Новые возможности Windows Server 2022

Область применения: Windows Server 2022

В этой статье описаны некоторые новые функции Windows Server 2022. В основе операционной системы Windows Server 2022 лежит надежная платформа Windows Server 2019. Она предоставляет множество инновационных возможностей для работы с тремя основными областями: безопасность, гибридная интеграция и управление Azure, а также платформа приложений.

Выпуск Azure

Windows Server 2022 Datacenter: Выпуск Azure помогает использовать преимущества облака, чтобы поддерживать виртуальные машины в актуальном состоянии и свести к минимуму время простоя. В этом разделе описываются некоторые новые возможности Windows Server 2022 Datacenter: Выпуск Azure. Дополнительные сведения о том, как автоматическое управление Azure для Windows Server предоставляет эти новые возможности в выпуске Windows Server Azure, см. в статье Автоматическое управление Azure для служб Windows Server .

Windows Server 2022 Datacenter. Выпуск Azure основан на datacenter Edition, чтобы предоставить операционную систему только для виртуальных машин, которая помогает использовать преимущества облака с расширенными функциями, такими как SMB через QUIC, Hotpatch и расширенная сеть Azure. В этом разделе описываются некоторые из этих новых функций.

Сравните различия в выпусках Windows Server 2022. Дополнительные сведения о том, как служба автоматического управления Azure для Windows Server предоставляет эти новые возможности в выпуске Windows Server Azure, см. в статье Автоматическое управление Azure для служб Windows Server .

Сентябрь 2022 г.

В этом разделе перечислены функции и улучшения, которые теперь доступны в Windows Server Datacenter: Выпуск Azure, начиная с накопительного пакета обновления 2022-09 для серверной операционной системы Майкрософт версии 21H2 для 64-разрядных систем (KB5017381). После установки накопительного обновления номер сборки ОС будет 20348.1070 или выше.

Сжатие реплики хранилища для передачи данных

Это обновление включает сжатие реплики хранилища для данных, передаваемых между исходным и целевым серверами. Эта новая функция сжимает данные репликации в исходной системе, отправляемые по сети и распакованные и сохраненные в назначении. Сжатие приводит к меньшему количеству сетевых пакетов для передачи того же объема данных, что обеспечивает большую пропускную способность и меньшее использование сети. Более высокая пропускная способность данных также должна привести к снижению времени синхронизации, когда она вам нужна больше всего, например в сценарии аварийного восстановления.

Новые параметры PowerShell реплики хранилища доступны для существующих команд. Дополнительные сведения см. в справочнике по Windows PowerShell StorageReplica. Дополнительные сведения о реплике хранилища см. в статье Общие сведения о реплике хранилища.

Поддержка Azure Stack HCI

В этом выпуске вы можете запустить Windows Server 2022 Datacenter: Azure Edition в качестве поддерживаемой гостевой виртуальной машины в Azure Stack HCI версии 22H2. В Выпуске Azure, работающем в Azure Stack HCI, вы сможете использовать все существующие функции, включая Hotpatch for Server Core и SMB over QUIC , в центре обработки данных и пограничных расположениях.

Начните развертывание Windows Server 2022 Datacenter: Azure Edition с помощью Azure Marketplace в Azure Stack HCI с поддержкой Arc или iso. Iso-файл можно скачать здесь:

Подписка Azure позволяет использовать Windows Server Datacenter: Azure Edition на любых экземплярах виртуальных машин, работающих в Azure Stack HCI. Дополнительные сведения см. в разделе Условия продукта.

Дополнительные сведения о последних функциях Azure Stack HCI см. в статье Новые возможности Azure Stack HCI версии 22H2 .

Развертывание из Azure Marketplace в Azure Stack HCI с поддержкой Arc (предварительная версия)

Windows Server 2022 Datacenter: образы выпуска Azure будут доступны в Azure Marketplace для Azure Stack HCI с поддержкой Arc, что упрощает попытку, покупку и развертывание с помощью сертифицированных образов Azure.

