Neuigkeiten in Windows Server 2016

In diesem Artikel werden einige der neuen Features in Windows Server 2016 beschrieben, die für Ihre Arbeit mit diesem Release wahrscheinlich die größten Auswirkungen haben.

Compute

Der Virtualisierungsbereich umfasst Virtualisierungsprodukte und -features, mit denen IT-Profis Windows Server entwerfen, bereitstellen und warten können.

Allgemein

Physische und virtuelle Computer profitieren durch Verbesserungen beim Win32-Zeitdienst und Hyper-V-Uhrzeitsynchronisierungsdienst von einer höheren Zeitgenauigkeit. Windows Server kann jetzt zum Hosten von Diensten genutzt werden, die zukünftige Bestimmungen einhalten, bei denen eine Genauigkeit von 1 ms für UTC erforderlich ist.

Hyper-V

Die Hyper-V-Netzwerkvirtualisierung (HNV) ist ein grundlegender Baustein der aktualisierten Software Defined Networking (SDN)-Lösung von Microsoft und ist vollständig in den SDN-Stack integriert. Windows Server 2016 enthält die folgenden Änderungen für Hyper-V:

• Windows Server 2016 enthält jetzt einen programmierbaren Hyper-V-Switch. Microsofts Network Controller gibt HNV-Richtlinien an einen Host-Agenten weiter, der auf jedem Host unter Verwendung des Open vSwitch Database Management Protocol (OVSDB) als SouthBound Interface (SBI) läuft. Der Host-Agent speichert diese Richtlinie mithilfe einer Anpassung des VTEP-Schemas und programmiert komplexe Flowregeln in einer leistungsfähigen Flow-Engine im Hyper-V-Switch. Die Flow-Engine im Hyper-V-Switch ist die gleiche, die auch in Azure verwendet wird. Der gesamte SDN-Stack bis hin zum Network Controller und Network Resource Provider ist ebenfalls mit Azure konsistent, sodass die Leistung mit der Azure Public Cloud vergleichbar ist. Innerhalb der Flow-Engine von Microsoft ist der Hyper-V-Switch in der Lage, sowohl zustandslose als auch zustandsbehaftete Flow-Regeln über einen einfachen Match-Action-Mechanismus zu verarbeiten, der definiert, wie Pakete innerhalb des Switches verarbeitet werden sollen.

• HNV unterstützt jetzt Virtual eXtensible Local Area Network (VXLAN)-Protokoll-Verkapselung. HNV verwendet das VXLAN-Protokoll im MAC-Verteilungsmodus über den Microsoft Network Controller, um die IP-Adressen des Tenant-Overly-Netzwerks den IP-Adressen des physischen Underlay-Netzwerks zuzuordnen. Die NVGRE- und VXLAN-Task-Offloads unterstützen Treiber von Drittanbietern für eine verbesserte Leistung.

• Windows Server 2016 umfasst ein SLB-Mosul (Software Load Balancer) mit vollständiger Unterstützung für virtuellen Netzwerkdatenverkehr und nahtloser Interaktion mit HNV. Die performante Flow-Engine implementiert den SLB im v-Switch der Datenebene, und der Network Controller steuert ihn dann für virtuelle IP- (VIP) oder dynamische IP- (DIP) Zuordnungen.

• HNV implementiert ordnungsgemäße L2-Ethernet-Header, um die Interoperabilität mit virtuellen und physischen Geräten von Drittanbietern sicherzustellen, die von Branchenstandardprotokollen abhängen. Microsoft stellt sicher, dass alle übertragenen Pakete in allen Feldern konforme Werte aufweisen, um die Interoperabilität zu gewährleisten. HNV erfordert die Unterstützung von Jumbo Frames (MTU > 1780) im physischen L2-Netzwerk, um den Paket-Overhead zu berücksichtigen, der durch Verkapselungsprotokolle wie NVGRE und VXLAN entsteht. Die Jumbo Frame-Unterstützung stellt sicher, dass virtuelle Gastmaschinen, die an ein virtuelles HNV-Netzwerk angeschlossen sind, eine MTU von 1514 einhalten.

• Die Unterstützung für Windows Container bietet Leistungsverbesserungen, vereinfachte Netzwerkverwaltung und Unterstützung für Windows Container unter Windows 10. Weitere Informationen finden Sie unter Containers: Docker, Windows und Trends.

