Nouveautés de Windows Server 2019

Cet article décrit certaines des nouvelles fonctionnalités de Windows Server 2019. Windows Server 2019 repose sur les bases solides de Windows Server 2016 et apporte de nombreuses innovations dans quatre thèmes clés : cloud hybride, sécurité, plateforme d’applications et infrastructure hyperconvergée (HCL).

Général

Windows Admin Center

Windows Admin Center est une application basée sur navigateur, déployée localement pour la gestion des serveurs, des clusters, de l’infrastructure hyperconvergée et des PC Windows 10. Il est fourni sans coût supplémentaire avec Windows et est prêt à être utilisé en production.

Vous pouvez installer Windows Admin Center sur Windows Server 2019 et sur Windows 10 ainsi que sur les versions antérieures de Windows et Windows Server, et l’utiliser pour gérer des serveurs et des clusters exécutant Windows Server 2008 R2 et ultérieur.

Pour plus d’informations, consultez Windows Admin Center.

Expérience utilisateur

Étant donné que Windows Server 2019 est une version de canal de maintenance à long terme (LTSC), il inclut l’expérience utilisateur. Les versions SAC (Semi-Annual Channel) n'incluent pas l'expérience de bureau par conception ; il s'agit strictement de versions d'images de conteneurs Server Core et Nano Server. Comme avec Windows Server 2016, pendant l’installation du système d’exploitation, vous pouvez choisir entre les installations Server Core ou Server avec Expérience utilisateur.

Insights système

Insights système est une nouvelle fonctionnalité disponible dans Windows Server 2019 qui apporte des fonctionnalités analytiques prédictives locales en mode natif de Windows Server. Ces fonctionnalités prédictives, chacune basées sur un modèle Machine Learning, analysent localement les données système de Windows Server, comme les compteurs de performances et les événements. Les Insights système vous permet de comprendre le fonctionnement de vos serveurs et vous aide à réduire les dépenses opérationnelles associées à la gestion réactive des problèmes dans vos déploiements Windows Server.

Cloud hybride

Fonctionnalité de compatibilité des applications Server Core à la demande

La fonctionnalité de compatibilité des applications Server Core à la demande (FOD) améliore considérablement la compatibilité des applications en incluant un sous-ensemble des fichiers binaires et des composants de Windows Server avec l’Expérience utilisateur. Server Core est maintenu aussi simple que possible et n’ajoute pas l’environnement graphique de l’Expérience utilisateur de Windows Server lui-même, ce qui augmente les fonctionnalités et la compatibilité.

Cette fonctionnalité facultative à la demande est disponible sur un fichier ISO distinct et peut être ajoutée à des installations et des images Windows Server Core uniquement, à l’aide de DISM.

Rôle serveur de transport des Services de déploiement Windows (WDS) ajouté à Server Core

Le Serveur de transport contient uniquement les composants de mise en réseau principaux de WDS. Vous pouvez désormais utiliser Server Core avec le rôle Serveur de transport pour créer des espaces de noms de multidiffusion qui transmettent les données (y compris des images du système d’exploitation) depuis un serveur autonome. Vous pouvez également l’utiliser si vous souhaitez disposer d’un serveur PXE qui permette aux clients d’utiliser un démarrage PXE et de télécharger votre propre application d’installation personnalisée.

Intégration des services Bureau à distance à Azure AD

Avec l’intégration d’Azure AD, vous pouvez utiliser les stratégies d’accès conditionnel, l’authentification multifacteur, l’authentification intégrée avec d’autres applications SaaS en utilisant Azure Active Directory, etc. Pour plus d’informations, consultez Intégrer Azure AD Domain Services à votre déploiement RDS.

Mise en réseau

Nous avons apporté plusieurs améliorations à la pile réseau principale, comme TCP Fast Open (TFO), Receive Window Autotuning, IPv6, etc. Pour plus d’informations, consultez le billet Amélioration des fonctionnalités de la pile réseau principale.

vRSS dynamique et VMMQ

Dans le passé, les files d'attente de machines virtuelles et les files d'attente multiples de machines virtuelles (VMMQ) ont permis d'augmenter considérablement le débit des machines virtuelles individuelles lorsque les débits du réseau ont atteint la barre des 10 GbE et au-delà. Malheureusement, la planification, la définition des bases, le réglage et la surveillance nécessaires pour réussir sont devenus une entreprise beaucoup plus importante que les administrateurs informatiques ne l'avaient prévu.

Windows Server 2019 améliore ces optimisations en répartissant et en réglant dynamiquement le traitement des charges de travail réseau en fonction des besoins. Windows Server 2019 garantit une efficacité maximale et supprime la charge de configuration imposée aux administrateurs informatiques. Pour plus d’informations, consultez Exigences relatives aux réseaux hôtes pour Azure Stack HCI.

Sécurité

Protection avancée contre les menaces Windows Defender

Les capteurs profonds de plate-forme et les actions de réponse d’ATP exposent des attaques au niveau de la mémoire et du noyau et y répondent par la suppression des fichiers malveillants et l’arrêt des processus malveillants.

• Pour plus d’informations sur Windows Defender ATP, consultez Présentation des capacités de Windows Defender ATP.

