Apa yang baru di Windows Server 2019
Artikel ini menjelaskan beberapa fitur baru di Windows Server 2019. Windows Server 2019 dibangun di atas fondasi Windows Server 2016 yang kuat dan menghadirkan banyak inovasi pada empat tema utama: Hybrid Cloud, Security, Application Platform, dan Hyper-Converged Infrastructure (HCI).
Umum
Pusat Admin Windows
Pusat Admin Windows adalah aplikasi berbasis browser yang disebarkan secara lokal untuk mengelola server, kluster, infrastruktur hyper-converged, dan PC Windows 10. Itu datang tanpa biaya tambahan di luar Windows dan siap digunakan dalam produksi.
Anda dapat menginstal Windows Admin Center pada Windows Server 2019 dan Windows 10 dan versi Windows dan Windows Server yang lebih lama, dan menggunakannya untuk mengelola server dan kluster yang berjalan Windows Server 2008 R2 dan yang lebih baru.
Untuk informasi selengkapnya, lihat Pusat Admin Windows.
Pengalaman desktop
Karena Windows Server 2019 adalah rilis Long-Term Servicing Channel (LTSC), ini termasuk Pengalaman Desktop. Rilis Saluran Semi-Tahunan (SAC) tidak menyertakan Pengalaman Desktop berdasarkan desain; mereka benar-benar rilis gambar kontainer Server Core dan Nano Server. Seperti halnya Windows Server 2016, selama penyiapan sistem operasi, Anda dapat memilih antara penginstalan Server Core atau Server dengan penginstalan Pengalaman Desktop.
Wawasan Sistem
System Insights adalah fitur baru yang tersedia di Windows Server 2019 yang membawa kemampuan analitik prediktif lokal secara asli ke Windows Server. Kemampuan prediktif ini, masing-masing didukung oleh model pembelajaran mesin, menganalisis data sistem Windows Server secara lokal, seperti penghitung kinerja dan peristiwa. Wawasan Sistem memungkinkan Anda memahami bagaimana server Anda berfungsi dan membantu Anda mengurangi biaya operasional yang terkait dengan mengelola masalah secara reaktif dalam penyebaran Windows Server Anda.
Cloud hibrid
Fitur Kompatibilitas Aplikasi Inti Server sesuai Permintaan
Fitur Kompatibilitas Aplikasi Inti Server sesuai Permintaan (FOD) secara signifikan meningkatkan kompatibilitas aplikasi dengan menyertakan subset biner dan komponen dari Windows Server dengan Pengalaman Desktop. Server Core menyimpannya sesingkat mungkin dengan tidak menambahkan lingkungan grafis Pengalaman Desktop Windows Server itu sendiri, meningkatkan fungsionalitas dan kompatibilitas.
Fitur opsional sesuai permintaan ini tersedia pada ISO terpisah dan hanya dapat ditambahkan ke penginstalan dan gambar Windows Server Core, menggunakan DISM.
Peran Server Transportasi Windows Deployment Services (WDS) ditambahkan ke Server Core
Transport Server hanya berisi bagian jaringan inti WDS. Anda sekarang dapat menggunakan Server Core dengan peran Server Transportasi untuk membuat namespace multicast yang mengirimkan data (termasuk gambar sistem operasi) dari server mandiri. Anda juga dapat menggunakannya jika Anda ingin memiliki server PXE yang memungkinkan klien melakukan booting PXE dan mengunduh aplikasi penyiapan kustom Anda sendiri.
Integrasi Layanan Desktop Jarak Jauh dengan Microsoft Azure AD
Dengan integrasi Microsoft Azure ACTIVE Directory, Anda dapat menggunakan kebijakan Akses Bersyarah, Autentikasi Multifaktor, Autentikasi terintegrasi dengan Aplikasi SaaS lainnya menggunakan Microsoft Azure ACTIVE Directory, dan banyak lagi. Untuk informasi selengkapnya, lihat Mengintegrasikan Azure AD Domain Services dengan penyebaran RDS Anda.
Jaringan
Kami melakukan beberapa peningkatan pada tumpukan jaringan inti, seperti TCP Fast Open (TFO), Receive Window Autotuning, IPv6, dan banyak lagi. Untuk informasi selengkapnya, lihat posting peningkatan fitur Core Network Stack.
VRSS dinamis dan VMMQ
Di masa lalu, Antrean Komputer Virtual dan Multi-Antrean Komputer Virtual (VMMQ) memungkinkan throughput yang jauh lebih tinggi ke VM individu karena throughput jaringan pertama kali mencapai tanda 10GbE dan seterusnya. Sayangnya, perencanaan, dasar, penyetelan, dan pemantauan yang diperlukan untuk keberhasilan menjadi usaha yang jauh lebih besar daripada yang diantisipasi administrator TI.
Windows Server 2019 meningkatkan pengoptimalan ini dengan menyebarkan dan menyetel pemrosesan beban kerja jaringan secara dinamis sesuai kebutuhan. Windows Server 2019 memastikan efisiensi puncak dan menghapus beban konfigurasi untuk administrator TI. Untuk mempelajari selengkapnya, lihat Persyaratan jaringan host untuk Azure Stack HCI.
Keamanan
Windows Defender Advanced Threat Protection (ATP)
Sensor platform mendalam ATP dan tindakan respons mengekspos serangan tingkat memori dan kernel dan merespons dengan menekan file berbahaya dan mengakhiri proses berbahaya.
