Neuigkeiten in Windows Server 2016

In diesem Artikel werden einige der neuen Features in Windows Server 2016 beschrieben, die für Ihre Arbeit mit diesem Release wahrscheinlich die größten Auswirkungen haben.

Compute

Der Virtualisierungsbereich umfasst Virtualisierungsprodukte und -features, mit denen IT-Profis Windows Server entwerfen, bereitstellen und warten können.

Allgemein

Physische und virtuelle Computer profitieren durch Verbesserungen beim Win32-Zeitdienst und Hyper-V-Uhrzeitsynchronisierungsdienst von einer höheren Zeitgenauigkeit. Windows Server kann jetzt Dienste hosten, die mit bevorstehenden Vorschriften kompatibel sind, die eine Genauigkeit von 1 ms in Bezug auf UTC erfordern.

Hyper-V

Die Hyper-V-Netzwerkvirtualisierung (HNV) ist ein grundlegender Baustein der aktualisierten Software Defined Networking (SDN)-Lösung von Microsoft und ist vollständig in den SDN-Stack integriert. Windows Server 2016 enthält die folgenden Änderungen für Hyper-V:

• Windows Server 2016 enthält jetzt einen programmierbaren Hyper-V-Switch. Microsofts Network Controller gibt HNV-Richtlinien an einen Host-Agenten weiter, der auf jedem Host unter Verwendung des Open vSwitch Database Management Protocol (OVSDB) als SouthBound Interface (SBI) läuft. Der Host-Agent speichert diese Richtlinie mithilfe einer Anpassung des VTEP-Schemas und programmiert komplexe Flowregeln in einer leistungsfähigen Flow-Engine im Hyper-V-Switch. Die Flow-Engine im Hyper-V-Switch ist die gleiche, die auch in Azure verwendet wird. Der gesamte SDN-Stack bis hin zum Network Controller und Network Resource Provider ist ebenfalls mit Azure konsistent, sodass die Leistung mit der Azure Public Cloud vergleichbar ist. Innerhalb der Flow-Engine von Microsoft ist der Hyper-V-Switch in der Lage, sowohl zustandslose als auch zustandsbehaftete Flow-Regeln über einen einfachen Match-Action-Mechanismus zu verarbeiten, der definiert, wie Pakete innerhalb des Switches verarbeitet werden sollen.

• HNV unterstützt jetzt Virtual eXtensible Local Area Network (VXLAN)-Protokoll-Verkapselung. HNV verwendet das VXLAN-Protokoll im MAC-Verteilungsmodus über den Microsoft Network Controller, um die IP-Adressen des Tenant-Overly-Netzwerks den IP-Adressen des physischen Underlay-Netzwerks zuzuordnen. Die NVGRE- und VXLAN-Task-Offloads unterstützen Treiber von Drittanbietern für eine verbesserte Leistung.

• Windows Server 2016 umfasst ein SLB-Mosul (Software Load Balancer) mit vollständiger Unterstützung für virtuellen Netzwerkdatenverkehr und nahtloser Interaktion mit HNV. Die performante Flow-Engine implementiert den SLB im v-Switch der Datenebene, und der Network Controller steuert ihn dann für virtuelle IP- (VIP) oder dynamische IP- (DIP) Zuordnungen.

• HNV implementiert ordnungsgemäße L2-Ethernet-Header, um die Interoperabilität mit virtuellen und physischen Geräten von Drittanbietern sicherzustellen, die von Branchenstandardprotokollen abhängen. Microsoft stellt sicher, dass alle übertragenen Pakete in allen Feldern konforme Werte aufweisen, um die Interoperabilität zu gewährleisten. HNV erfordert die Unterstützung von Jumbo Frames (MTU > 1780) im physischen L2-Netzwerk, um den Paket-Overhead zu berücksichtigen, der durch Verkapselungsprotokolle wie NVGRE und VXLAN entsteht. Die Jumbo Frame-Unterstützung stellt sicher, dass virtuelle Gastmaschinen, die an ein virtuelles HNV-Netzwerk angeschlossen sind, eine MTU von 1514 einhalten.

• Die Unterstützung für Windows Container bietet Leistungsverbesserungen, vereinfachte Netzwerkverwaltung und Unterstützung für Windows Container unter Windows 10. Weitere Informationen finden Sie unter Containers: Docker, Windows und Trends.

Nano Server

Neuerungen in Nano Server. Nano Server verfügt jetzt über ein aktualisiertes Modul zum Erstellen von Nano Server-Images. Außerdem ist die Funktionalität für physische Hosts und Gast-VMs stärker getrennt und Kunden profitieren von der Unterstützung für unterschiedliche Windows Server-Editionen.

Außerdem gibt es Verbesserungen an der Wiederherstellungskonsole, einschließlich der Trennung von eingehenden und ausgehenden Firewall-Regeln und der Möglichkeit, die WinRM-Konfiguration zu reparieren.

Abgeschirmte virtuelle Computer

Windows Server 2016 bietet eine neue Hyper-V-basierte abgeschirmte VM, um jeden virtuellen Computer der Generation 2 vor einem gefährdeten Fabric zu schützen. Zu den in Windows Server 2016 eingeführten Funktionen zählen die folgenden:

• Ein neuer Modus Verschlüsselung unterstützt, der einen umfangreicheren Schutz bietet als bei herkömmlichen virtuellen Computern, jedoch weniger Schutzmaßnahmen als im Modus Geschützt. Gleichzeitig werden vTPM, Datenträgerverschlüsselung, Datenverkehrverschlüsselung bei der Livemigration und andere Features weiterhin unterstützt. Dazu zählen auch die benutzerfreundlichen direkten Fabric-Verwaltungsfunktionen wie VM-Konsolenverbindungen und PowerShell Direct.

• Vollständige Unterstützung für die Umwandlung vorhandener nicht abgeschirmter Generation 2-VMs in abgeschirmte virtuelle Computer (einschließlich automatisierter Datenträgerverschlüsselung).

• Hyper-V Virtual Machine Manager kann jetzt die Fabrics anzeigen, auf denen eine abgeschirmte virtuelle Person ausgeführt werden kann, und bietet dem Fabric-Administrator die Möglichkeit, die Schlüsselschutzkomponente (KP) eines abgeschirmten virtuellen Computers zu öffnen und die Fabrics anzuzeigen, auf denen er ausgeführt werden darf.

• Für einen ausgeführten Host-Überwachungsdienst kann nun der Nachweismodus geändert werden. Sie können jetzt während der Ausführung zwischen dem weniger sicheren, jedoch einfacheren Active Directory-basierten Nachweis und dem TPM-basierten Nachweis wechseln.

• Auf Windows PowerShell basierende End-to-End-Diagnosetools, mit denen falsch konfigurierte Einstellungen oder Fehler in geschützten Hyper-V-Hosts und im Host-Überwachungsdienst ermittelt werden können.

• Eine Wiederherstellungsumgebung, mit der eine sicher Problembehandlung und Reparatur von abgeschirmten virtuellen Computern innerhalb des Fabrics möglich ist, in der diese normalerweise ausgeführt werden. Gleichzeitig bietet diese Umgebung dieselbe Schutzebene wie die abgeschirmten virtuellen Computer selbst.

• Unterstützung für den Host-Überwachungsdienst für vorhandenes sicheres Active Directory: Sie können den Host-Überwachungsdienst so steuern, dass dieser eine vorhandene Active Directory-Gesamtstruktur als Active Directory verwendet, anstatt eine eigene Active Directory-Instanz zu erstellen.

Weitere Informationen und Anweisungen zum Arbeiten mit abgeschirmten virtuellen Computern finden Sie unter Guarded Fabric und Shielded VMs.

Identität und Zugriff

Mit den neuen Features in Identität wird die Möglichkeit verbessert, Active Directory-Umgebungen zu schützen. Außerdem können Unternehmen eine Migration zu reinen Cloudbereitstellungen oder Hybridbereitstellungen durchführen, bei denen einige Anwendungen und Dienste in der Cloud und andere Anwendungen und Dienste lokal gehostet werden.

Active Directory-Zertifikatdienste

Active Directory-Zertifikatdienste (AD CS) in Windows Server 2016 erhöht die Unterstützung für den TPM-Schlüsselnachweis: Sie können jetzt SmartCard-KSP für den Schlüsselnachweis verwenden, und Geräte, die nicht mit der Domäne verbunden sind, können jetzt die NDES-Registrierung verwenden, um Zertifikate abzurufen, die für Schlüssel in einem TPM nachgewiesen werden können.

Privileged Access Management

Privileged Access Management (PAM) trägt dazu bei, Sicherheitsbedenken in Active Directory-Umgebungen zu minimieren, die durch Diebstahl von Anmeldeinformationen verursacht werden, z. B. Pass-the-Hash, Spearphishing usw. Sie können diese neue Verwaltungszugriffslösung mit Microsoft Identity Manager (MIM) konfigurieren und die folgenden Features einführen:

• Die von MIM bereitgestellte Bastion Active Directory-Gesamtstruktur verfügt über eine spezielle PAM-Vertrauensstellung mit einer vorhandenen Gesamtstruktur. Bastion-Gesamtstrukturen sind eine neue Art von Active Directory-Umgebung, die frei von böswilligen Aktivitäten ist, da sie von vorhandenen Gesamtstrukturen isoliert werden und nur den Zugriff auf privilegierte Konten zulassen.

