Neuerungen in Windows Server 2019
In diesem Artikel werden einige der neuen Features in Windows Server 2019 beschrieben. Windows Server 2019 basiert auf dem soliden Fundament von Windows Server 2016 und bietet zahlreiche Innovationen bei vier wichtigen Themen: „Hybrid Cloud“, „Sicherheit“, „Anwendungsplattform“ und „Hyperkonvergente Infrastruktur (HCI)“.
Allgemein
Windows Admin Center
Windows Admin Center ist eine lokal bereitgestellte, browserbasierte App zum Verwalten von Servern, Clustern, hyperkonvergenter Infrastruktur und Windows 10-PCs. Sie ist ohne über Windows hinausgehende Kosten erhältlich und für den Einsatz in Produktionsumgebungen geeignet.
Sie können Windows Admin Center unter Windows Server 2019, unter Windows 10 und unter früheren Versionen von Windows und Windows Server installieren und damit Server und Cluster verwalten, die über Windows Server 2008 R2 oder eine höhere Version verfügen.
Weitere Informationen finden Sie unter Windows Admin Center.
Desktopdarstellung
Da es sich bei Windows Server 2019 um eine Long-Term Servicing Channel (LTSC)-Version handelt, ist darin Desktopdarstellung enthalten. Releases des halbjährlichen Kanals (Semi-Annual Channel, SAC) enthalten standardmäßig nicht die Desktopdarstellung, sondern sind ausschließlich Releases von Server-Core- und Nano Server-Containerimages. Wie bei Windows Server 2016 können Sie beim Einrichten des Betriebssystems zwischen Server Core-Installationen oder Server mit Desktopdarstellung-Installationen wählen.
Systemdaten
Systemdaten ist ein neues Feature von Windows Server 2019, mit der lokale Predictive Analytics-Funktionen direkt in Windows Server integriert werden können. Diese Vorhersagefunktionen, die jeweils von einem Machine Learning-Modell unterstützt werden, analysieren lokal Windows Server-Systemdaten wie Leistungsindikatoren und Ereignisse. Systemdaten liefern Erkenntnisse zum Funktionszustand Ihrer Server und helfen Ihnen dabei, die Betriebskosten im Zusammenhang mit der reaktiven Verwaltung von Problemen in Ihren Windows Server-Bereitstellungen zu reduzieren.
Hybrid Cloud
Optionales Feature (FOD, Feature on Demand) „Server Core-App-Kompatibilität”
Das optionale Feature (FOD, Feature on Demand) „Server Core-App-Kompatibilität” verbessert die App-Kompatibilität erheblich, indem es eine Teilmenge von Binärdateien und Komponenten von Windows Server in die Desktopdarstellung einschließt. Server Core bleibt dadurch möglichst schlank, da die eigentliche grafische Windows Server-Desktopumgebung nicht hinzugefügt wird, was die Funktionalität und Kompatibilität erhöht.
Dieses optionale FOD ist in einer separaten ISO verfügbar und kann nur Windows Server Core-Installationen und -Images mithilfe von DISM hinzugefügt werden.
WDS-Transportserverrolle (Windows Deployment Services, Windows-Bereitstellungsdienste) zu Server Core hinzugefügt
Transport-Server enthält nur die Kernnetzwerkteile von WDS. Server Core kann nun mit der Transportserverrolle verwendet werden, um Multicast-Namespaces zu erstellen, die Daten (einschließlich Betriebssystemimages) von einem eigenständigen Server übertragen. Sie können es auch verwenden, wenn Sie einen PXE-Server wünschen, der Clients den PXE-Start ermöglicht, und um Ihre eigene benutzerdefinierte Setup-Anwendung herunterzuladen.
Integration von Remotedesktopdiensten in Azure AD
Mit der Azure AD-Integration können Sie Richtlinien für bedingten Zugriff, die Multi-Faktor-Authentifizierung, die integrierte Authentifizierung mit anderen SaaS-Apps über Azure AD und vieles mehr nutzen. Weitere Informationen finden Sie unter Integrieren von Azure AD Domain Services mit der RDS-Bereitstellung.
Netzwerk
Wir haben mehrere Verbesserungen am Core-Netzwerkstapel vorgenommen. Hierzu zählen unter anderem TCP Fast Open (TFO), die automatische Optimierung des Empfangsfensters und IPv6. Weitere Informationen finden Sie im Beitrag Verbesserung von Features des Core-Netzwerkstapels.
Dynamische vRSS und VMMQ
In der Vergangenheit ermöglichten VM-Warteschlangen und VM-Multiwarteschlangen (Virtual Machine Multi-Queues, VMMQs) einen wesentlich höheren Durchsatz für einzelne VMs, als der Netzwerkdurchsatz erstmals die 10-GbE-Marke und höher erreichte. Leider stellte sich heraus, dass der erforderliche Grad an Planung, Baselining, Optimierung und Überwachung sehr viel höher war, als IT-Administrator*innen erwartet hatten.
Windows Server 2019 verbessert diese Optimierungen, indem die Verarbeitung von Netzwerkworkloads dynamisch verteilt und optimiert wird wie erforderlich. Windows Server 2019 stellt höchste Effizienz sicher und entlastet IT-Administratoren bei der Konfiguration. Weitere Informationen finden Sie unter Anforderungen an das Hostnetzwerk für die Azure Stack HCI.
Sicherheit
Windows Defender Advanced Threat Protection (ATP)
Die umfassenden Plattformsensoren und Reaktionsaktionen von ATP decken Angriffe auf Speicher- und Kernel-Ebene auf und reagieren darauf, indem sie bösartige Dateien unterdrücken und schädliche Prozesse beenden.
Weitere Informationen zu Windows Defender ATP finden Sie in der Übersicht über die Windows Defender ATP-Funktionen.
Weitere Informationen zum Onboarding von Servern finden Sie unter Integrieren von Servern im Windows Defender ATP-Dienst.
