Novinky ve Windows Serveru 2019

• Platí pro:

  ✅ Windows Server 2019

Tento článek popisuje některé nové funkce ve Windows Serveru 2019. Windows Server 2019 je založený na silném základu Windows Serveru 2016 a přináší mnoho inovací na čtyřech klíčových tématech: Hybridní cloud, zabezpečení, aplikační platforma a infrastruktura Hyper-Converged (HCI).

Obecné

Centrum pro správu Windows

Windows Admin Center je místně nasazená aplikace založená na prohlížeči pro správu serverů, clusterů, hyperkonvergované infrastruktury a počítačů s Windows 10. Je to bez dalších poplatků nad rámec Windows a je připraven k použití v produkčním prostředí.

Windows Admin Center můžete nainstalovat na Windows Server 2019 a Windows 10 a starší verze Windows a Windows Serveru a použít ho ke správě serverů a clusterů se systémem Windows Server 2008 R2 a novějším.

Další informace najdete v tématu Windows Admin Center .

Desktopové prostředí

Vzhledem k tomu, že Windows Server 2019 je verze Long-Term Servicing Channel (LTSC), zahrnujedesktopové prostředí . Verze Semi-Annual Channel (SAC) záměrně nezahrnují Desktop Experience; jedná se výhradně o verze image kontejnerů Server Core a Nano Server. Stejně jako u Windows Serveru 2016 si během instalace operačního systému můžete vybrat mezi instalacemi jádra serveru nebo mezi instalacemi Serveru s desktopovým prostředím.

System Insights

System Insights je nová funkce dostupná ve Windows Serveru 2019, která nativně přináší možnosti místní prediktivní analýzy na Windows Server. Tyto prediktivní funkce, které jsou založené na modelu strojového učení, místně analyzují systémová data Windows Serveru, jako jsou čítače výkonu a události. System Insights umožňuje pochopit, jak vaše servery fungují, a pomáhá snižovat provozní výdaje spojené s reaktivní správou problémů v nasazeních Windows Serveru.

Hybridní cloud

Funkce kompatibility základních aplikací serveru na vyžádání

Funkce kompatibility aplikací na vyžádání pro Windows Server Core (FOD) výrazně zlepšuje kompatibilitu aplikací zahrnutím podmnožiny binárních souborů a komponent z Windows Serveru s desktopovým prostředím. Server Core je udržováno co nejvíce štíhlé tím, že se do něj záměrně nezačleňuje grafické prostředí Windows Server Desktop Experience, což zvyšuje funkčnost a kompatibilitu.

Tato volitelná funkce na vyžádání je k dispozici na samostatném iso a lze ji přidat pouze do instalací a imagí Windows Serveru pomocí nástroje DISM.

Role transportního serveru služby WDS (Windows Deployment Services) přidaná do jádra serveru

Transportní server obsahuje pouze základní síťové části služby WDS. Teď můžete pomocí jádra serveru s rolí Transport Server vytvořit obory názvů vícesměrového vysílání, které přenášejí data (včetně imagí operačního systému) ze samostatného serveru. Můžete ho také použít, pokud chcete mít server PXE, který umožňuje klientům spouštění PXE a stahování vlastní instalační aplikace.

Integrace služby Vzdálená plocha se službou Azure AD

S integrací Azure AD můžete použít zásady podmíněného přístupu, vícefaktorové ověřování, integrované ověřování s jinými aplikacemi SaaS pomocí Azure AD a mnoho dalších. Další informace najdete v tématu Integrace služby Azure AD Domain Services s nasazením RDS.

Síťování

Provedli jsme několik vylepšení základního zásobníku sítě, jako je TCP Fast Open (TFO), automatické ladění okna příjmu, protokol IPv6 a další. Další informace najdete v příspěvku o vylepšení funkcí zásobníku základní sítě .

Dynamické vRSS a VMMQ

Fronty virtuálních počítačů a více front virtuálních počítačů (VMMQS) v minulosti umožňovaly mnohem vyšší propustnost pro jednotlivé virtuální počítače, protože propustnost sítě nejprve dosáhla značky 10 GbE a vyšší. Plánování, nastavení, ladění a monitorování se bohužel stalo mnohem větším podnikem, než očekávali správci IT.

Windows Server 2019 tyto optimalizace vylepšuje dynamickým rozložením a laděním zpracování síťových úloh podle potřeby. Windows Server 2019 zajišťuje maximální efektivitu a eliminuje zatížení konfigurace pro správce IT. Další informace najdete v tématu Požadavky na hostitelskou síť pro místníAzure.

Bezpečnost

Rozšířená ochrana před internetovými útoky v programu Windows Defender (ATP)

Hloubkové senzory platformy ATP a akce odezvy zpřístupňují útoky na úrovni paměti a jádra a reagují potlačováním škodlivých souborů a ukončováním škodlivých procesů.

• Další informace o programu Windows Defender ATP najdete v tématu Přehled možností ochrany ATP v programu Windows Defender.

• Další informace o nasazení serverů najdete v tématu Nasazení serverů do služby Windows Defender ATP.