• Pour plus d’informations sur l’intégration des serveurs, consultez Intégrer des serveurs au service Windows Defender ATP.

Windows Defender ATP Exploit Guard est un nouvel ensemble de fonctionnalités de prévention des intrusions des hôtes qui vous permettent d’équilibrer les risques de sécurité et les exigences de productivité. Windows Defender Exploit Guard est conçu pour protéger l’appareil contre un grand nombre de vecteurs d’attaque et pour bloquer les comportements couramment utilisés dans les attaques par programmes malveillants. Les composants sont :

• La réduction de la surface d'attaque (ASR) est un ensemble de contrôles que les entreprises peuvent activer pour empêcher les logiciels malveillants de s'installer sur la machine en bloquant les fichiers malveillants suspects. Par exemple, les fichiers Office, les scripts, les mouvements latéraux, le comportement des ransomwares et les menaces basées sur les e-mails.

• Protection réseau protège le point de terminaison contre les menaces web en bloquant n’importe quel processus sortant sur l’appareil vers des adresses d’hôtes/IP non approuvées à travers Windows Defender SmartScreen.

• L’accès contrôlé aux dossiers protège les données sensibles contre les rançongiciels en empêchant les processus non approuvés d’accéder à vos dossiers protégés.

• Exploit Protection est un ensemble de mesures d’atténuation des attaques de vulnérabilité (remplaçant EMET) qui peuvent être facilement configurées pour protéger votre système et vos applications.

• Contrôle d’application Windows Defender (également connu sous le nom de stratégie d’intégrité du code [CI]) a été publié dans Windows Server 2016. Nous avons simplifié le déploiement en incluant des stratégies d’intégrité du code par défaut. La stratégie par défaut autorise tous les fichiers intégrés dans Windows ainsi que les applications Microsoft comme SQL Server, et bloque les fichiers exécutables connus qui peuvent contourner l’intégrité du code.

Sécurité avec SDN (Software Defined Networking)

Sécurité avec SDN offre de nombreuses fonctionnalités destinées à renforcer la confiance des clients exécutant des charges de travail, soit en local, soit comme fournisseurs de services dans le cloud.

Ces améliorations de sécurité sont intégrées dans la plateforme SDN complète introduite dans Windows Server 2016.

Pour connaître la liste complète des nouveautés de SDN, consultez Nouveautés SDN pour Windows Server 2019.

Améliorations apportées aux machines virtuelles dotées d’une protection maximale

Nous avons apporté les améliorations suivantes aux machines virtuelles blindées.

Améliorations pour les filiales

Vous pouvez maintenant exécuter des machines virtuelles dotées d’une protection maximale sur des ordinateurs ayant une connectivité intermittente au Service Guardian hôte à l’aide du nouveau SGH de secours et des fonctionnalités du mode hors connexion. Le SGH de secours vous permet de configurer un deuxième ensemble d’URL qu’Hyper-V peut essayer s’il ne peut pas atteindre votre serveur SGH principal.

Même si vous ne pouvez pas atteindre le HGS, le mode hors ligne vous permet de continuer à démarrer vos machines virtuelles protégées. Le mode hors ligne vous permet également de démarrer vos machines virtuelles tant que la machine virtuelle a démarré avec succès une fois et que la configuration de sécurité de l'hôte n'a pas changé.

Améliorations de la résolution des problèmes

Nous avons également facilité le dépannage de vos machines virtuelles protégées en activant la prise en charge de VMConnect Enhanced Session Mode et de PowerShell Direct. Ces outils sont utiles lorsque vous perdez la connectivité réseau avec votre VM et que vous devez mettre à jour sa configuration pour rétablir l'accès. Pour en savoir plus, voir Guarded fabric et shielded VMs.

Vous n'avez pas besoin de configurer ces fonctionnalités car elles deviennent automatiquement disponibles lorsque vous placez une VM blindée sur un hôte Hyper-V exécutant Windows Server version 1803 ou ultérieure.

Prise en charge de Linux

Si vous exécutez des environnements à systèmes d’exploitation mixtes, Windows Server 2019 prend désormais en charge l’exécution d’Ubuntu, Red Hat Enterprise Linux et SUSE Linux Enterprise Server dans les machines virtuelles.

HTTP/2 pour un Internet plus rapide et plus sûr

• Amélioration de la fusion de connexions pour offrir une expérience de navigation ininterrompue et correctement chiffrée.

• Mise à niveau de la négociation de suite de chiffrement côté serveur HTTP/2 pour l’atténuation automatique des échecs de connexion et la simplicité de déploiement.

• Modification de notre fournisseur de congestion TCP par défaut en faveur de Cubic pour vous offrir davantage de débit !

Réseaux chiffrés

Le chiffrement du réseau virtuel crypte le trafic du réseau virtuel entre les machines virtuelles au sein des sous-réseaux portant l’étiquette Chiffrement activé. Les réseaux chiffrés utilisent également Datagram Transport Layer Security (DTLS) sur le sous-réseau virtuel pour chiffrer les paquets. DTLS protège vos données contre l’écoute, la manipulation et la contrefaçon par toute personne ayant accès au réseau physique.

