Windows Server 2022 中的新功能

適用于: Windows Server 2022

本文說明 Windows Server 2022 中的一些新功能。 Windows server 2022 建基於 Windows Server 2019 的強大基礎,並針對三個主要主題帶來許多創新:安全性、Azure 混合式整合與管理,以及應用程式平臺。 此外,Windows Server 2022 Datacenter: Azure Edition 可協助您使用雲端的優點,讓您的 vm 保持在最新狀態,同時將停機時間降到最低。

安全性

Windows Server 2022 中的新安全性功能,將 Windows Server 中的其他安全性功能結合到多個區域,以提供深度防禦的保護,以抵禦先進的威脅。 Advanced Windows Server 2022 中的多層安全性,提供現今伺服器所需的全方位保護。

安全核心伺服器

OEM 合作夥伴提供的經認證的安全核心伺服器硬體提供額外的安全性保護,可用於複雜的攻擊。 在某些最敏感的資料產業中處理任務關鍵性資料時,這可以提供更高的保證。 安全核心的伺服器會使用硬體、固件和驅動程式功能來啟用 advanced Windows server 安全性功能。 Windows 安全核心的電腦中有許多這些功能,現在也可透過安全核心伺服器硬體和 Windows server 2022 來使用。

硬體根目錄信任

信賴平臺模組 2.0 (TPM 2.0) 安全的密碼編譯-處理器晶片提供安全、以硬體為基礎的存放區,以用於敏感的密碼編譯金鑰和資料,包括系統完整性的測量。 TPM 2.0 可以驗證服務器是否已使用合法的程式碼啟動,並可透過後續的程式碼執行來信任。 這就是所謂的硬體根信任,可供 BitLocker 磁片磁碟機加密等功能使用。

固件保護

以高許可權執行的固件通常不會被傳統的防毒軟體所造成,因為這會導致以固件為基礎的攻擊數量上升。 受保護的核心伺服器處理器支援測量與驗證具有 動態根信任的 (DRTM) 技術 ,以及將驅動程式存取與 直接記憶體存取 (DMA) 保護的記憶體隔離。

虛擬化型安全性 (VBS)

安全核心伺服器支援以虛擬化為基礎的安全性 (VBS) 和以程式碼為基礎的程式碼完整性 (HVCI) 。 VBS 使用硬體虛擬化功能,從一般作業系統建立和隔離安全的記憶體區域,以防止加密貨幣的挖掘攻擊中所使用的整個弱點類別。 VBS 也允許使用 Credential Guard,其中使用者認證和密碼會儲存在作業系統無法直接存取的虛擬容器中。

HVCI 使用 VBS 大幅增強程式碼完整性原則的強制執行,包括核心模式完整性,在虛擬化環境中檢查所有核心模式驅動程式和二進位檔,然後再啟動,以防止未簽署的驅動程式或系統檔案載入系統記憶體。

核心資料保護 (KDP) 為核心記憶體提供唯讀的記憶體保護,其中包含的非可執行檔資料,其中的記憶體頁面是由虛擬程式保護。 KDP 會保護 Windows Defender 系統防護執行時間中的重要結構,而不會遭到篡改。

安全的連線

傳輸: Windows Server 2022 上預設啟用 HTTPS 和 TLS 1。3

安全連線是現今互連系統的核心。 傳輸層安全性 (TLS) 1.3 是最新版的網際網路最新的安全性通訊協定,它會加密資料以提供兩個端點之間的安全通道。 現在 Windows Server 2022 上預設會啟用 HTTPS 和 TLS 1.3,以保護連接至伺服器之用戶端的資料。 它可消除過時的密碼編譯演算法、增強較舊版本的安全性,並盡可能加密盡可能地加密信號。 深入瞭解 支援的 TLS 版本 ,以及 支援的加密套件

雖然通訊協定層中的 TLS 1.3 現在預設為啟用,但應用程式和服務也需要主動支援。 如需詳細資訊,請參閱這些應用程式和服務的檔。 Microsoft 安全性 blog 有更多詳細資料,包括 傳輸層安全性 (tls) 至下一層的 tls 1.3

安全 DNS:使用 DNS over HTTPS 進行加密的 DNS 名稱解析要求

Windows Server 2022 中的 dns 用戶端現在支援使用 HTTPs 通訊協定加密 dns 查詢的 HTTPs (DoH) 。 這有助於防止竊聽和您的 DNS 資料遭到操作,讓您的流量盡可能保持私密。 深入瞭解 如何設定 DNS 用戶端以使用 DoH

伺服器訊息區 (SMB) :適用于最安全安全性的 SMB AES-256 加密

Windows 伺服器現在支援 aes-256-GCM 和 aes-256-CCM 密碼編譯套件進行 SMB 加密。 Windows 將會在連線到另一部也支援它的電腦時,自動協商這個更先進的加密方法,而且也可以透過群組原則來強制執行。 Windows Server 仍支援 AES-128,以提供下層相容性。 AES-128-GMAC 簽署現在也可加速簽署效能。

