A Windows Server 2019 újdonságai

Ez a cikk a Windows Server 2019 néhány új funkcióját ismerteti. A Windows Server 2019 a Windows Server 2016 erős alapjaira épül, és számos újítást kínál négy fő témában: hibrid felhő, biztonság, alkalmazásplatform és Hyper-Converged infrastruktúra (HCI).

Általános

Windows Felügyeleti központ

A Windows Felügyeleti központ egy helyileg telepített, böngészőalapú alkalmazás kiszolgálók, fürtök, hiperkonvergens infrastruktúra és Windows 10 rendszerű számítógépek kezelésére. A Windows rendszer használatán túl semmilyen többletköltséggel nem jár, és éles környezetben való használatra kész.

Telepítheti a Windows Felügyeleti központot a Windows Server 2019, a Windows 10 és a Windows Server korábbi verzióira, és használhatja a Windows Server 2008 R2 és újabb rendszerű kiszolgálók és fürtök kezelésére.

További információ: Windows Admin Center.

Asztali felület

Mivel a Windows Server 2019 egy Long-Term karbantartási csatorna (LTSC) kiadás, a Asztali élményis tartalmazza. Semi-Annual channel (SAC) kiadások nem tartalmazzák a Desktop Experience-t tervezetten; ezek szigorúan Server Core és Nano Server tárolóképfájl kiadások. A Windows Server 2016-hoz hasonlóan az operációs rendszer telepítése során is választhat a Server Core telepítései vagy a Kiszolgáló asztali kezelőfelülettel rendelkező telepítések között.

System Insights

A System Insights a Windows Server 2019-ben elérhető új funkció, amely natív módon biztosítja a helyi prediktív elemzési képességeket a Windows Serverhez. Ezek a gépi tanulási modell által támogatott prediktív képességek helyileg elemzik a Windows Server rendszeradatait, például teljesítményszámlálókat és eseményeket. A System Insights lehetővé teszi a kiszolgálók működésének megértését, és segít csökkenteni a Windows Server üzemelő példányaival kapcsolatos problémák újraaktív kezelésével kapcsolatos működési költségeket.

Hibrid felhő

A Server Core alkalmazáskompatibilitási funkciója igény szerint

A Server Core alkalmazáskompatibilitási funkció igény szerinti (FOD) jelentősen javítja az alkalmazáskompatibilitást azzal, hogy tartalmaz egy részhalmazt a Windows Server bináris fájljaiból és összetevőiből az asztali felülettel együtt. A Server Core a lehető legkisebbre csökkenthető marad, mivel nem adja hozzá a Windows Server Desktop Experience grafikus környezetet, ezáltal növelve a funkcionalitást és a kompatibilitást.

Ez az igény szerinti választható funkció külön ISO-n érhető el, és csak a DISM használatával vehető fel Windows Server Core-telepítésekhez és rendszerképekhez.

Windows Deployment Services (WDS) Transport Server szerepkör hozzáadva a Server Core-hoz

A Transport Server csak a WDS alapvető hálózati részeit tartalmazza. Mostantól a Server Core és a Transport Server szerepkör használatával létrehozhat olyan csoportos küldésű névtereket, amelyek adatokat (beleértve az operációs rendszer lemezképeit) továbbítanak egy különálló kiszolgálóról. Akkor is használhatja, ha olyan PXE-kiszolgálót szeretne használni, amely lehetővé teszi az ügyfelek számára a PXE rendszerindítását és a saját egyéni telepítőalkalmazás letöltését.

Távoli asztali szolgáltatások integrációja az Azure AD-vel

Az Azure AD-integrációval feltételes hozzáférési szabályzatokat, többtényezős hitelesítést, az Azure AD-t használó más SaaS-alkalmazásokkal való integrált hitelesítést és sok mást használhat. További információért lásd: Az Azure AD Domain Services integrálása az RDS telepítésedbe.

Hálózatépítés

Számos fejlesztést végeztünk az alapvető hálózati veremen, mint például a TCP Fast Open (TFO), a fogadóablak automatizált hangolása, az IPv6 és sok más. További információért lásd a Core Network Stack funkciófejlesztési bejegyzést.

Dinamikus vRSS és VMMQ

Korábban a virtuálisgép-üzenetsorok és a virtuális gépek többsoros üzenetsorai (VMMQ-k) sokkal nagyobb átviteli sebességet engedélyeztek az egyes virtuális gépek számára, mivel a hálózati átviteli sebesség először elérte a 10 GbE-t, és azon túl is. Sajnos a sikerhez szükséges tervezés, alapkonfigurálás, finomhangolás és monitorozás sokkal nagyobb vállalkozássá vált, mint amire a rendszergazdák számítottak.

A Windows Server 2019 a hálózati számítási feladatok feldolgozásának igény szerinti dinamikus terjesztésével és finomhangolásával javítja ezeket az optimalizálásokat. A Windows Server 2019 biztosítja a maximális hatékonyságot, és megszünteti az informatikai rendszergazdák konfigurációs terheit. További információért lásd: Az Azure helyi szolgáltatásainak gazdagép hálózati követelményei.

Biztonság

Windows Defender Advanced Threat Protection (ATP)

Az ATP mélyplatform-érzékelői és válaszműveletei memória- és kernelszintű támadásokat fednek fel, és a rosszindulatú fájlok letiltásával és a rosszindulatú folyamatok megszüntetésével reagálnak.

• További információ a Windows Defender ATP-ről: A Windows Defender ATP képességeinek áttekintése.

• További információ a kiszolgálók előkészítéséről: Kiszolgálók előkészítése a Windows Defender ATP szolgáltatásba.

