Novità di Windows Server 2019
Questo articolo descrive alcune delle nuove funzionalità di Windows Server 2019. Windows Server 2019 si basa sulle solide fondamenta di Windows Server 2016 e include numerose innovazioni su quattro temi chiave: cloud ibrido, sicurezza, piattaforma per applicazioni e infrastruttura iperconvergente (HCI).
Generale
Windows Admin Center
Windows Admin Center è un'app distribuita in locale e basata su browser che consente di gestire server, cluster, infrastruttura iperconvergente e PC Windows 10. Non prevede costi aggiuntivi rispetto a Windows ed è pronta per essere usata in produzione.
È possibile installare Windows Admin Center in Windows Server 2019 e Windows 10 e versioni precedenti di Windows e Windows Server, e usarlo per gestire server e cluster che eseguono Windows Server 2008 R2 e versioni successive.
Per altre informazioni, vedi Windows Admin Center.
Esperienza desktop
Poiché Windows Server 2019 è un rilascio di LTSC (Long-Term Servicing Channel), include Esperienza desktop. Le versioni del canale semestrale (SAC) non includono l'esperienza desktop per impostazione predefinita; sono rigorosamente versioni dell'immagine del contenitore Server Core e Nano Server. Come per Windows Server 2016, durante l'installazione del sistema operativo puoi scegliere tra le installazioni Server Core o Server con Esperienza desktop.
Informazioni dettagliate di sistema
Informazioni dettagliate di sistema è una nuova funzione disponibile in Windows Server 2019 che offre funzionalità di analisi predittiva locale in modalità nativa per Windows Server. Queste funzionalità predittive, ognuna supportata da un modello di apprendimento automatico, analizzano in locale i dati di sistema di Windows Server, ad esempio i contatori delle prestazioni e gli eventi. System Insights consente di comprendere il funzionamento dei server e di ridurre le spese operative associate alla gestione reattiva dei problemi nelle distribuzioni di Windows Server.
Cloud ibrido
Funzionalità di compatibilità dell'app Server Core su richiesta
Funzionalità di compatibilità dell'app Server Core su richiesta migliora significativamente la compatibilità delle app includendo un subset di file binari e componenti da Windows Server con Esperienza desktop. Server Core è stato mantenuto il più snello possibile non aggiungendo l'ambiente grafico Esperienza desktop di Windows Server, aumentandone la funzionalità e la compatibilità.
Questa funzionalità su richiesta facoltativa è disponibile in un file ISO separato e può essere aggiunta solo alle immagini e alle installazioni dei componenti di base di Windows Server, tramite Gestione e manutenzione immagini distribuzione.
Ruolo Server di trasporto di Servizi di distribuzione Windows aggiunto a Server Core
Server di trasporto contiene solo i componenti di rete di base di Servizi di distribuzione Windows. È ora possibile usare Server Core con il ruolo Server di trasporto per creare spazi dei nomi multicast per la trasmissione di dati (incluse le immagini del sistema operativo) da un server autonomo. Può inoltre esserti utile se vuoi disporre di un server PXE che consenta ai client l'avvio PXE e il download dell'applicazione di installazione personalizzata.
Integrazione di Servizi Desktop remoto con Azure AD
Con l'integrazione di Azure AD è possibile usare i criteri di accesso condizionale, l'autenticazione a più fattori, l'autenticazione integrata con altre app SaaS che usano Azure AD e molto altro ancora. Per altre informazioni, vedere Integrazione di Azure AD Domain Services con la distribuzione di Servizi Desktop remoto.
Rete
Sono stati apportati diversi miglioramenti allo stack di rete core, ad esempio TCP Fast Open (TFO), Regolazione automatica della finestra di ricezione, IPv6 e altro ancora. Per altre informazioni, vedere il post relativo al miglioramento della funzionalità Stack di rete core.
vRSS e VMMQ dinamici
In passato, le code di macchine virtuali e le code di macchine virtuali (VMMQs) abilitano una velocità effettiva molto più elevata per le singole macchine virtuali perché le velocità effettiva di rete raggiungono prima il contrassegno 10GbE e oltre. Sfortunatamente, la pianificazione, la base, l'ottimizzazione e il monitoraggio necessari per il successo sono diventati un'impresa molto più grande rispetto agli amministratori IT previsti.
Windows Server 2019 migliora queste ottimizzazioni distribuendo e ottimizzando dinamicamente l'elaborazione dei carichi di lavoro di rete in base alle esigenze. Windows Server 2019 garantisce un picco di efficienza e rimuove il carico di configurazione per gli amministratori IT. Per ulteriori informazioni, vedere Requisiti di rete host per Azurelocale.
Sicurezza
Windows Defender Advanced Threat Protection (ATP)
Sensori avanzati della piattaforma e azioni di risposta di ATP espongono agli attacchi a livello di memoria e kernel e rispondono eliminando file dannosi e terminando processi dannosi.
