Co nowego w systemie Windows Server 2019

• Dotyczy:

  ✅ Windows Server 2019

W tym artykule opisano niektóre nowe funkcje w systemie Windows Server 2019. System Windows Server 2019 jest oparty na silnych podstawach systemu Windows Server 2016 i oferuje wiele innowacji w czterech kluczowych motywach: chmura hybrydowa, zabezpieczenia, platforma aplikacji i infrastruktura Hyper-Converged (HCI).

Ogólne

Centrum administracyjne systemu Windows

Windows Admin Center to lokalnie wdrożona, oparta na przeglądarce aplikacja do zarządzania serwerami, klastrami, hiperkonwergentną infrastrukturą i komputerami z systemem Windows 10. Nie wiąże się to z dodatkowymi kosztami poza systemem Windows i jest gotowy do użycia w środowisku produkcyjnym.

Program Windows Admin Center można zainstalować w systemach Windows Server 2019 i Windows 10 oraz starszych wersjach systemów Windows i Windows Server oraz zarządzać serwerami i klastrami z systemem Windows Server 2008 R2 lub nowszym.

Aby uzyskać więcej informacji, zobacz Windows Admin Center.

Doświadczenie pulpitu

Ponieważ system Windows Server 2019 jest wersją Long-Term Servicing Channel (LTSC), zawiera Środowisko pulpitu. Wersje Semi-Annual Channel (SAC) są zaprojektowane bez środowiska pulpitu; to wyłącznie wydania obrazów kontenerowych Server Core i Nano Server. Podobnie jak w przypadku systemu Windows Server 2016 podczas instalacji systemu operacyjnego można wybrać między instalacjami Server Core lub instalacjami serwera ze środowiskiem pulpitu.

Szczegółowe informacje o systemie

System Insights to nowa funkcja dostępna w systemie Windows Server 2019, która zapewnia lokalne możliwości analizy predykcyjnej natywnie dla systemu Windows Server. Te możliwości predykcyjne, z których każda jest wspierana przez model uczenia maszynowego, lokalnie analizują dane systemowe systemu Windows Server, takie jak liczniki wydajności i zdarzenia. Usługa System Insights pozwala zrozumieć, jak działają serwery i pomaga zmniejszyć koszty operacyjne związane z reaktywnym zarządzaniem problemami we wdrożeniach systemu Windows Server.

Chmura hybrydowa

Funkcja zgodności aplikacji Server Core na żądanie

Funkcja zgodności aplikacji Server Core na żądanie (FOD) znacząco ulepsza zgodność aplikacji przez uwzględnienie wybranych plików binarnych i składników z systemu Windows Server ze środowiskiem Desktop Experience. Serwer Core jest utrzymywany w minimalnej wersji poprzez niedodawanie środowiska graficznego Windows Server Desktop Experience, co zwiększa funkcjonalność i zgodność.

Ta opcjonalna funkcja na żądanie jest dostępna w osobnym standardzie ISO i można ją dodać tylko do instalacji i obrazów systemu Windows Server Core przy użyciu narzędzia DISM.

Rola serwera transportu usług wdrażania systemu Windows (WDS) dodana do serwera Server Core

Serwer transportu zawiera tylko podstawowe części sieciowe usługi WDS. Teraz możesz używać Server Core z rolą Serwera transportu, aby utworzyć przestrzenie nazw dla transmisji wielokrotnej, które przesyłają dane (w tym obrazy systemu operacyjnego) z samodzielnego serwera. Można go również użyć, jeśli chcesz mieć serwer PXE, który umożliwia klientom rozruch środowiska PXE i pobieranie własnej niestandardowej aplikacji instalacyjnej.

Integracja usług pulpitu zdalnego z usługą Azure AD

Dzięki integracji usługi Azure AD można używać zasad dostępu warunkowego, uwierzytelniania wieloskładnikowego, zintegrowanego uwierzytelniania z innymi aplikacjami SaaS przy użyciu usługi Azure AD i wiele innych. Aby uzyskać więcej informacji, zobacz , jak zintegrować usługi Azure AD Domain Services z wdrożeniem usług pulpitu zdalnego.

Nawiązywanie kontaktów

Wprowadziliśmy kilka ulepszeń stosu sieci podstawowej, takich jak TCP Fast Open (TFO), Automatyczne dostrajanie okien odbierania, IPv6 i inne. Aby uzyskać więcej informacji, zobacz wpis dotyczący poprawy funkcji stosu sieciowego podstawowego Core Network Stack.

Dynamiczne usługi vRSS i VMMQ

W przeszłości kolejki maszyn wirtualnych i wielokolejki maszyn wirtualnych (VMMQs) umożliwiały znacznie wyższą przepływność do poszczególnych maszyn wirtualnych. Stało się to, gdy przepływność sieci po raz pierwszy osiągnęła poziom 10 GbE i więcej. Niestety planowanie, tworzenie podstaw, dostrajanie i monitorowanie wymagane do sukcesu stało się znacznie większym przedsięwzięciem niż przewidywali administratorzy IT.

System Windows Server 2019 ulepsza te optymalizacje przez dynamiczne rozpowszechnianie i dostrajanie przetwarzania obciążeń sieciowych zgodnie z potrzebami. System Windows Server 2019 zapewnia szczytową wydajność i eliminuje obciążenie konfiguracji dla administratorów IT. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące sieci hosta dla usługi Azure Local.

Bezpieczeństwo

Zaawansowana ochrona przed zagrożeniami w usłudze Windows Defender (ATP)

Głębokie czujniki platformy i działania odpowiedzi usługi ATP wykrywają ataki na poziomie pamięci i jądra oraz reagują, blokując złośliwe pliki i zatrzymując złośliwe procesy.

• Aby uzyskać więcej informacji na temat usługi Windows Defender ATP, zobacz Omówienie możliwości usługi Windows Defender ATP.

• Aby uzyskać więcej informacji na temat dołączania serwerów, zobacz Dołączanie serwerów do usługi Windows Defender ATP.

windows Defender ATP Exploit Guard to nowy zestaw funkcji zapobiegania włamaniom do hosta, które umożliwiają zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności. Funkcja Windows Defender Exploit Guard została zaprojektowana tak, aby zablokować urządzenie przed różnymi wektorami ataków i blokować zachowania często stosowane w atakach złośliwego oprogramowania. Składniki to:

• zmniejszania obszaru ataków (ASR) to zestaw kontrolek, które przedsiębiorstwa mogą umożliwić zapobieganie złośliwemu oprogramowaniu na komputerze przez blokowanie podejrzanych złośliwych plików. Na przykład pliki pakietu Office, skrypty, ruch boczny, zachowanie oprogramowania wymuszającego okup i zagrożenia oparte na wiadomościach e-mail.

• ochrona sieci zabezpiecza punkt końcowy przed zagrożeniami związanymi z siecią, blokując wszystkie procesy wychodzące z urządzenia do niezaufanych hostów/adresów IP za pomocą filtru SmartScreen w usłudze Windows Defender.

• kontrolowany dostęp do folderów chroni poufne dane przed oprogramowaniem wymuszającym okup, blokując niezaufanym procesom dostęp do chronionych folderów.

• Exploit Protection to zestaw środków zaradczych dla luk w zabezpieczeniach (zastępujących EMET), które można łatwo skonfigurować do ochrony systemu i aplikacji.

• Windows Defender Application Control (znany również jako zasady integralności kodu (CI)) został wydany w Windows Server 2016. Ułatwiliśmy wdrażanie, uwzględniając domyślne zasady ciągłej integracji. Domyślna polityka zezwala na wszystkie wbudowane pliki systemowe Windows oraz aplikacje firmy Microsoft, takie jak SQL Server, i blokuje znane pliki wykonywalne, które mogą omijać integralność kodu.

Zabezpieczenia z siecią zdefiniowaną programowo (SDN)

Bezpieczeństwo SDN oferuje wiele funkcji zwiększających zaufanie klientów do uruchamiania obciążeń, zarówno lokalnie, jak i w chmurze jako dostawca usług.

Te ulepszenia zabezpieczeń są zintegrowane z kompleksową platformą SDN wprowadzoną w systemie Windows Server 2016.

Aby uzyskać pełną listę nowości w sieci SDN, zobacz Co nowego w sieci SDN dla systemu Windows Server 2019.

Ulepszenia chronionych maszyn wirtualnych

Wprowadziliśmy następujące ulepszenia chronionych maszyn wirtualnych.

Ulepszenia biura oddziału

Teraz można uruchamiać maszyny wirtualne z osłoną na maszynach z sporadycznymi połączeniami z usługą Ochrona hosta przy użyciu nowej rezerwowej usługi HGS i trybu offline funkcji. Rezerwowa usługa HGS umożliwia skonfigurowanie drugiego zestawu adresów URL dla Hyper-V, aby spróbować, jeśli nie może nawiązać połączenia z podstawowym serwerem usługi HGS.

Nawet jeśli nie możesz nawiązać połączenia z usługą HGS, tryb offline umożliwia kontynuowanie uruchamiania chronionych maszyn wirtualnych. Tryb offline umożliwia również uruchamianie maszyn wirtualnych, o ile maszyna wirtualna została uruchomiona pomyślnie raz, a konfiguracja zabezpieczeń hosta nie uległa zmianie.

Ulepszenia rozwiązywania problemów

Ułatwiliśmy również rozwiązywanie problemów z maszynami wirtualnymi z osłoną, włączając obsługę trybu sesji rozszerzonej vmConnect i programu PowerShell Direct. Te narzędzia są przydatne w przypadku utraty łączności sieciowej z maszyną wirtualną i konieczności zaktualizowania jej konfiguracji w celu przywrócenia dostępu. Aby dowiedzieć się więcej, zobacz Ochroniona infrastruktura i chronione maszyny wirtualne.

Nie musisz konfigurować tych funkcji, ponieważ stają się one automatycznie dostępne po ustawieniu chronionej maszyny wirtualnej na hoście Hyper-V z systemem Windows Server w wersji 1803 lub nowszej.

Obsługa systemu Linux

W przypadku uruchamiania środowisk mieszanego systemu operacyjnego system Windows Server 2019 obsługuje teraz uruchamianie systemów Ubuntu, Red Hat Enterprise Linux i SUSE Linux Enterprise Server na maszynach wirtualnych z osłoną.

Protokół HTTP/2 dla szybszej i bezpieczniejszej sieci Web

• Ulepszono łączenie połączeń w celu zapewnienia nieprzerwanego i prawidłowo zaszyfrowanego środowiska przeglądania.

• Uaktualniono negocjacje zestawu szyfrowania po stronie serwera HTTP/2 w celu automatycznego ograniczania błędów połączeń i łatwości wdrażania.

• Zmieniono domyślny mechanizm kontroli przeciążenia TCP na Cubic, aby zapewnić większą przepływność.

Zaszyfrowane sieci

Szyfrowanie sieci wirtualnej szyfruje ruch sieciowy w sieci wirtualnej między maszynami wirtualnymi w podsieciach, które mają etykietę z włączoną opcją szyfrowania. Szyfrowane sieci używają również usługi Datagram Transport Layer Security (DTLS) w podsieci wirtualnej do szyfrowania pakietów. Usługa DTLS chroni dane przed podsłuchiwaniem, manipulowaniem i fałszowaniem przez wszystkich użytkowników z dostępem do sieci fizycznej.

Aby uzyskać więcej informacji, zobacz Encrypted networks.

Inspekcja zapory

Inspekcja zapory to nowa funkcja zapory SDN, która rejestruje każdy przepływ przetwarzany przez reguły zapory SDN i listy kontroli dostępu (ACL), które mają włączone rejestrowanie.

Peering sieci wirtualnych

Peering sieci wirtualnych umożliwia bezproblemowe łączenie dwóch sieci wirtualnych. Po sparowaniu sieci wirtualne są wyświetlane w monitoringu jako jedna.

Metrowanie ruchu wychodzącego

Pomiary ruchu wychodzącego oferują liczniki zużycia dla transferów danych wychodzących. Kontroler sieci używa tej funkcji do przechowywania listy dozwolonych wszystkich zakresów adresów IP używanych w sieci wirtualnej SDN. Listy te uwzględniają wszelkie pakiety kierowane do miejsc docelowych, które nie są objęte wymienionymi zakresami adresów IP, i są rozliczane jako wychodzące transfery danych.

Przechowywanie

Poniżej przedstawiono niektóre zmiany wprowadzone w usłudze Storage w systemie Windows Server 2019. Przechowywanie jest również wpływane przez aktualizacje deduplikacji danych, szczególnie poprzez aktualizację interfejsu API DataPort dla zoptymalizowanego ruchu przychodzącego lub wychodzącego do deduplikowanych woluminów.

Menedżer zasobów serwera plików

Teraz można uniemożliwić usłudze Menedżera zasobów serwera plików tworzenie dziennika zmian (nazywanego również dziennikiem USN) na wszystkich woluminach po uruchomieniu usługi. Zapobieganie tworzeniu ścieżki zmiany może zaoszczędzić miejsce na każdym woluminie, ale wyłączy klasyfikację plików w czasie rzeczywistym. Aby uzyskać więcej informacji, zobacz Omówienie Menedżera zasobów serwera plików.

SMB (Małe i Średnie Przedsiębiorstwa)

• System Windows Server nie instaluje już klienta i serwera SMB1 domyślnie. Ponadto możliwość uwierzytelniania jako gościa w usłudze SMB2 i nowszych jest domyślnie wyłączona. Aby uzyskać więcej informacji, zobacz: W systemie Windows 10 w wersji 1709 oraz Windows Server w wersji 1709 i nowszychSMBv1 nie jest instalowany domyślnie.

• Teraz można wyłączyć oplocks w trybie SMB2+ dla starszych aplikacji. Możesz również wymagać podpisywania lub szyfrowania dla każdego połączenia od klienta. Aby uzyskać więcej informacji, zobacz modułU SMBShare programu PowerShell.

Storage Migration Service

Usługa Storage Migration Service ułatwia migrowanie serwerów do nowszej wersji systemu Windows Server. To graficzne narzędzie inwentaryzuje dane na serwerach, a następnie przesyła dane i konfigurację do nowszych serwerów. Usługa Storage Migration Service może również przenieść tożsamości starych serwerów na nowe serwery, aby użytkownicy nie musieli ponownie konfigurować swoich profilów i aplikacji. Aby uzyskać więcej informacji, zobacz Storage Migration Service.

Program Windows Admin Center w wersji 1910 dodał możliwość wdrażania maszyn wirtualnych platformy Azure. Ta aktualizacja integruje wdrożenie maszyny wirtualnej platformy Azure z usługą Storage Migration Service. Aby uzyskać więcej informacji, zobacz migracji maszyn wirtualnych platformy Azure.

Dostęp do następujących funkcji po wydaniu do produkcji (RTM) można również uzyskać podczas uruchamiania koordynatora serwera migracji magazynu w systemie Windows Server 2019 z zainstalowanym KB5001384 lub w systemie Windows Server 2022:

• Migrowanie lokalnych użytkowników i grup do nowego serwera.
• Migrowanie magazynu z klastrów awaryjnych, migracja do klastrów awaryjnych oraz migracja między autonomicznymi serwerami a klastrami awaryjnymi.
• Migrowanie magazynowania z serwera z systemem Linux korzystającego z protokołu Samba.
• Synchronizacja migrowanych udziałów na platformę Azure jest łatwiejsza przy użyciu usługi Azure File Sync.
• Migrowanie do nowych sieci, takich jak platforma Azure.
• Migruj serwery NetApp Common Internet File System (CIFS) z macierzy usługi NetApp Federated Authentication Service (FAS) do serwerów i klastrów systemu Windows.

Storage Spaces Direct

Oto, co nowego w Storage Spaces Direct. Aby uzyskać więcej informacji na temat pozyskiwania zweryfikowanych systemów Storage Spaces Direct, zobacz Omówienie rozwiązania lokalnego platformy Azure.

• Deduplikacja i kompresja woluminów systemu plików ReFS. Magazyn fragmentów o zmiennym rozmiarze z opcjonalną kompresją maksymalizuje efektywność oszczędności, podczas gdy architektura wielowątkowego przetwarzania końcowego minimalizuje wpływ na wydajność. Ta funkcja obsługuje woluminy do 64 TB i deduplikuje pierwsze 4 MB każdego pliku.

• Natywna obsługa pamięci trwałej, która umożliwia zarządzanie pamięcią trwałą, podobnie jak każdy inny dysk w programie PowerShell lub w Centrum administracyjnym systemu Windows. Ta funkcja obsługuje moduły Intel Optane DC PM i NVDIMM-N pamięci trwałej.

• Zagnieżdżona odporność dla infrastruktury hiperkonwergentnej z dwoma węzłami na krawędzi. Dzięki nowej opcji odporności oprogramowania opartej na macierzy RAID 5+1 można teraz przetrwać dwa awarie sprzętu jednocześnie. Klaster dwuwęzłowy Storage Spaces Direct zapewnia nieprzerwany dostęp do magazynu dla aplikacji i maszyn wirtualnych, nawet jeśli jeden węzeł serwera ulegnie awarii, a drugi węzeł ma awarię dysku.

• Klastry dwuserwerowe mogą teraz używać dysku flash USB jako świadka. Jeśli serwer ulegnie awarii, a następnie utworzy kopię zapasową, klaster dysków USB wie, który serwer ma najwięcej up-to-date danych. Aby uzyskać więcej informacji, zobacz nasz wpis w blogu dotyczący Storage Spaces Direct i Konfigurowanie spójności udziału plików dla klastra trybu failover.

• Usługa Windows Admin Center obsługuje pulpit nawigacyjny, który umożliwia zarządzanie bezpośrednimi miejscami do magazynowania i monitorowanie ich. Możesz monitorować operacje we/wy na sekundę (IOPS) i opóźnienia operacji we/wy (IO latency) od poziomu ogólnego klastra aż do poszczególnych dysków SSD lub HDD bez dodatkowych kosztów. Aby dowiedzieć się więcej, zobacz Co to jest Centrum administracyjne systemu Windows?.

• Historia wydajności to nowa funkcja, która zapewnia bezproblemowy wgląd w wykorzystanie zasobów i pomiary. Aby dowiedzieć się więcej, zobacz historię wydajności funkcji Storage Spaces Direct.

• Skalowanie do 4 PB na klaster przy użyciu pojemności do 64 woluminów o rozmiarze do 64 TB. Można również połączyć wiele klastrów w zestaw klastrów w celu jeszcze większej skali w ramach jednej przestrzeni nazw magazynu.

• Korzystając z parzystości przyspieszonej przez mirroring, można utworzyć woluminy Storage Spaces Direct, które łączą strategie mirroringu i parzystości, podobnie jak w połączeniu RAID-1 i RAID-5/6. Parzystość przyspieszana przez lustrzane kopiowanie jest teraz dwa razy szybsza niż w Windows Server 2016.

• Automatyczne wykrywanie anormalnych opóźnień dysków identyfikuje wolne dyski w PowerShell i Windows Admin Center ze stanem "Nieprawidłowe opóźnienie".

• Ręcznie ogranicz alokację woluminów, aby zwiększyć odporność na uszkodzenia. Aby uzyskać więcej informacji, zobacz określ granice alokacji woluminów w Storage Spaces Direct.

Replika magazynu

Oto co nowego w Storage Replica.

• Replika magazynowa jest teraz dostępna w systemach Windows Server 2019 Standard Edition i Windows Server 2019 Datacenter Edition. W wersji Standard Edition można replikować tylko jeden wolumin o maksymalnej pojemności 2 TB.

• Test pracy w trybie failover to nowa funkcja, która umożliwia tymczasowe instalowanie migawki replikowanego magazynu na serwerze docelowym na potrzeby testowania lub tworzenia kopii zapasowych. Aby uzyskać więcej informacji, zobacz Często Zadawane Pytania dotyczące Storage Replica.

• Ulepszenia wydajności dzienników replikacji magazynu, takie jak zwiększona przepustowość i zmniejszone opóźnienie replikacji w klastrach z pamięcią typu all-flash i klastrach Storage Spaces Direct, które replikują się między sobą.

• Obsługa programu Windows Admin Center, w tym graficzne zarządzanie replikacją przy użyciu Menedżera serwera na potrzeby replikacji serwer-serwer, klaster-klaster i replikacja klastra rozproszonego.

Deduplikacja danych

System Windows Server 2019 obsługuje teraz system plików ReFS (Resilient File System). System plików ReFS umożliwia przechowywanie maksymalnie dziesięciokrotnie większej ilości danych na tym samym woluminie przy użyciu deduplikacji i kompresji systemu plików ReFS. Magazyn fragmentów o zmiennym rozmiarze jest wyposażony w opcjonalną funkcję kompresji, która może zmaksymalizować stopy oszczędności, podczas gdy architektura wielowątkowa przetwarzania końcowego utrzymuje minimalny wpływ na wydajność. System plików ReFS obsługuje woluminy do 64 TB i deduplikuje pierwsze 4 TB każdego pliku. Aby dowiedzieć się więcej, zobacz Jak włączyć deduplikację i kompresję w centrum administracyjnym systemu Windows, aby zapoznać się z szybkim pokazem wideo.

Klaster trybu failover

Dodaliśmy następujące funkcje do klastrowania trybu failover w systemie Windows Server 2019:

• Zestawy klastrowe grupują wiele klastrów w luźno powiązaną grupę klastrów przełączania awaryjnego, które występują w trzech typach: obliczeniowe, magazynowe oraz hiperkonwergentne. To grupowanie zwiększa liczbę serwerów w jednym rozwiązaniu definiowanym programowo centrum danych (SDDC), wykraczając poza obecne limity klastra. Za pomocą zestawów klastrów można przenosić maszyny wirtualne online między klastrami w zestawie klastrów. Aby uzyskać więcej informacji, zobacz Wdrażanie zestawu klastrów.

• Klastry są teraz domyślnie obsługujące platformę Azure. Klastry obsługujące platformę Azure automatycznie wykrywają, kiedy są uruchomione na maszynach wirtualnych IaaS platformy Azure, a następnie optymalizują konfigurację, aby osiągnąć najwyższy poziom dostępności. Te optymalizacje obejmują proaktywne przechodzenie w tryb failover i rejestrowanie zdarzeń planowanej konserwacji platformy Azure. Optymalizacja automatyczna upraszcza wdrażanie, usuwając konieczność skonfigurowania modułu równoważenia obciążenia przy użyciu nazwy rozproszonej sieci dla nazwy klastra.

• Migracja międzydomenowa klastrów umożliwia klastrom przełączeniowym dynamiczne przechodzenie z jednej domeny Active Directory do innej, co upraszcza konsolidację domen i umożliwia partnerom sprzętowym tworzenie klastrów oraz ich późniejsze dołączanie do domeny klienta.

• Funkcja monitora USB umożliwia używanie dysku USB podłączonego do przełącznika sieciowego jako monitora w określaniu kworum dla klastra. Ta funkcja obejmuje rozszerzone wsparcie mechanizmu udziału plików dla dowolnego urządzenia zgodnego z protokołem SMB2.

• Pamięć podręczna CSV jest teraz domyślnie włączona, aby zwiększyć wydajność maszyny wirtualnej. Usługa MSDTC obsługuje teraz Wspólne Woluminy Klastra, aby umożliwić wdrażanie obciążeń MSDTC na Storage Spaces Direct, tak jak SQL Server. Ulepszona logika do wykrywania węzłów odizolowanych z funkcją samonaprawy, aby przywrócić węzły do członkostwa w klastrze. Ulepszone wykrywanie tras sieciowych klastra oraz funkcja samonaprawy.

• Aktualizacja z funkcją świadomości klastra (CAU) jest teraz zintegrowana i uwzględnia Storage Spaces Direct, weryfikując i zapewniając, że ponowna synchronizacja danych zostanie ukończona na każdym węźle. Aktualizacja z rozpoznawaniem klastra sprawdza aktualizacje w celu inteligentnego ponownego uruchamiania tylko w razie potrzeby. Ta funkcja umożliwia ponowne uruchomienie wszystkich serwerów w klastrze na potrzeby planowanej konserwacji.

• Teraz można używać świadków zasobów plikowych w następujących scenariuszach:

  • Brak lub słaby dostęp do Internetu z powodu odległej lokalizacji, co uniemożliwia korzystanie ze świadka w chmurze.

  • Brak udostępnionych dysków dla świadka dyskowego. Na przykład konfiguracja, która nie korzysta z dysków udostępnionych, takich jak konfiguracja hiperkonwergentna Storage Spaces Direct, SQL Server Always On Availability Groups (AG) lub grupy dostępności bazy danych programu Exchange (DAG).

  • Brak połączenia kontrolera domeny z powodu klastra stojącego za strefą DMZ.

  • Grupa robocza lub klaster między domenami, który nie ma obiektu nazwy klastra Active Directory (CNO). System Windows Server blokuje teraz również używanie udziału przestrzeni nazw systemu plików DFS jako lokalizacji. Dodanie świadka udziału plików do udziału DFS może powodować problemy ze stabilnością klastra, a taka konfiguracja nigdy nie była obsługiwana. Dodaliśmy logikę do wykrywania, czy udział używa przestrzeni nazw DFS. Jeśli przestrzenie nazw DFS zostaną wykryte, Menedżer klastra trybu awaryjnego blokuje tworzenie świadka i wyświetla komunikat o błędzie informujący, że ta konfiguracja nie jest obsługiwana.

• Zaimplementowano funkcję wzmacniania zabezpieczeń klastra, która zwiększa bezpieczeństwo komunikacji wewnętrznej klastra za pośrednictwem protokołu Server Message Block (SMB) dla Współdzielonych Woluminów Klastra i technologii Storage Spaces Direct. Ta funkcja wykorzystuje certyfikaty, aby zapewnić najbezpieczniejszą platformę. Dzięki temu klastry trybu failover mogą teraz działać bez żadnych zależności od protokołu NTLM, co umożliwia ustanowienie punktów odniesienia zabezpieczeń.

• Klastry przełączania awaryjnego nie używają już uwierzytelniania NTLM. Zamiast tego klastry systemu Windows Server 2019 korzystają teraz wyłącznie z uwierzytelniania Kerberos i opartego na certyfikatach. Użytkownicy nie muszą wprowadzać żadnych zmian ani wdrażać żadnych zmian, aby skorzystać z tego rozszerzenia zabezpieczeń. Ta zmiana umożliwia również wdrażanie klastrów trybu failover w środowiskach, w których protokół NTLM jest wyłączony.

Platforma aplikacji

Kontenery systemu Linux w systemie Windows

Teraz można uruchamiać kontenery oparte na systemach Windows i Linux na tym samym hoście kontenera przy użyciu tego samego demona platformy Docker. Teraz możesz mieć heterogeniczne środowisko hosta kontenera zapewniające elastyczność deweloperom aplikacji.

Wbudowana obsługa platformy Kubernetes

Windows Server 2019 kontynuuje rozwijanie funkcji przetwarzania, sieci i magazynowania z wersji Semi-Annual Channel, które są potrzebne do wsparcia Kubernetes na Windows. Więcej szczegółów można znaleźć w nadchodzących wersjach platformy Kubernetes.

• Sieci Kontenerów w Windows Server 2019 znacznie zwiększają funkcjonalność Kubernetes w systemie Windows. Ulepszyliśmy odporność sieci platformy i obsługę wtyczek sieci kontenerów.

• Wdrożone obciążenia na platformie Kubernetes mogą używać zabezpieczeń sieci w celu ochrony zarówno usług systemu Linux, jak i Windows przy użyciu narzędzi osadzonych.

Ulepszenia kontenera

• Ulepszona zintegrowana tożsamość

  Ułatwiliśmy zintegrowane uwierzytelnianie systemu Windows w kontenerach i sprawiliśmy, że jest ono bardziej niezawodne, eliminując kilka ograniczeń z wcześniejszych wersji systemu Windows Server.

• lepsza zgodność aplikacji

  Konteneryzowanie aplikacji działających w systemie Windows stało się łatwiejsze: zwiększono kompatybilność aplikacji dla istniejącego obrazu WindowsServerCore. W przypadku aplikacji z większą liczbą zależności API, już teraz istnieje trzeci obraz podstawowy: windows.

• zmniejszony rozmiar i wyższa wydajność

  Rozmiary pobierania obrazu kontenera podstawowego, rozmiar dysku i czas uruchamiania zostały ulepszone w celu przyspieszenia przepływów pracy kontenera.

• środowisko zarządzania przy użyciu programu Windows Admin Center (wersja zapoznawcza)

  Ułatwiliśmy sprawdzenie, które kontenery są uruchomione na komputerze i zarządzać poszczególnymi kontenerami przy użyciu nowego rozszerzenia dla centrum administracyjnego systemu Windows. Wyszukaj rozszerzenie "Containers" w publicznym źródle Windows Admin Center.

Ulepszenia mocy obliczeniowej

• kolejność uruchamiania maszyny wirtualnej kolejność uruchamiania maszyny wirtualnej została również ulepszona dzięki rozpoznawaniu systemu operacyjnego i aplikacji, co zwiększa możliwości wyzwalaczy, gdy maszyna wirtualna zostanie uznana za uruchomioną przed rozpoczęciem następnego.

• Obsługa pamięci klasy magazynu dla maszyn wirtualnych umożliwia tworzenie woluminów bezpośredniego dostępu w formacie NTFS na nieulotnych modułach DIMM i udostępnionych maszynom wirtualnym Hyper-V. Hyper-V maszyny wirtualne mogą teraz korzystać z korzyści z wydajności niskich opóźnień urządzeń pamięci klasy pamięci masowej.

• pl-PL: Obsługa pamięci trwałej dla maszyn wirtualnych Hyper-V Aby korzystać z wysokiej przepływności i małych opóźnień pamięci trwałej (nazywanej również pamięcią klasy magazynu) w maszynach wirtualnych, można teraz przekładać ją bezpośrednio do maszyn wirtualnych. Pamięć trwała może pomóc drastycznie zmniejszyć opóźnienie transakcji bazy danych lub skrócić czas odzyskiwania w przypadku małych opóźnień baz danych w pamięci w przypadku awarii.

• Container Storage — trwałe woluminy danych Kontenery aplikacji mają teraz trwały dostęp do woluminów. Aby uzyskać więcej informacji, zobacz obsługa magazynu kontenerów z udostępnionymi woluminami klastra (CSV), bezpośrednie miejsca do magazynowania (S2D), globalne mapowanie SMB.

• Format pliku konfiguracji maszyny wirtualnej (zaktualizowany) Plik stanu gościa maszyny wirtualnej (.vmgs) został dodany dla maszyn wirtualnych z konfiguracją w wersji 8.2 lub nowszej. Plik stanu gościa maszyny wirtualnej zawiera informacje o stanie urządzenia, które były wcześniej częścią pliku stanu środowiska uruchomieniowego maszyny wirtualnej.

Zaszyfrowane sieci

Encrypted Networks — szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu sieciowego między maszynami wirtualnymi komunikującymi się ze sobą w podsieciach oznaczonych jako Encryption Enabled. Korzysta również z usługi Datagram Transport Layer Security (DTLS) w podsieci wirtualnej do szyfrowania pakietów. Usługa DTLS chroni przed podsłuchiwaniem, manipulowaniem i fałszowaniem przez wszystkich użytkowników z dostępem do sieci fizycznej.

Ulepszenia wydajności sieci dla obciążeń wirtualnych

Ulepszenia wydajności sieci dla obciążeń wirtualnych maksymalizują przepływność sieci dla maszyn wirtualnych bez konieczności ciągłego dostosowywania lub nadmiernego przydzielania zasobów hosta. Zwiększona wydajność obniża koszty operacji i konserwacji przy jednoczesnym zwiększeniu dostępnej gęstości hostów. Te nowe funkcje to:

• Dynamiczna wielokolejkowa maszyna wirtualna (d.VMMQ)

• Scalanie segmentów odbierania w przełączniku wirtualnym

Transport w tle o niskim dodatkowym opóźnieniu

Transport w tle o małych opóźnieniach (LEDBAT) to zoptymalizowany pod kątem opóźnienia dostawca kontroli przeciążenia sieci, który umożliwia automatyczne uzyskiwanie przepustowości użytkownikom i aplikacjom. Technologia LEDBAT zużywa przepustowość dostępną, gdy sieć nie jest używana. Technologia ta jest przeznaczona do użycia podczas wdrażania dużych, krytycznych aktualizacji w środowisku IT bez wpływu na usługi dostępne dla klientów i skojarzonej przepustowości.

Usługa czasowa systemu Windows

Usługa czasowa systemu Windows obejmuje obsługę sekundy przestępnej zgodnej ze standardem UTC, nowy protokół czasu o nazwie Precision Time Protocol i kompleksową możliwość śledzenia.

Bramy SDN o wysokiej wydajności

bram SDN o wysokiej wydajności w systemie Windows Server 2019 znacznie poprawia wydajność połączeń IPsec i GRE, zapewniając bardzo wysoką wydajność przy znacznie mniejszym wykorzystaniu procesora CPU.

Nowy interfejs użytkownika do wdrożenia i rozszerzenie Windows Admin Center dla sieci definiowanych programowo (SDN)

Teraz, z systemem Windows Server 2019, można łatwo wdrożyć i zarządzać poprzez nowy interfejs użytkownika wdrożenia i rozszerzenie Windows Admin Center, które umożliwiają wszystkim użytkownikom wykorzystanie możliwości sieci definiowanej programowo (SDN).

Podsystem Windows dla systemu Linux (WSL)

Program WSL umożliwia administratorom serwerów korzystanie z istniejących narzędzi i skryptów z systemu Linux w systemie Windows Server. Wiele ulepszeń zaprezentowanych w blogu wiersza polecenia są teraz częścią systemu Windows Server, w tym zadań w tle, DriveFS, WSLPath i wiele innych.

Usługi Federacyjne Active Directory

Usługi Active Directory Federation Services (AD FS) dla systemu Windows Server 2019 obejmują następujące zmiany.

Chronione logowania

Chronione logowania za pomocą usług AD FS zawierają teraz następujące aktualizacje:

• Użytkownicy mogą teraz używać produktów uwierzytelniania innych firm jako pierwszego czynnika bez ujawniania haseł. W przypadkach, gdy zewnętrzny dostawca uwierzytelniania może udowodnić dwa czynniki, może użyć uwierzytelniania wieloskładnikowego (MFA).

• Użytkownicy mogą teraz używać haseł jako dodatkowego czynnika po użyciu opcji niezwiązanej z hasłem jako pierwszego czynnika. To wbudowane wsparcie poprawia ogólne doświadczenie z usługami AD FS 2016, które wymagały pobrania adaptera GitHub.

• Użytkownicy mogą teraz tworzyć własne moduły oceny ryzyka wtyczki, aby blokować niektóre typy żądań podczas etapu wstępnego uwierzytelniania. Ta funkcja ułatwia korzystanie z analizy w chmurze, takiej jak ochrona tożsamości, w celu blokowania ryzykownych użytkowników lub transakcji. Aby uzyskać więcej informacji, zobacz Budowanie wtyczek z modelem oceny ryzyka AD FS 2019.

• Usprawnia inżynierię szybkiej poprawki (QFE) ekstranetu smart lockout (ESL), dodając następujące możliwości:

  • Teraz możesz używać trybu inspekcji, który jest chroniony przez klasyczną funkcję blokady ekstranetu.

  • Użytkownicy mogą teraz używać niezależnych progów blokady dla znanych lokalizacji. Ta funkcja umożliwia uruchamianie wielu instancji aplikacji w ramach wspólnego konta usługi, aby zmieniać hasła przy minimalnych zakłóceniach.

Inne ulepszenia zabezpieczeń

Usługi AD FS 2019 obejmują następujące ulepszenia zabezpieczeń:

• Zdalny program PowerShell przy użyciu logowania za pomocą usługi SmartCard umożliwia użytkownikom zdalne łączenie się z usługami AD FS za pomocą kart inteligentnych, uruchamiając polecenia programu PowerShell. Użytkownicy mogą również użyć tej metody do zarządzania wszystkimi funkcjami programu PowerShell, w tym poleceniami cmdlet z wieloma węzłami.

• Dostosowywanie nagłówka HTTP umożliwia użytkownikom dostosowywanie nagłówków HTTP utworzonych podczas odpowiedzi usług AD FS. Dostosowywanie nagłówka obejmuje następujące typy nagłówków:

  • HSTS, który wymusza używanie punktów końcowych AD FS wyłącznie na punktach końcowych HTTPS przez zgodne przeglądarki.

  • X-frame-options, które pozwalają administratorom usług AD FS na zezwalanie stronom zależnym na osadzanie elementów iFrame dla interaktywnych stron logowania usług AD FS. Tego nagłówka należy używać tylko na hostach HTTPS.

  • Przyszły nagłówek. Można również skonfigurować wiele przyszłych nagłówków.

  Aby uzyskać więcej informacji, zobacz Dostosowywanie nagłówków odpowiedzi zabezpieczeń HTTP za pomocą usług AD FS 2019.

Możliwości uwierzytelniania i polityki

Usługi AD FS 2019 obejmują następujące możliwości uwierzytelniania i zasad:

• Użytkownicy mogą teraz tworzyć reguły, aby określić dostawcę uwierzytelniania, którego wdrożenie wywołuje na potrzeby dodatkowego uwierzytelniania. Ta funkcja ułatwia przejście między dostawcami uwierzytelniania a zabezpieczeniem określonych aplikacji, które mają specjalne wymagania dla dodatkowych dostawców uwierzytelniania.

• Opcjonalne ograniczenia dotyczące uwierzytelniania urządzeń opartych na protokole Transport Layer Security (TLS), dzięki czemu mogą z nich korzystać tylko aplikacje wymagające protokołu TLS. Użytkownicy mogą ograniczyć uwierzytelnianie urządzeń oparte na protokole TLS klienta, aby tylko aplikacje wykonujące dostęp warunkowy oparty na urządzeniach mogły z nich korzystać. Ta funkcja uniemożliwia niepożądane monity dotyczące uwierzytelniania urządzenia dla aplikacji, które nie wymagają uwierzytelniania urządzenia opartego na protokole TLS.

• Usługi AD FS obsługują teraz odnawianie poświadczeń drugiego czynnika na podstawie świeżości tych poświadczeń. Ta funkcja umożliwia użytkownikom wymaganie TFA tylko dla pierwszej transakcji, a następnie wymaganie drugiego czynnika okresowo. Tej funkcji można używać tylko w aplikacjach, które mogą udostępnić dodatkowy parametr w żądaniu, ponieważ nie jest to konfigurowalne ustawienie w usługach AD FS. Microsoft Entra ID obsługuje ten parametr, jeśli skonfigurujesz ustawienie Zapamiętaj moją MFA dla dni X, aby supportsMFA była ustawiona na True w ustawieniach zaufania domeny federacyjnej Microsoft Entra ID.

Ulepszenia logowania jednokrotnego

Usługi AD FS 2019 obejmują również następujące ulepszenia logowania jednokrotnego:

• Usługi AD FS używają teraz przepływu środowiska użytkownika podzielonego na strony i wyśrodkowanego interfejsu użytkownika (UI), który zapewnia bezproblemowe środowisko logowania dla użytkowników. Ta zmiana odzwierciedla funkcje oferowane w usłudze Azure AD. Może być konieczne zaktualizowanie logo i obrazów tła organizacji w celu dopasowania do nowego interfejsu użytkownika.

• Rozwiązano problem powodujący, że stan uwierzytelniania wieloetapowego nie był utrwalany podczas korzystania z podstawowego tokenu odświeżania (PRT) na urządzeniach z systemem Windows 10. Użytkownicy powinni być teraz monitowani o poświadczenia drugiego czynnika rzadziej. Doświadczenie powinno być teraz spójne, gdy uwierzytelnianie urządzenia zakończy się pomyślnie w przypadku uwierzytelniania klienta TLS i PRT.

Obsługa tworzenia nowoczesnych aplikacji biznesowych

Usługi AD FS 2019 obejmują następujące funkcje do obsługi tworzenia nowoczesnych aplikacji biznesowych (LOB):

• Usługi AD FS obejmują teraz obsługę profilu przepływu urządzeń OAuth do logowania na urządzeniach bez interfejsu użytkownika, co pozwala na bogate doświadczenia logowania. Ta funkcja umożliwia użytkownikom kończenie logowania się na innym urządzeniu. Środowisko interfejsu platformy Azure Command-Line (CLI) w usłudze Azure Stack wymaga tej funkcji, a można jej także używać w innych scenariuszach.

• Nie jest już wymagany parametr Resource do używania usług AD FS, który jest zgodny z bieżącymi specyfikacjami OAUth. Klienci muszą teraz podać tylko identyfikator zaufania jednostki uzależnionej jako parametr zakresu wraz z żądanymi uprawnieniami.

• Można używać nagłówków współużytkowania zasobów między źródłami (CORS) w odpowiedziach usług AD FS. Te nowe nagłówki umożliwiają użytkownikom tworzenie aplikacji jednostronicowych, które umożliwiają bibliotekom JavaScript po stronie klienta weryfikowanie podpisu id_token przez wykonywanie zapytań dotyczących kluczy podpisywania z dokumentu odnajdywania Open ID Connect (OIDC) w usługach AD FS.

• Usługi AD FS obejmują obsługę klucza dowodowego dla wymiany kodu (PKCE) na potrzeby bezpiecznego przepływu kodu uwierzytelniania w ramach protokołu OAuth. Ta dodatkowa warstwa zabezpieczeń uniemożliwia złośliwym aktorom przejęcie kodu i odtworzenie go z innego klienta.

• Rozwiązano drobny problem, który spowodował, że AD FS wysyłał tylko roszczenie x5t. Usługi AD FS wysyła teraz również oświadczenie dla dzieci, aby oznaczyć wskazówkę identyfikatora klucza na potrzeby weryfikacji podpisu.

Ulepszenia możliwości obsługi

Administratorzy mogą teraz skonfigurować usługi AD FS, aby umożliwić użytkownikom wysyłanie raportów o błędach i debugowanie dzienników do nich jako pliku ZIP na potrzeby rozwiązywania problemów. Administratorzy mogą również skonfigurować połączenie protokołu SMTP (Simple Mail Transfer Protocol), aby automatycznie wysyłać plik ZIP do konta e-mail sortującego. Inne ustawienie umożliwia administratorom automatyczne utworzenie zgłoszenia dla systemu pomocy technicznej na podstawie tej wiadomości e-mail.

Aktualizacje dotyczące wdrożeń

Następujące aktualizacje wdrażania są teraz uwzględnione w usługach AD FS 2019:

• Usługi AD FS mają funkcję podobną do tej w systemie Windows Server 2016 w wersji, która ułatwia aktualizację farm serwerów z systemu Windows Server 2016 do farm serwerów z systemem Windows Server 2019. Serwer z systemem Windows Server 2019 dodany do farmy serwerów z systemem Windows Server 2016 będzie zachowywał się tylko tak jak serwer z systemem Windows Server 2016, dopóki nie wszystko będzie gotowe do uaktualnienia. Aby uzyskać więcej informacji, zobacz Uaktualnianie do usług AD FS w systemie Windows Server 2016.

Aktualizacje SAML

Usługi AD FS 2019 obejmują następujące aktualizacje języka SAML (Security Assertion Markup Language):

• Rozwiązaliśmy problemy z zagregowaną obsługą federacji, taką jak InCommon, w następujących obszarach:

  • Ulepszono skalowanie dla wielu jednostek w dokumencie zagregowanych metadanych federacji. Wcześniej skalowanie tych jednostek nie powiodło się i wyświetliło błąd ADMIN0017.

  • Teraz można tworzyć zapytania przy użyciu parametru ScopeGroupID, uruchamiając polecenie cmdlet programu Get-AdfsRelyingPartyTrustsGroup PowerShell.

  • Ulepszona obsługa przypadków błędów dla zduplikowanych wartości identyfikatora podmiotu .

Specyfikacja zasobu w stylu usługi Azure AD w parametrze zakresu

Wcześniej usługi AD FS wymagały, aby żądany zasób i zakres były w osobnym parametrze w dowolnym żądaniu uwierzytelniania. Na przykład następujące przykładowe żądanie OAuth zawiera parametr zakresu:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Dzięki usługom AD FS w systemie Windows Server 2019 można teraz przekazać wartość zasobu osadzoną w parametrze zakresu. Ta zmiana jest zgodna z uwierzytelnianiem względem identyfikatora Entra firmy Microsoft.

Parametr zakresu można teraz zorganizować jako listę rozdzielaną spacjami, która tworzy każdą jednostkę jako zasób lub zakres.

Uwaga

W żądaniu uwierzytelniania można określić tylko jeden zasób. Jeśli w żądaniu dołączysz więcej niż jeden zasób, usługi AD FS zwracają błąd i uwierzytelnianie nie powiedzie się.