Новые возможности Windows Server 2016

  • Статья

В этой статье описаны некоторые новые функции Windows Server 2016, которые, скорее всего, окажут наибольшее влияние во время работы с этим выпуском.

Службы вычислений

Область виртуализации охватывает продукты для виртуализации и средства разработки, развертывания и поддержки Windows Server для ИТ-специалистов.

Общие

Преимущества для физических и виртуальных машин — повышена точность времени благодаря усовершенствованию служб синхронизации Win32 Time и Hyper-V Time. В Windows Server теперь можно разместить службы, которые будут соответствовать растущим стандартам точности времени (1 мс относительно времени UTC).

Hyper-V

  • Новые возможности Hyper-V в Windows Server 2016. В этом разделе рассматриваются новые и измененные функции роли Hyper-V в Windows Server 2016, клиента Hyper-V в Windows 10 и Microsoft Hyper-V Server 2016.

  • Контейнеры Windows: поддержка контейнеров в Windows Server 2016 обеспечивает повышение производительности, упрощенное управления сетями и использование контейнеров Windows в Windows 10. Дополнительные сведения о контейнерах см. в разделе Containers: Docker, Windows and Trends (Контейнеры: Docker, Windows и тенденции).

Nano Server

Новые возможности сервера Nano Server. В Nano Server обновлен модуль для создания образов Nano Server. Это обновление включает дополнительное разграничение функций физического узла и гостевой виртуальной машины, а также поддержку разных выпусков Windows Server.

Кроме того, усовершенствован агент восстановления: разграничены правила брандмауэра для входящего и исходящего трафика, а также добавлена возможность восстановить настройки службы WinRM.

Экранированные виртуальные машины

Windows Server 2016 предоставляет новые экранированные виртуальные машины на основе Hyper-V для защиты любой виртуальной машины поколения 2 от скомпрометированной структуры. В число функций, реализованных в Windows Server 2016, входят следующие:

  • Новый режим Поддержка шифрования обеспечивает более надежную защиту, чем для обычной виртуальной машины, но менее надежную, чем режим Экранирование. При этом он поддерживает vTPM, шифрование дисков, шифрование трафика динамической миграции и другие компоненты, в том числе такие преимущества непосредственного администрирования структуры, как подключение консоли виртуальной машины и Powershell Direct.

  • Полная поддержка для преобразования существующих неэкранированных виртуальных машин второго поколения в экранированные виртуальные машины, в том числе автоматическое шифрование дисков.

  • Диспетчер виртуальных машин Hyper-V теперь отображает структуры, в которых авторизованы для выполнения экранированные виртуальные машины. Это позволяет администратору структуры открыть предохранитель ключа (KP) экранированной виртуальной машины и просмотреть структуры, в которых ей разрешено выполнение.

  • Вы можете переключать режимы аттестации на выполняющиеся службы защиты узла. Теперь вы можете немедленно переключаться между менее безопасной, но более простой аттестацией для Active Directory и аттестацией для доверенного платформенного модуля.

  • Комплексные средства диагностики на основе Windows PowerShell, которые позволяют обнаружить неверные настройки или ошибки в защищенных узлах Hyper-V и службе защиты узла.

  • Среда восстановления, которая обеспечивает средства безопасного устранения неполадок и восстановления экранированных виртуальных машин в обычной структуре их выполнения. Она предоставляет тот же уровень защиты, что и собственно экранированная виртуальная машина.

  • Поддержка службы защиты узла для существующего безопасного Active Directory — вы можете указать службе защиты узла использовать существующий лес Active Directory вместо создания собственного экземпляра Active Directory.

Дополнительные сведения и инструкции по работе с экранированными виртуальными машинами см. в статье Защищенная структура и экранированные виртуальные машины.

Идентификация и доступ

Новые компоненты удостоверения повышают уровень защиты окружений Active Directory для организаций, а также помогают перейти к развертываниям только для облачной среды и гибридным развертываниям, в которых некоторые приложения и службы размещены в облаке, а другие — на локальном компьютере.

Службы сертификатов Active Directory

Для служб сертификатов Active Directory (AD CS) в Windows Server 2016 увеличена поддержка аттестации ключей доверенного платформенного модуля. Теперь можно использовать KSP смарт-карты для аттестации ключей. Для устройств, не присоединенных к домену, теперь можно использовать регистрацию NDES, чтобы получить сертификат, который можно аттестовать для ключей в доверенном платформенном модуле.