SMB: East-West 適用于內部叢集通訊的 SMB 加密控制項

Windows Server 容錯移轉叢集現在支援對叢集共用磁片區的叢集共用磁片區 (CSV) 和儲存體匯流排層 (SBL) 進行加密和簽署內部節點儲存體通訊的細微控制。 這表示當您使用儲存空間 Direct 時,可以決定在叢集本身內加密或簽署東西部通訊,以提供更高的安全性。

SMB Direct 和 RDMA 加密

SMB Direct 和 RDMA 為工作負載(例如儲存空間 Direct、儲存體 Replica、hyper-v、向外延展檔案伺服器和 SQL Server)提供高頻寬、低延遲網路網狀架構。 Windows Server 2022 中的 SMB 直接存取現在支援加密。 先前,啟用 SMB 加密已停用直接資料放置;這是故意的,但會嚴重影響效能。 現在,資料是在放置之前加密的資料,導致效能降低,同時新增 AES-128 和 AES-256 保護的封包隱私權。

Smb 加密、簽署加速、安全 RDMA 和叢集支援的詳細資訊可在 smb 安全性增強功能中找到。

SMB over QUIC

smb over QUIC 會更新 Windows Server 2022 Datacenter 中的 smb 3.1.1 通訊協定: Azure Edition 和支援的 Windows 用戶端,以使用 QUIC 通訊協定,而不是 TCP。 藉由使用 SMB over QUIC 和 TLS 1.3,使用者和應用程式可以安全可靠地從 Azure 中執行的 edge 檔案伺服器存取資料。 當 Windows 時,行動裝置和 telecommuter 使用者不再需要 VPN 以透過 SMB 存取其檔案伺服器。 如需詳細資訊,請參閱 QUIC 檔中的 SMB。

Azure 混合式功能

您可以使用 Windows Server 2022 中內建的混合式功能,更輕鬆地將資料中心擴充至 Azure,以提升效率和靈活性。

Azure Arc 已啟用 Windows 伺服器

Azure Arc 已啟用 Windows Server 2022 的伺服器會透過 Azure Arc 將內部部署和多雲端 Windows 伺服器帶入 Azure。此管理體驗設計成與您管理原生 Azure 虛擬機器的方式一致。 混合式機器連線到 Azure 時就會變成已連線的機器,並且視為 Azure 中的資源。 如需詳細資訊,請參閱 Azure Arc 可啟用伺服器檔

Windows Admin Center

Windows Admin Center 管理 Windows Server 2022 的改進功能包括將上述安全核心功能的目前狀態回報給報表,並在適用的情況下允許客戶啟用功能。 您可以在Windows Admin Center 檔中找到更多有關這些 Windows Admin Center 的詳細資訊,以及更多的。

Azure Automanage-Hotpatch

Windows Server 2022 Datacenter 中支援 Hotpatch (azure Automanage 的一部分): azure Edition。 熱修補是在新的 Windows Server Azure Edition 虛擬機器上安裝更新的新方式, (vm) 不需要在安裝後重新開機。 如需詳細資訊,請參閱 Azure Automanage 檔

應用程式平台

Windows 的容器有幾個平臺改進,包括應用程式相容性,以及使用 Kubernetes 的 Windows 容器體驗。 主要的改進包括減少最多40% 的 Windows 容器映射大小,使啟動時間更快且效能更佳。

您現在也可以執行相依于 Azure Active Directory 與群組受管理的服務帳戶的應用程式 (gMSA) 沒有加入容器主機的網域,而且 Windows 容器現在支援 (MSDTC) 和 Microsoft Message Queuing (MSMQ) 的 Microsoft 分散式交易控制。

有幾個其他增強功能可簡化 Kubernetes 的 Windows 容器體驗。 這些增強功能包括支援主機進程容器,以使用 Calico 進行節點設定、IPv6 和一致的網路原則執行。

除了平臺改進之外,Windows Admin Center 也已更新,可讓您輕鬆地將 .net 應用程式。 當應用程式在容器中之後,您就可以將它裝載在 Azure Container Registry 上,然後將它部署至其他 Azure 服務,包括 Azure Kubernetes Service。

透過 Intel Ice Lake 處理器的支援,Windows Server 2022 支援商務關鍵性和大規模的應用程式(例如 SQL Server),其最多需要 48 TB 的記憶體,而2048在64實體通訊端上執行的邏輯核心。 採用 Intel 安全防護延伸模組的機密運算 (SGX) 在 Intel Ice Lake 上,使用受保護的記憶體隔離應用程式,以改善應用程式安全性。

其他重要功能

AMD 處理器的嵌套虛擬化

巢狀虛擬化功能可讓您在 Hyper-V 虛擬機器 (VM) 中執行 Hyper-V。 Windows Server 2022 提供使用 AMD 處理器進行嵌套虛擬化的支援,為您的環境帶來更多的硬體選擇。 如需詳細資訊,請參閱 嵌套虛擬化檔