Windows Defender ATP Exploit Guard a hoszt behatolás-megelőzési képességek új készlete, amely lehetővé teszi a biztonsági kockázatok és a termelékenységi követelmények biztosítását. A Windows Defender Exploit Guard úgy lett kialakítva, hogy zárolja az eszközt a különféle támadási vektorok és a kártevők elleni támadásokban gyakran használt blokkolási viselkedések ellen. Az összetevők a következők:

• Támadási felület csökkentése (ASR) olyan vezérlők készlete, amelyek lehetővé teszik a vállalatok számára, hogy megakadályozzák, hogy a kártevők a gépre jussanak a gyanús rosszindulatú fájlok blokkolásával. Ilyenek például az Office-fájlok, a szkriptek, az oldalirányú mozgás, a zsarolóprogramok viselkedése és az e-mail-alapú fenyegetések.

• Hálózatvédelem védi a végpontot a webes fenyegetések ellen azáltal, hogy blokkolja az eszközön a nem megbízható gazdagépekre/IP-címekre irányuló kimenő folyamatokat a Windows Defender SmartScreenen keresztül.

• Szabályozott mappahozzáférés védi a bizalmas adatokat a zsarolóprogramoktól azáltal, hogy blokkolja a nem megbízható folyamatokat a védett mappák elérésében.

• Biztonsági rések elleni védelem a biztonsági rések kihasználása (az EMET cseréje) megoldásainak készlete, amelyek egyszerűen konfigurálhatók a rendszer és az alkalmazások védelmére.

• Windows Defender alkalmazásvezérlő (más néven kódintegritási (CI) szabályzat) megjelent a Windows Server 2016-ban. Egyszerűbbé tettük az üzembe helyezést az alapértelmezett CI-szabályzatok beírásával. Az alapértelmezett szabályzat lehetővé teszi az összes windowsos beépített fájlt és Microsoft-alkalmazást, például az SQL Servert, és letiltja az ismert végrehajtható fájlokat, amelyek megkerülhetik a CI-t.

Biztonság szoftveralapú hálózatkezeléssel (SDN)

A SDN biztonsági funkciói számos szolgáltatást nyújtanak az ügyfelek számára, növelve ezzel a munkaterhek helyszíni vagy felhőbeli szolgáltatásként történő futtatása iránti bizalmukat.

Ezek a biztonsági fejlesztések integrálva vannak a Windows Server 2016-ban bevezetett átfogó SDN-platformba.

Az SDN újdonságainak teljes listáját tekintse meg a(z) Windows Server 2019-hez készült SDN újdonságaioldalon.

Védett virtuális gépek fejlesztései

Az alábbi fejlesztéseket hajtottuk végre a védett virtuális gépeken.

Fiókiroda fejlesztései

Mostantól védett virtuális gépeket futtathat olyan gépeken, amelyek csak alkalmanként kapcsolódnak a Host Guardian Service-hez, az új tartalék HGS és offline mód funkcióinak segítségével. A tartalék HGS lehetővé teszi, hogy konfiguráljon egy második URL-készletet a(z) Hyper-V számára, amelyet megpróbál elérni, ha az elsődleges HGS-kiszolgálót nem tudja elérni.

Még ha nem is éri el a HGS-t, az offline mód lehetővé teszi, hogy továbbra is elindítsa a védett virtuális gépeket. Az offline mód lehetővé teszi a virtuális gépek indítását is mindaddig, amíg a virtuális gép egyszer sikeresen elindult, és a gazdagép biztonsági konfigurációja nem változott.

Hibaelhárítási fejlesztések

A védett virtuális gépek hibaelhárítását is egyszerűbbé tettük a VMConnect Enhanced Session Mode és a PowerShell Direct támogatásának engedélyezésével. Ezek az eszközök akkor hasznosak, ha elveszíti a virtuális gép hálózati kapcsolatát, és frissítenie kell annak konfigurációját a hozzáférés visszaállításához. További információért lásd: Védett infrastruktúra és védett virtuális gépek.

Ezeket a funkciókat nem kell konfigurálnia, mert automatikusan elérhetővé válnak, ha védett virtuális gépet helyez el egy Hyper-V gazdagépen, amely a Windows Server 1803-at vagy újabb verzióját futtatja.

Linux-támogatás

Vegyes operációsrendszer-környezetek futtatása esetén a Windows Server 2019 mostantól támogatja az Ubuntu, a Red Hat Enterprise Linux és a SUSE Linux Enterprise Server futtatását védett virtuális gépeken.

HTTP/2 a gyorsabb és biztonságosabb webért

• A kapcsolatok jobb egyesítésével zavartalan és megfelelően titkosított böngészési élményt biztosíthat.

• A továbbfejlesztett HTTP/2 kiszolgálóoldali titkosítási csomagjának egyeztetése a kapcsolati hibák automatikus elhárítására és az üzembe helyezés megkönnyítésére szolgál.

• Módosítottuk az alapértelmezett TCP torlódáskezelési algoritmusunkat Cubicra, hogy nagyobb átviteli sebességet biztosítsunk Önnek!

Titkosított hálózatok

A virtuális hálózati titkosítás titkosítja a virtuális hálózati forgalmat az alhálózatokon belüli virtuális gépek között, amelyek Titkosítás engedélyezve címkével rendelkeznek. A titkosított hálózatok a Datagram Transport Layer Security (DTLS) szolgáltatást is használják a virtuális alhálózaton a csomagok titkosításához. A DTLS védi az adatokat a fizikai hálózathoz hozzáféréssel rendelkező bárki által végzett lehallgatás, illetéktelen módosítás és hamisítás ellen.

