O que há de novo no Windows Server 2019
Este artigo descreve alguns dos novos recursos do Windows Server 2019. O Windows Server 2019 foi criado sobre a base sólida do Windows Server 2016 e traz inúmeras inovações em quatro temas principais: Nuvem Híbrida, Segurança, Plataforma de Aplicativos e Infraestrutura Hyper-Converged (HCI).
Geral
Centro de Administração do Windows
O Windows Admin Center é um aplicativo baseado em navegador implantado localmente para gerenciar servidores, clusters, infraestrutura hiperconvergente e computadores com Windows 10. Ele vem sem custo extra além do Windows e está pronto para uso na produção.
Você pode instalar o Windows Admin Center no Windows Server 2019 e no Windows 10 e em versões anteriores do Windows e do Windows Server e usá-lo para gerenciar servidores e clusters que executam o Windows Server 2008 R2 e posterior.
Para obter mais informações, consulte Windows Admin Center.
Experiência Desktop
Como o Windows Server 2019 é uma versão LTSC (Long-Term Servicing Channel), ele inclui o Desktop Experience. Os lançamentos do Canal Semi-Annual (SAC) não incluem por design a Experiência Desktop; são estritamente lançamentos de imagens de container Server Core e Nano Server. Tal como acontece com o Windows Server 2016, durante a configuração do sistema operativo pode escolher entre instalações Server Core ou instalações Server with Desktop Experience.
Insights do sistema
O System Insights é um novo recurso disponível no Windows Server 2019 que traz recursos de análise preditiva local nativamente para o Windows Server. Esses recursos preditivos, cada um apoiado por um modelo de aprendizado de máquina, analisam localmente os dados do sistema Windows Server, como contadores de desempenho e eventos. O System Insights permite que você entenda como seus servidores estão funcionando e ajuda a reduzir as despesas operacionais associadas ao gerenciamento reativo de problemas em suas implantações do Windows Server.
Nuvem híbrida
Recurso de compatibilidade de aplicativos Server Core sob demanda
Funcionalidade de Compatibilidade de Aplicações Server Core sob Demanda (FOD) melhora significativamente a compatibilidade de aplicações ao incluir um subconjunto de binários e componentes do Windows Server com a Experiência de Ambiente de Trabalho. O Server Core é mantido o mais enxuto possível, não adicionando o próprio ambiente gráfico do Windows Server Desktop Experience, aumentando a funcionalidade e a compatibilidade.
Esse recurso opcional sob demanda está disponível em um ISO separado e pode ser adicionado apenas a instalações e imagens do Windows Server Core, usando o DISM.
Função de Servidor de Transporte dos Serviços de Implantação do Windows (WDS) adicionada ao Server Core
O Servidor de Transporte contém apenas as partes de rede principais do WDS. Agora você pode usar o Server Core com a função Servidor de Transporte para criar namespaces multicast que transmitem dados (incluindo imagens do sistema operacional) de um servidor autônomo. Você também pode usá-lo se quiser ter um servidor PXE que permita aos clientes inicializar PXE e baixar seu próprio aplicativo de configuração personalizado.
Integração dos Serviços de Ambiente de Trabalho Remoto com o Azure AD
Com a integração do Azure AD, você pode usar políticas de Acesso Condicional, Autenticação Multifator, Autenticação integrada com outros aplicativos SaaS usando o Azure AD e muito mais. Para mais informações, consulte Integrar os Serviços de Domínio do Azure AD com a sua implementação RDS.
Ligação em rede
Fizemos várias melhorias na pilha de rede principal, como TCP Fast Open (TFO), Receive Window Autotuning, IPv6 e muito mais. Para obter mais informações, consulte a postagem de aprimoramento do recurso
vRSS e VMMQ dinâmicos
No passado, as Filas de Máquinas Virtuais e as Multifilas de Máquinas Virtuais (VMMQs) permitiam uma taxa de transferência muito maior para VMs individuais à medida que as taxas de transferência de rede atingiam pela primeira vez a marca de 10GbE e além. Infelizmente, o planejamento, a linha de base, o ajuste e o monitoramento necessários para o sucesso se tornaram uma tarefa muito maior do que os administradores de TI previam.
O Windows Server 2019 melhora essas otimizações espalhando e ajustando dinamicamente o processamento de cargas de trabalho de rede conforme necessário. O Windows Server 2019 garante eficiência máxima e elimina a carga de configuração para os administradores de TI. Para saber mais, consulte Requisitos de Rede do Host para Azure Local.
Segurança
Proteção avançada contra ameaças (ATP) do Windows Defender
Os sensores de plataforma profunda e as ações de resposta da ATP expõem ataques de memória e nível de kernel e respondem suprimindo arquivos maliciosos e encerrando processos maliciosos.
