Neuerungen in Windows Server 2019

In diesem Artikel werden einige der neuen Features in Windows Server 2019 beschrieben. Windows Server 2019 basiert auf dem soliden Fundament von Windows Server 2016 und bietet zahlreiche Innovationen bei vier wichtigen Themen: „Hybrid Cloud“, „Sicherheit“, „Anwendungsplattform“ und „Hyperkonvergente Infrastruktur (HCI)“.

Allgemein

Windows Admin Center

Windows Admin Center ist eine lokal bereitgestellte, browserbasierte App zum Verwalten von Servern, Clustern, hyperkonvergenter Infrastruktur und Windows 10-PCs. Sie ist ohne über Windows hinausgehende Kosten erhältlich und für den Einsatz in Produktionsumgebungen geeignet.

Sie können Windows Admin Center unter Windows Server 2019, unter Windows 10 und unter früheren Versionen von Windows und Windows Server installieren und damit Server und Cluster verwalten, die über Windows Server 2008 R2 oder eine höhere Version verfügen.

Weitere Informationen finden Sie unter Windows Admin Center.

Desktopdarstellung

Da es sich bei Windows Server 2019 um eine Long-Term Servicing Channel (LTSC)-Version handelt, ist darin Desktopdarstellung enthalten. Halbjährliche Kanalversionen (SAC) enthalten nicht die Desktopdarstellung nach Design; sie sind streng server Core- und Nano Server-Containerimageversionen. Wie bei Windows Server 2016 können Sie beim Einrichten des Betriebssystems zwischen Server Core-Installationen oder Server mit Desktopdarstellung-Installationen wählen.

Systemdaten

Systemdaten ist ein neues Feature von Windows Server 2019, mit der lokale Predictive Analytics-Funktionen direkt in Windows Server integriert werden können. Diese Vorhersagefunktionen, die jeweils von einem Machine Learning-Modell unterstützt werden, analysieren lokal Windows Server-Systemdaten wie Leistungsindikatoren und Ereignisse. Systemdaten liefern Erkenntnisse zum Funktionszustand Ihrer Server und helfen Ihnen dabei, die Betriebskosten im Zusammenhang mit der reaktiven Verwaltung von Problemen in Ihren Windows Server-Bereitstellungen zu reduzieren.

Hybrid Cloud

Optionales Feature (FOD, Feature on Demand) „Server Core-App-Kompatibilität”

Das optionale Feature (FOD, Feature on Demand) „Server Core-App-Kompatibilität” verbessert die App-Kompatibilität erheblich, indem es eine Teilmenge von Binärdateien und Komponenten von Windows Server in die Desktopdarstellung einschließt. Server Core bleibt dadurch möglichst schlank, da die eigentliche grafische Windows Server-Desktopumgebung nicht hinzugefügt wird, was die Funktionalität und Kompatibilität erhöht.

Dieses optionale FOD ist in einer separaten ISO verfügbar und kann nur Windows Server Core-Installationen und -Images mithilfe von DISM hinzugefügt werden.

WDS-Transportserverrolle (Windows Deployment Services, Windows-Bereitstellungsdienste) zu Server Core hinzugefügt

Transport-Server enthält nur die Kernnetzwerkteile von WDS. Server Core kann nun mit der Transportserverrolle verwendet werden, um Multicast-Namespaces zu erstellen, die Daten (einschließlich Betriebssystemimages) von einem eigenständigen Server übertragen. Sie können es auch verwenden, wenn Sie einen PXE-Server wünschen, der Clients den PXE-Start ermöglicht, und um Ihre eigene benutzerdefinierte Setup-Anwendung herunterzuladen.

Integration von Remotedesktopdiensten in Azure AD

Mit der Azure AD-Integration können Sie Richtlinien für bedingten Zugriff, die Multi-Faktor-Authentifizierung, die integrierte Authentifizierung mit anderen SaaS-Apps über Azure AD und vieles mehr nutzen. Weitere Informationen finden Sie unter Integrieren von Azure AD Domain Services mit der RDS-Bereitstellung.

Netzwerk

Wir haben mehrere Verbesserungen am Core-Netzwerkstapel vorgenommen. Hierzu zählen unter anderem TCP Fast Open (TFO), die automatische Optimierung des Empfangsfensters und IPv6. Weitere Informationen finden Sie im Beitrag Verbesserung von Features des Core-Netzwerkstapels.

Sicherheit

Windows Defender Advanced Threat Protection (ATP)

Die umfassenden Plattformsensoren und Reaktionsaktionen von ATP decken Angriffe auf Speicher- und Kernel-Ebene auf und reagieren darauf, indem sie bösartige Dateien unterdrücken und schädliche Prozesse beenden.

• Weitere Informationen zu Windows Defender ATP finden Sie in der Übersicht über die Windows Defender ATP-Funktionen.

• Weitere Informationen zum Onboarding von Servern finden Sie unter Integrieren von Servern im Windows Defender ATP-Dienst.