Per altre informazioni su Windows Defender ATP, vedi Panoramica delle funzionalità di Windows Defender ATP.
Per altre informazioni sull'onboarding di server, vedi Eseguire l'onboarding dei server al servizio Windows Defender ATP.
Windows Defender ATP Exploit Guard è un nuovo set di funzionalità di prevenzione delle intrusioni host che consente di bilanciare il rischio di sicurezza e le esigenze di produttività. Windows Defender Exploit Guard è progettato per proteggere il dispositivo da un'ampia varietà di vettori di attacco e bloccare i comportamenti comunemente utilizzati negli attacchi malware. I componenti sono:
La riduzione della superficie di attacco (ASR) è un set di controlli che le aziende possono abilitare per evitare che il malware si acceda al computer bloccando i file dannosi sospetti. ad esempio file di Office, script, spostamento laterale, comportamento ransomware e minacce basate sulla posta elettronica.
Protezione di rete protegge l'endpoint da minacce basate sul Web bloccando qualsiasi processo in uscita nel dispositivo per gli indirizzi host o IP non attendibili tramite Windows Defender SmartScreen.
Accesso controllato alle cartelle protegge i dati sensibili da ransomware impedendo l'accesso di processi non attendibili alle cartelle protette.
Protezione dagli exploit è un gruppo di misure di prevenzione per gli exploit di vulnerabilità (in sostituzione di EMET) che puoi configurare facilmente per proteggere il sistema e le applicazioni.
Controllo di applicazioni di Windows Defender (noto anche come criteri di integrità del codice) è stato rilasciato in Windows Server 2016. La distribuzione è stata semplificata includendo i criteri di integrazione continua predefiniti. Il criterio predefinito consente tutti i file interni di Windows e le applicazioni Microsoft, ad esempio SQL Server, e blocca i file eseguibili noti che possono ignorare l'integrazione continua.
Sicurezza con Software Defined Networking (SDN)
Sicurezza con SDN offre numerose funzionalità per aumentare la fiducia dei clienti che eseguono carichi di lavoro, in locale, o come provider di servizi nel cloud.
Questi miglioramenti apportati alla sicurezza sono integrati nella piattaforma SDN completa introdotta in Windows Server 2016.
Per un elenco completo delle novità di SDN, vedi Novità di SDN per Windows Server 2019.
Miglioramenti alle macchine virtuali schermate
Abbiamo apportato i seguenti miglioramenti alla Macchine virtuali schermata.
Miglioramenti di succursale
È ora possibile eseguire macchine virtuali schermate in computer con connettività intermittente al servizio Sorveglianza host usando le nuove funzionalità del server HGS di fallback e la modalità offline. Il server HGS di fallback ti consente di configurare un secondo gruppo di URL per Hyper-V per provare se è in grado di raggiungere il server HGS primario.
Anche se non è possibile raggiungere HGS, la modalità offline consente di continuare a avviare le macchine virtuali schermate. La modalità offline consente anche di avviare le macchine virtuali finché la macchina virtuale è stata avviata correttamente una volta e la configurazione di sicurezza dell'host non è stata modificata.
Miglioramenti alla risoluzione dei problemi
È stato anche semplificato risolvere i problemi delle macchine virtuali schermate abilitando il supporto per la modalità sessione avanzata VMConnect e PowerShell Direct. Questi strumenti sono utili quando si perde la connettività di rete alla macchina virtuale ed è necessario aggiornarne la configurazione per ripristinare l'accesso. Per altre informazioni, vedere Infrastruttura sorvegliata e macchine virtuali schermate.
Non è necessario configurare queste funzionalità perché diventano automaticamente disponibili quando si inserisce una macchina virtuale schermata in un host Hyper-V che esegue Windows Server versione 1803 o successiva.
Supporto di Linux
Se esegui ambienti di sistema operativo misto, adesso Windows Server 2019 supporta l'esecuzione di Ubuntu, Red Hat Enterprise Linux e SUSE Linux Enterprise Server in macchine virtuali schermate.
HTTP/2 per un Web più veloce e sicuro
Unione delle connessioni migliorata per un'esperienza di esplorazione senza interruzioni e correttamente crittografata.
Negoziazione del pacchetto di crittografia lato server di HTTP/2 aggiornata per la prevenzione automatica di errori di connessione e facilità di distribuzione.
Come provider di congestione TCP predefinito è stato configurato Cubic per offrire una maggiore velocità effettiva.
Reti crittografate
La crittografia di rete virtuale crittografa il traffico di rete virtuale tra le macchine virtuali all'interno di subnet che presentano l'etichetta Crittografia abilitata. Le reti crittografate usano anche Datagram Transport Layer Security (DTLS) nella subnet virtuale per crittografare i pacchetti. DTLS impedisce intercettazioni, manomissioni e contraffazioni dei dati da parte di chiunque abbia accesso alla rete fisica.
Per maggiori informazioni, consultare la sezione Reti crittografate.