Para obter mais informações sobre o Windows Defender ATP, consulte Visão geral dos recursos do Windows Defender ATP.
Para obter mais informações sobre a integração de servidores, consulte Integrar servidores ao serviço Windows Defender ATP.
Windows Defender ATP Exploit Guard é um novo conjunto de recursos de prevenção de intrusão de host que permite equilibrar o risco de segurança e os requisitos de produtividade. O Windows Defender Exploit Guard foi projetado para bloquear o dispositivo contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware. Os componentes são:
Redução de Superfície de Ataque (ASR) é um conjunto de controles que as empresas podem habilitar para impedir que malwares entrem nas máquinas, bloqueando arquivos maliciosos. Por exemplo, ficheiros do Office, scripts, movimento lateral, comportamento de ransomware e ameaças baseadas em e-mail.
Proteção de rede protege o endpoint contra ameaças da Internet, bloqueando qualquer processo de saída no dispositivo para hosts/endereços IP não confiáveis através do Windows Defender SmartScreen.
de acesso controlado a pastas protege dados confidenciais contra ransomware, bloqueando o acesso de processos não confiáveis às suas pastas protegidas.
de proteção contra exploits é um conjunto de atenuações para exploits de vulnerabilidade (substituindo o EMET) que pode ser facilmente configurado para proteger seu sistema e aplicativos.
O Controlo de Aplicações do Windows Defender (também conhecido como política de Integridade de Código (CI)) foi lançado no Windows Server 2016. Facilitamos a implantação ao incluir políticas de CI padrão. A política padrão permite todos os arquivos in-box do Windows e aplicativos da Microsoft, como o SQL Server, e bloqueia executáveis conhecidos que podem ignorar a CI.
Segurança com rede definida por software (SDN)
O Security com SDN oferece muitos recursos para aumentar a confiança do cliente na execução de cargas de trabalho, seja no local ou como um provedor de serviços na nuvem.
Esses aprimoramentos de segurança são integrados à plataforma SDN abrangente introduzida no Windows Server 2016.
Para obter uma lista completa das novidades do SDN, consulte O que há de novo no SDN para Windows Server 2019.
Melhorias nas máquinas virtuais blindadas
Fizemos as seguintes melhorias nas Máquinas Virtuais Blindadas.
Melhorias nas filiais
Agora você pode executar máquinas virtuais blindadas em máquinas com conectividade intermitente com o Serviço Guardião do Host usando o novo HGS de fallback
Mesmo que não consiga aceder ao HGS, o modo offline permite-lhe continuar a iniciar as suas VMs blindadas. O modo offline também permite iniciar suas VMs, desde que a VM tenha sido iniciada com êxito uma vez e a configuração de segurança do host não tenha sido alterada.
Melhorias na solução de problemas
Também facilitamos a solução de problemas de suas VMs blindadas habilitando o suporte para o Modo de Sessão Avançado do VMConnect e o PowerShell Direct. Essas ferramentas são úteis quando você perde a conectividade de rede para sua VM e precisa atualizar sua configuração para restaurar o acesso. Para saber mais, consulte Tecido protegido e VMs blindadas.
Não é necessário configurar esses recursos porque eles ficam automaticamente disponíveis quando você coloca uma VM blindada em um host Hyper-V executando o Windows Server versão 1803 ou posterior.
Suporte Linux
Se você executar ambientes de sistema operacional misto, o Windows Server 2019 agora suporta a execução do Ubuntu, Red Hat Enterprise Linux e SUSE Linux Enterprise Server dentro de máquinas virtuais blindadas.
HTTP/2 para uma Web mais rápida e segura
Aglutinação melhorada de ligações para proporcionar uma experiência de navegação ininterrupta e devidamente encriptada.
Atualização na negociação dos pacotes de cifras do lado do servidor HTTP/2 para mitigação automática de falhas de conexão e facilidade de implementação.
Alterámos o nosso provedor de congestionamento TCP padrão para Cubic para lhe dar mais largura de banda!
Redes encriptadas
A criptografia de rede virtual criptografa o tráfego de rede virtual entre máquinas virtuais dentro de sub-redes que têm o rótulo Criptografia Habilitada. As redes criptografadas também usam DTLS (Datagram Transport Layer Security) na sub-rede virtual para criptografar pacotes. O DTLS protege os seus dados contra escutas, adulterações e falsificações por qualquer pessoa com acesso à rede física.
Para obter mais informações, consulte Redes criptografadas.
Auditoria de firewall
A auditoria de firewall é uma nova funcionalidade para o firewall SDN que registra qualquer fluxo processado por regras de firewall SDN e listas de controlo de acesso (ACLs) que têm o registo ativado.