További információ: Titkosított hálózatok.

Tűzfal auditálása

Tűzfalauditálás az SDN-tűzfal egy új funkciója, amely az SDN-tűzfalszabályok és a hozzáférés-vezérlési listák (ACL-ek) által feldolgozott folyamatokat rögzíti, amelyek naplózása engedélyezve van.

Virtuális hálózatok közötti társviszony-létesítés

virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két virtuális hálózat zökkenőmentes csatlakoztatását. Összekapcsolás után a virtuális hálózatok egyként jelennek meg a felügyeleti nézetben.

Kimenő forgalom mérése

Kimenő forgalom mérése használatmérőket kínál a kimenő adatátvitelekhez. A hálózatvezérlő ezzel a funkcióval virtuális hálózatonként tárolja az SDN-ben használt összes IP-tartomány engedélyezési listáját. Ezek a listák úgy vélik, hogy a felsorolt IP-tartományokban nem szereplő célhelyre irányuló csomagfejléceket kimenő adatátvitelként kell számlázni.

Raktározás

Íme néhány módosítás a Windows Server 2019-ben a Storage-ban. A tárolást az adatdeduplikációfrissítése is érinti, különösen a DataPort API-nak a deduplikált kötetekhez történő optimalizált bejövő vagy kimenő forgalma érdekében végzett frissítése.

Fájlkiszolgálói erőforrás-kezelő

Mostantól megakadályozhatja, hogy a Fájlkiszolgálói Resource Manager szolgáltatás módosítási naplót (más néven USN-naplót) hozzon létre az összes köteten, amikor a szolgáltatás elindul. A változási folyamat létrehozásának megakadályozása tárhelyet biztosít az egyes köteteken, de letiltja a valós idejű fájlbesorolást. További információ: File Server Resource Manager áttekintése.

Kis- és középvállalkozások (KKV)

• A Windows Server alapértelmezés szerint nem telepíti az SMB1-ügyfelet és -kiszolgálót. Emellett alapértelmezés szerint ki van kapcsolva a hitelesítés vendégként az SMB2-ben és az újabb verziókban. További információ: AZ SMBv1 nincs alapértelmezés szerint telepítve a Windows 10 1709-es, a Windows Server 1709-es és újabb verzióiban.

• Az örökölt alkalmazások esetében mostantól letilthatja az oplockokat az SMB2+ alkalmazásban. Az ügyféltől kapcsolatonként is szükség lehet aláírásra vagy titkosításra. További információ: SMBShare PowerShell-modul súgója.

Tárolómigrációs Szolgáltatás

A Storage Migration Service megkönnyíti a kiszolgálók áttelepítését a Windows Server újabb verziójára. Ez a grafikus eszköz leltározza az adatokat a kiszolgálókon, majd az adatokat és a konfigurációt újabb kiszolgálókra továbbítja. A Storage Migration Service a régi kiszolgálók identitásait is áthelyezheti az új kiszolgálókra, hogy a felhasználóknak ne kelljen újrakonfigurálniuk a profiljaikat és alkalmazásaikat. További információ: Storage Migration Service.

A Windows Felügyeleti központ 1910-es verziója lehetővé tette az Azure-beli virtuális gépek üzembe helyezését. Ez a frissítés integrálja az Azure-beli virtuális gépek üzembe helyezését a Storage Migration Service-be. További információ: Azure-beli virtuális gépek migrálása.

A következő, gyártási kiadás utáni (RTM) funkciókhoz is hozzáférhet, ha a Storage Migration Server orkhesztrátort a Windows Server 2019 rendszeren futtatja, ahol a KB5001384 telepítve van, vagy a Windows Server 2022-n.

• Helyi felhasználók és csoportok áttelepítése az új kiszolgálóra.
• Tároló áttelepítése feladatátvevő fürtökről, migrálás feladatátvevő fürtökre, és migrálás önálló kiszolgálók és feladatátvevő fürtök között.
• Tároló áttelepítése Samba-t használó Linux-kiszolgálóról.
• A migrált megosztások szinkronizálása egyszerűbben történik az Azure-ba az Azure File Sync használatával.
• Migrálás új hálózatokra, például az Azure-ba.
• NetApp Common Internet File System (CIFS) kiszolgálók migrálása a NetApp összevont hitelesítési szolgáltatás (FAS) tömbjeiből Windows-kiszolgálókra és fürtökre.

Storage Spaces Direct

Íme a legújabb fejlesztések a Storage Spaces Direct szolgáltatásban. Az érvényesített közvetlen tárolóhelyek beszerzéséről további információt Azure Local megoldás áttekintésecímű témakörben talál.

• Deduplikáció és tömörítés ReFS-kötetekre. Az opcionális tömörítéssel rendelkező változó méretű adattömbtároló maximalizálja a megtakarítási arányt, míg a többszálas utófeldolgozási architektúra minimálisra csökkenti a teljesítményre gyakorolt hatást. Ez a funkció legfeljebb 64 TB-os köteteket támogat, és minden fájl első 4 MB-ját deduplikálja.

• Natív támogatás az állandó memóriához, amely lehetővé teszi az állandó memória kezelését, mint bármely más meghajtó a PowerShellben vagy a Windows Felügyeleti központban. Ez a funkció támogatja az Intel Optane DC PM-t és NVDIMM-N állandó memóriamodulokat.

• Beágyazott rugalmasság a kétcsomópontos hiperkonvergens infrastruktúra peremhálózatán. A RAID 5+1-en alapuló új szoftverrugalmassági lehetőség segítségével mostantól egyszerre két hardverhibát is átvészelhet. A két csomópontos Tárolóhelyek közvetlenül fürt folyamatosan elérhető tárolást biztosít az alkalmazások és a virtuális gépek számára, még akkor is, ha az egyik kiszolgálócsomópont leáll, és egy másik kiszolgálócsomópontnál meghajtóhiba lép fel.

• A két szerverből álló klaszterek mostantól USB-flash meghajtót használhatnak tanúként. Ha egy kiszolgáló leáll, majd biztonsági másolatot készít, az USB-meghajtófürt tudja, hogy melyik kiszolgáló rendelkezik a legtöbb up-todátumadatokkal. További információ: Közvetlen tárolóhelyek bejelentési blogbejegyzése és fájlmegosztási tanúsító konfigurálása a feladatátvételi fürtre.

• A Windows Felügyeleti központ olyan irányítópultot támogat, amely lehetővé teszi a tárolóhelyek közvetlen kezelését és monitorozását. Az IOPS és az IO késleltetést a teljes fürtszinttől az egyes SSD-kig vagy HDD-kig többletköltség nélkül monitorozhatja. További információ: Hiperkonvergens infrastruktúra kezelése a Windows Felügyeleti központhasználatával.

• A teljesítményelőzmények egy új funkció, amely könnyedén áttekinti az erőforrás-használatot és a méréseket. További információ: Közvetlen tárolóhelyek teljesítményelőzményei.

• Egy fürtön belül akár 4 PB-ra lehet skálázni, akár 64 db, legfeljebb 64 TB-os kapacitású kötet használatával. Több fürtöt is összefűzhet egy fürtkészletbe, egyetlen tárnévtéren belül még nagyobb skálázás érdekében.

• Tükrözéssel gyorsított paritás alkalmazásával létrehozhatók olyan tárolóhely kötetek, amelyek mind tükrözési, mind paritási stratégiákat tartalmaznak, hasonlóan a RAID-1 és RAID-5/6 rendszerek kombinációjához. A tükörrel gyorsított paritás most kétszer gyorsabb, mint a Windows Server 2016.

• A meghajtók késési kiugrásainak észlelése automatikusan azonosítja a lassú meghajtókat a PowerShellben és a Windows Felügyeleti Központban "Rendellenes késés" állapottal.

• A kötetek hozzárendelésének manuális korlátozása a hibatűrés növelése érdekében. További információért lásd: Kötetek elosztásának elhatárolása a Storage Spaces Direct alkalmazásában.

Tároló replikáció

A Tárreplika újdonságai.

• A Tárreplika mostantól elérhető a Windows Server 2019 Standard Edition és Windows Server 2019 Datacenter Edition kiadásokban. A Standard Kiadással azonban csak egy kötetet replikálhat, és ez a kötet csak 2 TB méretű lehet.

• A feladatátvétel tesztelése egy új funkció, amely lehetővé teszi a replikált tároló pillanatképének ideiglenes csatlakoztatását a célkiszolgálón tesztelési vagy biztonsági mentési célokra. További információ: A Tárreplikakapcsolatos gyakori kérdések.

• A Storage Replica napló teljesítményének javításai, például a jobb replikációs átvitel és késleltetés az új típusú tárolókon és a Storage Spaces Direct fürtök közötti replikáció során.

• A Windows Adminisztrációs Központ támogatása, amely magában foglalja a replikáció grafikus kezelését a Server Manager használatával kiszolgálóról kiszolgálóra, fürtről fürtre és többhelyes fürtreplikáció során.

Adatdeduplikáció

A Windows Server 2019 mostantól támogatja a rugalmas fájlrendszert (ReFS). A ReFS segítségével akár tízszer több adatot tárolhat ugyanazon a köteten a ReFS fájlrendszer deduplikációjával és tömörítésével. A változó méretű adattömbtároló opcionális tömörítési funkcióval rendelkezik, amely maximalizálja a megtakarítási arányt, míg a többszálas utófeldolgozási architektúra minimális teljesítményhatást biztosít. A ReFS legfeljebb 64 TB-os köteteket támogat, és minden fájl első 4 TB-ját deduplikálja. További információ: A deduplikáció és a tömörítés bekapcsolása a Windows Felügyeleti központban rövid videóbemutató.

Feladatátvételi fürtszolgáltatás

A Windows Server 2019-ben a failover fürtözéshez a következő funkciókat adtuk hozzá:

• Fürtkészletek több fürtöt csoportosítanak egy lazán összekapcsolt struktúrába, amely több feladatátvételi fürtből áll, és háromféle típusúak: számítási, tárolási és hiperkonvergens. Ez a csoportosítás növeli az egyetlen szoftveralapú adatközponti (SDDC) megoldás kiszolgálóinak számát a fürt jelenlegi korlátain túl. A fürtkészletek segítségével a fürtkészleten belül áthelyezheti az online virtuális gépeket a fürtök között. További információkért lásd: Klaszterkészlet üzembe helyezése.

• A fürtök alapértelmezés szerint Azure-beliek. Az Azure-kompatibilis fürtök automatikusan észlelik, ha Azure IaaS virtuális gépeken futnak, majd a konfigurációjukat a maximális rendelkezésre állás biztosítása érdekében optimalizálják. Ezek az optimalizálások közé tartozik a proaktív feladatátvétel és az Azure tervezett karbantartási események naplózása. Az automatizált optimalizálás egyszerűbbé teszi az üzembe helyezést, mivel megszünteti annak szükségességét, hogy a terheléselosztót a fürt neveként szolgáló elosztott hálózati névvel konfiguráljuk.

• A tartományok közötti fürtáttelepítés lehetővé teszi a feladatátvevő fürtök dinamikus áthelyezését egyik Active Directory-tartományból a másikba, leegyszerűsítve a tartománykonszolidációt, és lehetővé teszi a hardverpartnerek számára, hogy fürtöket hozzanak létre, és később csatlakozzanak az ügyfél tartományához.

• Az USB tanú funkcióval egy hálózati kapcsolóhoz csatlakoztatott USB-meghajtót használhat tanúként a fürt kvórumának meghatározásához. Ez a funkció kiterjesztett fájlmegosztási tanúsító támogatást nyújt minden SMB2-kompatibilis eszközhöz.

• A CSV-gyorsítótár alapértelmezés szerint engedélyezve van a virtuális gépek teljesítményének növelése érdekében. Az MSDTC mostantól támogatja a fürt megosztott köteteit, hogy lehetővé tegye az MSDTC számítási feladatainak központi telepítését a Közvetlen tárolóhelyeken, például az SQL Serverrel. Továbbfejlesztett logika a particionált csomópontok észlelésére és önjavításuk révén történő visszahelyezésükre a fürttagságba. Továbbfejlesztett fürthálózati útvonalészlelés és önjavítás.

• A fürttudatos frissítés (CAU) mostantól össze van kapcsolva és kompatibilis a Közvetlen tárolókkal, ellenőrzi és biztosítja az adatok újraszinkronizálását minden csomóponton. A fürttudatos frissítés csak akkor indítja újra intelligensen a rendszert, ha szükséges. Ez a funkció lehetővé teszi a fürt összes kiszolgálójának újraindítását tervezett karbantartás céljából.

• Mostantól a következő esetekben használhat fájlmegosztási tanúkat:

  • Távoli hely miatt hiányzik vagy gyenge az internet-hozzáférés, ami megakadályozza a felhőbeli tanúsító használatát.

  • A lemeztanúsítóhoz szükséges megosztott meghajtók hiánya. Például egy olyan konfiguráció, amely nem használ megosztott lemezeket, például a Közvetlen tárolóhelyek hiperkonvergens konfigurációját, az SQL Server Always On Rendelkezésre állási csoportjait (AG) vagy az Exchange Database rendelkezésre állási csoportját (DAG).

  • A tartományvezérlővel való kapcsolat hiánya, mert a fürt egy DMZ mögött található.

  • Olyan munkacsoport vagy tartományközi fürt, amely nem rendelkezik Active Directory-fürtnév-objektummal (CNO). A Windows Server mostantól letiltja az elosztott fájlrendszerbeli névterek helyként való megosztását is. Ha fájlmegosztási tanút ad hozzá egy DFS megosztáshoz, az stabilitási problémákat okozhat a fürt számára, és ez a konfiguráció sosem volt támogatva. Logikát adtunk hozzá annak észleléséhez, hogy egy megosztás elosztott fájlrendszerbeli névtereket használ-e, és ha elosztott fájlrendszerbeli névterek észlelhetők, a Feladatátvevőfürt-kezelő letiltja a tanúsító létrehozását, és hibaüzenetet jelenít meg arról, hogy nem támogatott.

• Egy fürtmegerősítési funkció került implementálásra, amely javítja a fürtön belüli kommunikáció biztonságát a Server Message Block (SMB) protokollon keresztül a megosztott fürtkötetek és a Storage Spaces Direct esetében. Ez a funkció tanúsítványokkal biztosítja a lehető legbiztonságosabb platformot. Azáltal, hogy lehetővé teszik az átlépési fürtöknek, hogy NTLM-függőség nélkül működjenek, biztonsági alapvonalakat lehet kialakítani.

• Az átállási fürtök már nem használnak NTLM-hitelesítést. Ehelyett a Windows Server 2019-fürtök mostantól kizárólag Kerberos- és tanúsítványalapú hitelesítést használnak. A felhasználóknak nem kell semmilyen módosítást végezniük, és semmit sem kell üzembe helyezniük a biztonsági fejlesztés előnyeinek kihasználásához. Ez a módosítás lehetővé teszi feladatátvevő fürtök üzembe helyezését olyan környezetekben is, ahol az NTLM le van tiltva.

Alkalmazásplatform

Linux-tárolók Windows rendszeren

Mostantól windowsos és Linux-alapú tárolókat is futtathat ugyanazon a tároló gazdagépen ugyanazzal a Docker-démonlal. Most már heterogén tárológazdakörnyezettel rendelkezhet, amely rugalmasságot biztosít az alkalmazásfejlesztők számára.

A Kubernetes beépített támogatása

A Windows Server 2019 a Kubernetes windowsos támogatásához szükséges Semi-Annual Channel-kiadásokból továbbra is fejleszti a számítást, a hálózatkezelést és a tárolást. További részletek a közelgő Kubernetes-kiadásokban érhetők el.

• Tárolóhálózati a Windows Server 2019-ben jelentősen javítja a Kubernetes használhatóságát Windows rendszeren. Javítottuk a platformalapú hálózatkezelés rugalmasságát és a tárolóhálózati beépülő modulok támogatását.

• A Kubernetesen üzembe helyezett számítási feladatok hálózati biztonsággal védik a Linux- és Windows-szolgáltatásokat beágyazott eszközökkel.

Konténer fejlesztések

• Továbbfejlesztett integrált identitás

  Egyszerűbbé és megbízhatóbbá tettük az integrált Windows-hitelesítést a tárolókban, és a Windows Server korábbi verzióinak számos korlátozásával foglalkoztunk.

