Wat is er nieuw in Windows Server 2019

• Van toepassing op:

  ✅ Windows Server 2019

In dit artikel worden enkele van de nieuwe functies in Windows Server 2019 beschreven. Windows Server 2019 is gebouwd op de sterke basis van Windows Server 2016 en biedt tal van innovaties op vier belangrijke thema's: Hybrid Cloud, Security, Application Platform en Hyper-Converged Infrastructure (HCI).

Algemeen

Windows-beheercentrum

Windows Admin Center is een lokaal geïmplementeerde, browsergebaseerde app voor het beheren van servers, clusters, hypergeconvergeerde infrastructuur en Windows 10-pc's. Het heeft geen extra kosten meer dan Windows en is klaar voor gebruik in productie.

U kunt Windows Admin Center installeren op Windows Server 2019 en Windows 10 en eerdere versies van Windows en Windows Server, en deze gebruiken om servers en clusters met Windows Server 2008 R2 en hoger te beheren.

Zie Windows Admin Centervoor meer informatie.

Desktop-ervaring

Omdat Windows Server 2019 een Long-Term LTSC-release (Servicing Channel) is, bevat dit de Desktop Experience. Releases van het Semi-Annual-kanaal (SAC) bevatten niet de bureaubladervaring; deze zijn strikt Server Core- en Nano Server-containerimagereleases. Net als bij Windows Server 2016 kunt u tijdens de installatie van het besturingssysteem kiezen tussen Server Core-installaties of Server met Bureaubladervaring-installaties.

Systeeminzichten

System Insights is een nieuwe functie die beschikbaar is in Windows Server 2019, waarmee lokale predictive analytics-mogelijkheden systeemeigen beschikbaar zijn voor Windows Server. Deze voorspellende mogelijkheden, elk ondersteund door een machine learning-model, analyseren lokaal systeemgegevens van Windows Server, zoals prestatiemeteritems en gebeurtenissen. Met Systeeminzichten kunt u begrijpen hoe uw servers functioneren en kunt u de operationele kosten verminderen die zijn gekoppeld aan het reactief beheren van problemen in uw Windows Server-implementaties.

Hybride cloud

Compatibiliteitsfunctie voor Server Core-apps op aanvraag

Server Core App Compatibility Feature on Demand (FOD) verbetert de app-compatibiliteit aanzienlijk door een subset van binaire bestanden en componenten van Windows Server met de Bureaubladervaring op te nemen. Server Core wordt zo eenvoudig mogelijk gehouden door de grafische omgeving van Windows Server Desktop Experience zelf niet toe te voegen, waardoor de functionaliteit en compatibiliteit worden verhoogd.

Deze optionele functie op aanvraag is beschikbaar op een afzonderlijke ISO en kan alleen worden toegevoegd aan Windows Server Core-installaties en -installatiekopieën, met behulp van DISM.

Windows Deployment Services (WDS) Transport Server-functie toegevoegd aan Server Core

TransportServer bevat alleen de kernnetwerkonderdelen van WDS. U kunt nu Server Core gebruiken met de functie TransportServer om multicast-naamruimten te maken die gegevens verzenden (inclusief installatiekopieën van besturingssystemen) vanaf een zelfstandige server. U kunt deze ook gebruiken als u een PXE-server wilt hebben waarmee clients PXE kunnen opstarten en uw eigen aangepaste installatietoepassing kunnen downloaden.

Integratie van de services voor extern bureaublad met Azure AD

Met Azure AD-integratie kunt u beleid voor voorwaardelijke toegang, meervoudige verificatie, geïntegreerde verificatie met andere SaaS-apps gebruiken met behulp van Azure AD en nog veel meer. Zie Azure AD Domain Services integreren met uw RDS-implementatievoor meer informatie.

Netwerken

We hebben verschillende verbeteringen aangebracht aan de kernnetwerkstack, zoals TCP Fast Open (TFO), Receive Window Autotuning, IPv6 en meer. Voor meer informatie, zie het bericht over de functieverbetering van de Core Network Stack.

Dynamische vRSS en VMMQ

In het verleden hebben virtuele-machinewachtrijen en virtuele machine multiwachtrijen (VMMQs) veel hogere doorvoer naar afzonderlijke VM's ingeschakeld, omdat netwerkdoorvoeren eerst de 10GbE-markering en hoger bereikten. Helaas werd de planning, basislijning, afstemming en bewaking die nodig was voor succes een veel grotere onderneming dan IT-beheerders verwachtten.

Windows Server 2019 verbetert deze optimalisaties door de verwerking van netwerkworkloads dynamisch te spreiden en af te stemmen, indien nodig. Windows Server 2019 zorgt voor piekefficiëntie en verwijdert de configuratielast voor IT-beheerders. Zie Host-netwerkvereisten voor lokale Azure-voor meer informatie.

Veiligheid

Windows Defender Advanced Threat Protection (ATP)

De diepe platformsensoren en reacties van ATP detecteren geheugen- en kernelniveauaanvallen en reageren door schadelijke bestanden te blokkeren en schadelijke processen te stoppen.

• Zie Overzicht van de mogelijkheden van Windows Defender ATPvoor meer informatie over Windows Defender ATP.