Pour plus d’informations, veuillez consulter la rubrique Réseaux chiffrés.

Audit du pare-feu

L’audit des pare-feu est une nouvelle fonctionnalité pour le pare-feu SDN qui enregistre tout flux traité par les règles de pare-feu SDN et les listes de contrôle d’accès (ACL) qui ont le journalisation activée.

Peering de réseau virtuel

Le peering de réseaux virtuels vous permet de connecter deux réseaux virtuels de manière transparente. Une fois appairés, les réseaux virtuels apparaissent dans la surveillance comme un seul réseau.

Comptage de sortie

La mesure de sortie offre des compteurs d’utilisation pour les transferts de données sortants. Network Controller utilise cette fonctionnalité pour conserver une liste d'autorisation de toutes les plages IP utilisées dans SDN par réseau virtuel. Ces listes considèrent que tout paquet se dirigeant vers une destination non incluse dans les plages IP répertoriées est facturé comme des transferts de données sortants.

Stockage

Voici quelques-unes des modifications que nous avons apportées au stockage dans Windows Server 2019. Le stockage est également affecté par les mises à jour de la déduplication des données, en particulier sa mise à jour de l'API DataPort pour une entrée ou une sortie optimisée vers les volumes dédupliqués.

File Server Resource Manager

Il est maintenant possible d’empêcher le service Outils de gestion de ressources pour serveur de fichiers de créer un journal des modifications (également appelé journal USN) sur tous les volumes au démarrage du service. Empêcher la création du parcours de modification peut économiser de l’espace sur chaque volume, mais va désactiver la classification des fichiers en temps réel. Pour plus d’informations, consultez Vue d’ensemble du Gestionnaire de ressources du serveur de fichiers.

PME

• Windows Server n'installe plus le client et le serveur SMB1 par défaut. En outre, la possibilité d’authentification en tant qu’invité dans SMB2 et versions ultérieures est désactivée par défaut. Pour plus d'informations, consultez SMBv1 n'est pas installé par défaut dans Windows 10 version 1709, Windows Server version 1709 et les versions ultérieures.

• Vous pouvez désormais désactiver les oplocks dans SMB2+ pour les applications héritées. Vous pouvez également exiger d'un client une signature ou un chiffrement par connexion. Pour plus d'informations, consultez l'aide du module PowerShell de SMBShare.

Service de migration de stockage

Le Service de migration du stockage facilite la migration des serveurs vers une version plus récente de Windows Server. Cet outil graphique répertorie les données sur les serveurs, puis transfère les données et configurations vers de nouveaux serveurs. Le Service de migration de stockage peut également transférer les identités des anciens serveurs vers les nouveaux serveurs afin que les utilisateurs n’aient pas à reconfigurer leurs profils et applications. Pour plus d’informations, veuillez consulter la rubrique Service de migration de stockage.

Windows Admin Center version 1910 a ajouté la possibilité de déployer des machines virtuelles Azure. Cette mise à jour intègre le déploiement de machines virtuelles Azure dans le service de migration de stockage. Pour plus d’informations, consultez Migration de machines virtuelles Azure.

Vous pouvez également accéder aux fonctionnalités suivantes après la mise en production (RTM) en exécutant l’orchestrateur du Serveur de migration de stockage sous Windows Server 2019 avec KB5001384 installé ou sous Windows Server 2022 :

• Migrer des groupes et utilisateurs locaux vers le nouveau serveur
• Migrer le stockage à partir de clusters de basculement, migrer vers des clusters de basculement, et migrer entre des serveurs autonomes et des clusters de basculement
• Migrer le stockage à partir d'un serveur Linux qui utilise Samba
• Synchroniser plus facilement des partages migrés dans Azure en utilisant Azure File Sync
• Migrer vers de nouveaux réseaux comme Azure
• Migrer les serveurs NetApp Common Internet File System (CIFS) des matrices NetApp Federated Authentication Service (FAS) vers des serveurs et clusters Windows.

Espaces de stockage direct

Voici les nouveautés de Storage Spaces Direct. Pour plus d'informations sur l'acquisition de systèmes Storage Spaces Direct validés, consultez la présentation de la solution HCI Azure Stack.

• Déduplication et compression des volumes ReFS Le stockage de morceaux de taille variable avec compression optionnelle maximise les taux d'économie, tandis que l'architecture de post-traitement multithread minimise l'impact sur les performances. Cette fonctionnalité prend en charge des volumes allant jusqu'à 64 To et déduplique les 4 premiers Mo de chaque fichier.

• Prise en charge native de la mémoire persistante, qui vous permet de gérer la mémoire persistante comme n'importe quel autre disque dans PowerShell ou Windows Admin Center. Cette fonctionnalité prend en charge les modules de mémoire persistante Intel Optane DC PM et NVDIMM-N.

• Résilience imbriquée pour une infrastructure hyperconvergée à deux nœuds en périphérie. Grâce à une nouvelle option de résilience logicielle basée sur RAID 5+1, vous pouvez désormais survivre simultanément à deux pannes matérielles. Un cluster Storage Spaces Direct à deux nœuds fournit un stockage accessible en continu pour les applications et les machines virtuelles, même si un nœud de serveur tombe en panne et qu'un autre nœud de serveur subit une défaillance de disque.