Emparelhamento de rede virtual
de emparelhamento de rede virtual permite conectar duas redes virtuais perfeitamente. Uma vez emparelhadas, as redes virtuais aparecem no monitoramento como uma só.
Medição de saída
de medição de saída oferece medidores de uso para transferências de dados de saída. O controlador de rede usa esse recurso para manter uma lista de permissões de todos os intervalos de IP usados no SDN por rede virtual. Essas listas consideram que qualquer pacote que vá para um destino não incluído nos intervalos de IP listados seja cobrado como transferências de dados de saída.
Armazenamento
Aqui estão algumas das alterações que fizemos no Armazenamento no Windows Server 2019. O armazenamento também é afetado pelas atualizações na desduplicação de dados , particularmente na atualização da API DataPort para otimizar a entrada ou saída em volumes desduplicados.
Gerenciador de Recursos de Servidor de Arquivos
Agora é possível impedir que o serviço Gerenciador de Recursos de Servidor de Arquivos crie um diário de alterações (também conhecido como diário USN) em todos os volumes quando o serviço é iniciado. Evitar a criação do processo de alteração pode conservar espaço em cada volume, mas desativará a classificação em tempo real dos arquivos. Para obter mais informações, consulte Visão geral do Gestor de Recursos de Servidor de Ficheiros.
PME
O Windows Server não instala mais o cliente e o servidor SMB1 por padrão. Além disso, a capacidade de autenticar como convidado no SMB2 e posterior está desativada por padrão. Para obter mais informações, consulte o SMBv1 não é instalado por padrão no Windows 10 versão 1709, Windows Server versão 1709 e versões posteriores.
Agora você pode desativar oplocks no SMB2+ para aplicativos herdados. Você também pode exigir assinatura ou criptografia por conexão de um cliente. Para obter mais informações, consulte ajuda do módulo SMBShare PowerShell.
Serviço de migração de armazenamento
O Serviço de Migração de Armazenamento facilita a migração de servidores para uma versão mais recente do Windows Server. Esta ferramenta gráfica inventaria dados em servidores e, em seguida, transfere os dados e a configuração para servidores mais recentes. O Serviço de Migração de Armazenamento também pode mover as identidades dos servidores antigos para os novos servidores para que os usuários não precisem reconfigurar seus perfis e aplicativos. Para obter mais informações, consulte Serviço de Migração de Armazenamento.
O Windows Admin Center versão 1910 adicionou a capacidade de implantar máquinas virtuais do Azure. Esta atualização integra a implantação da VM do Azure no Serviço de Migração de Armazenamento. Para obter mais informações, consulte migração de VM do Azure.
Também pode aceder aos seguintes recursos pós-lançamento para fabricação (RTM) ao executar o orquestrador do Servidor de Migração de Armazenamento no Windows Server 2019 com o KB5001384 instalado ou no Windows Server 2022:
- Migre usuários e grupos locais para o novo servidor.
- Migre o armazenamento de clusters de failover, migre para clusters de failover e migre entre servidores autônomos e clusters de failover.
- Migre o armazenamento de um servidor Linux que use o Samba.
- Sincronize compartilhamentos migrados mais facilmente no Azure usando a Sincronização de Arquivos do Azure.
- Migre para novas redes, como o Azure.
- Migre servidores CIFS (Common Internet File System) da NetApp de matrizes FAS (Serviço de Autenticação Federada) da NetApp para servidores e clusters Windows.
Storage Spaces Direct
Veja o que há de novo no Storage Spaces Direct. Para obter mais informações sobre como adquirir sistemas Espaços de Armazenamento Diretos validados, consulte Visão geral da solução Local do Azure.
Desduplicação e compactação para volumes ReFS. O armazenamento de blocos de tamanho variável com compactação opcional maximiza as taxas de economia, enquanto a arquitetura de pós-processamento multithreaded minimiza o impacto no desempenho. Este recurso suporta volumes de até 64 TB e desduplica os primeiros 4 MB de cada arquivo.
Suporte nativo para memória persistente, que permite gerenciar a memória persistente como qualquer outra unidade no PowerShell ou no Windows Admin Center. Esta funcionalidade suporta os módulos Intel Optane DC PM e módulos de memória persistente NVDIMM-N.
Resiliência aninhada para infraestrutura hiperconvergente de dois nós na borda. Com a ajuda de uma nova opção de resiliência de software baseada em RAID 5+1, agora você pode sobreviver a duas falhas de hardware simultaneamente. Um cluster de Storage Spaces Direct de dois nós fornece armazenamento continuamente acessível para aplicativos e máquinas virtuais, mesmo que um nó de servidor fique inativo e outro nó de servidor tenha uma falha de disco.