Доменные службы Active Directory

Доменные службы Active Directory содержат усовершенствования, которые помогут организациям обеспечить безопасность сред Active Directory и повысить эффективность выполнения задач по управлению удостоверениями для корпоративных и персональных устройств. Дополнительные сведения см. в статье Новые возможности доменных служб Active Directory (AD DS) в Windows Server 2016.

службы федерации Active Directory;

Новые возможности служб федерации Active Directory. В состав служб федерации Active Directory (AD FS) в Windows Server 2016 включены новые возможности, которые позволяют настраивать AD FS для проверки подлинности пользователей, хранящихся в каталогах LDAP. Дополнительные сведения см. в статье Новые возможности служб федерации Active Directory.

Прокси-сервер веб-приложения

Последняя версия прокси-службы веб-приложения обеспечивает новые возможности для публикации и предварительной проверки подлинности дополнительных приложений, а также удобство работы пользователей. Ознакомьтесь с полным списком новых возможностей, включающих предварительную проверку подлинности многофункциональных клиентских приложений, таких как Exchange ActiveSync, и домены с подстановочными знаками для упрощения публикации приложений SharePoint. Дополнительные сведения см. в статье Прокси-служба веб-приложения в Windows Server 2016.

Администрирование

Область управления и автоматизации содержит средства и справочную информацию, которые необходимы ИТ-специалистам для запуска выпуска Windows Server 2016 и управления им, в том числе Windows PowerShell.

Windows PowerShell 5.1 содержит важные новые компоненты, в том числе поддержку разработки с использованием классов и новые средства безопасности, которые расширяют возможности использования, повышают удобство использования и упрощают комплексное управление средами для Windows. Подробные сведения см. в статье Заметки о выпуске Windows Management Framework (WMF) 5.x.

Новые функции в Windows Server 2016: возможность запускать PowerShell.exe локально на сервере Nano Server (теперь доступ не только удаленный), новые командлеты для локальных пользователей и групп для замены графического интерфейса пользователя, реализована поддержка отладки PowerShell, а также поддержка ведения и расшифровки журнала безопасности и JEA в Nano Server.

Ниже приведены некоторые другие новые функции администрирования.

Настройка требуемого состояния (DSC) PowerShell в Windows Management Framework (WMF) 5

Windows Management Framework 5 включает в себя обновления для настройки требуемого состояния (DSC) Windows PowerShell, службы удаленного управления Windows (WinRM) и инструментария управления Windows (WMI).

Дополнительные сведения о тестировании возможностей DSC в Windows Management Framework 5 см. в серии записей блога Validate features of PowerShell DSC (Проверка компонентов PowerShell DSC). Чтобы скачать Windows Management Framework 5.1, перейдите в этот раздел.

Унифицированное управление пакетами PackageManagement для обнаружения программного обеспечения, установки и инвентаризации

Windows Server 2016 и Windows 10 включает новую функцию PackageManagement (раньше она называлась OneGet). С ее помощью ИТ-специалисты и разработчики могут автоматизировать удаленные или локальные операции обнаружения, установки и инвентаризации ПО. При этом не важно, какая технология установщика используется и где это ПО расположено.

Подробнее см. по адресу https://github.com/OneGet/oneget/wiki.

Усовершенствования PowerShell для облегчения цифровых расследований и снижения угроз безопасности

Чтобы помочь группе, расследующей нарушения безопасности (ее иногда называют "blue team"), мы добавили функции ведения журналов PowerShell и другие функциональные возможности цифровых расследований, а также возможности для сокращения числа уязвимостей в скриптах, например ограниченный режим в PowerShell и безопасные API CodeGeneration.

Дополнительные сведения см. в статье, посвященной PowerShell на стороне синих.

Сеть

Эта область сети охватывает сетевые продукты и компоненты, позволяющие ИТ-специалистам проектировать, развертывать и обслуживать Windows Server 2016.