• Neue Prozesse in MIM zum Anfordern von Administratorrechten, einschließlich neuer Workflows für die Genehmigung von Anforderungen.

• Neue Schattensicherheitsprinzipale oder Gruppen, die von MIM als Reaktion auf Administratorberechtigungsanforderungen in der Bastion-Gesamtstruktur bereitgestellt werden. Die Schattensicherheitsgruppen verfügen über ein Attribut, das auf die SID einer administrativen Gruppe in einer vorhandenen Gesamtstruktur verweist. Dadurch kann die Schattengruppe auf Ressourcen in vorhandenen Gesamtstrukturen zugreifen, ohne Zugriffssteuerungslisten (Access Control Lists, ACLs) zu ändern.

• Ein ablaufendes Links-Feature, das begrenzte Zeitmitgliedschaften zu einer Schattengruppe ermöglicht. Sie können der Gruppe Benutzer für einen bestimmten Zeitraum hinzufügen, mit dem sie administrative Aufgaben ausführen können. Die begrenzte Zeitmitgliedschaft wird durch einen TTL-Wert (Time-to-Live) konfiguriert, der an die Kerberos-Ticketlebensdauer weitergegeben wird.

  Hinweis

  Ablaufende Links sind für alle verknüpften Attribute verfügbar. Allerdings ist nur die Member/MemberOF-Attributbeziehung zwischen einer Gruppe und einem Benutzer mit PAM vorkonfiguriert, um das Feature für ablaufende Links zu verwenden.

• Integrierte Verbesserungen des Kerberos-Domänencontrollers (Kerberos Domain Controller, KDC) ermöglichen es Active Directory-Domänencontrollern, kerberos-Ticketlebensdauern auf den niedrigsten möglichen TTL-Wert zu beschränken, wenn Benutzer über mehrere zeitlich begrenzte Mitgliedschaften für administrative Gruppen verfügen. Wenn Sie z. B. Mitglied der zeitgebundenen Gruppe A sind, entspricht die Lebensdauer des Kerberos-Ticketerteilungstickets (TGT) der Zeit, die Sie in Gruppe A verlassen haben. Wenn Sie auch der zeitgebundenen Gruppe B beitreten, die einen niedrigeren TTL-Wert als die Gruppe A aufweist, entspricht die TGT-Lebensdauer der Zeit, die Sie in Gruppe B verlassen haben.

• Neue Überwachungsfunktionen, mit denen Sie ermitteln können, welche Benutzer Zugriff angefordert haben, welchen Zugriff die Administratoren ihnen gewährt haben, und welche Aktivitäten sie während der Anmeldung ausgeführt haben.

Weitere Informationen zu PAM finden Sie unter Privileged Access Management für Active Directory-Domäne Services.

Microsoft Entra join

Microsoft Entra verbessert die Identitätserfahrung für Unternehmens-, Geschäfts- und Bildungskunden sowie verbesserte Funktionen für Unternehmens- und persönliche Geräte.

• Moderne Einstellungen sind jetzt auf unternehmenseigenen Windows-Geräten verfügbar. Sie benötigen kein persönliches Microsoft-Konto mehr, um kerne Windows-Funktionen zu verwenden, und sie werden mit vorhandenen Benutzerkonten neu ausgeführt, um die Compliance sicherzustellen. Diese Dienste funktionieren auf PCs, die mit einer lokalen Windows-Domäne und Geräten verbunden sind, die mit Microsoft Entra verbunden sind. Diese Einstellungen umfassen Folgendes:

  • Roaming oder Personalisierung, Barrierefreiheitseinstellungen und Anmeldeinformationen

  • Sichern und Wiederherstellen

  • Zugriff auf den Microsoft Store mit Ihrem Geschäftskonto

  • Livekacheln und Benachrichtigungen

• Greifen Sie auf Organisationsressourcen auf mobilen Geräten wie Smartphones und Tablets zu, die nicht einer Windows-Domäne beigetreten werden können, unabhängig davon, ob sie unternehmenseigene Geräte sind oder Ihr eigenes Gerät (BYOD) mitbringen.

• Verwenden Sie einmaliges Anmelden (Single Sign On, SSO) für Office 365 und andere Organisations-Apps, Websites und Ressourcen.

• Fügen Sie auf BYOD-Geräten ein Geschäftskonto aus einer lokalen Domäne oder Azure AD zu einem persönlichen Gerät hinzu. Sie können SSO verwenden, um über Apps oder im Web auf Arbeitsressourcen zuzugreifen, während sie mit neuen Features wie bedingte Kontosteuerung und Geräteintegritätsnachweis kompatibel bleiben.

• Mit der Integration der mobilen Geräteverwaltung (MOBILE Device Management, MDM) können Sie Geräte automatisch für Ihr Mobile Device Management (MDM)-Tool (Microsoft Intune oder Drittanbieter) anmelden.

• Richten Sie den Kioskmodus und freigegebene Geräte für mehrere Benutzer in Ihrer Organisation ein.

• Mit der Entwicklerumgebung können Sie Apps erstellen, die sowohl Unternehmens- als auch persönliche Kontexte mit einem freigegebenen Programmierstapel erfüllen.

• Mit der Imageerstellungsoption können Sie zwischen der Imageerstellung wählen und Ihren Benutzern die Möglichkeit geben, unternehmenseigene Geräte direkt während der ersten Ausführung zu konfigurieren.

Windows Hello For Business

Windows Hello for Business ist ein schlüsselbasierter Authentifizierungsansatz für Unternehmen und Endkunden, der weit über Kennwörter hinausgeht. Diese Form der Authentifizierung basiert auf Anmeldeinformationen, die gegen Verstöße, Diebstahl und Phishing resistent sind.

Der Benutzer meldet sich mit einer biometrischen oder PIN an, die mit einem Zertifikat oder einem asymmetrischen Schlüsselpaar verknüpft ist. Die Identitätsanbieter (IDPs) überprüfen den Benutzer, indem er den öffentlichen Schlüssel des Benutzers zu IDLocker zuordnen und Anmeldeinformationen über one Time Password (OTP), per Telefon oder einem anderen Benachrichtigungsmechanismus bereitstellt.

Weitere Informationen finden Sie unter Windows Hello for Business.

Dateireplikationsdienst und Windows Server 2003-Funktionsebenen veraltet

Obwohl der Dateireplikationsdienst (FILE Replication Service, FRS) und die Windows Server 2003-Funktionsebenen in früheren Versionen von Windows Server veraltet waren, möchten wir Sie daran erinnern, dass AD DS Windows Server 2003 nicht mehr unterstützt. Sie sollten jeden Domänencontroller entfernen, der Windows Server 2003 aus der Domäne ausführt. Sie sollten auch die Funktionsebene der Domäne und Gesamtstruktur auf mindestens Windows Server 2008 erhöhen.

Auf den Windows Server 2008- und höheren Domänenfunktionsebenen verwendet AD DS die DFS-Replikation (Distributed File Service), um SYSVOL-Ordnerinhalte zwischen Domänencontrollern zu replizieren. Wenn Sie eine neue Domäne auf der Windows Server 2008-Domänenfunktionsebene oder höher erstellen, repliziert DFS-Replikation automatisch den SYSVOL-Ordner. Wenn Sie die Domäne auf einer niedrigeren Funktionalen Ebene erstellt haben, müssen Sie von der Verwendung von FRS zu DFS-Replikation für den SYSVOL-Ordner migrieren. Ausführlichere Migrationsschritte finden Sie unter Installieren, Aktualisieren oder Migrieren zu Windows Server.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Grundlegendes zu Funktionsebenen von Active Directory-Domänendiensten (AD DS)
• So erhöhen Sie die Funktionsebenen der Active Directory-Domäne und der Gesamtstruktur

Active Directory-Verbunddienste (AD FS)

Active Directory-Verbunddienste (AD FS) unter Windows Server 2016 enthält neue Funktionen, die Ihnen die Konfiguration von AD FS für die Authentifizierung von Benutzern ermöglichen, die in Lightweight Directory Access Protocol-Verzeichnissen (LDAP) gespeichert sind.

Webanwendungsproxy

Im Fokus der aktuellen Version des Webanwendungsproxys stehen neue Features, die die Veröffentlichung und Vorauthentifizierung weiterer Anwendungen ermöglichen und das Benutzererlebnis verbessern. Sehen Sie sich die vollständige Liste der neuen Features an, die die Vorauthentifizierung für funktionsreiche Client-Apps wie Exchange ActiveSync sowie Platzhalterdomänen für die einfachere Veröffentlichung von SharePoint-Apps umfassen. Weitere Informationen finden Sie unter Webanwendungsproxy unter Windows Server 2016.

Verwaltung

Im Bereich Verwaltung und Automatisierung liegt der Schwerpunkt auf Tool- und Referenzinformationen für IT-Profis, die Windows Server 2016 (einschließlich Windows PowerShell) ausführen und verwalten möchten.