• Les clusters à deux serveurs peuvent désormais utiliser une clé USB comme témoin. Si un serveur tombe en panne, puis effectue une sauvegarde, le cluster de lecteur USB sait quel serveur possède les données les plus récentes. Pour plus d'informations, consultez notre article de blog sur l'annonce de Storage Spaces Direct et Configurez un témoin de partage de fichiers pour le clustering de basculement.

• Le Centre d'administration Windows prend en charge un tableau de bord qui vous permet de gérer et de surveiller Storage Spaces Direct. Vous pouvez surveiller l'IOPS et la latence IO du niveau global du cluster jusqu'aux disques SSD ou HDD individuels, sans frais supplémentaires. Pour en savoir plus, consultez la section Qu'est-ce que Windows Admin Center ?

• L'historique des performances est une nouvelle fonctionnalité qui offre une visibilité sans effort sur l'utilisation des ressources et les mesures. Pour en savoir plus, consultez la rubrique Historique des performances pour Storage Spaces Direct.

• Évoluez jusqu'à 4 Po par cluster en utilisant une capacité de 64 volumes de 64 To maximum. Vous pouvez également assembler plusieurs clusters en un ensemble de clusters pour une montée en charge encore plus importante au sein d'un même espace de noms de stockage.

• En utilisant la parité accélérée par miroir, il est possible de construire des volumes Storage Spaces Direct qui intègrent à la fois des stratégies de miroir et de parité, comme un mélange de RAID-1 et de RAID-5/6. La parité accélérée par le miroir est désormais deux fois plus rapide que celle de Windows Server 2016.

• La détection des valeurs aberrantes de latence des lecteurs identifie automatiquement les lecteurs lents dans PowerShell et Windows Admin Center avec un état « Latence anormale ».

• Délimitez manuellement l'allocation des volumes pour augmenter la tolérance aux pannes. Pour plus d'informations, consultez Délimiter l'allocation de volumes dans Storage Spaces Direct.

Réplica de stockage

Voici les nouveautés du réplica de stockage.

• Storage Replica est désormais disponible dans Windows Server 2019 Standard Edition et Windows Server 2019 Datacenter Edition. Cependant, avec l'édition standard, vous ne pouvez répliquer qu'un seul volume, et ce volume ne peut atteindre une taille de 2 To.

• Le basculement de test est une nouvelle fonctionnalité qui vous permet de monter temporairement un instantané du stockage répliqué sur un serveur de destination à des fins de test ou de sauvegarde. Pour plus d'informations, consultez la rubrique Questions fréquemment posées sur le réplica de stockage.

• Améliorations des performances des logs Storage Replica, telles que l'amélioration du débit et de la latence de la réplication sur le stockage all-flash et les clusters Storage Spaces Direct qui se répliquent les uns les autres.

• Prise en charge de Windows Admin Center, y compris la gestion graphique de la réplication à l'aide de Server Manager pour la réplication de serveur à serveur, de cluster à cluster et de stretch cluster.

Déduplication des données

Windows Server 2019 prend désormais en charge le système de fichiers résilient (ReFS). ReFS vous permet de stocker jusqu'à dix fois plus de données sur le même volume avec la déduplication et la compression pour le système de fichiers ReFS. Le magasin de morceaux de taille variable s'accompagne d'une fonction de compression optionnelle qui peut maximiser les taux d'économie, tandis que l'architecture de post-traitement multithread maintient l'impact sur les performances à un niveau minimal. ReFS prend en charge des volumes allant jusqu'à 64 To et déduplique les 4 premiers To de chaque fichier. Pour en savoir plus, consultez Comment activer la déduplication et la compression dans Windows Admin Center pour une démonstration vidéo rapide.

Clustering de basculement

Nous avons ajouté les fonctionnalités suivantes au clustering de basculement dans Windows Server 2019 :

• Les ensembles de clusters regroupent plusieurs clusters en un regroupement faiblement couplé de plusieurs clusters de basculement qui se déclinent en trois types : calcul, stockage et hyperconvergé. Ce regroupement augmente le nombre de serveurs dans une seule solution de centre de données défini par logiciel (SDDC) au-delà des limites actuelles d'un cluster. Avec les ensembles de clusters, vous pouvez déplacer des machines virtuelles en ligne entre les clusters de l'ensemble de clusters. Pour plus d'informations, voir Déployer un ensemble de clusters.

• Les clusters sont désormais compatibles avec Azure par défaut. Les clusters Azure-aware détectent automatiquement lorsqu'ils s'exécutent dans des machines virtuelles Azure IaaS, puis optimisent leur configuration pour atteindre les niveaux de disponibilité les plus élevés. Ces optimisations incluent le basculement proactif et la journalisation des événements de maintenance planifiée Azure. L'optimisation automatisée simplifie le déploiement en supprimant la nécessité de configurer l'équilibreur de charge avec le nom de réseau distribué pour le nom du cluster.

• La migration de clusters inter-domaines permet aux clusters de basculement de passer dynamiquement d'un domaine Active Directory à un autre, ce qui simplifie la consolidation des domaines et permet aux partenaires matériels de créer des clusters et de les joindre ultérieurement au domaine du client.