Microsoft Edge 瀏覽器

Microsoft Edge 隨附于 Windows Server 2022,取代 Internet Explorer。 它建置於 Chromium 開放原始碼,並受到 Microsoft 安全性和創新的支援。 它可搭配具有桌面體驗安裝選項的伺服器使用。 您可以在Microsoft Edge Enterprise 檔中找到詳細資訊。 請注意,Microsoft Edge 與 Windows Server 的其餘部分不同,它會遵循其支援週期的現代化生命週期。 如需詳細資訊,請參閱Microsoft Edge 生命週期檔

網路效能

UDP 效能改進

UDP 成為一個非常受歡迎的通訊協定,因為 RTP 和自訂 (UDP) 串流和遊戲通訊協定日益普及,所以攜帶更多的網路流量。 以 UDP 為基礎的 QUIC 通訊協定,可將 UDP 效能提升至與 TCP 相等的層級。 大幅 Windows Server 2022 包含 UDP 分割卸載 (USO) 。 USO 會移動從 CPU 傳送 UDP 封包到網路介面卡的特製化硬體所需的大部分工作。 補充 USO 是 udp 的接收端聯合 (UDP RSC) ,其結合封包並減少 UDP 處理的 CPU 使用量。 此外,我們也對 UDP 資料路徑進行了數百項改進,也就是傳輸和接收。 Windows Server 2022 和 Windows 11 都有這項新功能。

TCP 效能改進功能

Windows Server 2022 使用 TCP HyStart + +來減少連線啟動期間的封包遺失 (尤其是高速網路) 和機架,以減少重新傳輸超時 (RTO) 。 根據預設,傳輸堆疊中會啟用這些功能,並以較高的效能提供更流暢的網路資料流程。 Windows Server 2022 和 Windows 11 都有這項新功能。

Hyper-v 虛擬交換器改進

Hyper-v 中的虛擬交換器已利用更新的接收區段聯合 (RSC) 來增強。 這可讓程式管理者網路將封包和處理常式合併為一個較大的區段。 CPU 週期會降低,而且區段會保持在整個資料路徑上,直到預期的應用程式處理為止。 這表示從外部主機、由虛擬 NIC 接收,以及從虛擬 NIC 到相同主機上的另一個虛擬 NIC 的網路流量,都能獲得更佳的效能。

儲存體

存放裝置移轉服務

Windows Server 2022 中儲存體遷移服務的增強功能,可讓您更輕鬆地從更多來源位置將儲存體遷移至 Windows Server 或 Azure。 以下是在 Windows Server 2022 上執行儲存體遷移伺服器協調器時可用的功能:

  • 將本機使用者和群組遷移至新的伺服器。
  • 從容錯移轉叢集遷移存放裝置、遷移至容錯移轉叢集,以及在獨立伺服器和容錯移轉叢集之間遷移。
  • 從使用 Samba 的 Linux 伺服器遷移儲存體。
  • 使用 Azure 檔案同步,更輕鬆地將遷移的共用同步處理至 Azure。
  • 遷移至新的網路(例如 Azure)。
  • 從 netapp FAS 陣列將 netapp CIFS 伺服器遷移到 Windows 伺服器和叢集。

可調整的儲存體修復速度

使用者可調整的儲存體修復速度是儲存空間 Direct 的新功能,可讓您藉由將資源配置至修復資料複本以修復資料複本 (復原) 或執行主動工作負載 (效能) ,以更充分掌控資料重新同步處理常式。 這有助於提升可用性,並可讓您更靈活且有效率地服務您的叢集。

更快速的修復和重新同步處理

在節點重新開機和磁片失敗等事件之後儲存體修復和重新同步處理,現在會快兩倍。 修復所花費的時間較少,因此您可以更確定修復所需的時間,這是藉由在資料追蹤中新增更多細微性來達成。 這只會移動需要移動的資料,並減少所使用的系統資源和花費的時間。

在獨立伺服器上使用儲存空間儲存體匯流排快取

獨立伺服器現在可使用儲存體匯流排快取。 它可以大幅提升讀取和寫入效能,同時維持儲存效率並降低營運成本。 類似于儲存空間 Direct 的採用,這項功能會以較慢 (媒體的方式系結更快的媒體 (例如 NVMe 或 SSD) 例如,HDD) 以建立階層。 媒體層的一部分會保留給快取。 若要深入瞭解,請參閱在獨立伺服器上使用儲存空間啟用儲存體匯流排快取。

ReFS 檔案層級快照集

Microsoft 的復原檔案系統 (ReFS) 現在包含使用快速中繼資料作業來快照集檔案的能力。 快照集與 ReFS 區塊複製 不同,後者複製中的可寫入,而快照集則是唯讀的。 這項功能在具有 VHD/VHDX 檔案的虛擬機器備份案例中特別有用。 ReFS 快照集是唯一的,因為它們會採用固定的時間,而不考慮檔案大小。 您可以使用 ReFSUtil 或 API 來支援快照集。

SMB 壓縮

Windows Server 2022 和 Windows 11 的 SMB 增強功能,可讓使用者或應用程式在透過網路傳輸時壓縮檔案。 使用者不再需要手動壓縮檔案,就能在速度較慢或更擁擠的網路上更快速傳輸。 如需詳細資訊,請參閱 SMB 壓縮