Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны некоторые новые функции Windows Server 2019. Windows Server 2019 основана на сильном фундаменте Windows Server 2016 и предоставляет множество инноваций в четырех ключевых темах: гибридное облако, безопасность, платформа приложений и гиперконвергентная инфраструктура (HCI).
Общие
Windows Admin Center;
Windows Admin Center представляет собой локально развертываемое браузерное приложение для управления серверами, кластерами, гиперконвергентной инфраструктурой и ПК под управлением Windows 10. Это не требует дополнительных затрат за пределами Windows и готово к использованию в рабочей среде.
Вы можете установить Windows Admin Center в Windows Server 2019 и Windows 10 и более ранних версиях Windows и Windows Server, а также использовать его для управления серверами и кластерами под управлением Windows Server 2008 R2 и более поздних версий.
Подробные сведения см. в статье Hello, Windows Admin Center! (Привет, Windows Admin Center!).
Возможности рабочего стола
Поскольку Windows Server 2019 — это релиз Long-Term Servicing Channel (LTSC), он включает Desktop Experience. Выпуски Semi-Annual Channel (SAC) изначально не включают интерфейс рабочего стола; они представляют собой выпуски образов контейнеров Server Core и Nano Server. Как и в случае с Windows Server 2016, во время настройки операционной системы вы можете выбрать установку основных серверных компонентов или установку сервера с возможностями рабочего стола.
Системная аналитика
Системная аналитика — это новая функция, доступная в Windows Server 2019, за счет которой в Windows Server реализуется встроенная поддержка локальных возможностей прогнозной аналитики. Эти прогнозные возможности, каждая из которых поддерживается моделью машинного обучения, локально анализирует системные данные Windows Server, такие как счетчики производительности и события. System Insights позволяет понять, как работают ваши серверы и помочь сократить операционные расходы, связанные с реактивным управлением проблемами в развертываниях Windows Server.
Гибридное облако
Функция совместимости приложений основных серверных компонентов по требованию
Функция совместимости основных приложений сервера по запросу (FOD) значительно улучшает совместимость приложений, включая подмножество двоичных файлов и компонентов из Windows Server с рабочим столом. Ядро сервера остается максимально оптимизированным за счет не включения графической среды Windows Server Desktop Experience, что повышает функциональные возможности и совместимость.
Эта дополнительная функция по требованию доступна в отдельном ISO-файле, и ее можно добавлять только в образы и установки основных серверных компонентов Windows с помощью DISM.
Роль транспортного сервера служб развертывания Windows (WDS), добавленная в серверное ядро
Транспортный сервер содержит только основные сетевые компоненты службы развертывания Windows (WDS). Теперь вы можете использовать Server Core с ролью транспортного сервера для создания пространств имен многоадресной рассылки, которые передают данные (включая образы операционной системы) с автономного сервера. Вы также можете использовать его, если требуется предоставить PXE-сервер, который позволяет клиентам выполнять PXE-загрузку и скачивать собственное приложение для установки.
Интеграция служб удаленных рабочих столов с Azure AD
Интеграция Azure AD позволяет использовать политики условного доступа, многофакторную проверку подлинности, встроенную проверку подлинности с другими приложениями SaaS с помощью Azure AD и многое другое. Дополнительные сведения см. в разделе Интеграция доменных служб Azure AD со средой RDS.
Сеть
Мы внесли несколько улучшений в основной сетевой стек, такие как TCP Fast Open (TFO), автоматическая настройка окна получения, IPv6 и многое другое. Дополнительные сведения см. в статье об улучшении функций Core Network Stack.
Динамические vRSS и VMMQ
В прошлом очереди виртуальных машин и мультиочереди виртуальных машин (VMMQs) обеспечили гораздо более высокую пропускную способность для отдельных виртуальных машин, так как пропускная способность сети начала превышать отметку 10GbE и выше. К сожалению, планирование, подстрока, настройка и мониторинг, необходимые для успешного выполнения, стала гораздо более крупной задачей, чем ожидалось ИТ-администраторам.
Windows Server 2019 улучшает эти оптимизации путем динамического распространения и настройки обработки сетевых рабочих нагрузок по мере необходимости. Windows Server 2019 обеспечивает пиковую эффективность и удаляет нагрузку конфигурации для ИТ-администраторов. Дополнительные сведения см. в статье Сетевые требования для узлов Azure локально.
Безопасность
Windows Defender Advanced Threat Protection (ATP)
Датчики глубокого анализа и ответные действия платформы ATP выявляют атаки на уровне памяти и ядра и реагируют на них путем подавления вредоносных файлов и завершения вредоносных процессов.