Nano Server

Neuerungen in Nano Server. Nano Server verfügt jetzt über ein aktualisiertes Modul zum Erstellen von Nano Server-Images. Außerdem ist die Funktionalität für physische Hosts und Gast-VMs stärker getrennt und Kunden profitieren von der Unterstützung für unterschiedliche Windows Server-Editionen.

Außerdem gibt es Verbesserungen an der Wiederherstellungskonsole, einschließlich der Trennung von eingehenden und ausgehenden Firewall-Regeln und der Möglichkeit, die WinRM-Konfiguration zu reparieren.

Abgeschirmte virtuelle Computer

Windows Server 2016 bietet eine neue Hyper-V-basierte abgeschirmte VM, um jeden virtuellen Computer der Generation 2 vor einem gefährdeten Fabric zu schützen. Zu den in Windows Server 2016 eingeführten Funktionen zählen die folgenden:

• Ein neuer Modus Verschlüsselung unterstützt, der einen umfangreicheren Schutz bietet als bei herkömmlichen virtuellen Computern, jedoch weniger Schutzmaßnahmen als im Modus Geschützt. Gleichzeitig werden vTPM, Datenträgerverschlüsselung, Datenverkehrverschlüsselung bei der Livemigration und andere Features weiterhin unterstützt. Dazu zählen auch die benutzerfreundlichen direkten Fabric-Verwaltungsfunktionen wie VM-Konsolenverbindungen und PowerShell Direct.

• Vollständige Unterstützung für die Umwandlung vorhandener nicht abgeschirmter Generation 2-VMs in abgeschirmte virtuelle Computer (einschließlich automatisierter Datenträgerverschlüsselung).

• Hyper-V Virtual Machine Manager kann jetzt die Fabrics anzeigen, auf denen ein abgeschirmter virtueller Computer ausgeführt werden darf. Dabei kann der Fabric-Administrator die Schlüsselschutzvorrichtung eines abgeschirmten virtuellen Computers anzeigen und ermitteln, für welche Fabrics der virtuelle Computer autorisiert ist.

• Für einen ausgeführten Host-Überwachungsdienst kann nun der Nachweismodus geändert werden. Sie können jetzt während der Ausführung zwischen dem weniger sicheren, jedoch einfacheren Active Directory-basierten Nachweis und dem TPM-basierten Nachweis wechseln.

• Auf Windows PowerShell basierende End-to-End-Diagnosetools, mit denen falsch konfigurierte Einstellungen oder Fehler in geschützten Hyper-V-Hosts und im Host-Überwachungsdienst ermittelt werden können.

• Eine Wiederherstellungsumgebung, mit der eine sicher Problembehandlung und Reparatur von abgeschirmten virtuellen Computern innerhalb des Fabrics möglich ist, in der diese normalerweise ausgeführt werden. Gleichzeitig bietet diese Umgebung dieselbe Schutzebene wie die abgeschirmten virtuellen Computer selbst.

• Unterstützung für den Host-Überwachungsdienst für vorhandenes sicheres Active Directory: Sie können den Host-Überwachungsdienst so steuern, dass dieser eine vorhandene Active Directory-Gesamtstruktur als Active Directory verwendet, anstatt eine eigene Active Directory-Instanz zu erstellen.

Weitere Einzelheiten und Anweisungen zur Arbeit mit abgeschirmten virtuellen Computern finden Sie unter Geschütztes Fabric und abgeschirmte VMs.

Identität und Zugriff

Mit den neuen Features in Identität wird die Möglichkeit verbessert, Active Directory-Umgebungen zu schützen. Außerdem können Unternehmen eine Migration zu reinen Cloudbereitstellungen oder Hybridbereitstellungen durchführen, bei denen einige Anwendungen und Dienste in der Cloud und andere Anwendungen und Dienste lokal gehostet werden.

Active Directory-Zertifikatdienste

Active Directory-Zertifikatdienste (AD CS) in Windows Server 2016 jetzt mit verbesserter Unterstützung für den TPM-Schlüsselnachweis: Sie können jetzt Smart Card KSP für den Schlüsselnachweis nutzen, und Geräte, die kein Domänenmitglied sind, können jetzt die NDES-Registrierung nutzen, um Zertifikate abzurufen, die als Nachweis für Schlüssel in einem TPM verwendet werden können.

