Ezt a böngészőt már nem támogatjuk.
Frissítsen a Microsoft Edge-re, hogy kihasználhassa a legújabb funkciókat, a biztonsági frissítéseket és a technikai támogatást.
Ez a cikk a Windows Server 2016 néhány új funkcióját ismerteti, amelyek a legnagyobb valószínűséggel a legnagyobb hatással lesznek a kiadás használata során.
A virtualizálási terület a Windows Server tervezéséhez, üzembe helyezéséhez és karbantartásához szükséges virtualizálási termékeket és funkciókat tartalmazza az informatikai szakemberek számára.
A Win32 idő- és Hyper-V időszinkronizálási szolgáltatások fejlesztései miatt a fizikai és a virtuális gépek pontosabb időzítést érnek el. A Windows Server mostantól olyan szolgáltatásokat üzemeltethet, amelyek megfelelnek a közelgő előírásoknak, amelyek 1 ms pontosságot igényelnek az UTC-vel kapcsolatban.
Hyper-V hálózatvirtualizálás (HNV) a Microsoft frissített szoftveralapú hálózatkezelési (SDN) megoldásának alapvető építőeleme, és teljes mértékben integrálva van az SDN-verembe. A Windows Server 2016 a Hyper-V következő módosításait tartalmazza:
A Windows Server 2016 már tartalmaz egy programozható Hyper-V kapcsolót. A Microsoft hálózati vezérlője leküldi a HNV-szabályzatokat az egyes gazdagépeken futó gazdagépügynöknek az Open vSwitch Database Management Protocol (OVSDB), mint a déli határfelület (SBI) használatával. A Host Agent a VTEP-séma testreszabásával tárolja ezt a házirendet, és az összetett folyamatszabályokat a Hyper-V kapcsoló teljesítményoptimalizált folyamatmotorjába programozza. A Hyper-V kapcsoló folyamatmotorja ugyanaz, mint amelyet az Azure használ. A teljes SDN-verem a hálózati vezérlőn és a hálózati erőforrás-szolgáltatón keresztül is összhangban van az Azure-ral, így a teljesítménye összehasonlítható az Azure nyilvános felhőjével. A Microsoft folyamatmotorján belül a Hyper-V kapcsoló úgy van felszerelve, hogy az állapot nélküli és az állapotalapú folyamatszabályokat is kezelje egy egyszerű egyeztetési műveleti mechanizmuson keresztül, amely meghatározza, hogyan kell feldolgozni a csomagokat a kapcsolón belül.
A HNV mostantól támogatja a virtuális eXtensible Local Area Network (VXLAN) protokoll beágyazását. Az HNV MAC-cím terjesztési módban a VXLAN protokollt használja a Microsoft Network Controlleren keresztül, hogy a bérlői virtuális hálózati IP-címeket a fizikai aláfedő hálózati IP-címekre leképezze. Az NVGRE és VXLAN feladatlehelyezés támogatja a külső illesztőprogramokat a jobb teljesítmény érdekében.
A Windows Server 2016 tartalmaz egy szoftveres terheléselosztót (SLB), amely teljes mértékben támogatja a virtuális hálózati forgalmat és a HNV-vel való zökkenőmentes interakciót. A teljesítményt nyújtó folyamatmotor implementálja az SLB-t a v-Switch adatsíkban, majd a hálózati vezérlő vezérli a virtuális IP-cím (VIP) vagy a dinamikus IP-címek (DIP) leképezései esetében.
A HNV megfelelő L2 Ethernet-fejléceket implementál, hogy biztosítsa az iparági szabványoktól függő, harmadik féltől származó virtuális és fizikai berendezésekkel való együttműködést. A Microsoft biztosítja, hogy az összes továbbított csomag megfelelő értékekkel rendelkezzen az összes mezőben az együttműködés garantálása érdekében. A HNV-nek támogatnia kell a Jumbo Framest (MTU > 1780) a fizikai L2 hálózatban, hogy figyelembe vegyék az olyan beágyazási protokollok által bevezetett csomagterhelést, mint az NVGRE és a VXLAN. A Jumbo Frame támogatása biztosítja, hogy a HNV virtuális hálózathoz csatlakoztatott vendég virtuális gépek 1514 MTU-t tartsanak fenn.
Windows-tárolók támogatása teljesítménybeli fejlesztéseket, egyszerűsített hálózatkezelést és Windows 10-tárolók támogatását nyújt. További információ: Windows-konténerek dokumentációja és konténerek: Docker, Windows és trendek.
Hyper-V kompatibilis a Csatlakoztatott készenléti funkcióval. Ha az Hyper-V szerepkört olyan számítógépre telepíti, amely az Always On/Always Connected (AOAC) energiamodellt használja, most már konfigurálhatja a csatlakoztatott készenléti állapot használatára.
A különálló eszközök hozzárendelése lehetővé teszi, hogy egy virtuális gép (VM) közvetlen és kizárólagos hozzáférést biztosítson bizonyos PCIe hardvereszközökhöz. Ez a funkció megkerüli a Hyper-V virtualizálási veremet, aminek eredményeképpen gyorsabb hozzáférést biztosít. További információkért lásd: Különálló eszköz-hozzárendelés és Különálló eszköz-hozzárendelés – Leírás és háttér.
Hyper-V mostantól támogatja a BitLocker meghajtótitkosítást az operációs rendszer lemezeihez az 1. generációs virtuális gépeken. Ez a védelmi módszer lecseréli a virtuális megbízható platformmodulokat (TPM-eket), amelyek csak a 2. generációs virtuális gépeken érhetők el. A lemez visszafejtéséhez és a virtuális gép elindításához a Hyper-V gazdagépnek egy hitelesített védett infrastruktúra részének kell lennie, vagy rendelkeznie kell a virtuális gép egyik védőjének privát kulcsával. A kulcstárolóhoz 8-os verziójú virtuális gép szükséges. További információ: Virtuális gép verziójának frissítése Windows vagy Windows ServerHyper-V rendszerben.
A gazdagéperőforrás-védelem megakadályozza, hogy a virtuális gépek túl sok rendszererőforrást használjanak a túlzott aktivitási szint nyomon követésével. Ha a monitorozás szokatlanul magas tevékenységszintet észlel egy virtuális gépen, az szabályozza a virtuális gép által felhasznált erőforrások mennyiségét. Ezt a funkciót a Set-VMProcessor parancsmag futtatásával engedélyezheti a PowerShellben.
Most már használhatja a hot-add vagy hot-remove funkciót hálózati adapterek hozzáadásához vagy eltávolításához állásidő nélkül a 2. generációs Linux vagy Windows operációs rendszert futtató virtuális gépeken. Azt is beállíthatja, hogy mennyi memória legyen hozzárendelve egy virtuális géphez, miközben fut, még akkor is, ha nem engedélyezte a dinamikus memóriát az 1. és 2. generációs, Windows Server 2016-ot vagy újabb verziót vagy Windows 10-et vagy újabb verziót futtató virtuális gépeken.
Hyper-V Manager mostantól a következő funkciókat támogatja:
Alternatív hitelesítő adatok, amelyek lehetővé teszik, hogy más hitelesítő adatokat használjon Hyper-V Managerben egy másik Windows Server 2016 vagy Windows 10 távoli gazdagéphez való csatlakozáskor. Ezeket a hitelesítő adatokat a bejelentkezés megkönnyítése érdekében is mentheti.
Mostantól a Windows Server 2012 R2, a Windows Server 2012, a Windows 8.1 és a Windows 8 rendszert futtató gépeken is kezelheti a Hyper-V.
A Hyper-V Manager mostantól a WS-MAN protokollt használja a távoli Hyper-V gazdagépekkel való kommunikációhoz, amely lehetővé teszi a CredSSP, a Kerberos és az NTLM hitelesítést. Ha a CredSSP használatával csatlakozik egy távoli Hyper-V gazdagéphez, élő migrációt hajthat végre anélkül, hogy engedélyezné a korlátozott delegálást az Active Directoryban. WS-MAN megkönnyíti a gazdagépek távoli kezelésre való engedélyezését is. WS-MAN a 80-as porton keresztül csatlakozik, amely alapértelmezés szerint nyitva van.
A Windows-vendégek integrációs szolgáltatásainak frissítései mostantól a Windows Update-ben vannak elosztva. A szolgáltatók és a magánfelhő-gazdagépek lehetőséget adnak azokat a bérlőknek, akik a virtuális gépeket birtokolják, hogy maguk szabályozzák a frissítések alkalmazását. A Windows-bérlők mostantól egyetlen módszerrel frissíthetik virtuális gépeiket az összes legújabb frissítéssel. További információk arról, hogyan használhatják a Linux felhasználók az integrációs szolgáltatásokat, lásd: Támogatott Linux és FreeBSD virtuális gépek a Hyper-V számára a Windows Serveren és a Windows-n.
Fontos
Hyper-V a Windows Server 2016-hoz már nem tartalmazza a vmguest.iso képfájlt, mert már nincs rá szükség.
A 2. generációs virtuális gépeken futó Linux operációs rendszerek mostantól a Biztonságos rendszerindítás beállítás engedélyezésével indulhatnak el. A Windows Server 2016 gazdagépeken a biztonságos rendszerindítást támogató operációs rendszerek közé tartozik az Ubuntu 14.04 és újabb, a SUSE Linux Enterprise Server 12 és újabb, a Red Hat Enterprise Linux 7.0-s és újabb verziói, valamint a CentOS 7.0-s és újabb verziói. A virtuális gép első indítása előtt konfigurálnia kell, hogy a Microsoft UEFI tanúsítványszolgáltatót használja a Hyper-V Managerben, a Virtual Machine Managerben, vagy a Set-VMFirmware parancsmag futtatásával a PowerShellben.
A 2. generációs virtuális gépek és Hyper-V gazdagépek mostantól jelentősen több memóriát és virtuális processzort használhatnak. A korábbi verzióknál több memóriával és virtuális processzorral rendelkező gazdagépeket is konfigurálhat. Ezek a módosítások olyan forgatókönyveket támogatnak, mint például nagy memóriabeli adatbázisok futtatása online tranzakciófeldolgozáshoz (OLTP) és adattárházakhoz (DW) az e-kereskedelemhez. További információ: Windows Server 2016 Hyper-V nagyméretű virtuális gépek teljesítménye a memóriabeli tranzakciófeldolgozás során. Tudjon meg többet a verziókompatibilitásról és a támogatott maximális konfigurációkról a szakaszban – a virtuális gépek verziójának frissítése Windows vagy Windows Server esetén a Hyper-V részben, valamint a szakasz – tervezés a Hyper-V skálázhatósághoz a Windows Serveresetében.
A beágyazott virtualizálási funkcióval virtuális gépet használhat Hyper-V gazdagépként, és virtuális gépeket hozhat létre a virtualizált gazdagépen belül. Ezzel a funkcióval fejleszthet és tesztelhet legalább Windows Server 2016 vagy Windows 10 rendszerű, Intel VT-x-kompatibilis processzorral rendelkező fejlesztési és tesztelési környezeteket. További információ: Mi a beágyazott virtualizálás?.