Дополнительные сведения об интеграции Azure Marketplace для функций Azure Stack HCI с поддержкой Azure Arc см. в статье Новые возможности Azure Stack HCI версии 22H2.

Выпуск Azure (первоначальный выпуск)

В этом разделе перечислены функции и улучшения, доступные в Windows Server Datacenter: Выпуск Azure с выпуском в сентябре 2021 г.

Автоматическое управление Azure — горячее исправление

Горячее исправление, которое входит в состав службы "Автоматическое управление Azure", — это новый способ установки обновлений на новых виртуальных машинах Windows Server Azure Edition, который не требует перезагрузки после установки. Дополнительные сведения см. в документации по службе автоматического управления.

SMB по QUIC

SMB через QUIC обновляет протокол SMB 3.1.1, чтобы использовать протокол QUIC вместо TCP в Windows Server 2022 Datacenter: Azure Edition, Windows 11 и более поздних версиях, а также сторонние клиенты, если они его поддерживают. Используя протокол SMB по QUIC вместе с TLS 1.3, пользователи и приложения могут безопасно и надежно получать доступ к данным из пограничных файловых серверов, работающих в Azure. Пользователям мобильных устройств и удаленным сотрудникам больше не нужен VPN для доступа к своим файловым серверам по протоколу SMB при использовании Windows. Дополнительные сведения см. в документации по SMB по QUIC и в рекомендациях по управлению SMB через QUIC с помощью автоматического управления компьютерами.

Дополнительные сведения о QUIC см. в статье RFC 9000.

Расширенная сеть для Azure

Расширенная сеть Azure позволяет расширить локальную подсеть в Azure, чтобы локальные виртуальные машины после миграции в Azure сохранили исходные частные IP-адреса из локальной среды. Дополнительные сведения об этом см. в статье Расширенная сеть Azure.

Все выпуски

В этом разделе описываются некоторые новые функции Windows Server 2022 во всех выпусках. Дополнительные сведения о различных выпусках см. в статье Сравнение выпусков Standard, Datacenter и Datacenter: Azure Editions of Windows Server 2022 .

Безопасность

Новые возможности обеспечения безопасности в Windows Server 2022 сочетают в себе другие возможности обеспечения безопасности Windows Server в разных областях. Это обеспечивает надежную защиту от дополнительных угроз. Расширенная многоуровневая защита в Windows Server 2022 предоставляет комплексную защиту, которая в настоящее время необходима серверам.

Сервер с защищенным ядром

Сертифицированное защищенное основное серверное оборудование от oem-партнера обеспечивает дополнительные средства защиты, которые полезны для защиты от сложных атак. Сертифицированное серверное оборудование с защищенными ядрами может обеспечить повышенную уверенность при обработке критически важных данных в некоторых наиболее чувствительных к данным отраслях. Сервер с защищенным ядром использует возможности оборудования, встроенного ПО и драйверов для включения расширенных функций безопасности Windows Server. Многие из этих функций доступны на компьютерах Windows с защищенным ядром, а теперь также доступны при использовании серверного оборудования с защищенным ядром и Windows Server 2022. Дополнительные сведения о сервере с защищенным ядром см. в этой статье.

Корень доверия оборудования

Используемые такими функциями, как шифрование диска BitLocker, защищенные микросхемы криптопроцессоров доверенного платформенного модуля 2.0 (TPM 2.0) обеспечивают безопасное аппаратное хранилище для конфиденциальных криптографических ключей и данных, включая измерения целостности систем. TPM 2.0 может убедиться, что сервер запущен с допустимым кодом и может быть доверенным путем последующего выполнения кода, известного как аппаратный корень доверия.

Защита встроенного ПО

Встроенное ПО работает с высокими привилегиями и часто невидимо для традиционных антивирусных решений, что привело к увеличению количества атак с соответствующим направлением. Серверы с защищенными ядрами измеряют и проверяют процессы загрузки с помощью технологии динамического корня доверия для измерения (DRTM). Серверы с защищенными ядрами также могут изолировать доступ драйверов к памяти с помощью защиты прямого доступа к памяти (DMA).

