Nouveautés de Windows Server 2016

Cet article décrit les nouvelles fonctionnalités de Windows Server 2016 qui sont susceptibles d'avoir l'impact le plus important lorsque vous utilisez cette version.

Calcul

La zone Virtualisation contient des fonctionnalités et produits de virtualisation que les professionnels de l’informatique peuvent utiliser pour la conception, le déploiement et la maintenance de Windows Server.

Général

Les machines physiques et virtuelles bénéficient d’une plus grande précision du temps en raison des améliorations apportées aux services Synchronisation date/heure de Hyper-V et de Win32. Windows Server peut désormais héberger des services qui sont conformes aux réglementations à venir qui exigent une précision égale à 1ms en ce qui concerne l'heure UTC.

Hyper-V

• Nouveautés de Hyper-V sur Windows Server 2016. Cette rubrique décrit les fonctionnalités nouvelles et modifiées du rôle Hyper-V dans Windows Server 2016, Hyper-V client s’exécutant sur Windows 10 et Microsoft Hyper-V Server 2016.

• Conteneurs Windows : la prise en charge des conteneurs Windows Server 2016 permet des améliorations de performances, une gestion réseau simplifiée et la prise en charge des conteneurs Windows sur Windows 10. Pour obtenir des informations supplémentaires sur les conteneurs, consultez Conteneurs : Docker, Windows et Trends.

Nano Server

Nouveautés de Nano Server. Nano Server possède maintenant un module mis à jour pour la création d’images Nano Server, et propose notamment une plus grande séparation des fonctionnalités de l’hôte physique et de la machine virtuelle invitée, ainsi que la prise en charge de différentes éditions de Windows Server.

Des améliorations ont également été apportées à la console de récupération, notamment la séparation des règles de pare-feu entrantes et sortantes ainsi que la possibilité de réparer la configuration de WinRM.

Machines virtuelles dotées d’une protection maximale

Windows Server 2016 fournit une nouvelle machine virtuelle Hyper-V dotée d’une protection maximale, pour protéger une machine virtuelle de deuxième génération contre une structure compromise. Les fonctionnalités introduites dans Windows Server 2016 sont les suivantes :

• Un nouveau mode Chiffrement pris en charge qui offre plus de protections que pour une machine virtuelle ordinaire, mais moins que le mode Protection maximale, tout en prenant toujours en charge le module de plateforme sécurisée (TPM) virtuel, le chiffrement de disque, le chiffrement de trafic de migration dynamique et d'autres fonctionnalités, notamment les avantages d'administration de structure directe tels que les connexions de console de machine virtuelle et PowerShell Direct.

• Prise en charge complète de la conversion de machines virtuelles de génération 2 non protégées existantes en machines virtuelles dotées d’une protection maximale, dont le chiffrement automatique du disque.

• Hyper-V Virtual Machine Manager peut désormais afficher les structures sur lesquelles une machine virtuelle dotée d’une protection maximale peut s’exécuter, ce qui permet à l’administrateur de la structure d’ouvrir le protecteur de clé d’une machine virtuelle dotée d’une protection maximale et d’afficher les structures sur lesquelles l’exécution est autorisée.

• Vous pouvez changer de mode d’attestation sur un service Guardian hôte en cours d’exécution. Vous pouvez maintenant basculer sur-le-champ entre l’attestation Active Directory moins sécurisée, mais plus simple, et l’attestation basée sur le module de plateforme sécurisée.

• Des outils de diagnostic de bout en bout basés sur Windows PowerShell qui sont en mesure de détecter des problèmes de configuration ou des erreurs à la fois dans les hôtes Hyper-V protégés et le service Guardian hôte.

• Un environnement de récupération qui offre un moyen de résoudre les problèmes des machines virtuelles dotées d’une protection maximale et de les réparer en toute sécurité au sein de la structure dans laquelle elles s’exécutent normalement tout en offrant le même niveau de protection que la machine virtuelle dotée d’une protection maximale elle-même.

• Le service Guardian hôte prend en charge une instance Active Directory sécurisée : vous pouvez demander au service Guardian hôte d’utiliser une forêt Active Directory comme la sienne au lieu de créer sa propre instance Active Directory.

Pour plus d'informations et d'instructions sur l'utilisation des machines virtuelles dotées d'une protection maximale, consultez Structure protégée et machines virtuelles dotées d'une protection maximale.

Identité et accès

De nouvelles fonctionnalités d'identité améliorent la capacité des organisations à sécuriser les environnements Active Directory et leur permettent de migrer vers les déploiements de cloud uniquement et les déploiements hybrides, où certains services et applications sont hébergés dans le cloud et d'autres en local.

