Новые возможности Windows Server 2019

В этой статье описаны некоторые новые функции Windows Server 2019. Windows Server 2019 основана на сильном фундаменте Windows Server 2016 и предоставляет множество инноваций в четырех ключевых темах: гибридное облако, безопасность, платформа приложений и гиперконвергентная инфраструктура (HCI).

Общие

Windows Admin Center;

Windows Admin Center представляет собой локально развертываемое браузерное приложение для управления серверами, кластерами, гиперконвергентной инфраструктурой и ПК под управлением Windows 10. Это не требует дополнительных затрат за пределами Windows и готово к использованию в рабочей среде.

Вы можете установить Windows Администратор Center в Windows Server 2019 и Windows 10 и более ранних версиях Windows и Windows Server, а также использовать его для управления серверами и кластерами под управлением Windows Server 2008 R2 и более поздних версий.

Подробные сведения см. в статье Hello, Windows Admin Center! (Привет, Windows Admin Center!).

Возможности рабочего стола

Поскольку Windows Server 2019 — это выпуск Long-Term Servicing Channel (LTSC), он включает возможности рабочего стола. (Выпуски Semi-Annual Channel (SAC) не включают возможности рабочего стола по проектированию; они строго серверные ядра и выпуски образов контейнеров Nano Server.) Как и в случае с Windows Server 2016, во время настройки операционной системы вы можете выбрать установку основных серверных компонентов или установку сервера с возможностями рабочего стола.

Системная аналитика

Системная аналитика — это новая функция, доступная в Windows Server 2019, за счет которой в Windows Server реализуется встроенная поддержка локальных возможностей прогнозной аналитики. Эти прогнозные возможности, каждая из которых поддерживается моделью машинного обучения, локально анализирует системные данные Windows Server, такие как счетчики производительности и события. Системная Аналитика позволяет понять, как работают ваши серверы и помогает сократить операционные расходы, связанные с реактивным управлением проблемами в развертываниях Windows Server.

Гибридное облако

Функция совместимости приложений основных серверных компонентов по требованию

Функция совместимости основных приложений сервера по запросу (FOD) значительно улучшает совместимость приложений, включая подмножество двоичных файлов и компонентов из Windows Server с рабочим столом. Серверная ядро сохраняет его как можно более бережливо, не добавляя графические среды Windows Server Desktop Experience сам, увеличивая функциональные возможности и совместимость.

Эта дополнительная функция по требованию доступна в отдельном ISO-файле, и ее можно добавлять только в образы и установки основных серверных компонентов Windows с помощью DISM.

Роль транспортного сервера служб развертывания Windows (WDS), добавленная в серверную ядро

Транспортный сервер содержит только основные сетевые компоненты службы развертывания Windows. Теперь можно использовать серверную ядро с ролью транспортного сервера для создания пространств имен многоадресной рассылки, которые передают данные (включая образы операционной системы) с автономного сервера. Вы также можете использовать его, если требуется предоставить PXE-сервер, который позволяет клиентам выполнять PXE-загрузку и скачивать собственное приложение для установки.

Интеграция служб удаленных рабочих столов с Azure AD

Интеграция Azure AD позволяет использовать политики условного доступа, многофакторную проверку подлинности, встроенную проверку подлинности с другими приложениями SaaS с помощью Azure AD и многое другое. Дополнительные сведения см. в разделе Интеграция доменных служб Azure AD со средой RDS.

Сеть

Мы внесли несколько улучшений в основной сетевой стек, например TCP Fast Open (TFO), Автоматическое настройку окна получения, IPv6 и многое другое. Дополнительные сведения см. в статье об улучшении функций Core Network Stack.

Безопасность

Windows Defender Advanced Threat Protection (ATP)

Датчики глубокого анализа и ответные действия платформы ATP выявляют атаки на уровне памяти и ядра и реагируют на них путем подавления вредоносных файлов и завершения вредоносных процессов.

• Подробные сведения об ATP в Защитнике Windows см. в статье Overview of Microsoft Defender ATP capabilities (Обзор возможностей ATP в Защитнике Windows).

• Подробные сведения о подключении серверов см. в статье Onboard servers to the Microsoft Defender ATP service (Подключение серверов к службе ATP в Защитнике Windows).