Clusters de dois servidores agora podem usar uma unidade flash USB como testemunha. Se um servidor ficar inativo e, em seguida, fazer backup, o cluster de unidade USB saberá qual servidor tem mais dados de data up-to. Para obter mais informações, consulte a nossa postagem no blog sobre o anúncio do Storage Spaces Direct e Configurar uma testemunha de partilha de ficheiros para o Clustering de Failover.
O Windows Admin Center oferece suporte a um painel que permite gerenciar e monitorar Espaços de Armazenamento diretamente. Pode monitorizar a latência de IOPS e IO desde o nível geral do cluster até SSDs ou HDD individuais sem custos adicionais. Para saber mais, consulte O que é o Windows Admin Center?.
O histórico de desempenho é um novo recurso que fornece visibilidade sem esforço sobre a utilização de recursos e medições. Para saber mais, consulte Histórico de desempenho do Storage Spaces Direct.
Escalonar até 4 PB por cluster, utilizando uma capacidade de até 64 volumes de até 64 TB cada. Você também pode unir vários clusters em um conjunto de clusters para uma escala ainda maior dentro de um único namespace de armazenamento.
Utilizando paridade acelerada por espelho, é possível construir volumes do Storage Spaces Direct que incorporam estratégias de espelhamento e paridade, semelhantes a uma mistura de RAID-1 e RAID-5/6. A paridade acelerada por espelho agora é duas vezes mais rápida do que o Windows Server 2016.
A deteção de latência anómala de unidade identifica automaticamente unidades lentas no PowerShell e no Windows Admin Center com o estado de "Latência Anormal".
Delimitar manualmente a alocação de volumes para aumentar a tolerância a falhas. Para obter mais informações, consulte Delimitar a alocação de volumes, no Storage Spaces Direct.
Réplica de armazenamento
Veja o que há de novo no Storage Replica.
A Réplica de Armazenamento já está disponível no Windows Server 2019 Standard Edition e no Windows Server 2019 Datacenter Edition. No entanto, com a Standard Edition, você só pode replicar um volume, e esse volume só pode ir até 2 TB de tamanho.
O failover de teste é um novo recurso que permite montar temporariamente um instantâneo do armazenamento replicado em um servidor de destino para fins de teste ou backup. Para obter mais informações, consulte Perguntas freqüentes sobre a réplica de armazenamento.
Melhorias no desempenho do log de réplica de armazenamento, como taxa de transferência e latência de replicação aprimoradas em clusters de armazenamento totalmente flash e Storage Spaces Direct que se replicam entre si.
Suporte ao Windows Admin Center, incluindo gerenciamento gráfico de replicação usando o Gerenciador do Servidor para replicação de servidor para servidor, cluster para cluster e replicação de cluster estendido.
Desduplicação de dados
O Windows Server 2019 agora oferece suporte ao Sistema de Arquivos Resiliente (ReFS). O ReFS permite armazenar até dez vezes mais dados no mesmo volume com desduplicação e compactação para o sistema de arquivos ReFS. O armazenamento de blocos de tamanho variável vem com um recurso de compactação opcional que pode maximizar as taxas de economia, enquanto a arquitetura de pós-processamento multi-threaded mantém o impacto mínimo no desempenho. O ReFS suporta volumes de até 64 TB e desduplica os primeiros 4 TB de cada arquivo. Para saber mais, consulte Como ativar a desduplicação e a compactação no Windows Admin Center para uma rápida demonstração em vídeo.
Agrupamento de Alternância para Falhas
Adicionamos as seguintes funcionalidades ao clustering de failover no Windows Server 2019:
Os conjuntos de clusters agrupam múltiplos clusters num agrupamento de acoplamento frouxo de vários clusters de alta disponibilidade, que podem ser de três tipos: computação, armazenamento e hiperconvergente. Esse agrupamento aumenta o número de servidores em uma única solução de datacenter definido por software (SDDC) além dos limites atuais de um cluster. Com conjuntos de clusters, você pode mover máquinas virtuais online entre clusters dentro do conjunto de clusters. Para obter mais informações, consulte Implantar um conjunto de clusters.
Os clusters agora reconhecem o Azure por padrão. Os clusters com reconhecimento do Azure detetam automaticamente quando estão sendo executados em máquinas virtuais IaaS do Azure e, em seguida, otimizam sua configuração para alcançar os mais altos níveis de disponibilidade. Essas otimizações incluem failover proativo e registro em log de eventos de manutenção planejada do Azure. A otimização automatizada simplifica a implantação, eliminando a necessidade de configurar o balanceador de carga com Nome de Rede Distribuída para o nome do cluster.