Most már beállíthatja az éles ellenőrzőpontokat, hogy megfeleljenek az éles számítási feladatokat futtató virtuális gépek támogatási szabályzatainak. Ezek az ellenőrzőpontok biztonsági mentési technológián futnak a vendégeszközön a mentett állapot helyett. A Windows rendszerű virtuális gépek a Kötet-pislanatkép szolgáltatást (VSS) használják, míg a Linux rendszerű virtuális gépek kiürítik a fájlrendszer pufferét a fájlrendszerrel konzisztens ellenőrzőpontok létrehozásához. A mentési állapotok alapján továbbra is használhat ellenőrzőpontokat standard ellenőrzőpontok használatával. További információért lásd: Válasszon a Hyper-Vstandard vagy éles ellenőrzőpontjai között.
Fontos
Az új virtuális gépek alapértelmezett beállításként éles ellenőrzőpontokat használnak.
Most már átméretezheti a megosztott virtuális merevlemezeket (.vhdx fájlokat) a vendégfürtök állásidő nélküli fürtözéséhez. Vendégfürtökkel is megvédheti a megosztott virtuális merevlemezeket, ha Hyper-V replikát használ vészhelyreállításhoz. Ezt a funkciót csak olyan vendégfürtök gyűjteményeiben használhatja, amelyek esetén a replikációt a Windows Management Instrumentation (WMI) révén engedélyezte. További információ: Msvm_CollectionReplicationService osztály és virtuális merevlemez-megosztás áttekintése.
Megjegyzés
A gyűjtemények replikációjának kezelése PowerShell-parancsmagokkal vagy a WMI-felülettel nem lehetséges.
Egyetlen virtuális gép biztonsági mentésekor nem javasoljuk a virtuális gépek csoportja vagy a pillanatképek gyűjteményének használatát, függetlenül attól, hogy a gazdagép fürtözött-e vagy sem. Ezek a beállítások megosztott vhdxet használó vendégfürtök biztonsági mentésére szolgálnak. Ehelyett azt javasoljuk, hogy a Hyper-V WMI-szolgáltató (V2)használatával készítsen pillanatképet.
Mostantól védett Hyper-V virtuális gépeket hozhat létre, amelyek funkciói megakadályozzák a gazdagép Hyper-V rendszergazdáit vagy a rosszindulatú programokat abban, hogy megvizsgálják, illetéktelenül módosítsák, vagy ellopják az adatokat a védett virtuális gép állapotából. Az adatok és az állapot titkosítva vannak, hogy Hyper-V rendszergazdák ne láthassák a videokimenetet és az elérhető lemezeket. Korlátozhatja azt is, hogy a VM-ek csak olyan gazdagépeken fussanak, amelyeket a Host Guardian Server egészségesnek és megbízhatónak ítél. További információ: Védett háló és védett virtuális gépek áttekintése.
Megjegyzés
A védett virtuális gépek kompatibilisek Hyper-V replikával. Védett virtuális gép replikálásához engedélyeznie kell annak a gazdagépnek a védett virtuális gép futtatását, amelyre replikálni szeretné.
A fürtözött virtuális gépek indítási sorrendjének prioritása nagyobb mértékben szabályozza, hogy mely fürtözött virtuális gépek indulnak el vagy indulnak újra először. A kezdési sorrend prioritásának kiválasztása lehetővé teszi a szolgáltatásokat nyújtó virtuális gépek indítását, mielőtt elindítanák azokat a szolgáltatásokat használó virtuális gépeket. Definiálhat készleteket, adhat hozzá virtuális gépeket a készletekhez, és olyan PowerShell-parancsmagok használatával adhat meg függőségeket, mint New-ClusterGroupSet, Get-ClusterGroupSetés Add-ClusterGroupSetDependency.
A virtuálisgép-konfigurációs fájlok mostantól a .vmcx fájlkiterjesztési formátumot használják, míg a futtatókörnyezeti állapot adatfájljai a .vmrs fájlkiterjesztési formátumot használják. Ezek az új fájlformátumok hatékonyabb olvasást és írást szem előtt tartva lettek kialakítva. A frissített formátumok csökkentik az adatsérülés valószínűségét is, ha tárolóhiba történik.
Fontos
A .vmcx fájlnévkiterjesztés bináris fájlt jelöl. A Windows Server 2016 Hyper-V nem támogatja .vmcx vagy .vmrs fájlok szerkesztését.
Frissítettük a verziókompatibilitást az 5-ös verziójú virtuális gépekkel. Ezek a virtuális gépek kompatibilisek a Windows Server 2012 R2 és a Windows Server 2016 rendszerrel is. A Windows Server 2019-zel kompatibilis 5-ös verziójú virtuális gépek azonban csak a Windows Server 2016-on futhatnak, a Windows Server 2012 R2-n nem. Ha Windows Server 2012 R2 rendszerű virtuális gépet helyez át vagy importál a Windows Server egy későbbi verzióját futtató kiszolgálóra, manuálisan frissítenie kell a virtuális gép konfigurációját a Windows Server későbbi verzióinak funkcióinak használatához. További információért a verziókompatibilitásról és a frissített funkciókról lásd: Virtuális gép verziójának frissítése a Hyper-V Windows vagy Windows Serverrendszeren.
Most már használhat virtualizációalapú biztonsági funkciókat a 2. generációs virtuális gépekhez, például a Device Guardhoz és a Credential Guardhoz, hogy megvédje az operációs rendszert a kártevők elleni támadások ellen. Ezek a funkciók a 8- vagy újabb verziót futtató virtuális gépeken érhetők el. További információ: Virtuális gép verziójának frissítése Windows vagy Windows ServerHyper-V rendszerben.
Most már a Windows PowerShell Direct segítségével futtathat parancsmagokat, hogy a virtuális gépet a gazdagépről konfigurálja, ezáltal alternatívát nyújtva a VMConnect vagy a Távoli PowerShell használatához. A használat megkezdéséhez nem kell megfelelnie a hálózati vagy tűzfalkövetelményeknek, vagy speciális távfelügyeleti konfigurációval kell rendelkeznie. További információ: Windows rendszerű virtuális gépek kezelése a PowerShell Directhasználatával.
A Nano Server mostantól frissített modullal rendelkezik a Nano Server-rendszerképek készítéséhez, beleértve a fizikai gazdagép és a vendég virtuális gép funkcióinak elkülönítését, valamint a különböző Windows Server-kiadások támogatását. További információért lásd: A Nano Servertelepítése.
A helyreállítási konzol fejlesztései közé tartozik a bejövő és kimenő tűzfalszabályok elkülönítése, valamint a WinRM-konfiguráció javítása.
A Windows Server 2016 egy új Hyper-V-alapú védett virtuális gépet biztosít a 2. generációs virtuális gépek védelméhez egy sérült hálóval szemben. A Windows Server 2016-ban bevezetett funkciók között a következők találhatók:
Egy új titkosítást támogató mód, amely nagyobb védelmet nyújt, mint egy hagyományos virtuális gép, de kevesebbet, mint a védett mód, miközben támogatja a vTPM-et, a lemeztitkosítást, az élő migrációs forgalom titkosítását és más funkciókat, beleértve a közvetlen infrastruktúrafelügyeleti eszközöket, például a virtuális gépek konzolkapcsolatait és a PowerShell Direct használatát.
Teljes körű támogatás a meglévő, nem védett 2. generációs virtuális gépek védett virtuális gépekké alakításához, beleértve az automatizált lemeztitkosítást is.
Hyper-V Virtual Machine Manager mostantól megtekintheti azokat a hálókat, amelyeken egy védett virtuális gép futhat, így a háló rendszergazdája megnyithatja a védett virtuális gép kulcsvédőjét (KP), és megtekintheti azokat a hálókat, amelyeken a futtatás engedélyezett.
Módosíthatja az igazolási módokat egy futó Gazdagép-őrző szolgáltatásban. Most menet közben válthat a kevésbé biztonságos, de egyszerűbb Active Directory-alapú igazolás és a TPM-alapú igazolás között.
A Windows PowerShellen alapuló, teljes körű diagnosztikai eszköz, amely képes észlelni a védett Hyper-V gazdagépek és a Gazdagépőr szolgáltatás helytelen konfigurációit és hibáit.
Olyan helyreállítási környezet, amely lehetővé teszi a védett virtuális gépek biztonságos hibaelhárítását és javítását azon a hálón belül, amelyben általában futnak, miközben ugyanolyan szintű védelmet nyújt, mint maga a védett virtuális gép.
Gazdagépőr szolgáltatás támogatása a meglévő biztonságos Active Directory-hoz – irányíthatja a Gazdagépőr szolgáltatást, hogy egy meglévő Active Directory-erdőt használjon Active Directory-jaként ahelyett, hogy saját Active Directory-példányt hozna létre.
A védett virtuális gépek használatáról további információt és útmutatást Védett háló és védett virtuális gépekcímű témakörben talál.
Az Identity új funkciói javítják az Active Directory-környezetek védelmének képességét a szervezetek számára, és segítenek a csak felhőalapú és hibrid üzemelő példányokra való migrálásban, ahol egyes alkalmazásokat és szolgáltatásokat a felhőben üzemeltetnek, másokat pedig a helyszínen.
A Windows Server 2016 Active Directory tanúsítványszolgáltatásai (AD CS) növelik a TPM-kulcsigazolás támogatását: Mostantól az intelligens kártya KSP-jét használhatja a kulcsigazoláshoz, és a tartományhoz nem csatlakozó eszközök mostantól NDES-regisztrációval szerezhetnek be tanúsítványokat, amelyek igazolhatók a TPM-ben lévő kulcsok esetében.
A privilegizált hozzáférés-kezelés (PAM) segít enyhíteni a hitelesítő adatok ellopása által okozott Biztonsági problémákat az Active Directory-környezetekben, például a kivonatolást, az adathalászatot stb. Ezt az új felügyeleti hozzáférési megoldást a Microsoft Identity Manager (MIM) használatával konfigurálhatja, és a következő funkciókat mutatja be:
A MIM által kiépített megerősített Active Directory-erdő különleges PAM-megbízhatósággal rendelkezik egy meglévő erdővel. A Bastion-erdők egy új típusú Active Directory-környezet, amely nem tartalmaz rosszindulatú tevékenységet, mivel el vannak különítve a meglévő erdőktől, és csak a kiemelt fiókokhoz való hozzáférést teszik lehetővé.
A MIM új folyamatai rendszergazdai jogosultságok kéréséhez, beleértve a kérelmek jóváhagyására szolgáló új munkafolyamatokat is.
A MIM által a védett erdőben létrehozott új árnyék biztonsági elvek vagy csoportok rendszergazdai jogosultsági kérelmekre válaszul. Az árnyékbiztonsági csoportok rendelkeznek egy attribútummal, amely egy meglévő erdőben lévő felügyeleti csoport SID-ére hivatkozik. Ez lehetővé teszi, hogy az árnyékcsoport hozzáférés-vezérlési listák (ACL-ek) módosítása nélkül férhessen hozzá a meglévő erdők erőforrásaihoz.
Egy lejáró hivatkozások funkció, amely lehetővé teszi az árnyékcsoportok korlátozott idejű tagságát. Felhasználókat adhat hozzá a csoporthoz egy megadott ideig, amely lehetővé teszi számukra a felügyeleti feladatok elvégzését. A korlátozott időtartamú tagságot egy élettartam (TTL) érték konfigurálja, amely átterjed a Kerberos-jegy élettartamára.
Megjegyzés
A lejáró hivatkozások minden csatolt attribútumon elérhetők. A lejáró hivatkozások funkció használatához azonban a tag/tagOF közötti, egy csoport és egy felhasználó között csatolt attribútumkapcsolat csak a PAM-mal van előre beállítva.