Bei Windows Defender ATP Exploit Guard handelt es sich um eine Reihe neuer Eindringschutzfunktionen für Hosts, die es Ihnen ermöglichen, ein ausgewogenes Verhältnis zwischen Sicherheitsrisiken und Produktivitätsanforderungen zu erzielen. Windows Defender Exploit Guard wurde entwickelt, um das Gerät vor einer Vielzahl von Angriffsvektoren zu schützen und Verhalten zu blockieren, das häufig bei Angriffen mit Schadsoftware auftritt. Die Komponenten sind:

• Attack Surface Reduction (ASR) umfasst eine Reihe von Steuerungsmöglichkeiten, mit denen Unternehmen verhindern können, dass Schadsoftware auf die Computer gelangt, indem sie verdächtige schädliche Dateien blockieren. Beispiele wären etwa Office-Dateien, Skripts, seitliche Bewegungen, Ransomware-Verhalten und E-Mail-basierte Bedrohungen.

• Netzwerkschutz schützt den Endpunkt vor webbasierten Bedrohungen, indem er jeden ausgehenden Prozess auf dem Gerät an nicht vertrauenswürdige Hosts/IP-Adressen über Windows Defender SmartScreen blockiert.

• Kontrollierter Ordnerzugriff schützt sensible Daten vor Ransomware, indem er verhindert, dass nicht vertrauenswürdige Prozesse auf Ihre geschützten Ordner zugreifen.

• Exploit-Schutz ist eine Reihe von Maßnahmen zur Minderung von Schwachstellen (ersetzt EMET), die einfach konfiguriert werden können, um Ihr System und Ihre Anwendungen zu schützen.

• Windows Defender-Anwendungssteuerung (auch bekannt als „Codeintegritätsrichtlinie – CI-Richtlinie“) wurde in Windows Server 2016 veröffentlicht. Wir haben CI-Standardrichtlinien hinzugefügt, um die Bereitstellung zu vereinfachen. Die Standardrichtlinie lässt alle Windows-internen Dateien und Microsoft-Anwendungen wie SQL Server zu und blockiert ausführbare Dateien, von denen bekannt ist, dass sie CI umgehen können.

Sicherheit mit Software-Defined Networking (SDN)

Sicherheit mit SDN bietet zahlreiche Features, um das Kundenvertrauen bei der Ausführung von Workloads – entweder lokal oder als Dienstanbieter in der Cloud – zu erhöhen.

Diese Sicherheitsverbesserungen sind in die umfassende SDN-Plattform integriert, die in Windows Server 2016 eingeführt wurde.

Eine vollständige Liste der Neuerungen in SDN finden Sie unter Neuerungen in SDN für Windows Server 2019.

Verbesserungen für abgeschirmte virtuelle Computer

• Verbesserungen für Filialen

  Sie können nun abgeschirmte virtuelle Computer auf Computern mit intermittierender Konnektivität zum Host-Überwachungsdienst (Host Guardian Service, HGS) ausführen, indem Sie die neuen Fallback-HGS- und Offline-Modus-Features verwenden. Fallback HGS ermöglicht es Ihnen, einen zweiten Satz von URLs für Hyper-V zu konfigurieren, um zu prüfen, ob Ihr primärer HGS-Server erreicht werden kann.

  Dank des Offlinemodus können Sie Ihre abgeschirmten virtuellen Computer auch starten, wenn der Host-Überwachungsdienst nicht erreichbar sein sollte. Ihre virtuellen Computer können im Offlinemodus gestartet werden, wenn sie bereits einmal erfolgreich gestartet wurden und sich die Sicherheitskonfiguration des Hosts nicht geändert hat.

• Verbesserungen bei der Problembehandlung

  Darüber hinaus haben wir die Problembehandlung bei Ihren abgeschirmten virtuellen Computern vereinfacht, indem wir den erweiterten VMConnect-Sitzungsmodus und PowerShell Direct unterstützen. Diese Tools sind nützlich, wenn die Netzwerkverbindung mit Ihrem virtuellen Computer unterbrochen wurde und die Konfiguration aktualisiert werden muss, um den Zugriff wiederherzustellen.

  Diese Features müssen nicht konfiguriert werden, und sie werden automatisch zur Verfügung gestellt, wenn ein abgeschirmter virtueller Computer auf einem Hyper-V-Host mit Windows Server ab Version 1803 ausgeführt wird.

• Linux-Unterstützung

  Wenn Sie Umgebungen mit gemischten Betriebssystemen ausführen, unterstützt Windows Server 2019 jetzt die Ausführung von Ubuntu, Red Hat Enterprise Linux und SUSE Linux Enterprise Server in abgeschirmten virtuellen Computern.

HTTP/2 für ein schnelleres und sichereres Web

• Verbessertes Zusammenführen von Verbindungen für ununterbrochene und korrekt verschlüsselte Möglichkeiten des Browsens.

• Die serverseitige Cipher-Suite-Verhandlung von HTTP/2 wurde aktualisiert, um Verbindungsfehler automatisch zu mindern und die Bereitstellung zu vereinfachen.

• Unser Standardanbieter für TCP-Überlastung wurde auf Cubic umgestellt, um Ihnen mehr Durchsatz zu bieten!

Verschlüsselte Netzwerke

Die Verschlüsselung virtueller Netzwerke verschlüsselt den Datenverkehr virtueller Netzwerke zwischen virtuellen Computern innerhalb von Subnetzen, die über die Bezeichnung Verschlüsselung aktiviert verfügen. Verschlüsselte Netzwerke verwenden auch Datagram Transport Layer Security (DTLS) im virtuellen Subnetz, um Pakete zu verschlüsseln. DTLS schützt Ihre Daten vor Abhörversuchen, Manipulation und Fälschung durch jeden, der Zugriff auf das physische Netzwerk hat.