Services de certificats Active Directory

Les services de certificats Active Directory (AD CS) dans Windows Server 2016 améliorent la prise en charge de l’attestation de clé de module de plateforme sécurisée (TPM) : vous pouvez maintenant utiliser le fournisseur de stockage de clés de carte à puce pour l’attestation de clé, et les appareils qui ne sont pas joints au domaine peuvent maintenant utiliser l’inscription NDES pour obtenir des certificats qui peuvent être attestés pour des clés présentes dans un module de plateforme sécurisée (TPM).

Services de domaine Active Directory

Les services de domaine Active Directory comprennent des améliorations pour aider les organisations à sécuriser les environnements Active Directory et fournir de meilleures expériences de gestion des identités pour les appareils d'entreprise et personnels. Pour plus d’informations, consultez Quelles sont les nouveautés dans Active Directory Federation Services pour Windows Server 2016.

Services AD FS (Active Directory Federation Services)

Les services AD FS de Windows Server 2016 incluent de nouvelles fonctionnalités qui vous permettent de configurer AD FS pour authentifier les utilisateurs stockés dans les annuaires LDAP (Lightweight Directory Access Protocol). Pour plus d’informations, consultez Nouveautés des services AD FS pour Windows Server 2016.

Proxy d'application web

La dernière version du Proxy d'application Web se concentre sur les nouvelles fonctionnalités qui permettent la publication et la préauthentification d'applications supplémentaires et améliorent l'expérience utilisateur. Consultez la liste complète des nouvelles fonctionnalités qui inclut la préauthentification des applications clientes riches comme Exchange ActiveSync et les domaines avec caractères génériques pour une publication plus facile des applications SharePoint. Pour plus d’informations, consultez Proxy d’application web dans Windows Server 2016.

Administration

La section Gestion et automatisation fournit des informations sur les outils et références pour les professionnels de l'informatique qui souhaitent exécuter et gérer Windows Server 2016, dont Windows PowerShell.

Windows PowerShell 5.1 contient de nouvelles fonctionnalités importantes, notamment la prise en charge du développement avec les classes, et de nouvelles fonctionnalités de sécurité, qui étendent son utilisation, améliorent sa convivialité, et vous permettent de contrôler et de gérer des environnements Windows de façon plus simple et plus complète. Pour plus d’informations, consultez Nouveaux scénarios et nouvelles fonctionnalités dans WMF 5.1.

Les nouveautés de Windows Server 2016 incluent la possibilité d’exécuter PowerShell.exe localement sur Nano Server (et non plus seulement à distance), de nouvelles applets de commande Utilisateurs et groupes locaux pour remplacer l’interface utilisateur graphique, la prise en charge du débogage de PowerShell et la prise en charge de Nano Server pour la transcription et la journalisation de la sécurité, ainsi que JEA.

Voici d’autres nouvelles fonctionnalités d’administration :

Configuration d’état souhaité Windows PowerShell (DSC) dans Windows Management Framework (WMF) 5

Windows Management Framework 5 inclut des mises à jour de configuration d’état souhaité Windows PowerShell (DSC), Windows Remote Management (WinRM) et Windows Management Instrumentation (WMI).

Pour plus d’informations sur le test des fonctionnalités DSC de Windows Management Framework 5, consultez la série de billets de blog mentionnés dans Valider les fonctionnalités de PowerShell DSC. Pour effectuer le téléchargement, consultez Windows Management Framework 5.1.

Gestion unifiée des packages PackageManagement pour la détection, l’installation et l’inventaire des logiciels

Windows Server 2016 et Windows 10 incluent une nouvelle fonctionnalité PackageManagement (auparavant appelée OneGet) qui permet aux professionnels de l’informatique ou développeurs d’automatiser la détection, l’installation et l’inventaire des logiciels, localement ou à distance, quels que soient la technologie d’installation utilisée et l’emplacement des logiciels.

Pour en savoir plus, voir https://github.com/OneGet/oneget/wiki.

Améliorations de PowerShell pour faciliter la forensique numérique et aider à réduire les violations de sécurité

Pour aider l’équipe responsable de l’examen des systèmes compromis, parfois appelée « l’équipe bleue », nous avons ajouté des fonctionnalités d’investigation numérique et de journalisation PowerShell supplémentaires ainsi que des fonctionnalités destinées à réduire les vulnérabilités dans les scripts, comme PowerShell limité et à sécuriser les API CodeGeneration.