Подробные сведения об ATP в Защитнике Windows см. в статье Overview of Microsoft Defender ATP capabilities (Обзор возможностей ATP в Защитнике Windows).
Подробные сведения о подключении серверов см. в статье Onboard servers to Microsoft Defender ATP service (Подключение серверов к службе Microsoft Defender ATP).
Windows Defender ATP Exploit Guard — это новый набор возможностей для предотвращения вторжений в узел, который позволяет сбалансировать требования к безопасности и производительности. Эксплойт Гард Windows Защитника предназначен для защиты устройства против широкого спектра векторов атак и блокировки действий, часто используемых в вредоносных программных атаках. Компоненты:
Снижение поверхности атаки (ASR) — это набор настроек, которые предприятия могут включить для предотвращения попадания вредоносного ПО на компьютер, блокируя подозрительные файлы. Например, файлы Office, сценарии, боковое перемещение, поведение программ-шантажистов и угрозы на основе электронной почты.
Функция Защита сети защищает конечные точки от веб-угроз, блокируя любые процессы на устройстве, идущие к недоверенным узлам и IP-адресам, с помощью фильтра SmartScreen Защитника Windows.
Функция Контролируемый доступ к файлам защищает конфиденциальные данные от программ-шантажистов, блокируя доступ недоверенных процессов к защищенным папкам.
Защита от эксплойтов — это набор мер по устранению рисков для эксплойтов уязвимостей (замена EMET), которые можно легко настроить для защиты системы и приложений.
Функция Управление приложениями в Защитнике Windows (также известна как политика целостности кода (CI) была представлена в Windows Server 2016. Мы облегчили развертывание, включив политики CI по умолчанию. Политика по умолчанию разрешает все встроенные файлы Windows и приложения Майкрософт, такие как SQL Server, и блокирует известные исполняемые файлы, которые могут обойти CI.
Безопасность программно-конфигурируемых сетей (SDN)
Функция Безопасность для SDN предоставляет множество возможностей для безопасного выполнения рабочих нагрузок клиентами как в локальной среде, так и в качестве поставщика услуг в облаке.
Эти усовершенствования безопасности интегрированы в многофункциональную платформу SDN, появившуюся в Windows Server 2016.
Полный список новых возможностей SDN доступен в статье Что нового в программно-конфигурируемой сети (SDN) для Windows Server 2019?
Улучшения экранированных виртуальных машин
Мы сделали следующие улучшения экранированных виртуальных машин.
Улучшения для филиалов
Теперь экранированные виртуальные машины можно запускать на компьютерах с прерывистым подключением к службе Host Guardian Service, используя новые функции резервного сервера HGS и автономного режима. Резервная HGS позволяет настроить второй набор URL-адресов для Hyper-V на случай, если не удастся подключиться к основному серверу HGS.
Даже если вы не можете достичь HGS, автономный режим позволяет продолжить запуск экранированных виртуальных машин. Автономный режим также позволяет запускать виртуальные машины до тех пор, пока виртуальная машина успешно запущена один раз, а конфигурация безопасности узла не изменилась.
Улучшения в устранении неполадок
Мы также облегчили устранение неполадок экранированных виртуальных машин, включив поддержку расширенного режима сеанса VMConnect и PowerShell Direct. Эти средства полезны при потере сетевого подключения к виртуальной машине и необходимости обновить конфигурацию для восстановления доступа. Дополнительные сведения см. в статье Защищенные структуры и экранированные виртуальные машины.
Эти функции не нужно настраивать, так как они становятся автоматически доступными при размещении экранируемой виртуальной машины на узле Hyper-V под управлением Windows Server версии 1803 или более поздней.
Поддержка Linux
Теперь Windows Server 2019 поддерживает выполнение систем Ubuntu, Red Hat Enterprise Linux и SUSE Linux Enterprise Server внутри экранированных виртуальных машина при работе в средах со смешанными ОС.
HTTP/2 для более быстрого и безопасного просмотра веб-страниц
Улучшенное объединение подключений исключает сбои при работе в Интернете, а также обеспечивает правильное шифрование веб-сеансов.
Обновленный процесс согласования наборов шифров на стороне сервера в HTTP/2 обеспечивает автоматическое устранение сбоев подключений и удобство развертывания.
Мы сделали CUBIC поставщиком контроля перегрузки протокола TCP по умолчанию, чтобы еще больше повысить пропускную способность!
Зашифрованные сети
Шифрование виртуальной сети шифрует трафик виртуальной сети между виртуальными машинами в подсетях с меткой "Включено шифрование". Зашифрованные сети также используют datagram Transport Layer Security (DTLS) в виртуальной подсети для шифрования пакетов. DTLS защищает данные от перехвата, изменения и подделки любым пользователем с доступом к физической сети.