Weitere Informationen finden Sie unter Verschlüsselte Netzwerke.

Firewallüberwachung

Die Firewallüberwachung ist ein neues Feature für die SDN-Firewall, das alle von SDN-Firewallregeln verarbeiteten Vorgänge und Zugriffssteuerungslisten (Access Control Lists, ACLs) erfasst, die die Protokollierung aktiviert haben.

Peering von virtuellen Netzwerken

Mit dem Peering virtueller Netzwerke können Sie zwei virtuelle Netzwerke nahtlos verbinden. Nach dem Peering werden die virtuellen Netzwerke in der Überwachung als einzelnes Element angezeigt.

Messung des ausgehenden Datenverkehrs

Die Messung des ausgehenden Datenverkehrs bietet Nutzungszähler für ausgehende Datenübertragungen. Der Netzwerkcontroller verwendet dieses Feature, um eine Zulassungsliste aller IP-Bereiche beizubehalten, die innerhalb von SDN pro virtuellem Netzwerk verwendet werden. Diese Listen berücksichtigen, dass alle Pakete, die an ein Ziel übertragen werden, das nicht in den aufgeführten IP-Bereichen liegt, als ausgehende Datenübertragungen abgerechnet werden.

Speicher

Hier sind einige der Änderungen, die wir in Windows Server 2019 am Speicher vorgenommen haben. Weitergehende Informationen finden Sie unter Neuigkeiten zum Speicher.

Datendeduplizierung

• Datendeduplizierung unterstützt jetzt ReFS: Sie können die Datendeduplizierung jetzt überall aktivieren, wo Sie ReFS aktivieren können, und dadurch die Speichereffizienz mit ReFS um bis zu 95 Prozent erhöhen.

• DataPort-API für den optimierten Eingang/Ausgang von deduplizierten Volumes: Entwickler können jetzt die Kenntnisse der Datendeduplizierung zum effizienten Speichern von Daten nutzen, um Daten zwischen Volumes, Servern und Clustern effizient zu verschieben.

File Server Resource Manager

Sie können jetzt verhindern, dass der Dienst „Ressourcen-Manager für Dateiserver“ beim Start des Diensts auf allen Volumes ein Änderungsjournal (auch bekannt als USN) erstellt. Das Verhindern der Erstellung des Änderungsjournals kann Speicherplatz auf jedem Volume sparen, deaktiviert allerdings auch die Dateiklassifizierung in Echtzeit. Weitere Informationen finden Sie unter Ressourcen-Manager für Dateiserver – Übersicht.

SMB

• SMB1 und Entfernung der Gastauthentifizierung: SMB1-Client und -Server werden von Windows Server standardmäßig nicht mehr installiert. Darüber hinaus ist die Möglichkeit deaktiviert, sich als Gast in SMB2 und höher standardmäßig zu authentifizieren. Weitere Informationen finden Sie unter SMBv1 wird für Windows 10, Version 1709, und Windows Server, Version 1709, standardmäßig nicht installiert.

• SMB2/SMB3-Sicherheit und -Kompatibilität: Sie haben nun die Möglichkeit, Oplocks ab SMB2 für Legacyanwendungen zu deaktivieren und die Signierung oder Verschlüsselung individuell für Clientverbindungen zu erzwingen. Weitere Informationen finden Sie in der Hilfe zum SMBShare PowerShell-Modul.

Speichermigrationsdienst

Mit dem Speichermigrationsdienst können Server einfacher zu einer neueren Version von Windows Server migriert werden. Dieses grafische Tool inventarisiert Daten auf Servern und überträgt dann die Daten und die Konfiguration auf neuere Server. Der Speichermigrationsdienst kann auch die Identitäten der alten Server auf die neuen Server verschieben, sodass Benutzer ihre Profile und Apps nicht neu konfigurieren müssen. Weitere Informationen finden Sie unter Speichermigrationsdienst.

Windows Admin Center Version 1910 bietet jetzt die Möglichkeit, virtuelle Azure-Computer bereitzustellen. Durch dieses Update wird die Azure-VM-Bereitstellung in den Speichermigrationsdienst integriert. Weitere Informationen finden Sie unter Azure-VM-Migration.

Sie können auch auf die folgenden RTM-Funktionen (Post-Release-to-Manufacturing) zugreifen, wenn Sie den Speichermigrationsserver-Orchestrator unter Windows Server 2019 mit installierter KB5001384 oder unter Windows Server 2022 ausführen:

• Migrieren lokaler Benutzer und Gruppen zum neuen Server
• Migrieren von Speicher von Failoverclustern, Migrieren zu Failoverclustern und Migrieren zwischen eigenständigen Servern und Failoverclustern
• Migrieren von Speicher von einem Linux-Server, der Samba verwendet
• Vereinfachte Synchronisierung von migrierten Freigaben zu Azure mithilfe von Azure-Dateisynchronisierung.
• Migrieren zu neuen Netzwerken wie etwa Azure
• Migrieren Sie NetApp Common Internet File System-Server (CIFS) von NetApp Federated Authentication Service-Arrays (FAS) zu Windows-Servern und -Clustern.

Speicherplätze DAS

Hier ist eine Liste der Neuerungen in „Direkte Speicherplätze“. Weitergehende Informationen finden Sie unter Neuerungen in „Direkte Speicherplätze“. Lesen Sie auch Azure Stack HCI. Dort finden Sie Informationen zum Abrufen von überprüften Systemen für „Direkte Speicherplätze“.