A Kerberos-tartományvezérlő (KDC) beépített fejlesztései lehetővé teszik, hogy az Active Directory-tartományvezérlők a lehető legalacsonyabb TTL-értékre korlátozzák a Kerberos-jegy élettartamát, ha a felhasználók több korlátozott idejű tagsággal rendelkeznek a felügyeleti csoportokban. Ha például az Aidőkorlátos csoport tagja vagy, akkor a bejelentkezéskor a Kerberos-jegykiadó jegy (TGT) élettartama megegyezik azzal az idővel, amely még hátra van a Acsoportban. Ha csatlakozol egy másik időkorlátos csoporthoz, a B-hez, amelynek TTL értéke alacsonyabb, mint a A-é, akkor a TGT élettartama megegyezik azzal az idővel, amely még hátra van a Bcsoportban.
Új monitorozási képességek, amelyekkel azonosíthatja, hogy mely felhasználók kérték a hozzáférést, milyen hozzáférést kaptak a rendszergazdák, és milyen tevékenységeket végeztek bejelentkezéskor.
A PAM-ról további információt Privileged Access Management for Active Directory Domain Servicescímű témakörben talál.
A Microsoft Entra join javítja a vállalati, üzleti és oktatási ügyfelek identitáskezelési élményét, valamint továbbfejlesztett funkciókat biztosít a vállalati és személyes eszközökhöz.
A modern beállítások mostantól elérhetők a vállalati tulajdonban lévő Windows-eszközökön. Az alapvető Windows-képességek használatához már nincs szüksége személyes Microsoft-fiókra, és a megfelelőség biztosítása érdekében a meglévő felhasználói munkahelyi fiókok használatával futnak. Ezek a szolgáltatások a helyszíni Windows-tartományhoz csatlakoztatott számítógépeken és a Microsoft Entra-hoz csatlakoztatott eszközökön működnek. Ezek a beállítások a következők:
Roaming vagy személyre szabás, akadálymentességi beállítások és hitelesítő adatok
Biztonsági mentés és visszaállítás
Hozzáférés a Microsoft Store-hoz a munkahelyi fiókjával
Élő csempék és értesítések
Olyan szervezeti erőforrásokhoz férhet hozzá mobileszközökön, például telefonokon és táblagépeken, amelyek nem csatlakoztathatók Windows-tartományhoz, függetlenül attól, hogy vállalati tulajdonban vannak-e, vagy saját eszközt (BYOD) hoznak magukkal.
A Single-Sign On (SSO) használata az Office 365 és más szervezeti alkalmazások, webhelyek, és erőforrások esetében.
BYOD-eszközökön adjon hozzá munkahelyi fiókot egy helyszíni tartományból vagy az Azure AD-ből egy személyes tulajdonú eszközhöz. Az egyszeri bejelentkezéssel elérheti a munkahelyi erőforrásokat alkalmazásokon vagy a weben, miközben továbbra is megfelel az olyan új funkcióknak, mint a feltételes fiókvezérlés és az eszközállapot-igazolás.
A mobileszköz-kezelés (MDM) integrációja lehetővé teszi az eszközök automatikus regisztrációját a mobileszköz-felügyeleti (MDM) eszközre (Microsoft Intune vagy külső fél).
Kioszk mód és megosztott eszközök beállítása a szervezet több felhasználójához.
A fejlesztői élmény lehetővé teszi, hogy olyan alkalmazásokat hozzon létre, amelyek a vállalati és a személyes környezeteket is kiszolgálják egy megosztott programozási verem használatával.
A képalkotó lehetőség lehetővé teszi a képalkotás közötti választást, és lehetővé teszi, hogy a felhasználók közvetlenül az első futtatás során konfigurálják a vállalati tulajdonú eszközöket.
A Vállalati Windows Hello kulcsalapú hitelesítési módszer a jelszavakon túlmutató szervezetek és fogyasztók számára. Ez a hitelesítési forma olyan hitelesítő adatokra támaszkodik, amelyek ellenállnak a behatolásnak, a lopásnak és az adathalászatnak.
A felhasználó egy tanúsítványhoz vagy aszimmetrikus kulcspárhoz csatolt biometrikus vagy PIN-kóddal jelentkezik be az eszközre. Az identitásszolgáltatók (IDP-k) úgy ellenőrzik a felhasználót, hogy leképezik a felhasználó nyilvános kulcsát az IDLockerre, és egyszeri jelszóval (OTP) biztosítják a bejelentkezési adatokat telefonon vagy egy másik értesítési mechanizmuson keresztül.
További információ: Windows Hello for Business.
Bár a Fájlreplikációs szolgáltatás (FRS) és a Windows Server 2003 működési szintjei elavultak voltak a Windows Server korábbi verzióiban, szeretnénk emlékeztetni, hogy az AD DS már nem támogatja a Windows Server 2003-at. Távolítsa el a Windows Server 2003 rendszerű tartományvezérlőt a tartományból. A tartomány és az erdő működési szintjét is legalább Windows Server 2008-ra kell emelni.
A Windows Server 2008 és magasabb tartományi működési szinteken az AD DS elosztott fájlrendszerbeli replikációval replikálja a SYSVOL-mappa tartalmát a tartományvezérlők között. Ha a Windows Server 2008 tartomány működési szintjén vagy annál magasabb szinten hoz létre új tartományt, az elosztott fájlrendszer replikációs szolgáltatása automatikusan replikálja a SYSVOL mappát. Ha alacsonyabb működési szinten hozta létre a tartományt, áttérnie kell az FRS-ről a DFS replikációra a SYSVOL mappa esetében. További részletes áttelepítési lépésekért lásd: Telepítés, frissítés vagy migrálás Windows Server.
További információ:
A Windows Server 2016 Active Directory összevonási szolgáltatásai (AD FS) új funkciókat tartalmaznak, amelyek lehetővé teszik az AD FS konfigurálását az Lightweight Directory Access Protocol (LDAP) címtáraiban tárolt felhasználók hitelesítésére.
A webalkalmazás-proxy legújabb verziója olyan új funkciókra összpontosít, amelyek lehetővé teszik a közzétételt és az előhitelesítést több alkalmazás és jobb felhasználói élmény érdekében. Tekintse meg az új funkciók teljes listáját, amelyek elő-hitelesítést tartalmaznak a gazdag ügyfélalkalmazásokhoz, például az Exchange ActiveSync, és tartalmazzák a SharePoint-alkalmazások egyszerűbb közzétételét lehetővé tevő helyettesítő domain-eket is. További információért lásd a(z) Webalkalmazás-proxy a Windows Server 2016-ban.
A Felügyelet és automatizálás terület a Windows Server 2016-ot futtatni és kezelni kívánó informatikai szakemberek eszköz- és referenciainformációira összpontosít, beleértve a Windows PowerShellt is.
A Windows PowerShell 5.1 jelentős új funkciókat tartalmaz, többek között az osztályokkal való fejlesztés támogatását és az új biztonsági funkciókat, amelyek kibővítik a használatát, javítják annak használhatóságát, és lehetővé teszik a Windows-alapú környezetek egyszerűbb és átfogóbb felügyeletét. Részletekért tekintse meg WMF 5.1- új forgatókönyveit és funkcióit.
A Windows Server 2016 új kiegészítései közé tartozik a következők: a PowerShell.exe helyi futtatása a Nano Serveren (már nem csak távoli), új helyi felhasználók & csoportok parancsmagjai a grafikus felhasználói felület helyett, a PowerShell hibakeresési támogatása, valamint a Nano Server támogatása a biztonsági naplózáshoz & átíráshoz és a JEA-hoz.
Íme néhány további új felügyeleti funkció:
A Windows Management Framework 5 tartalmazza a Windows PowerShell Desired State Configuration (DSC), a Windows Remote Management (WinRM) és a Windows Management Instrumentation (WMI) frissítéseit.
A Windows Management Framework 5 DSC-funkcióinak tesztelésével kapcsolatos további információkért tekintse meg a PowerShell DSCfunkcióinak ellenőrzése
A Windows Server 2016 és a Windows 10 tartalmaz egy új PackageManagement szolgáltatást (korábbi nevén OneGet), amely lehetővé teszi, hogy az informatikai szakemberek vagy a DevOps automatizálják a szoftverfelderítést, telepítést és leltározást (SDII) helyileg vagy távolról, függetlenül attól, hogy milyen a telepítő technológia, és hol található a szoftver.
További információ: https://github.com/OneGet/oneget/wiki.
A feltört rendszerek kivizsgálásáért felelős csapatnak – más néven "kék csapatnak" – további PowerShell-naplózási és egyéb digitális kriminalisztikai funkciókat adtunk hozzá, és olyan funkciókat adtunk hozzá, amelyek segítenek csökkenteni a szkriptek biztonsági réseit, például a korlátozott PowerShellt és a biztonságos CodeGeneration API-kat.
További információért lásd a PowerShell ♥ a Kék csapaté blogbejegyzést.
A Hálózatkezelés terület a Windows Server 2016 tervezéséhez, üzembe helyezéséhez és karbantartásához szükséges hálózati termékekkel és szolgáltatásokkal foglalkozik.
Software-Defined Hálózatkezelés (SDN) egy új szoftveralapú adatközpont (SDDC) megoldás, amely a következő funkciókat tartalmazza:
Hálózati vezérlő, amely lehetővé teszi a hálózati infrastruktúra konfigurációjának automatizálását a hálózati eszközök és szolgáltatások manuális konfigurálása helyett. A hálózati vezérlő a JavaScript Object Notation (JSON) hasznos adatokkal rendelkező észak-kimenő interfészén a Reprezentációs állapotátvitelt (REST) használja. A hálózati vezérlő déli határfelülete open vSwitch Database Management Protocol (OVSDB) protokollt használ.
A Hyper-V új funkciói:
Hyper-V Virtuális kapcsoló, amely lehetővé teszi az elosztott váltás és útválasztás létrehozását, valamint a Microsoft Azure-ral összehangolt és kompatibilis szabályzatkényszerítési réteget. További információ: Hyper-V Virtual Switch.
Távoli közvetlen memóriahozzáférés (RDMA) és kapcsolóba ágyazott csapategyesítés (SET) virtuális kapcsolók létrehozásakor. Az RDMA-t Hyper-V virtuális kapcsolóhoz kötött hálózati adaptereken is beállíthatja, függetlenül attól, hogy már használja-e a SET-et. A SET hasonló képességeket adhat a virtuális kapcsolóknak, mint a hálózati adapterek összevonása. További információ: Gazdagép hálózati követelményei az Azure Helyi.
A virtuális gépek többsorosai (VMMQ-k) javítják a VMQ teljesítményét azáltal, hogy minden virtuális gép számára több hardveres sort rendelnek hozzá. Az alapértelmezett üzenetsor egy virtuális gép várólistáinak készletévé válik, és elterjeszti a forgalmat az üzenetsorok között.
A szoftveralapú hálózatok szolgáltatásminősége (QoS) az alapértelmezett forgalmi osztályt kezeli a virtuális kapcsolón keresztül az alapértelmezett osztály sávszélességén belül.
Hálózati függvényvirtualizálás (NFV), amellyel a hardveres berendezések által végrehajtott hálózati függvényeket tükrözheti vagy irányíthatja virtuális berendezésekhez, például terheléselosztókhoz, tűzfalakhoz, útválasztókhoz, kapcsolókhoz stb. A teljes SDN-vermet a System Center Virtual Machine Managerrel is üzembe helyezheti és kezelheti. Kezelheti a Windows Server tárolóhálózat-hálózatkezelését a Dockerrel, és SDN-szabályzatokat társíthat virtuális gépekhez és tárolókhoz is.
Egy adatközponti tűzfal, amely részletes hozzáférés-vezérlési listákat (ACL-eket) biztosít, lehetővé téve tűzfalszabályzatok alkalmazását a virtuális gép felületének vagy alhálózatának szintjén. További információ: Mi az adatközponti tűzfal?.
RAS Gateway, amely lehetővé teszi a virtuális hálózatok és a fizikai hálózatok közötti forgalmat, beleértve a helyek közötti VPN-kapcsolatokat a felhő adatközpontjából a bérlők távoli helyeire. A Border Gateway Protocol (BGP) lehetővé teszi a hálózatok közötti dinamikus útválasztás üzembe helyezését és biztosítását minden átjáróforgatókönyv esetében, beleértve az Internet Key Exchange 2-es verzióját (IKEv2) a helyek közötti virtuális magánhálózatokat (VPN-eket), a 3. rétegbeli (L3) VPN-eket és az általános útválasztási beágyazási (GRE) átjárókat. Az átjárók mostantól az átjárókészleteket és az M+N redundanciát is támogatják. További információ: Mi a távelérési szolgáltatás (RAS) átjárója a szoftveralapú hálózatkezeléshez?.
A szoftveres terheléselosztó (SLB) és a hálózati címfordítás (NAT) növeli az átviteli sebességet a közvetlen kiszolgálói visszatérés támogatásával. Ez lehetővé teszi, hogy a visszatérő hálózati forgalom megkerülje a terheléselosztási multiplexert, és egy észak-déli és kelet-nyugati 4. rétegbeli terheléselosztóval és NAT-tal érhető el. További információ: Mi az SDN-hez készült szoftveres terheléselosztó (SLB)? és hálózati funkcióvirtualizáció.
Rugalmas beágyazási technológiák, amelyek az adatsíkon működnek, és támogatják a Virtual Extensible LAN (VxLAN) és a Network Virtualization Generic Routing Encapsulation (NVGRE) szolgáltatást is.
További információ: Szoftveralapú hálózati infrastruktúra tervezése.
A Windows Server 2016 a következő felhőalapú méretezési alapismereteket tartalmazza:
Konvergens hálózati adapter (NIC), amely lehetővé teszi egyetlen hálózati adapter használatát a felügyelethez, a távoli közvetlen memória-hozzáféréshez (RDMA)-kompatibilis tároláshoz és a bérlői forgalomhoz. A konvergens hálózati adapterek csökkentik az adatközpont egyes kiszolgálóinak költségeit, mivel kevesebb hálózati adapterre van szükség a különböző típusú forgalom kiszolgálónkénti kezeléséhez.
A Közvetlen csomag nagy hálózati átviteli sebességet és alacsony késésű csomagfeldolgozási infrastruktúrát biztosít.
A Switch Embedded Teaming (SET) egy hálózati adapterek összevonási megoldása, amely a Hyper-V virtuális kapcsolóba van integrálva. A SET legfeljebb nyolc fizikai hálózati adapter egyetlen SET-csapatba való összevonását teszi lehetővé, amely javítja a rendelkezésre állást és feladatátvételt biztosít. A Windows Server 2016-ban olyan SET-csapatokat hozhat létre, amelyek a kiszolgálói üzenetblokk (SMB) és az RDMA használatára korlátozódnak. A SET csapatokkal hálózati forgalmat is eloszthat Hyper-V hálózatvirtualizáláshoz. További információért lásd a Helyi Azure-Gazdagéphálózati követelmények.
Az alapértelmezett kezdeti torlódási ablak (ICW) 4-ről 10-re nőtt, és a TCP Fast Open (TFO) implementálva lett. A TFO csökkenti a TCP-kapcsolat létrehozásához szükséges időt, és a megnövekedett ICW lehetővé teszi a nagyobb objektumok átvitelét a kezdeti megszakadás során. Ez a kombináció jelentősen csökkentheti az internetobjektumok ügyfél és felhő közötti átviteléhez szükséges időt.
Annak érdekében, hogy javuljon a TCP viselkedése a csomagvesztés utáni helyreállításkor, bevezettük a TCP Tail Loss Probe (TLP) és a Legutóbbi nyugtázás (RACK) elemet. A TLP segít az újraküldési időtúllépések gyors helyreállítássá alakításában, a RACK pedig csökkenti az elveszett csomagok újraküldéséhez szükséges időt.
A Dinamikus gazdakonfigurációs protokoll (DHCP) a következő módosításokat hajtja végre a Windows Server 2016-ban:
A Windows 10 2004-es verziójától kezdve, amikor Windows-ügyfelet futtat, és összekapcsolt Android-eszközzel csatlakozik az internethez, a kapcsolatok forgalmi díjasként lesznek megjelölve. Az egyes Windows-eszközökön MSFT 5.0 néven megjelenő hagyományos ügyfélszállító neve mostantól MSFT 5.0 XBOX.
A Windows 10 1803-as verziójától kezdve a DHCP-ügyfél mostantól beolvashatja és alkalmazhatja a 119. lehetőséget, a Tartománykeresési lehetőséget attól a DHCP-kiszolgálótól, amelyhez a rendszer csatlakozik. A domain keresési lehetőség emellett a rövid nevek DNS-lekérdezéseihez szükséges DNS-utótagokat is biztosítja. További információ: RFC 3397.
A DHCP mostantól támogatja a 82-et (5. albeállítás). Ezzel a beállítással engedélyezheti, hogy a DHCP-proxy-ügyfelek és a továbbítási ügynökök IP-címet kérjenek egy adott alhálózathoz. Ha a DHCP 82 beállítással (5. albeállítás) konfigurált DHCP-továbbítóügynököt használ, a továbbítóügynök ip-címbérletet kérhet a DHCP-ügyfelek számára egy adott IP-címtartományból. További információ: DHCP-alhálózat kijelölési beállításai.
Új naplózási események olyan esetekben, amikor a DNS-rekordregisztrációk sikertelenek a DNS-kiszolgálón. További információ: DNS-regisztrációk DHCP-naplózási eseményei.
A DHCP-kiszolgálói szerepkör már nem támogatja a Network Access Protectiont (NAP). A DHCP-kiszolgálók nem érvényesítik a NAP-házirendeket, és a DHCP-hatókörök nem kapcsolhatóak be a NAP funkcióval. Azok a DHCP-ügyfélszámítógépek, amelyek szintén NAP-ügyfelek, állapot-kimutatást (SoH) küldenek a DHCP-kéréssel. Ha a DHCP-kiszolgáló Windows Server 2016 rendszert futtat, a rendszer úgy dolgozza fel ezeket a kéréseket, mintha nincs soH. A DHCP-kiszolgáló normál DHCP-bérletet biztosít az ügyfélnek. Ha a Windows Server 2016-ot futtató kiszolgálók olyan Távoli Hitelesítési Betárcsázós Felhasználói Szolgáltatás (RADIUS) proxyk, amelyek a hitelesítési kérelmeket a NAP-t támogató hálózati házirend-kiszolgálónak (NPS) továbbítják, az NPS nem NAP-kompatibilisként értékeli ki ezeket az ügyfeleket, ami miatt a NAP-feldolgozás meghiúsul. További információt a NAP és a NAP megszűnéséről vagy elavulásáról a Windows Server 2012 R2eltávolított vagy elavult szolgáltatások című résznél talál.
A RAS-átjáró mostantól támogatja a nagy rendelkezésre állású általános útválasztási beágyazású (GRE) alagutakat a helyek közötti kapcsolatokhoz és az átjárók M+N redundanciáját. A GRE egy egyszerűsített bújtatási protokoll, amely a hálózati réteg protokolljainak széles skáláját foglalja magában az Internet Protocol internetes hálózaton keresztüli virtuális pont–pont kapcsolatokon belül. További információ: GRE Tunneling in Windows Server 2016.
Az IPAM a következő frissítéseket tartalmazza:
Továbbfejlesztett IP-címkezelés. Az IPAM továbbfejlesztett képességekkel rendelkezik olyan forgatókönyvekhez, mint az IPv4 /32 és az IPv6 /128 alhálózatok kezelése, valamint az IP-címblokkokban található ingyenes IP-cím alhálózatok és -tartományok megkeresése.
Most már futtathatja a Find-IpamFreeSubnet parancsmagot a foglaláshoz elérhető alhálózatok megkereséséhez. Ez a függvény nem foglalja le az alhálózatokat, csak a rendelkezésre állásukat jelenti. Alhálózat létrehozásához azonban a parancsmag kimenetét a Add-IpamSubnet parancsmagra is átirányíthatja. További információ: Find-IpamFreeSubnet.
A Find-IpamFreeRange parancsmag futtatásával megkeresheti az IP-blokkban elérhető IP-címtartományokat, az előtag hosszát és a kért alhálózatok számát. Ez a parancsmag nem foglalja le az IP-címtartományt, csak a rendelkezésre állásukat jelenti. A tartomány létrehozásához azonban a kimenetet a AddIpamRange parancsmagba is becsúszthatja. További információ: Find-IpamFreeRange.
Továbbfejlesztett DNS-szolgáltatáskezelés:
DNS-erőforrásrekordok gyűjtése nem DNSSEC DNS-kiszolgálókhoz.
Tulajdonságok és műveletek konfigurálása a nem DNSSEC-erőforrásrekordok összes típusán.
DNS-zónakezelés tartományhoz csatlakoztatott Active Directory- és fájlalapú DNS-kiszolgálókhoz. A DNS-zónák minden típusát kezelheti, beleértve az elsődleges, a másodlagos és a csonkzónákat is.
Feladatok indítása másodlagos és csonkazónákon, függetlenül attól, hogy előre- vagy visszafelé kereső zónákról van-e szó.
Szerepköralapú hozzáférés-vezérlés a rekordok és zónák támogatott DNS-konfigurációihoz.
Feltételes továbbítók
Integrált DNS-, DHCP- és IP-címkezelés (DDI). Most már megtekintheti az IP-címmel társított összes DNS-erőforrásrekordot az IP-címleltárban. Az IP-címek mutatórekordjait (PTR) is automatikusan tárolhatja, és kezelheti az IP-címek életciklusát a DNS- és DHCP-műveletek esetében is.
Több Active Directory-erdő támogatása. Az IPAM használatával több Active Directory-erdő DNS- és DHCP-kiszolgálóit is kezelheti, ha kétirányú megbízhatósági kapcsolat áll fenn azon erdő között, ahol telepítette az IPAM-et és az egyes távoli erdőket. További információ: Erőforrások kezelése több Active Directory-erdőben.
Az IP-használati adatok törlése funkcióval csökkentheti az IPAM-adatbázis méretét a régi IP-használati adatok törlésével. Adjon meg egy dátumot, és az IPAM törli az összes olyan adatbázis-bejegyzést, amely régebbi vagy egyenlő a megadott dátumnál. További információ: Kihasználtsági adatok törlése.
Mostantól szerepköralapú hozzáférés-vezérléssel (RBAC) definiálhatja az IPAM-objektumok hozzáférési hatóköreit a PowerShellben. További információ: lásd a Szerepköralapú hozzáférés-vezérlés kezelése Windows PowerShell-lel és az IP-címkezelő kiszolgáló parancsmagok a Windows PowerShellben.
További információ: IPAM-kezelése.
A Biztonság és biztonság terület Az informatikai szakemberek számára az adatközpontban és a felhőkörnyezetben üzembe helyezendő biztonsági megoldásokat és funkciókat tartalmazza. A Windows Server 2016 általános biztonságával kapcsolatos információkért lásd: Security and Assurance.
A Just Enough Administration a Windows Server 2016-ban olyan biztonsági technológia, amely lehetővé teszi a delegált felügyeletet minden olyan ügyben, amely a Windows PowerShell használatával kezelhető. A képességek közé tartozik a hálózati identitás alatt való futtatás támogatása, a PowerShell Directen keresztüli csatlakozás, a fájlok biztonságos másolása JEA-végpontokra vagy azok végpontjairól, valamint a PowerShell-konzol konfigurálása, hogy alapértelmezés szerint JEA-környezetben induljanak el. További információ: JEA a GitHubon.
A Credential Guard virtualizáláson alapuló biztonságot használ a titkos kódok elkülönítéséhez, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá hozzájuk. További információért lásd: Származtatott tartományi hitelesítő adatok védelme a Credential Guardo-on keresztül.
A Windows Server 2016 Credential Guard a következő frissítéseket tartalmazza a bejelentkezett felhasználói munkamenetekhez:
A Kerberos és a New Technology LAN Manager (NTLM) virtualizációalapú biztonságot használ a Kerberos és az NTLM titkos kulcsainak védelméhez a bejelentkezett felhasználói munkamenetekhez.
A Credential Manager virtualizációalapú biztonsággal védi a mentett tartományi hitelesítő adatokat. A bejelentkezett hitelesítő adatok és a mentett tartományi hitelesítő adatok nem továbbítódnak távoli gazdagépekhez a Távoli asztal használatával.
A Credential Guardot egységes bővíthető belső vezérlőprogram-illesztő (UEFI) zárolás nélkül is engedélyezheti.
A Credential Guard támogatja az RDP-munkameneteket, hogy a felhasználói hitelesítő adatok az ügyféloldalon maradjanak, és ne legyenek közzétéve a kiszolgáló oldalán. Ez egyszeri bejelentkezést is biztosít a távoli asztalhoz. További információkért lásd: A származtatott tartomány hitelesítő adatainak védelme a Windows Defender Credential Guarddal.
A Windows Server 2016 Remote Credential Guard a következő frissítéseket tartalmazza a bejelentkezett felhasználók számára:
A Remote Credential Guard megőrzi a Kerberos és az NTLM titkos kulcsait a bejelentkezett felhasználói hitelesítő adatokhoz az ügyféleszközön. A távoli gazdagéptől érkező hitelesítési kérések a hálózati erőforrások kiértékelésére, mivel a felhasználó megköveteli az ügyféleszköztől a titkos kulcsok használatát.
A Remote Credential Guard a távoli asztal használatakor védi a megadott felhasználói hitelesítő adatokat.
A tartományvédelemhez most már Active Directory-tartományra van szükség.
A Kerberos-ügyfelek most megkísérlik a nyilvános kulcsalapú bejelentkezések PKInit frissességi bővítményét.
A KDCs mostantól támogatja a PKInit freshness bővítményt. Alapértelmezés szerint azonban nem kínálják a PKInit freshness bővítményt.
További információért lásd: Kerberos ügyfél- és KDC támogatás az RFC 8070 PKInit frissességi kiterjesztéshez.
A Windows Server 2016 tartomány működési szintjétől (DFL) kezdődően a tartományvezérlők mostantól támogatják a csak nyilvános kulcshoz kötött felhasználók NTLM-titkos kulcsainak átforgatását. Ez a funkció nem érhető el a tartomány alacsonyabb működési szintjein (DFL-ekben).
Figyelmeztetés
Ha a 2016. november 8-i frissítés előtt engedélyezett tartományvezérlőt ad hozzá egy olyan tartományhoz, amely támogatja az NTLM-titkos kódok gördítését, a tartományvezérlő összeomlhat.
Új tartományok esetén ez a funkció alapértelmezés szerint engedélyezve van. Meglévő tartományok esetén konfigurálnia kell azt az Active Directory felügyeleti központban.
Az Active Directory felügyeleti központban kattintson a jobb gombbal a bal oldali panelen lévő tartományra, és válassza a Tulajdonságoklehetőséget. Jelölje be a jelölőnégyzetet a lejáró NTLM-titkok forgatásának engedélyezéséhez a bejelentkezéskor azon felhasználók számára, akiknek a Windows Hello for Business vagy az intelligens kártya használata szükséges az interaktív bejelentkezéshez. Ezután válassza OK lehetőséget a módosítás alkalmazásához.
A tartományvezérlők mostantól támogatják a hálózati NTLM engedélyezését, ha a felhasználó a Windows Server 2016 DFL-ben és újabb verziókban meghatározott tartományhoz csatlakoztatott eszközökre van korlátozva. Az elosztott fájlrendszerek (DFL) esetében ez a funkció nem érhető el, ha a rendszerek a Windows Server 2016-nál korábbi operációs rendszert futtatnak.
A beállítás konfigurálásához a hitelesítési házirendben válassza az NTLM hálózati hitelesítés engedélyezését akkor, amikor a felhasználó korlátozva van a kiválasztott eszközökre.
További információért lásd: Hitelesítési szabályzatok és hitelesítési szabályzatsilók.
A Device Guard kernel módú kódintegritást (KMCI) és felhasználói módú kódintegritást (UMCI) biztosít olyan szabályzatok létrehozásával, amelyek meghatározzák, hogy milyen kód futtatható a kiszolgálón. Lásd Bevezetés a Windows Defender Device Guard használatába: virtualizációalapú biztonsági és kódintegritási szabályzatok.
Windows Defender áttekintése a Windows Server 2016-hoz. A Windows Server Antimalware alapértelmezés szerint telepítve van és engedélyezve van a Windows Server 2016-ban, de a Windows Server Antimalware felhasználói felülete nincs telepítve. A Windows Server Antimalware azonban frissíti a kártevőirtó-definíciókat, és a felhasználói felület nélkül védi a számítógépet. Ha szüksége van a Windows Server Antimalware felhasználói felületére, a Szerepkörök és szolgáltatások hozzáadása varázslóval telepítheti azt az operációs rendszer telepítése után.
A Control Flow Guard (CFG) egy platformbiztonsági funkció, amelyet a memóriasérülési biztonsági rések elleni küzdelemre hoztak létre. További információért lásd Control Flow Guard.
Windows Server 2016- új funkciókat és fejlesztéseket tartalmaz a szoftveralapú tároláshoz és a hagyományos fájlkiszolgálókhoz.
A Közvetlen tárolóhelyek lehetővé teszik magas rendelkezésre állású és méretezhető tárolók kiépítését helyi tárolóval rendelkező kiszolgálók használatával. Leegyszerűsíti a szoftveralapú tárolórendszerek üzembe helyezését és kezelését, és lehetővé teszi új lemezeszközök, például SATA SSD-k és NVMe lemezeszközök használatát, amelyek korábban nem voltak elérhetők megosztott lemezekkel rendelkező fürtözött tárolóhelyeken.
További információ: Storage Spaces Direct.
A Storage Replica lehetővé teszi a kiszolgálók vagy fürtök közötti tároló-agnosztikus, blokkszintű, szinkron replikációt vészhelyreállítás céljából, és lehetővé teszi, hogy a feladatátvételi fürtöket kiterjessze a helyszínek között. A szinkron replikáció lehetővé teszi a fizikai helyeken lévő adatok tükrözését összeomláskonzisztens kötetekkel, így a fájlrendszer szintjén zéró adatvesztés biztosítható. Az aszinkron replikáció lehetővé teszi a telephely bővítését nagyvárosi területeken túl, az adatvesztés lehetőségével.
További információ: Tároló replikáció.
Mostantól a tárolási szolgáltatásminőség (QoS) használatával központilag figyelheti a végpontok közötti tárolási teljesítményt, és felügyeleti szabályzatokat hozhat létre a Windows Server 2016-ban Hyper-V és CSV-fürtök használatával.
További információ: Tárolási szolgáltatás minősége.
A Windows Server 2016 az alábbi új funkciókat tartalmazza az adatdeduplikációhoz.
A Windows Server 2016-tól kezdve az Adatdeduplikációs feladat folyamat mostantól több szálat is futtathat párhuzamosan, és több I/O-üzenetsort használ minden kötethez. Ez a változás csak az adatok több kisebb kötetre való felosztásával növeli a teljesítményt a korábban lehetséges szintekre. Ezek az optimalizálások az összes adatdeduplikációs feladatravonatkoznak, nem csak az optimalizálási feladatra. Az alábbi ábra bemutatja, hogyan változott a folyamat a Windows Server verziói között.
Ezeknek a teljesítménybeli fejlesztéseknek köszönhetően a Windows Server 2016-on az adatdeduplikáció akár 64 TB-os köteteken is nagy teljesítményt nyújt.
A Windows Server 2016-tól kezdve az adat-deduplikáció streamtérkép struktúrákat és egyéb fejlesztéseket használ az optimalizálási teljesítmény és a hozzáférési teljesítmény növelése érdekében. A deduplikációfeldolgozási folyamat a feladatátvételi forgatókönyvek után is folytathatja az optimalizálást ahelyett, hogy az elejétől kezdve újrakezdené. Ez a módosítás 1 TB-ig javítja a fájlok teljesítményét, így a rendszergazdák deduplikációs megtakarítást alkalmazhatnak a számítási feladatok nagyobb körére, például a biztonsági mentési számítási feladatokhoz társított nagy fájlokra.
A Nano Server egy fej nélküli üzembe helyezési lehetőség a Windows Server 2016-ban, amely sokkal kisebb rendszererőforrás-lábnyomot igényel, jelentősen gyorsabban indul el, és kevesebb frissítést és újraindítást igényel, mint a Windows Server Core üzembe helyezési lehetősége. A Nano Server teljes mértékben támogatja az adatdeduplikációt is. További információ a Nano Serverről: Container Base Images.
A Windows Server 2016-tól kezdve a virtualizált biztonsági mentési alkalmazások adatdeduplikációja rendkívül egyszerű. Ez a forgatókönyv mostantól egy előre definiált használati típus opció. Már nem kell manuálisan hangolnia a deduplikációs beállításokat, csak engedélyeznie kell a deduplikációt egy köteten, ugyanúgy, mint az általános célú fájlkiszolgáló és a virtuális asztali infrastruktúra (VDI) esetében.
Az adatdeduplikációt futtató Windows Server feladatátvevő fürtök olyan csomópontokat tartalmazhatnak, amelyek a Windows Server 2012 R2 vagy a Windows Server 2016 Adatdeduplikáció verzióit futtatják. Ez a vegyes módú fürtszolgáltatás teljes körű adathozzáférést biztosít az összes deduplikált kötethez a fürt működés közbeni frissítései során. Mostantól a Windows Server korábbi verzióit futtató fürtöken fokozatosan, állásidő nélkül állíthatja be az adatdeduplikációk későbbi verzióit.
Mostantól a Hyper-V-n is használhat működés közbeni frissítéseket. Gördülő Hyper-V fürt frissítéssel mostantól hozzáadhat egy Windows Server 2019 vagy Windows Server 2016 rendszerű csomópontot egy olyan Hyper-V fürthöz, amely Windows Server 2012 R2 rendszerű csomópontokat tartalmaz. Miután hozzáadta a Windows Server későbbi verzióját futtató csomópontot, állásidő nélkül frissítheti a fürt többi részét. A fürt Windows Server 2012 R2 szolgáltatási szinten fut, amíg nem frissíti a fürt összes csomópontját, majd a PowerShellben futtatja a Update-ClusterFunctionalLevel parancsot a fürt működési szintjének frissítéséhez. A működés közbeni frissítési folyamat működésével kapcsolatos részletesebb útmutatásért lásd fürt operációs rendszerének működés közbeni frissítési.
Megjegyzés
Windows 10 rendszeren a Hyper-V nem támogatja a feladatátvételi fürtözést.
A Windows 10-ben és a Windows Server 2016-ban az Active Directory Domain Services ügyfélkapcsolatai alapértelmezés szerint SYSVOL- és NETLOGON-megosztásokat használtak a tartományvezérlőkön. Ezek a kapcsolatok most már SMB-aláírást és kölcsönös hitelesítést igényelnek olyan szolgáltatások használatával, mint a Kerberos. Ha az SMB-aláírás és a kölcsönös hitelesítés nem érhető el, egy Windows 10 vagy Windows Server 2016 rendszerű számítógép nem fogja feldolgozni a tartományalapú csoportházirendeket és szkripteket. Ez a módosítás megvédi az eszközöket a köztes támadásoktól.
Megjegyzés
Ezeknek a beállításoknak a beállításjegyzék-értékei alapértelmezés szerint nem jelennek meg, de a korlátozási szabályok mindaddig érvényesek, amíg felül nem bírálja őket a csoportházirend vagy más beállításjegyzék-értékek szerkesztésével.
További információ a biztonsági fejlesztésekről: MS15-011: Biztonsági rés a csoportházirendben és MS15-011 & MS15-014: Csoportházirend megerősítése.
A Windows Server 2016 továbbfejlesztett változásértesítést biztosít, ha a Munkahelyi mappák kiszolgálója Windows Server 2016-ot futtat, a Munkahelyi mappák ügyfélprogram pedig Windows 10. Amikor a fájlmódosítások szinkronizálódnak a Munkahelyi mappák kiszolgálóval, a kiszolgáló azonnal értesíti a Windows 10-ügyfeleket, majd szinkronizálja a fájlmódosításokat.
A ReFS következő iterációja támogatja a nagy méretű, változatos számítási feladatokkal rendelkező tárolótelepítéseket, amelyek megbízhatóságot, rugalmasságot és méretezhetőséget biztosítanak az adatok számára.
A ReFS a következő fejlesztéseket vezeti be:
Új tárolási rétegbeli funkciók, amelyek gyorsabb teljesítményt és nagyobb tárkapacitást biztosítanak, beleértve a következőket:
Több rezilienciájú típus ugyanazon a virtuális lemezen, teljesítmény szintjén tükrözéssel és kapacitás szintjén paritással.
Nagyobb válaszkészség a változó munkakészletekre.
A virtuálisgép-műveletek, például a .vhdx ellenőrzőpont-egyesítési műveletek teljesítményének javítása érdekében blokk klónozást vezet be.
Egy új ReFS-ellenőrzési eszköz, amely segít helyreállítani a kiszivárgott tárterületet, és helyreállítani az adatokat a kritikus sérülésekből.
A Windows Server 2016 számos új funkciót és fejlesztést tartalmaz olyan kiszolgálók számára, amelyeket a Feladatátvételi Klaszterezés funkció használatával egyetlen, hibatűrő fürtbe csoportosítottak.
A fürt operációs rendszerének működés közbeni frissítése lehetővé teszi, hogy a rendszergazda a fürtcsomópontok operációs rendszerét Windows Server 2012 R2-ről Windows Server 2016-ra frissítse a Hyper-V vagy Scale-Out fájlkiszolgáló számítási feladatainak leállítása nélkül. Az állásidő miatti büntetéseket a szolgáltatási szintű megállapodások (SLA-k) keretében elkerülheti ezzel a funkcióval.
További információ: fürt operációs rendszerének működés közbeni frissítése.
A Cloud Witness a failover cluster kvórumának egy új típusa a Windows Server 2016-ban, amely a Microsoft Azure-t használja választottbírósági pontként. A Cloud Witness, mint bármely más kvórumtanúsító, szavazatot kap, és részt vehet a kvórumszámításokban. A Cloud Witness kvórum tanúként konfigurálható a Klaszter kvórum konfigurálása varázslóval.
További információért lásd: Cloud Witness üzembe helyezése egy feladatátvételi fürt számára.
A Windows Server 2016 megnövelt mértékű virtuális gépek számítási ellenálló képességét tartalmazza, hogy csökkentse a fürtön belüli kommunikációs problémákat a számítási fürtben. Ez a fokozott rugalmasság a következő frissítéseket tartalmazza:
Most már konfigurálhatja a következő beállításokat annak meghatározására, hogy a virtuális gépek hogyan viselkedjenek az átmeneti hibák során:
rugalmassági szint határozza meg, hogy az üzembe helyezés hogyan kezelje az átmeneti hibákat.
rugalmassági időszak határozza meg, hogy az összes virtuális gép mennyi ideig fusson elszigetelten.
A nem egészséges csomópontok karanténba kerülnek, és már nem csatlakozhatnak a klaszterhez. Ez a funkció megakadályozza, hogy a nem kifogástalan csomópontok negatívan befolyásolják a többi csomópontot és a teljes fürtöt.
További információ a számítási rugalmassági funkciókról: Virtuális gépek számítási rugalmassága a Windows Server 2016.
A Windows Server 2016 rendszerű virtuális gépek új tárolási rugalmassági funkciókat is tartalmaznak az átmeneti tárolási hibák kezeléséhez. A továbbfejlesztett rugalmasság segít megőrizni a bérlői virtuálisgép-munkamenetek állapotát tárkimaradás esetén. Amikor egy virtuális gép leválasztódik a mögöttes tárolóról, szünetel, és megvárja a tároló helyreállását. A szüneteltetett állapotban a virtuális gép megőrzi a tárolóhiba idején futó alkalmazások környezetét. A virtuális gép és a tároló közötti kapcsolat visszaállításakor a virtuális gép visszatér a futó állapotához. Ennek eredményeképpen a bérlői gép munkamenet-állapota megmarad a helyreállításkor.
Az új tárolási rugalmassági funkciók a vendégfürtökre is érvényesek.
A feladatátvevő fürtökkel kapcsolatos problémák diagnosztizálásához a Windows Server 2016 a következőket tartalmazza:
A fürt naplófájljainak számos fejlesztése, például az időzónaadatok és a DiagnosticVerbose napló, megkönnyíti a feladatátvételi fürtözés problémáinak elhárítását. További információ: Windows Server 2016 feladatátvevő fürt hibaelhárítási fejlesztései – Fürtnapló.
Az új típusú aktív memóriakép kiszűri a virtuális gépekhez lefoglalt memórialapok többségét, így a memory.dmp fájl sokkal kisebb, és egyszerűbben menthető vagy másolható. További információ: Windows Server 2016 feladatátvevő fürt hibaelhárítási fejlesztései – Aktív memóriakép.
A Windows Server 2016 helyérzékeny feladatátvevő fürtöket tartalmaz, amelyek lehetővé teszik a csomópontok csoportba rendezését kiterjesztett fürtökben a fizikai helyük alapján. A fürt helytudatossága javítja a fürt életciklusa során a kulcsfontosságú műveleteket, például a feladatátvételi viselkedést, az elhelyezési szabályzatokat, a csomópontok közötti szívverést és a kvórum viselkedését. További információkért lásd a helyérzékeny feladatátvevő fürtöket a Windows Server 2016 .
A Windows Server 2012 R2-ben és korábbi verzióiban fürt csak az ugyanahhoz a tartományhoz csatlakoztatott tagcsomópontok között hozható létre. A Windows Server 2016 lebontja ezeket a korlátokat, és lehetővé teszi, hogy Active Directory-függőségek nélkül hozzon létre feladatátvevő fürtöt. Most már a következő konfigurációkban hozhat létre feladatátvevő fürtöket:
Egytartományos fürtök, amelyek minden csomópontja ugyanahhoz a tartományhoz van csatlakoztatva.
Többtartományos fürtök, amelyek különböző tartományokhoz tartozó csomópontokkal rendelkeznek.
Munkacsoportfürtök, amelyek olyan csomópontokkal rendelkeznek, amelyek nem tartományhoz csatlakoztatott tagkiszolgálók vagy munkacsoportok.
További információért lásd: Munkacsoport- és többtartományos fürtök a Windows Server 2016-ban
A virtuális gépek terheléselosztása a feladatátvevő fürtszolgáltatás új funkciója, amely zökkenőmentesen egyenletesen osztja el a terhelést a virtuális gépeken a fürtön belül a csomópontok között. A szolgáltatás azonosítja a túlkiterhelt csomópontokat a virtuális gép memóriája és a csomópont cpu-kihasználtsága alapján. Ezután élőben migrálja a virtuális gépeket a túlkompatinált csomópontról a rendelkezésre álló sávszélességű csomópontokra. Beállíthatja, hogy a szolgáltatás milyen agresszíven egyensúlyozza a csomópontokat az optimális fürtteljesítmény és -kihasználtság biztosítása érdekében. A Terheléselosztás alapértelmezés szerint engedélyezve van a Windows Server 2016 Technical Preview rendszerben. A terheléselosztás azonban le van tiltva, ha az SCVMM dinamikus optimalizálása engedélyezve van.
A Virtuális Gép Indítási Sorrendje a feladatátvételi fürtszolgáltatás új funkciója, amely indítási sorrend vezénylést vezet be a fürt virtuális gépei és más csoportjai számára. A virtuális gépeket most már rétegekbe csoportosíthatja, majd létrehozhat kezdőrend-függőségeket a különböző szintek között. Ezek a függőségek biztosítják, hogy a legfontosabb virtuális gépek, például a tartományvezérlők vagy a segédprogram virtuális gépek indulnak el először. Csak azután indulnak el az alacsonyabb prioritású szinten lévő virtuális gépek, miután azoktól függő virtuális gépek elindultak.
A feladatátvételi fürthálózatok már nem korlátozódnak egyetlen hálózati adapterre (NIC) alhálózatonként vagy hálózatonként. Egyszerűsített kiszolgálói üzenetblokk (SMB) többcsatornás és több hálózati adapteres fürthálózatok esetén a hálózati konfiguráció automatikus, és az alhálózat minden hálózati adaptere használható a fürt- és számítási feladatok forgalmához. Ez a fejlesztés lehetővé teszi az ügyfelek számára, hogy maximalizálják a Hyper-V, az SQL Server feladatátvevő fürtpéldánya és más SMB számítási feladatok hálózati átviteli sebességét.
További információ: egyszerűsített SMB többcsatornás és több hálózati adapteres fürthálózatok.
A Windows Server 2016-ban az IIS 10.0 webkiszolgáló által biztosított új funkciók a következők:
További információ: IIS.
A Microsoft Windows 10 és a Windows Server 2016 három új funkcióval bővül:
A Resource Manager újracsatlakozásának új felületét használhatja egy erőforrás-kezelő, hogy megállapítsa a kételyben lévő tranzakció kimenetelét, miután egy adatbázis egy hiba miatt újraindult. Részletekért lásd IResourceManagerRejoinable::Rejoin.
A DSN-névkorlát 256 bájtról 3072 bájtra bővül. Részletekért lásd: IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreatevagy IDtcToXaMapper::RequestNewResourceManager.
Továbbfejlesztett nyomkövetés, amely lehetővé teszi, hogy egy beállításkulcs képfájl elérési útját tartalmazza a Tracelog-fájl nevében, hogy megállapíthassa, melyik Tracelog-fájlt kell ellenőriznie. Az MS DTC diagnosztikai nyomkövetésének engedélyezése Windows-alapú számítógépen az MSDTC nyomkövetésének konfigurálásával kapcsolatos részletekért lásd:
A Windows Server 2016 a következő frissítéseket tartalmazza a DNS-kiszolgálóhoz.
A DNS-szabályzatok konfigurálhatók úgy, hogy megadják, hogyan reagál a DNS-kiszolgáló a DNS-lekérdezésekre. A DNS-válaszokat az ügyfél IP-címe, a nap időpontja és számos más paraméter alapján konfigurálhatja. A DNS-szabályzatok lehetővé teszik a helyérzékeny DNS-t, a forgalomkezelést, a terheléselosztást, a megosztott agyi DNS-t és más forgatókönyveket. További információ: DNS-szabályzat forgatókönyvének útmutatója.
Engedélyezheti a válaszsebesség-korlátozást (RRL) a DNS-kiszolgálókon, így megakadályozhatja, hogy a rosszindulatú rendszerek a DNS-kiszolgálókat használva kezdeményezzék az elosztott szolgáltatásmegtagadási (DDoS) támadást egy DNS-ügyfél ellen. Az RRL megakadályozza, hogy a DNS-kiszolgáló egyszerre túl sok kérésre válaszoljon, ami védelmet nyújt olyan helyzetekben, amikor egy botnet egyszerre több kérést küld a kiszolgálóműveletek megzavarására.
Az elnevezett entitások (DANE) DNS-alapú hitelesítésének (RFC 6394 és RFC 6698) használatával megadhatja, hogy a DNS-ügyfelek mely hitelesítésszolgáltatótól várják a DNS-kiszolgálón üzemeltetett tartománynevek tanúsítványait. Ez megakadályozza az olyan közbeékelődéses támadást, amikor egy rosszindulatú szereplő megsérti a DNS-gyorsítótárat, és a DNS-nevet a saját IP-címére irányítja át.
Az ismeretlen rekordfunkcióval olyan rekordokat adhat hozzá, amelyeket a DNS-kiszolgáló nem támogat explicit módon. A rekord ismeretlen, ha a DNS-kiszolgáló nem ismeri fel az RDATA formátumát. A Windows Server 2016 támogatja az ismeretlen rekordtípusokat (RFC 3597), így ismeretlen rekordokat adhat hozzá a Windows DNS-kiszolgáló zónáihoz bináris vezetékes formátumban. A windowsos gyorsítótárazási feloldó már képes feldolgozni az ismeretlen rekordtípusokat. A Windows DNS-kiszolgáló nem végez rekordspecifikus feldolgozást ismeretlen rekordok esetében, de a kapott lekérdezésekre válaszul elküldheti őket.
A Windows DNS-kiszolgáló mostantól tartalmazza az Internet Assigned Numbers Authority (IANA) által közzétett IPv6-gyökérmutatókat. Az IPv6-gyökérmutatók támogatása lehetővé teszi, hogy az IPv6-gyökérkiszolgálókat használó internetes lekérdezések névfeloldásokat hajtsanak végre.
A Windows Server 2016 új parancsokat tartalmaz a DNS PowerShellben való konfigurálásához. További információ: Windows Server 2016 DnsServer modul és Windows Server 2016 DnsClient modul.
Dns-kiszolgálókat helyezhet üzembe a Windows Server 2016-ban Nano Server-lemezképen. Ez az üzembe helyezési lehetőség fájlalapú DNS használata esetén érhető el. Ha DNS-kiszolgálót futtat egy Nano Server-lemezképen, a DNS-kiszolgálókat csökkentett lábnyommal, gyors indítással és minimális javítással futtathatja.
Megjegyzés
Az Active Directory integrált DNS nem támogatott a Nano Serveren.
A DNS-ügyfélszolgáltatás mostantól továbbfejlesztett támogatást nyújt az egynél több hálózati adapterrel rendelkező számítógépek számára.
A többhelyes számítógépek DNS-ügyfélszolgáltatás-kötést is használhatnak a kiszolgálófeloldás javítása érdekében:
Ha egy adott felületen konfigurált DNS-kiszolgálót használ egy DNS-lekérdezés feloldásához, a DNS-ügyfél a lekérdezés elküldése előtt kapcsolódik a felülethez. Ezzel a kötéssel a DNS-ügyfél megadhatja a névfeloldás helyét, optimalizálva az alkalmazások és a DNS-ügyfél közötti kommunikációt a hálózati adapteren keresztül.
Ha a használt DNS-kiszolgálót egy csoportházirend-beállítás jelölte ki a Névfeloldási házirend táblából (NRPT), a DNS-ügyfélszolgáltatás nem kapcsolódik a megadott felülethez.
Megjegyzés
A Windows 10 DNS-ügyfélszolgáltatásának módosításai a Windows Server 2016-ot és újabb verziót futtató számítógépeken is megjelennek.
A Távoli asztali szolgáltatások (RDS) a következő módosításokat hajtotta végre a Windows Server 2016-ra vonatkozóan.
Az RDS és a Windows Server 2016 számos Windows 10-alkalmazással kompatibilis, és olyan felhasználói élményt hoz létre, amely szinte megegyezik a fizikai asztaléval.
A Távoli Asztali (RD) Kapcsolatközvetítő mostantól egy megosztott Azure Strukturált Lekérdezési Nyelv (SQL) adatbázisában tárolhatja az összes telepítési információt, például a kapcsolatállapotokat és a felhasználói gazdagép-leképezéseket. Ez a funkció lehetővé teszi, hogy magas rendelkezésre állású környezetet használjon anélkül, hogy SQL Server Always On rendelkezésre állási csoportot kellene használnia. További információ: Az Azure SQL DB használata a távoli asztali kapcsolatszervező magas rendelkezésre állású környezetéhez.
A különálló eszköz-hozzárendelés a(z) Hyper-V számára lehetővé teszi, hogy a gazdagépen található grafikus feldolgozóegységeket (GPU-kat) közvetlenül egy virtuális géphez (VM) rendelje hozzá. A virtuális gép minden olyan alkalmazása, amely több GPU-t igényel, mint a virtuális gép, használhatja helyette a megfeleltetett GPU-t. Továbbfejlesztettük a RemoteFX vGPU-t is, beleértve az OpenGL 4.4, az OpenCL 1.1, a 4K felbontás és a Windows Server rendszerű virtuális gépek támogatását. További információért lásd: Különálló eszköz-hozzárendelés.
Javítottuk, hogy az RD Connection Broker hogyan kezeli a kapcsolatokat a bejelentkezési viharok alatt, amelyek a felhasználóktól érkező nagyszámú bejelentkezési kérelem időszakai. A RD Connection Broker mostantól több mint 10 000 egyidejű bejelentkezési kérelmet képes kezelni! A karbantartási fejlesztések megkönnyítik a karbantartást a telepítésén, mivel gyorsan hozzáadhat kiszolgálókat a környezethez, amint készen állnak arra, hogy újra online legyenek. További információért lásd: Javított távoli asztali kapcsolati közvetítő teljesítmény.
A Remote Desktop Protocol (RDP) 10 mostantól a H.264/AVC 444 kodeket használja, amely a videó és a szöveg között is optimalizál. Ez a kiadás a toll távvezérlési támogatását is tartalmazza. Ezek az új képességek lehetővé teszik, hogy a távoli munkamenet jobban hasonlíthasson egy helyi munkamenetre. További információért lásd: RDP 10 AVC/H.264 fejlesztések Windows 10 és Windows Server 2016.
A személyes munkamenet asztalai egy új funkció, amellyel saját személyes asztalt üzemeltethet a felhőben. A rendszergazdai jogosultságok és a dedikált munkamenet-gazdagépek megszüntetik az olyan üzemeltetési környezetek összetettségét, ahol a felhasználók egy távoli asztalt, például egy helyi asztalt szeretnének kezelni. További információ: Személyes munkamenet asztalai.
A Windows Server 2016 a Kerberos-hitelesítés alábbi frissítéseit tartalmazza.
A kulcsterjesztési központok (KDC-k) mostantól támogatják a nyilvános kulcsleképezést. Ha nyilvános kulcsot hoz létre egy fiókhoz, a KDC kifejezetten támogatja a Kerberos PKInit használatát. Mivel nincs tanúsítványérvényesítés, a Kerberos támogatja az önaláírt tanúsítványokat, de nem támogatja a hitelesítési mechanizmus biztosítását.
A Kulcsmegbízhatóság használatára konfigurált fiókok a UseSubjectAltName beállítás konfigurálásának módjától függetlenül csak a Kulcsmegbízhatóságot fogják használni.
A Windows 10 1607-es és Windows Server 2016-os verziójától kezdve a Kerberos-ügyfelek használhatják a RFC 8070 PKInit freshness bővítményt a nyilvános kulcsalapú bejelentkezésekhez. A KDC-k alapértelmezés szerint letiltják a PKInit frissesség-bővítményt, ezért annak engedélyezéséhez konfigurálnia kell a PKInit Freshness Extension KDC felügyeleti sablonszabályzatának KDC-támogatását a tartomány összes tartományvezérlőjén.
A szabályzat a következő beállításokkal rendelkezik, ha a tartomány a Windows Server 2016 tartomány működési szintjén (DFL) van:
Ha egy tartományhoz csatlakoztatott eszköz regisztrálhatja a kötött nyilvános kulcsát Egy Windows Server 2016 tartományvezérlővel (DC), akkor az eszköz Kerberos PKInit-hitelesítéssel hitelesítheti a nyilvános kulccsal egy Windows Server 2016 tartományvezérlőn.
A Windows Server 2016 tartományvezérlővel csatlakoztatott eszközök, amelyek regisztrált kötött nyilvános kulcsokkal rendelkeznek, mostantól a Kerberos Nyilvános Kulcsú Titkosítással (PKInit) végezhetnek hitelesítést egy Windows Server 2016 tartományvezérlőn. További információért nézze meg a tartományhoz csatlakoztatott eszközök nyilvános kulcsú hitelesítését.
A kulcsterjesztési központok (KDC-k) mostantól támogatják a Kerberos kulcsmegbízhatóságot használó hitelesítést.
További információkért lásd: a Kulcsmegbízhatóság fiókleképezésénekKDC-támogatása.
A Windows 10 1507-es és a Windows Server 2016-os verziójától kezdve konfigurálhatja a Kerberos-ügyfeleket az IPv4- és IPv6-gazdagépnevek támogatására spN-ekben. További információ: Kerberos konfigurálása IP-címekhez.
Az IP-cím gazdagépneveinek spN-ben való támogatásának konfigurálásához hozzon létre egy TryIPSPN-bejegyzést. Ez a bejegyzés alapértelmezés szerint nem létezik a beállításjegyzékben. Ezt a bejegyzést a következő elérési útra kell helyeznie:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
A bejegyzés létrehozása után módosítsa a DWORD értékét 1-re. Ha ez az érték nincs konfigurálva, a Kerberos nem kísérli meg az IP-cím gazdagépneveket.
A Kerberos-hitelesítés sikeres, ha az SPN regisztrálva van az Active Directoryban.
A tartományvezérlők mostantól támogatják a kulcsmegbízhatósági fiók leképezését és a meglévő AltSecID- és egyszerű felhasználónévre (UPN) való visszalépést a SAN viselkedésében. A UseSubjectAltName változót a következő beállításokra konfigurálhatja:
A változó 0 értékre állítása explicit leképezést tesz szükségessé. A felhasználóknak kulcsmegbízhatóságot kell használniuk, vagy explicitAltSecID változót kell beállítaniuk.
Ha a változót 1 értékre állítja, amely az alapértelmezett érték, implicit leképezést tesz lehetővé.
Ha a Windows Server 2016-ban vagy újabb rendszerben konfigurál egy fiók kulcsmegbízhatóságát, akkor a KDC a KeyTrustt használja a leképezéshez.
Ha nincs UPN a SAN-ban, a KDC megpróbálja az AltSecID-t használni a leképezéshez.
Ha van egy UPN a SAN-ban, a KDC megpróbálja az UPN-t használni a leképezéshez.
A Windows Server 2016 AD FS szolgáltatása a következő frissítéseket tartalmazza.
Az AD FS 2016 az AD FS többtényezős hitelesítési (MFA) képességeire épül a Windows Server 2012 R2 rendszerben. Mostantól engedélyezheti a bejelentkezést, amelyhez felhasználónév vagy jelszó helyett csak Egy Microsoft Entra többtényezős hitelesítési kód szükséges.
Ha a Microsoft Entra többtényezős hitelesítést állítja be elsődleges hitelesítési módszerként, az AD FS kéri a felhasználót a felhasználónév és az egyszeri jelszó (OTP) kód megadására az Azure Authenticator alkalmazásból.
Ha a Microsoft Entra többtényezős hitelesítést másodlagos vagy extra hitelesítési módszerként konfigurálja, a felhasználó elsődleges hitelesítési hitelesítő adatokat biztosít. A felhasználók a Windows integrált hitelesítésével jelentkezhetnek be, amely kérheti a felhasználónevüket és a jelszavukat, az intelligens kártyájukat, vagy egy felhasználó- vagy eszköztanúsítványt. A következő lépésben a felhasználó a másodlagos hitelesítő adataira ( például szövegre, hangra vagy OTP-alapú Microsoft Entra multifaktoros hitelesítési bejelentkezésre) vonatkozó kérést lát.
Az új beépített Microsoft Entra többtényezős hitelesítési adapter egyszerűbb beállítást és konfigurációt biztosít a Microsoft Entra többtényezős hitelesítéshez az AD FS használatával.
A szervezetek a Microsoft Entra többtényezős hitelesítést anélkül használhatják, hogy helyszíni Microsoft Entra többtényezős hitelesítési kiszolgálóra van szükségük.
A Microsoft Entra többtényezős hitelesítést konfigurálhatja intranethez, extranethez vagy bármely hozzáférés-vezérlési szabályzat részeként.
Az AD FS-sel történő többtényezős Microsoft Entra-hitelesítéssel kapcsolatos további információkért lásd Az AD FS 2016 és a Microsoft Entra többtényezős hitelesítésének konfigurálása.
Az AD FS 2016 a korábbi eszközregisztrációs képességekre épül, amelyek lehetővé teszik a bejelentkezést és a hozzáférés-vezérlést az eszközökön a megfelelőségi állapotuk alapján. A felhasználók az eszköz hitelesítő adataival jelentkezhetnek be, és az AD FS újraértékeli a megfelelőséget, amikor az eszközattribútumok módosulnak, hogy a szabályzatok érvénybe lépjenek. Ez a funkció a következő szabályzatokat teszi lehetővé:
Csak felügyelt és/vagy megfelelő eszközökről engedélyezze az Accesst.
Az Extranet Access engedélyezése csak felügyelt és/vagy megfelelő eszközökről.
Többtényezős hitelesítés megkövetelése olyan számítógépek esetében, amelyek nem felügyeltek vagy nem megfelelőek.
Az AD FS a feltételes hozzáférési szabályzatok helyszíni összetevőjét biztosítja hibrid forgatókönyvekben. Ha eszközöket regisztrál az Azure AD-ben a felhőbeli erőforrásokhoz való feltételes hozzáféréshez, az eszközidentitást is használhatja az AD FS-szabályzatokhoz.
Az eszközalapú feltételes hozzáférés felhőbeli használatáról további információt az Azure Active Directory feltételes hozzáférés című témakörben talál.
Az eszközalapú feltételes hozzáférés AD FS-sel való használatáról további információt az Eszközalapú feltételes hozzáférés tervezése AD FS-sel és az Hozzáférés-vezérlési szabályzatok az AD FS-bencímű részekben talál.
A Windows 10-eszközök bevezetik a Windows Hello és a Windows Hello vállalati verziót, és a felhasználói jelszavakat olyan erős, eszközhöz kötött felhasználói hitelesítő adatokra cserélik, amelyeket a felhasználó kézmozdulata véd, például PIN-kód megadását, biometrikus kézmozdulatot, például ujjlenyomatot vagy arcfelismerést. A Windows Hello használatával a felhasználók jelszó nélkül jelentkezhetnek be az AD FS-alkalmazásokba intranetről vagy extranetről.
További információ a Windows Hello vállalati verzió szervezeten belüli használatáról: A Windows Hello vállalati verzió engedélyezése a szervezetben.
Az AD FS 2016 támogatja a legújabb modern protokollokat, amelyek jobb felhasználói élményt nyújtanak a Windows 10 és a legújabb iOS és Android rendszerű eszközök és alkalmazások számára.
További információ: Fejlesztőknek készült AD FS-forgatókönyvek.
Korábban az AD FS rendszergazdáinak az AD FS jogcímszabályának nyelvével kellett konfigurálnia a szabályzatokat, ami megnehezítette a szabályzatok konfigurálását és karbantartását. A hozzáférés-vezérlési szabályzatokkal a rendszergazdák beépített sablonokkal alkalmazhatják a gyakori szabályzatokat. Sablonokkal például a következő szabályzatokat alkalmazhatja:
Csak intranetes hozzáférés engedélyezése.
Engedélyezze mindenki számára a hozzáférést, és az extraneten keresztül követelje meg az MFA-t.
Engedélyezzen mindenkit, és követelje meg az MFA-t egy adott csoporttól.
A sablonok könnyen testre szabhatók. További kivételeket vagy szabályzatszabályokat alkalmazhat, és ezeket a módosításokat egy vagy több alkalmazásra alkalmazhatja a következetes szabályzatkényszerítés érdekében.
További információért lásd: hozzáférés-vezérlési szabályzatok az AD FS.
Számos szervezet kombinálja az Active Directoryt külső címtárakkal. Az AD FS támogatása az Lightweight Directory Access Protocol (LDAP) v3-kompatibilis címtárakban tárolt felhasználók hitelesítéséhez azt jelenti, hogy mostantól használhatja az AD FS-t a következő esetekben:
Harmadik féltől származó felhasználók, LDAP v3-kompatibilis címtárak.
Azok az Active Directory-erdőkben lévő felhasználók, amelyek nem rendelkeznek konfigurált Kétirányú Active Directory-megbízhatósági kapcsolatmal.
Az Active Directory Lightweight Directory Services (AD LDS) felhasználói.
További információ: Az AD FS konfigurálása LDAP-címtárakban tárolt felhasználók hitelesítéséhez.
Korábban az AD FS a Windows Server 2012 R2-ben általános bejelentkezési élményt nyújtott az összes függő entitásalkalmazáshoz, így alkalmazásonként testre szabhatja a szövegalapú tartalom egy részhalmazát. A Windows Server 2016-tal alkalmazásonként nemcsak az üzeneteket, hanem a képeket, az emblémát és a webes témát is testre szabhatja. Emellett létrehozhat új, egyéni webes témákat, és alkalmazhatja ezeket a témákat függő entitásonként.
További információkért lásd: AD FS felhasználói bejelentkezés testreszabási lehetőségeiről.
Az AD FS korábbi verzióiban egyetlen kérés számos naplózási eseményt generálhat. A bejelentkezési vagy jogkivonat-kiállítási tevékenységekkel kapcsolatos releváns információk gyakran hiányoznak vagy terjedtek el több naplózási esemény között, ami megnehezíti a problémák diagnosztizálásához. Ennek eredményeképpen a naplózási események alapértelmezés szerint ki lettek kapcsolva. Az AD FS 2016-ban azonban a naplózási folyamat egyszerűbb és a releváns információk könnyebben fellelhetők. További információ: Az AD FS naplózási fejlesztései a Windows Server 2016rendszerben.
Az AD FS 2016 további SAML protokolltámogatást tartalmaz, beleértve a több entitást tartalmazó metaadatokon alapuló megbízhatósági kapcsolatok importálását. Ez a módosítás lehetővé teszi az AD FS konfigurálását olyan konföderációkban való részvételre, mint az InCommon Federation és az eGov 2.0 szabványnak megfelelő egyéb implementációk.
További információ: Továbbfejlesztett együttműködés az SAML 2.0.
Az AD FS konfigurálható úgy, hogy jelszólejárati jogcímeket küldjön minden általa védett megbízható relatív entitásnak vagy alkalmazásnak. Az állítások megjelenése alkalmazásonként változó. Ha például az Office 365-öt használja függő entitásként, a frissítések az Exchange-ben és az Outlookban lettek implementálva, hogy értesítsék az összevont felhasználókat a hamarosanto-belejárt jelszavaikról.
További információkért lásd: az AD FS konfigurálásáról a jelszavak lejárati jogcímeinek küldéséhez.
Korábban az AD FS új verziójára való migráláshoz exportálnia kellett a konfigurációs beállításokat a Windows Server-farmból egy új, párhuzamos kiszolgálófarmba. A Windows Server 2016-on futó AD FS megkönnyíti a folyamatot azáltal, hogy eltávolítja a párhuzamos kiszolgálófarmra vonatkozó követelményt. Amikor Windows Server 2016-kiszolgálót ad hozzá egy Windows Server 2012 R2-kiszolgálófarmhoz, az új kiszolgáló ugyanúgy viselkedik, mint egy Windows Server 2012 R2-kiszolgáló. Ha készen áll a frissítésre, és eltávolította a régebbi kiszolgálókat, a működési szintet Windows Server 2016-ra módosíthatja. További információ: Frissítés AD FS-re Windows Server 2016rendszerben.
Oktatás
Képzési terv
Windows Server hálózati infrastruktúra - Training
Windows Server hálózati infrastruktúra
Tanúsítvány
Microsoft Certified: Azure Hálózati Mérnök Társszintű - Certifications
Bemutatjuk az Azure hálózati infrastruktúra tervezését, megvalósítását és karbantartását, a forgalom terheléselosztását, a hálózati útválasztást stb.