AtP Exploit Guard в Защитнике Windows — это новый набор возможностей защиты от вторжений в узел, что позволяет сбалансировать требования к безопасности и производительности. Эксплойт Защитника Windows предназначен для блокировки устройства в различных векторов атак и блокировок поведения, часто используемых в атаках вредоносных программ. Компоненты:

• ASR для сокращения атак (ASR) — это набор элементов управления, которые предприятия могут разрешить предотвратить получение вредоносных программ на компьютере, блокируя подозрительные вредоносные файлы. Например, файлы Office, сценарии, боковое перемещение, поведение программ-шантажистов и угрозы на основе электронной почты.

• Функция Защита сети защищает конечные точки от веб-угроз, блокируя любые процессы на устройстве, идущие к недоверенным узлам и IP-адресам, с помощью фильтра SmartScreen Защитника Windows.

• Функция Контролируемый доступ к файлам защищает конфиденциальные данные от программ-шантажистов, блокируя доступ недоверенных процессов к защищенным папкам.

• Защита от эксплойтов — это набор мер по устранению рисков для эксплойтов уязвимостей (замена EMET), которые можно легко настроить для защиты системы и приложений.

• Функция Управление приложениями в Защитнике Windows (также известна как политика целостности кода (CI) была представлена в Windows Server 2016. Мы облегчили развертывание, включив политики CI по умолчанию. Политика по умолчанию разрешает все встроенные файлы Windows и приложения Майкрософт, такие как SQL Server, и блокирует известные исполняемые файлы, которые могут обойти CI.

Безопасность программно-конфигурируемых сетей (SDN)

Функция Безопасность для SDN предоставляет множество возможностей для безопасного выполнения рабочих нагрузок клиентами как в локальной среде, так и в качестве поставщика услуг в облаке.

Эти усовершенствования безопасности интегрированы в многофункциональную платформу SDN, появившуюся в Windows Server 2016.

Полный список новых возможностей SDN доступен в статье Что нового в программно-конфигурируемой сети (SDN) для Windows Server 2019?

Улучшения экранированных виртуальных машин

• Улучшения для филиалов

  Теперь экранированные виртуальные машины можно запускать на компьютерах с периодическими разрывами подключения к службе защиты узла, используя новый резервный сервер HGS и автономный режим. Резервный сервер HGS позволяет настроить второй набор URL-адресов для Hyper-V, который будет использоваться в случае невозможности установить подключение к основному серверу HGS.

  Даже если не удается достичь HGS, автономный режим позволит продолжить запуск экранированных виртуальных машин. Автономный режим позволяет запускать виртуальные машины до тех пор, пока виртуальная машина успешно запущена один раз, а конфигурация безопасности узла не изменилась.

• Дополнительные возможности устранения неполадок

  Мы также упростили процесс устранения неполадок в работе экранированных виртуальных машин за счет добавления поддержки режима расширенного сеанса VMConnect и PowerShell Direct. Эти средства полезны, если вы потеряли сетевое подключение к виртуальной машине и должны обновить конфигурацию для восстановления доступа.

  Эти функции не нужно настраивать, и они становятся доступными автоматически при размещении экранируемой виртуальной машины на узле Hyper-V под управлением Windows Server версии 1803 или более поздней.

• Поддержка Linux

  Теперь Windows Server 2019 поддерживает выполнение систем Ubuntu, Red Hat Enterprise Linux и SUSE Linux Enterprise Server внутри экранированных виртуальных машина при работе в средах со смешанными ОС.

HTTP/2 для более быстрого и безопасного просмотра веб-страниц

• Улучшенное объединение подключений исключает сбои при работе в Интернете, а также обеспечивает правильное шифрование веб-сеансов.

• Обновленный процесс согласования наборов шифров на стороне сервера в HTTP/2 обеспечивает автоматическое устранение сбоев подключений и удобство развертывания.

• Мы сделали CUBIC поставщиком контроля перегрузки протокола TCP по умолчанию, чтобы еще больше повысить пропускную способность!

Зашифрованные сети

Шифрование виртуальной сети шифрует трафик виртуальной сети между виртуальными машинами в подсетях с меткой "Включено шифрование". Зашифрованные сети также используют datagram Transport Layer Security (DTLS) в виртуальной подсети для шифрования пакетов. DTLS защищает данные от перехвата, изменения и подделки любым пользователем с доступом к физической сети.