Windows PowerShell 5.1 enthält wichtige neue Features – einschließlich Unterstützung für die Entwicklung mit Klassen und neue Sicherheitsfunktionen –, die den Funktionsumfang erweitern, die Benutzerfreundlichkeit verbessern und die Steuerung und Verwaltung von Windows-basierten Umgebungen erleichtern und erweitern. Weitere Informationen finden Sie unter Neue Szenarien und Features in WMF 5.1.

Die neuen Features für Windows Server 2016 umfassen Folgendes: PowerShell.exe kann lokal unter Nano Server ausgeführt werden (nicht mehr nur remote), neue Cmdlets für lokale Benutzer und Gruppen ersetzen die GUI, neue PowerShell-Debuggingunterstützung sowie neue Unterstützung in Nano Server für Sicherheitsprotokollierung und -aufzeichnung sowie JEA.

Dies sind einige weitere neue Verwaltungsfeatures:

PowerShell Desired State Configuration (DSC) im Windows Management Framework (WMF) 5

Windows Management Framework 5 enthält Updates für Windows PowerShell Desired State Configuration (DSC), die Windows-Remoteverwaltung (Windows Remote Management, WinRM) und die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI).

Weitere Informationen zum Testen der DSC-Features von Windows Management Framework 5 finden Sie in der Blogbeitragsreihe, die unter Validate features of PowerShell DSC (Überprüfen der PowerShell DSC-Features) besprochen wird. Die Downloaddateien finden Sie unter Windows Management Framework 5.1.

Einheitliche Paketverwaltung mit PackageManagement für die Softwareerkennung, Installation und Inventur

Windows Server 2016 und Windows 10 enthalten ein neues PackageManagement-Feature (ehemals OneGet), das IT-Experten oder DevOps ermöglicht, die Erkennung, Installation und Inventarisierung von Software (Software Discovery, Installation, Inventory – SDII) lokal oder remote zu automatisieren, unabhängig von der Installationstechnologie und davon, wo sich die Software befindet.

Weitere Informationen finden Sie unter https://github.com/OneGet/oneget/wiki.

PowerShell-Erweiterungen zur Unterstützung der digitalen Forensik und Verringerung von Sicherheitslücken

Um das Team zu unterstützen, das für die Untersuchung kompromittierter Systeme zuständig ist – manchmal als „Blue Team“ bezeichnet –, haben wir zusätzliche PowerShell-Protokollierungen und andere digitale, forensische Features hinzugefügt. Wir haben außerdem die Features zur Reduzierung von Sicherheitsrisiken in Skripts, z.B. PowerShell (eingeschränkt) und sichere CodeGeneration-APIs, hinzugefügt.

Weitere Informationen finden Sie im Blogbeitrag zum PowerShell ♥ Blue Team.

Netzwerkfunktionen

Der Netzwerkbereich befasst sich mit Netzwerkprodukten und -features, die IT-Spezialisten beim Entwerfen, Bereitstellen und Warten von Windows Server 2016 verwenden können.

Softwaredefinierte Netzwerke

Sie können Datenverkehr jetzt sowohl spiegeln als auch an neue oder vorhandene virtuelle Geräte leiten. In Kombination mit einer verteilten Firewall und Netzwerksicherheitsgruppen können Sie Workloads so – vergleichbar mit Azure – dynamisch segmentieren und schützen. Außerdem können Sie den gesamten softwaredefinierten Netzwerkstapel mithilfe von System Center Virtual Machine Manager bereitstellen und verwalten. Und Sie können Docker zum Verwalten von Windows Server-Containernetzwerken verwenden und SDN-Richtlinien nicht nur virtuellen Computern, sondern auch Containern zuordnen. Weitere Informationen finden Sie unter Planen einer softwaredefinierten Netzwerkinfrastruktur.

TCP-Leistungsverbesserungen

Das standardmäßige anfängliche Überlastungsfenster (Initial Congestion Window, ICW) wurde von 4 auf 10 erhöht und TCP Fast Open (TFO) wurde implementiert. TFO reduziert den Zeitaufwand für das Herstellen einer TCP-Verbindung, und das erhöhte ICW ermöglicht die Übertragung von größeren Objekten in den anfänglichen Burst. Diese Kombination kann die erforderliche Zeit für die Übertragung eines Internetobjekts zwischen dem Client und der Cloud erheblich reduzieren.

Um das TCP-Verhalten beim Wiederherstellen von Paketverlusten zu verbessern, haben wir TCP Tail Loss Probe (TLP) und Recent Acknowledgment (RACK) implementiert. TLP hilft bei der Konvertierung von RTOs (Retransmit TimeOuts) in schnelle Wiederherstellungen, und RACK reduziert die Zeit, die die schnelle Wiederherstellung benötigt, um ein verlorenes Paket erneut zu übertragen.

Dynamic Host Configuration-Protokoll (DHCP)

Das Dynamic Host Configuration Protocol (DHCP) hat die folgenden Änderungen in Windows Server 2016:

• Ab Windows 10, Version 2004, werden die Verbindungen jetzt als getaktet bezeichnet, wenn Sie einen Windows-Client ausführen und eine Verbindung mit dem Internet herstellen. Der herkömmliche Clientanbietername, der auf bestimmten Windows-Geräten als MSFT 5.0 angezeigt wurde, ist jetzt MSFT 5.0 XBOX.

• Ab Windows 10, Version 1803, kann der DHCP-Client jetzt die Option 119, die Option "Domänensuche", vom DHCP-Server lesen und anwenden, mit dem ihr System eine Verbindung herstellt. Die Option für die Domänensuche stellt auch DNS-Suffixe (Domain Name Services) für DNS-Nachschlagevorgänge von Kurznamen bereit. Weitere Informationen finden Sie unter RFC 3397.

• DHCP unterstützt ab sofort Option 82 (Unteroption 5). Sie können diese Option verwenden, um DHCP-Proxyclients und Relay-Agents das Anfordern einer IP-Adresse für ein bestimmtes Subnetz zu erlauben. Wenn Sie einen DHCP-Relay-Agent verwenden, der mit DHCP-Option 82 (Unteroption 5) konfiguriert ist, kann der Relay-Agent eine IP-Adress-Lease für DHCP-Clients aus einem bestimmten IP-Adressbereich anfordern. Weitere Informationen finden Sie unter Optionen für die DHCP-Subnetzauswahl.

• Neue Protokollierungsereignisse für Szenarien, in denen DNS-Eintragsregistrierungen auf dem DNS-Server fehlschlagen. Weitere Informationen finden Sie unter DHCP-Protokollierungsereignisse für DNS-Registrierungen.

• Die DHCP-Serverrolle unterstützt keinen Netzwerkzugriffsschutz (Network Access Protection, NAP). DHCP-Server erzwingen keine NAP-Richtlinien, und DHCP-Bereiche können nicht NAP-aktiviert sein. DHCP-Clientcomputer, die auch NAP-Clients sind, senden eine Integritätsanweisung (Statement of Health, SoH) mit der DHCP-Anforderung. Wenn auf dem DHCP-Server Windows Server 2016 ausgeführt wird, werden diese Anforderungen so verarbeitet, als ob kein SoH vorhanden wäre. Der DHCP-Server gewährt dem Client eine normale DHCP-Lease. Wenn Server, auf denen Windows Server 2016 ausgeführt wird, Remoteauthentifizierungsbenutzerdienst(RADIUS)-Proxys sind, die Authentifizierungsanforderungen an einen Netzwerkrichtlinienserver (Network Policy Server, NPS) weiterleiten, der NAP unterstützt, wertet npS diese Clients als nicht NAP-fähig aus, was dazu führt, dass die NAP-Verarbeitung fehlschlägt. Weitere Informationen zum Veraltet von NAP und NAP finden Sie unter Features, die in Windows Server 2012 R2 entfernt oder veraltet sind.

Sicherheit und Assurance

Der Sicherheits- und Assurancebereich beinhaltet Sicherheitslösungen und -features für Ihr Rechenzentrum und Ihre Cloudumgebung. Informationen zur allgemeinen Sicherheit in Windows Server 2016 finden Sie unter Sicherheit und Zusicherungen.

Just Enough Administration

Just Enough Administration in Windows Server 2016 ist eine Sicherheitstechnologie, die eine delegierte Verwaltung für sämtliche Bereiche bietet, die sich mit Windows PowerShell verwalten lassen. Die Funktionen umfassen die Unterstützung für die Ausführung unter einer Netzwerkidentität, für das Herstellen einer Verbindung über PowerShell Direct, das sichere Kopieren von Dateien von/zu JEA-Endpunkten sowie das Konfigurieren der PowerShell-Konsole für den standardmäßigen Start in einem JEA-Kontext. Weitere Informationen finden Sie unter JEA auf GitHub.

Credential Guard

Credential Guard nutzt auf Virtualisierung basierende Sicherheitsverfahren, um geheime Daten zu isolieren, damit nur durch privilegierte Systemsoftware auf diese Daten zugegriffen werden kann. Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.

Credential Guard für Windows Server 2016 beinhaltet die folgenden Updates für angemeldete Benutzersitzungen:

• Kerberos und NTLM (New Technology LAN Manager) verwenden virtualisierungsbasierte Sicherheit, um Kerberos- und NTLM-Geheimnisse für angemeldete Benutzersitzungen zu schützen.