Bei Windows Defender ATP Exploit Guard handelt es sich um eine Reihe neuer Eindringschutzfunktionen für Hosts, die es Ihnen ermöglichen, ein ausgewogenes Verhältnis zwischen Sicherheitsrisiken und Produktivitätsanforderungen zu erzielen. Windows Defender Exploit Guard wurde entwickelt, um das Gerät vor einer Vielzahl von Angriffsvektoren zu schützen und Verhalten zu blockieren, das häufig bei Angriffen mit Schadsoftware auftritt. Die Komponenten sind:
Attack Surface Reduction (ASR) umfasst verschiedene Steuerungsmöglichkeiten, mit denen Unternehmen verhindern können, dass Schadsoftware auf die Computer gelangt, indem sie verdächtige schädliche Dateien blockieren. Beispiele wären etwa Office-Dateien, Skripts, seitliche Bewegungen, Ransomware-Verhalten und E-Mail-basierte Bedrohungen.
Netzwerkschutz schützt den Endpunkt vor webbasierten Bedrohungen, indem er jeden ausgehenden Prozess auf dem Gerät an nicht vertrauenswürdige Hosts/IP-Adressen über Windows Defender SmartScreen blockiert.
Kontrollierter Ordnerzugriff schützt sensible Daten vor Ransomware, indem er verhindert, dass nicht vertrauenswürdige Prozesse auf Ihre geschützten Ordner zugreifen.
Exploit-Schutz ist eine Reihe von Maßnahmen zur Minderung von Schwachstellen (ersetzt EMET), die einfach konfiguriert werden können, um Ihr System und Ihre Anwendungen zu schützen.
Windows Defender-Anwendungssteuerung (auch bekannt als „Codeintegritätsrichtlinie – CI-Richtlinie“) wurde in Windows Server 2016 veröffentlicht. Wir haben CI-Standardrichtlinien hinzugefügt, um die Bereitstellung zu vereinfachen. Die Standardrichtlinie lässt alle Windows-internen Dateien und Microsoft-Anwendungen wie SQL Server zu und blockiert ausführbare Dateien, von denen bekannt ist, dass sie CI umgehen können.
Sicherheit mit Software-Defined Networking (SDN)
Sicherheit mit SDN bietet zahlreiche Features, um das Kundenvertrauen bei der Ausführung von Workloads – entweder lokal oder als Dienstanbieter in der Cloud – zu erhöhen.
Diese Sicherheitsverbesserungen sind in die umfassende SDN-Plattform integriert, die in Windows Server 2016 eingeführt wurde.
Eine vollständige Liste der Neuerungen in SDN finden Sie unter Neuerungen in SDN für Windows Server 2019.
Verbesserungen für abgeschirmte virtuelle Computer
Wir haben die folgenden Verbesserungen für abgeschirmte virtuelle Computer ausgeführt.
Verbesserungen für Filialen
Sie können nun abgeschirmte virtuelle Computer auf Computern mit intermittierender Konnektivität zum Host-Überwachungsdienst (Host Guardian Service, HGS) ausführen, indem Sie die neuen Fallback-HGS- und Offline-Modus-Features verwenden. Fallback HGS ermöglicht es Ihnen, einen zweiten Satz von URLs für Hyper-V zu konfigurieren, um zu prüfen, ob Ihr primärer HGS-Server erreicht werden kann.
Auch wenn Sie den HGS nicht erreichen können, können Sie Ihre abgeschirmten VMs im Offlinemodus starten. Ihre VMs können auch gestartet werden, wenn sie bereits einmal erfolgreich gestartet wurden und die Sicherheitskonfiguration des Hosts nicht geändert wurde.
Verbesserungen bei der Problembehandlung
Darüber hinaus haben wir die Problembehandlung für Ihre abgeschirmten VMs vereinfacht, indem wir den erweiterten VMConnect-Sitzungsmodus und PowerShell Direct unterstützen. Diese Tools sind nützlich, wenn die Netzwerkverbindung mit Ihrer VM unterbrochen wurde und die Konfiguration aktualisiert werden muss, um den Zugriff wiederherzustellen. Weitere Informationen finden Sie unter Geschütztes Fabric und abgeschirmte VMs.
Sie müssen diese Funktionen nicht konfigurieren, da sie automatisch verfügbar sind, wenn eine abgeschirmte VM auf einem Hyper-V-Host mit Windows Server, Version 1803 oder höher, ausgeführt wird.
Linux-Unterstützung
Wenn Sie Umgebungen mit gemischten Betriebssystemen ausführen, unterstützt Windows Server 2019 jetzt die Ausführung von Ubuntu, Red Hat Enterprise Linux und SUSE Linux Enterprise Server in abgeschirmten virtuellen Computern.
HTTP/2 für ein schnelleres und sichereres Web
Verbessertes Zusammenführen von Verbindungen für ununterbrochene und korrekt verschlüsselte Möglichkeiten des Browsens.
Die serverseitige Cipher-Suite-Verhandlung von HTTP/2 wurde aktualisiert, um Verbindungsfehler automatisch zu mindern und die Bereitstellung zu vereinfachen.
Unser Standardanbieter für TCP-Überlastung wurde auf Cubic umgestellt, um Ihnen mehr Durchsatz zu bieten!
Verschlüsselte Netzwerke
Die Verschlüsselung virtueller Netzwerke verschlüsselt den Datenverkehr virtueller Netzwerke zwischen virtuellen Computern innerhalb von Subnetzen, die über die Bezeichnung Verschlüsselung aktiviert verfügen. Verschlüsselte Netzwerke verwenden auch Datagram Transport Layer Security (DTLS) im virtuellen Subnetz, um Pakete zu verschlüsseln. DTLS schützt Ihre Daten vor Abhörversuchen, Manipulation und Fälschung durch jeden, der Zugriff auf das physische Netzwerk hat.