Untuk informasi selengkapnya tentang WINDOWS Defender ATP, lihat Gambaran umum kemampuan WINDOWS Defender ATP.
Untuk informasi selengkapnya tentang server onboarding, lihat Server onboard ke layanan WINDOWS Defender ATP.
Windows Defender ATP Exploit Guard adalah serangkaian kemampuan pencegahan intrusi host baru yang memungkinkan Anda menyeimbangkan persyaratan risiko keamanan dan produktivitas. Windows Defender Exploit Guard dirancang untuk mengunci perangkat terhadap berbagai vektor serangan dan memblokir perilaku yang umum digunakan dalam serangan malware. Komponennya adalah:
Attack Surface Reduction (ASR) adalah serangkaian kontrol yang dapat diaktifkan perusahaan untuk mencegah malware masuk ke komputer dengan memblokir file berbahaya yang mencurigakan. Misalnya, file Office, skrip, gerakan lateral, perilaku ransomware, dan ancaman berbasis email.
Perlindungan jaringan melindungi titik akhir dari ancaman berbasis web dengan memblokir proses keluar apa pun pada perangkat ke host/alamat IP yang tidak tepercaya melalui Windows Defender SmartScreen.
Akses folder terkontrol melindungi data sensitif dari ransomware dengan memblokir proses yang tidak tepercaya agar tidak mengakses folder yang dilindungi.
Perlindungan eksploitasi adalah serangkaian mitigasi untuk eksploitasi kerentanan (mengganti EMET) yang dapat dengan mudah dikonfigurasi untuk melindungi sistem dan aplikasi Anda.
Windows Defender Application Control (juga dikenal sebagai kebijakan Code Integrity (CI) dirilis di Windows Server 2016. Kami telah mempermudah penyebaran dengan menyertakan kebijakan CI default. Kebijakan default memungkinkan semua file dalam kotak Windows dan aplikasi Microsoft, seperti SQL Server, dan memblokir executable yang diketahui yang dapat melewati CI.
Keamanan dengan Software Defined Networking (SDN)
Keamanan dengan SDN memberikan banyak fitur untuk meningkatkan kepercayaan pelanggan dalam menjalankan beban kerja, baik lokal, atau sebagai penyedia layanan di cloud.
Peningkatan keamanan ini diintegrasikan ke dalam platform SDN komprehensif yang diperkenalkan di Windows Server 2016.
Untuk daftar lengkap apa yang baru di SDN lihat, Apa yang Baru di SDN untuk Windows Server 2019.
Peningkatan Mesin Virtual Terlindungi
Kami melakukan peningkatan berikut pada Shielded Virtual Machines.
Penyempurnaan kantor cabang
Anda sekarang dapat menjalankan komputer virtual terlindung pada komputer dengan konektivitas terputus-terputus ke Host Guardian Service dengan menggunakan fitur HGS fallback dan mode offline baru. Fallback HGS memungkinkan Anda mengonfigurasi serangkaian URL kedua untuk Hyper-V coba jika tidak dapat menjangkau server HGS utama Anda.
Bahkan jika Anda tidak dapat mencapai HGS, mode offline memungkinkan Anda terus memulai VM terlindungi Anda. Mode offline juga memungkinkan Anda memulai VM selama VM telah berhasil dimulai sekali dan konfigurasi keamanan host tidak berubah.
Penyempurnaan pemecahan masalah
Kami juga mempermudah pemecahan masalah VM terlindungi Anda dengan mengaktifkan dukungan untuk Mode Sesi yang Ditingkatkan VMConnect dan PowerShell Direct. Alat-alat ini berguna ketika Anda kehilangan konektivitas jaringan ke VM Anda dan perlu memperbarui konfigurasinya untuk memulihkan akses. Untuk mempelajari lebih lanjut, lihat Fabric yang dijaga dan VM terlindungi.
Anda tidak perlu mengonfigurasi fitur-fitur ini karena fitur tersebut tersedia secara otomatis saat Anda menempatkan VM terlindung pada host Hyper-V yang menjalankan Windows Server versi 1803 atau yang lebih baru.
Dukungan Linux
Jika Anda menjalankan lingkungan mixed-OS, Windows Server 2019 sekarang mendukung menjalankan Ubuntu, Red Hat Enterprise Linux, dan SUSE Linux Enterprise Server di dalam komputer virtual terlindungi.
HTTP/2 untuk Web yang lebih cepat dan lebih aman
Peningkatan coalescing koneksi untuk memberikan pengalaman penjelajahan yang tidak terganggu dan dienkripsi dengan benar.
Negosiasi rangkaian sandi sisi server HTTP/2 yang ditingkatkan untuk mitigasi otomatis kegagalan koneksi dan kemudahan penyebaran.
Mengubah penyedia kemacetan TCP default kami menjadi Kubik untuk memberi Anda lebih banyak throughput!
Jaringan terenkripsi
Enkripsi jaringan virtual mengenkripsi lalu lintas jaringan virtual antara komputer virtual dalam subnet yang memiliki label Enkripsi Diaktifkan . Jaringan terenkripsi juga menggunakan Datagram Transport Layer Security (DTLS) pada subnet virtual untuk mengenkripsi paket. DTLS melindungi data Anda dari penyadapan, perubahan, dan pemalsuan oleh siapa pun yang memiliki akses ke jaringan fisik.
Untuk informasi selengkapnya, lihat Jaringan terenkripsi.