• Datendeduplizierung und -komprimierung für ReFS-Volumes
• Systemeigene Unterstützung für den dauerhaften Speicher
• Verschachtelte Ausfallsicherheit für hyperkonvergente Infrastruktur mit zwei Knoten am Rand
• Zwei-Servercluster mit einem USB-Speicherstick als Zeuge
• Support für Windows Admin Center
• Leistungsverlauf
• Skalieren bis zu 4 PB pro Cluster
• Durch Spiegelung beschleunigte Parität mit doppelter Geschwindigkeit
• Erkennung von Laufwerkslatenz-Ausreißern
• Manuelle Begrenzung der Volumenzuweisung zur Erhöhung der Fehlertoleranz

Speicherreplikat

Hier sind die Neuigkeiten für Speicherreplikate. Weitergehende Informationen finden Sie unter Neuigkeiten für Speicherreplikate.

• Speicherreplikate sind jetzt in Windows Server 2019 Standard Edition verfügbar.
• Test-Failover ist ein neues Feature zum Bereitstellen von Zielspeicher für die Validierung von Replikations- oder Backupdaten. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Speicherreplikaten.
• Verbesserungen der Protokollierungsleistung für Speicherreplikate
• Support für Windows Admin Center

Datendeduplizierung

Windows Server 2019 unterstützt jetzt das resiliente Dateisystem (ReFS). Mit ReFS können Sie bis zu zehn mal mehr Daten auf demselben Volume mit Deduplizierung und Komprimierung für das ReFS-Dateisystem speichern. Der Blockspeicher mit variabler Größe verfügt über ein optionales Komprimierungsfeature, mit dem die Einsparungen maximiert werden können, während die Multithread-Nachbearbeitungsarchitektur die Leistungseinbußen minimal hält. ReFS unterstützt Volumes bis zu 64 TB und dedupliziert die ersten 4 TB jeder Datei. Weitere Informationen finden Sie unter Aktivieren der Deduplizierung und Komprimierung in Windows Admin Center für eine kurze Videodemonstration.

Failoverclustering

Wir haben die folgenden Features zum Failoverclustering in Windows Server 2019 hinzugefügt:

• Cluster legt mehrere Cluster in einer lose gekoppelten Gruppierung mehrerer Failovercluster zusammen, die in drei Typen enthalten sind: Compute, Speicher und Hyperkonvergente. Durch diese Gruppierung wird die Anzahl der Server in einer einzelnen softwaredefinierte Rechenzentrumslösung (SDDC) über die aktuellen Grenzwerte eines Clusters hinaus erhöht. Mit Clustersätzen können Sie virtuelle Onlinecomputer zwischen Clustern innerhalb der Clustergruppe verschieben. Weitere Informationen finden Sie unter Bereitstellen eines Clustersatzes.

• Cluster sind jetzt standardmäßig azure-fähig. Azure-fähige Cluster erkennen automatisch, wann sie auf virtuellen Azure IaaS-Computern ausgeführt werden, und optimieren sie dann ihre Konfiguration, um höchste Verfügbarkeitsstufen zu erzielen. Zu diesen Optimierungen gehören proaktives Failover und protokollierung von geplanten Azure-Wartungsereignissen. Die automatisierte Optimierung vereinfacht die Bereitstellung, indem die Notwendigkeit zum Konfigurieren des Lastenausgleichs mit dem Namen des verteilten Netzwerks für den Clusternamen entfernt wird.

• Durch die domänenübergreifende Clustermigration können Failovercluster dynamisch von einer Active Directory-Domäne zu einer anderen verschoben werden, wodurch die Domänenkonsolidierung vereinfacht und Hardwarepartner Cluster erstellen und zu einem späteren Zeitpunkt der Domäne des Kunden beitreten können.

• Mit dem USB-Zeugenfeature können Sie ein USB-Laufwerk verwenden, das an einen Netzwerkswitch angeschlossen ist, um das Quorum für einen Cluster zu ermitteln. Dieses Feature enthält erweiterte Unterstützung für Dateifreigabezeugen für alle SMB2-kompatiblen Geräte.

• Der CSV-Cache ist jetzt standardmäßig aktiviert, um die Leistung von VMs zu steigern. MSDTC unterstützt jetzt freigegebene Clustervolumes, um die Bereitstellung von MSDTC-Workloads auf Speicherplätze Direct zu ermöglichen, z. B. mit SQL Server. Die Logik wurde verbessert, um partitionierte Knoten mit Selbstreparatur zu erkennen und Knoten zur Clustermitgliedschaft zurückzugeben. Die Erkennung und Selbstreparatur von Clusternetzwerkrouten wurde verbessert.

• Clusterfähiges Aktualisieren (Cluster Aware Updating, CAU) ist jetzt integriert und erkennt direkte Speicherplätze. Dabei wird überprüft und sichergestellt, dass die Datenneusynchronisierung auf den einzelnen Knoten abgeschlossen wird. Beim clusterfähigen Aktualisieren werden Updates überprüft, um nur bei Bedarf intelligent einen Neustart durchzuführen. Mit diesem Feature können Sie alle Server im Cluster neu starten, um die geplante Wartung zu ermöglichen.