• Voor meer informatie over het onboarden van servers naar de Windows Defender ATP-service, zie .

Windows Defender ATP Exploit Guard is een nieuwe set mogelijkheden voor inbraakpreventie waarmee u de beveiligingsrisico's en productiviteitsvereisten kunt verdelen. Windows Defender Exploit Guard is ontworpen om het apparaat te beveiligen tegen een breed scala aan aanvalsvectoren en om gedragingen te blokkeren die vaak in malwareaanvallen worden gebruikt. De onderdelen zijn:

• ASR (Attack Surface Reduction) is een set besturingselementen die ondernemingen kunnen inschakelen om te voorkomen dat malware op de computer komt door verdachte schadelijke bestanden te blokkeren. Bijvoorbeeld Office-bestanden, scripts, zijdelingse verplaatsing, ransomwaregedrag en bedreigingen op basis van e-mail.

• Netwerkbeveiliging het eindpunt beschermt tegen webbedreigingen door uitgaand proces op het apparaat te blokkeren naar niet-vertrouwde hosts/IP-adressen via Windows Defender SmartScreen.

• Gecontroleerde maptoegang gevoelige gegevens beschermt tegen ransomware door niet-vertrouwde processen te blokkeren voor toegang tot uw beveiligde mappen.

• Exploit Protection is een set oplossingen voor aanvallen op beveiligingsproblemen (waarbij EMET wordt vervangen) die eenvoudig kunnen worden geconfigureerd om uw systeem en toepassingen te beveiligen.

• Windows Defender Application Control (ook wel CI-beleid (Code Integrity) genoemd) is uitgebracht in Windows Server 2016. We hebben de implementatie eenvoudiger gemaakt door standaard CI-beleid op te nemen. Het standaardbeleid staat alle ingebouwde Windows-bestanden en Microsoft-toepassingen, zoals SQL Server, toe, en blokkeert bekende uitvoerbare bestanden die CI kunnen omzeilen.

Beveiliging met Software Defined Networking (SDN)

Beveiliging met SDN- biedt veel functies om het vertrouwen van klanten in het uitvoeren van workloads, on-premises of als serviceprovider in de cloud te vergroten.

Deze beveiligingsverbeteringen zijn geïntegreerd in het uitgebreide SDN-platform dat is geïntroduceerd in Windows Server 2016.

Zie Wat is er nieuw in SDN voor Windows Server 2019voor een volledige lijst met nieuwe functies in SDN.

Verbeteringen van afgeschermde virtuele machines

We hebben de volgende verbeteringen aangebracht in afgeschermde virtuele machines.

Verbeteringen aan filialen

U kunt nu beschermde virtuele machines draaien op machines met intermitterende connectiviteit met de Host Guardian-service door de nieuwe terugval-HGS en offlinemodus functies te gebruiken. Met fallback HGS kunt u een tweede set URL's configureren voor Hyper-V om te proberen of deze uw primaire HGS-server niet kan bereiken.

Zelfs als u de HGS niet kunt bereiken, kunt u met de offlinemodus uw afgeschermde VM's blijven opstarten. Met de offlinemodus kunt u uw VM's ook starten zolang de VIRTUELE machine eenmaal is gestart en de beveiligingsconfiguratie van de host niet is gewijzigd.

Verbeteringen voor probleemoplossing

We hebben het ook eenvoudiger gemaakt om problemen met uw afgeschermde VM's op te lossen door ondersteuning in te schakelen voor de verbeterde vmConnect-sessiemodus en PowerShell Direct. Deze hulpprogramma's zijn handig wanneer u de netwerkverbinding met uw VIRTUELE machine verliest en de configuratie ervan moet bijwerken om de toegang te herstellen. Zie Beveiligde infrastructuur en afgeschermde VM'svoor meer informatie.

U hoeft deze functies niet te configureren omdat deze automatisch beschikbaar worden wanneer u een afgeschermde VM op een Hyper-V host met Windows Server versie 1803 of hoger plaatst.

Linux-ondersteuning

Als u omgevingen met gemengde besturingssystemen uitvoert, ondersteunt Windows Server 2019 nu het uitvoeren van Ubuntu, Red Hat Enterprise Linux en SUSE Linux Enterprise Server binnen afgeschermde virtuele machines.

HTTP/2 voor een sneller en veiliger web

• Verbeterd samenvoegen van verbindingen om een ononderbroken en correct versleutelde browse-ervaring te bieden.

• Bijgewerkte coderingssuiteonderhandeling aan de serverzijde van HTTP/2 voor het automatisch beperken van verbindingsfouten en het gemak van de implementatie.

• We hebben onze standaard TCP-congestieprovider gewijzigd naar Cubic, zodat u meer doorvoer krijgt.

Versleutelde netwerken

Virtueel netwerkverkeer wordt versleuteld tussen virtuele machines binnen subnetten met het label Versleuteling Ingeschakeld. Versleutelde netwerken maken ook gebruik van DTLS (Datagram Transport Layer Security) op het virtuele subnet om pakketten te versleutelen. DTLS beschermt uw gegevens tegen afluisteren, knoeien en vervalsing door iedereen met toegang tot het fysieke netwerk.