• La fonction USB witness vous permet d'utiliser une clé USB connectée à un commutateur réseau comme témoin pour déterminer le quorum d'une grappe. Cette fonction inclut une prise en charge étendue des témoins de partage de fichiers pour tout périphérique compatible SMB2.

• Le cache CSV est désormais activé par défaut pour améliorer les performances de la machine virtuelle. MSDTC prend désormais en charge les volumes partagés de cluster pour permettre le déploiement des charges de travail MSDTC sur Storage Spaces Direct, comme avec SQL Server. Amélioration de la logique pour détecter les nœuds partitionnés avec auto-adaptation afin de renvoyer les nœuds à l’appartenance au cluster. Amélioration de l’auto-adaptation et de la détection des routes de réseau de cluster.

• La mise à jour adaptée aux clusters (CAU) est désormais intégrée et prend en compte les espaces de stockage direct, validant et garantissant la resynchronisation des données sur chaque nœud. La mise à jour adaptée aux clusters inspecte les mises à jour pour redémarrer intelligemment uniquement si nécessaire. Cette fonctionnalité vous permet de redémarrer tous les serveurs du cluster en cas de maintenance planifiée.

• Vous pouvez désormais utiliser des témoins de partage de fichiers dans les scénarios suivants :

  • Accès Internet absent ou médiocre en raison d’un emplacement distant, empêchant l’utilisation d’un témoin de cloud.

  • Absence de lecteurs partagés pour un témoin de disque. Par exemple, une configuration qui n'utilise pas de disques partagés, telle qu'une configuration hyperconvergée Storage Spaces Direct, un groupe de disponibilité (AG) SQL Server Always On ou un groupe de disponibilité de base de données (DAG) Exchange.

  • Absence de connexion au contrôleur de domaine parce que le cluster se trouve derrière une zone démilitarisée.

  • Un groupe de travail ou un cluster inter-domaines qui n'a pas d'objet de nom de cluster Active Directory (CNO). Windows Server bloque désormais également l'utilisation d'un partage DFS Namespaces en tant qu'emplacement. L’ajout d’un témoin de partage de fichiers à un partage DFS peut entraîner des problèmes de stabilité sur votre cluster, et cette configuration n’a jamais été prise en charge. Nous avons ajouté une logique pour détecter si un partage utilise des espaces de noms DFS, et quand des espaces de noms DFS sont détectés, le Gestionnaire du cluster de basculement bloque la création du témoin et affiche un message d’erreur indiquant qu’il n’est pas pris en charge.

• Une fonctionnalité de renforcement des clusters a été mise en œuvre pour améliorer la sécurité des communications intra-cluster via Server Message Block (SMB) pour les volumes partagés de cluster et Storage Spaces Direct. Cette fonctionnalité s'appuie sur des certificats pour fournir la plateforme la plus sécurisée possible. Ce faisant, les Clusters de basculement peuvent désormais fonctionner sans aucune dépendance à NTLM, ce qui permet d'établir des lignes de base de sécurité.

• Les clusters de basculement n’utilisent plus l’authentification NTLM. Au lieu de cela, les clusters Windows Server 2019 utilisent désormais exclusivement Kerberos et l'authentification basée sur les certificats. Les utilisateurs n'ont pas besoin d'effectuer des modifications ou de déployer quoi que ce soit pour profiter de cette amélioration de la sécurité. Cette modification vous permet également de déployer des clusters de basculement dans des environnements où NTLM est désactivé.

Plateforme d’applications

Conteneurs Linux sur Windows

Il est désormais possible d’exécuter des conteneurs Windows et Linux sur le même hôte de conteneurs en utilisant le même démon Docker. Vous pouvez maintenant avoir un environnement d’hôte de conteneurs hétérogène offrant davantage de flexibilité aux développeurs d’applications.

Prise en charge intégrée de Kubernetes

Windows Server 2019 poursuit les améliorations apportées aux capacités de calcul, de réseau et de stockage à partir des versions de canal semi-annuel nécessaires pour prendre en charge Kubernetes sur Windows. Plus de détails sont disponibles dans les prochaines versions de Kubernetes.

• Les réseaux de conteneurs dans Windows Server 2019 améliorent considérablement la facilité d’utilisation de Kubernetes sur Windows. Nous avons amélioré la résilience réseau des plateformes et la prise en charge des plug-ins réseau des conteneurs.

• Les charges de travail déployées sur Kubernetes peuvent utiliser la sécurité du réseau pour protéger les services Windows et Linux à l’aide d’outils intégrés.

Améliorations apportées aux conteneurs

• Identité intégrée améliorée

  Nous avons simplifié l’authentification Windows intégrée dans les conteneurs et l’avons rendue plus fiable en résolvant plusieurs limitations des versions antérieures de Windows Server.

• Meilleure compatibilité des applications

  La mise en conteneur des applications basées sur Windows est plus facile que jamais : La compatibilité des applications pour l’image windowsservercore existante a été augmentée. Pour les applications avec des dépendances d’API supplémentaires, il existe désormais une image de base de tiers : windows.