A migração de cluster entre domínios permite que os clusters de failover se movam dinamicamente de um domínio do Ative Directory para outro, simplificando a consolidação de domínio e permitindo que os parceiros de hardware criem clusters e os associem ao domínio do cliente posteriormente.
O recurso de testemunha USB permite que você use uma unidade USB conectada a um switch de rede como testemunha na determinação do quórum para um cluster. Este recurso inclui suporte estendido para o Testemunho de Compartilhamento de Arquivos em qualquer dispositivo compatível com SMB2.
O cache CSV agora está habilitado por padrão para aumentar o desempenho da máquina virtual. O MSDTC agora oferece suporte a Volumes Compartilhados de Cluster para permitir a implantação de cargas de trabalho do MSDTC em Espaços de Armazenamento Diretos, como no SQL Server. Lógica aprimorada para detetar nós particionados com autorrecuperação para retornar os nós aos membros do cluster. Deteção de rota de rede de cluster aprimorada e autorrecuperação.
A Atualização com Suporte a Cluster (CAU) agora está integrada e é compatível com os Espaços de Armazenamento Diretos, validando e assegurando que a ressincronização de dados seja concluída em cada nó. A Atualização Controlada por Cluster inspeciona as atualizações e reinicia inteligentemente somente se necessário. Esse recurso permite reiniciar todos os servidores no cluster para manutenção planejada.
Agora você pode usar testemunhas de compartilhamento de arquivos nos seguintes cenários:
Acesso à Internet ausente ou deficiente devido a uma localização remota, impedindo o uso de uma testemunha de nuvem.
Falta de drives compartilhados para uma testemunha de disco. Por exemplo, uma configuração que não usa discos compartilhados, como a configuração hiperconvergente direta de Espaços de Armazenamento, um AG (Grupos de Disponibilidade Always On) do SQL Server ou um DAG (Grupo de Disponibilidade de Banco de Dados do Exchange).
Falta de conexão do controlador de domínio devido ao cluster estar atrás de uma DMZ.
Um grupo de trabalho ou cluster entre domínios que não tem um objeto de nome de cluster (CNO, Cluster Name Object) do Active Directory. O Windows Server agora também bloqueia o uso de um compartilhamento de Namespaces DFS como um local. Adicionar uma testemunha de compartilhamento de arquivos a um compartilhamento DFS pode causar problemas de estabilidade para o cluster, e essa configuração nunca foi suportada. Adicionámos lógica para detetar se uma partilha utiliza Espaços de Nomes DFS e, se forem detetados, o Gestor de Clusters de Failover bloqueia a criação da testemunha e apresenta uma mensagem de erro indicando que não é suportado.
Foi implementado um recurso de proteção de cluster que aumenta a segurança da comunicação intra-cluster através do SMB (Server Message Block) para Volumes Compartilhados de Cluster e Espaços de Armazenamento Diretos. Esse recurso aproveita os certificados para fornecer a plataforma mais segura possível. Ao fazer isso, os Clusters de Failover agora podem operar sem dependências de NTLM, o que permite que linhas de base de segurança sejam estabelecidas.
Os Clusters de Failover não usam mais a autenticação NTLM. Em vez disso, os clusters do Windows Server 2019 agora usam exclusivamente Kerberos e autenticação baseada em certificado. Os usuários não precisam fazer alterações ou implantar nada para aproveitar esse aprimoramento de segurança. Essa alteração também permite implantar clusters de failover em ambientes onde o NTLM está desabilitado.
Plataforma de Aplicação
Contêineres Linux no Windows
Agora é possível executar contêineres baseados em Windows e Linux no mesmo host de contêiner, usando o mesmo daemon docker. Agora você pode ter um ambiente de host de contêiner heterogêneo que oferece flexibilidade aos desenvolvedores de aplicativos.
Suporte integrado para Kubernetes
O Windows Server 2019 continua as melhorias de computação, rede e armazenamento das versões do Semi-Annual Channel necessárias para oferecer suporte ao Kubernetes no Windows. Mais detalhes estão disponíveis nas próximas versões do Kubernetes.
Rede de Contentores no Windows Server 2019 melhora muito a usabilidade do Kubernetes no Windows. Melhorámos a resiliência da rede da plataforma e o suporte de plugins de rede de contentores.
As cargas de trabalho implantadas no Kubernetes são capazes de usar a segurança de rede para proteger os serviços Linux e Windows usando ferramentas incorporadas.
Melhorias no contêiner
Identidade integrada melhorada
Tornamos a autenticação integrada do Windows em contêineres mais fácil e confiável, abordando várias limitações de versões anteriores do Windows Server.