• Sie können jetzt Dateifreigabezeugen in den folgenden Szenarien verwenden:

  • Fehlender oder schlechter Internetzugriff aufgrund eines Remotestandorts, wodurch die Verwendung eines Cloudzeugen verhindert wird.

  • Fehlende freigegebene Laufwerke für einen Datenträgerzeugen. Beispielsweise eine Konfiguration, die keine freigegebenen Datenträger verwendet, z. B. Speicherplätze Direct Hyperconverged-Konfiguration, eine SQL Server Always On Availability Groups (AG) oder eine Exchange-Datenbankverfügbarkeitsgruppe (DAG).

  • Fehlende Domänencontrollerverbindung, da sich der Cluster hinter einer DMZ befindet.

  • Eine Arbeitsgruppe oder domänenübergreifende Cluster ohne Active Directory-Clusternamenobjekt (CNO). Windows Server blockiert jetzt auch die Verwendung einer DFS-Namespacesfreigabe als Speicherort. Das Hinzufügen eines Dateifreigabezeugen zu einer DFS-Freigabe kann Stabilitätsprobleme für Ihren Cluster verursachen, und diese Konfiguration wurde nie unterstützt. Wir haben Logik hinzugefügt, um zu erkennen, ob eine Freigabe DFS-Namespaces verwendet. Wenn DFS-Namespaces erkannt werden, blockiert der Failovercluster-Manager die Erstellung des Zeugen und zeigt eine Fehlermeldung an, dass dies nicht unterstützt wird.

• Es wurde ein Clusterhärtungsfeature implementiert, das die Sicherheit der intraclusterbasierten Kommunikation über den Servernachrichtenblock (SMB) für freigegebene Clustervolumes und Speicherplätze Direct verbessert. Dieses Feature nutzt Zertifikate, um die sicherste Plattform bereitzustellen. Dadurch können Failovercluster jetzt ohne Abhängigkeiten von NTLM ausgeführt werden, wodurch Sicherheitsbaselines eingerichtet werden können.

• Failovercluster verwenden keine NTLM-Authentifizierung mehr. Stattdessen verwenden Windows Server 2019-Cluster jetzt ausschließlich Kerberos- und zertifikatbasierte Authentifizierung. Benutzer müssen keine Änderungen vornehmen oder etwas bereitstellen, um diese Sicherheitsverbesserung zu nutzen. Mit dieser Änderung können Sie auch Failovercluster in Umgebungen bereitstellen, in denen NTLM deaktiviert ist.

Anwendungsplattform

Linux-Container unter Windows

Es ist nun möglich, Windows- und Linux-basierte Container auf dem gleichen Containerhost und mit dem gleichen Docker-Daemon auszuführen. Dies ermöglicht die Verwendung einer heterogenen Containerhostumgebung und bietet Anwendungsentwicklern Flexibilität.

Integrierte Unterstützung für Kubernetes

Windows Server 2019 setzt die Verbesserungen in Bezug auf Computing, Netzwerk und Speicher fort, die in den Versionen des halbjährlichen Kanals zur Unterstützung von Kubernetes unter Windows erforderlich sind. Weitere Details sind in den kommenden Kubernetes-Versionen verfügbar.

• Containernetzwerke in Windows Server 2019 verbessern die Benutzerfreundlichkeit von Kubernetes unter Windows erheblich. Wir haben die Resilienz des Plattformnetzwerks sowie die Unterstützung von Containernetzwerk-Plug-Ins verbessert.

• Bereitgestellte Workloads auf Kubernetes können die Netzwerksicherheit zum Schutz von Linux- und Windows-Diensten mit integrierten Tools nutzen.

Containerverbesserungen

• Verbesserte integrierte Identität

  Wir haben die integrierte Windows-Authentifizierung in Containern einfacher und zuverlässiger gemacht und dabei einige Einschränkungen aus früheren Versionen von Windows Server behoben.

• Verbesserte Anwendungskompatibilität

  Die Umstellung von Windows-basierten Anwendungen auf Container wird jetzt einfacher: Die App-Kompatibilität für das vorhandene windowsservercore-Image wurde erhöht. Für Anwendungen mit weiteren API-Abhängigkeiten steht jetzt ein drittes Basisimage zur Verfügung: windows.

• Reduzierte Größe und höhere Leistung

  Die Downloadgrößen des Basiscontainers, die Größe auf der Festplatte und die Startzeiten wurden verbessert, um Containerworkflows zu beschleunigen.

• Verwaltungsoberfläche mit Windows Admin Center (Vorschau)

  Wir haben es einfacher denn je gemacht zu sehen, welche Container auf Ihrem Computer ausgeführt werden, und einzelne Container mit einer neuen Erweiterung für Windows Admin Center zu verwalten. Suchen Sie im öffentlichen Windows Admin Center-Feed nach der Erweiterung „Container”.

Computeverbesserungen

• VM-Startreihenfolge: Die VM-Startreihenfolge wird mit Betriebssystem- und Anwendungsinformationen verbessert. Diese ermöglichen die Verwendung erweiterter Trigger für den Fall, dass ein virtueller Computer als gestartet gilt, bevor der nächste gestartet wird.

• Speicherklassen-Speicherunterstützung für VMs ermöglicht die Erstellung von NTFS-formatierten Direktzugriffsvolumes auf nichtflüchtigen DIMMs und die Bereitstellung auf Hyper-V-VMs. Virtuelle Hyper-V-Computer können jetzt die Leistungsvorteile der geringen Wartezeit von Speicherklassenspeichergeräten nutzen.