• Credential Manager schützt gespeicherte Domänenanmeldeinformationen mithilfe von virtualisierungsbasierter Sicherheit. Eingegebene Anmeldeinformationen und gespeicherte Domänenanmeldeinformationen werden mithilfe von Remotedesktop nicht an Remotehosts übergeben.

• Sie können Credential Guard ohne UEFI-Sperre (Unified Extensible Firmware Interface) aktivieren.

Remote Credential Guard

Credential Guard enthält Unterstützung für RDP-Sitzungen, sodass die Benutzeranmeldeinformationen auf der Clientseite verbleiben und nicht auf der Serverseite verfügbar gemacht werden. Außerdem wird Einmaliges Anmelden für Remotedesktop bereitgestellt. Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Windows Defender Credential Guard.

Remote Credential Guard für Windows Server 2016 beinhaltet die folgenden Updates für angemeldete Benutzer:

• Remote Credential Guard speichert Kerberos- und NTLM-Geheimnisse für eingegebene Benutzeranmeldeinformationen auf dem Clientgerät. Alle Authentifizierungsanforderungen vom Remotehost zur Bewertung von Netzwerkressourcen als Benutzer erfordern, dass das Clientgerät die Geheimnisse verwendet.

• Remote Credential Guard schützt die bereitgestellten Benutzeranmeldeinformationen bei Verwendung von Remotedesktop.

Domänenschutzmaßnahmen

Für den Domänenschutz ist jetzt eine Active Directory-Domäne erforderlich.

Unterstützung der PKInit Freshness-Erweiterung

Kerberos-Clients versuchen jetzt, die PKInit Freshness-Erweiterung für auf öffentlichen Schlüsseln basierende Anmeldungen auszuführen.

KDCs unterstützen jetzt die PKINIT-Aktualitätserweiterung. Sie bieten die PKInit Freshness-Erweiterung jedoch nicht standardmäßig.

Weitere Informationen finden Sie unter Kerberos-Client und KDC-Unterstützung für RFC 8070 PKInit Freshness-Erweiterung.

Ausführen eines Rollovers für NTLM-Geheimnisse von Benutzern mit nur öffentlichen Schlüsseln

Ab der Windows Server 2016-Domänenfunktionsebene (Domain Functional Level, DFL) unterstützen Domänencontroller jetzt das Rollover der NTLM-Geheimnisse eines Benutzers, der nur öffentliche Schlüssel nutzt. Dieses Feature ist in niedrigeren Domänenfunktionsebenen (DFLs) nicht verfügbar.

Warnung

Das Hinzufügen eines Domänencontrollers, der vor dem Update vom 8. November 2016 aktiviert wurde, zu einer Domäne, die das Rollover von NTLM-Schlüsseln unterstützt, kann zum Absturz des Domänencontrollers führen.

Bei neuen Domänen wird dieses Feature standardmäßig aktiviert. Bei vorhandenen Domänen müssen Sie es im Active Directory-Verwaltungscenter konfigurieren.

Klicken Sie im Active Directory-Verwaltungscenter im linken Bereich mit der rechten Maustaste auf die Domäne, und wählen Sie Eigenschaften aus. Aktivieren Sie das Kontrollkästchen Rollover von ablaufenden NTLM-Geheimnissen während der Anmeldung für Benutzer aktivieren, die Windows Hello for Business oder eine Smartcard für die interaktive Anmeldung verwenden müssen. Wählen Sie anschließend OK aus, um diese Änderung anzuwenden.

Zulassen von Netzwerk-NTLM, wenn der Benutzer auf bestimmte, in die Domäne eingebundene Geräte beschränkt ist

Domänencontroller können jetzt das Zulassen von Netzwerk-NTLM unterstützen, wenn ein Benutzer auf bestimmte in die Domäne eingebundene Geräte der Windows Server 2016-Domänenfunktionsebene und höher beschränkt ist. Dieses Feature ist in DFLs, die ein früheres Betriebssystem als Windows Server 2016 ausführen, nicht verfügbar.

Wählen Sie zum Konfigurieren dieser Einstellung in der Authentifizierungsrichtlinie die Option NTLM-Netzwerkauthentifizierung zulassen, wenn der Benutzer auf ausgewählte Geräte beschränkt ist aus.

Weitere Informationen finden Sie unter Authentifizierungsrichtlinien und Authentifizierungsrichtliniensilos.

Device Guard (Codeintegrität)

Device Guard bietet Codeintegrität im Kernelmodus (Kernel Mode Code Integrity, KMCI) und Codeintegrität im Benutzermodus (User Mode Code Integrity, UMCI), indem Richtlinien erstellt werden, die angeben, welcher Code auf dem Server ausgeführt werden kann. Siehe Einführung in Windows Defender Device Guard: virtualisierungsbasierte Sicherheit und Richtlinien zur Codeintegrität.

Windows Defender

Übersicht über Windows Defender für Windows Server 2016. Windows Server-Antischadsoftware ist in Windows Server 2016 standardmäßig installiert und aktiviert, die Benutzeroberfläche für Windows Server-Antischadsoftware ist jedoch nicht installiert. Windows Server Antimalware aktualisiert jedoch die Antischadsoftware-Definitionen und schützt Ihren Computer so auch ohne die Benutzeroberfläche. Wenn Sie die Benutzeroberfläche von Windows Server Antimalware benötigen, können Sie sie nach der Installation des Betriebssystems mit dem Assistenten zum Hinzufügen von Rollen und Features installieren.

Ablaufsteuerungsschutz

Beim Ablaufsteuerungsschutz (Control Flow Guard, CFG) handelt es sich um eine Plattformsicherheitsfunktion, die erstellt wurde, um auf Speicherbeschädigungs-Sicherheitsrisiken zu reagieren. Weitere Informationen finden Sie unter Control Flow Guard (Ablaufsteuerungsschutz).

Speicher

Der Speicher in Windows Server 2016 umfasst neue Funktionen und Verbesserungen für den softwaredefinierten Speicher und für herkömmliche Dateiserver. Nachstehend werden einige der neuen Funktionen dargestellt, weitere Verbesserungen und Informationen finden Sie unter What's New in Storage in Windows Server 2016 (Neues im Speicher in Windows Server 2016).

Speicherplätze DAS

Mit direkten Speicherplätzen kann hoch verfügbarer und skalierbarer Speicher unter Verwendung von Servern mit lokalem Speicher erstellt werden. Mit diesem Feature wird die Bereitstellung und die Verwaltung von softwaredefinierten Speichersystemen vereinfacht und auch der Weg zur Nutzung neuer Datenträgerklassen wie z. B. SATA-SSD und NVMe geebnet, was vorher bei gruppierten Speicherplätzen mit freigegebenen Datenträgern nicht möglich war.

Weitere Informationen finden Sie unter Storage Spaces Direct (Direkte Speicherplätze).

Speicherreplikat

Speicherreplikat ermöglicht eine speicheragnostische, synchrone Replikation auf Blockebene zwischen Servern oder Clustern für die Notfallwiederherstellung und das Strecken eines Failoverclusters zwischen Standorten. Die synchrone Replikation ermöglicht die Spiegelung von Daten an physischen Standorten mit ausfallsicheren Volumes, um auf Dateisystemebene sicherzustellen, dass kein Datenverlust auftritt. Die asynchrone Replikation ermöglicht die Standorterweiterung über regionale Bereiche hinaus mit der Möglichkeit von Datenverlusten.

Weitere Informationen finden Sie unter Storage Replica overview (Speicherreplikat: Übersicht).

Quality of Service (QoS) für Speicher

Sie können Quality of Service (QoS) für Speicher jetzt nutzen, um die End-to-End-Speicherleistung zu überwachen und Verwaltungsrichtlinien unter Verwendung von Hyper-V- und CSV-Clustern in Windows Server 2016 zu erstellen.

Weitere Informationen finden Sie unter Storage Quality of Service (QoS für Speicher).

Datendeduplizierung

Windows Server 2016 enthält die folgenden neuen Features für die Datendeduplizierung.

Unterstützung für große Volumes

Ab Windows Server 2016 kann die Datendeduplizierungsauftragspipeline jetzt mehrere Threads parallel mit vielen E/A-Warteschlangen für jedes Volume ausführen. Diese Änderung erhöht die Leistung auf Bisher nur möglich, indem Daten in mehrere kleinere Volumes aufgeteilt werden. Diese Optimierungen gelten nicht nur für den Optimierungsauftrag, sondern für alle Datendeduplizierungsaufträge. Das folgende Diagramm veranschaulicht, wie sich die Pipeline zwischen Versionen von Windows Server geändert hat.

Aufgrund dieser Leistungsverbesserungen verfügt die Datendeduplizierung unter Windows Server 2016 über eine hohe Leistung bei Volumes mit bis zu 64 TB.

Unterstützung großer Dateien

Ab Windows Server 2016 verwendet die Datendeduplizierung Datenzuordnungsstrukturen und andere Verbesserungen zur Optimierung des Durchsatzes und der Zugriffsleistung. Die Pipeline für die Deduplizierungsverarbeitung kann die Optimierung auch nach Failoverszenarien fortsetzen, anstatt von Anfang an zu beginnen. Diese Änderung verbessert die Leistung von Dateien bis zu 1 TB, sodass Administratoren Deduplizierungseinsparungen auf eine größere Bandbreite von Workloads anwenden können, z. B. große Dateien, die sicherungslasten zugeordnet sind.