Controllo del firewell
Il controllo dell'auditing è una nuova funzionalità per il firewall SDN che registra qualsiasi flusso elaborato dalle regole del firewall SDN e dagli elenchi di controllo di accesso (ACL) per cui è abilitata la registrazione.
Peering di rete virtuale
Il peering di reti virtuali consente di connettere facilmente due reti virtuali. Dopo aver eseguito il peering, le reti virtuali vengono visualizzate nel monitoraggio come una sola.
Misurazione in uscita
La misurazione in uscita offre misurazioni di utilizzo per i trasferimenti di dati in uscita. Controller di rete usa questa funzionalità per mantenere un elenco di indirizzi IP consentiti di tutti gli intervalli IP usati all'interno di SDN per ogni rete virtuale. Questi elenchi considerano qualsiasi pacchetto diretto a una destinazione non inclusa negli intervalli IP da fatturare come trasferimento di dati in uscita.
Archiviazione
Ecco alcune delle modifiche apportate all'archiviazione in Windows Server 2019. L'archiviazione è interessata anche dagli aggiornamenti alla deduplicazione dei dati, in particolare l'aggiornamento all'API DataPort per l'ingresso o l'uscita ottimizzata per i volumi deduplicati.
Gestione risorse file server
È ora possibile impedire la creazione di un journal delle modifiche (o journal USN) in tutti i volumi all'avvio del servizio Gestione risorse file server. Impedendo la creazione del journal delle modifiche si può risparmiare spazio su ogni volume, ma si disabilita la classificazione dei file in tempo reale. Per altre informazioni, vedi Panoramica di Gestione risorse file server.
SMB
Windows Server non installa più il client e il server SMB1 per impostazione predefinita. Inoltre, la possibilità di eseguire l'autenticazione come Guest in SMB2 e versioni successive è disattivata per impostazione predefinita. Per maggiori informazioni, consultare SMBv1 non viene installato per impostazione predefinita in Windows 10 versione 1709, Windows Server versione 1709 e versioni successive
È ora possibile disabilitare gli oplock in SMB2+ per le applicazioni legacy. È anche possibile richiedere la firma o la crittografia in base alla connessione da un client. Per altre informazioni, vedere la Guida del modulo SMBShare di PowerShell.
Servizio di migrazione della risorsa di archiviazione
Il servizio di migrazione archiviazione semplifica la migrazione dei server a una versione più recente di Windows Server. Questo strumento grafico archivia i dati nei server, quindi trasferisce i dati e la configurazione in server più recenti. Il Servizio di migrazione archiviazione può anche spostare le identità dei server precedenti nei nuovi server, in modo gli utenti non debbano riconfigurare profili e app. Per maggiori informazioni, consultare la sezione Servizio di migrazione archiviazione.
Windows Admin Center versione 1910 ha aggiunto la possibilità di distribuire macchine virtuali di Azure. Questo aggiornamento integra la distribuzione di macchine virtuali di Azure nel Servizio Migrazione archiviazione. Per altre informazioni, vedere migrazione di macchine virtuali di Azure.
È anche possibile accedere alle seguenti funzionalità post-release-to-manufacturing (RTM) quando si esegue l'agente di orchestrazione del Server migrazione archiviazione in Windows Server 2019 con KB5001384 installato o in Windows Server 2022:
- Migrazione di utenti e gruppi locali al nuovo server.
- Eseguire la migrazione dell'archiviazione dai cluster di failover, eseguire la migrazione ai cluster di failover ed eseguire la migrazione tra server autonomi e cluster di failover.
- Migrazione degli archivi da un server Linux che usa Samba.
- Sincronizzare più facilmente le condivisioni migrate in Azure usando Sincronizzazione file di Azure.
- Migrazione a nuove reti, ad esempio Azure.
- Eseguire la migrazione di server Common Internet File System (CIFS) NetApp da matrici NetApp Federated Authentication Service (FAS) a server e cluster Windows.
Spazi di archiviazione diretta
Ecco le novità di Spazi di archiviazione diretta. Per ulteriori informazioni su come acquisire sistemi di Storage Spaces Direct convalidati, vedere Panoramica della Soluzione Locale di Azure.
Deduplicazione e compressione dei volumi ReFS. L'archivio blocchi di dimensioni variabili con compressione facoltativa ottimizza i tassi di risparmio, mentre l'architettura post-elaborazione multithread riduce al minimo l'impatto sulle prestazioni. Questa funzionalità supporta volumi fino a 64 TB e deduplica i primi 4 MB di ogni file.
Supporto nativo per la memoria persistente, che consente di gestire la memoria persistente come qualsiasi altra unità in PowerShell o Windows Admin Center. Questa funzionalità supporta i moduli di memoria persistente Intel Optane DC PM e NVDIMM-N.