Zie Versleutelde netwerkenvoor meer informatie.

Firewallcontrole

Firewallcontrole is een nieuwe functie voor de SDN-firewall waarmee elke stroom wordt vastgelegd die wordt verwerkt door SDN-firewallregels en toegangsbeheerlijsten (ACL's) waarvoor logboekregistratie is ingeschakeld.

Peering van virtuele netwerken

Virtuele netwerkpeering stelt u in staat om twee virtuele netwerken naadloos te verbinden. Zodra de peering is uitgevoerd, worden de virtuele netwerken als één in de bewaking weergegeven.

Uitgaande gegevensmeting

Egress-metering biedt gebruiksmeters voor uitgaande gegevensoverdracht. Netwerkcontroller gebruikt deze functie om een acceptatielijst te behouden van alle IP-bereiken die worden gebruikt binnen SDN per virtueel netwerk. Deze lijsten beschouwen een pakketkop die naar een bestemming gaat die niet is opgenomen in de vermelde IP-bereiken, als te factureren uitgaande gegevensoverdrachten.

Opslag

Hier volgen enkele wijzigingen die we hebben aangebracht in Opslag in Windows Server 2019. Opslag wordt ook beïnvloed door updates voor gegevensontdubbeling, met name de update naar DataPort-API voor geoptimaliseerd inkomend of uitgaand verkeer naar ontdubbelde volumes.

Bestandsserverbronbeheer

Het is nu mogelijk om te voorkomen dat de File Server Resource Manager-service een wijzigingslogboek (ook wel usn-logboek genoemd) maakt op alle volumes wanneer de service wordt gestart. Door te voorkomen dat het wijzigingstraject wordt gecreëerd, kan het ruimte op elk volume besparen, maar wordt realtime bestandsclassificatie uitgeschakeld. Zie Overzicht van Bestandsserverbronbeheervoor meer informatie.

KMO

• Windows Server installeert de SMB1-client en -server niet meer standaard. Daarnaast is de mogelijkheid om te verifiëren als gast in SMB2 en hoger standaard uitgeschakeld. Zie SMBv1 niet standaard is geïnstalleerd in Windows 10 versie 1709, Windows Server versie 1709 en latere versiesvoor meer informatie.

• U kunt nu oplocks uitschakelen in SMB2+ voor verouderde toepassingen. U kunt ook ondertekening of versleuteling per verbinding vereisen vanaf een client. Zie SMBShare PowerShell-module helpvoor meer informatie.

Storage Migration Service

Met Storage Migration Service kunt u eenvoudiger servers migreren naar een nieuwere versie van Windows Server. Met dit grafische hulpprogramma worden gegevens op servers geïnventariseerd en worden de gegevens en configuratie vervolgens overgedragen naar nieuwere servers. De Storage Migration Service kan ook de identiteiten van de oude servers naar de nieuwe servers verplaatsen, zodat gebruikers hun profielen en apps niet opnieuw hoeven te configureren. Zie Storage Migration Servicevoor meer informatie.

Windows Admin Center versie 1910 heeft de mogelijkheid toegevoegd om virtuele Azure-machines te implementeren. Deze update integreert azure VM-implementatie in Storage Migration Service. Zie Azure VM-migratievoor meer informatie.

U hebt ook toegang tot de volgende RTM-functies (post-release-to-manufacturing) bij het uitvoeren van de Storage Migration Server orchestrator op Windows Server 2019 met KB5001384 geïnstalleerd of op Windows Server 2022:

• Lokale gebruikers en groepen migreren naar de nieuwe server.
• Migreer opslag van failoverclusters, migreer naar failoverclusters en migreer tussen zelfstandige servers en failoverclusters.
• Migreer opslag vanaf een Linux-server die gebruikmaakt van Samba.
• Gemigreerde shares eenvoudiger synchroniseren naar Azure met behulp van Azure File Sync.
• Migreren naar nieuwe netwerken zoals Azure.
• Migreer NETApp Common Internet File System-servers (CIFS) van NETApp Federated Authentication Service-matrices (FAS) naar Windows-servers en -clusters.

Opslagruimten Direct

Dit is nieuw in Opslagruimten Direct. Zie overzicht van de lokale Azure-oplossingvoor meer informatie over het verkrijgen van gevalideerde Storage Spaces Direct-systemen.

• Ontdubbeling en compressie voor ReFS-volumes. Het segmentarchief van variabele grootte met optionele compressie maximaliseert besparingen, terwijl de architectuur met meerdere threads na verwerking de prestaties minimaliseert. Deze functie ondersteunt volumes van maximaal 64 TB en ontdubbelt de eerste 4 MB van elk bestand.

• Systeemeigen ondersteuning voor permanent geheugen, waarmee u permanent geheugen kunt beheren zoals elk ander station in PowerShell of Windows-beheercentrum. Deze functie ondersteunt Intel Optane DC PM en NVDIMM-N permanente geheugenmodules.

• Geneste veerkracht voor hypergeconvergeerde infrastructuur met twee knooppunten bij de rand. Met behulp van een nieuwe optie voor softwaretolerantie op basis van RAID 5+1 kunt u nu twee hardwarefouten tegelijk overleven. Een Opslagruimten Direct-cluster met twee knooppunten biedt continu toegankelijke opslag voor apps en virtuele machines, zelfs als het ene serverknooppunt uitvalt en een ander serverknooppunt een stationsfout heeft.

