Nyheter i Windows Server 2019
I den här artikeln beskrivs några av de nya funktionerna i Windows Server 2019. Windows Server 2019 bygger på den starka grunden för Windows Server 2016 och ger många innovationer på fyra viktiga teman: Hybrid Cloud, Security, Application Platform och Hyper-Converged Infrastructure (HCI).
Allmänt
Administrationscenter för Windows
Windows Admin Center är en lokalt distribuerad, webbläsarbaserad app för hantering av servrar, kluster, hyperkonvergerad infrastruktur och Windows 10-datorer. Det kommer utan extra kostnad utöver Windows och är redo att användas i produktion.
Du kan installera Windows Admin Center på Windows Server 2019 och Windows 10 och tidigare versioner av Windows och Windows Server och använda det för att hantera servrar och kluster som kör Windows Server 2008 R2 och senare.
Mer information finns i Windows Admin Center.
Skrivbordsmiljö
Eftersom Windows Server 2019 är en version inom Long-Term Servicing Channel (LTSC), innehåller den Desktop Experience. Semi-Annual Channel-versioner (SAC) innehåller inte skrivbordsmiljön avsiktligt. de är strikt Versioner av Server Core- och Nano Server-containeravbildningar. Precis som med Windows Server 2016 kan du under installationen av operativsystemet välja mellan Server Core-installationer eller Installationer av Server med skrivbordsmiljö.
System Insights
System Insights är en ny funktion som är tillgänglig i Windows Server 2019 och som ger lokala prediktiva analysfunktioner internt till Windows Server. Dessa prediktiva funktioner, som var och en backas upp av en maskininlärningsmodell, analyserar lokalt Windows Server-systemdata, till exempel prestandaräknare och händelser. Med System Insights kan du förstå hur dina servrar fungerar och hjälper dig att minska driftskostnaderna för reaktiv hantering av problem i dina Windows Server-distributioner.
Hybridmoln
Kompatibilitetsfunktion för Server Core-appar på begäran
Server Core App Compatibility Feature on Demand (FOD) avsevärt förbättrar appens kompatibilitet genom att inkludera en delmängd binärfiler och komponenter från Windows Server med skrivbordsmiljön. Server Core hålls så magert som möjligt genom att inte lägga till den grafiska miljön i Windows Server Desktop Experience, vilket ökar funktionaliteten och kompatibiliteten.
Den här valfria funktionen på begäran är tillgänglig i en separat ISO och kan endast läggas till i Windows Server Core-installationer och -avbildningar med hjälp av DISM.
Windows Deployment Services (WDS) transportserverrollen har lagts till i Server Core
TransportServer innehåller endast kärnnätverksdelarna i WDS. Nu kan du använda Server Core med transportserverrollen för att skapa multicast-namnområden som överför data (inklusive operativsystemavbildningar) från en fristående server. Du kan också använda den om du vill ha en PXE-server som gör det möjligt för klienter att starta PXE och ladda ned ditt eget anpassade installationsprogram.
Integrering av fjärrskrivbordstjänster med Azure AD
Med Azure AD-integrering kan du använda principer för villkorsstyrd åtkomst, multifaktorautentisering, integrerad autentisering med andra SaaS-appar med Azure AD och många fler. Mer information finns i Integrera Azure AD Domain Services med din RDS-distribution.
Nätverkande
Vi har gjort flera förbättringar av kärnnätverksstacken, till exempel TCP Fast Open (TFO), Ta emot fönster autotuning, IPv6 med mera. För mer information, se inlägget om Core Network Stack funktionsförbättring.
Dynamisk vRSS och VMMQ
Tidigare möjliggjorde Virtual Machine Queues och Virtual Machine Multi-Queues (VMMQ) mycket högre dataflöde till enskilda virtuella datorer när nätverkshastigheterna först nådde 10GbE-nivån och däröver. Tyvärr blev planeringen, baslineringen, justeringen och övervakningen som krävdes för framgång ett mycket större åtagande än vad IT-administratörerna förväntade sig.
Windows Server 2019 förbättrar dessa optimeringar genom att dynamiskt sprida och justera bearbetningen av nätverksarbetsbelastningar efter behov. Windows Server 2019 garanterar högsta effektivitet och tar bort konfigurationsbördan för IT-administratörer. Mer information finns i Värdnätverkskrav för Azure Local.
Säkerhet
Windows Defender Advanced Threat Protection (ATP)
ATP:s djupgående plattformssensorer och svarsåtgärder exponerar minnes- och kernelnivåattacker och svarar genom att undertrycka skadliga filer och avsluta skadliga processer.