Audit firewall
Audit firewall adalah fitur baru untuk firewall SDN yang merekam alur apa pun yang diproses oleh aturan firewall SDN dan daftar kontrol akses (ACL) yang mengaktifkan pengelogan.
Peering jaringan virtual
Peering jaringan virtual memungkinkan Anda menyambungkan dua jaringan virtual dengan mulus. Setelah di-peering, jaringan virtual muncul dalam pemantauan sebagai satu.
Pengukuran keluar
Pengukuran keluar menawarkan pengukur penggunaan untuk transfer data keluar. Pengontrol Jaringan menggunakan fitur ini untuk menyimpan daftar yang diizinkan dari semua rentang IP yang digunakan dalam SDN per jaringan virtual. Daftar ini mempertimbangkan setiap paket yang menuju ke tujuan yang tidak disertakan dalam rentang IP yang tercantum untuk ditagih sebagai transfer data keluar.
Penyimpanan
Berikut adalah beberapa perubahan yang telah kami buat pada Storage di Windows Server 2019. Penyimpanan juga dipengaruhi oleh pembaruan pada deduplikasi Data, terutama pembaruannya ke DataPort API untuk masuk atau keluar yang dioptimalkan ke volume yang dideduplikasi.
Resource Manager Server File
Sekarang dimungkinkan untuk mencegah layanan File Server Resource Manager membuat jurnal perubahan (juga dikenal sebagai jurnal USN) pada semua volume ketika layanan dimulai. Mencegah pembuatan perjalanan perubahan dapat menghemat ruang pada setiap volume, tetapi akan menonaktifkan klasifikasi file real-time. Untuk informasi selengkapnya, lihat Gambaran umum File Server Resource Manager.
SMB
Windows Server tidak lagi menginstal klien dan server SMB1 secara default. Selain itu, kemampuan untuk mengautentikasi sebagai tamu di SMB2 dan yang lebih baru nonaktif secara default. Untuk informasi selengkapnya, lihat SMBv1 tidak diinstal secara default di Windows 10 versi 1709, Windows Server versi 1709 dan versi yang lebih baru.
Anda sekarang dapat menonaktifkan oplock di SMB2+ untuk aplikasi warisan. Anda juga dapat memerlukan penandatanganan atau enkripsi berdasarkan per koneksi dari klien. Untuk informasi selengkapnya, lihat Bantuan modul SMBShare PowerShell.
Storage Migration Service
Storage Migration Service memudahkan migrasi server ke versi Windows Server yang lebih baru. Alat grafis ini menginventarkan data di server, lalu mentransfer data dan konfigurasi ke server yang lebih baru. Storage Migration Service juga dapat memindahkan identitas server lama ke server baru sehingga pengguna tidak perlu mengonfigurasi ulang profil dan aplikasi mereka. Untuk informasi selengkapnya, lihat Storage Migration Service.
Windows Admin Center versi 1910 menambahkan kemampuan untuk menyebarkan komputer virtual Azure. Pembaruan ini mengintegrasikan penyebaran Azure VM ke dalam Storage Migration Service. Untuk informasi selengkapnya, lihat migrasi Azure VM.
Anda juga dapat mengakses fitur pasca-rilis-ke-manufaktur (RTM) berikut saat menjalankan orkestrator Storage Migration Server di Windows Server 2019 dengan KB5001384 diinstal atau pada Windows Server 2022:
- Migrasikan pengguna dan grup lokal ke server baru.
- Migrasikan penyimpanan dari kluster failover, migrasi ke kluster failover, dan migrasi antara server mandiri dan kluster failover.
- Memigrasikan penyimpanan dari server Linux yang menggunakan Samba.
- Sinkronkan berbagi yang dimigrasikan dengan lebih mudah ke Azure dengan menggunakan Azure File Sync.
- Migrasi ke jaringan baru seperti Azure.
- Migrasi server NetApp Common Internet File System (CIFS) dari array NetApp Federated Authentication Service (FAS) ke server dan kluster Windows.
Ruang Penyimpanan Langsung
Inilah yang baru di Storage Spaces Direct. Untuk informasi selengkapnya tentang cara memperoleh sistem Storage Spaces Direct yang divalidasi, lihat Gambaran umum solusi Azure Stack HCI.
Deduplikasi dan pemadatan untuk volume ReFS. Penyimpanan potongan ukuran variabel dengan kompresi opsional memaksimalkan tingkat penghematan, sementara arsitektur pasca-pemrosesan multi-utas meminimalkan dampak performa. Fitur ini mendukung volume hingga 64 TB dan mendeduplikasi 4 MB pertama dari setiap file.
Dukungan asli untuk memori persisten, yang memungkinkan Anda mengelola memori persisten seperti drive lain di PowerShell atau Pusat Admin Windows. Fitur ini mendukung modul memori persisten Intel Optane DC PM dan NVDIMM-N.
Ketahanan berlapis untuk infrastruktur hyper-converged dua node di tepi. Dengan bantuan opsi ketahanan perangkat lunak baru berdasarkan RAID 5+1, Anda sekarang dapat bertahan dari dua kegagalan perangkat keras secara bersamaan. Kluster Storage Spaces Direct dua node menyediakan penyimpanan yang terus dapat diakses untuk aplikasi dan komputer virtual meskipun satu simpul server tidak berfungsi dan simpul server lain mengalami kegagalan drive.