Дополнительные сведения см. в разделе "Зашифрованные сети".
Аудит брандмауэра
Аудит брандмауэра — это новая функция брандмауэра SDN, записывающая все потоки, обрабатываемые правилами брандмауэра SDN и списками управления доступом (ACL), в которых включено ведение журнала.
Пиринг между виртуальными сетями
Пиринг между виртуальными сетями позволяет легко подключать две виртуальные сети. После однорангового подключения виртуальные сети отображаются в инструментах мониторинга как единая сеть.
Измерение исходящего трафика
Измерение исходящего трафика предоставляет счетчики для измерения использования исходящих данных. Сетевой контроллер использует эту функцию для сохранения списка разрешений всех диапазонов IP-адресов, используемых в SDN для каждой виртуальной сети. Эти списки считают любой пакет, направляющийся к месту назначения, не включенному в указанные диапазоны IP-адресов, как передаваемые данные для выставления счета.
Хранилище
Ниже приведены некоторые изменения, внесенные в хранилище в Windows Server 2019. На хранилище также оказывают влияние обновления дедупликации данных, особенно обновление API DataPort для оптимизированного входящего и исходящего трафика в дедуплицированные тома.
Диспетчер ресурсов файлового сервера
Теперь можно запретить службе Диспетчера файловых серверов создавать журнал изменений (также известный как журнал USN) во всех томах при запуске службы. Предотвращение создания пути изменения может сохранить пространство на каждом томе, но отключит классификацию файлов в режиме реального времени. Подробные сведения см. в статье File Server Resource Manager (FSRM) overview (Обзор диспетчера ресурсов файлового сервера (FSRM)).
Малый и средний бизнес
Windows Server больше не устанавливает клиент И сервер SMB1 по умолчанию. Кроме того, возможность проверки подлинности гостя в SMB2 и более поздних версиях отключена по умолчанию. Дополнительные сведения см. в разделе SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Windows Server версии 1709 или более поздних версий.
Теперь вы можете отключить блокировки в SMB2+ для устаревших приложений. Вы также можете требовать подписывания или шифрования на основе каждого подключения от клиента. Дополнительные сведения см. в справке по модулю SMBShare PowerShell.
Служба миграции хранилища
Служба переноса хранилищ упрощает перенос серверов в более новую версию Windows Server. Это графическое средство инвентаризации данных на серверах, а затем передает данные и конфигурацию на более новые серверы. Служба миграции хранилища также может переместить удостоверения старых серверов на новые серверы, чтобы пользователям не пришлось перенастраивать свои профили и приложения. Для получения дополнительной информации см. Служба миграции хранилищ.
Windows Admin Center версии 1910 добавил возможность развертывания виртуальных машин Azure. Это обновление интегрирует развертывание виртуальной машины Azure в службу миграции хранилища. Дополнительные сведения см. в статье о миграции виртуальных машин Azure.
При запуске оркестратора сервера миграции хранилища на Windows Server 2019 с установленным KB5001384 или на Windows Server 2022, вы также можете получить доступ к следующим функциям, выпущенным на производство (RTM):
- Перенос локальных пользователей и групп на новый сервер.
- Перенос хранилища из отказоустойчивых кластеров, перенос в отказоустойчивые кластеры и перенос между автономными серверами и отказоустойчивыми кластерами.
- Перенос хранилища с сервера Linux, использующего Samba.
- Синхронизируйте перенесенные общие ресурсы в Azure с помощью Azure File Sync.
- Перенос в новые сети, такие как Azure.
- Перенос серверов NetApp Common Internet File System (CIFS) из массивов Служб федеративной проверки подлинности NetApp (FAS) на серверы и кластеры Windows.
Прямые накопительные пространства
Вот что нового в Storage Spaces Direct. Дополнительные сведения о том, как получить проверенные системы Storage Spaces Direct, см. в обзоре локального решения Azure.
Дедупликация и сжатие томов ReFS. Хранилище фрагментов переменного размера с необязательным сжатием максимально увеличивает экономию, а многопоточная архитектура постобработки минимизирует воздействие на производительность. Эта функция поддерживает тома до 64 ТБ и дедупликирует первые 4 МБ каждого файла.
Встроенная поддержка постоянной памяти, которая позволяет управлять постоянной памятью, как и любой другой диск в PowerShell или Windows Admin Center. Эта функция поддерживает модули постоянной памяти Intel Optane DC PM и NVDIMM-N.