Mer information om Windows Defender ATP finns i Översikt över Windows Defender ATP-funktioner.
För mer information om introduktion av servrar, se Introducera servrar till Windows Defender ATP-tjänsten.
Windows Defender ATP Exploit Guard är en ny uppsättning funktioner för skydd mot värdintrång som gör att du kan balansera säkerhetsrisker och produktivitetskrav. Windows Defender Exploit Guard är utformat för att låsa enheten mot en mängd olika attackvektorer och blockera beteenden som ofta används vid attacker mot skadlig kod. Komponenterna är:
Attack Surface Reduction (ASR) är en uppsättning kontroller som företag kan aktivera för att förhindra skadlig kod från att komma på datorn genom att blockera misstänkta skadliga filer. Till exempel Office-filer, skript, lateral förflyttning, utpressningstrojaner och e-postbaserade hot.
Nätverksskydd skyddar slutpunkten mot webbaserade hot genom att blockera alla utgående processer på enheten till ej betrodda värdar/IP-adresser via Windows Defender SmartScreen.
Kontrollerad mappåtkomst skyddar känsliga data från utpressningstrojaner genom att blockera ej betrodda processer från att komma åt dina skyddade mappar.
Exploit Protection är en uppsättning åtgärder för sårbarhetsexploateringar (ersätta EMET) som enkelt kan konfigureras för att skydda ditt system och program.
Windows Defender Application Control (även känd som kodintegritetsprincip) släpptes i Windows Server 2016. Vi har gjort distributionen enklare genom att inkludera standardprinciper för CI. Standardprincipen tillåter alla In-box-filer i Windows och Microsoft-program, till exempel SQL Server, och blockerar kända körbara filer som kan kringgå CI.
Säkerhet med programvarudefinierat nätverk (SDN)
Security med SDN ger många funktioner för att öka kundernas förtroende för att köra arbetsbelastningar, antingen lokalt eller som tjänstleverantör i molnet.
Dessa säkerhetsförbättringar är integrerade i den omfattande SDN-plattformen som introducerades i Windows Server 2016.
En fullständig lista över nyheter i SDN finns i Nyheter i SDN för Windows Server 2019.
Förbättringar av avskärmade virtuella datorer
Vi har gjort följande förbättringar av avskärmade virtuella datorer.
Förbättringar av avdelningskontor
Du kan nu köra avskärmade virtuella datorer på datorer med tillfällig anslutning till tjänsten Värdskydd med hjälp av de nya HGS--funktionen och offlineläge--funktionerna. Med Reserv-HGS kan du konfigurera en andra uppsättning URL:er som Hyper-V kan prova att använda om den inte kan nå din primära HGS-server.
Även om du inte kan nå HGS kan du i offlineläge fortsätta att starta avskärmade virtuella datorer. Med offlineläge kan du också starta dina virtuella datorer så länge den virtuella datorn har startat framgångsrikt en gång och värddatorns säkerhetskonfiguration inte har ändrats.
Felsökningsförbättringar
Vi har också gjort det enklare att felsöka avskärmade virtuella datorer genom att aktivera stöd för VMAnslut utökat sessionsläge och PowerShell Direct. Dessa verktyg är användbara när du förlorar nätverksanslutningen till den virtuella datorn och behöver uppdatera dess konfiguration för att återställa åtkomsten. Mer information finns i Skyddat datacenter och avskärmade virtuella datorer.
Du behöver inte konfigurera dessa funktioner eftersom de blir automatiskt tillgängliga när du placerar en avskärmad virtuell dator på en Hyper-V värd som kör Windows Server version 1803 eller senare.
Linux-stöd
Om du kör miljöer med blandat operativsystem har Windows Server 2019 nu stöd för att köra Ubuntu, Red Hat Enterprise Linux och SUSE Linux Enterprise Server på avskärmade virtuella datorer.
HTTP/2 för en snabbare och säkrare webbplats
Förbättrad sammankoppling av anslutningar för att leverera en oavbruten och korrekt krypterad webbupplevelse.
Uppgraderade HTTP/2:s chiffersvitförhandling på serversidan för automatisk minskning av anslutningsfel och enkel distribution.
Vår standardleverantör för TCP-överbelastning har ändrats till Cubic för att ge dig mer dataflöde!
Krypterade nätverk
Kryptering av virtuellt nätverk krypterar virtuell nätverkstrafik mellan virtuella datorer i undernät som har etiketten Kryptering aktiverat. Krypterade nätverk använder också Datagram Transport Layer Security (DTLS) i det virtuella undernätet för att kryptera paket. DTLS skyddar dina data från avlyssning, manipulering och förfalskning av alla som har åtkomst till det fysiska nätverket.
Mer information finns i Krypterade nätverk.
Brandväggsgranskning
Brandväggsgranskning är en ny funktion för SDN-brandväggen som registrerar alla flöde som bearbetas av SDN-brandväggsregler och åtkomstkontrollistor (ACL:er) som har loggning aktiverat.
Peering för virtuellt nätverk
Med peering för virtuella nätverk kan du ansluta två virtuella nätverk sömlöst. När de virtuella nätverken har kopplats ihop visas de i övervakningen som ett.
Datautgångsmätning
Utgående mätning erbjuder användningsmätare för utgående dataöverföringar. Nätverksstyrenheten använder den här funktionen för att behålla en lista över alla IP-intervall som används i SDN per virtuellt nätverk. Dessa listor anser att alla paketrubriker till ett mål som inte ingår i de angivna IP-intervallen faktureras som utgående dataöverföringar.
Lagring
Här är några av de ändringar som vi har gjort i Storage i Windows Server 2019. Lagringen påverkas också av uppdateringar av Datadeduplicering, särskilt uppdateringen till DataPort API för optimerat tillträde eller utträde till deduplicerade volymer.
Hanteraren för filserverresurser
Nu är det möjligt att förhindra att Resource Manager-tjänsten för filservern skapar en ändringsjournal (även kallad usn-journal) på alla volymer när tjänsten startas. Om du förhindrar att ändringsresan skapas kan du spara utrymme på varje volym, men inaktivera filklassificering i realtid. Mer information finns i Översikt över hanteraren för filserverresurser.
SMB
Windows Server installerar inte längre SMB1-klienten och -servern som standard. Dessutom är möjligheten att autentisera som gäst i SMB2 och senare inaktiverad som standard. För mer information, se att SMBv1 inte är installerat som standard i Windows 10 version 1709, Windows Server version 1709 och senare versioner.
Nu kan du inaktivera oplocks i SMB2+ för äldre program. Du kan också kräva signering eller kryptering per anslutning från en klient. Mer information finns i SMBShare PowerShell-modulens hjälp.
Tjänst för lagringsmigrering
Storage Migration Service gör det enklare att migrera servrar till en nyare version av Windows Server. Det här grafiska verktyget inventerar data på servrar och överför sedan data och konfiguration till nyare servrar. Storage Migration Service kan också flytta identiteterna för de gamla servrarna till de nya servrarna så att användarna inte behöver konfigurera om sina profiler och appar. Mer information finns i Storage Migration Service.
Windows Admin Center version 1910 har lagt till möjligheten att distribuera virtuella Azure-datorer. Den här uppdateringen integrerar distribution av virtuella Azure-datorer i Storage Migration Service. Mer information finns i migrering av virtuella Azure-datorer.
Du kan också komma åt följande rtm-funktioner (post-release-to-manufacturing) när du kör Storage Migration Server-orkestratorn på Windows Server 2019 med KB5001384 installerat eller på Windows Server 2022:
- Migrera lokala användare och grupper till den nya servern.
- Migrera lagring från redundanskluster, migrera till redundanskluster och migrera mellan fristående servrar och redundanskluster.
- Migrera lagring från en Linux-server som använder Samba.
- Synkronisera migrerade resurser enklare till Azure med hjälp av Azure File Sync.
- Migrera till nya nätverk som Azure.
- Migrera CIFS-servrar (NetApp Common Internet File System) från FAS-matriser (NetApp Federated Authentication Service) till Windows-servrar och -kluster.
Lagringsutrymmen Direct
Här är det nya i Storage Spaces Direct. För mer information om hur du skaffar validerade Storage Spaces Direct-system, se Översikt över Azure-lokala lösningar.
Deduplicering och komprimering för ReFS-volymer. Segmentlagret med variabel storlek med valfri komprimering maximerar besparingsgraden; medan flertådig efterbehandlingsarkitektur minimerar påverkan på prestanda. Den här funktionen stöder volymer på upp till 64 TB och deduplicerar de första 4 MB av varje fil.
Internt stöd för beständigt minne, vilket gör att du kan hantera beständigt minne som alla andra enheter i PowerShell eller Windows Admin Center. Den här funktionen stöder Intel Optane DC PM och NVDIMM-N beständiga minnesmoduler.
Kapslad motståndskraft för hyperkonvergerad infrastruktur med två noder i utkanten. Med hjälp av ett nytt programåterhämtningsalternativ baserat på RAID 5+1 kan du nu överleva två maskinvarufel samtidigt. Ett kluster med två noder för lagringsdirigering ger kontinuerligt tillgänglig lagring för appar och virtuella datorer, även om en servernod går ned och en annan servernod har ett enhetsfel.
Tvåserverkluster kan nu använda ett USB-minne som vittne. Om en server blir otillgänglig och sedan kommer tillbaka vet USB-enhetsklustret vilken server som har mest up-to-date-data. För mer information, se vårt blogginlägg om Storage Spaces Direct och Konfigurera ett filresursvittne för felöverklustring.
Windows Admin Center har stöd för en instrumentpanel som låter dig hantera och övervaka Storage Spaces Direct. Du kan övervaka IOPS- och I/O-svarstiden från den övergripande klusternivån ned till enskilda SSD:er eller HÅRDDISKar utan extra kostnad. Mer information finns i Vad är Administrationscenter för Windows?.
Prestandahistorik är en ny funktion som ger enkel insyn i resursanvändning och mått. Mer information finns i Performance history för Storage Spaces Direct.
Skala upp till 4 PB per kluster med en kapacitet på upp till 64 volymer på upp till 64 TB. Du kan också sammanfoga flera kluster i en klusteruppsättning för ännu större skalning i ett enda lagringsnamnområde.
Genom att använda speglingsaccelererad paritet är det möjligt att konstruera lagringsdirigeringsvolymer som innehåller strategier för både spegling och paritet, ungefär som en blandning av RAID-1 och RAID-5/6. Speglingsaccelererad paritet är nu två gånger snabbare än Windows Server 2016.
Identifiering av avvikande enhetssvarstid identifierar automatiskt långsamma enheter i PowerShell och Windows Admin Center med statusen "Onormal svarstid".
Avgränsa manuellt allokeringen av volymer för att öka feltoleransen. Mer information finns i Begränsa allokeringen av volymer i Storage Spaces Direct.
Lagringsreplika
Här är vad som är nytt i Storage Replica.
Storage Replica är nu tillgängligt i Windows Server 2019 Standard Edition och Windows Server 2019 Datacenter Edition. Men med Standard Edition kan du bara replikera en volym och den volymen kan bara gå upp till 2 TB i storlek.
Redundanstest är en ny funktion som gör att du tillfälligt kan montera en ögonblicksbild av den replikerade lagringen på en målserver för testning eller säkerhetskopiering. Mer information finns i Vanliga frågor och svar om Storage Replica.
Prestandaförbättringar för Storage Replica-loggen, såsom förbättrad replikeringsthroughput och latens på all-flash-lagring och Storage Spaces Direct-kluster som replikeras mellan varandra.
Stöd för Windows Admin Center, inklusive grafisk hantering av replikering med serverhanteraren för server-till-server, kluster-till-kluster och stretchklusterreplikering.
Datadeduplicering
Windows Server 2019 stöder nu ReFS (Resilient File System). Med ReFS kan du lagra upp till tio gånger mer data på samma volym med deduplicering och komprimering för ReFS-filsystemet. Segmentlagret med variabel storlek levereras med en valfri komprimeringsfunktion som kan maximera besparingsgraden, medan det flertrådiga efterbearbetningssystemet minimerar prestandapåverkan. ReFS stöder volymer på upp till 64 TB och deduplicerar de första 4 TB av varje fil. Mer information finns i Aktivera deduplicering och komprimering i Windows Admin Center för en snabb videodemonstration.
Redundansklustring
Vi har lagt till följande funktioner i redundansklustring i Windows Server 2019:
Klusteruppsättningar grupperar flera kluster i en löst kopplad gruppering av flera redundanskluster som finns i tre typer: beräkning, lagring och hyperkonvergerad. Den här gruppering ökar antalet servrar i en enda programvarudefinierad datacenterlösning (SDDC) utöver de aktuella gränserna för ett kluster. Med klusteruppsättningar kan du flytta virtuella datorer online mellan kluster i klusteruppsättningen. Mer information finns i Distribuera en klusteruppsättning.
Kluster är nu Azure-medvetna som standard. Azure-medvetna kluster identifierar automatiskt när de körs i virtuella Azure IaaS-datorer och optimerar sedan sin konfiguration för att uppnå högsta tillgänglighetsnivå. Dessa optimeringar omfattar proaktiv redundans och loggning av planerade underhållshändelser i Azure. Automatiserad optimering gör distributionen enklare genom att ta bort behovet av att konfigurera lastbalanseraren med distribuerat nätverksnamn för klusternamnet.
Med klustermigrering mellan domäner kan redundanskluster dynamiskt flyttas från en Active Directory-domän till en annan, vilket förenklar domänkonsolideringen och gör det möjligt för maskinvarupartner att skapa kluster och ansluta dem till kundens domän vid ett senare tillfälle.
Med USB-vittnesfunktionen kan du använda en USB-enhet som är ansluten till en nätverksväxel som vittne för att fastställa kvorum för ett kluster. Den här funktionen innehåller utökat stöd för filresursvittne för alla SMB2-kompatibla enheter.
CSV-cachen är nu aktiverad som standard för att öka prestandan för virtuella datorer. MSDTC stöder nu Cluster Shared Volumes för att möjliggöra distribution av MSDTC-arbetsbelastningar på Storage Spaces Direct, till exempel med SQL Server. Förbättrad logik för att identifiera partitionerade noder med självåterställning för att returnera noder till klustermedlemskap. Förbättrad identifiering av klusternätverksroutning och självläkande funktion.
Klustermedveten uppdatering (CAU) är nu integrerad och medveten om Lagringsdirigering, vilket validerar och säkerställer att datasynkronisering slutförs på varje nod. Cluster Aware Updating undersöker uppdateringar för intelligent omstart endast när det är nödvändigt. Med den här funktionen kan du starta om alla servrar i klustret för planerat underhåll.
Du kan nu använda fildelningsvittnen i följande scenarier:
Frånvarande eller dålig Internetåtkomst på grund av en fjärransluten plats, vilket förhindrar användning av ett molnvittne.
Brist på delade diskar för ett diskvittne. Till exempel en konfiguration som inte använder delade diskar, som en hyperkonvergerad konfiguration med Storage Spaces Direct, SQL Server Always On Availability Groups (AG) eller en Exchange Database-tillgänglighetsgrupp (DAG).
Brist på domänkontrollantanslutning på grund av att klustret finns bakom en DMZ.
Ett arbetsgrupps- eller korsdomänkluster som inte har ett Active Directory-klusternamnobjekt (CNO). Windows Server blockerar nu även med hjälp av en DFS-namnrymdsresurs som en plats. Att lägga till ett filesharevittne till en DFS-delning kan orsaka stabilitetsproblem för klustret, och den här konfigurationen har aldrig varit stöd för. Vi har lagt till logik för att identifiera om en resurs använder DFS-namnområden, och om DFS-namnområden identifieras blockerar Klusterhanteraren för redundansväxling skapandet av vittnet och visar ett felmeddelande om att det inte stöds.
En klusterhärdningsfunktion har implementerats som förbättrar säkerheten för kommunikation mellan kluster via SMB (Server Message Block) för klusterdelade volymer och lagringsdirigering. Den här funktionen använder certifikat för att ge den säkraste plattformen som möjligt. På så sätt kan redundanskluster nu fungera utan beroenden på NTLM, vilket gör att säkerhetsbaslinjer kan upprättas.
Redundanskluster använder inte längre NTLM-autentisering. I stället använder Windows Server 2019-kluster nu enbart Kerberos och certifikatbaserad autentisering. Användarna behöver inte göra några ändringar eller distribuera något för att dra nytta av den här säkerhetsförbättringen. Med den här ändringen kan du också distribuera redundanskluster i miljöer där NTLM är inaktiverat.
Programplattform
Linux-containrar i Windows
Nu är det möjligt att köra Windows- och Linux-baserade containrar på samma containervärd med samma Docker-daemon. Nu kan du ha en heterogen containervärdmiljö som ger programutvecklare flexibilitet.
Inbyggt stöd för Kubernetes
Windows Server 2019 fortsätter förbättringarna av beräkning, nätverk och lagring från de Semi-Annual Channel-versioner som behövs för att stödja Kubernetes i Windows. Mer information finns i kommande Kubernetes-versioner.
Container Networking i Windows Server 2019 förbättrar avsevärt användbarheten för Kubernetes i Windows. Vi har förbättrat plattformens nätverksåterhämtning och stöd för plugin-program för containernätverk.
Distribuerade arbetsbelastningar på Kubernetes kan använda nätverkssäkerhet för att skydda både Linux- och Windows-tjänster med hjälp av inbäddade verktyg.
Containerförbättringar
Förbättrad integrerad identitet
Vi har gjort integrerad Windows-autentisering i containrar enklare och mer tillförlitlig, med flera begränsningar från tidigare versioner av Windows Server.
Bättre programkompatibilitet
Containerinkapsningen av Windows-baserade program blev precis enklare: Appkompatibiliteten för den befintliga windowsservercore avbildningen har ökat. För program med fler API-beroenden finns det nu en tredje basavbildning: windows.
Minskad storlek och högre prestanda
Nedladdningsstorlekarna för bascontainerns avbildning, storleken på disken och starttiden har förbättrats för att påskynda containerarbetsflödena.
Hanteringsupplevelse med hjälp av Windows Administrationscenter (förhandsversion)
Vi har gjort det enklare än någonsin att se vilka containrar som körs på datorn och hantera enskilda containrar med ett nytt tillägg för Windows Admin Center. Leta efter tillägget "Containers" i det offentliga flödet i Windows Admin Center
.
Beräkningsförbättringar
startordning för virtuella maskiner startordning för virtuella maskiner förbättras också med operativsystem- och programmedvetenhet, vilket ger förbättrade utlösare för när en virtuell maskin anses startad innan nästa startas.
minnesstöd för lagringsklass för virtuella datorer gör det möjligt att skapa NTFS-formaterade direktåtkomstvolymer på icke-flyktiga DIMM:er och exponeras för Hyper-V virtuella datorer. Hyper-V virtuella datorer kan nu använda prestandafördelarna med låg latens för lagringsklassminnesenheter.
stöd för beständigt minne för Hyper-V virtuella datorer Om du vill använda det höga dataflödet och den låga svarstiden för beständigt minne (även kallat lagringsklassminne) på virtuella datorer kan det nu projiceras direkt till virtuella datorer. Beständigt minne kan bidra till att drastiskt minska svarstiden för databastransaktioner eller minska återställningstiderna för minnesinterna databaser med låg svarstid vid fel.
Container Storage – beständiga datavolymer Programcontainrar har nu beständig åtkomst till volymer. För mer information, se Containerlagringsstöd med klusterdelade volymer (CSV), Storage Spaces Direct (S2D), global SMB-mappning.
Konfigurationsfilformat för virtuell dator (uppdaterat) Den virtuella datorns gästtillståndsfil (
.vmgs) har lagts till för virtuella datorer med konfigurationsversionen 8.2 och senare. Den virtuella datorns gästtillståndsfil innehåller information om enhetstillstånd som tidigare ingick i vm-körningstillståndsfilen.
Krypterade nätverk
Krypterade nätverk – Kryptering av virtuella nätverk tillåter kryptering av virtuell nätverkstrafik mellan virtuella datorer som kommunicerar med varandra i undernät som har markerats som Kryptering aktiverat. Den använder också Datagram Transport Layer Security (DTLS) i det virtuella undernätet för att kryptera paket. DTLS skyddar mot avlyssning, manipulering och förfalskning av alla som har åtkomst till det fysiska nätverket.
Förbättringar av nätverksprestanda för virtuella arbetsbelastningar
Förbättringar av nätverksprestanda för virtuella arbetsbelastningar maximerar nätverkets genomströmning till virtuella datorer utan att du behöver justera eller överallokera värden hela tiden. Förbättrad prestanda sänker drift- och underhållskostnaden samtidigt som den tillgängliga densiteten för dina värdar ökar. Dessa nya funktioner är:
Dynamisk virtuell dator med flera köer (d.VMMQ)
Mottagning av segmentkoalescering i vSwitch
Bakgrundstransport med låg extra fördröjning
LEDBAT (Low Extra Delay Background Transport) är en leverantör för fördröjningsoptimerad nätverksbelastningskontroll som är utformad för att automatiskt ge bandbredd till användare och program. LEDBAT förbrukar tillgänglig bandbredd medan nätverket inte används. Tekniken är avsedd att användas när du distribuerar stora, kritiska uppdateringar i en IT-miljö utan att påverka kundinriktade tjänster och tillhörande bandbredd.
Windows-tidstjänst
Windows Time Service- innehåller stöd för sanna UTC-kompatibla skotsekunder, ett nytt tidsprotokoll med namnet Precision Time Protocol och spårbarhet från början till slut.
SDN-gatewayer med höga prestanda
SDN-gatewayer med höga prestanda i Windows Server 2019 förbättrar avsevärt prestandan för IPsec- och GRE-anslutningar, vilket ger extremt högpresterande dataflöde med mycket mindre processoranvändning.
Nytt distributionsgränssnitt och Windows Admin Center-tillägg för SDN
Nu, med Windows Server 2019, är det enkelt att distribuera och hantera via ett nytt distributionsgränssnitt och Windows Admin Center-tillägg som gör det möjligt för vem som helst att utnyttja kraften i SDN.
Windows-undersystem för Linux (WSL)
Med WSL kan serveradministratörer använda befintliga verktyg och skript från Linux på Windows Server. Många förbättringar som visas i -kommandoradsbloggen är nu en del av Windows Server, inklusive bakgrundsuppgifter, DriveFS, WSLPath och mycket mer.
Active Directory Federation Services
Active Directory Federation Services (AD FS) för Windows Server 2019 innehåller följande ändringar.
Skyddade inloggningar
Skyddade inloggningar med AD FS innehåller nu följande uppdateringar:
Användare kan nu använda autentiseringsprodukter från tredje part som sin första faktor utan att exponera lösenord. I fall där den externa autentiseringsprovidern kan bevisa två faktorer kan den använda multifaktorautentisering (MFA).
Användare kan nu använda lösenord som en extra faktor när de har använt ett alternativ som inte är lösenord som den första faktorn. Det här inbyggda stödet förbättrar den övergripande upplevelsen av AD FS 2016, vilket krävde nedladdning av en GitHub-adapter.
Användare kan nu skapa egna moduler för riskbedömning av plugin-program för att blockera vissa typer av begäranden under förautentiseringsfasen. Den här funktionen gör det enklare att använda molninformation, till exempel identitetsskydd, för att blockera riskfyllda användare eller transaktioner. Mer information finns i Skapa plugin-program med AD FS 2019 Riskbedömningsmodell.
Förbättrar snabbkorrigeringstekniker för Extranet Smart Lockout (ESL) (QFE) genom att lägga till följande funktioner:
Nu kan du använda granskningsläge medan du skyddas av klassiska extranätsutelåsningsfunktioner.
Användare kan nu använda oberoende utelåsningströsklar för välbekanta platser. Med den här funktionen kan du köra flera instanser av appar i ett common service-konto för att distribuera lösenord med minimala störningar.
Andra säkerhetsförbättringar
AD FS 2019 innehåller följande säkerhetsförbättringar:
Med Fjärr-PowerShell med smartkortsinloggning kan användarna fjärransluta till AD FS med SmartCards genom att köra PowerShell-kommandon. Användare kan också använda den här metoden för att hantera alla PowerShell-funktioner, inklusive cmdletar med flera noder.
Med anpassning av HTTP-huvuden kan användarna anpassa HTTP-huvuden som skapats under AD FS-svar. Sidhuvudanpassning innehåller följande typer av rubriker:
HSTS, som bara tillåter dig att använda AD FS-slutpunkter på HTTPS-slutpunkter för att tillämpas av en kompatibel webbläsare.
X-frame-options, som ger AD FS-administratörer möjlighet att tillåta specifika betrodda parter att bädda in iFrames för interaktiva AD FS-inloggningssidor. Du bör bara använda den här headern på HTTPS-servrar.
Framtida rubrik. Du kan också konfigurera flera framtida rubriker.
Mer information finns i Anpassa HTTP-säkerhetssvarshuvuden med AD FS 2019.
Autentiserings- och policyfunktioner
AD FS 2019 innehåller följande autentiserings- och principfunktioner:
Användare kan nu skapa regler för att ange vilken autentiseringsprovider som distributionen anropar för extra autentisering. Den här funktionen hjälper till med övergången mellan autentiseringsprovidrar och att skydda specifika appar som har särskilda krav för extra autentiseringsprovidrar.
Valfria begränsningar för TLS-baserade enhetsautentiseringar (Transport Layer Security) så att endast program som kräver TLS kan använda dem. Användare kan begränsa klient-TLS-baserade enhetsautentiseringar så att endast program som utför enhetsbaserad villkorlig åtkomst kan använda dem. Den här funktionen förhindrar oönskade uppmaningar om enhetsautentisering för program som inte kräver TLS-baserad enhetsautentisering.
AD FS har nu stöd för att göra om andrafaktorautentiseringsuppgifter baserat på den andra faktorns nya autentiseringsuppgifter. Med den här funktionen kan användarna bara kräva TFA för den första transaktionen och sedan bara kräva den andra faktorn regelbundet. Du kan bara använda den här funktionen i program som kan tillhandahålla en extra parameter i begäran, eftersom det inte är en konfigurerbar inställning i AD FS. Microsoft Entra ID stöder den här parametern om du konfigurerar inställningen Kom ihåg min MFA för X Days så att stöderMFA- inställd på True i inställningarna för federerat domänförtroende i Microsoft Entra.
Förbättringar av enkel inloggning
AD FS 2019 innehåller även följande förbättringar av enkel inloggning (SSO):
AD FS använder nu ett sidnumrerat UX-flöde och ett centrerat användargränssnitt (UI) som ger en smidigare inloggningsupplevelse för användare. Den här ändringen speglar funktioner som erbjuds i Azure AD. Du kan behöva uppdatera organisationens logotyp och bakgrundsbilder så att de passar det nya användargränssnittet.
Vi har åtgärdat ett problem som gjorde att MFA-tillståndet inte bevaras när autentisering med primär uppdateringstoken (PRT) används på Windows 10-enheter. Användare bör nu uppmanas att ange andra faktorautentiseringsuppgifter mindre ofta. Upplevelsen bör nu vara konsekvent när enhetsautentiseringen lyckas med klientens TLS- och PRT-autentisering.
Stöd för att skapa moderna verksamhetsspecifika appar
AD FS 2019 innehåller följande funktioner som stöd för att skapa moderna verksamhetsspecifika appar (LOB):
AD FS innehåller nu stöd för OAuth-enhetsflödesprofil för inloggning med enheter utan en gränssnittsyta för att stödja omfattande inloggningsupplevelser. Med den här funktionen kan användarna slutföra inloggningen på en annan enhet. Azure Command-Line Interface (CLI) i Azure Stack kräver den här funktionen och du kan även använda den i andra scenarier.
Du behöver inte längre parametern Resource för att använda AD FS, vilket är i linje med aktuella OAUth-specifikationer. Klienter behöver nu bara ange identifieraren för den förlitande parten som en omfångsparameter tillsammans med de begärda behörigheterna.
Du kan använda CORS-huvuden (cross-origin resource sharing) i AD FS-svar. Med de här nya rubrikerna kan användarna skapa ensidesprogram som gör att JavaScript-bibliotek på klientsidan kan verifiera id_token signatur genom att fråga efter signeringsnycklarna från identifieringsdokumentet Open ID Connect (OIDC) i AD FS.
AD FS innehåller PKCE-stöd (Proof Key for Code Exchange) för säkert autentiseringskodflöde i OAuth. Det här extra säkerhetsskiktet förhindrar att skadliga aktörer kapar koden och spelar upp den från en annan klient.
Vi har åtgärdat ett mindre problem som gjorde att AD FS endast skickade x5t-anspråket. AD FS skickar nu också ett barnanspråk för att ange nyckel-ID-tipset för signaturverifiering.
Förbättringar av underhållbarhet
Administratörer kan nu konfigurera AD FS så att användare kan skicka felrapporter och felsöka loggar till dem som en ZIP-fil för felsökning. Administratörer kan också konfigurera en SMTP-anslutning (Simple Mail Transfer Protocol) för att automatiskt skicka ZIP-filen till ett triage-e-postkonto. Med en annan inställning kan administratörer automatiskt skapa en biljett för sitt supportsystem baserat på e-postmeddelandet.
Distributionsuppdateringar
Följande distributionsuppdateringar ingår nu i AD FS 2019:
- AD FS har en liknande funktion som dess Windows Server 2016-version som gör det enklare att uppgradera Windows Server 2016-servergrupper till Windows Server 2019-servergrupper. En Windows Server 2019-server som läggs till i en Windows Server 2016-servergrupp fungerar bara som en Windows Server 2016-server förrän du är redo att uppgradera. Mer information finns i Uppgradera till AD FS i Windows Server 2016.
SAML-uppdateringar
AD FS 2019 innehåller följande SAML-uppdateringar (Security Assertion Markup Language):
Vi har åtgärdat problem med aggregerat federationsstöd, till exempel InCommon, inom följande områden:
Förbättrad skalning för många entiteter i dokumentet med aggregerade federationsmetadata. Tidigare skulle skalning för dessa entiteter misslyckas och returnera ett ADMIN0017 felmeddelande.
Nu kan du ställa frågor med parametern ScopeGroupID genom att köra
Get-AdfsRelyingPartyTrustsGroupPowerShell-cmdleten.Förbättrad hantering av felvillkor för duplicerade entityID- värden.
Resursspecifikation i Azure AD-stil i omfångsparameter
Tidigare krävde AD FS att den önskade resursen och omfånget skulle finnas i en separat parameter i alla autentiseringsbegäranden. Följande exempel på OAuth-begäran innehåller till exempel en omfångsparameter:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Med AD FS på Windows Server 2019 kan du nu skicka det inbäddade resursvärdet i omfångsparametern. Den här ändringen är konsekvent med autentisering mot Microsoft Entra-ID.
Omfångsparametern kan nu ordnas som en utrymmesavgränsad lista som strukturerar varje entitet som en resurs eller ett omfång.
Not
Du kan bara ange en resurs i autentiseringsbegäran. Om du inkluderar mer än en resurs i begäran returnerar AD FS ett fel och autentiseringen lyckas inte.