• Clusters met twee servers kunnen nu een USB-flashstation gebruiken als witness. Als een server uitvalt en daarna weer online komt, weet het USB-schijfcluster welke server de meest recente up-to-data heeft. Zie voor meer informatie ons aankondigingsblogbericht over Storage Spaces Direct en Een bestandssharewitness configureren voor Failover Clustering.

• Windows Admin Center ondersteunt een dashboard waarmee u Opslagruimten Direct kunt beheren en bewaken. U kunt de IOPS- en IO-latentie volgen vanaf het algemene clusterniveau tot aan afzonderlijke SSD's of HDD's, zonder extra kosten. Zie Wat is Windows-beheercentrum?.

• Prestatiegeschiedenis is een nieuwe functie die moeiteloos inzicht biedt in resourcegebruik en metingen. Zie voor meer informatie Prestatiegeschiedenis van Storage Spaces Direct.

• Schaal maximaal 4 PB per cluster met een capaciteit van maximaal 64 volumes van maximaal 64 TB. U kunt meerdere clusters ook samenvoegen in een clusterset voor nog grotere schaal binnen één opslagnaamruimte.

• Door gebruik te maken van mirror-versnelde pariteit, is het mogelijk om Storage Spaces Direct-volumes te maken die strategieën voor zowel spiegeling als pariteit bevatten, vergelijkbaar met een combinatie van RAID-1 en RAID-5/6. Spiegelversnelde pariteit is nu twee keer sneller dan in Windows Server 2016.

• Detectie van schijflatentie-uitschieters identificeert automatisch trage stations in PowerShell en Windows Admin Center met de status 'Abnormale Latentie'.

• De volumeallocatie handmatig beperken om de fouttolerantie te verhogen. Voor meer informatie, zie Het begrenzen van de toewijzing van volumes in Storage Spaces Direct.

Opslagreplica

Dit is wat er nieuw is in Storage Replica.

• Opslagreplica is nu beschikbaar in Windows Server 2019 Standard Edition en Windows Server 2019 Datacenter Edition. Met de Standard Edition kunt u echter slechts één volume repliceren en dat volume kan maximaal 2 TB groot zijn.

• Testfailover is een nieuwe functie waarmee u tijdelijk een momentopname van de gerepliceerde opslag op een doelserver kunt koppelen voor test- of back-updoeleinden. Zie Veelgestelde vragen over Storage Replicavoor meer informatie.

• Prestatieverbeteringen in opslagreplicalogboeken, zoals verbeterde replicatiedoorvoer en latentie op all-flashopslag- en Opslagruimten Direct-clusters die tussen elkaar repliceren.

• Windows Admin Center-ondersteuning, waaronder grafisch beheer van replicatie met Serverbeheer voor server-naar-server-, cluster-naar-cluster- en stretch-clusterreplicatie.

Gegevensontdubbeling

Windows Server 2019 ondersteunt nu het Resilient File System (ReFS). Met ReFS kunt u maximaal tien keer meer gegevens opslaan op hetzelfde volume met ontdubbeling en compressie voor het ReFS-bestandssysteem. De blokopslag met variabele grootte wordt geleverd met een optionele compressiefunctie die besparingen kan maximaliseren, terwijl de meerdraadige nabewerkingsarchitectuur de impact op prestaties minimaal houdt. ReFS ondersteunt volumes van maximaal 64 TB en ontdubbelt de eerste 4 TB van elk bestand. Zie Ontdubbeling en compressie inschakelen in het Windows-beheercentrum voor een korte videodemonstratie voor meer informatie.

Failover Clustering

We hebben de volgende functies toegevoegd aan failoverclustering in Windows Server 2019:

• Met clusters worden meerdere clusters gegroepeerd in een losjes gekoppelde groepering van meerdere failoverclusters die in drie typen worden geleverd: berekening, opslag en hypergeconvergeerde clusters. Deze groepering verhoogt het aantal servers in één SDDC-oplossing (Software Defined Datacenter) buiten de huidige limieten van een cluster. Met clustersets kunt u online virtuele machines verplaatsen tussen clusters binnen de clusterset. Zie Een clusterset implementerenvoor meer informatie.

• Clusters zijn nu standaard azure-bewust. Azure-compatibele clusters detecteren automatisch wanneer ze worden uitgevoerd op virtuele Azure IaaS-machines en optimaliseren hun configuratie om de hoogste beschikbaarheidsniveaus te bereiken. Deze optimalisaties omvatten proactieve failover en logboekregistratie van geplande onderhoudsevenementen van Azure. Geautomatiseerde optimalisatie maakt de implementatie eenvoudiger door de noodzaak voor het configureren van de load balancer met gedistribueerde netwerknaam voor de clusternaam te verwijderen.

• Met clustermigratie tussen domeinen kunnen failoverclusters dynamisch worden verplaatst van het ene Active Directory-domein naar het andere, waardoor domeinconsolidatie wordt vereenvoudigd en hardwarepartners clusters kunnen maken en op een later tijdstip aan het domein van de klant kunnen worden gekoppeld.