Windows Defender ATP Exploit Guard je nová sada funkcí prevence neoprávněného vniknutí hostitele, která vám umožňuje najít rovnováhu mezi bezpečnostním rizikem a požadavky na produktivitu. Ochrana Exploit Guard v programu Windows Defender je navržená tak, aby zamkla zařízení proti široké škále vektorů útoku a blokovala chování běžně používané při malwarových útocích. Součásti jsou:

• Snížení plochy útoku (ASR) je sada nástrojů, které mohou podniky povolit, aby zabránily instalaci malwaru na zařízení blokováním podezřelých škodlivých souborů. Například soubory Office, skripty, laterální pohyb, chování ransomwaru a e-mailové hrozby.

• ochrana sítě chrání koncový bod před webovými hrozbami tím, že blokuje jakýkoli odchozí proces v zařízení na nedůvěryhodné hostitele nebo IP adresy prostřednictvím filtru SmartScreen v programu Windows Defender.

• řízený přístup ke složkám chrání citlivá data před ransomwarem tím, že blokuje nedůvěryhodné procesy v přístupu k chráněným složkám.

• Ochrana před zneužitím je sada mitigací pro zneužití zranitelností (nahrazující EMET), které lze snadno nakonfigurovat tak, aby chránily váš systém a aplikace.

• Řízení aplikací programu Windows Defender (označované také jako zásady integrity kódu (CI)) bylo vydáno ve Windows Serveru 2016. Zjednodušili jsme nasazení zahrnutím výchozích zásad CI. Výchozí zásada povoluje všechny systémové soubory Windows a aplikace Microsoft, jako je SQL Server, a blokuje známé spustitelné soubory, které mohou obejít integritu kódu (CI).

Zabezpečení se softwarově definovanými sítěmi (SDN)

zabezpečení pomocí SDN přináší mnoho funkcí, které zvyšují důvěru zákazníků při spouštění úloh, ať už místně, nebo jako poskytovatel služeb v cloudu.

Tato vylepšení zabezpečení jsou integrovaná do komplexní platformy SDN zavedené ve Windows Serveru 2016.

Úplný seznam novinek v SDN najdete v tématu Co je nového v SDN pro Windows Server 2019.

Vylepšení chráněných virtuálních počítačů

Provedli jsme následující vylepšení stíněných virtuálních počítačů.

Vylepšení poboček

Nyní můžete pomocí nových funkcí náhradního HGS a offline režimu spouštět ochráněné virtuální počítače na počítačích s přerušovaným připojením ke službě Strážce hostitele. Náhradní služba HGS umožňuje nakonfigurovat druhou sadu adres URL pro Hyper-V a zkusit ji, pokud se nemůže spojit s vaším primárním serverem HGS.

I když se nemůžete spojit se službou HGS, offline režim vám umožní dál spouštět stíněné virtuální počítače. Offline režim také umožňuje spustit virtuální počítače, pokud se virtuální počítač úspěšně spustil jednou a konfigurace zabezpečení hostitele se nezměnila.

Vylepšení řešení potíží

Také jsme usnadnili řešení potíží s vašimi chráněnými virtuálními počítači povolením podpory rozšířeného režimu relace VMConnect a Direct PowerShellu. Tyto nástroje jsou užitečné, když ztratíte síťové připojení k virtuálnímu počítači a potřebujete aktualizovat jeho konfiguraci pro obnovení přístupu. Pro více informací najdete v tématu Strážená infrastruktura a stíněné virtuální počítače.

Tyto funkce nemusíte konfigurovat, protože se automaticky zpřístupní, když umístíte chráněný virtuální počítač na hostitele Hyper-V se systémem Windows Server verze 1803 nebo novější.

Podpora Linuxu

Pokud používáte prostředí smíšeného operačního systému, Windows Server 2019 teď podporuje spouštění Ubuntu, Red Hat Enterprise Linux a SUSE Linux Enterprise Serveru uvnitř chráněných virtuálních počítačů.

HTTP/2 pro rychlejší a bezpečnější web

• Vylepšené propojení připojení pro zajištění nepřerušovaného a správně šifrovaného prostředí procházení.

• Vylepšili jsme vyjednávání sady šifer na straně serveru HTTP/2 pro automatické zmírnění chyb připojení a snadné nasazení.

• Změnili jsme náš výchozí algoritmus řízení zahlcení TCP na Cubic, abyste dosáhli větší propustnosti!

Šifrované sítě

Šifrování virtuální sítě šifruje provoz virtuální sítě mezi virtuálními počítači v podsítích, které mají popisek Šifrování povoleno. Šifrované sítě také používají datagram Transport Layer Security (DTLS) ve virtuální podsíti k šifrování paketů. DTLS chrání vaše data před odposloucháváním, manipulací a falšováním, a to kýmkoli, kdo má přístup k fyzické síti.

Další informace naleznete v tématu Šifrované sítě.

Auditování brány firewall

auditování brány firewall je nová funkce pro bránu firewall SDN, která zaznamenává všechny toky zpracovávané pravidly brány firewall SDN a seznamy řízení přístupu (ACL), které mají povolené protokolování.