Kluster dua server sekarang dapat menggunakan USB flash drive sebagai saksi. Jika server turun dan kemudian mencadangkan, kluster drive USB mengetahui server mana yang memiliki data terbaru. Untuk informasi selengkapnya, lihat posting blog pengumuman Storage Spaces Direct kami dan Mengonfigurasi bukti berbagi file untuk Pengklusteran Failover.
Pusat Admin Windows mendukung dasbor yang memungkinkan Anda mengelola dan memantau Ruang Penyimpanan langsung. Anda dapat memantau latensi IOPS dan IO dari tingkat kluster keseluruhan ke SSD atau HDD individual tanpa biaya tambahan. Untuk mempelajari selengkapnya, lihat Apa itu Pusat Admin Windows?.
Riwayat performa adalah fitur baru yang memberikan visibilitas mudah ke dalam pemanfaatan dan pengukuran sumber daya. Untuk mempelajari selengkapnya, lihat Riwayat performa untuk Ruang Penyimpanan Langsung.
Skalakan hingga 4 PB per kluster menggunakan kapasitas hingga 64 volume hingga 64 TB. Anda juga dapat menjahit beberapa kluster bersama-sama ke dalam kluster yang ditetapkan untuk skala yang lebih besar dalam satu namespace penyimpanan.
Dengan menggunakan paritas yang dipercepat cermin, dimungkinkan untuk membangun volume Storage Spaces Direct yang menggabungkan strategi cermin dan paritas, mirip dengan campuran RAID-1 dan RAID-5/6. Paritas yang dipercepat cermin sekarang dua kali lebih cepat daripada Windows Server 2016.
Deteksi outlier latensi drive secara otomatis mengidentifikasi drive lambat di PowerShell dan Pusat Admin Windows dengan status "Latensi Abnormal".
Secara manual memisahkan alokasi volume untuk meningkatkan toleransi kesalahan. Untuk informasi selengkapnya, lihat Memisahkan alokasi volume di Ruang Penyimpanan Langsung.
Replika Penyimpanan
Inilah yang baru di Replika Penyimpanan.
Replika Penyimpanan sekarang tersedia di Windows Server 2019 Standard Edition dan Windows Server 2019 Datacenter Edition. Namun, dengan Edisi Standar, Anda hanya dapat mereplikasi satu volume, dan volume tersebut hanya dapat mencapai ukuran 2 TB.
Uji failover adalah fitur baru yang memungkinkan Anda memasang rekam jepret penyimpanan yang direplikasi sementara pada server tujuan untuk tujuan pengujian atau pencadangan. Untuk informasi selengkapnya, lihat Tanya jawab umum tentang Replika Penyimpanan.
Peningkatan performa log Replika Penyimpanan, seperti throughput replikasi yang ditingkatkan dan latensi pada penyimpanan semua lampu kilat dan kluster Storage Spaces Direct yang mereplikasi antara satu sama lain.
Dukungan Pusat Admin Windows, termasuk manajemen grafis replikasi menggunakan Manajer Server untuk server-ke-server, kluster-ke-kluster, dan meregangkan replikasi kluster.
Deduplikasi data
Windows Server 2019 sekarang mendukung Sistem File Tangguh (ReFS). ReFS memungkinkan Anda menyimpan hingga sepuluh kali lebih banyak data pada volume yang sama dengan deduplikasi dan kompresi untuk sistem file ReFS. Penyimpanan gugus ukuran variabel dilengkapi dengan fitur kompresi opsional yang dapat memaksimalkan tingkat penghematan, sementara arsitektur pasca-pemrosesan multi-utas menjaga dampak performa minimal. ReFS mendukung volume hingga 64 TB dan mendeduplikasi 4 TB pertama dari setiap file. Untuk mempelajari selengkapnya, lihat Cara mengaktifkan deduplikasi dan kompresi di Pusat Admin Windows untuk demonstrasi video cepat.
Pengklusteran Failover
Kami menambahkan fitur berikut ke pengklusteran failover di Windows Server 2019:
Kluster mengelompokkan beberapa kluster bersama-sama ke dalam pengelompokan yang digabungkan secara longgar dari beberapa kluster failover yang datang dalam tiga jenis: komputasi, penyimpanan, dan hyper-converged. Pengelompokan ini meningkatkan jumlah server dalam satu solusi pusat data yang ditentukan perangkat lunak (SDDC) di luar batas kluster saat ini. Dengan set kluster, Anda dapat memindahkan komputer virtual online antar kluster dalam kumpulan kluster. Untuk informasi selengkapnya, lihat Menyebarkan kumpulan kluster.
Kluster sekarang sadar Azure secara default. Kluster sadar Azure secara otomatis mendeteksi kapan mereka berjalan di komputer virtual Azure IaaS, lalu mengoptimalkan konfigurasinya untuk mencapai tingkat ketersediaan tertinggi. Pengoptimalan ini termasuk failover proaktif dan pengelogan peristiwa pemeliharaan terencana Azure. Pengoptimalan otomatis membuat penyebaran lebih sederhana dengan menghapus kebutuhan untuk mengonfigurasi load balancer dengan Nama Jaringan Terdistribusi untuk nama kluster.
Migrasi kluster lintas domain memungkinkan kluster failover secara dinamis berpindah dari satu domain Direktori Aktif ke domain lainnya, menyederhanakan konsolidasi domain dan memungkinkan mitra perangkat keras untuk membuat kluster dan menggabungkannya ke domain pelanggan di lain waktu.