Weitere Informationen finden Sie unter Verschlüsselte Netzwerke.
Firewallüberwachung
Die Firewallüberwachung ist ein neues Feature für die SDN-Firewall, das alle von SDN-Firewallregeln verarbeiteten Vorgänge und Zugriffssteuerungslisten (Access Control Lists, ACLs) erfasst, die die Protokollierung aktiviert haben.
Peering von virtuellen Netzwerken
Mit dem Peering virtueller Netzwerke können Sie zwei virtuelle Netzwerke nahtlos verbinden. Nach dem Peering werden die virtuellen Netzwerke in der Überwachung als einzelnes Element angezeigt.
Messung des ausgehenden Datenverkehrs
Die Messung des ausgehenden Datenverkehrs bietet Nutzungszähler für ausgehende Datenübertragungen. Der Netzwerkcontroller verwendet diese Funktion, um eine Zulassungsliste aller IP-Bereiche zu führen, die innerhalb von SDN pro virtuellem Netzwerk verwendet werden. Diese Listen berücksichtigen, dass alle Pakete, die an ein Ziel übertragen werden, das nicht in den aufgeführten IP-Bereichen liegt, als ausgehende Datenübertragungen abgerechnet werden.
Storage
Dies sind einige der Änderungen, die wir in Windows Server 2019 für den Speicher ausgeführt haben. Der Speicher wird auch durch Updates der Datendeduplizierung beeinflusst, insbesondere durch das Update auf die DataPort-API zur Optimierung des Eingangs- oder Ausgangsdatenverkehrs in Bezug auf deduplizierte Volumes.
File Server Resource Manager
Sie können jetzt verhindern, dass der Dienst „Ressourcen-Manager für Dateiserver“ beim Start des Diensts auf allen Volumes ein Änderungsjournal (auch bekannt als USN) erstellt. Das Verhindern der Erstellung des Änderungsjournals kann Speicherplatz auf jedem Volume sparen, deaktiviert allerdings auch die Dateiklassifizierung in Echtzeit. Weitere Informationen finden Sie unter Ressourcen-Manager für Dateiserver – Übersicht.
SMB
In Windows Server werden der SMB1-Client und -Server nicht mehr standardmäßig installiert. Darüber hinaus ist die Möglichkeit deaktiviert, sich als Gast in SMB2 und höher standardmäßig zu authentifizieren. Weitere Informationen finden Sie unter SMBv1 wird für die Versionen Windows 10, Version 1709 und höher sowie Windows Server, Version 1709 und höher standardmäßig nicht installiert.
Sie können oplocks jetzt in SMB2+ für Legacyanwendungen deaktivieren. Sie können von Clients auch die Signierung oder Verschlüsselung pro Verbindung anfordern. Weitere Informationen finden Sie in der Hilfe zum SMBShare PowerShell-Modul.
Speichermigrationsdienst
Mit dem Speichermigrationsdienst können Server einfacher zu einer neueren Version von Windows Server migriert werden. Dieses grafische Tool inventarisiert Daten auf Servern und überträgt dann die Daten und die Konfiguration auf neuere Server. Der Speichermigrationsdienst kann auch die Identitäten der alten Server auf die neuen Server verschieben, sodass Benutzer ihre Profile und Apps nicht neu konfigurieren müssen. Weitere Informationen finden Sie unter Speichermigrationsdienst.
Windows Admin Center Version 1910 bietet jetzt die Möglichkeit, virtuelle Azure-Computer bereitzustellen. Durch dieses Update wird die Azure-VM-Bereitstellung in den Speichermigrationsdienst integriert. Weitere Informationen finden Sie unter Azure-VM-Migration.
Sie können auch auf die folgenden RTM-Funktionen (Post-Release-to-Manufacturing) zugreifen, wenn Sie den Speichermigrationsserver-Orchestrator unter Windows Server 2019 mit installierter KB5001384 oder unter Windows Server 2022 ausführen:
- Migrieren lokaler Benutzer und Gruppen zum neuen Server
- Migrieren von Speicher von Failoverclustern, Migrieren zu Failoverclustern und Migrieren zwischen eigenständigen Servern und Failoverclustern
- Migrieren von Speicher von einem Linux-Server, der Samba verwendet
- Vereinfachte Synchronisierung von migrierten Freigaben zu Azure mithilfe von Azure-Dateisynchronisierung.
- Migrieren zu neuen Netzwerken wie etwa Azure
- Migrieren Sie NetApp Common Internet File System-Server (CIFS) von NetApp Federated Authentication Service-Arrays (FAS) zu Windows-Servern und -Clustern.
Direkte Speicherplätze
Dies ist eine Liste der Neuerungen für Direkte Speicherplätze. Weitere Informationen zum Erwerb validierter Direkte Speicherplätze-Systeme finden Sie unter Übersicht über die Azure Stack HCI-Lösung.
Deduplizierung und Komprimierung für ReFS-Volumes. Der Blockspeicher mit variabler Größe und optionaler Komprimierung maximiert die Einsparungsraten, während die Multithread-Nachbearbeitungsarchitektur die Auswirkungen auf die Leistung minimiert. Diese Funktion unterstützt Volumes mit einer Größe bis zu 64 TB und dedupliziert die ersten 4 MB jeder Datei.
Native Unterstützung für den persistenten Arbeitsspeicher, damit Sie den persistenten Arbeitsspeicher wie jedes andere Laufwerk in PowerShell oder Windows Admin Center verwalten können. Diese Funktion unterstützt die persistenten Arbeitsspeichermodule Intel Optane DC PM und NVDIMM-N.