Unterstützung für Nano Server

Nano Server ist eine headless-Bereitstellungsoption in Windows Server 2016, die einen deutlich geringeren Speicherbedarf der Systemressourcen erfordert, deutlich schneller startet und weniger Updates und Neustarts erfordert als die Windows Server Core-Bereitstellungsoption. Nano Server unterstützt auch die Datendeduplizierung vollständig. Weitere Informationen zu Nano Server finden Sie unter Containerbasisimages.

Vereinfachte Konfigurationen für virtualisierte Sicherungsanwendungen

Ab Windows Server 2016 ist die Datendeduplizierung für Virtualisierte Sicherungsanwendungen sehr vereinfacht. Dieses Szenario ist jetzt eine vordefinierte Option für den Verwendungstyp. Sie müssen die Deduplizierungseinstellungen nicht mehr manuell optimieren, nur die Deduplizierung für ein Volume aktivieren, genau wie General Purpose File Server and Virtual Desktop Infrastructure (VDI).

Unterstützung für das Rollup des Clusterbetriebssystems

Windows Server-Failovercluster mit Datendeduplizierung können eine Mischung aus Knoten aufweisen, die die Windows Server 2012 R2- und Windows Server 2016-Versionen der Datendeduplizierung ausführen. Dieses Clusterfeature mit gemischtem Modus bietet vollständigen Datenzugriff auf alle deduplizierten Volumes während clusterrollter Upgrades. Sie können jetzt schrittweise spätere Versionen der Datendeduplizierungen auf Clustern bereitstellen, die frühere Versionen von Windows Server ohne Ausfallzeiten ausführen.

Failoverclustering

Windows Server 2016 umfasst viele neue Funktionen und Verbesserungen für mehrere Server, die mithilfe der Failoverclustering-Funktion in einem einzelnen fehlertoleranten Cluster zusammengefasst sind.

Paralleles Upgrade für Clusterbetriebssystem

Das Rollupgrade des Clusterbetriebssystems ermöglicht es einem Administrator, das Betriebssystem der Clusterknoten von Windows Server 2012 R2 auf Windows Server 2016 zu aktualisieren, ohne die Hyper-V- oder Scale-Out File Server-Workloads zu beenden. Sie können dieses Feature verwenden, um Ausfallzeiten gegen Service Level Agreements (SLAs) zu vermeiden.

Weitere Informationen finden Sie unter Paralleles Upgrade für Clusterbetriebssysteme.

Cloudzeuge

Der Cloudzeuge ist ein neuer Failovercluster-Quorumzeugen-Typ in Windows Server 2016, der Microsoft Azure als Vermittlungspunkt nutzt. Der Cloudzeuge erhält wie jeder andere Kollegiumszeuge eine Abstimmung und kann an Quorumberechnungen teilnehmen. Sie können CloudZeuge mithilfe des Assistenten "Cluster quorum konfigurieren" als Quorumzeugen konfigurieren.

Weitere Informationen finden Sie unter Bereitstellen von Cloudzeugen für einen Failovercluster.

Ausfallsicherheit virtueller Computer

Windows Server 2016 umfasst eine erhöhte Computerresilienz (VM), um die Kommunikationsprobleme innerhalb des Clusters zu reduzieren. Diese erhöhte Resilienz umfasst die folgenden Updates:

• Sie können jetzt die folgenden Optionen konfigurieren, um zu definieren, wie sich die virtuellen Computer während vorübergehender Fehler verhalten sollen:

  • Die Resilienzstufe definiert, wie Ihre Bereitstellung vorübergehende Fehler behandeln soll.

  • Der Resilienzzeitraum definiert, wie lange alle virtuellen Computer isoliert ausgeführt werden dürfen.

• Fehlerhafte Knoten werden unter Quarantäne gestellt und dürfen nicht mehr dem Cluster beitreten. Dieses Feature verhindert, dass fehlerhafte Knoten andere Knoten und den Gesamtcluster negativ beeinflussen.

Weitere Informationen zu Computeresilienzfeatures finden Sie unter Virtual Machine Compute Resiliency in Windows Server 2016.

Windows Server 2016-VMs enthalten auch neue Speicherresilienzfeatures zur Behandlung vorübergehender Speicherfehler. Verbesserte Resilienz trägt dazu bei, den Sitzungsstatus der Mandanten-VM im Falle einer Speicherunterbrechung beizubehalten. Wenn eine VM vom zugrunde liegenden Speicher getrennt wird, wird sie angehalten und wartet auf die Wiederherstellung des Speichers. Während der Pause behält der virtuelle Computer den Kontext von Anwendungen bei, die zum Zeitpunkt des Speicherfehlers darin ausgeführt wurden. Wenn die Verbindung zwischen dem virtuellen Computer und dem Speicher wiederhergestellt wird, wird der virtuelle Computer wieder in den Ausführungszustand versetzt. Infolgedessen bleibt der Sitzungsstatus des Mandantencomputers bei der Wiederherstellung erhalten.

Die neuen Speicherresilienzfeatures gelten auch für Gastcluster.

Verbesserungen bei der Diagnose

Um Probleme mit Failoverclustern zu diagnostizieren, ist in Windows Server 2016 Folgendes enthalten:

• Mehrere Verbesserungen an Clusterprotokolldateien, z. B. Zeitzoneninformationen und DiagnosticVerbose-Protokoll, erleichtern die Behandlung von Failoverclustering-Problemen. Weitere Informationen finden Sie unter Verbesserungen bei der Behandlung von Problemen bei Failoverclustern unter Windows Server 2016 – Clusterprotokoll.

• Ein neuer Typ aktiver Speicherabbild filtert die meisten Arbeitsspeicherseiten heraus, die VMs zugeordnet sind, wodurch die memory.dmp Datei wesentlich kleiner und einfacher zu speichern oder zu kopieren ist. Weitere Informationen finden Sie unter Verbesserungen bei der Behandlung von Problemen bei Failoverclustern unter Windows Server 2016 – Aktives Speicherabbild.

Standortfähige Failovercluster

Windows Server 2016 umfasst Standortbezogene Failovercluster, die Gruppenknoten in gestreckten Clustern basierend auf ihrem physischen Standort oder Standort aktivieren. Dass Cluster standortspezifisch sind, verbessert wesentliche Vorgänge während des Clusterlebenszyklus, z. B. Failoververhalten, Platzierungsrichtlinien, Heartbeat zwischen den Knoten und Quorumverhalten. Weitere Informationen finden Sie unter Standortspezifische Failovercluster unter Windows Server 2016.

Arbeitsgruppencluster und Cluster mit mehreren Domänen

In Windows Server 2012 R2 und früheren Versionen kann ein Cluster nur zwischen Mitgliedsknoten erstellt werden, die mit derselben Domäne verbunden sind. Windows Server 2016 beseitigt diese Hindernisse und führt die Möglichkeit zum Erstellen eines Failoverclusters ohne Active Directory-Abhängigkeiten ein. Sie können jetzt Failovercluster in den folgenden Konfigurationen erstellen:

• Einzeldomänencluster, die alle ihre Knoten mit derselben Domäne verknüpft haben.

• Multidomänencluster mit Knoten, die Mitglieder verschiedener Domänen sind.

• Arbeitsgruppencluster mit Knoten, die Mitgliedsserver oder Arbeitsgruppen sind, die nicht in die Domäne eingebunden sind.

Weitere Informationen finden Sie unter Arbeitsgruppencluster und Cluster mit mehreren Domänen unter Windows Server 2016.

VM-Lastenausgleich

Der Lastenausgleich für virtuelle Computer ist ein neues Feature im Failoverclustering, das VMs nahtlos über die Knoten in einem Cluster verteilt. Das Feature identifiziert überkommissionierte Knoten basierend auf vm-Arbeitsspeicher und CPU-Auslastung auf dem Knoten. Anschließend wird live die virtuellen Computer vom überkommissionierten Knoten zu Knoten mit verfügbarer Bandbreite migriert. Sie können anpassen, wie aggressiv das Feature Knoten ausgleicht, um eine optimale Clusterleistung und -auslastung sicherzustellen. Der Lastenausgleich ist in Windows Server 2016 Technical Preview standardmäßig aktiviert. Der Lastenausgleich ist jedoch deaktiviert, wenn die dynamische SCVMM-Optimierung aktiviert ist.

VM-Startreihenfolge

Die Startreihenfolge virtueller Computer ist ein neues Feature in Failoverclustering, das die Startreihenfolge für VMs und andere Gruppen in einem Cluster einführt. Sie können jetzt virtuelle Computer in Ebenen gruppieren und dann Startreihenfolgenabhängigkeiten zwischen verschiedenen Ebenen erstellen. Diese Abhängigkeiten stellen sicher, dass die wichtigsten virtuellen Computer, z. B. Domänencontroller oder Hilfs-VMs, zuerst gestartet werden. Virtuelle Computer mit niedrigerer Priorität beginnen erst nach den virtuellen Computern, die vom Start abhängig sind.