Fitur bukti USB memungkinkan Anda menggunakan drive USB yang dilampirkan ke sakelar jaringan sebagai bukti dalam menentukan kuorum untuk kluster. Fitur ini mencakup dukungan File Share Witness yang diperluas untuk perangkat apa pun yang mematuhi SMB2.
Cache CSV sekarang diaktifkan secara default untuk meningkatkan performa komputer virtual. MSDTC sekarang mendukung Volume Bersama Kluster untuk memungkinkan penyebaran beban kerja MSDTC pada Ruang Penyimpanan Langsung, seperti dengan SQL Server. Logika yang ditingkatkan untuk mendeteksi simpul yang dipartisi dengan penyembuhan mandiri untuk mengembalikan simpul ke keanggotaan kluster. Deteksi rute jaringan kluster yang ditingkatkan dan penyembuhan diri.
Pembaruan Sadar Kluster (CAU) sekarang terintegrasi dan mengetahui Ruang Penyimpanan Langsung, memvalidasi dan memastikan sinkronisasi ulang data selesai pada setiap simpul. Pembaruan Sadar Kluster memeriksa pembaruan untuk memulai ulang secara cerdas hanya jika perlu. Fitur ini memungkinkan Anda menghidupkan ulang semua server di kluster untuk pemeliharaan terencana.
Sekarang Anda dapat menggunakan saksi berbagi file dalam skenario berikut:
Akses Internet yang tidak ada atau buruk karena lokasi jarak jauh, mencegah penggunaan saksi cloud.
Kurangnya drive bersama untuk bukti disk. Misalnya, konfigurasi yang tidak menggunakan disk bersama, seperti konfigurasi hyperconverged Storage Spaces Direct, Grup Ketersediaan AlwaysOn SQL Server (AG), atau Grup Ketersediaan Database Exchange (DAG).
Kurangnya koneksi pengendali domain karena kluster berada di belakang DMZ.
Grup kerja atau kluster lintas domain yang tidak memiliki objek nama kluster Direktori Aktif (CNO). Windows Server sekarang juga memblokir penggunaan berbagi DFS Namespace sebagai lokasi. Menambahkan bukti berbagi file ke berbagi DFS dapat menyebabkan masalah stabilitas untuk kluster Anda, dan konfigurasi ini belum pernah didukung. Kami menambahkan logika untuk mendeteksi apakah berbagi menggunakan DFS Namespaces, dan jika DFS Namespaces terdeteksi, Failover Cluster Manager memblokir pembuatan bukti dan menampilkan pesan kesalahan tentang tidak didukung.
Fitur pengerasan kluster telah diimplementasikan yang meningkatkan keamanan komunikasi intra-kluster melalui Blok Pesan Server (SMB) untuk Volume Bersama Kluster dan Ruang Penyimpanan Langsung. Fitur ini memanfaatkan sertifikat untuk menyediakan platform yang paling aman. Dengan demikian, Kluster Failover sekarang dapat beroperasi tanpa dependensi apa pun pada NTLM, yang memungkinkan garis besar keamanan dibuat.
Kluster Failover tidak lagi menggunakan autentikasi NTLM. Sebagai gantinya, kluster Windows Server 2019 sekarang secara eksklusif menggunakan Kerberos dan autentikasi berbasis sertifikat. Pengguna tidak perlu membuat perubahan apa pun atau menyebarkan apa pun untuk memanfaatkan peningkatan keamanan ini. Perubahan ini juga memungkinkan Anda menyebarkan kluster failover di lingkungan tempat NTLM dinonaktifkan.
Platform Aplikasi
Kontainer Linux di Windows
Sekarang dimungkinkan untuk menjalankan kontainer berbasis Windows dan Linux pada host kontainer yang sama, menggunakan daemon docker yang sama. Anda sekarang dapat memiliki lingkungan host kontainer heterogen yang memberikan fleksibilitas kepada pengembang aplikasi.
Dukungan bawaan untuk Kubernetes
Windows Server 2019 melanjutkan peningkatan komputasi, jaringan, dan penyimpanan dari rilis Saluran Semi-Tahunan yang diperlukan untuk mendukung Kubernetes di Windows. Detail lebih lanjut tersedia dalam rilis Kubernetes mendatang.
Jaringan Kontainer di Windows Server 2019 sangat meningkatkan kegunaan Kubernetes di Windows. Kami telah meningkatkan ketahanan jaringan platform dan dukungan plugin jaringan kontainer.
Beban kerja yang disebarkan pada Kubernetes dapat menggunakan keamanan jaringan untuk melindungi layanan Linux dan Windows menggunakan alat yang disematkan.
Peningkatan kontainer
Identitas terintegrasi yang ditingkatkan
Kami telah membuat autentikasi Windows terintegrasi dalam kontainer lebih mudah dan lebih andal, mengatasi beberapa batasan dari versi Windows Server sebelumnya.
Kompatibilitas aplikasi yang lebih baik
Kontainerisasi aplikasi berbasis Windows semakin mudah: Kompatibilitas aplikasi untuk gambar windowsservercore yang ada telah ditingkatkan. Untuk aplikasi dengan lebih banyak dependensi API, sekarang ada gambar dasar ketiga: windows.
Pengurangan ukuran dan performa yang lebih tinggi
Ukuran unduhan gambar kontainer dasar, ukuran pada disk dan waktu mulai telah ditingkatkan untuk mempercepat alur kerja kontainer.