Propojení virtuálních sítí

Propojení virtuálních sítí umožňuje bezproblémově propojit dvě virtuální sítě. Po spárování se virtuální sítě při monitorování zobrazí jako jedna.

Měření odchozího provozu

Měření odchozích přenosů dat nabízí měřiče využití pro odchozí přenosy dat. Řadič sítě používá tuto funkci k udržování seznamu povolených všech rozsahů IP používaných v rámci SDN v každé virtuální síti. Tyto seznamy považují jakýkoli paket směřující do cíle, který není zahrnut v uvedených rozsazích IP adres, za odchozí přenos dat k vyúčtování.

Skladování

Tady jsou některé změny, které jsme provedli v úložišti ve Windows Serveru 2019. Úložiště je také ovlivněno aktualizacemi deduplikace dat, zejména aktualizacemi rozhraní DataPort API pro optimalizovaný příchozí nebo odchozí přenos dat na deduplikované svazky.

Správce prostředků souborového serveru

Nyní je možné zabránit službě Správce prostředků souborového serveru ve vytváření deníku změn (označovaného také jako deník USN) na všech svazcích při spuštění služby. Zabránění vytvoření cesty změn může šetřit místo na každém svazku, ale zakáže klasifikaci souborů v reálném čase. Další informace najdete v tématu Přehled správce prostředků souborového serveru.

SMB

• Windows Server už ve výchozím nastavení neinstaluje klienta a server SMB1. Možnost ověřování jako hosta v protokolu SMB2 a novějších verzích je navíc ve výchozím nastavení vypnutá. Další informace naleznete v tématu SMBv1 není ve výchozím nastavení nainstalován ve Windows 10 verze 1709, Windows Server verze 1709 a novějších verzích.

• U starších aplikací teď můžete zakázat oplocky v protokolu SMB2+ . Od klienta můžete také vyžadovat podepisování nebo šifrování na základě jednotlivých připojení. Další informace najdete v nápovědě k modulu PowerShellu SMBShare .

Služba pro migraci úložiště

Služba Storage Migration Service usnadňuje migraci serverů na novější verzi Windows Serveru. Tento grafický nástroj inventaruje data na serverech a pak přenese data a konfiguraci na novější servery. Služba Storage Migration Service může také přesunout identity starých serverů na nové servery, aby uživatelé nemuseli překonfigurovat profily a aplikace. Pro více informací viz služba Storage Migration Service.

Windows Admin Center verze 1910 přidala možnost nasazení virtuálních počítačů Azure. Tato aktualizace integruje nasazení virtuálního počítače Azure do služby Storage Migration Service. Další informace najdete v tématu migrace virtuálních počítačů Azure.

Při spuštění orchestrátoru serveru pro migraci úložiště ve Windows Serveru 2019 s nainstalovaným KB5001384 nebo v systému Windows Server 2022 můžete také přistupovat k následujícím funkcím po vydání do výroby (RTM):

• Migrujte místní uživatele a skupiny na nový server.
• Migrujte úložiště z clusterů s podporou převzetí služeb při selhání, migrujte na clustery s podporou převzetí služeb při selhání a migrujte mezi samostatnými servery a clustery s podporou převzetí služeb při selhání.
• Migrujte úložiště ze serveru s Linuxem, který používá Samba.
• Synchronizace migrovaných sdílených složek do Azure je snadnější pomocí Synchronizace souborů Azure.
• Migrujte do nových sítí, jako je Azure.
• Migrujte servery NetApp Common Internet File System (CIFS) z polí NetApp Federated Authentication Service (FAS) na servery a clustery Windows.

Úložné prostory Direct

Tady jsou novinky ve Storage Spaces Direct. cs-CZ: Další informace o získání ověřených systémů Storage Spaces Direct viz přehled místního řešení Azure.

• Odstranění duplicitních dat a komprese svazků ReFS Úložiště bloků s proměnlivou velikostí s volitelnou kompresí maximalizuje míru úspory, zatímco architektura pro následné zpracování s více vlákny minimalizuje dopad na výkon. Tato funkce podporuje svazky o velikosti až 64 TB a odstranění duplicit prvních 4 MB každého souboru.

• Nativní podpora trvalé paměti, která umožňuje spravovat trvalou paměť stejně jako jakoukoli jinou jednotku v PowerShellu nebo Centru pro správu Windows. Tato funkce podporuje intel Optane DC PM a NVDIMM-N trvalé paměťové moduly.

• Vnořená rezilience pro hyperkonvergovanou infrastrukturu se dvěma uzly na okraji sítě. Díky nové možnosti odolnosti softwaru založené na raidu 5+1 teď můžete přežít dvě selhání hardwaru současně. Cluster Storage Spaces Direct se dvěma uzly poskytuje nepřetržitě dostupné úložiště pro aplikace a virtuální počítače, i když jeden serverový uzel selže a druhý má poruchu disku.

