Novità di Windows Server 2019

Questo articolo descrive alcune delle nuove funzionalità di Windows Server 2019. Windows Server 2019 si basa sulle solide fondamenta di Windows Server 2016 e include numerose innovazioni su quattro temi chiave: cloud ibrido, sicurezza, piattaforma per applicazioni e infrastruttura iperconvergente (HCI).

Generale

Windows Admin Center

Windows Admin Center è un'app distribuita in locale e basata su browser che consente di gestire server, cluster, infrastruttura iperconvergente e PC Windows 10. Non prevede costi aggiuntivi rispetto a Windows ed è pronta per essere usata in produzione.

È possibile installare Windows Admin Center in Windows Server 2019 e Windows 10 e versioni precedenti di Windows e Windows Server, e usarlo per gestire server e cluster che eseguono Windows Server 2008 R2 e versioni successive.

Per altre informazioni, vedi Windows Admin Center.

L'esperienza desktop

Poiché Windows Server 2019 è un rilascio di LTSC (Long-Term Servicing Channel), include l'Esperienza Desktop. Le versioni del canale semestrale (SAC) non includono intenzionalmente l'esperienza desktop; sono esclusivamente rilasci specifici per l'immagine dei contenitori Server Core e Nano Server. Come per Windows Server 2016, durante l'installazione del sistema operativo puoi scegliere tra le installazioni Server Core o Server con Esperienza desktop.

Informazioni dettagliate di sistema

Informazioni dettagliate di sistema è una nuova funzione disponibile in Windows Server 2019 che offre funzionalità di analisi predittiva locale in modalità nativa per Windows Server. Queste funzionalità predittive, ognuna supportata da un modello di apprendimento automatico, analizzano in locale i dati di sistema di Windows Server, ad esempio i contatori delle prestazioni e gli eventi. System Insights consente di comprendere il funzionamento dei server e di ridurre le spese operative associate alla gestione reattiva dei problemi nelle distribuzioni di Windows Server.

Cloud ibrido

Funzionalità di compatibilità dell'app Server Core su richiesta

Server Core App Compatibility Feature on Demand (FOD) migliora significativamente la compatibilità delle app includendo un subset di file binari e componenti da Windows Server con Esperienza Desktop. Mantenere Server Core il più snello possibile non aggiungendo l'ambiente grafico di Windows Server Desktop Experience, ne aumenta la funzionalità e la compatibilità.

Questa funzionalità facoltativa su richiesta è disponibile in un file ISO separato e può essere aggiunta solo alle installazioni di Windows Server Core e alle immagini, utilizzando DISM.

Ruolo Server di trasporto di Servizi di distribuzione Windows aggiunto a Server Core

Transport Server contiene solo i componenti di rete di base di Windows Deployment Services. È ora possibile usare Server Core con il ruolo Server di trasporto per creare spazi dei nomi multicast per la trasmissione di dati (incluse le immagini del sistema operativo) da un server autonomo. Può inoltre esserti utile se vuoi disporre di un server PXE che consenta ai client l'avvio PXE e il download dell'applicazione di installazione personalizzata.

Integrazione di Servizi Desktop remoto con Azure AD

Con l'integrazione di Azure AD è possibile usare i criteri di accesso condizionale, l'autenticazione a più fattori, l'autenticazione integrata con altre app SaaS che usano Azure AD e molto altro ancora. Per ulteriori informazioni, vedere Integrare Azure AD Domain Services con la tua distribuzione di RDS.

Rete

Sono stati apportati diversi miglioramenti allo stack di rete core, ad esempio TCP Fast Open (TFO), Regolazione automatica della finestra di ricezione, IPv6 e altro ancora. Per altre informazioni, vedere il post relativo al miglioramento della funzionalità Stack di rete core.

vRSS e VMMQ dinamici

In passato, le code di macchine virtuali e le code multi-coda per macchine virtuali (VMMQs) abilitavano una velocità effettiva molto più elevata per le singole macchine virtuali man mano che le velocità effettive di rete raggiungevano la soglia di 10GbE e oltre. Sfortunatamente, la pianificazione, la creazione della baseline, l'ottimizzazione e il monitoraggio necessari per il successo sono diventati un'impresa molto più grande di quanto previsto dagli amministratori IT.

Windows Server 2019 migliora queste ottimizzazioni distribuendo e ottimizzando dinamicamente l'elaborazione dei carichi di lavoro di rete in base alle esigenze. Windows Server 2019 garantisce un picco di efficienza e rimuove il carico di configurazione per gli amministratori IT. Per ulteriori informazioni, vedere Requisiti di rete host per Azurelocale.

Sicurezza

Windows Defender Advanced Threat Protection (ATP)

Sensori avanzati della piattaforma e azioni di risposta di ATP espongono agli attacchi a livello di memoria e kernel e rispondono eliminando file dannosi e terminando processi dannosi.

• Per altre informazioni su Windows Defender ATP, vedi Panoramica delle funzionalità di Windows Defender ATP.

• Per ulteriori informazioni sull'integrazione dei server, consultare Integrare i server nel servizio Windows Defender ATP.

Windows Defender ATP Exploit Guard è un nuovo set di funzionalità di prevenzione delle intrusioni host che consente di bilanciare il rischio di sicurezza e le esigenze di produttività. Windows Defender Exploit Guard è progettato per proteggere il dispositivo da un'ampia varietà di vettori di attacco e bloccare i comportamenti comunemente utilizzati negli attacchi malware. I componenti sono:

• La riduzione della superficie di attacco (ASR) è un set di controlli che le aziende possono abilitare per evitare che il malware si acceda al computer bloccando i file dannosi sospetti. ad esempio file di Office, script, spostamento laterale, comportamento ransomware e minacce basate sulla posta elettronica.

• Protezione di rete protegge l'endpoint da minacce basate sul Web bloccando qualsiasi processo in uscita nel dispositivo per gli indirizzi host o IP non attendibili tramite Windows Defender SmartScreen.

• Accesso controllato alle cartelle protegge i dati sensibili da ransomware impedendo l'accesso di processi non attendibili alle cartelle protette.

• Protezione dagli exploit è un gruppo di misure di prevenzione per gli exploit di vulnerabilità (in sostituzione di EMET) che puoi configurare facilmente per proteggere il sistema e le applicazioni.

• Controllo di applicazioni di Windows Defender (noto anche come criteri di integrità del codice) è stato rilasciato in Windows Server 2016. La distribuzione è stata semplificata includendo i criteri di integrazione continua predefiniti. Il criterio predefinito consente tutti i file di sistema standard di Windows e le applicazioni Microsoft, come SQL Server, e blocca i file eseguibili noti che possono ignorare il Controllo dell'Integrazione Continua.

Sicurezza con Software Defined Networking (SDN)

Sicurezza con SDN offre numerose funzionalità per aumentare la fiducia dei clienti che eseguono carichi di lavoro, in locale, o come provider di servizi nel cloud.

Questi miglioramenti apportati alla sicurezza sono integrati nella piattaforma SDN completa introdotta in Windows Server 2016.

Per un elenco completo delle novità di SDN, vedi Novità di SDN per Windows Server 2019.

Miglioramenti alle macchine virtuali schermate

Abbiamo apportato i seguenti miglioramenti alle macchine virtuali schermate.

Miglioramenti di succursale

È ora possibile eseguire macchine virtuali protette su computer con connettività intermittente al Servizio Sorveglianza Host usando le nuove funzionalità di fallback HGS e modalità offline. Il server HGS di fallback permette di configurare un secondo insieme di URL per Hyper-V, nel caso in cui non riesca a raggiungere il server HGS primario.

Anche se non è possibile raggiungere HGS, la modalità offline consente di continuare a avviare le macchine virtuali schermate. La modalità offline consente anche di avviare le macchine virtuali finché la macchina virtuale è stata avviata correttamente una volta e la configurazione di sicurezza dell'host non è stata modificata.

Miglioramenti alla risoluzione dei problemi

È stato anche semplificato risolvere i problemi delle macchine virtuali schermate abilitando il supporto per la modalità sessione avanzata VMConnect e PowerShell Direct. Questi strumenti sono utili quando si perde la connettività di rete alla macchina virtuale ed è necessario aggiornarne la configurazione per ripristinare l'accesso. Per altre informazioni, vedere Infrastruttura sorvegliata e macchine virtuali schermate.

Non è necessario configurare queste funzionalità perché diventano automaticamente disponibili quando si inserisce una macchina virtuale schermata in un host Hyper-V che esegue Windows Server versione 1803 o successiva.

Supporto di Linux

Se esegui ambienti di sistema operativo misto, adesso Windows Server 2019 supporta l'esecuzione di Ubuntu, Red Hat Enterprise Linux e SUSE Linux Enterprise Server in macchine virtuali schermate.

HTTP/2 per un Web più veloce e sicuro

• Unione delle connessioni migliorata per un'esperienza di esplorazione senza interruzioni e correttamente crittografata.

• Aggiornamento della negoziazione delle suite di cifratura lato server di HTTP/2 per la mitigazione automatica degli errori di connessione e facilità di distribuzione.

• Come provider di congestione TCP predefinito è stato configurato Cubic per offrire una maggiore velocità effettiva.

Reti crittografate

La crittografia di rete virtuale crittografa il traffico di rete virtuale tra le macchine virtuali all'interno di subnet che presentano l'etichetta Crittografia abilitata. Le reti crittografate usano anche Datagram Transport Layer Security (DTLS) nella subnet virtuale per crittografare i pacchetti. DTLS impedisce intercettazioni, manomissioni e contraffazioni dei dati da parte di chiunque abbia accesso alla rete fisica.

Per maggiori informazioni, consultare la sezione Reti crittografate.

Controllo del firewall

Auditing del firewall è una nuova funzionalità per il firewall SDN che registra qualsiasi flusso elaborato dalle regole del firewall SDN e dagli elenchi di controllo accessi (ACL) per cui la registrazione è abilitata.

Peering di rete virtuale

Il peering di reti virtuali consente di connettere facilmente due reti virtuali. Dopo aver eseguito il peering, le reti virtuali vengono visualizzate nel monitoraggio come una sola.

Misurazione del flusso in uscita

La misurazione in uscita offre misurazioni di utilizzo per i trasferimenti di dati in uscita. Controller di Rete usa questa funzionalità per mantenere una lista di autorizzazione di tutti gli intervalli IP utilizzati all'interno di SDN per ogni rete virtuale. Questi elenchi considerano qualsiasi pacchetto diretto a una destinazione non inclusa negli intervalli IP da fatturare come trasferimento di dati in uscita.

Archiviazione

Ecco alcune delle modifiche apportate all'archiviazione in Windows Server 2019. L'archiviazione è interessata anche dagli aggiornamenti di deduplicazione dei dati, in particolare dall'aggiornamento dell'API DataPort per ottimizzare l'ingresso o l'uscita nei volumi deduplicati.

Gestione risorse file server

È ora possibile impedire la creazione di un journal delle modifiche (o journal USN) in tutti i volumi all'avvio del servizio Gestione risorse file server. Impedendo la creazione del percorso delle modifiche, si può risparmiare spazio su ogni volume, ma si disabiliterà la classificazione dei file in tempo reale. Per altre informazioni, vedi Panoramica di Gestione risorse file server.

SMB

• Windows Server non installa più il client e il server SMB1 per impostazione predefinita. Inoltre, la possibilità di eseguire l'autenticazione come Guest in SMB2 e versioni successive è disattivata per impostazione predefinita. Per maggiori informazioni, consultare SMBv1 non viene installato per impostazione predefinita in Windows 10 versione 1709, Windows Server versione 1709 e versioni successive

• È ora possibile disabilitare gli oplock in SMB2+ per le applicazioni legacy. È anche possibile richiedere la firma o la crittografia su base per connessione da parte di un client. Per altre informazioni, vedere la Guida del modulo SMBShare di PowerShell.

Servizio di migrazione della risorsa di archiviazione

Il servizio di migrazione archiviazione semplifica la migrazione dei server a una versione più recente di Windows Server. Questo strumento grafico archivia i dati nei server, quindi trasferisce i dati e la configurazione in server più recenti. Il Servizio di migrazione archiviazione può anche spostare le identità dei server precedenti nei nuovi server, in modo gli utenti non debbano riconfigurare profili e app. Per maggiori informazioni, consulta Storage Migration Service.

Windows Admin Center versione 1910 ha aggiunto la possibilità di distribuire macchine virtuali di Azure. Questo aggiornamento integra la distribuzione di macchine virtuali di Azure nel Servizio Migrazione archiviazione. Per altre informazioni, vedere migrazione di macchine virtuali di Azure.

È anche possibile accedere alle seguenti funzionalità successive al rilascio (RTM) quando si esegue l'orchestratore di Server di migrazione dell'archiviazione su Windows Server 2019 con KB5001384 installato o su Windows Server 2022:

• Migrazione di utenti e gruppi locali al nuovo server.
• Eseguire la migrazione dell'archiviazione dai cluster di failover, eseguire la migrazione ai cluster di failover ed eseguire la migrazione tra server autonomi e cluster di failover.
• Migrazione degli archivi da un server Linux che usa Samba.
• Sincronizzare più facilmente le condivisioni migrate in Azure usando Sincronizzazione file di Azure.
• Migrazione a nuove reti, ad esempio Azure.
• Eseguire la migrazione dei server NetApp Common Internet File System (CIFS) dalle array NetApp del Servizio di Autenticazione Federata (FAS) ai server e cluster Windows.

Spazi di archiviazione diretta

Ecco le novità di Storage Spaces Direct. Per ulteriori informazioni su come acquisire sistemi di Storage Spaces Direct convalidati, vedere Panoramica della Soluzione Locale di Azure.

• Deduplicazione e compressione dei volumi ReFS. L'archivio blocchi di dimensioni variabili con compressione facoltativa ottimizza i tassi di risparmio, mentre l'architettura di elaborazione successiva multithread riduce al minimo l'impatto sulle prestazioni. Questa funzionalità supporta volumi fino a 64 TB e deduplica i primi 4 MB di ogni file.

• Supporto nativo per la memoria persistente, che consente di gestire la memoria persistente come qualsiasi altra unità in PowerShell o Windows Admin Center. Questa funzionalità supporta i moduli di memoria persistente Intel Optane DC PM e NVDIMM-N.

• Resilienza annidata per un'infrastruttura iperconvergente a due nodi all'perimetro. Con l'aiuto di una nuova opzione di resilienza software basata su RAID 5+1, è ora possibile sopravvivere a due errori hardware contemporaneamente. Un cluster a due nodi Storage Spaces Direct fornisce archiviazione continuamente accessibile per le app e le macchine virtuali anche se un nodo del server va giù e un altro nodo del server subisce un guasto all'unità.

• I cluster a due server possono ora usare un'unità flash USB come testimone. Se un server si arresta e quindi esegue il backup, il cluster dell'unità USB conosce il server con i dati più aggiornati. Per altre informazioni, vedere il post del blog sull'annuncio di Spazi di Archiviazione Diretta e Configurare un testimone di condivisione file per il clustering di failover.

• Windows Admin Center supporta un dashboard che consente di gestire e monitorare Spazi di archiviazione diretta. È possibile monitorare le operazioni di I/O al secondo e la latenza dal livello complessivo del cluster fino ai singoli DISCHI SSD o HDD senza costi aggiuntivi. Per altre informazioni, vedere Gestire un'infrastruttura iperconvergente usando Windows Admin Center.

• La cronologia delle prestazioni è una nuova funzionalità che consente di visualizzare facilmente l'utilizzo delle risorse e le misurazioni. Per altre informazioni, vedere Cronologia delle prestazioni per Spazi di archiviazione diretta.

• Aumentare fino a 4 PB per cluster utilizzando una capacità di fino a 64 volumi, ciascuno fino a 64 TB. È anche possibile unire più cluster in un set di cluster per una scalabilità ancora maggiore all'interno di un singolo spazio dei nomi di archiviazione.

• Utilizzando la parità accelerata con mirroring, è possibile costruire volumi Spazi di Archiviazione Diretta che incorporano sia strategie di mirroring che di parità, simili a una combinazione di RAID-1 e RAID-5/6. La parità accelerata con mirroring è ora due volte più veloce rispetto a Windows Server 2016.

• Il rilevamento dei valori anomali della latenza rileva automaticamente le unità lente in PowerShell e Windows Admin Center con stato "Latenza anomala".

• Delimitare manualmente l'allocazione dei volumi per aumentare la tolleranza di errore. Per altre informazioni, vedere Delimita l'allocazione dei volumi in Spazi di archiviazione diretta.

Replica di archiviazione

Ecco le novità introdotte in Replica di archiviazione.

• Replica di archiviazione è ora disponibile in Windows Server 2019 Edizione Standard e Windows Server 2019 Edizione Datacenter. Tuttavia, con l'edizione Standard, è possibile replicare un solo volume e tale volume può raggiungere una dimensione massima di 2 TB.

• Il failover di test è una nuova funzionalità che consente di montare temporaneamente uno snapshot dell'archiviazione replicata in un server di destinazione per scopi di test o backup. Per altre informazioni, vedere Domande frequenti su Storage Replica.

• Miglioramenti delle prestazioni del log di Replica di archiviazione, ad esempio una maggiore velocità di replica e latenza nell'archiviazione all-flash e nei cluster degli Spazi di archiviazione diretta che vengono replicati tra loro.

• Supporto di Windows Admin Center, inclusa la gestione grafica della replica tramite Server Manager per la replica da server a server, da cluster a cluster e dalla replica di cluster estesi.

Deduplicazione dati

Windows Server 2019 supporta ora ReFS (Resilient File System). ReFS consente di archiviare fino a dieci volte più dati nello stesso volume con deduplicazione e compressione per il file system ReFS. L'archivio blocchi a dimensione variabile include una funzionalità di compressione facoltativa che consente di ottimizzare le percentuali di risparmio, mentre l'architettura di post-elaborazione multithread mantiene un impatto minimo sulle prestazioni. ReFS supporta volumi fino a 64 TB e deduplica i primi 4 TB di ogni file. Per altre informazioni, vedere Come attivare la deduplicazione e la compressione in Windows Admin Center per una rapida dimostrazione video.

Clustering di failover

Abbiamo aggiunto le seguenti funzionalità al failover clustering in Windows Server 2019:

• I set di cluster raggruppano più cluster in un raggruppamento ad accoppiamento libero di più cluster di failover disponibili in tre tipi: calcolo, archiviazione e iperconvergente. Questo raggruppamento aumenta il numero di server in una singola soluzione data center software-defined (SDDC) oltre i limiti correnti di un cluster. Con i set di cluster è possibile spostare macchine virtuali online tra cluster all'interno del set di cluster. Per altre informazioni, vedere Distribuire un set di cluster.

• I cluster sono ora consapevoli di Azure per impostazione predefinita. I cluster con riconoscimento di Azure rilevano automaticamente quando sono in esecuzione in macchine virtuali IaaS di Azure, quindi ottimizzano la configurazione per ottenere i livelli di disponibilità più elevati. Queste ottimizzazioni includono il failover proattivo e la registrazione degli eventi di manutenzione pianificata di Azure. L'ottimizzazione automatizzata semplifica la distribuzione eliminando la necessità di configurare il bilanciamento del carico utilizzando il Nome di Rete Distribuita per identificare il cluster.

• La migrazione tra cluster tra domini consente ai cluster di failover di passare dinamicamente da un dominio di Active Directory a un altro, semplificando il consolidamento del dominio e consentendo ai partner hardware di creare cluster e aggiungerli al dominio del cliente in un secondo momento.

• La funzionalità di controllo USB consente di usare un'unità USB collegata a un commutatore di rete come server di controllo per determinare il quorum per un cluster. La funzionalità include il supporto esteso per il File Share Witness per qualsiasi dispositivo conforme a SMB2.

• La cache CSV è ora abilitata per impostazione predefinita per migliorare le prestazioni delle macchine virtuali. MSDTC supporta ora volumi condivisi cluster per consentire la distribuzione di carichi di lavoro MSDTC in Spazi di archiviazione diretta, ad esempio con SQL Server. Logica migliorata per rilevare i nodi partizionati con correzione automatica per restituire i nodi all'appartenenza al cluster. Rilevamento avanzato della route di rete del cluster e riparazione automatica.

• L'aggiornamento Cluster Aware Updating (CAU) è ora integrato e supporta Storage Spaces Direct, convalida e assicura che la risincronizzazione dei dati venga completata su ogni nodo. L'aggiornamento compatibile con cluster controlla gli aggiornamenti per riavviare in modo intelligente solo se necessario. Questa funzionalità consente di riavviare tutti i server nel cluster per la manutenzione pianificata.

• È ora possibile usare i testimoni della condivisione file negli scenari seguenti:

  • Assenza o scarsa qualità dell'accesso a Internet a causa di una posizione remota, impedendo l'uso di un testimone cloud.

  • Mancanza di unità condivise per un testimone su disco. Ad esempio, una configurazione che non usa dischi condivisi, come una configurazione iperconvergente di Spazi di archiviazione diretta, un gruppo di disponibilità Always On di SQL Server o un gruppo di disponibilità del database di Exchange.

  • Mancanza di connessione del controller di dominio perché il cluster si trova dietro una DMZ.

  • Un gruppo di lavoro o un cluster tra domini che non dispone di un oggetto CNO (Active Directory Cluster Name Object). Windows Server ora blocca anche l'uso di una condivisione dello spazio dei nomi DFS come percorso. L'aggiunta di un testimone della condivisione file a una condivisione DFS può causare problemi di stabilità per il tuo cluster, e questa configurazione non è mai stata supportata. Abbiamo aggiunto la logica per rilevare se una condivisione utilizza namespace DFS, e se vengono rilevati namespace DFS, Gestione cluster di failover blocca la creazione del testimone e visualizza un messaggio di errore che informa che non è supportato.

• È stata implementata una funzionalità di protezione avanzata del cluster che migliora la sicurezza delle comunicazioni all'interno del cluster tramite SMB (Server Message Block) per i volumi condivisi del cluster e Spazi di archiviazione diretta. Questa funzionalità sfrutta i certificati per fornire la piattaforma più sicura possibile. In questo modo, i cluster di failover possono ora funzionare senza dipendenze da NTLM, che consente di stabilire le baseline di sicurezza.

• I cluster di failover non usano più l'autenticazione NTLM. I cluster Windows Server 2019 ora usano esclusivamente Kerberos e l'autenticazione basata su certificati. Gli utenti non devono apportare modifiche o distribuire nulla per sfruttare questo miglioramento della sicurezza. Questa modifica consente anche di distribuire cluster di failover in ambienti in cui NTLM è disabilitato.

Piattaforma applicativa

Contenitori di Linux in Windows

È ora possibile eseguire contenitori basati su Linux e Windows nello stesso host contenitore usando lo stesso daemon docker. È ora possibile avere un ambiente costituito da host contenitori eterogenei che offre flessibilità agli sviluppatori di applicazioni.

Supporto incorporato per Kubernetes

Windows Server 2019 prosegue i miglioramenti in fatto di elaborazione, rete e archiviazione introdotti dai rilasci di Canale semestrale, necessari per supportare Kubernetes su Windows. Altri dettagli sono disponibili nelle versioni future di Kubernetes.

• Rete di contenitori in Windows Server 2019 migliora notevolmente l'usabilità di Kubernetes in Windows. Abbiamo migliorato la resilienza della rete della piattaforma e il supporto per i plug-in di rete dei contenitori.

• I carichi di lavoro distribuiti su Kubernetes sono in grado di usare la sicurezza di rete per proteggere i servizi di Linux e Windows con strumenti incorporati.

Miglioramenti ai contenitori

• Identità integrata avanzata

  L'autenticazione integrata di Windows nei contenitori è stata resa più semplice e affidabile, risolvendo così diverse limitazioni rispetto alle versioni precedenti di Windows Server.

• Migliore compatibilità delle applicazioni

  La containerizzazione di applicazioni basate su Windows è ora più semplice: è stata migliorata la compatibilità delle app per l'immagine windowsservercore esistente. Per le applicazioni con più dipendenze API, è ora disponibile una terza immagine di base: windows.

• Dimensioni ridotte e prestazioni superiori

  Le dimensioni di download dell'immagine contenitore di base, la dimensione su disco e i tempi di avvio sono stati migliorati per accelerare i flussi di lavoro del contenitore.

• Esperienza di gestione con Windows Admin Center (anteprima)

  Vedere quali contenitori sono in esecuzione nel computer e gestire i singoli contenitori con una nuova estensione per Windows Admin Center non è mai stato così semplice. Cerca l'estensione "Containers" nel feed pubblico di Windows Admin Center.

Miglioramenti all'ambiente di calcolo

• Ordine di avvio per le macchine virtuali Anche l'ordine di avvio per le macchine virtuali è stato migliorato con il riconoscimento del sistema operativo e delle applicazioni, offrendo trigger migliorati per quando una macchina virtuale viene considerata avviata prima di avviare quella successiva.

• Il supporto della memoria di classe di archiviazione per le VM consente la creazione di volumi NTFS ad accesso diretto su DIMM non volatili e la loro esposizione alle macchine virtuali Hyper-V. Le macchine virtuali Hyper-V possono ora sfruttare i vantaggi delle prestazioni a bassa latenza dei dispositivi di memoria della classe di archiviazione.

• Supporto della memoria persistente per macchine virtuali Hyper-V Per usare la velocità effettiva elevata e la bassa latenza della memoria persistente (nota anche come memoria della classe di archiviazione) nelle macchine virtuali, è ora possibile proiettarla direttamente nelle macchine virtuali. La memoria persistente consente di ridurre notevolmente la latenza di transazione del database o i tempi di ripristino per i database in memoria a bassa latenza in caso di errore.

• Archiviazione contenitori - volumi di dati persistenti I contenitori di applicazioni ora hanno accesso permanente ai volumi. Per ulteriori informazioni, vedere la pagina relativa al supporto per l'archiviazione dei contenitori con i volumi condivisi del cluster (CSV), Storage Spaces Direct (S2D), e il mapping globale SMB.

• Formato di file di configurazione della macchina virtuale (aggiornato) È stato aggiunto il file di stato della macchina virtuale guest (.vmgs) per le macchine virtuali con una versione di configurazione pari a 8.2 o superiore. Il file di stato della macchina virtuale guest include informazioni sullo stato dei dispositivi che in precedenza facevano parte del file di stato del runtime della macchina virtuale.

Reti crittografate

Reti codificate: la codifica di rete virtuale consente la codifica del traffico di rete virtuale tra le macchine virtuali che comunicano tra loro all'interno di subnet contrassegnate come Codifica abilitata. Viene inoltre utilizzato Datagram Transport Layer Security (DTLS) nella subnet virtuale per crittografare i pacchetti. DTLS impedisce intercettazioni, manomissioni e contraffazioni da parte di chiunque abbia accesso alla rete fisica.

Miglioramenti alle prestazioni di rete per i carichi di lavoro virtuali

I miglioramenti alle prestazioni di rete per i carichi di lavoro virtuali consentono di ottimizzare la velocità effettiva di rete sulle macchine virtuali senza dover costantemente sincronizzare o effettuare il provisioning eccessivo dell'host. Il miglioramento delle prestazioni riduce le operazioni e i costi di manutenzione, aumentando la densità disponibile degli host. Queste nuove funzionalità includono:

• Coda di più macchine virtuali dinamica (d.VMMQ)

• Unione segmenti ricevuti (RSC) nel commutatore virtuale

Trasporto in Background con Basso Ritardo Extra

Low Extra Delay Background Transport (LEDBAT) è un provider di controllo della congestione della rete, ottimizzato per la latenza, che è stato progettato per concedere automaticamente larghezza di banda a utenti e applicazioni. LEDBAT usa la larghezza di banda disponibile mentre la rete non è in uso. Questa tecnologia è stata progettata per l'uso nella distribuzione di aggiornamenti critici di grandi dimensioni in un ambiente IT senza influire sui servizi per i clienti e sulla larghezza di banda associata.

Servizio Ora di Windows

Il servizio Ora di Windows include un supporto reale per i secondi intercalari conforme all'UTC, un nuovo protocollo temporale chiamato Precision Time Protocol e tracciabilità end-to-end.

Gateway SDN ad alte prestazioni

I gateway SDN ad alte prestazioni in Windows Server 2019 migliorano notevolmente le prestazioni per le connessioni IPsec e GRE, fornendo una velocità effettiva molto elevata con un utilizzo della CPU molto inferiore.

Nuova estensione dell'interfaccia di distribuzione e di Windows Admin Center per SDN

Con Windows Server 2019, è facile ora eseguire operazioni di distribuzione e gestione tramite una nuova interfaccia utente di sviluppo e un'estensione di Windows Admin Center che consentono a tutti di sfruttare le potenzialità di SDN.

Sottosistema di Windows per Linux (WSL)

WSL consente agli amministratori di server di usare gli strumenti e gli script esistenti per Linux in Windows Server. Molti dei miglioramenti illustrati nel blog dedicato alle funzionalità della riga di comando, come le attività in background, DriveFS, WSLPath e molti altri ancora, sono stati estesi a Windows Server.

Active Directory Federation Services (Servizi di Federazione di Active Directory)

Active Directory Federation Services (AD FS) per Windows Server 2019 include le modifiche seguenti.

Accessi protetti

Gli accessi protetti con AD FS includono ora gli aggiornamenti seguenti:

• Gli utenti possono ora usare prodotti di autenticazione di terze parti come primo fattore senza esporre le password. Nei casi in cui il provider di autenticazione esterno può dimostrare due fattori, può usare l'autenticazione a più fattori (MFA).

• Gli utenti possono ora usare le password come fattore aggiuntivo dopo aver usato un'opzione non password come primo fattore. Questo supporto integrato migliora l'esperienza complessiva di AD FS 2016, che richiede il download di un adattatore GitHub.

• Gli utenti possono ora creare moduli di valutazione dei rischi plug-in personalizzati per bloccare determinati tipi di richieste durante la fase di preautenticazione. Questa funzionalità semplifica l'uso dell'intelligence cloud, ad esempio la protezione delle identità, per bloccare utenti o transazioni rischiosi. Per altre informazioni, vedi Creare plug-in con il modello di valutazione dei rischi di AD FS 2019.

• Migliora la progettazione di correzione rapida di Extranet Smart Lockout (ESL) aggiungendo le funzionalità seguenti:

  • È ora possibile usare la modalità di controllo mentre è protetta dalla funzionalità classica di blocco extranet.

  • Gli utenti possono ora usare soglie di blocco indipendenti per posizioni familiari. Questa funzionalità consente di eseguire più istanze di app all'interno di un account di servizio comune per eseguire il rollover delle password con interruzioni minime.

Altri miglioramenti della sicurezza

AD FS 2019 include i miglioramenti seguenti per la sicurezza:

• Remote PowerShell using SmartCard Sign-in consente agli utenti di connettersi da remoto ad AD FS con smart card eseguendo comandi di PowerShell. Gli utenti possono anche usare questo metodo per gestire tutte le funzioni di PowerShell, inclusi i cmdlet multinodo.

• La personalizzazione dell'intestazione HTTP consente agli utenti di personalizzare le intestazioni HTTP create durante le risposte ad AD FS. La personalizzazione dell'intestazione include i tipi di intestazioni seguenti:

  • HSTS, che consente di utilizzare solo gli endpoint AD FS su endpoint HTTPS per farli applicare nei browser conformi.

  • X-frame-options, che consente agli amministratori di AD FS di consentire a relying parties specifiche di incorporare iFrame per le pagine di accesso interattive di AD FS. È consigliabile usare questa intestazione solo sugli host HTTPS.

  • Intestazione futura. È anche possibile configurare più intestazioni future.

  Per ulteriori informazioni, consultare Personalizzare le intestazioni di risposta di sicurezza HTTP con AD FS 2019.

Funzionalità di autenticazione e criteri

AD FS 2019 include le funzionalità di autenticazione e criteri seguenti:

• Gli utenti possono ora creare regole per specificare quale provider di autenticazione la loro implementazione richiama per l'autenticazione aggiuntiva. Questa funzionalità consente di eseguire la transizione tra provider di autenticazione e proteggere app specifiche con requisiti speciali per provider di autenticazione aggiuntivi.

• Restrizioni facoltative per le autenticazioni dei dispositivi basate su TLS (Transport Layer Security) in modo che solo le applicazioni che richiedono TLS possano usarle. Gli utenti possono limitare le autenticazioni dei dispositivi basate su TLS client in modo che solo le applicazioni che eseguono l'accesso condizionale basato su dispositivo possano usarle. Questa funzionalità impedisce richieste indesiderate di autenticazione del dispositivo per le applicazioni che non richiedono l'autenticazione del dispositivo basata su TLS.

• AD FS supporta ora il rinnovo delle credenziali di secondo fattore in base alla recente validità delle credenziali del secondo fattore. Questa funzionalità consente agli utenti di richiedere solo TFA per la prima transazione, quindi richiede solo il secondo fattore su base periodica. È possibile usare questa funzionalità solo nelle applicazioni che possono fornire un parametro aggiuntivo nella richiesta, poiché non è un'impostazione configurabile in AD FS. Microsoft Entra ID supporta questo parametro se si configura l'impostazione Memorizza il mio MFA per X Days affinché supportsMFA sia impostato su True nelle impostazioni di attendibilità del dominio federato di Microsoft Entra ID.

Miglioramenti al Single Sign-On

AD FS 2019 include anche i miglioramenti seguenti per l'accesso Single Sign-On (SSO):

• AD FS ora usa un flusso di esperienza utente impaginato e un'interfaccia utente centrata che offre un'esperienza di accesso più semplice per gli utenti. Questa modifica rispecchia le funzionalità offerte in Azure AD. Potrebbe essere necessario aggiornare il logo e le immagini di sfondo dell'organizzazione in base alla nuova interfaccia utente.

• È stato risolto un problema che causava la mancata persistenza dello stato MFA quando si usa l'autenticazione del token di aggiornamento primario (PRT) nei dispositivi Windows 10. Gli utenti dovrebbero ora ricevere meno richieste per le credenziali del secondo fattore. L'esperienza dovrebbe ora essere coerente quando l'autenticazione del dispositivo ha esito positivo sull'autenticazione TLS e PRT del client.

Supporto per la creazione di app line-of-business moderne

AD FS 2019 include le funzionalità seguenti per supportare la creazione di app line-of-business moderne:AD FS 2019 includes the following features to support building modern line-of-business apps (LOB):

• AD FS include ora il supporto del profilo del flusso di dispositivo OAuth per l'accesso tramite dispositivi senza una superficie di attacco dell'interfaccia utente per supportare esperienze di accesso avanzate. Questa funzionalità consente agli utenti di completare l'accesso in un dispositivo diverso. L'esperienza interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando) in Azure Stack richiede questa funzionalità ed è anche possibile usarla in altri scenari.

• Non è più necessario il parametro Resource per utilizzare AD FS, in linea con le specifiche OAuth correnti. I clienti devono ora fornire solo l'identificatore di attendibilità della relying party come parametro di ambito, insieme alle autorizzazioni richieste.

• È possibile usare le intestazioni CORS (Cross-Origin Resource Sharing) nelle risposte ad AD FS. Queste nuove intestazioni consentono agli utenti di compilare applicazioni a pagina singola che consentono alle librerie JavaScript lato client di convalidare la firma id_token eseguendo una query per le chiavi di firma dal documento di individuazione OIDC (Open ID Connect) in AD FS.

• AD FS include il supporto di Proof Key for Code Exchange (PKCE) per il flusso di codice di autenticazione sicuro all'interno di OAuth. Questo livello aggiuntivo di sicurezza impedisce ai malintenzionati di dirottare il codice e di rieseguirlo da un client diverso.

• È stato risolto un problema secondario che causava l'invio esclusivo dell'attestazione x5t da parte di AD FS. AD FS invia ora anche una attestazione kid per indicare l'ID chiave per la verifica della firma.

Miglioramenti del supporto

Gli amministratori possono ora configurare AD FS per consentire agli utenti di inviare segnalazioni errori ed eseguirne il debug come file ZIP per la risoluzione dei problemi. Gli amministratori possono anche configurare una connessione SMTP (Simple Mail Transfer Protocol) per inviare automaticamente il file ZIP a un account di posta elettronica di valutazione. Un'altra impostazione consente agli amministratori di creare automaticamente un ticket per il sistema di supporto in base a tale messaggio di posta elettronica.

Aggiornamenti della distribuzione

Gli aggiornamenti della distribuzione seguenti sono ora inclusi in AD FS 2019:

• AD FS ha una funzione simile alla versione di Windows Server 2016 che semplifica l'aggiornamento delle server farm di Windows Server 2016 in server farm di Windows Server 2019. Un server Windows Server 2019 aggiunto a una server farm di Windows Server 2016 si comporta solo come un server Windows Server 2016 fino a quando non si è pronti per l'aggiornamento. Per altre informazioni vedere Aggiornamento ad AD FS in Windows Server 2016.

Aggiornamenti SAML

AD FS 2019 include gli aggiornamenti SAML (Security Assertion Markup Language) seguenti:

• Sono stati risolti problemi nel supporto federativo aggregato, come ad esempio InCommon, in queste aree:

  • Miglioramento del dimensionamento per molte entità nel documento di metadati aggregato della federazione. In precedenza, il ridimensionamento per queste entità avrebbe avuto esito negativo e restituirà un messaggio di errore ADMIN0017.

  • È ora possibile eseguire query usando il parametro ScopeGroupID eseguendo il Get-AdfsRelyingPartyTrustsGroup cmdlet di PowerShell.

  • Miglioramento della gestione delle condizioni di errore per i valori entityID duplicati.

Specifica della risorsa in stile Azure AD nel parametro di ambito

Nelle versioni precedenti AD FS richiede che la risorsa e l'ambito desiderati siano inclusi in un parametro separato in una richiesta di autenticazione. Ad esempio, la richiesta OAuth di esempio seguente contiene un parametro di ambito:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope). Questa modifica è coerente con l'autenticazione con l'ID Microsoft Entra.

Il parametro di ambito può ora essere organizzato come elenco separato da spazi che struttura ogni entità come risorsa o ambito.

Nota

È possibile specificare una sola risorsa nella richiesta di autenticazione. Se si includono più risorse nella richiesta, AD FS restituisce un errore e l'autenticazione non riesce.