Verschachtelte Resilienz für hyperkonvergente Infrastrukturen mit zwei Knoten am Edge. Dank einer neuen Softwareresilienzoption auf der Basis von RAID 5+1 können Sie jetzt zwei gleichzeitige Hardwarefehler überstehen. Ein Direkte Speicherplätze-Cluster mit zwei Knoten stellt einen kontinuierlich zugänglichen Speicher für Apps und virtuelle Computer (VMs) bereit, auch wenn ein Serverknoten nicht mehr funktioniert und in einem anderen Serverknoten ein Laufwerk ausfällt.
Zwei-Server-Cluster können jetzt einen USB-Speicherstick als Zeuge verwenden. Wenn ein Server ausfällt und dann wieder hochgefahren wird, „weiß“ der USB-Laufwerkcluster, auf welchem Server es die aktuellsten Daten gibt. Weitere Informationen finden Sie im Blogbeitrag Ankündigung von Direkte Speicherplätze und unter Konfigurieren eines File Share Witness für Failover-Clustering.
Windows Admin Center unterstützt ein Dashboard, über das Sie Direkte Speicherplätze verwalten und überwachen können. Sie können die IOPS- und E/A-Latenz von der Clusterebene bis zu einzelnen SSDs oder HDDs ohne zusätzliche Kosten überwachen. Weitere Informationen finden Sie unter Was ist Windows Admin Center?.
Der Leistungsverlauf ist ein neues Feature, das mühelos Einblicke in die Ressourcenauslastung und in Messungen bietet. Weitere Informationen finden Sie unter Leistungsverlauf für Direkte Speicherplätze.
Sie können bis zu 4 PB pro Cluster mit einer Kapazität von bis zu 64 Volumes mit bis zu 64 TB skalieren. Sie können auch mehrere Cluster zu einem Clusterset zusammenfügen, das in einem einzelnen Speichernamespace noch mehr Skalierung ermöglicht.
Durch die Nutzung der spiegelbeschleunigten Parität können Sie Volumes für Direkte Speicherplätze erstellen, die sowohl Spiegel- als auch Paritätsstrategien enthalten, ähnlich einer Mischung aus RAID-1 und RAID-5/6. Die spiegelbeschleunigte Parität ist jetzt zweimal schneller als Windows Server 2016.
Erkennung von Ausreißern bei der Laufwerkslatenz kennzeichnet langsame Laufwerke in PowerShell und Windows Admin Center automatisch mit dem Status „Nicht ordnungsgemäße Wartezeit“.
Sie können die Volumenzuteilung manuell abgrenzen, um die Fehlertoleranz zu verbessern. Weitere Informationen finden Sie unter Begrenzen der Zuordnung von Volumes in Direkte Speicherplätze.
Speicherreplikat
Hier sind die Neuigkeiten für Speicherreplikate.
Das Speicherreplikat ist jetzt in Windows Server 2019 Standard Edition und Windows Server 2019 Datacenter Edition verfügbar. Mit der Standard Edition können Sie jedoch nur ein einzelnes Volume replizieren. Die Größe dieses Volumes darf maximal 2 TB betragen.
Der Testfailover ist eine neue Funktion, mit der Sie einen Snapshot des replizierten Speichers zu Test- oder Sicherungszwecken vorübergehend auf einem Zielserver bereitstellen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Speicherreplikaten.
Verbesserungen der Protokollierungsleistung für Speicherreplikate, z. B. ein verbesserter Replikationsdurchsatz und eine verbesserte Latenz für flashbasierte Speicher und Direkte Speicherplätze-Cluster, die untereinander repliziert werden.
Windows Admin Center-Unterstützung, einschließlich der grafischen Verwaltung der Replikation mithilfe von Server Manager für die Server-zu-Server-, Cluster-zu-Cluster- und Stretched-Cluster-Replikation.
Datendeduplizierung
Windows Server 2019 unterstützt jetzt das robuste Dateisystem (Resilient File System, ReFS). Mit ReFS können Sie mittels Deduplizierung und Komprimierung für das ReFS-Dateisystem auf demselben Volume bis zu zehnmal mehr Daten speichern. Der Blockspeicher mit variabler Größe verfügt über eine optionale Komprimierungsfunktion, mit dem die Einsparungen maximiert werden können, während die Multithreaded-Nachbearbeitungsarchitektur die Kompromisse bei der Leistung minimiert. ReFS unterstützt Volumes mit bis zu 64 TB und dedupliziert die ersten 4 TB jeder Datei. Weitere Informationen finden Sie im Video zum Thema Aktivieren der Deduplizierung und Komprimierung in Windows Admin Center.
Failoverclustering
Wir haben dem Failoverclustering in Windows Server 2019 die folgenden Features hinzugefügt:
Clustersets gruppieren mehrere Cluster in einer lose gekoppelten Gruppierung mehrerer Failovercluster. Es gibt drei Typen: Compute, Speicher und Hyperkonvergenz. Durch diese Gruppierung wird die Anzahl der Server in einer einzelnen Lösung für ein softwaredefiniertes Rechenzentrum (Software-Defined Datacenter, SDDC) über die aktuellen Grenzwerte eines Clusters hinaus erhöht. Mit Clustersets können Sie virtuelle Onlinecomputer zwischen den Clustern innerhalb des Clustersets verschieben. Weitere Informationen finden Sie unter Bereitstellen eines Clustersets.
Cluster erkennen Azure jetzt standardmäßig. Cluster, die Azure erkennen, wissen automatisch, ob sie auf virtuellen Azure-IaaS-Computern ausgeführt werden, und optimieren ihre Konfiguration entsprechend, um eine maximale Verfügbarkeit zu erreichen. Zu diesen Optimierungen gehören ein proaktives Failover und die Protokollierung geplanter Azure-Wartungsereignisse. Die automatisierte Optimierung vereinfacht die Bereitstellung, da der Load Balancer nicht mehr mit dem Namen des verteilten Netzwerks (Distributed Network Name, DNN) für den Clusternamen konfiguriert werden muss.