Active Directory-Domänendienste (AD DS)

Active Directory-Domänendienste beinhalten Verbesserungen, die Unternehmen beim Schutz Ihrer Active Directory-Umgebungen helfen und die Identitätsverwaltung für Unternehmens- und private Geräte verbessern. Weitere Informationen finden Sie unter Neues in Active Directory Domain Services (AD DS) unter Windows Server 2016.

Active Directory-Verbunddienste

Active Directory-Verbunddienste (AD FS) unter Windows Server 2016 enthält neue Funktionen, die Ihnen die Konfiguration von AD FS für die Authentifizierung von Benutzern ermöglichen, die in Lightweight Directory Access Protocol-Verzeichnissen (LDAP) gespeichert sind. Weitere Informationen finden Sie unter What's New in AD FS for Windows Server 2016 (Neuerungen in AD FS für Windows Server 2016).

Webanwendungsproxy

Im Fokus der aktuellen Version des Webanwendungsproxys stehen neue Features, die die Veröffentlichung und Vorauthentifizierung weiterer Anwendungen ermöglichen und das Benutzererlebnis verbessern. Sehen Sie sich die vollständige Liste der neuen Features an, die die Vorauthentifizierung für funktionsreiche Client-Apps wie Exchange ActiveSync sowie Platzhalterdomänen für die einfachere Veröffentlichung von SharePoint-Apps umfassen. Weitere Informationen finden Sie unter Webanwendungsproxy unter Windows Server 2016.

Verwaltung

Im Bereich Verwaltung und Automatisierung liegt der Schwerpunkt auf Tool- und Referenzinformationen für IT-Profis, die Windows Server 2016 (einschließlich Windows PowerShell) ausführen und verwalten möchten.

Windows PowerShell 5.1 enthält wichtige neue Features – einschließlich Unterstützung für die Entwicklung mit Klassen und neue Sicherheitsfunktionen –, die den Funktionsumfang erweitern, die Benutzerfreundlichkeit verbessern und die Steuerung und Verwaltung von Windows-basierten Umgebungen erleichtern und erweitern. Weitere Informationen finden Sie unter Neue Szenarien und Features in WMF 5.1.

Die neuen Features für Windows Server 2016 umfassen Folgendes: PowerShell.exe kann lokal unter Nano Server ausgeführt werden (nicht mehr nur remote), neue Cmdlets für lokale Benutzer und Gruppen ersetzen die GUI, neue PowerShell-Debuggingunterstützung sowie neue Unterstützung in Nano Server für Sicherheitsprotokollierung und -aufzeichnung sowie JEA.

Dies sind einige weitere neue Verwaltungsfeatures:

PowerShell Desired State Configuration (DSC) im Windows Management Framework (WMF) 5

Windows Management Framework 5 enthält Updates für Windows PowerShell Desired State Configuration (DSC), die Windows-Remoteverwaltung (Windows Remote Management, WinRM) und die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI).

Weitere Informationen zum Testen der DSC-Features von Windows Management Framework 5 finden Sie in der Blogbeitragsreihe, die unter Validate features of PowerShell DSC (Überprüfen der PowerShell DSC-Features) besprochen wird. Die Downloaddateien finden Sie unter Windows Management Framework 5.1.

Einheitliche Paketverwaltung mit PackageManagement für die Softwareerkennung, Installation und Inventur

Windows Server 2016 und Windows 10 enthalten ein neues PackageManagement-Feature (ehemals OneGet), das IT-Experten oder DevOps ermöglicht, die Erkennung, Installation und Inventarisierung von Software (Software Discovery, Installation, Inventory – SDII) lokal oder remote zu automatisieren, unabhängig von der Installationstechnologie und davon, wo sich die Software befindet.

Weitere Informationen finden Sie unter https://github.com/OneGet/oneget/wiki.

PowerShell-Erweiterungen zur Unterstützung der digitalen Forensik und Verringerung von Sicherheitslücken

Um das Team zu unterstützen, das für die Untersuchung kompromittierter Systeme zuständig ist – manchmal als „Blue Team“ bezeichnet –, haben wir zusätzliche PowerShell-Protokollierungen und andere digitale, forensische Features hinzugefügt. Wir haben außerdem die Features zur Reduzierung von Sicherheitsrisiken in Skripts, z.B. PowerShell (eingeschränkt) und sichere CodeGeneration-APIs, hinzugefügt.

Weitere Informationen finden Sie im Blogbeitrag zum PowerShell ♥ Blue Team.