Вложенная отказоустойчивость для гиперконвергентной инфраструктуры с двумя узлами в периферийных зонах. С помощью нового варианта устойчивости программного обеспечения на основе RAID 5+1 теперь можно одновременно выжить два сбоя оборудования. Кластер с двумя узлами Storage Spaces Direct предоставляет постоянно доступное хранилище для приложений и виртуальных машин, даже если один серверный узел выходит из строя, а другой узел сталкивается с отказом диска.
Кластеры с двумя серверами теперь могут использовать USB-накопитель флэш-памяти в качестве свидетеля. Если сервер выходит из строя, а затем возвращается в строй, кластер USB-накопителя знает, какой сервер содержит самые актуальные данные. Для получения дополнительной информации см. наш блог-анонс о Storage Spaces Direct и настройку файловой шары-свидетеля для отказоустойчивой кластеризации.
Windows Admin Center поддерживает панель мониторинга, которая позволяет управлять дисковые пространства напрямую и отслеживать их. Вы можете отслеживать IOPS и задержку ввода-вывода от общего уровня кластера до отдельных SSD или HDD без дополнительных затрат. Дополнительные сведения см. в статье Управление гиперконвергентной инфраструктурой с помощью Windows Admin Center.
История производительности — это новая функция, которая обеспечивает легкую видимость использования ресурсов и измерений. Дополнительные сведения см. в разделе История производительности для Storage Spaces Direct.
Масштабируйте до 4 ПБ на кластер, используя емкость до 64 томов по 64 ТБ каждый. Можно также объединить несколько кластеров в набор кластеров для более широкого масштабирования в одном пространстве имен хранилища.
Используя четность с зеркальным ускорением, можно создать тома Локальные дисковые пространства, которые включают стратегии зеркалирования и четности, аналогичные сочетанию RAID-1 и RAID-5/6. Технология четности с зеркальным ускорением теперь в два раза быстрее, чем в Windows Server 2016.
Обнаружение аномалий задержки автоматически определяет медленные диски в PowerShell и Центре администрирования Windows со статусом "Аномальная задержка".
Вручную определите границы выделения томов для повышения отказоустойчивости. Дополнительные сведения см. в разделе "Разграничение распределения томов в Storage Spaces Direct".
Репликация хранилища
Вот что нового в репликации хранилища.
Теперь реплика хранилища доступна в Windows Server 2019 Standard Edition и Windows Server 2019 Datacenter Edition. Однако в Стандартной редакции можно реплицировать только один том, и этот том может быть не более 2 ТБ.
Тестирование отказоустойчивости — это новая функция, которая позволяет временно смонтировать моментальный снимок реплицированного хранилища на целевом сервере для тестирования или резервного копирования. Дополнительные сведения см. в разделе Часто задаваемые вопросы о Репликации Хранилища.
Улучшения производительности журнала реплики хранилища, такие как улучшенная пропускная способность репликации и уменьшенная задержка на хранилище, полностью состоящем из флэш-памяти, и в кластерах Storage Spaces Direct, которые реплицируются друг с другом.
Поддержка Windows Admin Center, включая графическое управление репликацией с помощью Диспетчера серверов для репликации между серверами, кластерами и репликации с расширением кластера.
Дедупликация данных
Windows Server 2019 теперь поддерживает отказоустойчивую файловую систему (ReFS). ReFS позволяет хранить до десяти раз больше данных на одном томе благодаря дедупликации и сжатию в файловой системе ReFS. Хранилище блоков с переменным размером поставляется с необязательной функцией сжатия, которая может максимально повысить уровень экономии, в то время как многопоточная архитектура постобработки обеспечивает минимальное влияние на производительность. ReFS поддерживает тома до 64 ТБ и дедупликирует первые 4 ТБ каждого файла. Дополнительные сведения см. в статье "Как включить дедупликацию и сжатие в Центре администрирования Windows" для краткой видеодемонстрации.
Отказоустойчивая кластеризация
Мы добавили следующие функции для отказоустойчивой кластеризации в Windows Server 2019:
Наборы кластеров группируют несколько кластеров в слабо связанное объединение нескольких отказоустойчивых кластеров, которые подразделяются на три типа: вычислительные, хранилище и гиперконвергентные. Это группирование увеличивает количество серверов в одном программно-определяемом решении центра обработки данных (SDDC) за пределами текущих ограничений кластера. С помощью наборов кластеров можно перемещать виртуальные машины, находящиеся в режиме онлайн, между кластерами в наборе кластеров. Дополнительные сведения см. в разделе "Развертывание набора кластеров".