• Clustery se dvěma servery teď můžou jako určující jednotku používat USB flash disk. Pokud server přestane fungovat a potom se opět spustí, cluster jednotek USB ví, který server má nejaktuálnější data označená up-to. Další informace najdete v blogovém příspěvku o oznámení Prostorů úložiště s přímým přístupem prostorů úložiště s přímým přístupem a Konfigurace sdílené složky pro clustering s podporou převzetí služeb při selhání.

• Centrum pro správu Windows podporuje řídicí panel, který umožňuje spravovat a monitorovat Prostory úložiště s přímým přístupem. Můžete monitorovat počty vstupně-výstupních operací za sekundu (IOPS) a latenci vstupně-výstupních operací na úrovni celého clusteru až po jednotlivé disky SSD nebo HDD bez dalších nákladů. Další informace najdete v tématu Co je Centrum pro správu Windows?.

• Historie výkonu je nová funkce, která poskytuje snadný přehled o využití a měření prostředků. Další informace najdete v tématu Historie výkonu Storage Spaces Direct.

• Rozšiřte kapacitu až na 4 PB na cluster s využitím až 64 svazků, každý až 64 TB. Více clusterů můžete také spojit do sady clusterů pro ještě větší škálování v rámci jednoho oboru názvů úložiště.

• Díky využití zrcadlením akcelerované parity je možné vytvořit svazky Storage Spaces Direct, které zahrnují strategie zrcadlení i parity, podobně jako kombinace RAID-1 a RAID-5/6. Zrcadlově akcelerovaná parita je teď dvakrát rychlejší než Windows Server 2016.

• Detekce odlehlé hodnoty latence disků automaticky identifikuje pomalé disky v PowerShellu a Centru pro správu Windows se stavem "Neobvyklá latence".

• Ručně nastavte hranice přidělení svazků pro zvýšení odolnosti proti chybám. Pro více informací viz téma Vymezte přidělení svazků v Prostorech úložiště s přímým přístupem.

Replika úložiště

Novinky v replikaci úložiště.

• Replika úložiště je teď dostupná ve Windows Serveru 2019 Standard Edition a Windows Serveru 2019 Datacenter Edition. S edicí Standard ale můžete replikovat pouze jeden svazek a tento svazek může mít velikost až 2 TB.

• Testovací převzetí služeb při selhání je nová funkce, která umožňuje dočasně připojit snímek replikovaného úložiště na cílový server pro účely testování nebo zálohování. Další informace naleznete v části Nejčastější dotazy k replikám úložiště Storage Replica.

• Vylepšení výkonu protokolu repliky úložiště, jako je vylepšená propustnost replikace a latence u všech flash úložišť a clusterů Prostorů úložiště s přímým přístupem, které se mezi sebou replikují.

• Podpora centra Windows Admin Center, včetně grafické správy replikace pomocí Správce serveru pro server na server, cluster na cluster a rozšířenou replikaci clusteru.

Odstranění duplicitních dat

Windows Server 2019 teď podporuje odolný systém souborů (ReFS). ReFS vám umožňuje ukládat až desetkrát více dat na stejném svazku díky deduplikaci a kompresi systému souborů ReFS. Úložiště bloků s proměnlivou velikostí obsahuje volitelnou funkci komprese, která umožňuje maximalizovat úspory, zatímco vícevláknová architektura po zpracování udržuje minimální dopad na výkon. Odolný systém souborů ReFS podporuje svazky až do 64 TB a provádí deduplikaci prvních čtyř terabajtů každého souboru. Další informace najdete v tématu Zapnutí odstranění duplicitních dat a komprese v centru Windows Admin Center pro rychlou ukázku videa.

Klastr s podporou převzetí při selhání

K funkci clusteru s podporou převzetí služeb při selhání ve Windows Serveru 2019 jsme přidali následující funkce a vlastnosti:

• Clustery seskupují více clusterů do volně propojených skupin pro více typů clusterů s podporou převzetí služeb při selhání, které se dělí na tři typy: výpočetní, úložné a hyperkonvergované. Toto seskupení zvyšuje počet serverů v jednom softwarově definovaném řešení datacentra (SDDC) nad rámec aktuálních limitů clusteru. Pomocí sad clusterů můžete přesouvat online virtuální počítače mezi clustery v rámci sady clusterů. Další informace najdete v tématu Nasazení sady clusterů.

• Clustery jsou nyní ve výchozím nastavení kompatibilní s Azure. Clustery pracující s Azure automaticky rozpoznávají, kdy běží na virtuálních počítačích Azure IaaS, a pak optimalizují konfiguraci, aby dosáhly nejvyšší úrovně dostupnosti. Mezi tyto optimalizace patří proaktivní převzetí služeb při výpadku a protokolování událostí spojených s plánovanou údržbou Azure. Automatizovaná optimalizace zjednodušuje nasazení odebráním nutnosti nakonfigurovat nástroj pro vyrovnávání zatížení s názvem distribuované sítě pro název clusteru.