Netzwerkfunktionen

Der Netzwerkbereich befasst sich mit Netzwerkprodukten und -features, die IT-Spezialisten beim Entwerfen, Bereitstellen und Warten von Windows Server 2016 verwenden können.

Softwaredefinierte Netzwerke

Sie können Datenverkehr jetzt sowohl spiegeln als auch an neue oder vorhandene virtuelle Geräte leiten. In Kombination mit einer verteilten Firewall und Netzwerksicherheitsgruppen können Sie Workloads so – vergleichbar mit Azure – dynamisch segmentieren und schützen. Außerdem können Sie den gesamten softwaredefinierten Netzwerkstapel mithilfe von System Center Virtual Machine Manager bereitstellen und verwalten. Und Sie können Docker zum Verwalten von Windows Server-Containernetzwerken verwenden und SDN-Richtlinien nicht nur virtuellen Computern, sondern auch Containern zuordnen. Weitere Informationen finden Sie unter Planen einer softwaredefinierten Netzwerkinfrastruktur.

TCP-Leistungsverbesserungen

Das standardmäßige anfängliche Überlastungsfenster (Initial Congestion Window, ICW) wurde von 4 auf 10 erhöht und TCP Fast Open (TFO) wurde implementiert. TFO reduziert den Zeitaufwand für das Herstellen einer TCP-Verbindung, und das erhöhte ICW ermöglicht die Übertragung von größeren Objekten in den anfänglichen Burst. Diese Kombination kann die erforderliche Zeit für die Übertragung eines Internetobjekts zwischen dem Client und der Cloud erheblich reduzieren.

Zur Verbesserung des TCP-Verhaltens bei der Wiederherstellung nach einem Paketverlust wurden TCP: Tail Loss Probe (TLP) und Recent ACKnowledgement (RACK) implementiert. TLP hilft bei der Konvertierung von RTOs (Retransmit TimeOuts) in schnelle Wiederherstellungen, und RACK reduziert die Zeit, die die schnelle Wiederherstellung benötigt, um ein verlorenes Paket erneut zu übertragen.

Sicherheit und Assurance

Der Sicherheits- und Assurancebereich beinhaltet Sicherheitslösungen und -features für Ihr Rechenzentrum und Ihre Cloudumgebung. Informationen zur allgemeinen Sicherheit in Windows Server 2016 finden Sie unter Sicherheit und Zusicherungen.

Just Enough Administration

Just Enough Administration in Windows Server 2016 ist eine Sicherheitstechnologie, die eine delegierte Verwaltung für sämtliche Bereiche bietet, die sich mit Windows PowerShell verwalten lassen. Die Funktionen umfassen die Unterstützung für die Ausführung unter einer Netzwerkidentität, für das Herstellen einer Verbindung über PowerShell Direct, das sichere Kopieren von Dateien von/zu JEA-Endpunkten sowie das Konfigurieren der PowerShell-Konsole für den standardmäßigen Start in einem JEA-Kontext. Weitere Einzelheiten finden Sie auf den Webseiten zu JEA auf GitHub.

Credential Guard

Credential Guard nutzt auf Virtualisierung basierende Sicherheitsverfahren, um geheime Daten zu isolieren, damit nur durch privilegierte Systemsoftware auf diese Daten zugegriffen werden kann. Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.

Credential Guard für Windows Server 2016 beinhaltet die folgenden Updates für angemeldete Benutzersitzungen:

• Kerberos und NTLM (New Technology LAN Manager) verwenden virtualisierungsbasierte Sicherheit, um Kerberos- und NTLM-Geheimnisse für angemeldete Benutzersitzungen zu schützen.

• Credential Manager schützt gespeicherte Domänenanmeldeinformationen mithilfe von virtualisierungsbasierter Sicherheit. Eingegebene Anmeldeinformationen und gespeicherte Domänenanmeldeinformationen werden mithilfe von Remotedesktop nicht an Remotehosts übergeben.

• Sie können Credential Guard ohne UEFI-Sperre (Unified Extensible Firmware Interface) aktivieren.

Remote Credential Guard

Credential Guard umfasst die Unterstützung für RDP-Sitzungen, damit die Anmeldeinformationen des Benutzers auf der Clientseite bleiben und nicht auf der Serverseite offengelegt werden. Außerdem wird Einmaliges Anmelden für Remotedesktop bereitgestellt. Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Windows Defender Credential Guard.