Resilienza annidata per un'infrastruttura iperconvergente a due nodi all'perimetro. Con l'aiuto di una nuova opzione di resilienza software basata su RAID 5+1, è ora possibile sopravvivere a due errori hardware contemporaneamente. Un cluster a due nodi Spazi di archiviazione diretta fornisce risorse di archiviazione continuamente accessibili per le app e le macchine virtuali anche se un nodo del server si arresta e un altro nodo del server presenta un errore di unità.
I cluster a due server possono ora usare un'unità flash USB come server di controllo del mirroring. Se un server si arresta e quindi esegue il backup, il cluster dell'unità USB conosce il server con i dati più aggiornati. Per altre informazioni, vedere il post di blog sull'annuncio Spazi di archiviazione diretta e Configurare un server di controllo della condivisione file per il clustering di failover.
Windows Admin Center supporta un dashboard che consente di gestire e monitorare Spazi di archiviazione diretta. È possibile monitorare le operazioni di I/O al secondo e la latenza dal livello complessivo del cluster fino ai singoli DISCHI SSD o HDD senza costi aggiuntivi. Per altre informazioni, vedere Che cos'è Windows Admin Center?.
La cronologia delle prestazioni è una nuova funzionalità che consente di visualizzare facilmente l'utilizzo delle risorse e le misurazioni. Per altre informazioni, vedere Cronologia delle prestazioni per Spazi di archiviazione diretta.
Aumentare fino a 4 PB per cluster usando una capacità fino a 64 volumi fino a 64 TB. È anche possibile unire più cluster in un set di cluster per una scalabilità ancora maggiore all'interno di un singolo spazio dei nomi di archiviazione.
Usando la parità accelerata con mirroring, è possibile costruire Spazi di archiviazione diretta volumi che incorporano strategie di mirroring e parità, simili a una combinazione di RAID-1 e RAID-5/6. La parità accelerata con mirroring è ora due volte più veloce rispetto a Windows Server 2016.
Il rilevamento outlier della latenza dell'unità identifica automaticamente le unità lente in PowerShell e Windows Admin Center con stato "Latenza anomala".
Delimitare manualmente l'allocazione dei volumi per aumentare la tolleranza di errore. Per altre informazioni, vedere Delimita l'allocazione dei volumi in Spazi di archiviazione diretta.
Replica archiviazione
Ecco le novità introdotte in Replica di archiviazione.
Replica archiviazione è ora disponibile in Windows Server 2019 edizione Standard e Windows Server 2019 Datacenter Edition. Tuttavia, con il edizione Standard, è possibile replicare un solo volume e tale volume può raggiungere dimensioni fino a 2 TB.
Il failover di test è una nuova funzionalità che consente di montare temporaneamente uno snapshot dell'archiviazione replicata in un server di destinazione per scopi di test o backup. Per altre informazioni, vedere Domande frequenti su Replica archiviazione.
Miglioramenti delle prestazioni del log di Replica archiviazione, ad esempio una maggiore velocità effettiva della replica e latenza nell'archiviazione all-flash e nei cluster Spazi di archiviazione diretta che vengono replicati tra loro.
Supporto di Windows Admin Center, inclusa la gestione grafica della replica tramite Server Manager per la replica da server a server, da cluster a cluster e dalla replica di cluster estesi.
Deduplicazione dati
Windows Server 2019 supporta ora ReFS (Resilient File System). ReFS consente di archiviare fino a dieci volte più dati nello stesso volume con deduplicazione e compressione per il file system ReFS. L'archivio blocchi a dimensione variabile include una funzionalità di compressione facoltativa che consente di ottimizzare i tassi di risparmio, mentre l'architettura post-elaborazione multithread mantiene un impatto minimo sulle prestazioni. ReFS supporta volumi fino a 64 TB e deduplica i primi 4 TB di ogni file. Per altre informazioni, vedere Come attivare la deduplicazione e la compressione in Windows Admin Center per una rapida dimostrazione video.
Clustering di failover
Sono state aggiunte le funzionalità seguenti al clustering di failover in Windows Server 2019:
I set di cluster raggruppano più cluster in un raggruppamento ad accoppiamento libero di più cluster di failover disponibili in tre tipi: calcolo, archiviazione e iperconvergente. Questo raggruppamento aumenta il numero di server in una singola soluzione data center software-defined (SDDC) oltre i limiti correnti di un cluster. Con i set di cluster è possibile spostare macchine virtuali online tra cluster all'interno del set di cluster. Per altre informazioni, vedere Distribuire un set di cluster.
I cluster sono ora consapevoli di Azure per impostazione predefinita. I cluster con riconoscimento di Azure rilevano automaticamente quando sono in esecuzione in macchine virtuali IaaS di Azure, quindi ottimizzano la configurazione per ottenere i livelli di disponibilità più elevati. Queste ottimizzazioni includono il failover proattivo e la registrazione degli eventi di manutenzione pianificata di Azure. L'ottimizzazione automatizzata semplifica la distribuzione rimuovendo la necessità di configurare il servizio di bilanciamento del carico con il nome di rete distribuita per il nome del cluster.