Pour plus d'informations, consultez le billet de blog PowerShell ♥ the Blue Team.

Réseau

La section Mise en réseau décrit les fonctionnalités et produits de mise en réseau que les professionnels de l'informatique peuvent utiliser pour la conception, le déploiement et la maintenance de Windows Server 2016.

Mise en réseau définie par logiciel

Vous pouvez désormais à la fois mettre en miroir et acheminer le trafic vers des équipements virtuels nouveaux ou existants. Avec un pare-feu distribué et des groupes de sécurité réseau, cela vous permet de segmenter et sécuriser de manière dynamique les charges de travail d’une manière similaire à Azure. Ensuite, vous pouvez déployer et gérer l’intégralité de la pile de mise en réseau SDN (Software Defined Networking) à l’aide de System Center Virtual Machine Manager. Enfin, vous pouvez utiliser Docker pour gérer la mise en réseau de conteneurs Windows Server et associer des stratégies de mise en réseau SDN non seulement à des machines virtuelles, mais aussi des conteneurs. Pour plus d’informations, consultez Planifier une mise en réseau SDN (Software Defined Networking).

Améliorations des performances de TCP

La fenêtre de congestion initiale par défaut a été augmentée de 4 à 10 et TCP Fast Open (TFO) a été implémenté. TFO réduit le temps nécessaire pour établir une connexion TCP et la nouvelle fenêtre de congestion initiale permet de transférer des objets plus volumineux dans la rafale initiale. Cette combinaison réduit considérablement le temps nécessaire pour transférer un objet Internet entre le client et le cloud.

Pour améliorer le comportement de TCP en cas de récupération suite à une perte de paquets, nous avons implémenté TCP TLP (Tail Loss Probe) et RACK (Recent Acknowledgment). TLP permet de convertir des délais de retransmission en récupérations rapides, et RACK réduit le temps nécessaire à une récupération rapide pour retransmettre un paquet perdu.

Sécurité et assurance

La section Sécurité et assurance contient des fonctionnalités et solutions de sécurité pour professionnels de l'informatique à déployer dans votre environnement de centre de données et cloud. Pour plus d’informations générales sur la sécurité dans Windows Server 2016, consultez Sécurité et assurance.

Administration suffisante

Dans Windows Server 2016, Just Enough Administration est une technologie de sécurité qui permet de déléguer l’administration de tout ce qui peut être géré avec Windows PowerShell. Les fonctionnalités disponibles incluent la prise en charge de l’exécution sous une identité réseau, la connexion par le biais PowerShell Direct, la copie de manière sécurisée de fichiers vers/depuis des points de terminaison JEA (Just Enough Administration) et la configuration de la console PowerShell pour un lancement dans un contexte JEA par défaut. Pour plus d’informations, voir Administration suffisante sur GitHub.

Protection des informations d’identification

La protection des informations d’identification utilise une sécurité basée sur la virtualisation pour isoler les secrets, afin que seuls les logiciels système privilégiés puissent y accéder. Consultez Protéger les informations d’identification de domaine dérivées avec CredentialGuard.

Protection des informations d’identification à distance

Protection des informations d’identification prend en charge les sessions RDP afin que les informations d’identification de l’utilisateur restent côté client et ne soient pas exposées côté serveur. Il fournit également l’authentification unique pour Bureau à distance. Consultez Protéger les informations d’identification de domaine dérivées avec Windows Defender Credential Guard.

Protection de périphérique (intégrité du code)

Protection de périphérique assure l’intégrité du code en mode noyau (KMCI) et en mode utilisateur (UMCI), en créant des stratégies qui spécifient le code exécutable sur le serveur. Consultez Introduction à Windows Defender Device Guard : Stratégies d’intégrité du code et de sécurité basée sur la virtualisation.

Windows Defender

Windows Defender Overview for Windows Server 2016 (Présentation de Windows Defender pour Windows Server 2016. Windows Server Antimalware est installé et activé par défaut dans Windows Server 2016, mais pas son interface utilisateur. Toutefois, Windows Server Antimalware va mettre à jour les définitions de logiciel anti-programme malveillant et protéger l'ordinateur sans l'interface utilisateur. Si vous avez besoin de l'interface utilisateur pour Windows Server Antimalware, vous pouvez l'installer après l'installation du système d'exploitation à l'aide de l'Assistant Ajout de rôles et de fonctionnalités.

Control Flow Guard

Protection de flux de contrôle est une fonctionnalité de sécurité de plateforme qui a été créée pour lutter contre les risques de corruption de mémoire. Pour plus d’informations, consultez Control Flow Guard (Protection du flux de contrôle).