• Unterstützung von persistentem Arbeitsspeicher für virtuelle Hyper-V-Computer: Zur Nutzung des hohen Durchsatzes und der geringen Wartezeit des persistenten Arbeitsspeichers (auch als Speicherklassenspeicher bezeichnet) auf virtuellen Computern kann er jetzt direkt in virtuelle Computer projiziert werden. Persistenter Arbeitsspeicher kann dazu beitragen, die Wartezeit für Datenbanktransaktionen drastisch zu reduzieren oder die Wiederherstellungszeiten für In-Memory-Datenbanken mit geringer Wartezeit bei einem Ausfall zu reduzieren.

• Containerspeicher – persistente Datenvolumes: Anwendungscontainer verfügen jetzt über permanenten Zugriff auf Volumes. Weitere Informationen finden Sie unter Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping.

• Format der Konfigurationsdatei für virtuelle Computer (aktualisiert): Die VM-Gastzustandsdatei (.vmgs) wurde für virtuelle Computer mit der Konfigurationsversion 8.2 oder höher hinzugefügt. Die VM-Gastzustandsdatei enthält Informationen zum Gerätezustand, die zuvor Teil der VM-Laufzeitzustandsdatei waren.

Verschlüsselte Netzwerke

Verschlüsselte Netzwerke – Die virtuelle Netzwerkverschlüsselung ermöglicht die Verschlüsselung des virtuellen Netzwerkdatenverkehrs zwischen virtuellen Computern, die miteinander in Teilnetzen kommunizieren, die als Verschlüsselung aktiviert markiert sind. Sie nutzt auch Datagram Transport Layer Security (DTLS) im virtuellen Subnetz, um Pakete zu verschlüsseln. DTLS schützt vor Abhörversuchen, Manipulation und Fälschung durch jeden, der Zugriff auf das physische Netzwerk hat.

Verbesserungen der Netzwerkleistung für virtuelle Workloads

Verbesserungen der Netzwerkleistung für virtuelle Workloads maximieren den Netzwerkdurchsatz für virtuelle Computer, ohne dass Sie Ihren Host ständig optimieren oder übermäßig bereitstellen müssen. Die Leistungsverbesserung reduziert die Betriebs- und Wartungskosten und erhöht gleichzeitig die verfügbare Dichte Ihrer Hosts. Diese neuen Features sind:

• Dynamic Virtual Machine Multi-Queue (d.VMMQ)

• Empfangen von Segmentkoaleszenzen im vSwitch

Low Extra Delay Background Transport (LEDBAT)

Der Low Extra Delay Background Transport (LEDBAT) ist ein wartezeitoptimierter Anbieter für die Netzwerküberlastungssteuerung, der Benutzern und Anwendungen automatisch Bandbreite zur Verfügung stellt. LEDBAT beansprucht Bandbreite, die verfügbar ist, wenn das Netzwerk nicht verwendet wird. Diese Technologie ist für die Bereitstellung umfangreicher, kritischer Updates in einer IT-Umgebung vorgesehen, ohne die Dienste für Kunden und die zugehörige Bandbreite zu beeinträchtigen.

Windows-Zeitdienst

Der Windows-Zeitdienst enthält echte UTC-kompatible Schaltsekundenunterstützung, ein neues Zeitprotokoll namens „Precision Time Protocol“ und End-to-End-Rückverfolgbarkeit.

Hochleistungs-SDN-Gateways

Hochleistungs-SDN-Gateways in Windows Server 2019 verbessert die Leistung für IPsec- und GRE-Verbindungen erheblich und bietet einen extrem hohen Durchsatz bei deutlich geringerer CPU-Auslastung.

Neue Bereitstellungsbenutzeroberfläche und Windows Admin Center-Erweiterung für SDN

Mit Windows Server 2019 ist es nun einfach, eine neue Bereitstellungsbenutzeroberfläche und eine Windows Admin Center-Erweiterung bereitzustellen und zu verwalten, die es jedem ermöglicht, die Leistungsfähigkeit von SDN zu nutzen.

Windows-Subsystem für Linux (WSL)

WSL ermöglicht Serveradministratoren, vorhandene Tools und Linux-Skripts auf Windows Server zu verwenden. Zahlreiche Verbesserungen, die im Blog „Befehlszeile” präsentiert werden, sind nun Teil von Windows Server, einschließlich Hintergrundaufgaben, DriveFS, WSLPath und vieles mehr.

Active Directory-Verbunddienste (AD FS)

Active Directory-Verbunddienste (AD FS) (AD FS) für Windows Server 2019 enthält die folgenden Änderungen.

Geschützte Anmeldungen

Geschützte Anmeldungen mit AD FS enthalten jetzt die folgenden Updates:

• Benutzer können jetzt Authentifizierungsprodukte von Drittanbietern als ersten Faktor verwenden, ohne Kennwörter verfügbar zu machen. In Fällen, in denen der externe Authentifizierungsanbieter zwei Faktoren nachweisen kann, kann er die mehrstufige Authentifizierung (MFA) verwenden.

• Benutzer können jetzt Kennwörter als zusätzlichen Faktor verwenden, nachdem sie eine Option ohne Kennwort als ersten Faktor verwendet haben. Diese In-Box-Unterstützung verbessert die Gesamterfahrung von AD FS 2016, die das Herunterladen eines GitHub-Adapters erfordert.