• Taille réduite et performances supérieures

  La taille du téléchargement, la taille sur disque et le temps de démarrage des images de conteneur de base ont été améliorés de façon à accélérer les workflows des conteneurs.

• Expérience de gestion à l’aide de Windows Admin Center (préversion)

  Il est maintenant plus facile que jamais de voir quels conteneurs sont en cours d’exécution sur votre ordinateur et de gérer des conteneurs individuels avec une nouvelle extension pour Windows Admin Center. Recherchez l’extension « Conteneurs » dans le flux public du Windows Admin Center.

Améliorations apportées au calcul

• Ordre de démarrage des machines virtuelles La fonctionnalité Ordre de démarrage des machines virtuelles est également améliorée avec la reconnaissance des applications et du système d’exploitation. Elle apporte des déclencheurs améliorés pour déterminer si une machine virtuelle est considérée comme démarrée avant le démarrage de la suivante.

• La prise en charge de la mémoire de classe stockage pour les machines virtuelles permet la création de volumes NTFS à accès direct sur des éléments DIMM non volatiles et leur exposition à des machines virtuelles Hyper-V. Les machines virtuelles Hyper-V peuvent maintenant tirer parti des avantages des performances à faible latence des périphériques mémoire de classe stockage.

• Prise en charge de la mémoire persistante pour les machines virtuelles Hyper-V Pour utiliser le débit élevé et la faible latence de la mémoire persistante (également connue sous le nom de « mémoire de classe de stockage ») dans les machines virtuelles, elle peut désormais être projetée directement dans les machines virtuelles. La mémoire persistante peut aider à réduire considérablement la latence des transactions de base de données ou à réduire les temps de récupération de bases de données à faible latence en mémoire en cas d’échec.

• Stockage des conteneurs : volumes de données persistants Les conteneurs d’application disposent désormais d’un accès persistant aux volumes. Pour plus d’informations, consultez le billet de blog Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping.

• Format de fichier de configuration de machine virtuelle (mis à jour) Le fichier d’état d’invité de la machine virtuelle (.vmgs) a été ajouté pour les machines virtuelles avec une version de configuration 8.2 et ultérieure. Le fichier d’état d’invité de la machine virtuelle inclut des informations sur l’état de l’appareil, qui faisaient auparavant partie du fichier d’état du runtime de la machine virtuelle.

Réseaux chiffrés

Réseaux chiffrés - Le chiffrement des réseaux virtuels permet de chiffrer le trafic de réseau virtuel entre des machines virtuelles qui communiquent entre eux au sein des sous-réseaux marqués comme Chiffrement activé. Il utilise aussi le protocole DTLS (Datagram Transport Layer Security) sur le sous-réseau virtuel pour chiffrer les paquets. DTLS protège contre les écoutes clandestines, l’altération et la falsification par toute personne ayant accès au réseau physique.

Améliorations des performances réseau pour les charges de travail virtuelles

Améliorations des performances réseau pour les charges de travail virtuelles optimise le débit du réseau pour les machines virtuelles sans avoir à constamment ajuster ou surdimensionner votre hôte. Les performances améliorées réduisent les coûts d’exploitation et de maintenance tout en augmentant la densité disponible de vos hôtes. Ces nouvelles fonctionnalités sont les suivantes :

• Dynamic Virtual Machine Multi-Queue (d.VMMQ)

• Receive Segment Coalescing dans le commutateur virtuel

Low Extra Delay Background Transport

Low Extra Delay Background Transport (LEDBAT) est un fournisseur de contrôle de congestion du réseau à latence optimisée, conçu pour allouer automatiquement de la bande passante aux utilisateurs et aux applications. LEDBAT consomme la bande passante disponible quand le réseau n’est pas en cours d’utilisation. La technologie est destinée à être utilisée lors de déploiement de mises à jour volumineuses et critiques dans un environnement informatique, sans impact sur les services côté client ni sur la bande passante associée.

Service de temps Windows

Le Service de temps Windows comprend une véritable prise en charge de la de seconde intercalaire conforme à l’UTC, un nouveau protocole d’horaire appelé Precision Time Protocol et une traçabilité de bout en bout.

Passerelles SDN hautes performances

Les passerelles SDN hautes performances dans Windows Server 2019 améliorent considérablement les performances pour les connexions IPsec et GRE, fournissant un débit ultra hautes performances en utilisant beaucoup moins l’UC.

Nouvelle interface utilisateur de déploiement et extension du Windows Admin Center pour SDN

Désormais, avec Windows Server 2019, il est facile de déployer et de gérer par le biais d’une nouvelle interface utilisateur de déploiement et l’extension Windows Admin Center qui permettra à tout le monde de tirer parti de la puissance du SDN.

Sous-système Windows pour Linux (WSL)

WSL permet aux administrateurs de serveur d’utiliser les outils et les scripts existants de Linux sur Windows Server. De nombreuses améliorations présentées dans le blog de la ligne de commande font désormais partie de Windows Server, y compris les tâches en arrière-plan, DriveFS, WSLPath et bien plus encore.

Services de fédération Active Directory (AD FS)

Active Directory Federation Services (AD FS) pour Windows Server 2019 inclut les modifications suivantes .