La migrazione tra cluster tra domini consente ai cluster di failover di passare dinamicamente da un dominio di Active Directory a un altro, semplificando il consolidamento del dominio e consentendo ai partner hardware di creare cluster e aggiungerli al dominio del cliente in un secondo momento.
La funzionalità di controllo USB consente di usare un'unità USB collegata a un commutatore di rete come server di controllo per determinare il quorum per un cluster. Questa funzionalità include il supporto per il controllo della condivisione file esteso per qualsiasi dispositivo conforme a SMB2.
La cache CSV è ora abilitata per impostazione predefinita per migliorare le prestazioni delle macchine virtuali. MSDTC supporta ora volumi condivisi cluster per consentire la distribuzione di carichi di lavoro MSDTC in Spazi di archiviazione diretta, ad esempio con SQL Server. Logica migliorata per rilevare i nodi partizionati con correzione automatica per restituire i nodi all'appartenenza al cluster. Rilevamento avanzato della route di rete del cluster e riparazione automatica.
L'aggiornamento compatibile con cluster è ora integrato e compatibile con Spazi di archiviazione diretta, convalidando e assicurando che la risincronizzazione dei dati venga completata in ogni nodo. L'aggiornamento compatibile con cluster controlla gli aggiornamenti per riavviare in modo intelligente solo se necessario. Questa funzionalità consente di riavviare tutti i server nel cluster per la manutenzione pianificata.
È ora possibile usare i testimoni della condivisione file negli scenari seguenti:
Accesso a Internet assente o scarso a causa di una posizione remota, impedendo l'uso di un cloud di controllo.
Mancanza di unità condivise per un disco di controllo. Ad esempio, una configurazione che non usa dischi condivisi, ad esempio Spazi di archiviazione diretta configurazione iperconvergente, un gruppo di disponibilità AlwaysOn di SQL Server o un gruppo di disponibilità del database di Exchange.
Mancanza di connessione del controller di dominio a causa del cluster dietro una rete perimetrale.
Un gruppo di lavoro o un cluster tra domini che non dispone di un oggetto CNO (Active Directory Cluster Name Object). Windows Server ora blocca anche l'uso di una condivisione spazi dei nomi DFS come percorso. L'aggiunta di una condivisione file di controllo a una condivisione DFS può causare problemi di stabilità per il cluster e questa configurazione non è mai stata supportata. È stata aggiunta la logica per rilevare se una condivisione usa spazi dei nomi DFS e se vengono rilevati spazi dei nomi DFS, Gestione cluster di failover blocca la creazione del server di controllo del mirroring e visualizza un messaggio di errore relativo al mancato supporto.
È stata implementata una funzionalità di protezione avanzata del cluster che migliora la sicurezza delle comunicazioni all'interno del cluster tramite SMB (Server Message Block) per i volumi condivisi del cluster e Spazi di archiviazione diretta. Questa funzionalità sfrutta i certificati per fornire la piattaforma più sicura possibile. In questo modo, i cluster di failover possono ora funzionare senza dipendenze da NTLM, che consente di stabilire le baseline di sicurezza.
I cluster di failover non usano più l'autenticazione NTLM. I cluster Windows Server 2019 ora usano esclusivamente Kerberos e l'autenticazione basata su certificati. Gli utenti non devono apportare modifiche o distribuire nulla per sfruttare questo miglioramento della sicurezza. Questa modifica consente anche di distribuire cluster di failover in ambienti in cui NTLM è disabilitato.
Piattaforma applicativa
Contenitori di Linux in Windows
È ora possibile eseguire contenitori basati su Linux e Windows nello stesso host contenitore usando lo stesso daemon docker. È ora possibile avere un ambiente costituito da host contenitori eterogenei che offre flessibilità agli sviluppatori di applicazioni.
Supporto incorporato per Kubernetes
Windows Server 2019 prosegue i miglioramenti in fatto di elaborazione, rete e archiviazione introdotti dai rilasci di Canale semestrale, necessari per supportare Kubernetes su Windows. Altri dettagli sono disponibili nelle versioni future di Kubernetes.
Rete di contenitori in Windows Server 2019 migliora notevolmente l'usabilità di Kubernetes in Windows. È stata migliorata la resilienza della rete della piattaforma e il supporto dei plug-in di rete dei contenitori.
I carichi di lavoro distribuiti su Kubernetes sono in grado di usare la sicurezza di rete per proteggere i servizi di Linux e Windows con strumenti incorporati.
Miglioramenti ai contenitori
Identità integrata avanzata
L'autenticazione integrata di Windows nei contenitori è stata resa più semplice e affidabile, risolvendo così diverse limitazioni rispetto alle versioni precedenti di Windows Server.