Remote Credential Guard für Windows Server 2016 beinhaltet die folgenden Updates für angemeldete Benutzer:

• Remote Credential Guard speichert Kerberos- und NTLM-Geheimnisse für eingegebene Benutzeranmeldeinformationen auf dem Clientgerät. Alle Authentifizierungsanforderungen vom Remotehost zur Bewertung von Netzwerkressourcen als Benutzer erfordern, dass das Clientgerät die Geheimnisse verwendet.

• Remote Credential Guard schützt die bereitgestellten Benutzeranmeldeinformationen bei Verwendung von Remotedesktop.

Domänenschutzmaßnahmen

Für den Domänenschutz ist jetzt eine Active Directory-Domäne erforderlich.

Unterstützung der Authentifizierung mit öffentlichen Schlüsseln für in eine Domäne eingebundene Geräte

Wenn ein in die Domäne eingebundenes Gerät seinen gebundenen öffentlichen Schlüssel bei einem Windows Server 2016-Domänencontroller (DC) registrieren kann, kann sich das Gerät mithilfe der Kerberos-PKINIT-Authentifizierung bei einem Windows Server 2016-Domänencontroller mit dem öffentlichen Schlüssel authentifizieren.

In die Domäne eingebundene Geräte mit gebundenen öffentlichen Schlüsseln, die bei einem Windows Server 2016-Domänencontroller registriert sind, können sich jetzt mithilfe von Kerberos PKINIT-Protokollen (Public Key Cryptography for Initial Authentication) bei einem Windows Server 2016-Domänencontroller authentifizieren.

Key Distribution Centers (KDCs) unterstützen jetzt die Authentifizierung mithilfe der Kerberos-Schlüsselvertrauensstellung.

Weitere Informationen finden Sie unter Neuerungen bei der Kerberos-Authentifizierung.

Unterstützung der PKINIT Freshness Extension

Kerberos-Clients versuchen jetzt, die PKINIT-Aktualitätserweiterung für auf öffentlichen Schlüsseln basierende Anmeldungen auszuführen.

KDCs unterstützen jetzt die PKINIT-Aktualitätserweiterung. Sie bieten die PKINIT-Aktualitätserweiterung jedoch nicht standardmäßig.

Weitere Informationen finden Sie unter Neuerungen bei der Kerberos-Authentifizierung.

Ausführen eines Rollovers für NTLM-Geheimnisse von Benutzern mit nur öffentlichen Schlüsseln

Ab der Windows Server 2016-Domänenfunktionsebene (Domain Functional Level, DFL) unterstützen Domänencontroller jetzt das Rollover der NTLM-Geheimnisse eines Benutzers, der nur öffentliche Schlüssel nutzt. Dieses Feature ist in niedrigeren Domänenfunktionsebenen (DFLs) nicht verfügbar.

Warnung

Das Hinzufügen eines Domänencontrollers, der vor dem Update vom 8. November 2016 aktiviert wurde, zu einer Domäne, die das Rollover von NTLM-Schlüsseln unterstützt, kann zum Absturz des Domänencontrollers führen.

Bei neuen Domänen wird dieses Feature standardmäßig aktiviert. Bei vorhandenen Domänen müssen Sie es im Active Directory-Verwaltungscenter konfigurieren.

Klicken Sie im Active Directory-Verwaltungscenter im linken Bereich mit der rechten Maustaste auf die Domäne, und wählen Sie Eigenschaften aus. Aktivieren Sie das Kontrollkästchen Rollover von ablaufenden NTLM-Geheimnissen während der Anmeldung für Benutzer aktivieren, die Windows Hello for Business oder eine Smartcard für die interaktive Anmeldung verwenden müssen. Wählen Sie anschließend OK aus, um diese Änderung anzuwenden.

Zulassen von Netzwerk-NTLM, wenn der Benutzer auf bestimmte, in die Domäne eingebundene Geräte beschränkt ist

Domänencontroller können jetzt das Zulassen von Netzwerk-NTLM unterstützen, wenn ein Benutzer auf bestimmte in die Domäne eingebundene Geräte der Windows Server 2016-Domänenfunktionsebene und höher beschränkt ist. Dieses Feature ist in DFLs, die ein früheres Betriebssystem als Windows Server 2016 ausführen, nicht verfügbar.