Melhor compatibilidade de aplicativos
A contentorização de aplicações baseadas no Windows ficou mais fácil: a compatibilidade de aplicações para a imagem existente windowsservercore foi aumentada. Para aplicativos com mais dependências de API, agora há uma terceira imagem base: windows.
Tamanho reduzido e maior desempenho
Os tamanhos de download da imagem de contêiner base, o tamanho no disco e os tempos de inicialização foram aprimorados para acelerar os fluxos de trabalho do contêiner.
Experiência de gestão com o Windows Admin Center (pré-visualização)
Tornamos mais fácil do que nunca ver quais contêineres estão sendo executados em seu computador e gerenciar contêineres individuais com uma nova extensão para o Windows Admin Center. Procure a extensão "Contêineres" no feed público do Windows Admin Center.
Melhorias de computação
VM Start Ordering VM Start Ordering também foi melhorado com reconhecimento de SO e aplicação, trazendo gatilhos aprimorados para quando uma VM é considerada como iniciada antes de iniciar a próxima.
Suporte de memória de classe de armazenamento para VMs permite que volumes de acesso direto formatados em NTFS sejam criados em DIMMs não voláteis e expostos a Hyper-V VMs. Hyper-V VMs podem agora usufruir dos benefícios de desempenho de dispositivos de memória de classe de armazenamento com baixa latência.
Suporte de memória persistente para Hyper-V VMs Para usar a alta taxa de transferência e a baixa latência da memória persistente (também conhecida como memória de classe de armazenamento) em máquinas virtuais, ela agora pode ser projetada diretamente em VMs. A memória persistente pode ajudar a reduzir drasticamente a latência das transações do banco de dados ou reduzir os tempos de recuperação de bancos de dados na memória de baixa latência em caso de falha.
pt-PT: Armazenamento de contentores – volumes de dados persistentes Contentores de aplicações agora têm acesso persistente aos volumes. Para obter mais informações, consulte Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping.
Formato de arquivo de configuração da máquina virtual (atualizado) O arquivo de estado convidado da VM (
.vmgs
) foi adicionado para máquinas virtuais com uma versão de configuração 8.2 e superior. O arquivo de estado convidado da VM inclui informações de estado do dispositivo que anteriormente faziam parte do arquivo de estado de tempo de execução da VM.
Redes Encriptadas
Encrypted Networks - A criptografia de rede virtual permite a criptografia do tráfego de rede virtual entre máquinas virtuais que se comunicam dentro de sub-redes marcadas como Encryption Enabled. Ele também utiliza Datagram Transport Layer Security (DTLS) na sub-rede virtual para criptografar pacotes. O DTLS protege contra escutas, adulterações e falsificações por qualquer pessoa com acesso à rede física.
Melhorias no desempenho da rede para cargas de trabalho virtuais
melhorias de desempenho de rede para cargas de trabalho virtuais maximiza a taxa de transferência de rede para máquinas virtuais sem exigir que você ajuste constantemente ou provisione demais seu host. O desempenho melhorado reduz os custos operacionais e de manutenção, ao mesmo tempo que aumenta a densidade disponível dos seus anfitriões. Estas novas funcionalidades são:
Máquina Virtual Dinâmica Multi-Fila (d.VMMQ)
Receber Coalescência de Segmento no vSwitch
Transporte em segundo plano de atraso extra baixo
O LEDBAT (Low Extra Delay Background Transport) é um provedor de controle de congestionamento de rede otimizado para latência, projetado para gerar automaticamente largura de banda para usuários e aplicativos. LEDBAT consome largura de banda disponível enquanto a rede não está em uso. A tecnologia destina-se ao uso ao implantar atualizações grandes e críticas em um ambiente de TI sem afetar os serviços voltados para o cliente e a largura de banda associada.
Serviço de Tempo do Windows
O do Serviço de Tempo do Windows inclui suporte a segundos bissextos compatível com UTC, um novo protocolo de tempo chamado Protocolo de Tempo de Precisão e rastreabilidade de ponta a ponta.
Gateways SDN de alto desempenho
gateways SDN de alto desempenho no Windows Server 2019 melhoram consideravelmente o desempenho para conexões IPsec e GRE, oferecendo uma taxa de transferência de desempenho ultra-elevado com muito menos utilização de CPU.
Nova interface do usuário de implantação e extensão do Windows Admin Center para SDN
Agora, com o Windows Server 2019, é fácil implantar e gerenciar por meio de uma nova interface do usuário de implantação e extensão do Windows Admin Center que permitem que qualquer pessoa aproveite o poder do SDN.