Migliore compatibilità delle applicazioni
La containerizzazione di applicazioni basate su Windows è ora più semplice: è stata migliorata la compatibilità delle app per l'immagine windowsservercore esistente. Per le applicazioni con più dipendenze API, è ora disponibile una terza immagine di base: windows.
Dimensioni ridotte e prestazioni superiori
Le dimensioni di download dell'immagine contenitore di base, la dimensione su disco e i tempi di avvio sono stati migliorati per accelerare i flussi di lavoro del contenitore.
Esperienza di gestione con Windows Admin Center (anteprima)
Vedere quali contenitori sono in esecuzione nel computer e gestire i singoli contenitori con una nuova estensione per Windows Admin Center non è mai stato così semplice. Cerca l'estensione "Containers" nel feed pubblico di Windows Admin Center.
Miglioramenti all'ambiente di calcolo
Ordine di avvio per le macchine virtuali Anche l'ordine di avvio per le macchine virtuali è stato migliorato con il riconoscimento del sistema operativo e delle applicazioni, offrendo trigger migliorati per quando una macchina virtuale viene considerata avviata prima di avviare quella successiva.
Il supporto della memoria della classe di archiviazione per macchine virtuali consente di creare volumi NTFS ad accesso diretto in DIMM non volatili e di esporli in macchine virtuali Hyper-V. Le macchine virtuali Hyper-V possono ora sfruttare i vantaggi delle prestazioni a bassa latenza dei dispositivi di memoria della classe di archiviazione.
Supporto della memoria persistente per macchine virtuali Hyper-V Per usare la velocità effettiva elevata e la bassa latenza della memoria persistente (nota anche come memoria della classe di archiviazione) nelle macchine virtuali, è ora possibile proiettarla direttamente nelle macchine virtuali. La memoria persistente consente di ridurre notevolmente la latenza di transazione del database o i tempi di ripristino per i database in memoria a bassa latenza in caso di errore.
Archiviazione contenitori - volumi di dati persistenti I contenitori di applicazioni ora hanno accesso permanente ai volumi. Per altre informazioni, vedere la pagina relativa al supporto di archiviazione contenitore con volumi condivisi cluster (CSV), spazi di archiviazione diretta (S2D), mapping globale SMB.
Formato di file di configurazione della macchina virtuale (aggiornato) È stato aggiunto il file di stato della macchina virtuale guest (
.vmgs
) per le macchine virtuali con una versione di configurazione pari a 8.2 o superiore. Il file di stato della macchina virtuale guest include informazioni sullo stato dei dispositivi che in precedenza facevano parte del file di stato del runtime della macchina virtuale.
Reti crittografate
Reti codificate: la codifica di rete virtuale consente la codifica del traffico di rete virtuale tra le macchine virtuali che comunicano tra loro all'interno di subnet contrassegnate come Codifica abilitata. Viene inoltre utilizzato Datagram Transport Layer Security (DTLS) nella subnet virtuale per crittografare i pacchetti. DTLS impedisce intercettazioni, manomissioni e contraffazioni da parte di chiunque abbia accesso alla rete fisica.
Miglioramenti alle prestazioni di rete per i carichi di lavoro virtuali
I miglioramenti alle prestazioni di rete per i carichi di lavoro virtuali consentono di ottimizzare la velocità effettiva di rete sulle macchine virtuali senza dover costantemente sincronizzare o effettuare il provisioning eccessivo dell'host. Il miglioramento delle prestazioni riduce le operazioni e i costi di manutenzione, aumentando la densità disponibile degli host. Queste nuove funzionalità includono:
Coda di più macchine virtuali dinamica (d.VMMQ)
Unione segmenti ricevuti (RSC) nel commutatore virtuale
Low Extra Delay Background Transport
Low Extra Delay Background Transport (LEDBAT) è un provider di controllo della congestione della rete, ottimizzato per la latenza, che è stato progettato per concedere automaticamente larghezza di banda a utenti e applicazioni. LEDBAT usa la larghezza di banda disponibile mentre la rete non è in uso. Questa tecnologia è stata progettata per l'uso nella distribuzione di aggiornamenti critici di grandi dimensioni in un ambiente IT senza influire sui servizi per i clienti e sulla larghezza di banda associata.
Servizio Ora di Windows
Il servizio Ora di Windows include un reale supporto di secondi intercalari conforme a UTC, un nuovo protocollo orario chiamato Precision Time Protocol e tracciabilità end-to-end.
Gateway SDN ad alte prestazioni
I gateway SDN ad alte prestazioni in Windows Server 2019 migliorano notevolmente le prestazioni per le connessioni IPsec e GRE, fornendo una velocità effettiva molto elevata con un utilizzo della CPU molto inferiore.
Nuova estensione dell'interfaccia di distribuzione e di Windows Admin Center per SDN
Con Windows Server 2019, è facile ora eseguire operazioni di distribuzione e gestione tramite una nuova interfaccia utente di sviluppo e un'estensione di Windows Admin Center che consentono a tutti di sfruttare le potenzialità di SDN.