Программно-определяемая сеть

Теперь доступны зеркалирование и маршрутизация трафика для новых или существующих виртуальных модулей. Вместе с распределением брандмауэра и групп безопасности сети вы получаете возможность динамически сегментировать и защищать рабочие нагрузки так же, как в Azure. Кроме того, вы можете развертывать целый стек программно конфигурируемой сети (SDN) и управлять ими с помощью System Center Virtual Machine Manager. И, наконец, с помощью Docker вы можете управлять сетью контейнеров Windows Server и связывать политики SDN не только с виртуальными машинами, но и с контейнерами. Дополнительные сведения см. в статье, посвященной планированию инфраструктуры программно-конфигурируемой сети.

Повышенная производительность TCP

Начальный период перегрузки (ICW) по умолчанию был увеличен с 4 до 10, а также была реализована функция TCP Fast Open (TFO). TFO сокращает время, необходимое для установки TCP-соединения, а увеличенный период ICW позволяет передавать более крупные объекты в рамках начальной отправки. Такое сочетание может значительно снизить время, необходимое для передачи интернет-объекта между клиентом и облаком.

Чтобы улучшить поведение TCP при восстановлении после потери пакетов, мы реализовали функции Tail Loss Probe (TLP) и Recent Acknowledgement (RACK). TLP позволяет преобразовать время ожидания повторной передачи в быстрое восстановление, а RACK сокращает время, необходимое быстрому восстановлению для повторной передачи потерянного пакета.

Безопасность и контроль

Область безопасности и контроля включает решения и компоненты в области безопасности, которые ИТ-специалисты могут развертывать в центре обработки данных и облачном окружении. Общие сведения о безопасности в Windows Server 2016 см. в статье Безопасность и контроль.

Администрирование по принципу «необходимого минимума»

Just Enough Administration в Windows Server 2016 — это технология безопасности, позволяющая делегировать администрирование всех компонентов, которыми можно управлять через Windows PowerShell. Возможности включают в себя поддержку выполнения с сетевым удостоверением, подключения через PowerShell Direct, безопасное копирование файлов из конечных точек JEA или в них, а также настройку консоли PowerShell для запуска в контексте JEA по умолчанию. Дополнительные сведения см. в статье о JEA на GitHub.

Credential Guard

Для защиты секретов Credential Guard использует безопасность на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным. См. статью Защита извлеченных учетных данных домена с помощью Credential Guard.

Удаленный Credential Guard

Credential Guard поддерживает сеансы RDP, чтобы учетные данные пользователя оставались на стороне клиента и не предоставлялись на стороне сервера. Это также обеспечивает единый вход для удаленного рабочего стола. См. сведения в статье Защита извлеченных учетных данных домена с помощью Credential Guard.

Device Guard (целостность кода)

Device Guard обеспечивает целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI) путем создания политик, которые указывают, какой код может выполняться на сервере. См. сведения в статье Windows Defender Application Control and virtualization-based protection of code integrity (Управление приложениями в Защитнике Windows и безопасность целостности кода на основе виртуализации).

Защитник Windows

Обзор Защитника Windows для Windows Server 2016. В Windows Server 2016 установлено и включено по умолчанию ПО защиты от вредоносных программ Windows Server Antimalware, однако пользовательский интерфейс для этого ПО не установлен. Тем не менее, Windows Server Antimalware будет обновлять определения для антивредоносного ПО и защищать компьютер без пользовательского интерфейса. Если вам требуется пользовательский интерфейс для Windows Server Antimalware, его можно установить после установки операционной системы, воспользовавшись мастером добавления ролей и компонентов.

Защита потока управления

Защита потока управления (CFG) — это компонент безопасности платформы, предназначенный для борьбы с уязвимостями на базе повреждения памяти. Дополнительные сведения см. в статье Защита потока управления.

Хранилище

Хранилище в Windows Server 2016 включает новые возможности и усовершенствования для программно-определяемого хранилища, а также для традиционных файловых серверов. Ниже представлено лишь несколько новых функций, дополнительные сведения см. в статье Новые возможности хранилища в Windows Server 2016.

Локальные дисковые пространства

Локальные дисковые пространства позволяют создавать масштабируемые хранилища с высоким уровнем доступности с помощью серверов с локальным хранилищем. Они упрощают развертывание и администрирование программно-определяемых систем хранения данных и открывают возможность использования дисковых устройств новых классов, например SATA SSD и NVMe. Ранее для кластерных дисковых пространств с общими дисками это было невозможно.