Subsistema Windows para Linux (WSL)
O WSL permite que os administradores de servidor usem ferramentas e scripts existentes do Linux no Windows Server. Muitas melhorias apresentadas no blog de linha de comando agora fazem parte do Windows Server, incluindo tarefas em segundo plano, DriveFS, WSLPath e muito mais.
Serviços de Federação do Ative Directory
Os Serviços de Federação do Ative Directory (AD FS) para Windows Server 2019 incluem as seguintes alterações.
Entradas protegidas
As entradas protegidas com o AD FS agora incluem as seguintes atualizações:
Os usuários agora podem usar produtos de autenticação de terceiros como seu primeiro fator sem expor senhas. Nos casos em que o provedor de autenticação externo pode provar dois fatores, ele pode usar a autenticação multifator (MFA).
Os usuários agora podem usar senhas como um fator extra depois de usar uma opção sem senha como o primeiro fator. Esse suporte in-box melhora a experiência geral do AD FS 2016, que exigia o download de um adaptador GitHub.
Os usuários agora podem criar seus próprios módulos de avaliação de risco de plug-in para bloquear certos tipos de solicitações durante o estágio de pré-autenticação. Esse recurso facilita o uso de inteligência em nuvem, como proteção de identidade, para bloquear usuários ou transações arriscadas. Para obter mais informações, consulte Criar plug-ins com o Modelo de Avaliação de Risco do AD FS 2019.
Melhora a engenharia de correção rápida (QFE) do Extranet Smart Lockout (ESL) adicionando os seguintes recursos:
Agora você pode usar o modo de auditoria enquanto estiver protegido pela funcionalidade clássica de bloqueio de extranet.
Os usuários agora podem usar limites de bloqueio independentes para locais conhecidos. Esta funcionalidade permite executar várias instâncias de aplicações numa conta de serviço comum para alterar senhas com mínima interrupção.
Outras melhorias de segurança
O AD FS 2019 inclui as seguintes melhorias de segurança:
O PowerShell remoto usando o Logon SmartCard permite que os usuários se conectem remotamente ao AD FS com SmartCards executando comandos do PowerShell. Os usuários também podem usar esse método para gerenciar todas as funções do PowerShell, incluindo cmdlets de vários nós.
A personalização de cabeçalhos HTTP permite que os usuários personalizem cabeçalhos HTTP criados durante as respostas do AD FS. A personalização de cabeçalho inclui os seguintes tipos de cabeçalhos:
HSTS, que apenas permite o uso de pontos de extremidade do AD FS em pontos de extremidade HTTPS, para serem impostos por um navegador compatível.
X-frame-options, que permite que os administradores do AD FS permitam que partes confiáveis específicas incorporem iFrames para páginas de entrada interativas do AD FS. Você só deve usar esse cabeçalho em hosts HTTPS.
Cabeçalho futuro. Você também pode configurar vários cabeçalhos futuros.
Para obter mais informações, consulte Personalizar cabeçalhos de resposta de segurança HTTP com o AD FS 2019.
Recursos de autenticação e política
O AD FS 2019 inclui os seguintes recursos de autenticação e política:
Os usuários agora podem criar regras para especificar qual provedor de autenticação sua implantação invoca para autenticação extra. Esse recurso ajuda na transição entre provedores de autenticação e na proteção de aplicativos específicos que têm requisitos especiais para provedores de autenticação extras.
Restrições opcionais para autenticações de dispositivo baseadas em Transport Layer Security (TLS) para que apenas aplicativos que exigem TLS possam usá-las. Os usuários podem restringir as autenticações de dispositivo baseadas em TLS do cliente para que apenas os aplicativos que fazem acesso condicional baseado em dispositivo possam usá-las. Esse recurso impede solicitações indesejadas para autenticação de dispositivo para aplicativos que não exigem autenticação de dispositivo baseada em TLS.
O AD FS agora oferece suporte à reutilização de credenciais de segundo fator com base na frescura das credenciais de segundo fator. Esse recurso permite que os usuários exijam apenas TFA para a primeira transação e, em seguida, exijam apenas o segundo fator periodicamente. Você só pode usar esse recurso em aplicativos que podem fornecer um parâmetro extra na solicitação, já que não é uma configuração configurável no AD FS. O Microsoft Entra ID oferece suporte a esse parâmetro se você configurar a configuração Lembrar meu MFA para X Dias para que suporte MFA definido como True nas configurações de confiança de domínio federado do Microsoft Entra ID.
Melhorias no logon único
O AD FS 2019 também inclui as seguintes melhorias de logon único (SSO):
O AD FS agora usa um fluxo de UX paginado e uma interface do usuário centralizada que fornece uma experiência de entrada mais suave para os usuários. Essa alteração espelha a funcionalidade oferecida no Azure AD. Talvez seja necessário atualizar o logotipo e as imagens de plano de fundo da sua organização para se adequar à nova interface do usuário.
Corrigimos um problema que fazia com que o estado MFA não persistisse ao usar a autenticação PRT (Primary Refresh Token) em dispositivos Windows 10. Agora, os usuários devem ser solicitados a fornecer credenciais de segundo fator com menos frequência. A experiência agora deve ser consistente quando a autenticação do dispositivo for bem-sucedida na autenticação TLS e PRT no cliente.
Suporte para a criação de aplicativos de linha de negócios modernos
O AD FS 2019 inclui os seguintes recursos para dar suporte à criação de aplicativos modernos de linha de negócios (LOB):
O AD FS agora inclui suporte ao perfil de fluxo de dispositivo OAuth para entrar usando dispositivos sem interface de utilizador, para suportar experiências de entrada avançadas. Esse recurso permite que os usuários terminem de entrar em um dispositivo diferente. A experiência da Interface Command-Line do Azure (CLI) no Azure Stack requer essa funcionalidade e você também pode usá-la em outros cenários.
Você não precisa mais do parâmetro Resource para usar o AD FS, que está de acordo com as especificações OAUth atuais. Agora, os clientes só precisam fornecer o identificador da parte confiável como parâmetro de escopo, juntamente com as permissões solicitadas.
Você pode usar cabeçalhos de compartilhamento de recursos entre diferentes origens (CORS) em respostas do AD FS. Esses novos títulos permitem que os usuários criem aplicativos de página única que permitem que bibliotecas JavaScript do lado do cliente validem a assinatura id_token consultando as chaves de assinatura do documento de descoberta Open ID Connect (OIDC) no AD FS.
O AD FS inclui suporte a PKCE (Proof Key for Code Exchange) para fluxo de código de autenticação seguro no OAuth. Essa camada extra de segurança impede que atores mal-intencionados sequestrem o código e o reproduzam de um cliente diferente.
Corrigimos um pequeno problema que fazia com que o AD FS enviasse apenas a declaração x5t. O AD FS agora também envia uma declaração de criança para indicar a dica de ID de chave para verificação de assinatura.
Melhorias na capacidade de suporte
Os administradores agora podem configurar o AD FS para permitir que os usuários enviem relatórios de erros e logs de depuração para eles como um arquivo ZIP para solução de problemas. Os administradores também podem configurar uma conexão SMTP (Simple Mail Transfer Protocol) para enviar automaticamente o arquivo ZIP para uma conta de e-mail de triagem. Outra configuração permite que os administradores criem automaticamente um chamado para o seu sistema de suporte a partir desse e-mail.
Atualizações de implantação
As seguintes atualizações de implantação agora estão incluídas no AD FS 2019:
- O AD FS tem uma função semelhante à sua versão do Windows Server 2016 que facilita a atualização de farms de servidores do Windows Server 2016 para farms de servidores do Windows Server 2019. Um servidor Windows Server 2019 adicionado a um farm de servidores do Windows Server 2016 só se comportará como um servidor Windows Server 2016 até que você esteja pronto para atualizar. Para obter mais informações, consulte Atualizando para o AD FS no Windows Server 2016.
Atualizações SAML
O AD FS 2019 inclui as seguintes atualizações do SAML (Security Assertion Markup Language):
Corrigimos problemas no suporte agregado à federação, como o InCommon, nestas áreas:
Escalabilidade melhorada para muitas entidades no documento de metadados de federação agregada. Anteriormente, o dimensionamento para essas entidades não era bem-sucedido e retornava uma mensagem de erro ADMIN0017.
Agora você pode fazer consultas usando o parâmetro
ScopeGroupID executando o cmdlet PowerShell. Manuseio melhorado de condições de erro para valores duplicados de entityID .
Especificação de recurso de estilo do Azure AD no parâmetro de escopo
Anteriormente, o AD FS exigia que o recurso e o escopo desejados estivessem em um parâmetro separado em qualquer solicitação de autenticação. Por exemplo, o seguinte exemplo de solicitação OAuth contém um parâmetro de escopo:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Com o AD FS no Windows Server 2019, agora você pode passar o valor do recurso incorporado no parâmetro scope. Essa alteração é consistente com a autenticação no Microsoft Entra ID.
O parâmetro scope agora pode ser organizado como uma lista separada por espaços que estrutura cada entidade como um recurso ou escopo.
Observação
Você só pode especificar um recurso na solicitação de autenticação. Se você incluir mais de um recurso na solicitação, o AD FS retornará um erro e a autenticação não terá êxito.