Vereinfachte SMB Multichannel- und Multi-NIC-Clusternetzwerke

Failoverclusternetzwerke sind nicht mehr auf eine einzelne Netzwerkschnittstellenkarte (Network Interface Card, NIC) pro Subnetz oder Netzwerk beschränkt. Mit vereinfachten SMB(SMB)-Multichannel- und Multi-NIC-Clusternetzwerken wird die Netzwerkkonfiguration automatisch ausgeführt, und jede NIC im Subnetz kann für Cluster- und Workloaddatenverkehr verwendet werden. Mit dieser Verbesserung können Kunden den Netzwerkdurchsatz für Hyper-V, SQL Server-Failoverclusterinstanz und andere SMB-Workloads maximieren.

Weitere Informationen finden Sie unter Vereinfachte SMB Multichannel- und Multi-NIC-Clusternetzwerke.

Anwendungsentwicklung

Internetinformationsdienste (IIS) 10.0

Zu den neuen Features des IIS 10.0-Webservers unter Windows Server 2016 gehören:

• Die Unterstützung des HTTP/2-Protokolls im Netzwerkstapel und die Integration in IIS 10.0 ermöglichen IIS 10.0-Websites die automatische Verarbeitung von HTTP/2-Anforderungen für unterstützte Konfigurationen. Dies ermöglicht zahlreiche Verbesserungen gegenüber HTTP/1.1, z.B. die effizientere Wiederverwendung von Verbindungen und geringere Latenz, wodurch die Ladezeiten für Webseiten verbessert werden.
• Möglichkeit zum Ausführen und Verwalten von IIS 10.0 unter Nano Server. Informationen dazu finden Sie unter IIS unter Nano Server.
• Die Unterstützung für Platzhalter-Hostheader ermöglicht Administratoren die Einrichtung eines Webservers für eine Domäne und die anschließende Verarbeitung von Anforderungen für jede Unterdomäne durch den Webserver.
• Ein neues PowerShell-Modul (IISAdministration) zum Verwalten von IIS.

Weitere Informationen finden Sie unter: IIS.

Distributed Transaction Coordinator (MSDTC)

In Microsoft Windows 10 und Windows Server 2016 werden drei neue Features hinzugefügt:

• Eine neue Benutzeroberfläche für den erneuten Beitritt zum Ressourcen-Manager (Resource Manager Rejoin) kann von einem Ressourcenmanager zum Ermitteln des Ergebnisses einer unsicheren Transaktion nach dem Neustart einer Datenbank aufgrund eines Fehlers verwendet werden. Details finden Sie unter IResourceManagerRejoinable::Rejoin.

• Der DSN-Namensgrenzwert wird von 256 Byte auf 3.072 Bytes erweitert. Details finden Sie unter IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate oder IDtcToXaMapper::RequestNewResourceManager.

• Die verbesserte Ablaufverfolgung ermöglicht Ihnen das Festlegen eines Registrierungsschlüssels, um den Pfad einer Imagedatei in den Namen der Ablaufverfolgungs-Protokolldatei aufzunehmen, sodass Sie sehen können, welche Ablaufverfolgungs-Protokolldatei überprüft werden muss. Ausführliche Informationen zum Konfigurieren der Ablaufverfolgung für MSDTC finden Sie unter Aktivieren der Diagnoseablaufverfolgung für MS DTC auf einem Windows-basierten Computer.

DNS-Server

Windows Server 2016 enthält die folgenden Updates für den Domain Name System (DNS)-Server.

DNS-Richtlinien

Sie können DNS-Richtlinien konfigurieren, um anzugeben, wie ein DNS-Server auf DNS-Abfragen reagiert. Sie können DNS-Antworten basierend auf der Client-IP-Adresse, der Tageszeit und verschiedenen anderen Parametern konfigurieren. DNS-Richtlinien können standortbezogenes DNS, Datenverkehrsverwaltung, Lastenausgleich, Split Brain-DNS und andere Szenarien ermöglichen. Weitere Informationen finden Sie im Leitfaden zu DNS-Richtlinienszenarios.

RRL

Sie können auf Ihren DNS-Servern Response Rate Limiting (RRL) aktivieren, um zu verhindern, dass bösartige Systeme Ihre DNS-Server verwenden, um einen verteilten Denial-of-Service-Angriff (DDoS) auf einem DNS-Client zu initiieren. RRL verhindert, dass Ihr DNS-Server gleichzeitig auf zu viele Anforderungen reagiert. Dies schützt ihn in Szenarien, in denen ein Botnet mehrere Anforderungen gleichzeitig sendet und versucht, Servervorgänge zu unterbrechen.

DANE-Unterstützung

Sie können die DNS-basierte Authentifizierung benannter Entitäten (DANE) (RFC 6394 und RFC 6698) verwenden, um anzugeben, welche Zertifizierungsstelle Ihren DNS-Clients Zertifikate für auf Ihrem DNS-Server gehostete Domänennamen bereitstellen sollte. Dadurch wird eine Form der Man-in-the-Middle-Angriffe verhindert, bei denen ein böswilliger Akteur einen DNS-Cache beschädigt und einen DNS-Namen auf seine eigene IP-Adresse verweist.

Unterstützung für unbekannte Einträge

Sie können Einträge hinzufügen, die der DNS-Server nicht explizit unterstützt, indem Sie die Funktion für unbekannte Einträge verwenden. Ein Eintrag ist unbekannt, wenn der DNS-Server das RDATA-Format nicht erkennt. Windows Server 2016 unterstützt unbekannte Datensatztypen (RFC 3597), sodass Sie zu Windows DNS-Serverzonen unbekannte Einträge im binären On-Wire-Format hinzufügen können. Der Windows-Zwischenspeicherungsresolver kann unbekannte Datensatztypen bereits verarbeiten. Der Windows-DNS-Server führt keine datensatzspezifische Verarbeitung für unbekannte Einträge durch, kann diese jedoch als Antwort auf empfangene Abfragen senden.

IPv6-Stammhinweise

Der Windows-DNS-Server enthält jetzt IPv6-Stammhinweise, die von der Internet Assigned Numbers Authority (IANA) veröffentlicht wurden. Durch die Unterstützung von IPv6-Stammhinweisen können Sie Internetabfragen durchführen, die die IPv6-Stammserver zum Ausführen von Namensauflösungen verwenden.

Windows PowerShell-Unterstützung

Windows Server 2016 enthält neue Befehle, die Sie zum Konfigurieren von DNS in PowerShell verwenden können. Weitere Informationen finden Sie im Modul „Windows Server 2016 DnsServer“ und im Modul „Windows Server 2016 DnsClient“.

DNS-Client

Der DNS-Clientdienst bietet jetzt eine verbesserte Unterstützung für Computer mit mehr als einer Netzwerkschnittstelle.

Computer mit mehreren Standorten können auch die DNS-Clientdienstbindung verwenden, um die Serverauflösung zu verbessern:

• Wenn Sie einen DNS-Server verwenden, der auf einer bestimmten Schnittstelle konfiguriert ist, um eine DNS-Abfrage aufzulösen, bindet sich der DNS-Client an die Schnittstelle, bevor er die Anfrage sendet. Mit dieser Bindung kann der DNS-Client die Schnittstelle angeben, über die die Namensauflösung erfolgen soll, wodurch die Kommunikation zwischen Anwendungen und DNS-Client über die Netzwerkschnittstelle optimiert wird.

• Wenn der verwendete DNS-Server durch eine Gruppenrichtlinieneinstellung aus der Tabelle der Namensauflösungsrichtlinien (NRPT) bestimmt wurde, bindet sich der DNS-Clientdienst nicht an die angegebene Schnittstelle.

Hinweis

Die Änderungen am DNS-Client-Dienst in Windows 10 sind auch auf Computern mit Windows Server 2016 und höher vorhanden.

Remotedesktopdienste

Remotedesktopdienste (RDS) haben die folgenden Änderungen für Windows Server 2016 vorgenommen.

Anwendungskompatibilität

RDS und Windows Server 2016 sind mit vielen Windows 10-Anwendungen kompatibel, wodurch eine Benutzeroberfläche entsteht, die fast identisch mit einem physischen Desktop ist.

Azure SQL-Datenbank

Der Remotedesktop-Verbindungsbroker kann jetzt alle Bereitstellungsinformationen, wie Verbindungsstatus und Benutzerhostzuordnungen, in einer freigegebenen Azure Structured Query Language (SQL)-Datenbank speichern. Mit diesem Feature können Sie eine hoch verfügbare Umgebung verwenden, ohne eine SQL Server AlwaysOn-Verfügbarkeitsgruppe verwenden zu müssen. Weitere Informationen finden Sie unter Verwenden einer Azure SQL-Datenbank zum Ermöglichen von hoher Verfügbarkeit für den Verbindungsbroker.

Grafikverbesserungen

Mit der diskreten Gerätezuweisung für Hyper-V können Sie Grafikverarbeitungseinheiten (GPUs) auf einem Hostcomputer einem virtuellen Computer (VM) direkt zuordnen. Alle Anwendungen auf dem virtuellen Computer, die mehr GPU benötigen als der virtuelle Computer, können stattdessen die zugeordnete GPU verwenden. Außerdem wurde die RemoteFX vGPU verbessert, einschließlich Unterstützung für OpenGL 4.4, OpenCL 1.1, 4K-Auflösung und Windows Server-VMs. Weitere Informationen finden Sie unter Diskrete Gerätezuweisung.