Pengalaman manajemen menggunakan Pusat Admin Windows (pratinjau)
Kami telah mempermudah untuk melihat kontainer mana yang berjalan di komputer Anda dan mengelola kontainer individual dengan ekstensi baru untuk Pusat Admin Windows. Cari ekstensi "Kontainer" di umpan publik Pusat Admin Windows.
Peningkatan komputasi
VM Start Ordering VM Start Ordering juga ditingkatkan dengan OS dan Kesadaran aplikasi, menghadirkan pemicu yang ditingkatkan ketika VM dipertimbangkan dimulai sebelum memulai yang berikutnya.
Dukungan memori kelas penyimpanan untuk VM memungkinkan volume akses langsung berformat NTFS dibuat pada DIM yang tidak mudah menguap dan diekspos ke VM Hyper-V. Hyper-V VM sekarang dapat menggunakan manfaat performa latensi rendah dari perangkat memori kelas penyimpanan.
Dukungan Memori Persisten untuk VM Hyper-V Untuk menggunakan throughput tinggi dan latensi rendah memori persisten (juga dikenal sebagai memori kelas penyimpanan) di komputer virtual, sekarang dapat diproyeksikan langsung ke VM. Memori persisten dapat membantu mengurangi latensi transaksi database secara drastis atau mengurangi waktu pemulihan untuk database dalam memori latensi rendah pada kegagalan.
Penyimpanan kontainer – kontainer aplikasi volume data persisten sekarang memiliki akses persisten ke volume. Untuk informasi selengkapnya, lihat Dukungan Penyimpanan Kontainer dengan Volume Bersama Kluster (CSV), Storage Spaces Direct (S2D), Pemetaan Global SMB.
Format file konfigurasi komputer virtual (diperbarui) File status tamu VM (
.vmgs) telah ditambahkan untuk komputer virtual dengan versi konfigurasi 8.2 dan yang lebih tinggi. File status tamu VM menyertakan informasi status perangkat yang sebelumnya merupakan bagian dari file status runtime VM.
Jaringan Terenkripsi
Jaringan Terenkripsi - Enkripsi jaringan virtual memungkinkan enkripsi lalu lintas jaringan virtual antara komputer virtual yang berkomunikasi satu sama lain dalam subnet yang ditandai sebagai Enkripsi Diaktifkan. Ini juga menggunakan Datagram Transport Layer Security (DTLS) pada subnet virtual untuk mengenkripsi paket. DTLS melindungi dari penyadapan, perubah, dan pemalsuan oleh siapa pun yang memiliki akses ke jaringan fisik.
Peningkatan performa jaringan untuk beban kerja virtual
Peningkatan performa jaringan untuk beban kerja virtual memaksimalkan throughput jaringan ke komputer virtual tanpa mengharuskan Anda untuk terus menyetel atau memprovisikan host Anda secara berlebihan. Peningkatan performa menurunkan biaya operasi dan pemeliharaan sekaligus meningkatkan kepadatan host Anda yang tersedia. Fitur-fitur baru ini adalah:
Multi-Antrean Komputer Virtual Dinamis (d.VMMQ)
Menerima Coalescing Segmen di vSwitch
Transportasi Latar Belakang Penundaan Ekstra Rendah
Low Extra Delay Background Transport (LEDBAT) adalah penyedia kontrol kemacetan jaringan yang dioptimalkan dan dioptimalkan yang dirancang untuk secara otomatis menghasilkan bandwidth kepada pengguna dan aplikasi. LEDBAT menggunakan bandwidth yang tersedia saat jaringan tidak digunakan. Teknologi ini ditujukan untuk digunakan saat menyebarkan pembaruan besar dan penting di seluruh lingkungan TI tanpa memengaruhi layanan yang dihadapi pelanggan dan bandwidth terkait.
Layanan Waktu Windows
Layanan Waktu Windows mencakup dukungan kedua lompatan yang mematuhi UTC sejati, protokol waktu baru yang disebut Protokol Waktu Presisi, dan keterlacakan end-to-end.
Gateway SDN berkinerja tinggi
Gateway SDN berkinerja tinggi di Windows Server 2019 sangat meningkatkan performa untuk koneksi IPsec dan GRE, memberikan throughput performa sangat tinggi dengan pemanfaatan CPU yang jauh lebih sedikit.
UI Penyebaran Baru dan ekstensi Pusat Admin Windows untuk SDN
Sekarang, dengan Windows Server 2019, mudah untuk menyebarkan dan mengelola melalui antarmuka pengguna penyebaran baru dan ekstensi Pusat Admin Windows yang memungkinkan siapa pun memanfaatkan kekuatan SDN.
Subsistem Windows untuk Linux (WSL)
WSL memungkinkan administrator server untuk menggunakan alat dan skrip yang ada dari Linux di Windows Server. Banyak peningkatan yang ditampilkan di blog baris perintah sekarang menjadi bagian dari Windows Server, termasuk tugas Latar Belakang, DriveFS, WSLPath, dan banyak lagi.
Active Directory Federation Services
Layanan Federasi Direktori Aktif (AD FS) untuk Windows Server 2019 menyertakan perubahan berikut.
Rincian masuk yang dilindungi
Rincian masuk yang dilindungi dengan Layanan Federasi Direktori Aktif sekarang menyertakan pembaruan berikut:
Pengguna sekarang dapat menggunakan produk autentikasi pihak ketiga sebagai faktor pertama mereka tanpa mengekspos kata sandi. Dalam kasus di mana penyedia autentikasi eksternal dapat membuktikan dua faktor, penyedia dapat menggunakan autentikasi multifaktor (MFA).