Stockage

Dans Windows Server 2016, le Stockage inclut des nouveautés et des améliorations pour le stockage par logiciel, ainsi que pour les serveurs de fichiers traditionnels. Voici quelques-unes des nouveautés. Pour d’autres améliorations et d’autres détails, consultez What’s New in Storage in Windows Server 2016 (Nouveautés concernant le stockage dans Windows Server 2016).

Espaces de stockage directs

Les espaces de stockage direct permettent de créer un stockage à haute disponibilité et scalable en utilisant des serveurs avec un stockage local. Le déploiement et la gestion des systèmes de stockage défini par un logiciel sont simplifiés, et il est maintenant possible d’utiliser de nouvelles classes de périphériques de disque, comme SSD SATA et NVMe, ce qui ne pouvait pas se faire auparavant avec les espaces de stockage en cluster avec des disques partagés.

Pour plus d’informations, consultez Storage Spaces Direct (Espaces de stockage direct).

Réplica de stockage

Le réplica de stockage permet une réplication synchrone indépendante du stockage, au niveau du bloc, entre des clusters ou des serveurs pour la récupération d’urgence, ainsi que l’extension d’un cluster de basculement entre des sites. La réplication synchrone permet la mise en miroir des données dans des sites physiques avec des volumes cohérents en cas d’incident, ce qui garantit aucune perte de données au niveau du système de fichiers. La réplication asynchrone permet l’extension de site au-delà de plages métropolitaines avec la possibilité de perte de données.

Pour plus d’informations, consultez Storage Replica overview (Présentation du réplica de stockage).

Qualité de service de stockage

Vous pouvez maintenant utiliser la qualité de service (QoS) de stockage pour analyser de manière centralisée les performances de stockage de bout en bout et créer des stratégies de gestion avec Hyper-V et des clusters CSV dans Windows Server 2016.

Pour plus d’informations, consultez Storage Quality of Service (Qualité de service de stockage).

Clustering de basculement

Windows Server 2016 inclut de nombreuses nouvelles fonctionnalités et améliorations pour plusieurs serveurs regroupés dans un cluster à tolérance de panne, à l’aide de la fonctionnalité Clustering avec basculement. Certains des ajouts sont indiqués ci-dessous. Pour une liste plus complète, consultez What’s New in Failover Clustering in Windows Server 2016 (Nouveautés du clustering avec basculement dans Windows Server 2016.

Mise à niveau propagée de système d’exploitation de cluster

La mise à niveau propagée de système d’exploitation de cluster permet à un administrateur de mettre à niveau le système d’exploitation des nœuds de cluster Windows Server 2012 R2 vers Windows Server 2016, sans arrêter les charges de travail du serveur de fichiers avec scale-out ni Hyper-V. Avec cette fonctionnalité, les pénalités de temps d’arrêt sur les contrats de niveau de service peuvent être évitées.

Pour plus d’informations, consultez Cluster Operating System Rolling Upgrade (Mise à niveau propagée de système d’exploitation de cluster).

Témoin cloud

Dans Windows Server 2016, Témoin cloud est un nouveau type de témoin de quorum de cluster avec basculement, qui utilise Microsoft Azure comme point d’arbitrage. Comme les autres témoins de quorum, Témoin cloud dispose d’un vote et peut prendre part aux calculs de quorum. Vous pouvez le configurer comme témoin de quorum à l’aide de l’Assistant Configuration de quorum du cluster.

Pour plus d’informations, consultez Deploy a cloud witness for a Failover Cluster (Déployer un témoin cloud pour un cluster avec basculement).

Service de contrôle d'intégrité

Le service de contrôle d’intégrité améliore la surveillance, les opérations et la maintenance quotidiennes des ressources sur un cluster d’espaces de stockage direct.

Pour plus d’informations, consultez Health Service in Windows Server 2016 (Service de contrôle d’intégrité dans Windows Server 2016).

Développement d’applications

Services IIS (Internet Information Services) 10.0

Les nouvelles fonctionnalités fournies par le serveur web IIS 10.0 dans Windows Server 2016 sont notamment les suivantes :

• Prise en charge du protocole HTTP/2 dans la pile Gestion de réseau et intégration à IIS 10.0, ce qui permet aux sites web IIS 10.0 de traiter automatiquement les requêtes HTTP/2 pour les configurations prises en charge. Cette évolution apporte de nombreuses améliorations comparé à HTTP/1.1, comme une réutilisation plus efficace des connexions et une moindre latence, ce qui améliore les temps de chargement des pages web.
• Possibilité d’exécuter et de gérer IIS 10.0 dans Nano Server. Consultez IIS sur Nano Server.
• Prise en charge des en-têtes d’hôte génériques, permettant aux administrateurs de configurer un serveur web pour un domaine de manière à ce qu’il traite les requêtes de tout sous-domaine.
• Un nouveau module PowerShell (IISAdministration) pour la gestion des services IIS.

