開箱Win Server 2025　實戰雙節點工作群組叢集

隨著Microsoft Ignite 2023和Windows Server Summit 2024大會的舉辦，雖然Windows Server 2025仍處於技術預覽版本階段，但是隨著幾場大會下來，相信市場也逐漸對即將推出的Windows Server 2025興趣漸增。

首先，是針對「熱修補」（Hotpatching）的增強，企業和組織透過最新的熱修補技術執行安全性更新安裝作業時，將會直接針對Windows Server伺服器中記憶體內部運作的系統程序進行程式碼修補的動作，不僅主機的運作不受干擾，其他運作的執行程序和服務也無須停止，並且修補完畢後的Windows Server也無須重新啟動，順利達成安全性更新和修補的目的，且不影響企業組織的SLA服務等級協議。

在Windows Server 2022版本時代，只有運作在Azure公有雲環境中，並使用Windows Server 2022 Datacenter : Azure Edition版本才能支援熱修補功能，如圖1所示。

在最新Windows Server 2025版本中，將具備Windows Server Hotpatching for everyone機制。簡單來說，待Windows Server 2025正式推出後，無論採用Standard或Datacenter版本，都可以直接使用熱修補功能，讓企業在地端資料中心運作的Windows Server 2025，可以從過去每個月進行安全性更新重新啟動，也就是一年要重新啟動主機次數為12次的情況下，減少為每季重新啟動一次一年4次即可，如圖2所示，有效提升企業營運服務的SLA服務等級協議。

Windows Server 2025亮眼功能簡介

事實上，Windows Server 2025不僅將過往既有功能增強，還推出許多亮眼特色功能。舉例來說，在新版Windows Server 2025中，針對NVMe儲存裝置進行效能最佳化，並且還降低CPU工作負載，重點是企業無須更換原有伺服器或NVMe儲存裝置，只要將原有的作業系統由Windows Server 2022升級為最新的Windows Server 2025版本即可。

在官方的效能測試資料中可以看到，原本在Windows Server 2022環境中的NVMe儲存裝置，在採用「diskspd.exe -r4k -b4k -t8 -o64 -d60 -Suw #0」壓力測試條件下，儲存效能達到1.1M IOPS，同樣的硬體配置下，升級為Windows Server 2025版本後，儲存效能達到1.86M IOPS，直接提升70%的儲存效能，如圖3所示。

智慧便捷的版本升級機制

過去，提到Windows Server版本升級，管理人員可能就會眉頭一皺而裹足不前。現在Windows Server版本升級，已經提供像Windows 10升級至Windows 11的快速體驗，企業組織在Windows Server 2022版本中，只要透過Windows Update更新，便可以直接升級版本至Windows Server 2025，如圖4所示，即便企業有數量眾多的Windows Server主機，也只要搭配CAU更新機制即可。

不斷進化的Hyper-V虛擬化平台

雖然在市場上大家已經不再比較虛擬化平台規格和運作規模，然而微軟一直沒有停止Hyper-V虛擬化平台的進化腳步。事實上，在微軟許多公開服務都採用Hyper-V虛擬化平台為基礎，例如Azure公有雲、Xbox服務、Azure Stack Family、Containers with Hyper-V Isolation等等。

過去在Hyper-V容錯移轉叢集架構中，一旦叢集中的成員伺服器在硬體伺服器方面有CPU世代差異時，必須人為介入進行操作，為叢集中的每一台成員主機，組態設定CPU相容模式才行。

而最新Windows Server 2025版本中，直接支援「處理器動態相容」（Dynamic Processor Compatibility）機制，如圖5所示，管理人員無須人為介入進行組態設定，系統會自動啟用處理器動態相容性機制，Hyper-V VM虛擬主機在不同成員伺服器主機之間進行Live Migration線上遷移時，只要遷移至新世代的硬體伺服器成員主機上，便能立即提升運算效能並享有新世代CPU的特色功能。

隨著科技不斷進行並加上AI人工智慧的加持，企業對於大型VM虛擬主機的需求不斷增長。現在Hyper-V虛擬化平台主機層級方面，可支援高達2,048 Logical Processors，和4PB（5-level pagin）或256TB（4-level paging）記憶體空間，在VM虛擬主機層級方面，也支援高達2,048 vCPU和240TB vMemory的虛擬主機。在官方實際展示的一張工作管理員截圖中，可以看到這台採用Gen2的Hyper-V虛擬主機具備1,792 vCPU和29.7TB vMemory運算資源，如圖6所示。

GPU-P圖形處理共享機制

在AI浪潮的推波助瀾下，企業組織除了使用公有雲的AI服務之外，也考慮在地端資料中心內建置具備GPU圖形運算資源，以便自行訓練或微調屬於自己的AI人工智慧模型。

在Windows Server 2022版本中，開始支援「GPU集區離散裝置指派」（GPU Pools with Discrete Device Assignment）運作架構，將硬體伺服器中的硬體GPU加入至GPU集區內，當GPU集區機制建立完成後，將特定的VM虛擬主機指派到GPU集區中，而非傳統一對一或一對多的指派單個GPU，後續即便容錯移轉叢集的成員伺服器發生災難事件時，系統將自動移轉並重新啟動VM虛擬主機，系統會在重新啟動時自動尋找，並加入至GPU集區內可用的GPU圖形運算資源，無須管理人員手動為VM虛擬主機再次指派GPU對應關係，如圖7所示。

但GPU Pools with DDA的缺點在於，VM虛擬主機無法手動執行Live Migration線上遷移，並且屬於GPU專用而非共享架構，所以能真正使用到GPU圖形處理的VM虛擬主機數量不多。因此，Windows Server 2025將新增支援「GPU分割」（GPU Partitioning，GPU-P）機制，透過SR-IOV單一I/O虛擬化機制，為每台VM虛擬主機提供硬體支援，並只能存取其專用的GPU圖形處理資訊，且透過安全硬體分割機制來防止其他未經授權的VM虛擬主機存取GPU圖形處理資源，達成讓多台VM虛擬主機同時共用實體GPU圖形處理資源，如圖8所示。

實戰雙節點工作群組叢集

在實戰演練中，將部署及建立雙節點工作群組叢集。然而，在開始組態設定之前，管理人員應先了解什麼是「工作群組叢集」（Workgroup Cluster），以及它與傳統的容錯移轉叢集有哪些不同之處，同時必須注意哪些部署準則和後續維護事項，才能讓工作群組叢集順利且穩定地運作。

事實上，工作群組叢集為Windows Server 2016版本中新增的特定容錯移轉叢集組態類型，在工作群組叢集運作架構中，成員伺服器處於工作群組中並且不加入Active Directory樹系網域環境，然而運作環境中仍需要DNS名稱解析服務，如圖9所示。

因此，工作群組叢集的適用情境，通常為企業中小型分公司或據點，希望在沒有Active Directory網域服務的情況下，仍可提供身分識別服務和管理，且能夠執行容錯移轉叢集服務，除了達成降低硬體維護和工作負載外，同時維持身分識別高安全性，並且讓應用程式保持高可用性。

工作群組叢集必須滿足下列前置作業條件，才能滿足正式支援工作群組叢集的部署準則：

‧工作群組叢集中的所有成員伺服器，必須運作相同版本的Windows Server才行，例如都是Windows Server 2025。

‧所有成員伺服器必須處於工作群組環境中，不能加入任何Active Directory網域環境。倘若先前曾經加入過Active Directory網域環境，即便已經退出網域環境至工作群組中，也必須重新命名電腦名稱並重新啟動主機，確保成員伺服器移除Active Directory快取。

‧工作群組叢集環境中，仍必須具備集中式儲存資源，提供給所有成員伺服器使用，舉例來說，必須有儲存空間直接存取（S2D）超融合環境、SAN儲存資源、SMB 3.0儲存資源等等。

‧工作群組叢集仍需要組態設定仲裁機制，確保工作群組叢集具備高可用性，支援的仲裁類型包括雲端見證、磁碟見證、USB見證等等。

值得注意的是，工作群組叢集並非支援所有類型的工作負載，所以在部署建置前必須正確評估，確保營運服務是否在工作群組叢集支援的工作負載清單中。下列為企業常見的叢集服務，以及工作群組叢集是否支援該叢集服務的說明：

‧Hyper-V VMs：從Windows Server 2025版本開始，正式支援工作群組叢集Hyper-V虛擬化環境工作負載，並且支援「線上遷移」（Live Migration）工作群組叢集中的VM虛擬主機至其他台成員伺服器繼續運作，且遷移過程中不會發生任何中斷和停機時間。

‧SQL Server Availability Groups：從Windows Server 2016至最新的Windows Server 2025，工作群組叢集皆支援網域獨立的SQL可用性群組工作負載。

‧File Servers：因為驗證問題，所以工作群組叢集「不支援」檔案伺服器叢集服務。

‧SQL Server Always On：工作群組叢集「不支援」，採用「容錯移轉叢集執行個體」（Failover Cluster Instance，FCI）方式，建立的SQL Server Always On高可用性工作負載

安裝Windows Server 2025

在本文實作環境中，將安裝和部署三台Windows Server 2025主機，如圖10所示，其中二台建構雙節點的工作群組叢集環境，另一台擔任集中式SMB儲存資源的角色，至於運作環境中已經具備DNS名稱解析服務。

採用一致的系統管理員帳戶

在工作群組叢集運作架構中，所有成員伺服器必須採用相同且一致的系統管理員帳戶及密碼，並且系統管理員帳戶必須加入「本機Administrators群組」才行，在本文實作環境中，採用系統預設的Administrator系統管理帳號，已經滿足部署條件，所以無需額外的組態設定作業。

值得注意的是，若採用的系統管理員帳戶並非建置系統時內建的系統管理員帳戶，而是額外新增的系統管理員帳戶，除了確保加入本機Administrators群組外，還必須組態設定啟用「LocalAccountTokenFilterPolicy」才行，管理人員可以採用兩種方式進行啟用。

第一種方式是，先開啟Registry Editor，切換至「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System」路徑，再新增DWORD（32-bit）值，名稱為「LocalAccountTokenFilterPolicy」而值為「1」，然後按下〔確認〕按鈕進行新增，如圖11所示。

第二種方式是，管理人員直接執行PowerShell指令「New-itemproperty -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –Name LocalAccountTokenFilterPolicy -Value 1」新增機碼值，即可達成啟用的目的。

新增主要DNS尾碼

雖然運作環境中已經具備DNS名稱解析伺服器，然而成員伺服器因為處於工作群組環境，在預設情況下並不會自動帶入DNS尾碼，所以必須手動幫每一台成員伺服器組態設定DNS尾碼。

依序點選「Settings > System > About > Advanced System Settings > Computer Name > Change > More」項目，接著在Primary DNS suffix of this computer欄位，鍵入DNS尾碼「lab.weithenn.org」並按下〔OK〕按鈕，如圖12所示，系統會提示必須重新啟動主機才能套用生效。

新增WinRM遠端管理信任主機

由於工作群組叢集中並沒有Active Directory網域環境，因此必須針對所有成員伺服器，組態設定WinRM遠端管理機制，將成員伺服器互相設定為受信任的主機。同樣地，可以採用兩種方式進行組態設定。

第一種方式為，鍵入gpedit.msc開機本機群組管理原則編輯器，然後依序點選「Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management （WinRM） > WinRM Client > Trusted Hosts」。接著，在Trusted Hosts視窗中點選至Enabled項目，並在TrustedHostsList欄位中鍵入成員伺服器主機名稱為信任主機，多筆主機名稱之間採用逗號進行分隔，確認無誤後按下〔OK〕鈕，如圖13所示。

第二種方式是，管理人員直接執行PowerShell指令「Set-Item WSMan:\localhost\Client\TrustedHosts -Value "node01,node02"」，在WinRM Security Configuration系統回應訊息中，按下〔Y〕鍵，確認新增WinRM遠端管理信任主機清單，接著再次執行「Get-Item WSMan:\localhost\Client\TrustedHosts」指令，確認WinRM遠端管理信任主機是否套用生效。

安裝Hyper-V角色和容錯移轉叢集功能

在本次實作環境中，將會在工作群組叢集中運作Hyper-V虛擬化平台，並建立VM虛擬主機運作相關服務。在所有成員伺服器中，為主機安裝Hyper-V和容錯移轉叢集功能，在啟動伺服器管理員後，依序點選「Manage > Add Roles and Features > Role-based or feature-based installation > Node01 > 勾選 Hyper-V > 勾選Failover Clustering」。由於安裝Hyper-V伺服器角色後需要重新啟動主機，因此勾選「Restart the destination server automatically if required」選項，然後按下〔Install〕鈕進行安裝作業，如圖14所示。

也可以在PowerShell指令視窗中，執行「Install-WindowsFeature –Name Hyper-V, Failover-Clustering –IncludeManagementTools」指令，進行Hyper-V角色和容錯移轉叢集功能的安裝作業。在重新啟動主機後，執行「Get-WindowsFeature –Name Hyper-V, Failover-Clustering」指令，確認安裝作業是否成功。

SMB檔案共用伺服器

在本文實作環境中，SMB主機將安裝檔案伺服器角色，擔任Node01和Node02雙節點工作群組叢集中的儲存資源角色。在SMB主機開啟伺服器管理員，依序點選「Manage > Add Roles and Features > Role-based or feature-based installation > SMB.lab.weithenn.org > File and Storage Services > File and iSCSI Services > File Server」項目，為SMB主機安裝檔案伺服器角色。

安裝作業完成後，在伺服器管理員中依序點選「File and Storage Services > Shares >Tasks > New Share」項目。在彈出視窗中，首先選擇「SMB Share - Applications」項目為分享類型，在Share location區塊中，選擇預設的「C:」即可，在Share name欄位中鍵入「VMs」，在下方就可以看到系統將預設使用「C:\Shares\VMs」路徑，以及遠端路徑「\\SMB\VMs」為分享路徑，如圖15所示，後續將存放Node01和Node02建立的VM虛擬主機。

在Other Settings視窗中，採用系統預設值即可，然後在Permissions視窗中按下〔Customize permissions〕鈕。在彈出自訂權限視窗中，先按下〔停用繼承〕（Disable inheritance）鈕，再點選「Convert inherited permissions into explicit permissions on this object.」，以便將繼承的權限轉換成此物件中的明確權限，確保Administrators群組，以及SYSTEM和CREATOR OWNER具備「完全控制」（Full Control）權限即可。

執行叢集驗證測試

在正式建立工作群組叢集之前，建議先執行叢集驗證測試，確保通過所有叢集驗證測試，以便稍後建立工作群組叢集時，能夠順利建立不會遭遇非預期的錯誤。

在Node01或Node02主機內，在伺服器管理員視窗中的Tools選項清單內，開啟Failover Cluster Manager。在容錯移轉叢集管理員視窗中，依序點選「Failover Cluster Manager > Management > Validate Configuration」，接著在Select Servers or a Cluster視窗中，鍵入Node01和Node02主機的FQDN名稱，然後按下〔Add〕鈕加入至伺服器清單中，如圖16所示。

在Testing Options測試清單頁面中，選擇系統預設值「Run all tests」執行所有驗證測試項目，而在系統執行叢集驗證測試結果中，確保Node01和Node02主機皆通過所有叢集驗證測試項目，如圖17所示，如果有任何驗證測試項目發生警告或失敗的情況，務必判斷並修正問題後，再次執行並通過叢集驗證測試，管理人員也可以透過PowerShell指令「Test-Cluster -Node node01.lab.weithenn.org, node02.lab.weithenn.org」來執行叢集驗證測試的工作任務。

建立工作群組叢集

順利通過叢集驗證測試作業後，便可以放心建立工作群組叢集，在容錯移轉叢集管理員視窗中，依序點選「Failover Cluster Manager > Management > Create Cluster」，同樣地，在Select Servers視窗中將Node01和Node02主機加入至成員伺服器清單內，並在Access Point for Administering the Cluster頁面中鍵入工作群組叢集的名稱，本文實作環境為「wg-cluster」，而叢集固定IP位址是「10.10.75.15」，如圖18所示。

在Confirmation視窗中，系統會顯示工作群組叢集的組態設定資訊，確認無誤後按下〔Next〕鈕繼續，系統便會自動執行建立工作群組叢集的動作，然後在Summary視窗中顯示部署結果。也可以按下〔View Report〕按鈕查看詳細資訊，如圖19所示，或按下〔Finish〕按鈕完成設定。

同樣地，也可以透過PowerShell指令「New-Cluster –Name wg-cluster –Node node01.lab.weithenn.org, node02.lab.weithenn.org –AdministrativeAccessPoint DNS –StaticAddress 10.10.75.15」，達成建立和部署工作群組叢集的工作任務，如圖20所示，並且執行PowerShell指令「Get-Cluster」和「Get-ClusterResource」，確認和檢查工作群組叢集相關資訊。

建立檔案共用見證

根據微軟官方的最佳建議作法，當容錯移轉叢集中成員伺服器數量為「偶數」時，便應該組態設定「仲裁」（Quorum）或「見證」（Witness），以便容錯移轉叢集發生災難事件，導致成員伺服器停止運作或中斷連線時，仲裁見證機制便可以讓容錯移轉叢集繼續正常運作。

值得注意的是，採用檔案共用見證機制時，若是未加入Active Directory網域的叢集環境，則組成容錯移轉叢集的成員伺服器必須至少是Windows Server 2019或更新版本，並且採用的SMB版本至少要2.0或更新版本。

先切換至SMB主機，採用跟剛才一樣的作法，建立給工作群組叢集使用的SMB檔案共用見證，在建立時同樣採用「SMB Share - Applications」分享類型，在Share location區塊中，選擇預設的「C:」即可，在Share name欄位中鍵入「Witness」，在下方可以看到系統將預設使用「C:\Shares\Witness」路徑，以及遠端路徑「\\SMB\Witness」為分享路徑，後續便能存放工作群組叢集的仲裁見證資訊。

切換回Node01或Node02主機中，在容錯移轉叢集管理員視窗中，依序點選「wg-cluster.lab.weithenn.org > More Actions > Configure Cluster Quorum Settings」，在選擇仲裁類型視窗中選擇「Select the quorum witness」選項。在選擇使用的仲裁方式視窗中，選擇「Configure a file share witness」，在檔案共用路徑欄位中，則鍵入剛才於SMB主機建立的「\\SMB\Witness」遠端分享路徑，確認無誤後，系統便自動為工作群組叢集組態設定及建立檔案共用見證機制，確保工作群組叢集遭遇災難事件時能夠繼續正常運作，如圖21所示。

＜本文作者：王偉任，Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用，目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構，部落格weithenn.org。＞