Sottosistema di Windows per Linux (WSL)
WSL consente agli amministratori di server di usare gli strumenti e gli script esistenti per Linux in Windows Server. Molti dei miglioramenti illustrati nel blog dedicato alle funzionalità della riga di comando, come le attività in background, DriveFS, WSLPath e molti altri ancora, sono stati estesi a Windows Server.
Active Directory Federation Services
Active Directory Federation Services (AD FS) per Windows Server 2019 include le modifiche seguenti.
Accessi protetti
Gli accessi protetti con AD FS includono ora gli aggiornamenti seguenti:
Gli utenti possono ora usare prodotti di autenticazione di terze parti come primo fattore senza esporre le password. Nei casi in cui il provider di autenticazione esterno può dimostrare due fattori, può usare l'autenticazione a più fattori (MFA).
Gli utenti possono ora usare le password come fattore aggiuntivo dopo aver usato un'opzione non password come primo fattore. Questo supporto integrato migliora l'esperienza complessiva di AD FS 2016, che richiede il download di un adattatore GitHub.
Gli utenti possono ora creare moduli di valutazione dei rischi plug-in personalizzati per bloccare determinati tipi di richieste durante la fase di preautenticazione. Questa funzionalità semplifica l'uso dell'intelligence cloud, ad esempio la protezione delle identità, per bloccare utenti o transazioni rischiosi. Per altre informazioni, vedi Creare plug-in con il modello di valutazione dei rischi di AD FS 2019.
Migliora la progettazione di correzione rapida di Extranet Smart Lockout (ESL) aggiungendo le funzionalità seguenti:
È ora possibile usare la modalità di controllo mentre è protetta dalla funzionalità classica di blocco extranet.
Gli utenti possono ora usare soglie di blocco indipendenti per posizioni familiari. Questa funzionalità consente di eseguire più istanze di app all'interno di un account di servizio comune per eseguire il rollover delle password con interruzioni minime.
Altri miglioramenti della sicurezza
AD FS 2019 include i miglioramenti seguenti per la sicurezza:
Remote PowerShell using SmartCard Sign-in consente agli utenti di connettersi da remoto ad AD FS con smart card eseguendo comandi di PowerShell. Gli utenti possono anche usare questo metodo per gestire tutte le funzioni di PowerShell, inclusi i cmdlet multinodo.
La personalizzazione dell'intestazione HTTP consente agli utenti di personalizzare le intestazioni HTTP create durante le risposte ad AD FS. La personalizzazione dell'intestazione include i tipi di intestazioni seguenti:
HSTS, che consente solo di usare gli endpoint AD FS sugli endpoint HTTPS per un browser conforme da applicare.
Opzioni X-frame, che consente agli amministratori di AD FS di consentire a relying party specifiche di incorporare iFrame per le pagine di accesso interattive di AD FS. È consigliabile usare questa intestazione solo sugli host HTTPS.
Intestazione futura. È anche possibile configurare più intestazioni future.
Per altre informazioni, vedere Personalizzare le intestazioni di risposta di sicurezza HTTP con AD FS 2019.
Funzionalità di autenticazione e criteri
AD FS 2019 include le funzionalità di autenticazione e criteri seguenti:
Gli utenti possono ora creare regole per specificare il provider di autenticazione che il provider di autenticazione richiama per l'autenticazione aggiuntiva. Questa funzionalità consente di eseguire la transizione tra provider di autenticazione e proteggere app specifiche con requisiti speciali per provider di autenticazione aggiuntivi.
Restrizioni facoltative per le autenticazioni dei dispositivi basate su TLS (Transport Layer Security) in modo che solo le applicazioni che richiedono TLS possano usarle. Gli utenti possono limitare le autenticazioni dei dispositivi basate su TLS client in modo che solo le applicazioni che eseguono l'accesso condizionale basato su dispositivo possano usarle. Questa funzionalità impedisce richieste indesiderate di autenticazione del dispositivo per le applicazioni che non richiedono l'autenticazione del dispositivo basata su TLS.
AD FS supporta ora il rollforward delle credenziali di secondo fattore in base alla validità delle credenziali del secondo fattore. Questa funzionalità consente agli utenti di richiedere solo TFA per la prima transazione, quindi richiede solo il secondo fattore su base periodica. È possibile usare questa funzionalità solo nelle applicazioni che possono fornire un parametro aggiuntivo nella richiesta, poiché non è un'impostazione configurabile in AD FS. Microsoft Entra ID supporta questo parametro se si configura l'impostazione Memorizza MFA per X Days per avere supportMFA impostato su True nelle impostazioni di attendibilità del dominio federato microsoft Entra ID.