Pour plus d'informations, consultez IIS.

Distributed Transaction Coordinator (MSDTC)

Trois nouvelles fonctionnalités ont été ajoutées dans Microsoft Windows 10 et Windows Server 2016 :

• Une nouvelle interface pour la méthode Rejoin de Resource Manager peut être utilisée par un gestionnaire de ressources pour déterminer le résultat d’une transaction incertaine après le redémarrage d’une base de données en raison d’une erreur. Pour plus d’informations, consultez IResourceManagerRejoinable::Rejoin.

• La limite des noms de source de données (DSN) a été étendue de 256 octets à 3 072 octets. Pour plus d’informations, consultez IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate ou IDtcToXaMapper::RequestNewResourceManager.

• Suivi amélioré, qui vous permet de définir une clé de Registre de manière à inclure un chemin de fichier image dans le nom de fichier Tracelog pour simplifier l’identification du Tracelog à vérifier. Pour plus d’informations sur la configuration du suivi pour MSDTC, consultez Guide pratique pour activer le suivi de diagnostic pour MSDTC sur un ordinateur Windows.

Serveur DNS

Windows Server 2016 contient les mises à jour suivantes pour le serveur DNS (Domain Name System).

Stratégies DNS

Vous pouvez configurer des stratégies DNS pour spécifier la façon dont un serveur DNS répond aux requêtes DNS. Vous pouvez configurer les réponses DNS en fonction de l’adresse IP du client, de l’heure de la journée et de plusieurs autres paramètres. Les stratégies DNS peuvent activer le DNS qui prend en charge la géolocalisation, la gestion du trafic, l’équilibrage de charge, le DNS split-brain et d’autres scénarios. Pour plus d’informations, consultez le Guide de scénario de stratégie DNS.

RRL

Vous pouvez activer la limitation du taux de réponse (RRL) sur vos serveurs DNS pour empêcher les systèmes malveillants de les utiliser pour lancer une attaque par déni de service distribué (DDoS) sur un client DNS. La RRL empêche votre serveur DNS de répondre à trop de requêtes en même temps, ce qui le protège lors des scénarios où un botnet envoie plusieurs requêtes à la fois pour tenter d’interrompre les opérations du serveur.

Prise en charge de DANE

Vous pouvez utiliser l’authentification d'entités nommées basée sur le DNS (DANE) (RFC 6394 et RFC 6698) pour spécifier l’autorité de certification à partir de laquelle vos clients DNS doivent attendre des certificats pour les noms de domaine hébergés sur votre serveur DNS. Cela permet d’éviter les attaques de type attaque de l’intercepteur où un acteur malveillant corrompt un cache DNS et pointe un nom DNS vers sa propre adresse IP.

Prise en charge des enregistrements inconnus

Vous pouvez ajouter des enregistrements que le serveur DNS ne prend pas explicitement en charge à l’aide de la fonctionnalité d’enregistrement inconnu. Un enregistrement est inconnu lorsque le serveur DNS ne reconnaît pas son format RDATA. Windows Server 2016 prend en charge les types d’enregistrements inconnus (RFC 3597), ce qui vous permet d’ajouter des enregistrements inconnus aux zones de serveur DNS Windows au format filaire binaire. Le programme de résolution de mise en cache Windows peut déjà traiter des types d’enregistrements inconnus. Le serveur DNS Windows n’effectue pas de traitement spécifique à l’enregistrement pour les enregistrements inconnus, mais peut les envoyer en réponse aux requêtes qu’il reçoit.

Indicateurs racine IPv6

Le serveur DNS Windows inclut désormais des indications de racine IPv6 publiées par l’IANA (Internet Assigned Numbers Authority). La prise en charge des indications de racine IPv6 vous permet d’effectuer des requêtes Internet qui utilisent les serveurs racine IPv6 pour effectuer des résolutions de noms.

Prise en charge de Windows PowerShell

Windows Server 2016 inclut de nouvelles commandes que vous pouvez utiliser pour configurer DNS dans PowerShell. Pour plus d’informations, consultez le module DnsServer de Windows Server 2016 et le module DnsClient de Windows Server 2016.