Wählen Sie zum Konfigurieren dieser Einstellung in der Authentifizierungsrichtlinie die Option NTLM-Netzwerkauthentifizierung zulassen, wenn der Benutzer auf ausgewählte Geräte beschränkt ist aus.

Weitere Informationen finden Sie unter Authentifizierungsrichtlinien und Authentifizierungsrichtliniensilos.

Device Guard (Codeintegrität)

Device Guard bietet Codeintegrität im Kernelmodus (Kernel Mode Code Integrity, KMCI) und Codeintegrität im Benutzermodus (User Mode Code Integrity, UMCI), indem Richtlinien erstellt werden, die angeben, welcher Code auf dem Server ausgeführt werden kann. Siehe Einführung in Windows Defender Device Guard: virtualisierungsbasierte Sicherheit und Richtlinien zur Codeintegrität.

Windows Defender

Übersicht über Windows Defender für Windows Server 2016. Windows Server Antimalware wird in Windows Server 2016 standardmäßig installiert und aktiviert, die Benutzeroberfläche von Windows Server Antimalware wird jedoch nicht installiert. Windows Server Antimalware aktualisiert jedoch die Antischadsoftware-Definitionen und schützt Ihren Computer so auch ohne die Benutzeroberfläche. Wenn Sie die Benutzeroberfläche von Windows Server Antimalware benötigen, können Sie sie nach der Installation des Betriebssystems mit dem Assistenten zum Hinzufügen von Rollen und Features installieren.

Ablaufsteuerungsschutz

Beim Ablaufsteuerungsschutz (Control Flow Guard, CFG) handelt es sich um eine Plattformsicherheitsfunktion, die erstellt wurde, um auf Speicherbeschädigungs-Sicherheitsrisiken zu reagieren. Weitere Informationen finden Sie unter Control Flow Guard (Ablaufsteuerungsschutz).

Storage

Der Speicher in Windows Server 2016 umfasst neue Funktionen und Verbesserungen für den softwaredefinierten Speicher und für herkömmliche Dateiserver. Nachstehend werden einige der neuen Funktionen dargestellt, weitere Verbesserungen und Informationen finden Sie unter What's New in Storage in Windows Server 2016 (Neues im Speicher in Windows Server 2016).

Speicherplätze DAS

Mit direkten Speicherplätzen kann hoch verfügbarer und skalierbarer Speicher unter Verwendung von Servern mit lokalem Speicher erstellt werden. Mit diesem Feature wird die Bereitstellung und die Verwaltung von softwaredefinierten Speichersystemen vereinfacht und auch der Weg zur Nutzung neuer Datenträgerklassen wie z. B. SATA-SSD und NVMe geebnet, was vorher bei gruppierten Speicherplätzen mit freigegebenen Datenträgern nicht möglich war.

Weitere Informationen finden Sie unter Storage Spaces Direct (Direkte Speicherplätze).

Speicherreplikat

Speicherreplikat ermöglicht eine speicheragnostische, synchrone Replikation auf Blockebene zwischen Servern oder Clustern für die Notfallwiederherstellung und das Strecken eines Failoverclusters zwischen Standorten. Die synchrone Replikation ermöglicht die Spiegelung von Daten an physischen Standorten mit ausfallsicheren Volumes, um auf Dateisystemebene sicherzustellen, dass kein Datenverlust auftritt. Die asynchrone Replikation ermöglicht die Standorterweiterung über regionale Bereiche hinaus mit der Möglichkeit von Datenverlusten.

Weitere Informationen finden Sie unter Storage Replica overview (Speicherreplikat: Übersicht).

Quality of Service (QoS) für Speicher

Sie können Quality of Service (QoS) für Speicher jetzt nutzen, um die End-to-End-Speicherleistung zu überwachen und Verwaltungsrichtlinien unter Verwendung von Hyper-V- und CSV-Clustern in Windows Server 2016 zu erstellen.

Weitere Informationen finden Sie unter Storage Quality of Service (QoS für Speicher).

Failoverclustering

Windows Server 2016 umfasst viele neue Funktionen und Verbesserungen für mehrere Server, die mithilfe der Failoverclustering-Funktion in einem einzelnen fehlertoleranten Cluster zusammengefasst sind. Einige der Erweiterungen sind nachfolgend aufgeführt; eine vollständige Auflistung finden Sie unter What's New in Failover Clustering in Windows Server 2016 (Neues beim Failoverclustering in Windows Server 2016).