Кластеры теперь адаптированы под Azure по умолчанию. Кластеры, поддерживающие Azure, автоматически определяют, когда они работают на виртуальных машинах Azure IaaS, а затем оптимизируют их конфигурацию для достижения самых высоких уровней доступности. Эти оптимизации включают упреждающую отработку отказа и логирование запланированных событий обслуживания Azure. Автоматическая оптимизация упрощает развертывание, удаляя необходимость настройки подсистемы балансировки нагрузки с именем распределенной сети для имени кластера.
Миграция между доменами позволяет динамически перемещать отказоустойчивые кластеры из одного домена Active Directory в другой, упрощая консолидацию домена и позволяя партнерам оборудования создавать кластеры и присоединять их к домену клиента в дальнейшем.
Функция USB-свидетеля позволяет использовать USB-диск, подключенный к сетевому коммутатору, в качестве свидетеля при определении кворума для кластера. Эта функция включает расширенную поддержку File Share Witness для любого устройства, совместимого с SMB2.
Кэш CSV теперь включен по умолчанию для повышения производительности виртуальной машины. MSDTC теперь поддерживает Cluster Shared Volumes, что позволяет развертывать рабочие нагрузки MSDTC на Storage Spaces Direct, например с SQL Server. Улучшенная логика для обнаружения секционированных узлов с автовосстановлением для возвращения узлов в состав кластера. Расширенное обнаружение путей в кластерной сети и их самовосстановление.
Обновление с учетом кластера (CAU) теперь интегрировано и учитывает Storage Spaces Direct, проверяя и обеспечивая завершение повторной синхронизации данных на каждом узле. Обновление с учетом кластера анализирует обновления, чтобы выполнить интеллектуальную перезагрузку только при необходимости. Эта функция позволяет перезапустить все серверы в кластере для планового обслуживания.
Теперь вы можете использовать свидетели файловых ресурсов общего доступа в следующих сценариях:
Отсутствие или плохой доступ к Интернету из-за удаленного расположения, предотвращение использования облачного свидетеля.
Отсутствие общих дисков для дискового свидетеля. Например, конфигурация, которая не использует общие диски, такие как гиперконвергентная конфигурация Storage Spaces Direct, группы доступности SQL Server Always On или группы доступности баз данных Exchange (DAG).
Отсутствие подключения контроллера домена из-за того, что кластер находится за DMZ.
Рабочий или междоменный кластер, у которых нет объекта имени кластера Active Directory (CNO). Windows Server теперь также блокирует использование пространств имен DFS в качестве расположения. Добавление свидетеля ресурса общего доступа в общую папку DFS может привести к проблемам стабильности кластера, и эта конфигурация никогда не поддерживалась. Мы добавили логику для определения, использует ли общий ресурс (share) пространства имен DFS, и если пространства имен DFS обнаружены, Менеджер отказоустойчивого кластера блокирует создание свидетеля и отображает сообщение об ошибке о том, что это не поддерживается.
Реализована функция защиты кластера, которая повышает безопасность взаимодействия внутри кластера через блок сообщений сервера (SMB) для общих томов кластера и Локальные дисковые пространства. Эта функция использует сертификаты для обеспечения максимально безопасной платформы. При этом отказоустойчивые кластеры теперь могут работать без каких-либо зависимостей от NTLM, что позволяет устанавливать базовые показатели безопасности.
Отказоустойчивые кластеры больше не используют проверку подлинности NTLM. Вместо этого кластеры Windows Server 2019 теперь используют исключительно Kerberos и проверку подлинности на основе сертификатов. Пользователям не нужно вносить какие-либо изменения или развертывать что-либо, чтобы воспользоваться преимуществами этого улучшения безопасности. Это изменение также позволяет развертывать отказоустойчивые кластеры в средах, где NTLM отключен.
Платформа приложения
Контейнеры Linux в Windows
Теперь можно запускать контейнеры на основе Windows и Linux на одном узле контейнеров с помощью той же управляющей программы docker. Теперь вы можете иметь разнородную среду узла контейнера, обеспечивающую гибкость для разработчиков приложений.
Встроенная поддержка Kubernetes
В Windows Server 2019 продолжается внедрение улучшений в области вычислений, сетевых функций и хранилища, полученных из выпусков Semi-Annual Channel, необходимых для поддержки Kubernetes в Windows. Дополнительная информация будет доступна в следующих выпусках Kubernetes.
Сеть контейнеров в Windows Server 2019 значительно повышает удобство использования Kubernetes в Windows. Мы улучшили устойчивость сети платформы и поддержку плагинов сети контейнеров.
Развернутые в Kubernetes рабочие нагрузки могут использовать средства сетевой безопасности для защиты служб Linux и Windows с помощью встроенных механизмов безопасности.