• Migrace mezidoménového clusteru umožňuje dynamicky přesouvat clustery s vysokou dostupností z jedné domény služby Active Directory do druhé, což zjednodušuje konsolidaci domén a umožňuje hardwarovým partnerům vytvářet clustery a připojit je k doméně zákazníka později.

• Funkce USB svědek umožňuje použít jednotku USB připojenou k síťovému přepínači jako svědka při určení kvora pro cluster. Tato funkce zahrnuje rozšířenou podporu svědka sdíleného souboru pro jakékoli zařízení kompatibilní s protokolem SMB2.

• Mezipaměť CSV je nyní standardně povolena pro zvýšení výkonu virtuálních strojů. MSDTC nyní podporuje sdílené svazky v clusteru, což umožňuje nasazení pracovních úloh MSDTC v řešení Storage Spaces Direct, například se serverem SQL Server. Vylepšená logika pro detekci dělených uzlů pomocí samoopravení pro vrácení uzlů do členství v clusteru. Vylepšená detekce trasy sítě clusteru a autoreparace.

• Aktualizace clusteru (CAU) je nyní integrovaná a je kompatibilní s Storage Spaces Direct, ověřuje a zajišťuje dokončení resynchronizace dat na jednotlivých uzlech. Aktualizace s ohledem na cluster kontroluje aktualizace, aby se systém inteligentně restartoval pouze v případě potřeby. Tato funkce umožňuje restartovat všechny servery v clusteru pro plánovanou údržbu.

• Teď můžete použít svědky sdílení souborů v následujících scénářích:

  • Chybějící nebo špatný přístup k internetu kvůli vzdálenému umístění, který brání použití cloudového svědka.

  • Nedostatek sdílených jednotek pro diskový svědek. Například konfigurace, která nepoužívá sdílené disky, jako je hyperkonvergovaná konfigurace Storage Spaces Direct, skupina dostupnosti Always On SQL Serveru nebo skupina dostupnosti databáze Exchange (DAG).

  • Nedostatek připojení k řadiči domény kvůli umístění klastru za DMZ.

  • Pracovní skupina nebo cluster napříč doménami, který nemá objekt názvu clusteru v službě Active Directory (CNO). Windows Server teď také blokuje použití služby Obory názvů DFS jako umístění. Přidání file share svědka do sdílené složky DFS může způsobit problémy se stabilitou clusteru a tato konfigurace nikdy nebyla podporována. Přidali jsme logiku pro zjištění, jestli sdílená složka používá obory názvů DFS, a pokud jsou obory názvů DFS detekovány, Správce clusterů pro převzetí služeb při selhání blokuje vytvoření svědka clusteru a zobrazí chybovou zprávu, že není podporováno.

• Byla implementována funkce pro zpevnění zabezpečení clusteru, která vylepšuje zabezpečení komunikace uvnitř clusteru přes protokol SMB (Server Message Block) pro sdílené svazky clusteru a Úložiště s přímým přístupem. Tato funkce využívá certifikáty k zajištění nejbezpečnější možné platformy. Clustery s podporou převzetí služeb při selhání teď můžou fungovat bez jakékoli závislosti na NTLM, což umožňuje stanovit základní úrovně zabezpečení.

• Clustery při selhání už nepoužívají ověřování NTLM. Místo toho clustery s Windows Serverem 2019 teď používají výhradně ověřování pomocí protokolu Kerberos a certifikátů. Uživatelé nemusí provádět žádné změny ani nasazovat nic, aby mohli toto vylepšení zabezpečení využít. Tato změna také umožňuje nasadit clustery s převzetím služeb při selhání v prostředích, kde je protokol NTLM vypnutý.

Aplikační platforma

Kontejnery Linuxu na Windows

Teď je možné spouštět kontejnery založené na Windows a Linuxu na stejném hostiteli kontejnerů pomocí stejného démona Dockeru. Teď můžete mít heterogenní hostitelské prostředí kontejneru, které vývojářům aplikací poskytuje flexibilitu.

Integrovaná podpora Kubernetes

Windows Server 2019 pokračuje ve vylepšování výpočetních prostředků, sítí a úložiště z verzí Semi-Annual Channel potřebných k podpoře Kubernetes ve Windows. Další podrobnosti jsou k dispozici v nadcházejících verzích Kubernetes.

• Kontejnerová síť ve Windows Server 2019 výrazně zlepšuje použitelnost Kubernetes ve Windows. Vylepšili jsme odolnost sítě platformy a podporu pluginů pro sítě kontejnerů.

• Nasazené úlohy v Kubernetes můžou používat zabezpečení sítě k ochraně linuxových i windows služeb pomocí vložených nástrojů.

Vylepšení kontejnerů

• Vylepšená integrovaná identita

  Integrované ověřování ve Windows v kontejnerech jsme usnadnili a učinili spolehlivějším, přičemž jsme řešili několik omezení předchozích verzí Windows Serveru.

• Lepší kompatibilita aplikací

  Kontejnerizace aplikací založených na Windows je ještě jednodušší: Byla zvýšena kompatibilita aplikací pro stávající windowsservercore image. Pro aplikace s více závislostmi na rozhraní API je nyní k dispozici třetí základní obraz: windows.