• Met de FUNCTIE USB-witness kunt u een USB-station gebruiken dat is gekoppeld aan een netwerkswitch als witness bij het bepalen van quorum voor een cluster. Deze functie omvat uitgebreide ondersteuning voor File Share Witness voor elk apparaat dat compatibel is met SMB2.

• De CSV-cache is nu standaard ingeschakeld om de prestaties van virtuele machines te verbeteren. MSDTC biedt nu ondersteuning voor gedeelde clustervolumes voor het implementeren van MSDTC-workloads in Opslagruimten Direct, zoals met SQL Server. Verbeterde logica voor het detecteren van gepartitioneerde knooppunten met zelfherstel om knooppunten terug te keren naar clusterlidmaatschap. Verbeterde detectie van clusternetwerkroute en zelfherstel.

• Clusterbewust bijwerken (CAU) is nu geïntegreerd en werkt met Storage Spaces Direct. Het valideert en garandeert dat de hersynchronisatie van gegevens op elk knooppunt voltooid wordt. Clusterbewust bijwerken inspecteert updates om alleen intelligent opnieuw op te starten als dat nodig is. Met deze functie kunt u alle servers in het cluster opnieuw opstarten voor gepland onderhoud.

• U kunt nu getuigen van bestandsshares gebruiken in de volgende scenario's:

  • Afwezige of slechte internettoegang vanwege een externe locatie, waardoor het gebruik van een cloudwitness wordt voorkomen.

  • Gebrek aan gedeelde stations voor een schijfwitness. Een configuratie die geen gebruik maakt van gedeelde schijven, zoals de hypergeconvergeerde configuratie van Opslagruimten Direct, een ALWAYSOn-beschikbaarheidsgroep (AG) van SQL Server of een DAG (Exchange Database Availability Group).

  • Gebrek aan domeincontrollerverbinding omdat het cluster zich achter een DMZ bevindt.

  • Een werkgroep of cluster voor meerdere domeinen die geen Active Directory-clusternaamobject (CNO) heeft. Windows Server blokkeert nu ook het gebruik van een DFS-naamruimteshare als een locatie. Het toevoegen van een bestandssharewitness aan een DFS-share kan stabiliteitsproblemen voor uw cluster veroorzaken en deze configuratie is nooit ondersteund. We hebben logica toegevoegd om te detecteren of een share gebruikmaakt van DFS-naamruimten. Als DFS-naamruimten worden gedetecteerd, blokkeert het Failoverclusterbeheer de creatie van de witness en verschijnt er een foutmelding dat dit niet wordt ondersteund.

• Er is een functie voor clusterbeveiliging geïmplementeerd die de beveiliging van communicatie tussen clusters via Server Message Block (SMB) voor gedeelde clustervolumes en Opslagruimten Direct verbetert. Deze functie maakt gebruik van certificaten om het veiligste platform te bieden. Hierdoor kunnen failoverclusters nu worden uitgevoerd zonder afhankelijkheden van NTLM, waardoor beveiligingsbasislijnen tot stand kunnen worden gebracht.

• Failoverclusters gebruiken geen NTLM-verificatie meer. In plaats daarvan maken Windows Server 2019-clusters nu uitsluitend gebruik van Kerberos en verificatie op basis van certificaten. Gebruikers hoeven geen wijzigingen aan te brengen of iets te implementeren om te profiteren van deze beveiligingsverbetering. Met deze wijziging kunt u ook failoverclusters implementeren in omgevingen waarin NTLM is uitgeschakeld.

Toepassingsplatform

Linux-containers in Windows

Het is nu mogelijk om Windows- en Linux-containers uit te voeren op dezelfde containerhost, met behulp van dezelfde Docker-daemon. U kunt nu een heterogene containerhostomgeving hebben die flexibiliteit biedt voor toepassingsontwikkelaars.

Ingebouwde ondersteuning voor Kubernetes

Windows Server 2019 blijft de verbeteringen op het gebied van rekenkracht, netwerken en opslag van de Semi-Annual-kanaalreleases voortzetten die nodig zijn om Kubernetes op Windows te ondersteunen. Meer informatie is beschikbaar in toekomstige Kubernetes-releases.

• Container Networking in Windows Server 2019 verbetert de bruikbaarheid van Kubernetes in Windows aanzienlijk. We hebben de tolerantie van platformnetwerken en ondersteuning van invoegtoepassingen voor containernetwerken verbeterd.

• Geïmplementeerde workloads in Kubernetes kunnen netwerkbeveiliging gebruiken om zowel Linux- als Windows-services te beveiligen met behulp van ingesloten hulpprogramma's.

Containerverbeteringen

• Verbeterde geïntegreerde identiteit

  We hebben geïntegreerde Windows-verificatie in containers eenvoudiger en betrouwbaarder gemaakt, waardoor verschillende beperkingen van eerdere versies van Windows Server worden aangepakt.

• Betere toepassingscompatibiliteit

  Het containeriseren van Windows-gebaseerde toepassingen is zojuist eenvoudiger geworden: de compatibiliteit van de app voor de bestaande windowsservercore image is verbeterd. Voor toepassingen met meer API-afhankelijkheden is er nu een derde basisimage: Windows.