Улучшения контейнеров
Улучшенная интегрированная идентичность
Мы упростили процесс встроенной проверки подлинности Windows в контейнерах и повысили ее надежность, устранив некоторые ограничения предыдущих выпусков Windows Server.
Улучшенная совместимость приложений
Контейнеризация приложений на основе Windows стала проще: совместимость приложений для существующего образа windowsservercore была увеличена. Для приложений с дополнительными зависимостями API теперь существует третий базовый образ: окна.
Уменьшение размера и повышение производительности
Размеры загрузки базового образа контейнера, размер диска и время запуска были улучшены для ускорения рабочих процессов контейнеров.
Интерфейс администрирования в Windows Admin Center (предварительная версия)
Мы значительно упростили мониторинг контейнеров, запущенных на вашем компьютере, а также управление отдельными контейнерами с помощью нового расширения для Windows Admin Center. Найдите расширение "Контейнеры" в общедоступном веб-канале Windows Admin Center.
Улучшения вычислений
Порядок запуска виртуальной машины также улучшен благодаря учёту ОС и приложений, что обеспечивает улучшенные триггеры для определения момента, когда виртуальная машина считается запущенной, перед запуском следующей.
Поддержка памяти класса хранилища для виртуальных машин позволяет создавать тома с прямым доступом, отформатированные в NTFS, на энергонезависимых модулях DIMM и предоставлять их виртуальным машинам Hyper-V. Виртуальные машины Hyper-V теперь могут использовать преимущества низкой задержки для устройств памяти класса хранилища.
Поддержка постоянной памяти для виртуальных машин Hyper-V Постоянную память (также известную как память класса хранилища) теперь можно использовать для прямого проецирования в виртуальные машины, обеспечивая высокую пропускную способность и низкую задержку на виртуальных машинах Hyper-V. Постоянная память может помочь значительно сократить задержку транзакций базы данных или сократить время восстановления для баз данных с низкой задержкой в памяти при сбое.
Хранилище контейнеров — постоянные тома данных Контейнеры приложений теперь имеют постоянный доступ к томам. Дополнительные сведения см. в разделе Поддержка контейнеров хранения с общими томами кластера (CSV), пространствами хранения Direct (S2D) и глобальным сопоставлением SMB.
Формат файла конфигурации виртуальной машины (обновлен) Добавлен файл состояния виртуальной машины (
.vmgs) для виртуальных машин с версией конфигурации 8.2 и выше. Файл состояния гостевой виртуальной машины содержит сведения о состоянии устройства, которые ранее были частью файла состояния среды выполнения виртуальной машины.
Зашифрованные сети
Зашифрованные сети — функция шифрования виртуальных сетей, позволяющая шифровать трафик виртуальной сети между виртуальными машинами, которые обмениваются данными между собой в подсетях с пометкой Включено шифрование. Протокол безопасности транспортного уровня датаграмм (DTLS) также используется в виртуальной подсети для шифрования пакетов. Протокол DTLS обеспечивает защиту от перехвата, несанкционированных изменений и подделки со стороны любых лиц, имеющих доступ к физической сети.
Повышение производительности сети для виртуальных рабочих нагрузок
Повышение производительности сети для виртуальных рабочих нагрузок обеспечивает максимальную пропускную способность сети для виртуальных машин без необходимости постоянной настройки или избыточного предоставления ресурсов узла. Повышенная производительность снижает затраты на эксплуатацию и обслуживание, повышая при этом доступную плотность хостов. Новые функции:
Dynamic Virtual Machine Multi-Queue (динамическая многоканальная очередь для виртуальных машин, d.VMMQ).
объединение полученных сегментов в виртуальном коммутаторе;
Передача данных с низкой дополнительной задержкой в фоновом режиме
Низкозадержочный оптимизированный метод фонового транспорта (LEDBAT) — это технология управления сетевой перегрузкой, предназначенная для автоматической оптимизации передачи пропускной способности в пользу пользователей и приложений. LEDBAT использует пропускную способность, доступную в то время как сеть не используется. Эта технология предназначена для использования при развертывании крупных критически важных обновлений в ИТ-среде, не влияя на службы клиентов и связанную пропускную способность.
Служба времени Windows
В службе времени Windows реализована полноценная поддержка UTC-совместимой корректировочной секунды, новый протокол времени под названием "Протокол точного времени" (Precision Time Protocol), а также трассировка в сквозном режиме.
Высокопроизводительные шлюзы SDN
Высокопроизводительные шлюзы SDN в Windows Server 2019 значительно повышают производительность подключений IPsec и GRE, обеспечивая сверхвысокую пропускную способность при гораздо меньшей нагрузке на ЦП.