Безопасная загрузка UEFI

Безопасная загрузка UEFI — это стандарт безопасности, защищающий серверы от вредоносных программ rootkit. Безопасная загрузка гарантирует, что сервер загружает только встроенное ПО и программное обеспечение, доверенное для производителя оборудования. При запуске сервера встроенное ПО проверяет подпись каждого компонента загрузки, включая драйверы встроенного ПО и ОС. Если подписи действительны, сервер загружается, а встроенное ПО предоставляет управление операционной системе.

Безопасность на базе виртуализации (VBS)

Серверы с защищенным ядром поддерживают технологии защиты на основе виртуализации (VBS) и обеспечения целостности кода на основе гипервизора (HVCI). VBS использует функции аппаратной виртуализации для создания и изоляции безопасной области памяти от обычной операционной системы, защищая от целого класса уязвимостей, используемых в атаках майнинга криптовалюты. VBS также позволяет использовать Credential Guard, где учетные данные пользователя и секреты хранятся в виртуальном контейнере, к которому операционная система не может получить прямой доступ.

HVCI использует VBS для значительного усиления политики целостности кода. Целостность режима ядра предотвращает загрузку неподписанных драйверов или системных файлов в системную память.

Защита данных ядра (KDP) обеспечивает защиту памяти ядра только для чтения с неисполняемыми данными, где страницы памяти защищены гипервизором. KDP защищает ключевые структуры среды выполнения System Guard в Защитнике Windows от несанкционированного изменения.

Безопасное подключение

Транспортировка: протоколы HTTPS и TLS 1.3 по умолчанию включены в Windows Server 2022

Безопасные подключения являются основой современных взаимосвязанных систем. Transport Layer Security (TLS) 1.3 — это последняя версия наиболее распространенного протокола безопасности в Интернете, который шифрует данные для обеспечения безопасного канала связи между двумя конечными точками. Протоколы HTTPS и TLS 1.3 теперь включены по умолчанию в Windows Server 2022. Они защищают данные клиентов, подключающихся к серверу. Это позволяет отказаться от устаревших алгоритмов шифрования и повысить уровень безопасности по сравнению с более старыми версиями. Кроме того, эти протоколы предоставляют возможность шифровать максимально возможное количество подтверждений. Дополнительные сведения о поддерживаемых версиях TLS и наборах шифров.

Хотя TLS 1.3 на уровне протоколов теперь включен по умолчанию, приложения и службы также должны его активно поддерживать. Более подробные сведения можно найти в записи блога Майкрософт по безопасности: Вывод протокола Transport Layer Security (TLS) на новый уровень с версией TLS 1.3.

Безопасный клиент DNS: шифрование запросов разрешения DNS-имени с помощью клиента DNS по протоколу HTTPS

Клиент DNS в Windows Server 2022 теперь поддерживает использование клиента DNS по протоколу HTTPS (DoH), который шифрует запросы DNS по протоколу HTTPS. DoH помогает сохранить трафик как можно более закрытым, предотвращая прослушивание и управление данными DNS. Дополнительные сведения о настройке DNS-клиента для использования DoH.

Протокол SMB: шифрование SMB AES-256 для обеспечения максимальной безопасности

Windows Server теперь поддерживает наборы шифрования AES-256-GCM и AES-256-CCM для шифрования SMB. Windows будет автоматически согласовывать более сложный метод шифра при подключении к другому компьютеру, который также поддерживает его, и он также может быть санкционирован через групповая политика. Windows Server по-прежнему поддерживает шифрование AES-128 для обеспечения совместимости нижнего уровня. Процесс AES-128-GMAC теперь также повышает производительность подписывания.

Протокол SMB: элементы управления шифрованием SMB в направлении с востока на запад для обмена данными между внутренними кластерами

Отказоустойчивые кластеры Windows Server теперь поддерживают гибкий контроль над шифрованием и подписыванием обмена данными внутри узлов для общих томов кластера (CSV) и уровня шины хранилища (SBL). При использовании Локальные дисковые пространства теперь можно зашифровать или подписать обмен данными между востоком и западом в самом кластере для повышения безопасности.