• Verkleinde grootte en betere prestaties

  De downloadgrootten van de basiscontainerinstallatiekopieën, grootte op schijf en opstarttijden zijn verbeterd om containerwerkstromen te versnellen.

• Beheer met windows-beheercentrum (preview)

  We hebben het eenvoudiger dan ooit gemaakt om te zien welke containers op uw computer worden uitgevoerd en afzonderlijke containers te beheren met een nieuwe extensie voor Het Windows-beheercentrum. Zoek de extensie Containers in de openbare feed van het Windows-beheercentrum.

Compute-verbeteringen

• VM Startbestelling VM Startbestelling is ook verbeterd met besef van besturingssysteem en applicatie, met verbeterde triggers voor wanneer een VM als gestart wordt beschouwd voordat de volgende wordt gestart.

• Storage Class-geheugenondersteuning voor VM's maakt het mogelijk om volumes met directe toegang met NTFS-indeling te maken op niet-vluchtige DIMM's en beschikbaar te maken voor Hyper-V VM's. Hyper-V VM's kunnen nu gebruikmaken van de prestatievoordelen van opslagklassegeheugenapparaten met lage latentie.

• permanente geheugenondersteuning voor Hyper-V VM's Om de hoge doorvoer en lage latentie van permanent geheugen (ook wel opslagklassegeheugen genoemd) in virtuele machines te gebruiken, kan deze nu rechtstreeks in VM's worden geprojecteerd. Permanent geheugen kan helpen om de latentie van databasetransacties drastisch te verminderen of hersteltijden te verminderen voor databases met lage latentie in het geheugen bij fouten.

• Containeropslag: permanente gegevensvolumes Toepassingscontainers hebben nu permanente toegang tot volumes. Zie voor meer informatie Ondersteuning voor Containeropslag met Gedeelde Clustervolumes (CSV), Storage Spaces Direct (S2D), Globale Toewijzing van SMB.

• configuratiebestand voor virtuele machines (bijgewerkt) Het bestand met de gaststatus van de VM (.vmgs) is toegevoegd voor virtuele machines met een configuratieversie van 8.2 en hoger. Het gaststatusbestand van de VM bevat informatie over de apparaatstatus die eerder deel uitmaakte van het runtimestatusbestand van de VM.

Versleutelde netwerken

versleutelde netwerken : versleuteling van virtuele netwerken maakt versleuteling mogelijk van verkeer van virtuele netwerken tussen virtuele machines die met elkaar communiceren binnen subnetten die zijn gemarkeerd als Versleuteling ingeschakeld. Het maakt ook gebruik van Datagram Transport Layer Security (DTLS) op het virtuele subnet om pakketten te versleutelen. DTLS beschermt tegen afluisteren, knoeien en vervalsing door iedereen met toegang tot het fysieke netwerk.

Netwerkprestatieverbeteringen voor virtuele workloads

netwerkprestatieverbeteringen voor virtuele workloads de netwerkdoorvoer naar virtuele machines maximaliseert zonder dat u uw host voortdurend hoeft af te stemmen of te over-inrichten. Verbeterde prestaties verlagen de bewerkingen en onderhoudskosten terwijl de beschikbare dichtheid van uw hosts wordt verhoogd. Deze nieuwe functies zijn:

• Dynamische virtuele machine multiwachtrij (d.VMMQ)

• Ontvangst van samenvoegen van segmenten in de vSwitch

Lage extra latentie achtergrondoverdracht

Low Extra Delay Background Transport (LEDBAT) is een door latentie geoptimaliseerde provider voor netwerkcongestiebeheer die is ontworpen om automatisch bandbreedte te genereren voor gebruikers en toepassingen. LEDBAT verbruikt bandbreedte die beschikbaar is terwijl het netwerk niet in gebruik is. De technologie is bedoeld voor gebruik bij het implementeren van grote, kritieke updates in een IT-omgeving zonder dat dit van invloed is op klantgerichte services en bijbehorende bandbreedte.

Windows Timeservice

De Windows-tijdservice bevat ondersteuning voor echte UTC-compatibele leapseconden, een nieuw tijdprotocol genaamd Precision Time Protocol en end-to-end traceerbaarheid.

SDN-gateways met hoge prestaties

SDN-gateways met hoge prestaties in Windows Server 2019 verbetert de prestaties voor IPsec- en GRE-verbindingen aanzienlijk, waardoor de doorvoer met ultra hoge prestaties veel minder CPU-gebruik biedt.

Nieuwe ui implementatie en Windows Admin Center-extensie voor SDN

Met Windows Server 2019 is het nu eenvoudig om te implementeren en te beheren via een nieuwe implementatie-UI en Windows Admin Center-extensie waarmee iedereen de kracht van SDN kan benutten.

Windows-subsysteem voor Linux (WSL)

Met WSL kunnen serverbeheerders bestaande hulpprogramma's en scripts van Linux op Windows Server gebruiken. Veel verbeteringen die worden weergegeven in de opdrachtregelblog maken nu deel uit van Windows Server, waaronder achtergrondtaken, DriveFS, WSLPath en nog veel meer.