Дополнительные сведения см. в разделе "Зашифрованные сети".

Аудит брандмауэра

Аудит брандмауэра — это новая функция брандмауэра SDN, записывающая любой поток, обработанный правилами брандмауэра SDN, и списки управления доступом (ACL), которые включили ведение журнала.

Пиринг между виртуальными сетями

Пиринг между виртуальными сетями позволяет легко подключать две виртуальные сети. После однорангового подключения виртуальные сети отображаются в мониторинге в качестве одного.

Измерение исходящего трафика

Измерение исходящего трафика предлагает счетчики использования для передачи исходящих данных. Сетевой контроллер использует эту функцию для хранения списка разрешений всех диапазонов IP-адресов, используемых в SDN для каждой виртуальной сети. Эти списки считают, что любой заголовок пакета в место назначения, не включенный в перечисленные диапазоны IP-адресов, которые будут выставляться как исходящие передачи данных.

Хранилище

Вот некоторые изменения, которые мы внесли в хранилище в Windows Server 2019. Подробные сведения см. в статье What's new in Storage in Windows Server (Новые возможности хранилища в Windows Server).

Дедупликация данных

• Дедупликация данных теперь поддерживает ReFS , теперь можно включить дедупликацию данных, где бы вы ни могли включить ReFS, увеличивая эффективность хранилища до 95 % с помощью ReFS.

• API DataPort для оптимизированного входящего трафика и исходящего трафика в дедупликированные тома разработчики теперь могут воспользоваться преимуществами дедупликации данных знаний о том, как эффективно хранить данные между томами, серверами и кластерами.

Диспетчер ресурсов файлового сервера

Теперь можно запретить службе Диспетчера файловых серверов создавать журнал изменений (также известный как журнал USN) во всех томах при запуске службы. Предотвращение создания пути изменения может сохранить пространство на каждом томе, но отключит классификацию файлов в режиме реального времени. Подробные сведения см. в статье File Server Resource Manager (FSRM) overview (Обзор диспетчера ресурсов файлового сервера (FSRM)).

SMB

• S МБ 1 и удаление гостевой проверки подлинности Windows Server больше не устанавливает клиент S МБ 1 и сервер по умолчанию. Кроме того, возможность проверки подлинности гостя в SMB2 и более поздних версиях отключена по умолчанию. Дополнительные сведения см. в статье S МБ v1 по умолчанию не устанавливается в Windows 10 версии 1709 и Windows Server версии 1709.

• S МБ 2/S МБ 3 безопасность и совместимость теперь можно отключить в S МБ 2+ для устаревших приложений и требовать подписывания или шифрования на основе каждого подключения от клиента. Дополнительные сведения см. в справке по модулю S МБ Share PowerShell.

Служба миграции хранилища

Служба переноса хранилищ упрощает перенос серверов в более новую версию Windows Server. Это графическое средство инвентаризации данных на серверах, а затем передает данные и конфигурацию на более новые серверы. Служба миграции служба хранилища также может переместить удостоверения старых серверов на новые серверы, чтобы пользователям не нужно настраивать свои профили и приложения. Дополнительные сведения см. в разделе служба хранилища Migration Service.

Windows Администратор Center версии 1910 добавил возможность развертывания виртуальных машин Azure. Это обновление интегрирует развертывание виртуальной машины Azure в служба хранилища Migration Service. Дополнительные сведения см. в статье о миграции виртуальных машин Azure.

При запуске оркестратора сервера миграции служба хранилища в Windows Server 2019 с установленными КБ 5001384 или в Windows Server 2022 также можно получить доступ к следующим функциям после выпуска (RTM).

• Перенос локальных пользователей и групп на новый сервер.
• Перенос хранилища из отказоустойчивых кластеров, перенос в отказоустойчивые кластеры и перенос между автономными серверами и отказоустойчивыми кластерами.
• Перенос хранилища с сервера Linux, использующего Samba.
• Синхронизация перенесенных общих папок в Azure с помощью Синхронизация файлов Azure.
• Перенос в новые сети, такие как Azure.
• Перенос серверов NetApp Common Internet File System (CIFS) из массивов Служб федеративной проверки подлинности NetApp (FAS) на серверы и кластеры Windows.