Шифрование SMB Direct и RDMA

SMB Direct и RDMA предоставляют высокую пропускную способность, сетевую структуру с низкой задержкой для рабочих нагрузок, таких как Локальные дисковые пространства, реплика хранилища, Hyper-V, масштабируемый файловый сервер и SQL Server. Функция SMB Direct в Windows Server 2022 теперь поддерживает шифрование. Раньше при включении шифрования SMB функция прямого размещения данных отключалась. Это было сделано намеренно. Однако это серьезно влияло на производительность. Теперь шифрование данных выполняется до их размещения, благодаря чему происходит относительно небольшое снижение производительности при обеспечении конфиденциальности пакетов, защищаемых с помощью AES-128 и AES-256.

Дополнительные сведения о шифровании SMB, ускорении подписывания, защите RDMA и поддержке кластеров см. в статье Улучшения безопасности SMB.

Гибридные возможности Azure

Вы можете повысить эффективность и гибкость благодаря встроенным гибридным возможностям в Windows Server 2022, которые позволяют расширять центры обработки данных в Azure гораздо удобнее.

Серверы Windows с поддержкой Azure Arc

Серверы с поддержкой Azure Arc с Windows Server 2022 позволяют использовать локальные и многооблачные серверы Windows в Azure с помощью Azure Arc. Этот интерфейс управления должен соответствовать способу управления собственными виртуальными машинами Azure. Если компьютер с гибридной рабочей ролью, не относящийся к Azure, подключен к Azure, он становится подключенным компьютером и рассматривается как ресурс в Azure. Дополнительные сведения см. в документации по серверам с поддержкой Azure Arc.

Windows Admin Center;

К улучшениям Windows Admin Center для управления Windows Server 2022 относятся возможности составлять отчет о текущем состоянии функций защищенного ядра, упомянутых выше, а также предоставление возможности клиентам включать эти функции. Дополнительные сведения об этих и многих других улучшениях в Windows Admin Center см. в этой документации.

Платформа приложений

Для контейнеров Windows выполнено несколько улучшений платформы. Улучшена совместимость приложений и работа с контейнерами Windows с помощью Kubernetes.

Ниже перечислены некоторые новые функции.

  • Уменьшенный размер образа контейнера Windows до 40 %, что на 30 % сокращает время запуска и улучшает производительность.

  • Теперь приложения могут использовать Azure Active Directory с групповыми управляемыми учетными записями служб (gMSA) без присоединения домена к узлу контейнера. Контейнеры Windows теперь также поддерживают управление распределенными транзакциями Майкрософт (MSDTC) и очередь сообщений Майкрософт (MSMQ).

  • Простые шины теперь можно назначать изолированным от процесса контейнерам Windows Server. Приложения, работающие в контейнерах, которым необходимо взаимодействовать по SPI, I2C, GPIO и UART/COM, теперь могут делать это.

  • Мы включили поддержку аппаратного ускорения API DirectX в контейнерах Windows для поддержки таких сценариев, как вывод машинного обучения с использованием оборудования локальной графической обработки (GPU). Дополнительные сведения см. в записи блога Обеспечение ускорения с помощью графического процессора для контейнеров Windows.

  • Есть несколько других улучшений, упрощающих работу контейнеров Windows с помощью Kubernetes. Эти улучшения включают поддержку контейнеров хост-процессов для конфигурации узла, IPv6 и постоянную реализацию политики сети с помощью Calico.

  • Windows Admin Center обновлена, чтобы упростить контейнеризацию приложений .NET. После того как приложение окажется в контейнере, его можно разместить в Реестре контейнеров Azure, чтобы затем развернуть в других службах Azure, включая службу Azure Kubernetes.

  • Благодаря поддержке процессоров Intel Ice Lake Windows Server 2022 поддерживает критически важные для бизнеса и крупномасштабные приложения, которым требуется до 48 ТБ памяти и 2048 логических ядер, работающих в 64 физических сокетах. Конфиденциальные вычисления с помощью технологии Intel Secured Guard Extension (SGX) в Intel Ice Lake повышают безопасность приложений за счет изоляции приложений друг от друга в защищенной области памяти.