• Benutzer können jetzt eigene Plug-In-Risikobewertungsmodule erstellen, um bestimmte Arten von Anforderungen während der Vorauthentifizierungsphase zu blockieren. Dieses Feature erleichtert die Verwendung von Cloud Intelligence wie Identitätsschutz, um riskante Benutzer oder Transaktionen zu blockieren. Weitere Informationen finden Sie unter Erstellen von Plug-Ins mit dem Risikobewertungsmodell von AD FS 2019.

• Verbessert extranet Smart Lockout (ESL) Quick Fix Engineering (QFE) durch Hinzufügen der folgenden Funktionen:

  • Sie können jetzt den Überwachungsmodus verwenden, während sie durch klassische Extranetsperrfunktionen geschützt sind.

  • Benutzer können jetzt unabhängige Sperrschwellenwerte für vertraute Speicherorte verwenden. Mit diesem Feature können Sie mehrere Instanzen von Apps in einem gemeinsamen Dienstkonto ausführen, um Kennwörter mit minimalen Unterbrechungen zu überrollen.

Weitere Sicherheitsverbesserungen

AD FS 2019 enthält die folgenden Sicherheitsverbesserungen:

• Remote-PowerShell mithilfe der SmartCard-Anmeldung ermöglicht Benutzern die Remoteverbindung mit AD FS mit SmartCards, indem PowerShell-Befehle ausgeführt werden. Benutzer können diese Methode auch verwenden, um alle PowerShell-Funktionen einschließlich Multiknoten-Cmdlets zu verwalten.

• Mit der ANPASSUNG von HTTP-Headern können Benutzer HTTP-Header anpassen, die während AD FS-Antworten erstellt wurden. Die Kopfzeilenanpassung umfasst die folgenden Typen von Kopfzeilen:

  • HSTS, mit dem Sie nur AD FS-Endpunkte auf HTTPS-Endpunkten verwenden können, um einen kompatiblen Browser zu erzwingen.

  • X-Frame-Optionen, mit denen AD FS-Administratoren bestimmten vertrauenden Parteien das Einbetten von iFrames für interaktive AD FS-Anmeldeseiten ermöglichen können. Sie sollten diesen Header nur auf HTTPS-Hosts verwenden.

  • Zukünftige Kopfzeile. Sie können auch mehrere zukünftige Kopfzeilen konfigurieren.

  Weitere Informationen finden Sie unter Anpassen der HTTP-Sicherheitsantwortheader mit AD FS 2019.

Authentifizierungs- und Richtlinienfunktionen

AD FS 2019 umfasst die folgenden Authentifizierungs- und Richtlinienfunktionen:

• Benutzer können jetzt Regeln erstellen, um anzugeben, welchen Authentifizierungsanbieter ihre Bereitstellung für zusätzliche Authentifizierung aufruft. Dieses Feature hilft beim Übergang zwischen Authentifizierungsanbietern und dem Sichern bestimmter Apps mit speziellen Anforderungen für zusätzliche Authentifizierungsanbieter.

• Optionale Einschränkungen für TRANSPORT Layer Security (TLS)-basierte Geräteauthentifizierungen, sodass nur Anwendungen, die TLS erfordern, diese verwenden können. Benutzer können die CLIENT-TLS-basierte Geräteauthentifizierung einschränken, sodass nur Anwendungen, die gerätebasierten bedingten Zugriff ausführen, diese verwenden können. Dieses Feature verhindert unerwünschte Aufforderungen zur Geräteauthentifizierung für Anwendungen, die keine TLS-basierte Geräteauthentifizierung erfordern.

• AD FS unterstützt jetzt das Wiederholen von Anmeldeinformationen auf der Grundlage der Aktualität der zweiten Anmeldeinformationen. Mit diesem Feature können Benutzer nur TFA für die erste Transaktion anfordern und dann nur den zweiten Faktor regelmäßig benötigen. Sie können dieses Feature nur für Anwendungen verwenden, die einen zusätzlichen Parameter in der Anforderung bereitstellen können, da es sich nicht um eine konfigurierbare Einstellung in AD FS handelt. Die Microsoft Entra-ID unterstützt diesen Parameter, wenn Sie die Einstellung "MFA für X Tage speichern" so konfigurieren, dass sie "True" in den Microsoft Entra ID-Verbunddomänenvertrauenseinstellungen auf "True" festgelegt hat.

Verbesserungen für einmaliges Anmelden

AD FS 2019 umfasst auch die folgenden SSO-Verbesserungen (Single Sign-On):

• AD FS verwendet jetzt einen paginierten UX-Fluss und eine zentrierte Benutzeroberfläche (UI), die eine reibungslosere Anmeldeerfahrung für Benutzer bietet. Diese Änderung spiegelt die in Azure AD angebotene Funktionalität wider. Möglicherweise müssen Sie das Logo und die Hintergrundbilder Ihrer Organisation entsprechend der neuen Benutzeroberfläche aktualisieren.

• Es wurde ein Problem behoben, das dazu führte, dass der MFA-Zustand nicht beibehalten wurde, wenn die Authentifizierung des primären Aktualisierungstokens (PRT) auf Windows 10-Geräten verwendet wurde. Benutzer sollten jetzt weniger häufig zur Eingabe von Anmeldeinformationen für den zweiten Faktor aufgefordert werden. Die Erfahrung sollte jetzt konsistent sein, wenn die Geräteauthentifizierung auf client-TLS und PRT-Authentifizierung erfolgreich ist.