• Zmenšená velikost a vyšší výkon

  Vylepšili jsme velikost stahovaného souboru základního obrazu kontejneru, jeho velikost na disku a časy spuštění, aby se urychlily pracovní postupy s kontejnery.

• Zkušenosti se správou pomocí Windows Admin Center (Preview)

  Usnadnili jsme více než kdy dříve, abyste viděli, které kontejnery běží na vašem počítači, a mohli spravovat jednotlivé kontejnery pomocí nového rozšíření pro Windows Admin Center. Vveřejného informačního kanálu Windows Admin Center vyhledejte rozšíření "Containers" (Kontejnery).

Vylepšení výpočetních prostředků

• Pořadí spouštění virtuálních počítačů Pořadí spouštění virtuálního počítače se také vylepšuje díky podpoře operačního systému a aplikací, což přináší vylepšené spouštěče pro určení, kdy je virtuální počítač považován za spuštěný před spuštěním dalšího.

• Podpora paměti úložištní třídy pro virtuální počítače umožňuje vytvářet svazky s přímým přístupem formátované systémem NTFS na nevolatilních DIMM a zpřístupněné virtuálním počítačům Hyper-V. Hyper-V virtuální počítače teď můžou využívat výhody nízké latence paměťových zařízení třídy úložiště.

• podpora trvalé paměti pro virtuální počítače Hyper-V Pro použití vysoké propustnosti a nízké latence trvalé paměti (označované také jako paměť třídy úložiště) ve virtuálních počítačích se teď dá projektovat přímo do virtuálních počítačů. Trvalá paměť může výrazně snížit latenci databázových transakcí nebo zkrátit dobu obnovení u databází s nízkou latencí v paměti při selhání.

• Úložiště kontejnerů – trvalé datové svazky kontejnery aplikací teď mají trvalý přístup ke svazkům. Další informace najdete v tématu Podpora úložiště kontejnerů se sdílenými svazky clusteru (CSV), Prostory úložiště s přímým přístupem (S2D), globální mapování SMB.

• formát konfiguračního souboru virtuálního počítače (aktualizovaný) Soubor stavu hosta virtuálního počítače (.vmgs) byl přidán pro virtuální počítače s konfigurační verzí 8.2 a vyšší. Soubor stavu hosta virtuálního počítače obsahuje informace o stavu zařízení, které byly dříve součástí souboru stavu modulu runtime virtuálního počítače.

Šifrované sítě

Šifrované sítě – Šifrování virtuální sítě umožňuje šifrování provozu virtuální sítě mezi virtuálními počítači, které vzájemně komunikují v podsítích označených jako šifrování povoleno. Využívá také Datagram Transport Layer Security (DTLS) ve virtuální podsíti k šifrování paketů. DTLS chrání před odposloucháváním, manipulací a falšováním, a to kýmkoli, kdo má přístup k fyzické síti.

Vylepšení výkonu sítě pro virtuální úlohy

Vylepšení výkonu sítě pro virtuální úlohy maximalizuje propustnost sítě k virtuálním počítačům, aniž byste museli neustále ladit nebo nadměrně přidělovat prostředky hostitele. Vylepšený výkon snižuje náklady na provoz a údržbu a současně zvyšuje dostupnou hustotu hostitelů. Mezi tyto nové funkce patří:

• Dynamická více fronta virtuálních počítačů (d.VMMQ)

• Rozdělení segmentů příjmu v přepínači vSwitch

Přenos na pozadí s nízkou dodatečnou latencí

Low Extra Delay Background Transport (LEDBAT) je poskytovatel řízení zahlcení sítě optimalizovaný pro nízkou latenci, který je navržený tak, aby automaticky uvolňoval šířku pásma pro uživatele a aplikace. LEDBAT spotřebovává dostupnou šířku pásma, když se síť nepoužívá. Technologie je určená k použití při nasazování velkých důležitých aktualizací v it prostředí, aniž by to mělo vliv na zákaznické služby a přidruženou šířku pásma.

Služba Windows Time

služba Windows Time Service zahrnuje skutečnou podporu přestupné sekundy kompatibilní se standardem UTC, nový časový protokol s názvem Precision Time Protocol a kompletní sledovatelnost.

Brány SDN s vysokým výkonem

brány SDN s vysokým výkonem ve Windows Serveru 2019 výrazně zvyšují výkon pro připojení IPsec a GRE, což poskytuje vysoce výkonnou propustnost s mnohem nižším využitím procesoru.

Nové uživatelské rozhraní nasazení a rozšíření Windows Admin Center pro SDN

S Windows Serverem 2019 je teď snadné nasazovat a spravovat prostřednictvím nového uživatelského rozhraní pro nasazení a rozšíření Windows Admin Center, které umožňuje každému využít výkon SDN.

Subsystém Windows pro Linux (WSL)

WSL umožňuje správcům serveru používat existující nástroje a skripty z Linuxu na Windows Serveru. Řada vylepšení předváděných v blogu příkazového řádku jsou teď součástí Windows Serveru, včetně úloh na pozadí, DriveFS, WSLPath a mnoha dalších.