• Jobb alkalmazáskompatibilitás

  A Windows-alapú alkalmazások tárolóba helyezése egyszerűbbé vált: A meglévő windowsservercore kép alkalmazáskompatibilitása megnövekedett. A több API-függőséggel rendelkező alkalmazások esetében már létezik egy harmadik alaprendszerkép: Windows.

• Kisebb méret és nagyobb teljesítmény

  A tárolólemezképek letöltési mérete, a lemez mérete és az indítási idők javultak a tároló munkafolyamatainak felgyorsítása érdekében.

• Vezetési tapasztalat a Windows Felügyeleti Központtal (előzetes verzió)

  Minden eddiginél egyszerűbbé tettük a számítógépen futó tárolók megtekintését és az egyes tárolók kezelését a Windows Felügyeleti központ új bővítményével. Keresse meg a "Tárolók" bővítményt a Windows Felügyeleti központ nyilvános hírcsatornájában.

Számítási fejlesztések

• virtuális gép indítási megrendelése virtuális gép indítási rendelése az operációs rendszer és az alkalmazástudatosság révén is javul, így továbbfejlesztett eseményindítók érhetőek el, amikor a virtuális gép a következő kezdés előtt elindul.

• Tárolóosztályú memória támogatás a virtuális gépekhez lehetővé teszi az NTFS formátumú közvetlen hozzáférésű kötetek létrehozását nem felejtő DIMM-eken, és ezek kitettségét a Hyper-V virtuális gépek számára. Hyper-V virtuális gépek most már használhatják a tárolóosztályú memóriaeszközök alacsony késésű teljesítménybeli előnyeit.

• Hyper-V virtuális gépek állandó memóriájának támogatása Az állandó memória (más néven tárolási osztály memóriája) nagy átviteli sebességének és alacsony késésének virtuális gépeken való használatához mostantól közvetlenül virtuális gépekre is kivetíthető. Az állandó memória drasztikusan csökkentheti az adatbázis-tranzakciók késleltetését, vagy csökkentheti a hiba esetén a memóriabeli adatbázisok helyreállítási idejét az alacsony késleltetés érdekében.

• Konténertárolás – tartós adatkötetek Az alkalmazáskonténerek mostantól állandó hozzáféréssel rendelkeznek az adatkötetekhez. További információért lásd: Konténer tárolási támogatás megosztott fürtkötetekkel (CSV), Tárolóterek közvetlenül (S2D), SMB globális leképezés.

• Virtuális gép konfigurációs fájlformátuma (frissítve) A virtuális gép vendégállapotfájlja (.vmgs) a 8.2-es vagy újabb konfigurációjú virtuális gépekhez lett hozzáadva. A virtuális gép vendégállapot-fájlja olyan eszközállapot-információkat tartalmaz, amelyek korábban a virtuális gép futtatókörnyezeti állapotfájljának részét képezték.

Titkosított hálózatok

Titkosított hálózatok – A virtuális hálózat titkosítása lehetővé teszi az egymással kommunikáló virtuális gépek közötti virtuális hálózati forgalom titkosítását az Titkosítás engedélyezettjelölésű alhálózatokon belül. Emellett a Datagram Transport Layer Security (DTLS) használatával titkosítja a csomagokat a virtuális alhálózaton. A DTLS védelmet nyújt a fizikai hálózathoz hozzáféréssel rendelkező bárki által történő lehallgatás, illetéktelen beavatkozás és hamisítás ellen.

Hálózati teljesítménybeli fejlesztések virtuális számítási feladatokhoz

virtuális számítási feladatok hálózati teljesítménybeli fejlesztései maximalizálják a virtuális gépek hálózati átviteli sebességét anélkül, hogy a gazdagép folyamatos hangolását vagy túlzott kiépítését kellene megkövetelnie. Az jobb teljesítmény csökkenti az üzemeltetési és karbantartási költségeket, miközben növeli a hosztok rendelkezésre álló sűrűségét. Ezek az új funkciók a következők:

• Dinamikus virtuális gép több soros várósora (d.VMMQ)

• Szegmensszélesítés fogadása a vSwitchben

Alacsony késleltetésű háttérátvitel

Az alacsony késleltetésű háttérátvitel (LEDBAT) egy késésoptimalizált hálózati torlódás-vezérlési szolgáltató, amely automatikusan sávszélességet biztosít a felhasználóknak és alkalmazásoknak. A LEDBAT a rendelkezésre álló sávszélességet használja fel, miközben a hálózat nincs használatban. A technológia akkor használható, ha nagy, kritikus fontosságú frissítéseket helyez üzembe egy informatikai környezetben anélkül, hogy az hatással lenne az ügyfelek számára elérhető szolgáltatásokra és a kapcsolódó sávszélességre.

Windows időszolgáltatás

A Windows Time Service tartalmaz valódi UTC-kompatibilis szökő másodperc támogatást, egy új időprotokollt, a Precision Time Protocol-t és a végpontok közötti nyomon követhetőséget.

Nagy teljesítményű SDN-átjárók

A Windows Server 2019-ben nagy teljesítményű SDN-átjárók jelentősen javítják az IPsec- és GRE-kapcsolatok teljesítményét, így sokkal kisebb processzorkihasználtsággal biztosítják az ultranagy teljesítményű átviteli sebességet.

Új üzembehelyezési felhasználói felület és Windows Felügyeleti központ bővítmény SDN-hez

A Windows Server 2019 használatával mostantól egyszerűen üzembe helyezhet és felügyelhet egy új üzembe helyezési felhasználói felületen és a Windows Felügyeleti központ bővítményen keresztül, amely lehetővé teszi, hogy bárki kihasználhassa az SDN erejét.