Unterstützung für das Erstellen von modernen branchenspezifischen Apps

AD FS 2019 umfasst die folgenden Features, um die Erstellung moderner Branchen-Apps zu unterstützen:

• AD FS umfasst jetzt die Unterstützung des OAuth-Geräteflussprofils für die Anmeldung mit Geräten ohne Ui-Oberflächen, um umfassende Anmeldefunktionen zu unterstützen. Mit diesem Feature können Benutzer die Anmeldung auf einem anderen Gerät abschließen. Die Azure-Befehlszeilenschnittstelle (CLI) in Azure Stack erfordert diese Funktionalität, und Sie können sie auch in anderen Szenarien verwenden.

• Sie benötigen den Parameter "Resource" nicht mehr für die Verwendung von AD FS, das in Übereinstimmung mit den aktuellen OAUth-Spezifikationen steht. Clients müssen nun nur den Vertrauensbezeichner der vertrauenden Seite als Bereichsparameter bereitstellen, der lange mit angeforderten Berechtigungen verfügt.

• Sie können CORS-Header (Cross-Origin Resource Sharing) in AD FS-Antworten verwenden. Mit diesen neuen Überschriften können Benutzer Einzelseitenanwendungen erstellen, mit denen clientseitige JavaScript-Bibliotheken die id_token Signatur überprüfen können, indem sie die Signaturschlüssel aus dem Open ID Connect(OIDC)-Discoverydokument auf AD FS abfragen.

• AD FS umfasst die Unterstützung von Proof Key für Code Exchange (PKCE) für den sicheren Authentifizierungscodefluss in OAuth. Diese zusätzliche Sicherheitsebene verhindert, dass böswillige Akteure den Code entführern und sie von einem anderen Client wiedergeben.

• Wir haben ein kleineres Problem behoben, das dazu führte, dass AD FS nur den x5t-Anspruch sendete. AD FS sendet jetzt auch einen Kinderanspruch, um den Schlüssel-ID-Hinweis für die Signaturüberprüfung zu kennzeichnen.

Verbesserungen der Unterstützbarkeit

Administratoren können jetzt AD FS konfigurieren, damit Benutzer Fehlerberichte senden und Protokolle als ZIP-Datei zur Problembehandlung an sie debuggen können. Administratoren können auch eine SMTP-Verbindung (Simple Mail Transfer Protocol) konfigurieren, um die ZIP-Datei automatisch an ein Triage-E-Mail-Konto zu senden. Mithilfe einer anderen Einstellung können Administratoren automatisch ein Ticket für ihr Supportsystem basierend auf dieser E-Mail erstellen.

Bereitstellungsaktualisierungen

Die folgenden Bereitstellungsaktualisierungen sind jetzt in AD FS 2019 enthalten:

• AD FS hat eine ähnliche Funktion wie die Windows Server 2016-Version , die das Upgrade von Windows Server 2016-Serverfarmen auf Windows Server 2019-Serverfarmen erleichtert. Ein Windows Server 2019-Server, der einer Windows Server 2016-Serverfarm hinzugefügt wurde, verhält sich nur wie ein Windows Server 2016-Server, bis Sie zum Upgrade bereit sind. Weitere Informationen finden Sie unter Durchführen eines Upgrades für eine vorhandene AD FS-Farm mithilfe der internen Windows-Datenbank.

SAML-Updates

AD FS 2019 enthält die folgenden SAML-Updates (Security Assertion Markup Language):

• Wir haben Probleme bei der aggregierten Verbundunterstützung behoben, z. B. InCommon, in diesen Bereichen:

  • Verbesserte Skalierung für viele Entitäten im Zusammengefasster Verbundmetadatendokument. Zuvor war die Skalierung für diese Entitäten nicht erfolgreich und gibt eine ADMIN0017 Fehlermeldung zurück.

  • Sie können jetzt Abfragen mithilfe des ScopeGroupID-Parameters durchführen, indem Sie das Get-AdfsRelyingPartyTrustsGroup PowerShell-Cmdlet ausführen.

  • Verbesserte Behandlung von Fehlerbedingungen für doppelte Entitäts-ID-Werte .

Azure AD-Stilressourcenspezifikation im Bereichsparameter

Zuvor war es in AD FS erforderlich, dass die gewünschte Ressource und der gewünschte Bereich in einem separaten Parameter in jeder Authentifizierungsanforderung enthalten waren. Beispielsweise enthält die folgende OAuth-Anforderung einen Bereichsparameter:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Mit AD FS unter Windows Server 2019 können Sie jetzt den im Bereichsparameter eingebetteten Ressourcenwert übergeben. Diese Änderung ist mit der Authentifizierung gegen Microsoft Entra ID konsistent.

Der Bereichsparameter kann jetzt als durch Leerzeichen getrennte Liste organisiert werden, die jede Entität als Ressource oder Bereich strukturiert.

Hinweis

Sie können nur eine Ressource in der Authentifizierungsanforderung angeben. Wenn Sie mehr als eine Ressource in die Anforderung einschließen, gibt AD FS einen Fehler zurück, und die Authentifizierung ist nicht erfolgreich.