Дополнительные сведения о новых функциях см. в статье Новые возможности контейнеров Windows в Windows Server 2022.

Другие ключевые особенности

Планировщик задач и диспетчер Hyper-V для установки основных серверных компонентов

Мы добавили два средства управления в пакет функций совместимости приложений по запросу в этой версии: планировщик задач (taskschd.msc) и диспетчер Hyper-V (virtmgmt.msc). Дополнительные сведения см. в статье Функция обеспечения совместимости приложений основных серверных компонентов по запросу (FOD).

Вложенная виртуализация для процессоров AMD

Вложенная виртуализация — это компонент, который позволяет запускать Hyper-V в виртуальной машине (ВМ) Hyper-V. Windows Server 2022 поддерживает вложенную виртуализацию с помощью процессоров AMD, предоставляя больший выбор оборудования для вашего окружения. Дополнительные сведения см. в документации по вложенной виртуализации.

Браузер Microsoft Edge

Браузер Microsoft Edge включен в состав Windows Server 2022, заменив Internet Explorer. Он основан на Chromium открытый код и поддерживается безопасностью и инновациями Майкрософт. Его можно использовать с вариантами установки основных сервера с возможностями рабочего стола. Дополнительные сведения можно найти в документации по корпоративной версии Microsoft Edge. Microsoft Edge, в отличие от остальной части Windows Server, следует современному жизненному циклу для своего жизненного цикла поддержки. Дополнительные сведения см. в документации по жизненному циклу Microsoft Edge.

Производительность сети

Повышение производительности UDP

UDP становится популярным протоколом с большим объемом сетевого трафика из-за растущей популярности RTP и пользовательских протоколов потоковой передачи и игровых протоколов. Протокол QUIC, созданный на основе протокола UDP, повышает производительность UDP до уровня возможностей TCP. Важно отметить, что Windows Server 2022 реализует разгрузку сегментации UDP (USO). USO переносит большую часть работы, необходимой для отправки пакетов UDP, с ЦП на специализированное оборудование сетевого адаптера. Хваленый метод USO включает функцию объединения на стороне приема UDP (UDP RSC), которая объединяет пакеты и снижает использование ЦП для обработки UDP. Кроме того, мы внесли сотни улучшений в путь передачи данных UDP, как для передачи, так и для приема. Windows Server 2022 и Windows 11 уже включают эту новую возможность.

Повышенная производительность TCP

Windows Server 2022 использует TCP HyStart++ для уменьшения потери пакетов при запуске соединения (особенно в высокоскоростных сетях) и RACK для уменьшения времени ожидания повторной передачи (RTO). Эти функции включены в транспортном стеке по умолчанию и обеспечивают более плавный сетевой поток данных с лучшей производительностью на высоких скоростях. Windows Server 2022 и Windows 11 уже включают эту новую возможность.

Улучшение виртуального коммутатора Hyper-V

Виртуальные коммутаторы в Hyper-V дополнены обновленной функцией объединения полученных сегментов (RSC). RSC позволяет сети низкоуровневой оболочки объединять пакеты и обрабатывать их как один более крупный сегмент. Это значительно сокращает количество циклов процессора. Сегменты остаются объединенными во всем пути данных до тех пор, пока они не будут обработаны предполагаемым приложением. RSC повышает производительность сетевого трафика от внешнего узла, полученного виртуальным сетевым адаптером, и от виртуального сетевого адаптера к другому виртуальному сетевому адаптеру на том же узле.

Обнаружение аномалий диска с помощью функции системной аналитики

System Insights имеет еще одну возможность с помощью Windows Admin Center обнаружения аномалий диска.

Обнаружение аномалий диска — это новая возможность, которая определяет, когда диски ведут себя иначе, чем обычно. Хотя отличия не обязательно указывают на проблемы, просмотр этих аномальных моментов может быть полезен при устранении неполадок в ваших системах. Эта возможность также доступна для серверов под управлением Windows Server 2019.