Локальные дисковые пространства

Ниже приведен список новых возможностей в Локальных дисковых пространствах. Подробные сведения см. в разделе Storage Spaces Direct (Windows Server 2019 only) (Локальные дисковые пространства (только для Windows Server 2019). Информацию о приобретении проверенных систем с Локальными дисковыми пространствами см. в статье Общие сведения об Azure Stack HCI.

• Дедупликация и сжатие томов ReFS
• Встроенная поддержка энергонезависимой памяти
• Вложенная устойчивость гиперконвергентной инфраструктуры с двумя узлами на границе
• Кластеры из двух серверов, использующие USB-устройство флэш-памяти в качестве свидетеля
• Поддержка Windows Admin Center
• Журнал производительности
• Масштабирование до 4 ПБ на кластер
• Контроль четности с зеркальным ускорением вдвое быстрее
• Обнаружение выброса задержки диска
• Разграничение выделения томов вручную для повышения отказоустойчивости

Реплика хранилища

Новые возможности в реплике хранилища. Подробные сведения см. в разделе Storage Replica (Реплика хранилища).

• Реплика хранилища теперь доступна в Windows Server 2019 Standard Edition.
• Тестовая отработка отказа — это новая функция, которая позволяет подключать целевое хранилище для проверки репликации или резервного копирования данных. Подробные сведения см. в статье с часто задаваемыми вопросами о реплике хранилища.
• Улучшения производительности журнала реплики хранилища
• Поддержка Windows Admin Center

Отказоустойчивая кластеризация

Ниже приведен список новых возможностей отказоустойчивой кластеризации. Подробные сведения см. в статье What's new in Failover Clustering (Новые возможности отказоустойчивой кластеризации).

• Наборы кластеров
• Кластеры с поддержкой Azure
• Миграция кластеров между доменами
• Свидетель USB
• Улучшения инфраструктуры кластера
• Кластерное обновление поддерживает локальные дисковые пространства
• Улучшения файлового ресурса-свидетеля
• Усиление защиты кластера
• Отказоустойчивый кластер больше не использует аутентификацию NTLM

Платформа приложения

Контейнеры Linux в Windows

Теперь можно запускать контейнеры на основе Windows и Linux на одном узле контейнеров с помощью той же управляющей программы docker. Теперь вы можете иметь разнородную среду узла контейнера, обеспечивающую гибкость для разработчиков приложений.

Встроенная поддержка Kubernetes

В Windows Server 2019 улучшены функции вычислений, сети и хранилища выпусков Semi-Annual Channel, необходимых для реализации поддержки платформы Kubernetes в Windows. Дополнительная информация будет доступна в следующих выпусках Kubernetes.

• Сеть контейнеров в Windows Server 2019 значительно повышает удобство использования Kubernetes в Windows. Мы улучшили устойчивость сети платформы и поддержку подключаемых модулей сети контейнеров.

• Развернутые в Kubernetes рабочие нагрузки могут использовать средства сетевой безопасности для защиты служб Linux и Windows с помощью встроенных механизмов безопасности.

Улучшения контейнеров

• Улучшенные интегрированные удостоверения

  Мы упростили процесс встроенной проверки подлинности Windows в контейнерах и повысили ее надежность, устранив некоторые ограничения предыдущих выпусков Windows Server.

• Улучшенная совместимость приложений

  Контейнеризация приложений на основе Windows была проще: была увеличена совместимость приложений для существующего образа windowsservercore . Для приложений с дополнительными зависимостями API теперь существует третий базовый образ: окна.

• Уменьшение размера и повышение производительности

  Размеры загрузки базового образа контейнера, размер диска и время запуска были улучшены для ускорения рабочих процессов контейнеров.

• Интерфейс администрирования в Windows Admin Center (предварительная версия)

  Мы значительно упростили мониторинг контейнеров, запущенных на вашем компьютере, а также управление отдельными контейнерами с помощью нового расширения для Windows Admin Center. Найдите расширение "Контейнеры" в общедоступном веб-канале Windows Admin Center.