Active Directory Federation Services

Active Directory Federation Services (AD FS) voor Windows Server 2019 bevat de volgende wijzigingen.

Beveiligde aanmeldingen

Beveiligde aanmeldingen met AD FS bevatten nu de volgende updates:

• Gebruikers kunnen nu verificatieproducten van derden gebruiken als hun eerste factor zonder wachtwoorden beschikbaar te maken. In gevallen waarin de externe verificatieprovider twee factoren kan bewijzen, kan deze meervoudige verificatie (MFA) gebruiken.

• Gebruikers kunnen wachtwoorden nu als extra factor gebruiken nadat ze een optie zonder wachtwoord als eerste factor hebben gebruikt. Deze in-box ondersteuning verbetert de algehele ervaring van AD FS 2016, die vereist het downloaden van een GitHub-adapter.

• Gebruikers kunnen nu hun eigen invoegtoepassingsrisicobeoordelingsmodules bouwen om bepaalde typen aanvragen tijdens de fase voor verificatie vooraf te blokkeren. Deze functie maakt het eenvoudiger om cloudinformatie zoals identiteitsbeveiliging te gebruiken om riskante gebruikers of transacties te blokkeren. Voor meer informatie, zie Plug-ins Bouwen met het AD FS 2019 Risicobeoordelingsmodel.

• Verbetert quick-fix engineering (QFE) voor Extranet Smart Lockout (ESL) door de volgende mogelijkheden toe te voegen:

  • U kunt nu de controlemodus gebruiken terwijl deze wordt beveiligd door de klassieke extranetvergrendelingsfunctionaliteit.

  • Gebruikers kunnen nu onafhankelijke drempelwaarden voor vergrendelingen gebruiken voor bekende locaties. Met deze functie kunt u meerdere exemplaren van apps uitvoeren binnen een gemeenschappelijk serviceaccount om wachtwoorden te implementeren met minimale onderbreking.

Andere beveiligingsverbeteringen

AD FS 2019 bevat de volgende beveiligingsverbeteringen:

• Met externe PowerShell met behulp van smartcard-aanmelding kunnen gebruikers extern verbinding maken met AD FS met SmartCards door PowerShell-opdrachten uit te voeren. Gebruikers kunnen deze methode ook gebruiken om alle PowerShell-functies, inclusief cmdlets met meerdere knooppunten, te beheren.

• Met http-headeraanpassing kunnen gebruikers HTTP-headers aanpassen die zijn gemaakt tijdens AD FS-antwoorden. Aanpassing van headers bevat de volgende typen headers:

  • HSTS, waarmee u alleen AD FS-eindpunten op HTTPS-eindpunten kunt gebruiken voor een compatibele browser om af te dwingen.

  • X-frame-options, waarmee AD FS-beheerders toestaan dat specifieke vertrouwende partijen iFrames insluiten voor interactieve AD FS-aanmeldingspagina's. Gebruik deze header alleen op HTTPS-hosts.

  • Toekomstige koptekst. U kunt ook meerdere toekomstige headers configureren.

  Zie HTTP-beveiligingsantwoordheaders aanpassen met AD FS 2019voor meer informatie.

Mogelijkheden voor verificatie en beleid

AD FS 2019 bevat de volgende verificatie- en beleidsmogelijkheden:

• Gebruikers kunnen nu regels maken om op te geven welke verificatieprovider hun implementatie aanroept voor extra verificatie. Deze functie helpt bij het overstappen tussen verificatieproviders en het beveiligen van specifieke apps die speciale vereisten hebben voor extra verificatieproviders.

• Optionele beperkingen voor op TLS (Transport Layer Security) gebaseerde apparaatverificaties, zodat alleen toepassingen waarvoor TLS is vereist, deze kunnen gebruiken. Gebruikers kunnen client-TLS-apparaatverificaties beperken, zodat alleen toepassingen die op apparaten gebaseerde voorwaardelijke toegang uitvoeren, deze kunnen gebruiken. Met deze functie voorkomt u ongewenste prompts voor apparaatverificatie voor toepassingen waarvoor geen tls-gebaseerde apparaatverificatie is vereist.

• AD FS ondersteunt nu het vernieuwen van tweede-factor gegevens op basis van de actualiteit van de certificaten. Met deze functie kunnen gebruikers alleen TFA vereisen voor de eerste transactie, waarna alleen de tweede factor periodiek wordt vereist. U kunt deze functie alleen gebruiken voor toepassingen die een extra parameter in de aanvraag kunnen bieden, omdat het geen configureerbare instelling in AD FS is. Microsoft Entra ID ondersteunt deze parameter als u de instelling Mijn MFA onthouden voor X dagen configureert zodat ondersteuning voorMFA biedt ingesteld op True in de instellingen voor federatieve domeinvertrouwensrelaties met Microsoft Entra ID.

Verbeteringen voor eenmalige aanmelding

AD FS 2019 bevat ook de volgende verbeteringen voor eenmalige aanmelding (SSO):

• AD FS maakt nu gebruik van een gepagineerde UX-stroom en een gecentreerde gebruikersinterface (UI) die een soepelere inlogervaring biedt voor gebruikers. Deze wijziging weerspiegelt de functionaliteit die wordt aangeboden in Azure AD. Mogelijk moet u het logo en de achtergrondafbeeldingen van uw organisatie bijwerken voor de nieuwe gebruikersinterface.