Дополнительные сведения см. в статье Локальные дисковые пространства.

Реплика хранилища

Реплика хранилища реализует независимую от хранилища синхронную репликацию между серверами или кластерами на уровне блоков для аварийного восстановления, а также растягивание отказоустойчивого кластера между сайтами. Синхронная репликация позволяет зеркально отображать данные в физических расположениях с отказоустойчивыми томами, что полностью предотвращает потерю данных на уровне файловой системы. Асинхронная репликация позволяет использовать физические расположения за пределами города, но при этом вероятна потеря данных.

Дополнительные сведения см. в статье Реплика хранилища.

Качество обслуживания хранилища

Функцию качества обслуживания хранилища (QoS) теперь можно использовать для централизованного отслеживания общей производительности хранилища, а также для создания политик управления с помощью Hyper-V и кластеров CSV в Windows Server 2016.

Дополнительные сведения см. в статье Качество обслуживания хранилища.

Отказоустойчивая кластеризация

Windows Server 2016 включает ряд новых возможностей и усовершенствований для нескольких серверов, которые группируются в один отказоустойчивый кластер с помощью функции отказоустойчивой кластеризации. Дополнения приведены ниже; более полный список см. в статье Новые возможности отказоустойчивой кластеризации в Windows Server 2016.

Последовательное обновление ОС кластера

Последовательное обновление ОС кластера позволяет администратору обновлять ОС узлов кластера с Windows Server 2012 R2 до Windows Server 2016, не останавливая рабочие нагрузки Hyper-V или масштабируемого файлового сервера. Благодаря этой функции можно избежать штрафов за простои, которые полагаются согласно соглашениям об уровне обслуживания.

Дополнительные сведения см. в статье Последовательное обновление ОС кластера.

Облако-свидетель.

Облако-свидетель — это новый тип свидетеля кворума отказоустойчивого кластера в Windows Server 2016, который использует Microsoft Azure в качестве точки арбитража. Облако-свидетель, как любой другой свидетель кворума, получает голос и может участвовать в подсчете кворума. Вы можете настроить облако-свидетель в качестве свидетеля кворума с помощью мастера настройки кворума кластера.

Дополнительные сведения см. в статье Развертывание облака-свидетеля.

Служба работоспособности

Служба работоспособности улучшает повседневные операции, мониторинг и обслуживание ресурсов кластера в локальных дисковых пространствах.

Дополнительные сведения см. в статье Служба работоспособности.

Разработка приложений

Службы IIS 10.0

Новые возможности веб-сервера IIS 10.0 в Windows Server 2016:

  • Поддержка протокола HTTP/2 в стеке сети и интеграция с IIS 10.0, благодаря которой веб-сайты IIS 10.0 могут автоматически обрабатывать запросы HTTP/2 для поддерживаемых конфигураций. Если сравнивать с результатами использования HTTP/1.1, увеличена эффективность повторного использования подключений, уменьшена задержка, улучшено время загрузки веб-страниц.
  • Возможность запускать службы IIS 10.0 и управлять ими в Nano Server. Сведения об IIS на сервере Nano Server.
  • Поддержка заголовков узла с подстановочными знаками, благодаря которой администраторы могут настроить веб-сервер для домена так, чтобы этот веб-сервер обрабатывал запросы и для поддоменов.
  • Новый модуль PowerShell (IISAdministration) для управления IIS.

Дополнительные сведения см. в статье об IIS.

Координатор распределенных транзакций (MSDTC)

В Microsoft Windows 10 и Windows Server 2016 добавлены три новые возможности:

  • Диспетчер ресурсов может использовать новый интерфейс для метода Rejoin, чтобы определить результат сомнительной транзакции после перезагрузки базы данных из-за ошибки. Дополнительные сведения см. в статье о IResourceManagerRejoinable::Rejoin.

  • Максимальный размер DSN-имени увеличен с 256 до 3072 байтов. Дополнительные сведения см. в статьях об IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate и IDtcToXaMapper::RequestNewResourceManager.

  • Теперь можно настроить раздел реестра так, чтобы включить путь к файлу образа в имя файла журнала трассировки, упростив таким образом поиск нужного файла журнала трассировки. Дополнительные сведения о настройке диагностической трассировки для MSDTC на компьютере под управлением Windows см. в этой статье.