Улучшения вычислений

• Порядок запуска виртуальной машины для запуска виртуальной машины также улучшается с помощью ос и приложений, что приводит к улучшению триггеров, когда виртуальная машина считается запущенной перед началом следующей.

• Поддержка памяти класса хранилища для виртуальных машин позволяет создавать тома с прямым доступом и форматированием с файловой системой NTFS на энергонезависимых модулях DIMM и предоставлять их виртуальным машинам Hyper-V. Виртуальные машины Hyper-V теперь могут использовать преимущества низкой задержки для устройств памяти класса хранилища.

• Поддержка постоянной памяти для виртуальных машин Hyper-V для использования высокой пропускной способности и низкой задержки постоянной памяти (также известной как память класса хранилища) на виртуальных машинах теперь можно проецировать непосредственно на виртуальные машины. Постоянная память может помочь значительно сократить задержку транзакций базы данных или сократить время восстановления для баз данных с низкой задержкой в памяти при сбое.

• Хранилище контейнеров — контейнеры приложений для постоянных томов данных теперь имеют постоянный доступ к томам. Дополнительные сведения см. в разделе поддержка контейнера хранилища с общими томами кластера (CSV), локальными дисковыми пространствами (S2D) и глобальным сопоставлением SMB.

• Формат файла конфигурации виртуальной машины (обновлен) Добавлен файл состояния виртуальной машины (.vmgs) для виртуальных машин с версией конфигурации версии 8.2 и выше. Файл состояния гостевой виртуальной машины содержит сведения о состоянии устройства, которые ранее были частью файла состояния среды выполнения виртуальной машины.

Зашифрованные сети

Зашифрованные сети — функция шифрования виртуальных сетей, позволяющая шифровать трафик виртуальной сети между виртуальными машинами, которые обмениваются данными между собой в подсетях с пометкой Включено шифрование. Для шифрования пакетов с помощью этой возможности также используется протокол DTLS в виртуальной подсети. Протокол DTLS обеспечивает защиту от перехвата, несанкционированных изменений и подделки со стороны любых лиц, имеющих доступ к физической сети.

Повышение производительности сети для виртуальных рабочих нагрузок

Повышение производительности сети для виртуальных рабочих нагрузок обеспечивает максимальную пропускную способность сети для виртуальных машин без необходимости постоянной настройки или избыточного предоставления ресурсов узла. Улучшенная производительность снижает затраты на операции и обслуживание при увеличении доступной плотности узлов. Новые функции:

• динамическое управление несколькими очередями виртуальных машин (d.VMMQ).

• объединение полученных сегментов в виртуальном коммутаторе;

Передача данных с помощью алгоритма Low Extra Delay Background Transport

Низкая дополнительная задержка фонового транспорта (LEDBAT) — это оптимизированная задержка, поставщик управления перегрузкой сети, предназначенный для автоматической передачи пропускной способности пользователям и приложениям. LEDBAT использует пропускную способность, доступную в то время как сеть не используется. Эта технология предназначена для использования при развертывании крупных критически важных обновлений в ИТ-среде, не влияя на службы клиентов и связанную пропускную способность.

Служба времени Windows

В службе времени Windows реализована полноценная поддержка UTC-совместимой корректировочной секунды, новый протокол времени под названием "Протокол точного времени" (Precision Time Protocol), а также трассировка в сквозном режиме.

Высокопроизводительные шлюзы SDN

Высокопроизводительные шлюзы SDN в Windows Server 2019 значительно повышают производительность подключений IPsec и GRE, обеспечивая сверхвысокую пропускную способность при гораздо меньшей нагрузке на ЦП.

Новый пользовательский интерфейс развертывания и расширение Windows Admin Center для SDN

Теперь в Windows Server 2019 можно легко выполнять развертывание и управление с помощью нового пользовательского интерфейса для развертывания, а также расширения Windows Admin Center, которое предоставляет возможности SDN всем пользователям.

Подсистема Windows для Linux (WSL)

WSL позволяет администраторам сервера использовать имеющиеся средства и сценарии с Linux в Windows Server. Множество усовершенствований, о которых рассказывалось в блоге command line, теперь входят в состав Windows Server, включая фоновые задачи, DriveFS, WSLPath и многое другое.