Verbesserungen des RD-Verbindungsbrokers

Wir haben die Art und Weise verbessert, wie der RD-Verbindungsbroker die Verbindung bei Anmeldestürmen behandelt, d. h. in Zeiten mit vielen Anmeldeanfragen von Benutzern. Der RD-Verbindungsbroker kann jetzt mehr als 10.000 gleichzeitige Anmeldeanforderungen verarbeiten! Verbesserungen bei der Wartung erleichtern Ihnen auch die Durchführung von Wartungsarbeiten an Ihrer Bereitstellung, da Sie die Server schnell wieder in die Umgebung einfügen können, sobald sie wieder online gehen können. Weitere Informationen finden Sie unter Leistungsverbesserung für den Remotedesktop-Verbindungsbroker.

RDP 10-Protokolländerungen

Remote Desktop Protocol (RDP) 10 verwendet jetzt den H.264/AVC 444-Codec, der sowohl für Video als auch für Text optimiert ist. Diese Version unterstützt auch die Verwendung eines Stifts in Remotedesktopsitzungen. Mit diesen neuen Funktionen fühlen sich Ihre Remotesitzungen mehr wie lokale Sitzungen an. Weitere Informationen finden Sie unter RDP 10 AVC/H.264-Verbesserungen in Windows 10 und Windows Server 2016.

Persönliche Sitzungsdesktops

Persönliche Sitzungsdesktops sind eine neue Funktion zum Hosten eigener persönlicher Desktops in der Cloud. Administratorrechte und dedizierte Sitzungshosts tragen zur Vereinfachung von Hostingumgebungen bei und ermöglichen es den Benutzern, einen Remotedesktop wie einen lokalen Desktop zu verwalten. Weitere Informationen finden Sie unter Persönliche Sitzungsdesktops.

Kerberos-Authentifizierung

Windows Server 2016 enthält die folgenden Updates für die Kerberos-Authentifizierung.

KDC-Unterstützung für die auf Vertrauensstellungen mit öffentlichem Schlüssel basierende Clientauthentifizierung

Key Distribution Centers (KDCs) unterstützen jetzt die öffentliche Schlüsselzuordnung. Wenn Sie einen öffentlichen Schlüssel für ein Konto bereitstellen, unterstützt der KDC Kerberos PKInit explizit unter Verwendung dieses Schlüssels. Da es keine Zertifikatüberprüfung gibt, unterstützt Kerberos selbstsignierte Zertifikate, aber keine Authentifizierungsmechanismussicherung.

Konten, die Sie für die Verwendung von Schlüsselvertrauensstellung konfiguriert haben, verwenden nur die Schlüsselvertrauensstellung, unabhängig davon, wie Sie die Einstellung UseSubjectAltName konfiguriert haben.

Kerberos-Client- und KDC-Unterstützung für RFC 8070 PKInit Freshness Extension

Ab Windows 10, Version 1607 und Windows Server 2016, können Kerberos-Clients die RFC 8070 PKInit Freshness-Erweiterung für Anmeldungen auf der Grundlage öffentlicher Schlüssel verwenden. KDCs haben die PKInit Freshness-Erweiterung standardmäßig deaktiviert. Sie müssen die administrative KDC-Vorlagenrichtlinie KDC-Unterstützung für die PKInit Freshness-Erweiterung für alle DCs in Ihrer Domäne konfigurieren, um sie zu aktivieren.

Die Richtlinie verfügt über die folgenden Einstellungen, wenn Ihre Domäne in der Funktionsebene (DFL) Windows Server 2016 Standard ist:

• Deaktiviert: Der KDC-Dienst bietet die PKInit Freshness Extension nie an und akzeptiert gültige Authentifizierungsanforderungen ohne Überprüfung der Aktualität. Benutzer erhalten nicht die neue Identitäts-SID für den öffentlichen Schlüssel.
• Unterstützt: Kerberos unterstützt die PKInit Freshness-Erweiterung auf Anforderung. Kerberos-Clients, die sich erfolgreich bei der PKInit Freshness Extension authentifizieren, erhalten die aktuelle SID der öffentlichen Schlüsselidentität.
• Erforderlich: Die PKInit Freshness Extension ist für eine erfolgreiche Authentifizierung erforderlich. Kerberos-Clients, die die PKInit-Freshness-Erweiterung nicht unterstützen, schlagen immer fehl, wenn Anmeldeinformationen für öffentliche Schlüssel verwendet werden.

Unterstützung der Authentifizierung mit öffentlichen Schlüsseln für in eine Domäne eingebundene Geräte

Wenn ein in die Domäne eingebundenes Gerät seinen gebundenen öffentlichen Schlüssel bei einem Windows Server 2016-Domänencontroller (DC) registrieren kann, kann sich das Gerät mithilfe der Kerberos-PKInit-Authentifizierung bei einem Windows Server 2016-Domänencontroller mit dem öffentlichen Schlüssel authentifizieren.

In die Domäne eingebundene Geräte mit gebundenen öffentlichen Schlüsseln, die bei einem Windows Server 2016-Domänencontroller registriert sind, können sich jetzt mithilfe von Kerberos PKInit-Protokollen (Public Key Cryptography for Initial Authentication) bei einem Windows Server 2016-Domänencontroller authentifizieren. Weitere Informationen finden Sie unter Authentifizierung mit öffentlichem Schlüssel für in die Domäne eingebundene Geräte.

Key Distribution Centers (KDCs) unterstützen jetzt die Authentifizierung mithilfe der Kerberos-Schlüsselvertrauensstellung.

Weitere Informationen finden Sie unter KDC-Unterstützung für die Zuordnung von Schlüsselvertrauenskonten.

Kerberos-Clients lassen IPv4- und IPv6-Adresshostnamen in Dienstprinzipalnamen (Service Principal Names, SPNs) zu

Ab Windows 10, Version 1507 und Windows Server 2016, können Sie Kerberos-Clients so konfigurieren, dass IPv4- und IPv6-Hostnamen in SPNs unterstützt werden. Weitere Informationen finden Sie unter Konfigurieren von Kerberos für IP-Adressen.

Um die Unterstützung für IP-Adresshostnamen in SPNs zu konfigurieren, erstellen Sie einen TryIPSPN-Eintrag. Dieser Eintrag ist nicht standardmäßig in der Registrierung vorhanden. Sie sollten diesen Eintrag im folgenden Pfad platzieren:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Nachdem Sie den Eintrag erstellt haben, ändern Sie seinen DWORD-Wert auf 1. Wenn dieser Wert nicht konfiguriert ist, versucht Kerberos nicht, IP-Adresshostnamen zu verwenden.

Die Kerberos-Authentifizierung ist nur erfolgreich, wenn der SPN in Active Directory registriert ist.

KDC-Unterstützung für die Zuordnung von Schlüsselvertrauensstellungskonten

Domänencontroller unterstützen jetzt die Zuordnung von Schlüsselvertrauenskonten und Fallback auf vorhandene AltSecID und User Principal Name (UPN) im SAN-Verhalten. Sie können die UseSubjectAltName-Variable für die folgenden Einstellungen konfigurieren:

• Wenn Sie die Variable auf 0 festlegen, ist eine explizite Zuordnung erforderlich. Die Benutzenden müssen entweder eine Schlüsselvertrauensstellung verwenden oder eine ExplicitAltSecID-Variable festlegen.

• Das Festlegen der Variablen auf 1, bei dem es sich um den Standardwert handelt, ermöglicht die implizite Zuordnung.

  • Wenn Sie eine Schlüsselvertrauensstellung für ein Konto in Windows Server 2016 oder höher konfigurieren, verwendet KDC die KeyTrust für die Zuordnung.

  • Wenn im SAN kein UPN vorhanden ist, versucht KDC, die AltSecID für die Zuordnung zu verwenden.

  • Wenn im SAN ein UPN vorhanden ist, versucht KDC, den UPN für die Zuordnung zu verwenden.

Active Directory-Verbunddienste (AD FS)

AD FS für Windows Server 2016 enthält die folgenden Updates.

Anmelden mit mehrstufiger Microsoft Entra-Authentifizierung

AD FS 2016 baut auf den mehrstufigen Authentifizierungsfunktionen (MFA) von AD FS in Windows Server 2012 R2 auf. Sie können jetzt die Anmeldung zulassen, für die nur ein mehrstufiger Authentifizierungscode von Microsoft Entra anstelle eines Benutzernamens oder Kennworts erforderlich ist.

• Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung als primäre Authentifizierungsmethode konfigurieren, fordert AD FS den Benutzer zur Eingabe seines Benutzernamens und des OTP-Codes (Einmaliges Kennwort) aus der Azure Authenticator-App auf.

• Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung als sekundäre oder zusätzliche Authentifizierungsmethode konfigurieren, stellt der Benutzer primäre Authentifizierungsanmeldeinformationen bereit. Benutzer können sich mit der integrierten Windows-Authentifizierung anmelden, die ihren Benutzernamen und ihr Kennwort, ihre Smartcard oder ein Benutzer- oder Gerätezertifikat anfordern kann. Als Nächstes wird dem Benutzer eine Eingabeaufforderung für seine sekundären Anmeldeinformationen angezeigt, z. B. Text, Sprache oder OTP-basierte Microsoft Entra-mehrstufige Authentifizierungsanmeldung.