Connexions protégées

Les ouvertures de session protégées avec AD FS incluent désormais les mises à jour suivantes :

• Les utilisateurs peuvent désormais utiliser des produits d'authentification tiers comme premier facteur sans exposer les mots de passe. Dans les cas où le fournisseur d'authentification externe peut prouver deux facteurs, il peut utiliser l'authentification multifactorielle (MFA).

• Les utilisateurs peuvent désormais utiliser des mots de passe comme facteur supplémentaire après avoir utilisé une option sans mot de passe comme premier facteur. Cette prise en charge intégrée améliore l'expérience globale par rapport à AD FS 2016, qui nécessitait le téléchargement d'un adaptateur GitHub.

• Les utilisateurs peuvent désormais construire leurs propres modules enfichables d'évaluation des risques pour bloquer certains types de demandes pendant l'étape de préauthentification. Cette fonctionnalité facilite l'utilisation de l'intelligence du cloud, comme la protection de l'identité, pour bloquer les utilisateurs ou les transactions à risque. Pour plus d’informations, consultez Créer des plug-ins avec un modèle d’évaluation des risques AD FS 2019.

• Amélioration de l'ingénierie de réparation rapide Extranet Smart Lockout (ESL) par l'ajout des fonctionnalités suivantes :

  • Vous pouvez désormais utiliser le mode audit tout en étant protégé par la fonctionnalité de verrouillage extranet classique.

  • Les utilisateurs peuvent désormais utiliser des seuils de verrouillage indépendants pour des sites familiers. Cette fonctionnalité vous permet d'exécuter plusieurs instances d'applications au sein d'un compte de service commun afin de reconduire les mots de passe avec un minimum d'interruption.

Autres améliorations apportées à la sécurité

AD FS 2019 inclut les améliorations de sécurité suivantes :

• PowerShell à distance à l'aide de la connexion par carte à puce permet aux utilisateurs de se connecter à distance à AD FS avec des cartes à puce en exécutant des commandes PowerShell. Les utilisateurs peuvent également utiliser cette méthode pour gérer toutes les fonctions PowerShell, y compris les cmdlets multi-nœuds.

• La personnalisation des en-têtes HTTP permet aux utilisateurs de personnaliser les en-têtes HTTP créés lors des réponses à AD FS. La personnalisation des en-têtes saisit les types d'en-têtes suivants :

  • HSTS, qui vous permet uniquement d'utiliser les points d'extrémité AD FS sur des points d'extrémité HTTPS pour qu'un navigateur compatible les applique.

  • X-frame-options, qui permet aux administrateurs AD FS d'autoriser des parties utilisatrices spécifiques à intégrer des iFrames dans les pages d'ouverture de session interactive AD FS. Vous ne devez utiliser cet en-tête que sur les hôtes HTTPS.

  • En-tête Future. Vous pouvez également configurer plusieurs en-têtes futurs.

  Pour plus d’informations, consultez Personnaliser des en-têtes de réponse de sécurité HTTP avec AD FS 2019.

Fonctions d'authentification et de stratégie

AD FS 2019 inclut les fonctionnalités d'authentification et de stratégie suivantes :

• Les utilisateurs peuvent désormais créer des règles pour spécifier le fournisseur d'authentification que leur déploiement invoque pour l'authentification supplémentaire. Cette fonctionnalité facilite la transition entre les fournisseurs d'authentification et la sécurisation d'apps spécifiques qui ont des exigences particulières pour les fournisseurs d'authentification supplémentaires.

• Restrictions facultatives pour les authentifications de périphériques basées sur Transport Layer Security (TLS) afin que seules les applications nécessitant TLS puissent les utiliser. Les utilisateurs peuvent restreindre les authentifications de périphériques basées sur TLS pour que seules les applications effectuant un accès conditionnel basé sur le périphérique puissent les utiliser. Cette fonctionnalité permet d'éviter les invites indésirables d'authentification de périphérique pour les applications qui ne nécessitent pas d'authentification de périphérique basée sur TLS.

• AD FS prend désormais en charge le rétablissement des informations d'identification à deuxième facteur en fonction de la fraîcheur des informations d'identification à deuxième facteur. Cette fonctionnalité permet aux utilisateurs de n'exiger l'authentification TFA que pour la première transaction, puis de n'exiger le deuxième facteur que périodiquement. Vous ne pouvez utiliser cette fonctionnalité que sur des applications qui peuvent fournir un paramètre supplémentaire dans la demande, car il ne s'agit pas d'un paramètre configurable dans AD FS. Microsoft Entra ID prend en charge ce paramètre si vous configurez le paramètre Se souvenir de mon AMF pendant X jours pour que supportsMFA soit défini sur True dans les paramètres de confiance du domaine fédéré de Microsoft Entra ID.

Améliorations apportées à l’authentification unique

AD FS 2019 comprend également les améliorations suivantes en matière d'authentification unique (SSO) :

• AD FS utilise désormais un flux UX paginé et une interface utilisateur (UI) centrée qui offre une expérience de connexion plus fluide aux utilisateurs. Ce changement reflète la fonctionnalité offerte dans Azure AD. Il se peut que vous deviez mettre à jour le logo et les images d'arrière-plan de votre organisation pour les adapter à la nouvelle interface utilisateur.