• Er is een probleem opgelost waardoor de MFA-status niet bleef bestaan bij het gebruik van PRT-verificatie (Primary Refresh Token) op Windows 10-apparaten. Gebruikers moeten nu minder vaak om tweede factorreferenties worden gevraagd. De ervaring moet nu consistent zijn wanneer apparaatverificatie is geslaagd voor TLS- en PRT-verificatie van de client.

Ondersteuning voor het bouwen van moderne Line-Of-Business-apps

AD FS 2019 bevat de volgende functies ter ondersteuning van het bouwen van moderne LOB-apps (Line-Of-Business):

• AD FS bevat nu ondersteuning voor OAuth-apparaatstroomprofielen voor het aanmelden met apparaten zonder gebruikersinterfaceoppervlak voor een rijke aanmeldingservaring. Met deze functie kunnen gebruikers zich aanmelden op een ander apparaat. De Azure Command-Line Interface -ervaring (CLI) in Azure Stack vereist deze functionaliteit en u kunt deze ook gebruiken in andere scenario's.

• U hebt de parameter Resource niet meer nodig om AD FS te gebruiken, die voldoet aan de huidige OAUth-specificaties. Clients hoeven nu alleen de vertrouwensidentificatie van de relying party op te geven als de bereikparameter, samen met de aangevraagde machtigingen.

• U kunt CORS-headers (Cross-Origin Resource Sharing) gebruiken in AD FS-antwoorden. Met deze nieuwe koppen kunnen gebruikers toepassingen met één pagina maken waarmee JavaScript-bibliotheken aan de clientzijde de id_token handtekening kunnen valideren door een query uit te voeren op de ondertekeningssleutels uit het detectiedocument open ID Connect (OIDC) op AD FS.

• AD FS bevat ondersteuning voor Proof Key for Code Exchange (PKCE) voor beveiligde verificatiecodestroom in OAuth. Deze extra beveiligingslaag voorkomt dat kwaadwillende actoren de code kapen en deze opnieuw afspelen vanaf een andere client.

• Er is een klein probleem opgelost waardoor AD FS alleen de x5t-claim verzendt. AD FS verzendt nu ook een KID-claim om de sleutel-ID-hint voor handtekeningverificatie aan te geven.

Ondersteuningsverbeteringen

Beheerders kunnen nu AD FS configureren zodat gebruikers foutrapporten en foutopsporingslogboeken naar hen kunnen verzenden als een ZIP-bestand voor probleemoplossing. Beheerders kunnen ook een SMTP-verbinding (Simple Mail Transfer Protocol) configureren om het ZIP-bestand automatisch naar een triage-e-mailaccount te verzenden. Met een andere instelling kunnen beheerders automatisch een ticket maken voor hun ondersteuningssysteem op basis van die e-mail.

Implementatie-updates

De volgende implementatie-updates zijn nu opgenomen in AD FS 2019:

• AD FS heeft een vergelijkbare functie als de Windows Server 2016-versie die het gemakkelijker maken om Windows Server 2016-serverfarms bij te werken naar Windows Server 2019-serverfarms. Een Windows Server 2019-server die is toegevoegd aan een Windows Server 2016-serverfarm, gedraagt zich alleen als een Windows Server 2016-server totdat u klaar bent om te upgraden. Zie Upgraden naar AD FS in Windows Server 2016voor meer informatie.

SAML-updates

AD FS 2019 bevat de volgende SAML-updates (Security Assertion Markup Language):

• Er zijn problemen opgelost in geaggregeerde federatie-ondersteuning, zoals InCommon, op deze gebieden:

  • Verbeterde schaalaanpassing voor veel entiteiten in het document met samengevoegde federatiemetagegevens. Het schalen van deze entiteiten zou voorheen mislukt zijn en retourneert een ADMIN0017 foutbericht.

  • U kunt nu query's maken met behulp van de parameter ScopeGroupID door de Get-AdfsRelyingPartyTrustsGroup PowerShell-cmdlet uit te voeren.

  • Verbeterde verwerking van foutvoorwaarden voor dubbele entityID waarden.

Resourcespecificatie in Azure AD-stijl binnen de scope-parameter

Voorheen vereiste AD FS de gewenste resource en het gewenste bereik in een afzonderlijke parameter in elke verificatieaanvraag. Het volgende voorbeeld van een OAuth-aanvraag bevat bijvoorbeeld een bereikparameter:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Met AD FS op Windows Server 2019 kunt u nu de resourcewaarde doorgeven die is ingesloten in de bereikparameter. Deze wijziging is consistent met verificatie voor Microsoft Entra ID.

De bereikparameter kan nu worden ingedeeld als een door spaties gescheiden lijst die elke entiteit structureert als een resource of bereik.

Notitie

U kunt slechts één resource opgeven in de verificatieaanvraag. Als u meer dan één resource in de aanvraag opneemt, retourneert AD FS een fout en mislukt de verificatie.