• Der neue integrierte Microsoft Entra-Mehrstufige Authentifizierungsadapter bietet eine einfachere Einrichtung und Konfiguration für die mehrstufige Microsoft Entra-Authentifizierung mit AD FS.

• Organisationen können die mehrstufige Microsoft Entra-Authentifizierung verwenden, ohne dass ein lokaler Microsoft Entra-Authentifizierungsserver erforderlich ist.

• Sie können die mehrstufige Microsoft Entra-Authentifizierung für Intranet, Extranet oder als Teil jeder Zugriffssteuerungsrichtlinie konfigurieren.

Weitere Informationen zur mehrstufigen Microsoft Entra-Authentifizierung mit AD FS finden Sie unter Konfigurieren der mehrstufigen AD FS 2016- und Microsoft Entra-Authentifizierung.

Kennwortloser Zugriff von kompatiblen Geräten

AD FS 2016 baut auf früheren Geräteregistrierungsfunktionen auf, um die Anmeldung und Zugriffssteuerung auf Geräten basierend auf ihrem Compliancestatus zu ermöglichen. Benutzer können sich mit den Geräteanmeldeinformationen anmelden, und AD FS überprüft die Compliance erneut, wenn Geräteattribute geändert werden, um sicherzustellen, dass Richtlinien erzwungen werden. Dieses Feature ermöglicht die folgenden Richtlinien:

• Zugriff nur von verwalteten und/oder konformen Geräten zulassen

• Extranetzugriff nur von verwalteten und/oder konformen Geräten zulassen

• Erfordern der mehrstufigen Authentifizierung für Computer, die nicht verwaltet oder kompatibel sind.

AD FS stellt die lokale Komponente von Richtlinien für bedingten Zugriff in einem Hybridszenario bereit. Wenn Sie Geräte mit Azure AD für bedingten Zugriff auf Cloudressourcen registrieren, können Sie auch die Geräteidentität für AD FS-Richtlinien verwenden.

Weitere Informationen zur Verwendung von gerätebasiertem bedingtem Zugriff in der Cloud finden Sie unter Was ist bedingter Zugriff?.

Weitere Informationen zur Verwendung des gerätebasierten bedingten Zugriffs mit AD FS finden Sie unter Planning for Device Based Conditional Access with AD FS and Access Control Policies in AD FS.

Anmelden mit Windows Hello for Business

Windows 10-Geräte führen Windows Hello und Windows Hello for Business ein und ersetzen Benutzerwörter durch sichere gerätegebundene Benutzeranmeldeinformationen, die durch die Geste eines Benutzers geschützt sind, z. B. das Eingeben einer PIN, eine biometrische Geste wie fingerabdruck oder Gesichtserkennung. Mit Windows Hello können sich Benutzer über ein Intranet oder Extranet bei AD FS-Anwendungen anmelden, ohne dass ein Kennwort erforderlich ist.

Weitere Informationen zur Verwendung von Windows Hello for Business in Ihrer Organisation finden Sie in der Übersicht über die Voraussetzungen für die Windows Hello for Business-Bereitstellung.

Moderne Authentifizierung

AD FS 2016 unterstützt die neuesten modernen Protokolle, die mehr Benutzerfreundlichkeit für Windows 10-Geräte und -Apps sowie für die neuesten iOS- und Android-Geräte und -Apps bieten.

Weitere Informationen finden Sie unter AD FS OpenID Connect-/OAuth-Flows und Anwendungsszenarien.

Konfigurieren von Zugriffssteuerungsrichtlinien ohne Kenntnis der Anspruchsregelsprache

Bislang mussten AD FS-Administrator*innen Richtlinien mithilfe der AD FS-Anspruchsregelsprache konfigurieren, wodurch das Konfigurieren und Verwalten von Richtlinien erschwert wurde. Mit Zugriffssteuerungsrichtlinien können Administratoren integrierte Vorlagen verwenden, um allgemeine Richtlinien anzuwenden. Sie können beispielsweise Vorlagen verwenden, um die folgenden Richtlinien anzuwenden:

• Nur Intranetzugriff zulassen

• Erlauben Sie jedem, und fordern Sie MFA aus Extranet an.

• Alle Benutzer*innen zulassen und Verwendung von MFA für eine bestimmte Gruppe erforderlich machen

Die Vorlagen sind einfach anzupassen. Sie können zusätzliche Ausnahmen oder Richtlinienregeln anwenden, und Sie können diese Änderungen auf eine oder mehrere Anwendungen anwenden, um eine konsistente Richtlinienerzwingung zu ermöglichen.

Weitere Informationen finden Sie unter Zugriffssteuerungsrichtlinien in Windows Server 2016 AD FS.

Aktivieren der Anmeldung mit Nicht-AD-LDAP-Verzeichnissen

Viele Organisationen kombinieren Active Directory mit Verzeichnissen von Drittanbietern. AD FS-Unterstützung für die Authentifizierung von Benutzern, die in LDAP-kompatiblen Verzeichnissen (Lightweight Directory Access Protocol) gespeichert sind, bedeutet, dass Sie ad FS jetzt in den folgenden Szenarien verwenden können:

• Benutzer in Drittanbieter-, LDAP v3-kompatiblen Verzeichnissen.

• Benutzer in Active Directory-Gesamtstrukturen, die nicht über eine konfigurierte bidirektionale Active Directory-Vertrauensstellung verfügen.

• Benutzer*innen in Active Directory Lightweight Directory Services (AD LDS)

Weitere Informationen finden Sie unter Configure AD FS to authenticate users stored in LDAP directories.

Anpassen der Anmeldeoberfläche für AD FS-Anwendungen

In AD FS für Windows Server 2012 R2 wurde zuvor eine gemeinsame Anmeldeoberfläche für alle Anwendungen der vertrauenden Seite bereitgestellt, mit der Möglichkeit, eine Teilmenge von textbasierten Inhalten pro Anwendung anzupassen. Unter Windows Server 2016 kannst du nicht nur die Meldungen, sondern auch die Bilder, das Logo und das Webdesign pro Anwendung anpassen. Darüber hinaus können Sie neue, benutzerdefinierte Webdesigns erstellen und diese pro vertrauender Seite anwenden.

Weitere Informationen finden Sie unter AD FS: Anpassung der Benutzeranmeldung.

Optimierte Überwachung für eine einfachere administrative Verwaltung

In früheren Versionen von AD FS könnte eine einzelne Anforderung viele Überwachungsereignisse generieren. Relevante Informationen zu Anmelde- oder Tokenausstellungsaktivitäten waren häufig nicht vorhanden oder über mehrere Überwachungsereignisse verteilt, wodurch Probleme schwieriger zu diagnostizieren sind. Daher wurden Überwachungsereignisse standardmäßig deaktiviert. In AD FS 2016 ist der Überwachungsprozess jedoch effizienter und relevanter zu finden. Weitere Informationen finden Sie unter Überwachung von Erweiterungen für AD FS unter Windows Server 2016.

Verbesserte Interoperabilität mit SAML 2.0 für die Teilnahme an Verbünden

AD FS 2016 bietet eine bessere Unterstützung des SAML-Protokolls – einschließlich Unterstützung für das Importieren von Vertrauensstellungen basierend auf Metadaten, die mehrere Entitäten enthalten. Dank dieser Änderung kann AD FS für die Teilnahme an Verbünden wie der InCommon Federation und anderen Implementierungen konfiguriert werden, die dem eGov 2.0-Standard entsprechen.

Weitere Informationen finden Sie unter Verbesserte Interoperabilität mit SAML 2.0.

Vereinfachte Kennwortverwaltung für Microsoft 365-Verbundbenutzer*innen

Sie können AD FS so konfigurieren, dass Kennwortablaufansprüche an vertrauende Parteien oder Anwendungen gesendet werden, die geschützt werden. Die Darstellung dieser Ansprüche variiert zwischen Anwendungen. Beispiel: Bei Office 365 als vertrauende Seite werden Updates in Exchange und Outlook implementiert, damit Verbundbenutzer über ihre bald ablaufenden Kennwörter benachrichtigt werden.

Weitere Informationen finden Sie unter Configure AD FS to Send Password Expiry Claims (Konfigurieren von AD FS zum Senden von Ansprüchen beim Kennwortablauf).

Einfachere Umstellung von AD FS für Windows Server 2012 R2 auf AD FS für Windows Server 2016

Zuvor musste die Migration zu einer neuen Version von AD FS die Konfigurationseinstellungen aus Ihrer Windows Server-Farm in eine neue parallele Serverfarm exportieren. AD FS unter Windows Server 2016 erleichtert den Prozess, indem die Anforderung für eine parallele Serverfarm entfernt wird. Wenn Sie einer Windows Server 2016-Serverfarm einen Windows Server 2012 R2-Server hinzufügen, verhält sich der neue Server genauso wie ein Windows Server 2012 R2-Server. Wenn Sie zum Upgrade bereit sind und die älteren Server entfernt haben, können Sie die Betriebsstufe in Windows Server 2016 ändern. Weitere Informationen finden Sie unter Durchführen eines Upgrades für eine vorhandene AD FS-Farm mithilfe der internen Windows-Datenbank.