• Nous avons corrigé un problème qui faisait que l'état MFA ne persistait pas lors de l'utilisation de l'authentification par jeton de rafraîchissement primaire (PRT) sur les appareils Windows 10. Les utilisateurs devraient désormais être invités moins souvent à fournir des informations d'identification de second facteur. L'expérience devrait maintenant être cohérente lorsque l'authentification du périphérique est réussie sur l'authentification TLS et PRT du client.

Prise en charge de la création d’applications métier modernes

AD FS 2019 inclut les fonctionnalités suivantes pour prendre en charge la création d'applications modernes de ligne de métier (LOB) :

• AD FS inclut désormais la prise en charge du profil de flux de périphériques OAuth pour la connexion à l'aide de périphériques sans surface d'interface utilisateur afin de prendre en charge des expériences de connexion riches. Cette fonctionnalité permet aux utilisateurs de terminer la connexion sur un autre appareil. L'interface de ligne de commande Azure (CLI) dans Azure Stack nécessite cette fonctionnalité, mais vous pouvez également l'utiliser dans d'autres scénarios.

• Vous n'avez plus besoin du paramètre Resource pour utiliser AD FS, ce qui est conforme aux spécifications actuelles de l'OAUth. Les clients n'ont plus qu'à fournir l'identifiant de confiance de la partie se fiant à eux en tant que paramètre d'étendue avec les autorisations demandées.

• Vous pouvez utiliser des en-têtes CORS (cross-origin resource sharing) dans les réponses AD FS. Ces nouveaux en-têtes permettent aux utilisateurs de créer des applications à page unique qui autorisent les bibliothèques JavaScript côté client à valider la signature id_token en demandant les clés de signature du document de découverte Open ID Connect (OIDC) sur AD FS.

• AD FS inclut la prise en charge de la clé de preuve pour l'échange de code (PKCE) pour un flux de code d'authentification sécurisé dans le cadre d'OAuth. Cette couche de sécurité supplémentaire empêche les acteurs malveillants de détourner le code et de le rejouer à partir d'un autre client.

• Nous avons corrigé un problème mineur qui faisait que AD FS n'envoyait que la réclamation x5t. Désormais, AD FS envoie également une réclamation kid pour indiquer l'indice d'identification de la clé pour la vérification de la signature.

Améliorations de la prise en charge

Les administrateurs peuvent désormais configurer AD FS pour permettre aux utilisateurs de leur envoyer des rapports d'erreur et des journaux de débogage sous la forme d'un fichier ZIP à des fins de dépannage. Les administrateurs peuvent également configurer une connexion SMTP (Simple Mail Transfer Protocol) pour envoyer automatiquement le fichier ZIP à un compte de messagerie de triage. Un autre paramètre permet aux administrateurs de créer automatiquement un ticket pour leur système d'assistance sur la base de ce courrier électronique.

Mises à jour de déploiement

Les mises à jour de déploiement suivantes sont maintenant incluses dans AD FS 2019 :

• AD FS dispose d'une fonction similaire à sa version Windows Server 2016 qui facilite la mise à niveau des fermes de serveurs Windows Server 2016 en fermes de serveurs Windows Server 2019. Un serveur Windows Server 2019 ajouté à une batterie de serveurs Windows Server 2016 se comportera uniquement comme un serveur Windows Server 2016 jusqu'à ce que vous soyez prêt à le mettre à niveau. Pour plus d’informations, consultez Mise à niveau vers AD FS dans Windows Server 2016.

Mises à jour SAML

AD FS 2019 inclut les mises à jour SAML (Security Assertion Markup Language) suivantes :

• Nous avons corrigé des problèmes dans la prise en charge des fédérations agrégées, telles que InCommon, dans ces domaines :

  • Amélioration de la mise à l'échelle pour de nombreuses entités dans le document de métadonnées de la fédération agrégée. Auparavant, la mise à l'échelle de ces entités échouait et renvoyait un message d'erreur ADMIN0017.

  • Vous pouvez désormais effectuer des requêtes à l'aide du paramètre ScopeGroupID en exécutant la Get-AdfsRelyingPartyTrustsGroup cmdlet PowerShell.

  • Amélioration de la gestion des conditions d'erreur en cas de duplication des valeurs de entityID.

Spécification de ressource de style Azure AD dans le paramètre d’étendue

Auparavant, AD FS exigeait que la ressource et l’étendue souhaitées se trouvent dans un paramètre distinct dans toute requête d’authentification. Par exemple, la requête OAuth suivante contient un paramètre scope :

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Avec AD FS sur Windows Server 2019, vous pouvez désormais passer la valeur de la ressource incorporée dans le paramètre d’étendue. Ce changement est cohérent avec l'authentification contre Microsoft Entra ID.

Le paramètre scope peut maintenant être organisé comme une liste séparée par des espaces qui structure chaque entité comme une ressource ou un scope.

Remarque

Vous ne pouvez spécifier qu'une seule ressource dans la demande d'authentification. Si vous incluez plus d'une ressource dans la demande, AD FS renvoie une erreur et l'authentification n'aboutit pas.