Улучшения отката обновлений Windows

Серверы теперь могут автоматически восстанавливаться после сбоев при запуске, удаляя обновления, если сбой при запуске возник после установки последних драйверов или исправлений Windows. Если после недавней установки исправлений драйверов устройство не может загрузиться должным образом, Windows автоматически удалит обновления, чтобы устройство снова заработало в нормальном режиме.

Эта функция требует, чтобы сервер использовал вариант установки основных серверных компонентов с разделом среды восстановления Windows.

Служба хранилища

Служба миграции хранилища

Улучшения службы миграции хранилища в Windows Server 2022 упрощают перенос хранилища в Windows Server или в Azure из большего числа расположений источников. Ниже приведены функции, доступные при запуске оркестратора сервера миграции хранилищ в Windows Server 2022.

  • Перенос локальных пользователей и групп на новый сервер.
  • Перенос хранилища из отказоустойчивых кластеров, перенос в отказоустойчивые кластеры и перенос между автономными серверами и отказоустойчивыми кластерами.
  • Перенос хранилища с сервера Linux, использующего Samba.
  • Более простая синхронизация перенесенных общих ресурсов в Azure с помощью компонента "Синхронизация файлов Azure".
  • Перенос в новые сети, такие как Azure.
  • Перенос серверов NetApp CIFS из массивов NetApp на серверы и кластеры Windows.

Регулируемая скорость восстановления хранилища

Настраиваемая пользователем скорость восстановления хранилища — это новая функция в Локальные дисковые пространства, которая обеспечивает больший контроль над процессом повторной синхронизации данных. Регулируемая скорость восстановления хранилища позволяет выделять ресурсы для восстановления копий данных (устойчивость) или для выполнения активных рабочих нагрузок (производительность). Управление скоростью восстановления помогает повысить доступность и позволяет более гибко и эффективно обслуживать кластеры.

Более быстрое восстановление и повторная синхронизация

Восстановление хранилища и повторная синхронизация после таких событий, как перезагрузка узла и сбой диска, стали в два раза быстрее. Для восстановления обеспечивается меньшее отклонение по времени, поэтому вы будете знать более точную длительность операций исправления, что достигается за счет увеличения детализации при отслеживании данных. Восстановление теперь перемещает только те данные, которые необходимо переместить, сокращая используемые системные ресурсы и время.

Кэш шины хранилища с использованием дисковых пространств на отдельных серверах

Кэш шины хранилища теперь доступен для отдельных серверов. Это может значительно повысить производительность чтения и записи, сохраняя эффективность хранения и обеспечивая низкие эксплуатационные затраты. Как и в случае с реализацией Локальных дисковых пространств, эта функция связывает быстрый носитель (например, NVMe или SSD) с более медленным (например, HDD) для создания уровней. Часть более быстрого уровня носителя резервируется для кэша. Дополнительные сведения см. в статье Включение кэша шины хранилища с использованием дисковых пространств на отдельных серверах.

Моментальные снимки на уровне файлов ReFS

Система Resilient File System (ReFS) корпорации Майкрософт теперь поддерживает возможность создания моментальных снимков файлов с использованием быстрой операции с метаданными. Моментальные снимки отличаются от клонирования блоков ReFS в том, что клоны доступны для записи, а моментальные снимки доступны только для чтения. Эта функция особенно полезна в сценариях резервного копирования виртуальных машин с VHD/VHDX-файлами. Моментальные снимки ReFS уникальны в том смысле, что они занимают константное время независимо от размера файла. Поддержка моментальных снимков доступна в ReFSUtil или в виде API.

Сжатие SMB

Усовершенствование протокола SMB в Windows Server 2022 и Windows 11 позволяет пользователю или приложению сжимать файлы по мере их передачи по сети. Пользователям больше не нужно вручную сжимать ZIP-файлы для ускорения их передачи в медленных или более перегруженных сетях. Дополнительные сведения см. в документации по сжатию SMB.