Active Directory, služby federace

Active Directory Federation Services (AD FS) pro Windows Server 2019 obsahuje následující změny.

Chráněná přihlášení

Chráněné přihlášení pomocí služby AD FS teď obsahují následující aktualizace:

• Uživatelé teď můžou jako první faktor používat ověřovací produkty třetích stran, aniž by museli vystavovat hesla. V případech, kdy externí zprostředkovatel ověřování může prokázat dva faktory, může použít vícefaktorové ověřování (MFA).

• Uživatelé teď můžou jako další faktor použít hesla po použití možnosti bez hesla jako prvního faktoru. Tato integrovaná podpora zlepšuje celkový zážitek v AD FS 2016, které vyžadovalo nutnost stažení adaptéru z GitHubu.

• Uživatelé teď můžou vytvářet vlastní moduly posouzení rizik modulů plug-in, které blokují určité typy požadavků během fáze předběžného ověření. Tato funkce usnadňuje používání cloudových inteligentních funkcí, jako je ochrana identit, k blokování rizikových uživatelů nebo transakcí. Další informace najdete v tématu sestavení modulů plug-in podle modelu posouzení rizik služby AD FS 2019 .

• Vylepšuje inteligentní uzamčení extranetu (ESL) v rámci rychlých oprav (QFE) přidáním následujících funkcí:

  • Teď můžete použít režim auditu, který je chráněný klasickými funkcemi uzamčení extranetu.

  • Uživatelé teď můžou používat nezávislé prahové hodnoty uzamčení pro známá umístění. Tato funkce umožňuje spouštět více instancí aplikací v rámci společného účtu služby, abyste mohli převést hesla s minimálním přerušením.

Další vylepšení zabezpečení

Služba AD FS 2019 obsahuje následující vylepšení zabezpečení:

• Vzdálený PowerShell pomocí přihlášení pomocí čipové karty umožňuje uživatelům vzdálené připojení ke službě AD FS pomocí čipových karet spuštěním příkazů PowerShellu. Uživatelé mohou také tuto metodu použít ke správě všech funkcí PowerShellu včetně rutin s více uzly.

• Přizpůsobení hlaviček HTTP umožňuje uživatelům přizpůsobit hlavičky HTTP vytvořené během odpovědí služby AD FS. Přizpůsobení hlaviček zahrnuje následující typy hlaviček:

  • HSTS umožňuje použití koncových bodů služby AD FS pouze na koncových bodech HTTPS pro zajištění souladu s prohlížečem.

  • Možnosti X-frame, které správcům služby AD FS umožňují důvěryhodným stranám vkládat iFrame pro interaktivní přihlašovací stránky služby AD FS. Tuto hlavičku byste měli použít jenom na hostitelích HTTPS.

  • Budoucí hlavička. Můžete také nakonfigurovat několik budoucích hlaviček.

  Další informace najdete v tématu Přizpůsobení hlaviček odpovědí zabezpečení HTTP pomocí služby AD FS 2019.

Možnosti ověřování a zásad

Služba AD FS 2019 obsahuje následující možnosti ověřování a zásad:

• Uživatelé nyní mohou vytvářet pravidla, která určí, jakého poskytovatele autentizace jejich nasazení použije pro dodatečné ověření. Tato funkce pomáhá s přechodem mezi zprostředkovateli ověřování a zabezpečením konkrétních aplikací, které mají zvláštní požadavky na další zprostředkovatele ověřování.

• Volitelná omezení pro ověřování zařízení založená na protokolu TLS (Transport Layer Security), aby je mohly používat jenom aplikace, které vyžadují protokol TLS. Uživatelé můžou omezit ověřování zařízení na základě protokolu TLS klienta, aby je mohly používat jenom aplikace, které používají podmíněný přístup založený na zařízeních. Tato funkce zabraňuje nežádoucím výzevm k ověření zařízení pro aplikace, které nevyžadují ověřování zařízení založené na protokolu TLS.

• Služba AD FS nyní podporuje opětovné ověření přihlašovacích údajů druhého faktoru na základě jejich aktuálnosti. Tato funkce umožňuje uživatelům vyžadovat pouze TFA pro první transakci a pak na pravidelném základě vyžadovat pouze druhý faktor. Tuto funkci můžete použít jenom u aplikací, které můžou v požadavku poskytnout další parametr, protože se nejedná o konfigurovatelné nastavení ve službě AD FS. Microsoft Entra ID podporuje tento parametr, pokud v nastavení důvěryhodnosti federované domény Microsoft Entra ID nakonfigurujete nastavení Zapamatovat si moje MFA na X dní tak, aby supportsMFA bylo nastaveno na True.

Vylepšení jednotného přihlašování

Služba AD FS 2019 obsahuje také následující vylepšení jednotného přihlašování:

• Služba AD FS teď používá stránkovaný tok uživatelského rozhraní a vycentrované uživatelské rozhraní, které uživatelům poskytuje plynulejší možnosti přihlašování. Tato změna zrcadlí funkce nabízené v Azure AD. Možná budete muset aktualizovat logo a obrázky na pozadí vaší organizace tak, aby vyhovovaly novému uživatelskému rozhraní.