Paralleles Upgrade für Clusterbetriebssystem

Das parallele Upgrade für Clusterbetriebssysteme ermöglicht einem Administrator, das Upgrade des Betriebssystems des Clusterknotens von Windows Server 2012 R2 auf Windows Server 2016 ohne eine Unterbrechung von Hyper-V-Workloads oder Workloads des Dateiservers mit horizontaler Skalierung durchzuführen. Mit diesem Feature können die Downtimesanktionen laut Vereinbarungen zum Servicelevel (Service Level Agreements, SLA) vermieden werden.

Weitere Informationen finden Sie unter Cluster Operating System Rolling Upgrade (Paralleles Upgrade für Clusterbetriebssysteme).

Cloudzeuge

Der Cloudzeuge ist ein neuer Failovercluster-Quorumzeugen-Typ in Windows Server 2016, der Microsoft Azure als Vermittlungspunkt nutzt. Der Cloudzeuge erhält wie jeder andere Quorumzeuge ein Votum und kann an der Quorumberechnung teilnehmen. Sie können den Cloudzeugen als Quorumzeugen konfigurieren, indem Sie den Assistenten zum Konfigurieren eines Clusterquorums verwenden.

Weitere Informationen finden Sie unter Deploy a cloud witness for a Failover Cluster (Bereitstellen eines Cloudzeugen für einen Failovercluster).

Zustandsdienst

Mit dem Integritätsdienst werden die täglichen Überwachungsabläufe, Vorgänge und Wartungsaktivitäten von Clusterressourcen auf einem Cluster von Direkte Speicherplätze verbessert.

Weiter Informationen finden Sie unter Health Service in Windows Server 2016 (Integritätsdienst in Windows Server 2016).

Anwendungsentwicklung

Internetinformationsdienste (IIS) 10.0

Zu den neuen Features des IIS 10.0-Webservers unter Windows Server 2016 gehören:

• Die Unterstützung des HTTP/2-Protokolls im Netzwerkstapel und die Integration in IIS 10.0 ermöglichen IIS 10.0-Websites die automatische Verarbeitung von HTTP/2-Anforderungen für unterstützte Konfigurationen. Dies ermöglicht zahlreiche Verbesserungen gegenüber HTTP/1.1, z.B. die effizientere Wiederverwendung von Verbindungen und geringere Latenz, wodurch die Ladezeiten für Webseiten verbessert werden.
• Möglichkeit zum Ausführen und Verwalten von IIS 10.0 unter Nano Server. Informationen dazu finden Sie unter IIS unter Nano Server.
• Die Unterstützung für Platzhalter-Hostheader ermöglicht Administratoren die Einrichtung eines Webservers für eine Domäne und die anschließende Verarbeitung von Anforderungen für jede Unterdomäne durch den Webserver.
• Ein neues PowerShell-Modul (IISAdministration) zum Verwalten von IIS.

Weitere Informationen finden Sie unter: IIS.

Distributed Transaction Coordinator (MSDTC)

In Microsoft Windows 10 und Windows Server 2016 werden drei neue Features hinzugefügt:

• Eine neue Benutzeroberfläche für den erneuten Beitritt zum Ressourcen-Manager (Resource Manager Rejoin) kann von einem Ressourcenmanager zum Ermitteln des Ergebnisses einer unsicheren Transaktion nach dem Neustart einer Datenbank aufgrund eines Fehlers verwendet werden. Details finden Sie unter IResourceManagerRejoinable::Rejoin.

• Der Grenzwert des DSN-Namens wurde von 256 Bytes auf 3072 Bytes heraufgesetzt. Details finden Sie unter IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate oder IDtcToXaMapper::RequestNewResourceManager.

• Die verbesserte Ablaufverfolgung ermöglicht Ihnen das Festlegen eines Registrierungsschlüssels, um den Pfad einer Imagedatei in den Namen der Ablaufverfolgungs-Protokolldatei aufzunehmen, sodass Sie sehen können, welche Ablaufverfolgungs-Protokolldatei überprüft werden muss. Ausführliche Informationen zum Konfigurieren der Ablaufverfolgung für MSDTC finden Sie unter Aktivieren der Diagnoseablaufverfolgung für MS DTC auf einem Windows-basierten Computer.

DNS-Server

Windows Server 2016 enthält die folgenden Updates für den Domain Name System (DNS)-Server.