Pengguna sekarang dapat menggunakan kata sandi sebagai faktor tambahan setelah menggunakan opsi non-kata sandi sebagai faktor pertama. Dukungan dalam kotak ini meningkatkan pengalaman keseluruhan dari LAYANAN Federasi Direktori Aktif 2016, yang memerlukan pengunduhan adaptor GitHub.
Pengguna sekarang dapat membangun modul penilaian risiko plug-in mereka sendiri untuk memblokir jenis permintaan tertentu selama tahap praauthentication. Fitur ini memudahkan penggunaan kecerdasan cloud seperti perlindungan identitas untuk memblokir pengguna atau transaksi berisiko. Untuk informasi selengkapnya, lihat Membangun Plug-in dengan Model Penilaian Risiko AD FS 2019.
Meningkatkan rekayasa perbaikan cepat (QFE) Extranet Smart Lockout (ESL) dengan menambahkan kemampuan berikut:
Anda sekarang dapat menggunakan mode audit saat dilindungi oleh fungsionalitas penguncian ekstranet klasik.
Pengguna sekarang dapat menggunakan ambang batas penguncian independen untuk lokasi yang sudah dikenal. Fitur ini memungkinkan Anda menjalankan beberapa instans aplikasi dalam akun layanan umum untuk menggulirkan kata sandi dengan gangguan minimal.
Peningkatan keamanan lainnya
Layanan Federasi Direktori Aktif 2019 mencakup peningkatan keamanan berikut:
PowerShell jarak jauh menggunakan Masuk SmartCard memungkinkan pengguna terhubung dari jarak jauh ke Layanan Federasi Direktori Aktif dengan SmartCards dengan menjalankan perintah PowerShell. Pengguna juga dapat menggunakan metode ini untuk mengelola semua fungsi PowerShell termasuk cmdlet multi-simpul.
Kustomisasi header HTTP memungkinkan pengguna mengkustomisasi header HTTP yang dibuat selama respons AD FS. Kustomisasi header menyertakan jenis header berikut:
HSTS, yang hanya memungkinkan Anda menggunakan titik akhir LAYANAN Federasi Direktori Aktif pada titik akhir HTTPS untuk diberlakukan browser yang sesuai.
X-frame-options, yang memungkinkan admin LAYANAN Federasi Direktori Aktif memungkinkan pihak yang mengandalkan tertentu untuk menyematkan iFrames untuk halaman masuk interaktif Ad FS. Anda seharusnya hanya menggunakan header ini pada host HTTPS.
Header masa depan. Anda juga dapat mengonfigurasi beberapa header di masa mendatang.
Untuk informasi selengkapnya, lihat Mengkustomisasi header respons keamanan HTTP dengan Layanan Federasi Direktori Aktif 2019.
Kemampuan autentikasi dan kebijakan
Layanan Federasi Direktori Aktif 2019 mencakup kemampuan autentikasi dan kebijakan berikut:
Pengguna sekarang dapat membuat aturan untuk menentukan penyedia autentikasi mana yang dipanggil penyebaran mereka untuk autentikasi tambahan. Fitur ini membantu transisi antara penyedia autentikasi dan mengamankan aplikasi tertentu yang memiliki persyaratan khusus untuk penyedia autentikasi tambahan.
Pembatasan opsional untuk autentikasi perangkat berbasis Keamanan Lapisan Transportasi (TLS) sehingga hanya aplikasi yang memerlukan TLS yang dapat menggunakannya. Pengguna dapat membatasi autentikasi perangkat berbasis TLS klien sehingga hanya aplikasi yang melakukan akses bersyarkat berbasis perangkat yang dapat menggunakannya. Fitur ini mencegah permintaan yang tidak diinginkan untuk autentikasi perangkat untuk aplikasi yang tidak memerlukan autentikasi perangkat berbasis TLS.
Layanan Federasi Direktori Aktif sekarang mendukung pengulangan kredensial faktor kedua berdasarkan kesegaran kredensial faktor kedua. Fitur ini memungkinkan pengguna hanya memerlukan TFA untuk transaksi pertama, kemudian hanya memerlukan faktor kedua secara berkala. Anda hanya dapat menggunakan fitur ini pada aplikasi yang dapat memberikan parameter tambahan dalam permintaan, karena ini bukan pengaturan yang dapat dikonfigurasi di Layanan Federasi Direktori Aktif. MICROSOFT Entra ID mendukung parameter ini jika Anda mengonfigurasi pengaturan Ingat MFA saya untuk X Days agar dukunganMFA diatur ke True di pengaturan kepercayaan domain federasi ID Microsoft Entra.
Penyempurnaan akses menyeluruh
Layanan Federasi Direktori Aktif 2019 juga mencakup peningkatan akses menyeluruh (SSO) berikut:
Layanan Federasi Direktori Aktif sekarang menggunakan alur UX paginasi dan antarmuka pengguna terpusat (UI) yang memberikan pengalaman masuk yang lebih lancar bagi pengguna. Perubahan ini mencerminkan fungsionalitas yang ditawarkan di Azure ACTIVE Directory. Anda mungkin perlu memperbarui logo organisasi dan gambar latar belakang agar sesuai dengan UI baru.