Aufgrund der domänenübergreifenden Clustermigration können Failovercluster dynamisch von einer Active Directory-Domäne in eine andere Active Directory-Domäne verschoben werden. Dies vereinfacht die Domänenkonsolidierung und ermöglicht Hardwarepartnern die Erstellung von Clustern, um sie zu einem späteren Zeitpunkt der Domäne des Kunden hinzuzufügen.
Mit der USB-Zeugenfunktion können Sie ein USB-Laufwerk, das an einen Netzwerkswitch angeschlossen ist, als Zeugen für die Ermittlung des Quorums für einen Cluster verwenden. Dieses Feature umfasst die erweiterte Unterstützung von Dateifreigabezeugen für SMB2-kompatible Geräte.
Der CSV-Cache ist jetzt standardmäßig aktiviert, um die Leistung von VMs zu steigern. MSDTC unterstützt jetzt freigegebene Clustervolumes, um MSDTC-Workloads in Direkte Speicherplätze bereitstellen zu können, z. B. mit SQL Server. Die Logik wurde verbessert, um partitionierte Knoten mit Selbstreparatur zu erkennen und Knoten zur Clustermitgliedschaft zurückzugeben. Die Erkennung und Selbstreparatur von Clusternetzwerkrouten wurde verbessert.
Clusterfähiges Aktualisieren (Cluster Aware Updating, CAU) ist jetzt integriert und erkennt direkte Speicherplätze. Dabei wird überprüft und sichergestellt, dass die Datenneusynchronisierung auf den einzelnen Knoten abgeschlossen wird. Beim clusterfähigen Aktualisieren werden Updates überprüft, um nur bei Bedarf intelligent einen Neustart durchzuführen. Mit diesem Feature können Sie alle Server im Cluster für eine geplante Wartung neu starten.
Sie können jetzt Dateifreigabezeugen in den folgenden Szenarien verwenden:
Fehlender oder schlechter Internetzugriff aufgrund eines Remotestandorts, wodurch die Verwendung eines Cloudzeugen verhindert wird.
Fehlende freigegebene Laufwerke für einen Datenträgerzeugen. Beispielsweise eine Konfiguration, die keine freigegebenen Datenträger verwendet, wie hyperkonvergente Direkte Speicherplätze-Konfigurationen, SQL Server Always On-Verfügbarkeitsgruppen (AGs) oder Exchange-Datenbankverfügbarkeitsgruppen (DAGs).
Fehlende Verbindung mit dem Domänencontroller, da sich der Cluster hinter einer DMZ befindet.
Eine Arbeitsgruppe oder ein domänenübergreifender Cluster, der kein Active Directory-Clusternamenobjekt (CNO) besitzt. Windows Server blockiert jetzt auch die Verwendung einer DFS-Namespacefreigabe als Speicherort. Das Hinzufügen eines Dateifreigabezeugen zu einer DFS-Freigabe kann Stabilitätsprobleme für Ihren Cluster verursachen, und diese Konfiguration wurde nie unterstützt. Wir haben Logik hinzugefügt, um zu erkennen, ob eine Freigabe DFS-Namespaces verwendet. Wenn DFS-Namespaces erkannt werden, blockiert der Failovercluster-Manager die Erstellung des Zeugen und zeigt eine Fehlermeldung an, dass dies nicht unterstützt wird.
Es wurde ein Clusterhärtungsfeature implementiert, das die Sicherheit der Kommunikation zwischen Clustern über Server Message Block (SMB) für freigegebene Clustervolumes und Direkte Speicherplätze verbessert. Dieses Feature nutzt Zertifikate, um die sicherste Plattform bereitzustellen, die möglich ist. Daher können Failovercluster jetzt ohne NTLM-Abhängigkeiten ausgeführt werden, was die Einrichtung von Sicherheitsbaselines ermöglicht.
Failovercluster verwenden keine NTLM-Authentifizierung mehr. Stattdessen verwenden Windows Server 2019-Cluster jetzt ausschließlich eine Kerberos- und zertifikatbasierte Authentifizierung. Benutzer*innen müssen keine Änderungen ausführen oder etwas bereitstellen, um diese Sicherheitsverbesserung nutzen zu können. Mit dieser Änderung können Sie auch Failovercluster in Umgebungen bereitstellen, in denen NTLM deaktiviert ist.
Anwendungsplattform
Linux-Container unter Windows
Es ist nun möglich, Windows- und Linux-basierte Container auf dem gleichen Containerhost und mit dem gleichen Docker-Daemon auszuführen. Dies ermöglicht die Verwendung einer heterogenen Containerhostumgebung und bietet Anwendungsentwicklern Flexibilität.
Integrierte Unterstützung für Kubernetes
Windows Server 2019 setzt die Verbesserungen in Bezug auf Computing, Netzwerk und Speicher fort, die in den Versionen des halbjährlichen Kanals zur Unterstützung von Kubernetes unter Windows erforderlich sind. Weitere Details sind in den kommenden Kubernetes-Versionen verfügbar.
Containernetzwerke in Windows Server 2019 verbessern die Benutzerfreundlichkeit von Kubernetes unter Windows erheblich. Wir haben die Resilienz des Plattformnetzwerks sowie die Unterstützung von Containernetzwerk-Plug-Ins verbessert.
Bereitgestellte Workloads auf Kubernetes können die Netzwerksicherheit zum Schutz von Linux- und Windows-Diensten mit integrierten Tools nutzen.
Containerverbesserungen
Verbesserte integrierte Identität
Wir haben die integrierte Windows-Authentifizierung in Containern einfacher und zuverlässiger gemacht und dabei einige Einschränkungen aus früheren Versionen von Windows Server behoben.
Verbesserte Anwendungskompatibilität
Die Umstellung von Windows-basierten Anwendungen auf Container wird jetzt einfacher: Die App-Kompatibilität für das vorhandene windowsservercore-Image wurde erhöht. Für Anwendungen mit weiteren API-Abhängigkeiten steht jetzt ein drittes Basisimage zur Verfügung: windows.
Reduzierte Größe und höhere Leistung
Die Downloadgrößen des Basiscontainers, die Größe auf der Festplatte und die Startzeiten wurden verbessert, um Containerworkflows zu beschleunigen.
Verwaltungsoberfläche mit Windows Admin Center (Vorschau)
Wir haben es einfacher denn je gemacht zu sehen, welche Container auf Ihrem Computer ausgeführt werden, und einzelne Container mit einer neuen Erweiterung für Windows Admin Center zu verwalten. Suchen Sie im öffentlichen Windows Admin Center-Feed nach der Erweiterung „Container”.
Computeverbesserungen
VM-Startreihenfolge: Die VM-Startreihenfolge wird mit Betriebssystem- und Anwendungsinformationen verbessert. Diese ermöglichen die Verwendung erweiterter Trigger für den Fall, dass ein virtueller Computer als gestartet gilt, bevor der nächste gestartet wird.
Speicherklassen-Speicherunterstützung für VMs ermöglicht die Erstellung von NTFS-formatierten Direktzugriffsvolumes auf nichtflüchtigen DIMMs und die Bereitstellung auf Hyper-V-VMs. Virtuelle Hyper-V-Computer können jetzt die Leistungsvorteile der geringen Wartezeit von Speicherklassenspeichergeräten nutzen.
Unterstützung von persistentem Arbeitsspeicher für virtuelle Hyper-V-Computer: Zur Nutzung des hohen Durchsatzes und der geringen Wartezeit des persistenten Arbeitsspeichers (auch als Speicherklassenspeicher bezeichnet) auf virtuellen Computern kann er jetzt direkt in virtuelle Computer projiziert werden. Persistenter Arbeitsspeicher kann dazu beitragen, die Wartezeit für Datenbanktransaktionen drastisch zu reduzieren oder die Wiederherstellungszeiten für In-Memory-Datenbanken mit geringer Wartezeit bei einem Ausfall zu reduzieren.
Containerspeicher – persistente Datenvolumes: Anwendungscontainer verfügen jetzt über permanenten Zugriff auf Volumes. Weitere Informationen finden Sie unter Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping.
Format der Konfigurationsdatei für virtuelle Computer (aktualisiert): Die VM-Gastzustandsdatei (
.vmgs
) wurde für virtuelle Computer mit der Konfigurationsversion 8.2 oder höher hinzugefügt. Die VM-Gastzustandsdatei enthält Informationen zum Gerätezustand, die zuvor Teil der VM-Laufzeitzustandsdatei waren.
Verschlüsselte Netzwerke
Verschlüsselte Netzwerke – Die virtuelle Netzwerkverschlüsselung ermöglicht die Verschlüsselung des virtuellen Netzwerkdatenverkehrs zwischen virtuellen Computern, die miteinander in Teilnetzen kommunizieren, die als Verschlüsselung aktiviert markiert sind. Sie nutzt auch Datagram Transport Layer Security (DTLS) im virtuellen Subnetz, um Pakete zu verschlüsseln. DTLS schützt vor Abhörversuchen, Manipulation und Fälschung durch jeden, der Zugriff auf das physische Netzwerk hat.
Verbesserungen der Netzwerkleistung für virtuelle Workloads
Verbesserungen der Netzwerkleistung für virtuelle Workloads maximieren den Netzwerkdurchsatz für virtuelle Computer, ohne dass Sie Ihren Host ständig optimieren oder übermäßig bereitstellen müssen. Die Leistungsverbesserung reduziert die Betriebs- und Wartungskosten und erhöht gleichzeitig die verfügbare Dichte Ihrer Hosts. Diese neuen Features sind:
Dynamic Virtual Machine Multi-Queue (d.VMMQ)
Empfangen von Segmentkoaleszenzen im vSwitch
Low Extra Delay Background Transport (LEDBAT)
Der Low Extra Delay Background Transport (LEDBAT) ist ein wartezeitoptimierter Anbieter für die Netzwerküberlastungssteuerung, der Benutzern und Anwendungen automatisch Bandbreite zur Verfügung stellt. LEDBAT beansprucht Bandbreite, die verfügbar ist, wenn das Netzwerk nicht verwendet wird. Diese Technologie ist für die Bereitstellung umfangreicher, kritischer Updates in einer IT-Umgebung vorgesehen, ohne die Dienste für Kunden und die zugehörige Bandbreite zu beeinträchtigen.
Windows-Zeitdienst
Der Windows-Zeitdienst enthält echte UTC-kompatible Schaltsekundenunterstützung, ein neues Zeitprotokoll namens „Precision Time Protocol“ und End-to-End-Rückverfolgbarkeit.
Hochleistungs-SDN-Gateways
Hochleistungs-SDN-Gateways in Windows Server 2019 verbessert die Leistung für IPsec- und GRE-Verbindungen erheblich und bietet einen extrem hohen Durchsatz bei deutlich geringerer CPU-Auslastung.
Neue Bereitstellungsbenutzeroberfläche und Windows Admin Center-Erweiterung für SDN
Mit Windows Server 2019 ist es nun einfach, eine neue Bereitstellungsbenutzeroberfläche und eine Windows Admin Center-Erweiterung bereitzustellen und zu verwalten, die es jedem ermöglicht, die Leistungsfähigkeit von SDN zu nutzen.
Windows-Subsystem für Linux (WSL)
WSL ermöglicht Serveradministratoren, vorhandene Tools und Linux-Skripts auf Windows Server zu verwenden. Zahlreiche Verbesserungen, die im Blog „Befehlszeile” präsentiert werden, sind nun Teil von Windows Server, einschließlich Hintergrundaufgaben, DriveFS, WSLPath und vieles mehr.
Active Directory-Verbunddienste (AD FS)
Active Directory-Verbunddienste (AD FS) für Windows Server 2019 enthält die folgenden Änderungen.
Geschützte Anmeldungen
Geschützte Anmeldungen mit AD FS enthalten jetzt die folgenden Updates:
Benutzer*innen können jetzt Authentifizierungsprodukte von Drittanbietern als ersten Faktor verwenden, ohne Kennwörter offenzulegen. Wenn der externe Authentifizierungsanbieter zwei Faktoren validieren kann, kann die Multi-Faktor-Authentifizierung (MFA) verwendet werden.
Benutzer*innen können jetzt Kennwörter als zusätzlichen Faktor verwenden, wenn sie eine andere Option als ein Kennwort als ersten Faktor verwendet haben. Diese In-Box-Unterstützung verbessert die Gesamterfahrung für AD FS 2016, die das Herunterladen eines GitHub-Adapters erforderten.
Benutzer*innen können jetzt eigene Plug-In-Risikobewertungsmodule erstellen, um während der Vorauthentifizierung bestimmte Anforderungstypen zu blockieren. Dieses Feature vereinfacht die Verwendung von Cloud-Intelligence-Lösungen wie Identity Protection (Identitätsschutz), um Risikobenutzer*innen oder Transaktionen zu blockieren. Weitere Informationen finden Sie unter Erstellen von Plug-Ins mit dem Risikobewertungsmodell von AD FS 2019.
Verbesserung des Extranet Smart Lockout (ESL) Quick-Fix Engineering (QFE) durch Hinzufügen der folgenden Funktionen:
Sie können jetzt den Überwachungsmodus verwenden, während Sie durch klassische Extranetsperrfunktionen geschützt sind.
Benutzer*innen können jetzt unabhängige Sperrschwellenwerte für bekannte Speicherorte verwenden. Mit diesem Feature können Sie mehrere Instanzen von Apps in einem gemeinsamen Dienstkonto ausführen, um Kennwörter mit minimalen Unterbrechungen zu übertragen.
Weitere Sicherheitsverbesserungen
AD FS 2019 enthält die folgenden Sicherheitsverbesserungen:
Remote PowerShell mit SmartCard-Anmeldung ermöglicht Benutzer*innen die Remoteverbindung mit AD FS über SmartCards durch die Ausführung von PowerShell-Befehlen. Benutzer*innen können diese Methode auch für die Verwaltung sämtlicher PowerShell-Funktionen verwenden, einschließlich Cmdlets mit mehreren Knoten.
Mittels der Anpassung von HTTP-Headern können Benutzer*innen HTTP-Header anpassen, die während AD FS-Antworten erstellt wurden. Die Headeranpassung umfasst die folgenden Headertypen:
HSTS: Lässt die Verwendung von AD FS-Endpunkten lediglich auf HTTPS-Endpunkten zu, um einen kompatiblen Browser durchzusetzen.
X-frame-options: AD FS-Administrator*innen können bestimmten vertrauenden Parteien die Einbettung von iFrames für interaktive AD FS-Anmeldeseiten gestatten. Sie sollten diesen Headertyp nur auf HTTPS-Hosts verwenden.
Zukünftige Header. Sie können auch mehrere zukünftige Header konfigurieren.
Weitere Informationen finden Sie unter Anpassen der HTTP-Sicherheitsantwortheader mit AD FS 2019.
Authentifizierungs- und Richtlinienfunktionen
AD FS 2019 stellt die folgenden Authentifizierungs- und Richtlinienfunktionen bereit:
Benutzer*innen können jetzt Regeln erstellen, um den Authentifizierungsanbieter anzugeben, den ihre Bereitstellung für eine zusätzliche Authentifizierung aufruft. Dieses Feature unterstützt den Übergang zwischen Authentifizierungsanbietern und die Sicherung bestimmter Apps mit speziellen Anforderungen hinsichtlich zusätzlicher Authentifizierungsanbieter.
Optionale Einschränkungen für Transport Layer Security (TLS)-basierte Geräteauthentifizierungen, sodass nur Anwendungen, die TLS erfordern, diese verwenden können. Benutzer*innen können jetzt clientseitige TLS-basierte Geräteauthentifizierungen einschränken, sodass sie nur von Anwendungen mit gerätebasiertem, bedingtem Zugriff verwendet werden können. Diese Funktion verhindert unerwünschte Aufforderungen zur Geräteauthentifizierung für Anwendungen, die keine TLS-basierte Geräteauthentifizierung erfordern.
AD FS unterstützt jetzt die Eingabe der Anmeldeinformationen des zweiten Faktors auf Grundlage der Aktualität der Anmeldeinformationen des zweiten Faktors. Dank dieses Features müssen Benutzer*innen die Zwei-Faktor-Authentifizierung lediglich für die erste Transaktion verwenden und den zweiten Faktor anschließend nicht jedes Mal erneut eingeben. Sie können dieses Feature nur für Anwendungen verwenden, die einen zusätzlichen Parameter in der Anforderung bereitstellen können, da diese Einstellung nicht in AD FS konfiguriert werden kann. Microsoft Entra ID unterstützt diesen Parameter, wenn Sie die Einstellung Meine MFA für X Tage speichern so konfigurieren, dass supportsMFA in den Vertrauenseinstellungen der Verbunddomäne von Microsoft Entra ID auf true festgelegt ist.
Verbesserungen für einmaliges Anmelden
AD FS 2019 enthält auch die folgenden Verbesserungen für einmaliges Anmelden (Single Sign-On, SSO):
AD FS verwendet jetzt einen paginierten UX-Fluss und eine zentrierte Benutzeroberfläche (UI), um Benutzer*innen eine reibungslosere Anmeldeerfahrung bereitzustellen. Diese Änderung spiegelt auch die in Azure AD bereitgestellte Funktionalität wider. Möglicherweise müssen Sie das Logo und die Hintergrundbilder Ihrer Organisation entsprechend der neuen Benutzeroberfläche aktualisieren.
Es wurde ein Problem behoben, das dazu führte, dass der MFA-Zustand nicht beibehalten wurde, wenn die Authentifizierung des primären Aktualisierungstokens (PRT) auf Windows 10-Geräten verwendet wurde. Benutzer*innen sollten jetzt weniger häufig zur Eingabe von Anmeldeinformationen für den zweiten Faktor aufgefordert werden. Die Erfahrung sollte jetzt konsistent sein, wenn die Geräteauthentifizierung für die clientseitige TLS und PRT-Authentifizierung erfolgreich ist.
Unterstützung für das Erstellen von modernen branchenspezifischen Apps
AD FS 2019 enthält die folgenden Features zur Unterstützung der Erstellung moderner branchenspezifischer Apps (LOB-Apps):
AD FS enthält jetzt OAuth-Geräteflowprofil-Unterstützung für die Anmeldung an Geräten ohne Benutzeroberflächenbereich, um eine umfassende Anmeldeerfahrung zu unterstützen. Mit diesem Feature können Benutzer*innen die Anmeldung an einem anderen Gerät abschließen. Die Azure-Befehlszeilenschnittstelle (CLI) in Azure Stack erfordert diese Funktionalität. Sie können sie auch in anderen Szenarien verwenden.
Sie müssen den Parameter Resource nicht mehr verwenden, um AD FS zu verwenden, was den aktuellen OAUth-Spezifikationen entspricht. Clients müssen jetzt zusätzlich zu den angeforderten Berechtigungen lediglich den Bezeichner der Vertrauensstellung der vertrauenden Partei als Bereichsparameter angeben.
Sie können ursprungsübergreifende Ressourcenfreigabe-Header (Cross-Origin Resource Sharing (CORS)-Header) in AD FS-Antworten verwenden: Diese neuen Headings ermöglichen Benutzer*innen die Erstellung von Single-Page-Anwendungen, mit denen clientseitige JavaScript-Bibliotheken die Signatur von id_token validieren können, indem sie die Signaturschlüssel aus dem Open ID Connect (OIDC)-Ermittlungsdokument in AD FS abfragen.
AD FS enthält Proof Key for Code Exchange (PKCE)-Unterstützung für einen sicheren Authentifizierungscodefluss innerhalb von OAuth. Diese zusätzliche Sicherheitsebene verhindert, dass bösartige Akteure den Code übernehmen und über einen anderen Client wiedergeben.
Wir haben ein kleineres Problem behoben, das dazu führte, dass AD FS nur den x5t-Anspruch gesendet hat. AD FS sendet jetzt auch einen „kid“-Anspruch, um den Schlüssel-ID-Hinweis zur Verifizierung der Signatur anzugeben.
Verbesserungen der Unterstützbarkeit
Administrator*innen können jetzt AD FS so konfigurieren, dass Benutzer*innen ihnen Fehlerberichte und Debugprotokolle als ZIP-Datei zur Problembehandlung senden können. Administrator*innen können auch eine Simple Mail Transfer Protocol (SMTP)-Verbindung so konfigurieren, dass die ZIP-Datei automatisch an ein E-Mail-Konto zur Selektierung gesendet wird. Mithilfe einer anderen Einstellung können Administrator*innen automatisch ein Ticket für ihr Supportsystem basierend auf dieser E-Mail erstellen.
Bereitstellungsaktualisierungen
Die folgenden Bereitstellungsaktualisierungen sind jetzt in AD FS 2019 enthalten:
- AD FS enthält eine ähnliche Funktion wie die Windows Server 2016-Version, die das Upgrade von Windows Server 2016-Serverfarmen auf Windows Server 2019-Serverfarmen vereinfacht. Ein Windows Server 2019-Server, der einer Windows Server 2016-Serverfarm hinzugefügt wird, verhält sich wie ein Windows Server 2016-Server, bis Sie das Upgrade durchführen. Weitere Informationen finden Sie unter Durchführen eines Upgrades für eine vorhandene AD FS-Farm mithilfe der internen Windows-Datenbank.
SAML-Updates
AD FS 2019 enthält die folgenden Security Assertion Markup Language (SAML)-Updates:
Wir haben in den folgenden Bereichen Probleme bei der aggregierten Verbundunterstützung behoben, z. B. InCommon:
Verbesserte Skalierung für zahlreiche Entitäten im Verbundmetadaten-Dokument. Zuvor wäre die Skalierung für diese Entitäten nicht erfolgreich gewesen und hätte die Fehlermeldung ADMIN0017 zurückgegeben.
Sie können jetzt Abfragen mithilfe des Parameters ScopeGroupID durchführen, indem Sie das
Get-AdfsRelyingPartyTrustsGroup
PowerShell-Cmdlet ausführen.Verbesserte Behandlung von Fehlerbedingungen für duplizierte entityID Werte.
Azure AD-Stilressourcenspezifikation im Bereichsparameter
Zuvor war es in AD FS erforderlich, dass die gewünschte Ressource und der gewünschte Bereich in einem separaten Parameter in jeder Authentifizierungsanforderung enthalten waren. Beispielsweise enthält die folgende OAuth-Anforderung einen Bereichsparameter:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Mit AD FS unter Windows Server 2019 können Sie jetzt den im Bereichsparameter eingebetteten Ressourcenwert übergeben. Diese Änderung ist mit der Authentifizierung anhand von Microsoft Entra ID konsistent.
Der Bereichsparameter kann jetzt als eine durch Leerzeichen getrennte Liste organisiert werden, die jede Entität als Ressource oder Bereich strukturiert.
Hinweis
Sie können in der Authentifizierungsanforderung jeweils nur eine Ressource angeben. Wenn in der Anforderung mehr als eine Ressource angeben, gibt AD FS einen Fehler zurück, und die Authentifizierung ist nicht erfolgreich.