Windows-alrendszer Linuxhoz (WSL)

A WSL lehetővé teszi a kiszolgálói rendszergazdák számára, hogy meglévő eszközöket és szkripteket használjanak Linuxról a Windows Serveren. A parancssori blog számos fejlesztése már része a Windows Servernek, beleértve a háttérfeladatokat, a DriveFS-t, a WSLPath-t és még sok mást.

Active Directory Szövetségi Szolgáltatások

A Windows Server 2019 Active Directory összevonási szolgáltatásai (AD FS) a következő módosításokat tartalmazzák.

Védett bejelentkezések

Az AD FS-sel védett bejelentkezések mostantól a következő frissítéseket tartalmazzák:

• A felhasználók mostantól jelszó felfedése nélkül használhatják első tényezőként a külső hitelesítési termékeket. Azokban az esetekben, amikor a külső hitelesítésszolgáltató két tényezőt tud bizonyítani, többtényezős hitelesítést (MFA) használhat.

• A felhasználók mostantól további tényezőként használhatják a jelszavakat, miután első tényezőként nem jelszós beállítást használnak. Ez a beépített támogatás javítja az AD FS 2016 általános élményét, amelyhez egy GitHub-adapter letöltésére volt szükség.

• A felhasználók most már létrehozhatják saját beépülő moduljaik kockázatértékelési moduljait, hogy bizonyos típusú kéréseket blokkoljanak az előhitelesítési szakaszban. Ez a funkció megkönnyíti a felhőalapú intelligencia, például az identitásvédelem használatát a kockázatos felhasználók vagy tranzakciók blokkolásához. További információ: Beépülő modulok létrehozása az AD FS 2019 kockázatértékelési modellel.

• A következő képességek hozzáadásával javítja az Extranet Smart Lockout (ESL) gyorsjavítási mérnöki (QFE) funkcióit:

  • Mostantól a klasszikus extranetes zárolási funkciókkal védett naplózási módot is használhatja.

  • A felhasználók mostantól független zárolási küszöbértékeket használhatnak ismerős helyekhez. Ez a funkció lehetővé teszi több alkalmazáspéldány futtatását egy közös szolgáltatásfiókban a jelszavak minimális megszakítással történő átviteléhez.

Egyéb biztonsági fejlesztések

Az AD FS 2019 a következő biztonsági fejlesztéseket tartalmazza:

• A SmartCard-bejelentkezést használó Távoli PowerShell lehetővé teszi, hogy a felhasználók PowerShell-parancsok futtatásával távolról csatlakozzanak az AD FS-hez a SmartCards használatával. A felhasználók ezzel a módszerrel kezelhetik az összes PowerShell-függvényt, beleértve a többcsomópontos parancsmagokat is.

• A HTTP-fejléc testreszabása lehetővé teszi, hogy a felhasználók testre szabják az AD FS-válaszok során létrehozott HTTP-fejléceket. A fejléc testreszabása a következő fejléctípusokat tartalmazza:

  • HSTS biztosítja, hogy csak HTTPS-végpontokon keresztül lehet használni az AD FS-végpontokat a megfelelő böngészők érvényesítéséhez.

  • X-frame-options, amely lehetővé teszi az AD FS-rendszergazdák számára, hogy adott függő entitások beágyazhassanak iFrame-eket az AD FS interaktív bejelentkezési lapjaihoz. Ezt a fejlécet csak HTTPS-gazdagépeken használhatja.

  • Jövőbeli fejléc. Több jövőbeli fejlécet is konfigurálhat.

  További információért lásd: Az AD FS 2019 HTTP biztonsági válaszfejléceinek testreszabása.

Hitelesítési és szabályzati képességek

Az AD FS 2019 a következő hitelesítési és szabályzati képességeket tartalmazza:

• A felhasználók mostantól szabályokat hozhatnak létre annak meghatározására, hogy melyik hitelesítésszolgáltatót hívja meg az üzembe helyezésük a további hitelesítéshez. Ez a funkció segít áttérni a hitelesítésszolgáltatók között, és biztonságossá teszi azokat az alkalmazásokat, amelyek különleges követelményeket támasztanak a további hitelesítésszolgáltatók számára.

• A Transport Layer Security (TLS)-alapú eszközhitelesítések opcionális korlátozásai, hogy csak a TLS-t igénylő alkalmazások használhassák őket. A felhasználók korlátozhatják az ügyfél TLS-alapú eszközhitelesítéseit, így csak az eszközalapú feltételes hozzáférést biztosító alkalmazások használhatják őket. Ez a funkció megakadályozza a TLS-alapú eszközhitelesítést nem igénylő alkalmazások nem kívánt eszközhitelesítési kéréseit.

• Az AD FS mostantól támogatja a második tényező hitelesítő adatainak újraadását, amennyiben a második tényező hitelesítő adatainak frissessége indokolt. Ez a funkció lehetővé teszi, hogy a felhasználók csak az első tranzakcióhoz igényeljenek TFA-t, majd csak a második tényezőt követelik meg rendszeres időközönként. Ezt a funkciót csak olyan alkalmazásokban használhatja, amelyek további paramétert adhatnak meg a kérésben, mivel ez nem konfigurálható beállítás az AD FS-ben. A Microsoft Entra ID akkor támogatja ezt a paramétert, ha az MFA megjegyzése X napig beállítást úgy konfigurálja, hogy a MFA támogatásaIgaz legyen a Microsoft Entra ID összevont tartományi megbízhatósági beállításaiban.