• Opravili jsme problém, který způsoboval, že se stav MFA při použití ověřování primárního obnovovacího tokenu (PRT) na zařízeních s Windows 10 neuchovával. Uživatelé by teď měli být vyzváni k zadání přihlašovacích údajů druhého faktoru méně často. Prostředí by nyní mělo být jednotné, když je ověřování zařízení úspěšné jak při klientském TLS, tak při ověřování PRT.

Podpora pro vytváření moderních obchodních aplikací

Služba AD FS 2019 obsahuje následující funkce, které podporují vytváření moderních obchodních aplikací:

• Služba AD FS teď obsahuje podporu profilu toku OAuth pro zařízení, která umožňuje přihlašování pomocí zařízení bez uživatelského rozhraní pro zajištění bohatých možností přihlašování. Tato funkce umožňuje uživatelům dokončit přihlášení na jiném zařízení. Prostředí Azure Command-Line Interface (CLI) ve službě Azure Stack vyžaduje tuto funkci a můžete ji také použít v jiných scénářích.

• K použití služby AD FS už nepotřebujete parametr Resource, který je v souladu s aktuálními specifikacemi OAUth. Klienti nyní potřebují zadat identifikátor důvěryhodnosti spoléhající strany jako parametr rozsahu spolu s požadovanými oprávněními.

• V odpovědích služby AD FS můžete používat hlavičky sdílení prostředků mezi zdroji (CORS). Tyto nové nadpisy umožňují uživatelům vytvářet jednostránkové aplikace, které umožňují klientským knihovnám JavaScript ověřit podpis id_token zadáním dotazu na podpisové klíče z dokumentu zjišťování Open ID Connect (OIDC) ve službě AD FS.

• Služba AD FS zahrnuje podporu pro Proof Key for Code Exchange (PKCE) v rámci zabezpečeného toku autorizačního kódu v OAuth. Tato dodatečná vrstva zabezpečení brání škodlivým hercům v napadení kódu a jeho přehrání z jiného klienta.

• Opravili jsme menší problém, který způsoboval, že služba AD FS odesílala pouze deklaraci x5t. Služba AD FS teď také odešle deklaraci identity dítěte, která označuje nápovědu k ID klíče pro ověření podpisu.

Vylepšení možností podpory

Správci nyní mohou nakonfigurovat AD FS tak, aby uživatelé mohli odesílat zprávy o chybách a ladicí protokoly jako soubor ZIP pro účely řešení potíží. Správci můžou také nakonfigurovat připojení SMTP (Simple Mail Transfer Protocol) k automatickému odesílání souboru ZIP do e-mailového účtu pro třídění. Další nastavení umožňuje správcům automaticky vytvořit lístek pro svůj systém podpory na základě daného e-mailu.

Aktualizace nasazení

Služba AD FS 2019 teď obsahuje následující aktualizace nasazení:

• Služba AD FS podobnou funkci jako její verze Windows Serveru 2016, která usnadňuje upgrade serverových farem Windows Serveru 2016 na serverové farmy Windows Serveru 2019. Server Windows Server 2019 přidaný do serverové farmy s Windows Serverem 2016 se bude chovat jenom jako server s Windows Serverem 2016, dokud nebudete připravení upgradovat. Další informace najdete v tématu Aktualizace na službu AD FS ve Windows Serveru 2016.

Aktualizace SAML

Služba AD FS 2019 obsahuje následující aktualizace SAML (Security Assertion Markup Language):

• Opravili jsme problémy s agregovanou podporou federace, například InCommon, v těchto oblastech:

  • Vylepšené škálování pro mnoho entit v dokumentu agregovaných federačních metadat. Dříve bylo škálování těchto entit neúspěšné a vrátilo ADMIN0017 chybovou zprávu.

  • Teď můžete vytvářet dotazy pomocí parametru ScopeGroupID spuštěním rutiny Get-AdfsRelyingPartyTrustsGroup PowerShellu.

  • Vylepšené zpracování chybových podmínek pro duplicitní hodnoty entityID

Specifikace prostředků stylu Azure AD v oborovém parametru

Dříve služba AD FS vyžadovala, aby požadovaný prostředek a obor byly v samostatném parametru v libovolné žádosti o ověření. Například následující příklad požadavku OAuth obsahuje parametr oboru:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Se službou AD FS ve Windows Serveru 2019 teď můžete předat hodnotu prostředku vloženou do parametru rozsahu. Tato změna je v souladu s ověřováním proti Microsoft Entra ID.

Parametr oboru je teď možné uspořádat jako seznam oddělený mezerami, který strukturuje každou entitu jako prostředek nebo obor.

Poznámka

V žádosti o ověření můžete zadat pouze jeden prostředek. Pokud do požadavku zahrnete více prostředků, služba AD FS vrátí chybu a ověřování nebude úspěšné.