DNS-Richtlinien

Sie können DNS-Richtlinien konfigurieren, um anzugeben, wie ein DNS-Server auf DNS-Abfragen reagiert. Sie können DNS-Antworten basierend auf der Client-IP-Adresse, der Tageszeit und verschiedenen anderen Parametern konfigurieren. DNS-Richtlinien können standortbezogenes DNS, Datenverkehrsverwaltung, Lastenausgleich, Split Brain-DNS und andere Szenarien ermöglichen. Weitere Informationen finden Sie im Leitfaden zu DNS-Richtlinienszenarios.

RRL

Sie können auf Ihren DNS-Servern Response Rate Limiting (RRL) aktivieren, um zu verhindern, dass bösartige Systeme Ihre DNS-Server verwenden, um einen verteilten Denial-of-Service-Angriff (DDoS) auf einem DNS-Client zu initiieren. RRL verhindert, dass Ihr DNS-Server gleichzeitig auf zu viele Anforderungen reagiert. Dies schützt ihn in Szenarien, in denen ein Botnet mehrere Anforderungen gleichzeitig sendet und versucht, Servervorgänge zu unterbrechen.

DANE-Unterstützung

Sie können die DNS-basierte Authentifizierung benannter Entitäten (DANE) (RFC 6394 und RFC 6698) verwenden, um anzugeben, welche Zertifizierungsstelle Ihren DNS-Clients Zertifikate für auf Ihrem DNS-Server gehostete Domänennamen bereitstellen sollte. Dadurch wird eine Form der Man-in-the-Middle-Angriffe verhindert, bei denen ein böswilliger Akteur einen DNS-Cache beschädigt und einen DNS-Namen auf seine eigene IP-Adresse verweist.

Unterstützung für unbekannte Einträge

Sie können Einträge hinzufügen, die der DNS-Server nicht explizit unterstützt, indem Sie die Funktion für unbekannte Einträge verwenden. Ein Eintrag ist unbekannt, wenn der DNS-Server das RDATA-Format nicht erkennt. Windows Server 2016 unterstützt unbekannte Datensatztypen (RFC 3597), sodass Sie zu Windows DNS-Serverzonen unbekannte Einträge im binären On-Wire-Format hinzufügen können. Der Windows-Zwischenspeicherungsresolver kann unbekannte Datensatztypen bereits verarbeiten. Der Windows-DNS-Server führt keine datensatzspezifische Verarbeitung für unbekannte Einträge durch, kann diese jedoch als Antwort auf empfangene Abfragen senden.

IPv6-Stammhinweise

Der Windows-DNS-Server enthält jetzt IPv6-Stammhinweise, die von der Internet Assigned Numbers Authority (IANA) veröffentlicht wurden. Durch die Unterstützung von IPv6-Stammhinweisen können Sie Internetabfragen durchführen, die die IPv6-Stammserver zum Ausführen von Namensauflösungen verwenden.

Windows PowerShell-Unterstützung

Windows Server 2016 enthält neue Befehle, die Sie zum Konfigurieren von DNS in PowerShell verwenden können. Weitere Informationen finden Sie im Modul „Windows Server 2016 DnsServer“ und im Modul „Windows Server 2016 DnsClient“.

DNS-Client

Der DNS-Clientdienst bietet jetzt eine verbesserte Unterstützung für Computer mit mehr als einer Netzwerkschnittstelle.

Computer mit mehreren Standorten können auch die DNS-Clientdienstbindung verwenden, um die Serverauflösung zu verbessern:

• Wenn Sie einen DNS-Server verwenden, der auf einer bestimmten Schnittstelle konfiguriert ist, um eine DNS-Abfrage aufzulösen, bindet sich der DNS-Client an die Schnittstelle, bevor er die Anfrage sendet. Mit dieser Bindung kann der DNS-Client die Schnittstelle angeben, über die die Namensauflösung erfolgen soll, wodurch die Kommunikation zwischen Anwendungen und DNS-Client über die Netzwerkschnittstelle optimiert wird.

• Wenn der verwendete DNS-Server durch eine Gruppenrichtlinieneinstellung aus der Tabelle der Namensauflösungsrichtlinien (NRPT) bestimmt wurde, bindet sich der DNS-Clientdienst nicht an die angegebene Schnittstelle.

Hinweis

Die Änderungen am DNS-Client-Dienst in Windows 10 sind auch auf Computern mit Windows Server 2016 und höher vorhanden.