como DC adicional no domínio existente
$cred = Get-Credential -Message “Credenciais de admin do domínio”
Install-ADDSDomainController `
-DomainName “empresa.local” `
-Credential $cred `
-InstallDns:$true `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$false `
-Force:$true
# PASSO 3: Verificar replicação após promoção (aguardar 15-30 min)
repadmin /syncall /A /d /e
repadmin /showrepl /repsummary
# PASSO 4: Verificar que o novo DC está saudável
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem, Site, IsGlobalCatalog
# Após replicar correctamente, transferir as funções FSMO do DC antigo para o novo:
# PASSO 5: Transferir FSMO para o novo DC (correr no novo DC)
Move-ADDirectoryServerOperationMasterRole `
-Identity “SRV-DC2025-01” `
-OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster `
-Server “SRV-DC2025-01”
# Verificar onde estão as FSMO
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
# PASSO 6: Despromover o DC antigo (após confirmar que tudo funciona)
Invoke-Command -ComputerName “SRV-DC2019-01” -ScriptBlock {
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString “SenhaForte123!” -AsPlainText -Force) -Force:$true -DemoteOperationMasterrole:$true
}
⚠ Atenção
Nunca despromover um DC sem confirmar que as FSMO foram transferidas e que não há outros serviços a depender dele (DNS, DHCP, partilhas). Antes de despromover, mudar o DHCP para apontar para o novo DC como DNS, e verificar que todos os clientes usam o novo DC. Despromover um DC com FSMO sem transferir primeiro causa um problema difícil de recuperar — a floresta fica sem master de esquema.
Para migrar partilhas de ficheiros entre servidores, a ferramenta nativa é o robocopy com preservação de permissões:
# /MIR espelha (inclui deletes), /COPYALL copia todas as permissões, /MT multithread
robocopy “\\SRV-2019\Partilha” “\\SRV-2025\Partilha” /E /COPYALL /MT:16 /R:3 /W:5 /NP /LOG:C:\temp\migracao_partilha.log
# Após a cópia, verificar permissões NTFS
icacls “\\SRV-2025\Partilha” /T /C /Q
# Recriar a partilha no novo servidor
New-SmbShare -Name “Partilha” -Path “D:\Partilha” -FullAccess “DOMAIN\Domain Admins” -ChangeAccess “DOMAIN\Utilizadores”
12. Erros Comuns na Migração
A tabela seguinte lista os erros mais frequentes em migrações para Windows Server 2025, baseados em casos reais de PME. Para cada problema, a causa e a solução imediata.
| Problema | Causa | Solução |
|---|---|---|
| DC 2025 não consegue juntar-se ao domínio (acesso negado) | Conta de admin não tem permissões de Schema Admins / Enterprise Admins | Usar conta com permissões elevadas, ou adicionar a conta ao grupo correto antes de promover |
| Replicação AD falha após adicionar DC 2025 | Firewall bloqueia RPC (porta 135) ou tráfego dinâmico entre sites | Abrir portas RPC (135 + range dinâmico 49152-65535) entre DCs; usar repadmin /showrepl para diagnosticar |
| Autenticação Kerberos falha em apps antigas após promover DC 2025 | RC4-HMAC desactivado por defeito no 2025 | Reactivar RC4 via GPO temporariamente (Network security: Configure encryption types allowed for Kerberos) e planear actualização da app |
| Erro “TPM 2.0 não encontrado” ao instalar | Hardware antigo sem TPM 2.0 ou TPM desactivado na BIOS | Activar TPM na BIOS/UEFI; se não existe, o hardware não suporta WS 2025 — manter 2019/2022 ou substituir servidor |
| Storage Spaces Direct falha a activar | Discos com partições existentes ou sem formatação limpa | Limpar discos: Clear-Disk -Number X -RemoveData -RemoveOEM -Confirm:$false antes de activar S2D |
| Sessões RDS lentas após migração | Cliente Remote Desktop desactualizado ou UDP bloqueado na firewall | Actualizar Remote Desktop client para versão 2024+; abrir UDP 3389 se usar UDP fallback |
| DNS não resolve após mudar de DC | Clientes a apontar para o DC antigo (já despromovido) como DNS | Actualizar DHCP para entregar IP do novo DC; renovar leases (ipconfig /renew) |
| Robocopy não copia permissões NTFS | Falta de /COPYALL ou a conta não é admin no destino |
Correr robocopy com /COPYALL e como administrador do domínio |
13. Checklist Final de Migração
Antes de considerar a migração concluída, verificar todos os pontos seguintes. Se algum falha, não fechar o ticket de migração.
- [ ] Novo DC Windows Server 2025 promovido e a replicar sem erros (
repadmin /showreplsem falhas) - [ ] Funções FSMO transferidas para o novo DC e verificadas (
Get-ADDomain,Get-ADForest) - [ ] DC antigo despromovido e removido do domínio sem erros
- [ ] DHCP actualizado para entregar IP do novo DC como DNS primário
- [ ] Todos os clientes renovaram lease DHCP e resolvem DNS do domínio
- [ ] Partilhas de ficheiros migradas com robocopy, permissões NTFS preservadas (verificar com
icacls) - [ ] Backup completo do novo servidor testado (restore de teste feito)
- [ ] Aplicações críticas (ERP, contabilidade) testadas com autenticação no novo DC
- [ ] Kerberos: testar
klistnum cliente, confirmar tickets obtidos sem erro - [ ] Event logs do novo DC sem erros de replicação ou DNS (event IDs 4001, 4013, 1925)
- [ ] Windows Update aplicado no novo servidor (todas as cumulativas instaladas)
- [ ] Firewall do servidor configurada (apenas portas necessárias abertas: 53, 88, 135, 139, 389, 445, 464, 636, 3268, 49152-65535)
- [ ] Monitoring/monitorização aponta para o novo servidor (Zabbix, PRTG, etc.)
- [ ] Documentação actualizada: diagrama de rede, lista de servidores, IPs, funções
- [ ] Janela de manutenção comunicada e concluída; utilizadores notificados do fim