Новый пользовательский интерфейс развертывания и расширение Windows Admin Center для SDN
Теперь в Windows Server 2019 можно легко выполнять развертывание и управление с помощью нового пользовательского интерфейса для развертывания, а также расширения Windows Admin Center, которое предоставляет возможности SDN всем пользователям.
Подсистема Windows для Linux (WSL)
WSL позволяет администраторам сервера использовать имеющиеся средства и сценарии с Linux в Windows Server. Множество усовершенствований, о которых рассказывалось в блоге command line, теперь входят в состав Windows Server, включая фоновые задачи, DriveFS, WSLPath и многое другое.
Службы федеративной аутентификации Active Directory
службы федерации Active Directory (AD FS) для Windows Server 2019 включают следующие изменения.
Защищенные входы
Защищенные входы с помощью AD FS теперь включают следующие обновления:
Теперь пользователи могут использовать сторонние продукты проверки подлинности в качестве первого фактора без предоставления паролей. В случаях, когда внешний поставщик проверки подлинности может доказать два фактора, он может использовать многофакторную проверку подлинности (MFA).
Теперь пользователи могут использовать пароли в качестве дополнительного фактора после использования параметра, отличного от пароля, в качестве первого фактора. Эта встроенная поддержка улучшает общую работу с AD FS 2016, для которой требовалась загрузка адаптера с GitHub.
Теперь пользователи могут создавать собственные модули оценки рисков подключаемого модуля для блокировки определенных типов запросов на этапе предварительной проверки подлинности. Эта функция упрощает использование облачной аналитики, например защиты идентификации для блокировки рискованных пользователей или транзакций. Для получения дополнительной информации см. Создание подключаемых модулей с использованием модели оценки рисков AD FS 2019.
Улучшает процесс быстрого исправления (QFE) для функции Smart Lockout во внешней сети, добавляя следующие возможности:
Теперь можно использовать режим аудита, защищенный функцией блокировки классической экстрасети.
Теперь пользователи могут использовать независимые пороговые значения блокировки для знакомых расположений. Эта функция позволяет запускать несколько экземпляров приложений под общей учетной записью службы для смены паролей с минимальными перебоями.
Другие улучшения безопасности
AD FS 2019 включает следующие улучшения безопасности:
Удаленный вход PowerShell с помощью smartCard позволяет пользователям удаленно подключаться к AD FS с помощью смарт-карт, выполнив команды PowerShell. Пользователи также могут использовать этот метод для управления всеми функциями PowerShell, включая командлеты с несколькими узлами.
Настройка заголовка HTTP позволяет пользователям настраивать заголовки HTTP, созданные во время ответов AD FS. Настройка заголовка включает следующие типы заголовков:
HSTS, который позволяет использовать конечные точки AD FS только через HTTPS, чтобы обеспечить соблюдение политики в совместимом браузере.
X-frame-options, который позволяет администраторам AD FS разрешить определенным доверяющим сторонам встраивать iFrames для страниц интерактивного входа AD FS. Этот заголовок следует использовать только на узлах HTTPS.
Будущий заголовок. Можно также настроить несколько будущих заголовков.
Дополнительные сведения см. в разделе "Настройка заголовков ответов безопасности HTTP с помощью AD FS 2019".
Возможности проверки подлинности и политики управления
AD FS 2019 включает следующие возможности проверки подлинности и политики:
Теперь пользователи могут создавать правила, чтобы указать, какой поставщик проверки подлинности вызывается для дополнительной проверки подлинности. Эта функция помогает перейти между поставщиками проверки подлинности и защитить определенные приложения, которые имеют особые требования для дополнительных поставщиков проверки подлинности.
Необязательные ограничения для проверки подлинности устройств на основе TLS, чтобы их могли использовать только приложения, требующие TLS. Пользователи могут ограничить проверки подлинности устройств по TLS клиента так, чтобы их могли использовать только приложения, которые выполняют условный доступ на основе устройств. Эта функция предотвращает нежелательные запросы проверки подлинности устройств для приложений, которые не требуют проверки подлинности на основе TLS.
AD FS теперь поддерживает обновление учетных данных второго фактора на основе их актуальности. Эта функция позволяет пользователям требовать только TFA для первой транзакции, а затем периодически требовать только второй фактор. Эту функцию можно использовать только в приложениях, которые могут предоставить дополнительный параметр в запросе, так как это не настраиваемый параметр в AD FS. Идентификатор Microsoft Entra поддерживает этот параметр, если в настройках доверия федеративного домена Microsoft Entra ID для параметра "Запомнить мой MFA на X дней" установлено supportsMFA в значение True.
Улучшения единого входа
AD FS 2019 также включает следующие улучшения единого входа:
AD FS теперь использует многостраничный поток UX и центрированный пользовательский интерфейс, который обеспечивает более плавный процесс входа для пользователей. Это изменение повторяет функциональность, предлагаемую в Azure AD. Возможно, потребуется обновить логотип и фоновые изображения вашей организации, чтобы он соответствовал новому пользовательскому интерфейсу.
Исправлена проблема, из-за которой состояние MFA не сохранялось при использовании аутентификации с основным маркером обновления (PRT) на устройствах Windows 10. Теперь пользователям реже будут запрашивать учетные данные второго фактора. Теперь опыт должен быть последовательным при успешной аутентификации устройства с использованием клиентского TLS и аутентификации PRT.
Поддержка создания современных бизнес-приложений
AD FS 2019 включает следующие функции для поддержки создания современных бизнес-приложений (LOB):
AD FS теперь включает поддержку профиля потока устройств OAuth для авторизации с использованием устройств без пользовательского интерфейса, чтобы обеспечить расширенные возможности входа. Эта функция позволяет пользователям завершить вход на другом устройстве. Для работы интерфейса командной строки (CLI) Azure на платформе Azure Stack требуется эта функциональность, а также ее можно использовать в других сценариях.
Для использования AD FS больше не требуется параметр Resource , который соответствует текущим спецификациям OAUth. Теперь клиентам необходимо предоставить только идентификатор доверия полагающейся стороны вместе с запрашиваемыми разрешениями в качестве параметра области.
Заголовки общего доступа к ресурсам (CORS) можно использовать в ответах AD FS. Эти новые заголовки позволяют пользователям создавать одностраничные приложения, в которых клиентские библиотеки JavaScript могут проверять подпись id_token, запрашивая ключи подписи из документа обнаружения Open ID Connect (OIDC) в AD FS.
AD FS включает поддержку использования ключа подтверждения для обмена кодом (PKCE) для безопасного осуществления потока аутентификационного кода в OAuth. Этот дополнительный уровень безопасности запрещает злоумышленникам перехват кода и его повторение с другого клиента.
Исправлена дополнительная проблема, из-за которой AD FS отправляла только утверждение x5t. AD FS теперь также отправляет ребенку утверждение, чтобы указать ключ идентификатора для проверки подписи.
Улучшение поддерживаемости
Теперь администраторы могут настроить AD FS так, чтобы пользователи могли отправлять им отчеты об ошибках и журналы отладки в виде ZIP-файла для устранения неполадок. Администраторы также могут настроить подключение по простому протоколу передачи почты (SMTP) для автоматической отправки ZIP-файла на адрес электронной почты для сортировки. Другой параметр позволяет администраторам автоматически создавать запрос в службу поддержки на основе этого сообщения электронной почты.
Обновления для развертывания
В AD FS 2019 теперь включены следующие обновления для развертывания.
- AD FS имеет аналогичную функцию своей версии Windows Server 2016, что упрощает обновление ферм серверов Windows Server 2016 в фермы серверов Windows Server 2019. Сервер Windows Server 2019, добавленный в ферму серверов Windows Server 2016, будет работать только как сервер Windows Server 2016, пока не будет готов к обновлению. Дополнительные сведения см. в разделе "Обновление до AD FS" в Windows Server 2016.
Обновления SAML
AD FS 2019 включает следующие обновления языка разметки утверждений безопасности (SAML):
Исправлены проблемы в агрегированной поддержке федерации, например InCommon, в следующих областях:
Улучшено масштабирование для множества сущностей в метаданных объединённой федерации. Ранее масштабирование этих сущностей не удавалось, и возвращалось сообщение ошибки ADMIN0017.
Теперь вы можете выполнять запросы с помощью параметра ScopeGroupID, запустив командлет PowerShell
Get-AdfsRelyingPartyTrustsGroup.Улучшена обработка ошибок для повторяющихся значений entityID.
Спецификация ресурсов в стиле Azure AD для параметра scope.
Ранее компонент AD FS требовал, чтобы нужный ресурс и область указывались в разных параметрах для любого запроса проверки подлинности. Например, следующий пример запроса OAuth содержит параметр области:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
В AD FS на Windows Server 2019 теперь можно передать значение ресурса, внедренное в параметр scope. Это изменение согласуется с проверкой подлинности по Microsoft Entra ID.
Теперь параметр области можно упорядочить в виде разделенного пробелом списка, который структурировал каждую сущность как ресурс или область.
Примечание.
В запросе проверки подлинности можно указать только один ресурс. Если в запрос включено несколько ресурсов, AD FS возвращает ошибку и проверка подлинности не будет выполнена.