Az egyszeri bejelentkezés fejlesztései

Az AD FS 2019 az alábbi egyszeri bejelentkezési (SSO-) fejlesztéseket is tartalmazza:

• Az AD FS mostantól egy lapszámozott UX-folyamatot és egy központosított felhasználói felületet (UI) használ, amely zökkenőmentesebb bejelentkezési élményt biztosít a felhasználók számára. Ez a változás tükrözi az Azure AD-ben kínált funkciókat. Előfordulhat, hogy az új felhasználói felületnek megfelelően frissítenie kell a szervezet emblémáját és háttérképeit.

• Kijavítottunk egy hibát, amely miatt az MFA-állapot nem szűnt meg az elsődleges frissítési jogkivonat (PRT) hitelesítése során Windows 10-eszközökön. A felhasználókat mostantól ritkábban kell kérni a második tényező hitelesítő adatainak megadására. A felhasználói élménynek konzisztensnek kell lennie, ha az eszközhitelesítés sikeres az ügyfél TLS- és PRT-hitelesítésén.

Modern üzletági alkalmazások létrehozásának támogatása

Az AD FS 2019 a következő funkciókkal támogatja a modern üzletági (LOB) alkalmazások készítését:

• Az AD FS mostantól támogatja az OAuth eszközfolyamat-profil támogatását a felhasználói felület nélküli eszközökkel való bejelentkezéshez a gazdag bejelentkezési élmény támogatása érdekében. Ezzel a funkcióval a felhasználók befejezhetik a bejelentkezést egy másik eszközön. Az Azure Stack Azure Command-Line Interface (CLI) felülete megköveteli ezt a funkciót, és más helyzetekben is használhatja.

• Az AD FS használatához már nincs szükség az Erőforrás paraméterre, amely összhangban van az aktuális OAUth-specifikációkkal. Az ügyfeleknek most már csak a függő entitás megbízhatósági azonosítót kell megadniuk hatókörparaméterként a kért engedélyekkel.

• Az AD FS-válaszokban használhat forrásközi erőforrás-megosztási (CORS- ) fejléceket. Ezek az új címsorok lehetővé teszik, hogy a felhasználók egyoldalas alkalmazásokat építsenek ki, amelyek lehetővé teszik az ügyféloldali JavaScript-kódtárak számára a id_token aláírás érvényesítését az AD FS Open ID Connect (OIDC) felderítési dokumentumából származó aláíró kulcsok lekérdezésével.

• Az AD FS tartalmazza a Code Exchange (PKCE) ellenőrzőkulcsát az OAuthon belüli biztonságos hitelesítési kódfolyamatok támogatásához. Ez a további biztonsági réteg megakadályozza, hogy a rosszindulatú szereplők eltérítsék a kódot, és azt egy másik ügyfélről ismételten továbbítsák.

• Kijavítottunk egy kisebb hibát, amely miatt az AD FS csak az x5t jogcímet küldte el. Az AD FS mostantól egy gyermek jogcímet is küld, amely az aláírás-ellenőrzés kulcsazonosítójára vonatkozó tippet jelöli.

Támogatottsági fejlesztések

A rendszergazdák mostantól úgy konfigurálhatják az AD FS-t, hogy a felhasználók zip-fájlként küldjenek hibajelentéseket és hibakeresési naplókat a hibaelhárításhoz. A rendszergazdák a Simple Mail Transfer Protocol (SMTP) kapcsolatot is konfigurálhatják, hogy automatikusan elküldjék a ZIP-fájlt egy triage e-mail-fiókba. Egy másik beállítás lehetővé teszi, hogy a rendszergazdák automatikusan létrehozzanak egy jegyet a támogatási rendszerük számára, az e-mail alapján.

Üzembehelyezési frissítések

Az AD FS 2019 a következő központi telepítési frissítéseket tartalmazza:

• Az AD FS a Windows Server 2016-os verziójához hasonló, amely megkönnyíti a Windows Server 2016 kiszolgálófarmok Windows Server 2019 kiszolgálófarmokra való frissítését. A Windows Server 2016-kiszolgálófarmhoz hozzáadott Windows Server 2019-kiszolgáló csak Windows Server 2016-kiszolgálóként fog viselkedni, amíg készen nem áll a frissítésre. További információ: Frissítés AD FS-re Windows Server 2016rendszerben.

SAML-frissítések

Az AD FS 2019 a következő biztonsági helyességi korrektúranyelvi (SAML) frissítéseket tartalmazza:

• Az összesített összevonási támogatással(például az InCommon) kapcsolatos problémákat az alábbi területeken javítottuk:

  • Továbbfejlesztett skálázás az összesített összevonási metaadat-dokumentumban található számos entitás esetében. Korábban az entitások skálázása sikertelen volt, és egy ADMIN0017 hibaüzenetet adott vissza.

  • Most már a ScopeGroupID paraméterrel is végezhet lekérdezéseket a Get-AdfsRelyingPartyTrustsGroup PowerShell-parancsmag futtatásával.

  • Az ismétlődő entityID értékek hibafeltételeinek hatékonyabb kezelése.

Azure AD-stílus erőforrás-specifikációja a hatókörparaméterben

Korábban az AD FS megkövetelte, hogy a kívánt erőforrás és hatókör külön paraméterben legyen minden hitelesítési kérelemben. Az alábbi példa OAuth-kérés például egy hatókörparamétert tartalmaz:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

A Windows Server 2019 AD FS-ével mostantól átadhatja a hatókörparaméterbe beágyazott erőforrás-értéket. Ez a módosítás összhangban van a Microsoft Entra-azonosítóval való hitelesítéssel.

A hatókörparaméter mostantól térelválasztó listaként is rendszerezhető, amely az egyes entitásokat erőforrásként vagy hatókörként strukturálja.