Miglioramenti dell'accesso Single Sign-On
AD FS 2019 include anche i miglioramenti seguenti per l'accesso Single Sign-On (SSO):
AD FS ora usa un flusso di esperienza utente impaginato e un'interfaccia utente centrata che offre un'esperienza di accesso più semplice per gli utenti. Questa modifica rispecchia le funzionalità offerte in Azure AD. Potrebbe essere necessario aggiornare il logo e le immagini di sfondo dell'organizzazione in base alla nuova interfaccia utente.
È stato risolto un problema che causava la mancata persistenza dello stato MFA quando si usa l'autenticazione del token di aggiornamento primario (PRT) nei dispositivi Windows 10. Gli utenti dovrebbero ora essere richiesti meno spesso per le credenziali del secondo fattore. L'esperienza dovrebbe ora essere coerente quando l'autenticazione del dispositivo ha esito positivo sull'autenticazione TLS e PRT del client.
Supporto per la creazione di app line-of-business moderne
AD FS 2019 include le funzionalità seguenti per supportare la creazione di app line-of-business moderne:AD FS 2019 includes the following features to support building modern line-of-business apps (LOB):
AD FS include ora il supporto del profilo del flusso di dispositivo OAuth per l'accesso tramite dispositivi senza una superficie di attacco dell'interfaccia utente per supportare esperienze di accesso avanzate. Questa funzionalità consente agli utenti di completare l'accesso in un dispositivo diverso. L'esperienza interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando) in Azure Stack richiede questa funzionalità ed è anche possibile usarla in altri scenari.
Non è più necessario che il parametro Resource usi AD FS, in linea con le specifiche OAUth correnti. I client devono ora fornire solo l'identificatore di attendibilità della relying party come parametro di ambito con autorizzazioni richieste.
È possibile usare le intestazioni CORS (Cross-Origin Resource Sharing) nelle risposte ad AD FS. Queste nuove intestazioni consentono agli utenti di compilare applicazioni a pagina singola che consentono alle librerie JavaScript lato client di convalidare la firma id_token eseguendo una query per le chiavi di firma dal documento di individuazione OIDC (Open ID Connect) in AD FS.
AD FS include il supporto di Proof Key for Code Exchange (PKCE) per il flusso di codice di autenticazione sicuro all'interno di OAuth. Questo livello aggiuntivo di sicurezza impedisce agli attori malintenzionati di dirottare il codice e di riprovarlo da un client diverso.
È stato risolto un problema secondario che causava l'invio dell'attestazione x5t da parte di AD FS. AD FS invia ora anche un'attestazione kid per indicare l'hint id chiave per la verifica della firma.
Miglioramenti del supporto
Gli amministratori possono ora configurare AD FS per consentire agli utenti di inviare segnalazioni errori ed eseguirne il debug come file ZIP per la risoluzione dei problemi. Gli amministratori possono anche configurare una connessione SMTP (Simple Mail Transfer Protocol) per inviare automaticamente il file ZIP a un account di posta elettronica di valutazione. Un'altra impostazione consente agli amministratori di creare automaticamente un ticket per il sistema di supporto in base a tale messaggio di posta elettronica.
Aggiornamenti della distribuzione
Gli aggiornamenti della distribuzione seguenti sono ora inclusi in AD FS 2019:
- AD FS ha una funzione simile alla versione di Windows Server 2016 che semplifica l'aggiornamento delle server farm di Windows Server 2016 in server farm di Windows Server 2019. Un server Windows Server 2019 aggiunto a una server farm di Windows Server 2016 si comporta solo come un server Windows Server 2016 fino a quando non si è pronti per l'aggiornamento. Per altre informazioni vedere Aggiornamento ad AD FS in Windows Server 2016.
Aggiornamenti SAML
AD FS 2019 include gli aggiornamenti SAML (Security Assertion Markup Language) seguenti:
Sono stati risolti problemi nel supporto federazione aggregato, ad esempio InCommon, in queste aree:
Miglioramento del ridimensionamento per molte entità nel documento di metadati della federazione aggregato. In precedenza, il ridimensionamento per queste entità avrebbe avuto esito negativo e restituirà un messaggio di errore ADMIN0017.
È ora possibile eseguire query usando il parametro ScopeGroupID eseguendo il
Get-AdfsRelyingPartyTrustsGroup
cmdlet di PowerShell.Miglioramento della gestione delle condizioni di errore per i valori entityID duplicati.
Specifica della risorsa di tipo Azure AD nel parametro di ambito
Nelle versioni precedenti AD FS richiede che la risorsa e l'ambito desiderati siano inclusi in un parametro separato in una richiesta di autenticazione. Ad esempio, la richiesta OAuth di esempio seguente contiene un parametro di ambito:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope). Questa modifica è coerente con l'autenticazione rispetto all'ID Microsoft Entra.
Il parametro di ambito può ora essere organizzato come elenco separato da spazi che struttura ogni entità come risorsa o ambito.
Nota
È possibile specificare una sola risorsa nella richiesta di autenticazione. Se si includono più risorse nella richiesta, AD FS restituisce un errore e l'autenticazione non riesce.