Kami memperbaiki masalah yang menyebabkan status MFA tidak bertahan saat menggunakan autentikasi Token Refresh Utama (PRT) pada perangkat Windows 10. Pengguna sekarang harus dimintai kredensial faktor kedua lebih jarang. Pengalaman sekarang harus konsisten ketika autentikasi perangkat berhasil pada autentikasi TLS dan PRT klien.
Dukungan untuk membangun aplikasi lini bisnis modern
Layanan Federasi Direktori Aktif 2019 mencakup fitur-fitur berikut untuk mendukung pembangunan aplikasi lini bisnis modern (LOB):
Layanan Federasi Direktori Aktif sekarang menyertakan dukungan profil alur perangkat OAuth untuk masuk menggunakan perangkat tanpa area permukaan UI untuk mendukung pengalaman masuk yang kaya. Fitur ini memungkinkan pengguna menyelesaikan masuk di perangkat yang berbeda. Pengalaman Azure Command-Line Interface (CLI) di Azure Stack memerlukan fungsionalitas ini, dan Anda juga dapat menggunakannya dalam skenario lain.
Anda tidak lagi memerlukan parameter Sumber Daya untuk menggunakan LAYANAN Federasi Direktori Aktif, yang sejalan dengan spesifikasi OAUth saat ini. Klien sekarang hanya perlu memberikan pengidentifikasi kepercayaan pihak yang mengandalkan sebagai parameter cakupan panjang dengan izin yang diminta.
Anda dapat menggunakan header berbagi sumber daya lintas asal (CORS) dalam respons Layanan Federasi Direktori Aktif. Judul baru ini memungkinkan pengguna membangun aplikasi satu halaman yang memungkinkan pustaka JavaScript sisi klien memvalidasi tanda tangan id_token dengan mengkueri kunci penandatanganan dari dokumen penemuan Open ID Connect (OIDC) di AD FS.
Layanan Federasi Direktori Aktif menyertakan dukungan Proof Key for Code Exchange (PKCE) untuk alur kode autentikasi yang aman dalam OAuth. Lapisan keamanan tambahan ini mencegah aktor jahat membajak kode dan memutarnya kembali dari klien yang berbeda.
Kami memperbaiki masalah kecil yang menyebabkan Layanan Federasi Direktori Aktif hanya mengirim klaim x5t. Layanan Federasi Direktori Aktif sekarang juga mengirim klaim anak untuk menunjukkan petunjuk ID kunci untuk verifikasi tanda tangan.
Peningkatan dukungan
Admin sekarang dapat mengonfigurasi Layanan Federasi Direktori Aktif untuk memungkinkan pengguna mengirim laporan kesalahan dan men-debug log kepada mereka sebagai file ZIP untuk pemecahan masalah. Admin juga dapat mengonfigurasi koneksi Simple Mail Transfer Protocol (SMTP) untuk mengirim file ZIP secara otomatis ke akun email triase. Pengaturan lain memungkinkan admin secara otomatis membuat tiket untuk sistem dukungan mereka berdasarkan email tersebut.
Pembaruan penyebaran
Pembaruan penyebaran berikut sekarang disertakan dalam Layanan Federasi Direktori Aktif 2019:
- Layanan Federasi Direktori Aktif memiliki fungsi yang mirip dengan versi Windows Server 2016 yang memudahkan untuk meningkatkan farm server Windows Server 2016 ke farm server Windows Server 2019. Server Windows Server 2019 yang ditambahkan ke farm server Windows Server 2016 hanya akan bertingkah seperti server Windows Server 2016 hingga Anda siap untuk memutakhirkan. Untuk informasi selengkapnya, lihat Memutakhirkan ke Layanan Federasi Direktori Aktif di Windows Server 2016.
Pembaruan SAML
Layanan Federasi Direktori Aktif 2019 mencakup pembaruan Security Assertion Markup Language (SAML) berikut:
Kami memperbaiki masalah dalam dukungan federasi agregat, seperti InCommon, di area berikut:
Peningkatan penskalaan untuk banyak entitas dalam dokumen metadata federasi agregat. Sebelumnya, penskalaan untuk entitas ini tidak akan berhasil dan mengembalikan pesan kesalahan ADMIN0017.
Anda sekarang dapat membuat kueri menggunakan parameter ScopeGroupID dengan menjalankan
Get-AdfsRelyingPartyTrustsGroupcmdlet PowerShell.Peningkatan penanganan kondisi kesalahan untuk nilai id entitas duplikat.
Spesifikasi sumber daya gaya Azure AD dalam parameter cakupan
Sebelumnya, Layanan Federasi Direktori Aktif mengharuskan sumber daya dan cakupan yang diinginkan berada dalam parameter terpisah dalam permintaan autentikasi apa pun. Misalnya, contoh permintaan OAuth berikut berisi parameter cakupan:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Dengan Layanan Federasi Direktori Aktif di Windows Server 2019, Anda sekarang dapat meneruskan nilai sumber daya yang disematkan dalam parameter cakupan. Perubahan ini konsisten dengan autentikasi terhadap ID Microsoft Entra.
Parameter cakupan sekarang dapat diatur sebagai daftar yang dipisahkan spasi yang menyusun setiap entitas sebagai sumber daya atau cakupan.
Catatan
Anda hanya dapat menentukan satu sumber daya dalam permintaan autentikasi. Jika Anda menyertakan lebih dari satu sumber daya dalam permintaan, Layanan Federasi Direktori Aktif mengembalikan kesalahan dan autentikasi tidak berhasil.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk