Windows Server 2016'daki yenilikler
Bu makalede, Windows Server 2016'da bu sürümle çalışırken en büyük etkiye sahip olma olasılığı en yüksek olan bazı yeni özellikler açıklanmaktadır.
Hesaplamak
Sanallaştırma alanı, BT uzmanlarının Windows Server tasarlaması, dağıtması ve bakımını gerçekleştirmesi için sanallaştırma ürünleri ve özellikleri içerir.
Genel
Win32 Saati ve Hyper-V Zaman Eşitleme Hizmetlerindeki geliştirmeler nedeniyle fiziksel ve sanal makineler daha fazla zaman doğruluğundan yararlanıyor. Windows Server artık UTC ile ilgili 1ms doğruluğu gerektiren yaklaşan düzenlemelerle uyumlu hizmetleri barındırabilir.
Hyper-V
Hyper-V ağ sanallaştırması (HNV), Microsoft'un güncelleştirilmiş Yazılım Tanımlı Ağ (SDN) çözümünün temel yapı taşlarıdır ve SDN yığınıyla tamamen tümleşiktir. Windows Server 2016, Hyper-V için aşağıdaki değişiklikleri içerir:
Windows Server 2016 artık programlanabilir bir Hyper-V anahtarı içeriyor. Microsoft'un Ağ Denetleyicisi, HNV ilkelerini SouthBound Arabirimi (SBI) olarak Open vSwitch Database Management Protocol (OVSDB) kullanarak her konakta çalışan bir Konak Aracısı'na aktarır. Ana Bilgisayar Acentesi, VTEP şeması özelleştirmesini kullanarak bu ilkeyi depolar ve karmaşık akış kurallarını Hyper-V anahtarındaki yüksek performanslı bir akış motorunda programlar. Hyper-V anahtarındaki akış altyapısı, Azure'ın kullandığıyla aynıdır. Ağ Denetleyicisi ve Ağ Kaynağı sağlayıcısı aracılığıyla SDN yığınının tamamı da Azure ile tutarlıdır ve performansını Azure genel bulutuyla karşılaştırılabilir hale getirir. Microsoft'un akış altyapısında Hyper-V anahtarı, paketlerin anahtar içinde nasıl işlenmesi gerektiğini tanımlayan basit bir eşleştirme eylem mekanizması aracılığıyla hem durum bilgisi olmayan hem de durum bilgisi olan akış kurallarını işleyecek şekilde donatılmıştır.
HNV artık Sanal Genişletilebilir Yerel Ağ (VXLAN) protokolü kapsüllemesini destekliyor. HNV, kiracı ağ IP adreslerini fiziksel alt ağ IP adresleriyle eşlemek için Microsoft Ağ Denetleyicisi aracılığıyla MAC dağıtım modunda VXLAN protokollerini kullanır. NVGRE ve VXLAN Görev Boşaltmaları, gelişmiş performans için üçüncü taraf sürücüleri destekler.
Windows Server 2016, sanal ağ trafiği için tam destek ve HNV ile sorunsuz etkileşime sahip bir yazılım yük dengeleyici (SLB) içerir. Performans gösteren akış altyapısı, veri düzlemi v-Switch'inde SLB'yi uygular, ardından Ağ Denetleyicisi bunu Sanal IP (VIP) veya Dinamik IP (DIP) eşlemeleri için denetler.
HNV, endüstri standardı protokollere bağlı üçüncü taraf sanal ve fiziksel gereçlerle birlikte çalışabilirlik sağlamak için doğru L2 Ethernet üst bilgilerini uygular. Microsoft, birlikte çalışabilirliği garanti etmek için tüm iletilen paketlerin tüm alanlarda uyumlu değerlere sahip olmasını sağlar. HNV, NVGRE ve VXLAN gibi kapsülleme protokolleri tarafından sunulan paket ek yükünü hesaba katmak için fiziksel L2 ağındaki Jumbo Çerçeveleri (MTU > 1780) için destek gerektirir. Jumbo Çerçeve desteği, bir HNV Sanal Ağına bağlı konuk Sanal Makinelerin 1514 MTU'ya sahip olmasını sağlar.
Windows Container desteği, Windows 10'da performans iyileştirmeleri, basitleştirilmiş ağ yönetimi ve Windows kapsayıcıları için destek ekler. Daha fazla bilgi için bkz. Windows Kapsayıcıları Belgeleri ve Kapsayıcıları: Docker, Windows ve Eğilimler.
Hyper-V artık Bağlı Bekleme ile uyumludur. Hyper-V rolünü Always On/Always Connected (AOAC) güç modelini kullanan bir bilgisayara yüklediğinizde, artık Bağlı Bekleme güç durumunu kullanacak şekilde yapılandırabilirsiniz.
Ayrık cihaz ataması, sanal makineye (VM) belirli PCIe donanım cihazlarına doğrudan ve özel erişim vermenizi sağlar. Bu özellik Hyper-V sanallaştırma yığınını atlayarak daha hızlı erişim sağlar. Daha fazla bilgi için bkz. Ayrı cihaz ataması ve Ayrı Cihaz Ataması - Açıklama ve arka plan.
Hyper-V artık 1. nesil VM'lerdeki işletim sistemi diskleri için BitLocker sürücü şifrelemesini destekliyor. Bu koruma yöntemi, yalnızca 2. nesil VM'lerde kullanılabilen sanal Güvenilen Platform Modüllerinin (TPM) yerini alır. Diskin şifresini çözmek ve VM'yi başlatmak için Hyper-V konağı yetkili korumalı bir yapıya ait olmalıdır veya VM'nin koruyucularından birinin özel anahtarına sahip olmalıdır. Anahtar depolama için sürüm 8 VM gerekir. Daha fazla bilgi için Hyper-V'de, Windows veya Windows Serverüzerinde "Sanal Makine Sürümünü Yükseltme
" bölümüne bakın. Konak kaynak koruması, aşırı etkinlik düzeylerini izleyerek VM'lerin çok fazla sistem kaynağı kullanmasını engeller. İzleme bir VM'de olağan dışı bir yüksek etkinlik düzeyi algıladığında, VM'nin tükettiği kaynak miktarını kısıtlar. PowerShell'de Set-VMProcessor cmdlet'ini çalıştırarak bu özelliği etkinleştirebilirsiniz.
Artık Linux veya Windows işletim sistemlerini çalıştıran 2. nesil VM'ler çalışırken çalışma esnasında kesinti olmaksızın ağ bağdaştırıcıları eklemek veya kaldırmak için sıcak ekleme veya kaldırma özelliğini kullanabilirsiniz. Ayrıca, Windows Server 2016 ve üzeri veya Windows 10 ve sonraki sürümleri çalıştıran 1. ve 2. nesil VM'lerde Dinamik Bellek'i etkinleştirmemiş olsanız bile vm çalışırken vm'ye ne kadar bellek atandığını ayarlayabilirsiniz.
Hyper-V Yöneticisi artık aşağıdaki özellikleri destekler:
Başka bir Windows Server 2016 veya Windows 10 uzak konağına bağlanırken Hyper-V Yöneticisi'nde farklı bir kimlik bilgileri kümesi kullanmanıza olanak tanıyan alternatif kimlik bilgileri. Oturum açmayı kolaylaştırmak için bu kimlik bilgilerini de kaydedebilirsiniz.
Artık Windows Server 2012 R2, Windows Server 2012, Windows 8.1 ve Windows 8 çalıştıran makinelerde Hyper-V yönetebilirsiniz.
Hyper-V Yöneticisi artık CredSSP, Kerberos ve NTLM kimlik doğrulamasına izin veren WS-MAN protokolünü kullanarak uzak Hyper-V konaklarıyla iletişim kurar. Bir uzak Hyper-V konağına bağlanmak için CredSSP kullandığınızda, Active Directory'de kısıtlanmış temsili etkinleştirmeden dinamik geçiş gerçekleştirebilirsiniz. Uzaktan yönetim için sunucuları etkinleştirmeyi de WS-MAN kolaylaştırır. WS-MAN, varsayılan olarak açık olan 80 numaralı bağlantı noktası üzerinden bağlanır.
Windows konukları için tümleştirme hizmetleri güncelleştirmeleri artık Windows Update aracılığıyla dağıtılıyor. Hizmet sağlayıcıları ve özel bulut konakları, VM'lerin sahibi olan kiracılara güncelleştirmeleri uygulama üzerinde denetim sağlayabilir. Windows kiracıları artık vm'lerini en son güncelleştirmelerin tümüyle tek bir yöntemle yükseltebilir. Linux kiracıları için tümleştirme hizmetlerinin kullanımına dair daha fazla bilgiye Hyper-V Windows Server ve Windowsüzerinde Desteklenen Linux ve FreeBSD sanal makineleri başlığı altından ulaşabilirsiniz: bkz.
. Önemli
Windows Server 2016 için Hyper-V artık gerekli olmadığından vmguest.iso görüntü dosyasını içermiyor.
Linux işletim sistemleri, 2. nesil VM'lerde artık Güvenli Önyükleme seçeneği etkin olarak başlatılabilir. Windows Server 2016 konaklarında Güvenli Önyükleme'yi destekleyen işletim sistemleri Ubuntu 14.04 ve üzeri, SUSE Linux Enterprise Server 12 ve üzeri, Red Hat Enterprise Linux 7.0 ve üzeri ile CentOS 7.0 ve sonraki sürümleri içerir. VM'yi ilk kez önyüklemeden önce, Hyper-V Manager, Virtual Machine Manager'da veya PowerShell'de Set-VMFirmware cmdlet'ini çalıştırarak Microsoft UEFI Sertifika Yetkilisi'ni kullanacak şekilde yapılandırmanız gerekir.
2. nesil VM'ler ve Hyper-V konakları artık önemli ölçüde daha fazla bellek ve sanal işlemci kullanabilir. Ayrıca, önceki sürümlerden daha fazla bellek ve sanal işlemciye sahip konakları yapılandırabilirsiniz. Bu değişiklikler, çevrimiçi işlem için büyük bellek içi veritabanları çalıştırma (OLTP) ve e-ticaret için veri ambarı (DW) gibi senaryoları destekler. Daha fazla bilgi için bkz. Windows Server 2016 Hyper-V bellek içi işlem işleme için büyük ölçekli VM performansı.
'daki sürüm uyumluluğu ve desteklenen maksimum yapılandırmalar hakkında daha fazla bilgi edinmek için, Windows veya Windows Server 'da Hyper-V'da sanal makine sürümünü yükseltin ve Windows Server'da Hyper-V ölçeklenebilirlik planınıyapın. İç İçe Sanallaştırma özelliği, vm'yi Hyper-V konağı olarak kullanmanıza ve sanallaştırılmış konak içinde VM'ler oluşturmanıza olanak tanır. Intel VT-x özellikli işlemciye sahip en az Windows Server 2016 veya Windows 10 çalıştıran geliştirme ve test ortamları oluşturmak için bu özelliği kullanabilirsiniz. Daha fazla bilgi için bkz. İç İçe Sanallaştırma nedir?.
Artık üretim iş yüklerini çalıştıran VM'ler için destek ilkelerine uygun üretim denetim noktaları ayarlayabilirsiniz. Bu denetim noktaları, kayıtlı durum yerine konuk cihazın içindeki yedekleme teknolojisinde çalışır. Windows VM'leri Birim Anlık Görüntü Hizmeti'ni (VSS) kullanırken, Linux VM'leri dosya sistemiyle tutarlı denetim noktaları oluşturmak için dosya sistemi arabelleklerini temizler. Bunun yerine standart denetim noktalarını kullanarak kayıt durumlarını temel alan denetim noktalarını kullanmaya devam edebilirsiniz. Daha fazla bilgi için bkz. Hyper-V'da standart veya üretim denetim noktaları arasında seçim yapma .
Önemli
Yeni VM'ler varsayılan olarak üretim denetim noktalarını kullanır.
Artık paylaşılan sanal sabit diskleri (
.vhdxdosyaları) kapalı kalma süresi olmadan konuk kümeleme için yeniden boyutlandırabilirsiniz. Paylaşılan sanal sabit diskleri korumak için olağanüstü durum kurtarma amacıyla Hyper-V Replica'yı kullanarak guest cluster'ları da kullanabilirsiniz. Bu özelliği yalnızca Windows Yönetim Araçları (WMI) aracılığıyla çoğaltmayı etkinleştirdiğiniz bir konuk kümedeki koleksiyonlarda kullanabilirsiniz. Daha fazla bilgi için bkz. Msvm_CollectionReplicationService sınıf ve Sanal Sabit Disk Paylaşımına Genel Bakış.Not
Bir koleksiyonun çoğaltmasını PowerShell cmdlet'leri aracılığıyla veya WMI arabirimini kullanarak yönetmek mümkün değildir.
Tek bir sanal makineyi yedeklerken, sunucunun kümelenmiş olup olmadığına bakılmaksızın bir VM grubu veya anlık görüntü koleksiyonu kullanmanızı önermiyoruz. Bu seçenekler, paylaşılan vhdx kullanan konuk kümeleri yedeklemeye yöneliktir. Bunun yerine, Hyper-V WMI sağlayıcısı (V2)kullanarak anlık görüntü almanızı öneririz.
Artık konak veya kötü amaçlı yazılımdaki Hyper-V yöneticilerin korumalı VM durumundaki verileri denetlemesini, kurcalamasını veya çalmasını engelleyen özellikler içeren korumalı Hyper-V VM'ler oluşturabilirsiniz. Veriler ve durum şifrelenir, böylece Hyper-V yöneticileri video çıkışını ve kullanılabilir diskleri göremez. Ayrıca VM'leri yalnızca Bir Konak Koruyucu Sunucusunun iyi durumda ve güvenilir olduğunu belirlediği konaklarda çalışacak şekilde kısıtlayabilirsiniz. Daha fazla bilgi için bkz. Korumalı yapı ve korumalı VM'lere genel bakış.
Not
Korumalı VM'ler Hyper-V Çoğaltıcı ile uyumludur. Korumalı bir sanal makineyi çoğaltmak için, çoğaltmak istediğiniz konağı bu korumalı VM'yi çalıştırmak üzere yetkilendirmeniz gerekir.
Kümelenmiş sanal makineler için başlangıç sırası önceliği özelliği, hangi kümelenmiş VM'lerin ilk olarak başlatıldığı veya yeniden başlatıldığı üzerinde daha fazla denetim sağlar. Başlangıç sırası önceliğine karar vermek, bu hizmetleri kullanan VM'leri başlatmadan önce hizmet sağlayan VM'leri başlatmanıza olanak tanır. New-ClusterGroupSet, Get-ClusterGroupSetve Add-ClusterGroupSetDependencygibi PowerShell cmdlet'lerini kullanarak kümeleri tanımlayabilir, kümelere VM ekleyebilir ve bağımlılıkları belirtebilirsiniz.
VM yapılandırma dosyaları artık
.vmcxdosya uzantısı biçimini kullanırken, çalışma zamanı durumu veri dosyaları.vmrsdosya uzantısı biçimini kullanır. Bu yeni dosya biçimleri, daha verimli okuma ve yazma göz önünde bulundurularak tasarlanmıştır. Güncelleştirilmiş biçimler, depolama hatası oluştuğunda veri bozulması olasılığını da azaltır.Önemli
.vmcxdosya adı uzantısı ikili dosyayı gösterir. Windows Server 2016 için Hyper-V,.vmcxveya.vmrsdosyalarını düzenlemeyi desteklemez.Sürüm 5 VM'lerle sürüm uyumluluğunu güncelleştirdik. Bu VM'ler hem Windows Server 2012 R2 hem de Windows Server 2016 ile uyumludur. Ancak, Windows Server 2019 ile uyumlu sürüm 5 VM'leri Windows Server 2012 R2'de değil yalnızca Windows Server 2016'da çalıştırılabilir. Windows Server 2012 R2 VM'sini Windows Server'ın sonraki bir sürümünü çalıştıran bir sunucuya taşır veya içeri aktarırsanız, WINDOWS Server'ın sonraki sürümlerine yönelik özellikleri kullanmak üzere VM yapılandırmasını el ile güncelleştirmeniz gerekir. Sürüm uyumluluğu ve güncelleştirilmiş özellikler hakkında daha fazla bilgi için bkz. Windows veya Windows Serverüzerinde Hyper-V'de sanal makine sürümünü yükseltme.
Artık işletim sisteminizi kötü amaçlı yazılım açıklarına karşı korumak için Device Guard ve Credential Guard gibi 2. nesil VM'ler için sanallaştırma tabanlı güvenlik özelliklerini kullanabilirsiniz. Bu özellikler, sürüm 8 veya üzerini çalıştıran VM'lerde kullanılabilir. Daha fazla bilgi için Windows veya Windows Serverüzerinde Hyper-V'da Sanal Makine Sürümünü Yükseltme
bölümüne bakın. Artık konak makineden VM'nizi VMConnect veya Uzak PowerShell'e alternatif olarak yapılandırmak için Windows PowerShell Direct kullanarak cmdlet'leri çalıştırabilirsiniz. Kullanmaya başlamak için herhangi bir ağ veya güvenlik duvarı gereksinimlerini karşılamanız veya özel bir uzaktan yönetim yapılandırmanız olması gerekmez. Daha fazla bilgi için bkz. PowerShell Directile Windows sanal makinelerini yönetme
.
Nano Sunucu
Nano Sunucu artık fiziksel konak ve konuk sanal makine işlevselliğinin daha fazla ayrımı ve farklı Windows Server sürümleri için destek de dahil olmak üzere Nano Sunucu görüntüleri oluşturmaya yönelik güncelleştirilmiş bir modüle sahiptir. Daha fazla bilgi için bkz. Nano Sunucu Yükleme.
Kurtarma Konsolu'nda, gelen ve giden güvenlik duvarı kurallarının ayrılması ve WinRM yapılandırmasını onarma gibi iyileştirmeler de vardır.
Korumalı Sanal Makineler
Windows Server 2016, herhangi bir 2. Nesil sanal makineyi güvenliği aşılmış bir yapıdan korumak için yeni bir Hyper-V tabanlı Korumalı Sanal Makine sağlar. Windows Server 2016'da sunulan özellikler arasında şunlar yer alır:
Yeni Şifreleme Destekli modu, sıradan bir sanal makineye göre daha fazla koruma sunan ancak Korumalı modundan daha az koruma sağlarken vTPM, disk şifreleme, Canlı Geçiş trafik şifrelemesi ve sanal makine konsolu bağlantıları ile PowerShell Doğrudan gibi doğrudan doku yönetimi kolaylıkları dahil diğer özellikleri destekler.
Mevcut korumalı olmayan 2. Nesil sanal makineleri otomatik disk şifreleme dahil olmak üzere korumalı sanal makinelere dönüştürmek için tam destek.
Hyper-V Virtual Machine Manager artık korumalı bir sanal makinenin çalışma yetkisine sahip olduğu dokuları görüntüleyebilir ve yapı yöneticisinin korumalı bir sanal makinenin anahtar koruyucusunu (KP) açması ve üzerinde çalışmasına izin verilen dokuları görüntülemesi için bir yol sağlar.
Çalışan bir Konak Koruyucu Hizmeti'nde Kanıtlama modlarını değiştirebilirsiniz. Artık daha az güvenli ancak daha basit Active Directory tabanlı kanıtlama ile TPM tabanlı kanıtlama arasında anında geçiş yapabilirsiniz.
Windows PowerShell'i temel alan ve hem korunan Hyper-V konaklardaki hem de Konak Koruyucu Hizmeti'ndeki yanlış yapılandırmaları veya hataları algılayabilen uçtan uca tanılama araçları.
Korumalı sanal makinelerle aynı koruma düzeyini sunarken normalde çalıştıkları yapı içinde korumalı sanal makinelerin sorunlarını güvenli bir şekilde giderme ve onarma imkanı sunan bir kurtarma ortamı.
Mevcut güvenli Active Directory için Konak Koruyucu Hizmeti desteği – Ana Bilgisayar Koruyucu Hizmeti'ni kendi Active Directory örneğini oluşturmak yerine mevcut bir Active Directory ormanını Active Directory olarak kullanmaya yönlendirebilirsiniz
Korumalı sanal makinelerle çalışmaya ilişkin daha fazla bilgi ve yönergeler için bkz. Korumalı Yapı ve Korumalı VM'ler.
Kimlik ve Erişim
Identity'deki yeni özellikler kuruluşların Active Directory ortamlarının güvenliğini sağlama ve bazı uygulama ve hizmetlerin bulutta, bazılarının ise şirket içinde barındırıldığı yalnızca bulut dağıtımlarına ve karma dağıtımlara geçmelerine yardımcı olma özelliğini geliştirir.
Active Directory Sertifika Hizmetleri
Windows Server 2016'daki Active Directory Sertifika Hizmetleri (AD CS), TPM anahtar kanıtlama desteğini artırıyor: Artık anahtar kanıtlama için Akıllı Kart KSP'sini kullanabilirsiniz ve etki alanına katılmamış cihazlar artık NDES kaydını kullanarak anahtarların TPM'de olduğu doğrulanabilir sertifikaları alabilir.
Ayrıcalıklı erişim yönetimi
Ayrıcalıklı erişim yönetimi (PAM), karma geçiş, mızrak kimlik avı gibi kimlik bilgisi hırsızlığı tekniklerinin neden olduğu güvenlik sorunlarını azaltarak Active Directory ortamlarındaki güvenlik endişelerini hafifletmeye yardımcı olur. Microsoft Identity Manager'ı (MIM) kullanarak bu yeni yönetim erişim çözümünü yapılandırabilirsiniz ve aşağıdaki özellikleri sunar:
MIM tarafından sağlanan bastion Active Directory ormanı, mevcut bir ormanla özel bir PAM güven ilişkisine sahiptir. Bastion ormanları, mevcut ormanlardan yalıtılması ve yalnızca ayrıcalıklı hesaplara erişime izin vermesinden dolayı kötü amaçlı etkinliklerden arınmış yeni bir Active Directory ortamı türüdür.
MIM'de, istekleri onaylamaya yönelik yeni iş akışları da dahil olmak üzere yönetim ayrıcalıkları istemek için yeni işlemler.
Yönetim ayrıcalık isteklerine yanıt olarak MIM tarafından savunma ormanında sağlanan yeni gölge güvenlik sorumluları veya grupları. Gölge güvenlik gruplarının, var olan bir ormandaki bir yönetim grubunun SID'sine başvuran bir özniteliği vardır. Bu, gölge grubun herhangi bir erişim denetimi listesini (ACL) değiştirmeden mevcut ormanlardaki kaynaklara erişmesine olanak tanır.
Süresi dolan bağlantılar, bir gölge gruba sınırlı süreli üyelikler sağlayan bir özelliktir. Kullanıcıları, yönetim görevlerini gerçekleştirmelerine olanak tanıyan belirli bir süre için gruba ekleyebilirsiniz. Sınırlı süreli üyelik, Kerberos bilet ömrüne yayılan bir yaşam süresi (TTL) değeriyle yapılandırılır.
Not
Süresi dolan bağlantılar tüm bağlı özniteliklerde kullanılabilir. Ancak, yalnızca bir grup ile kullanıcı arasındaki member/memberOF bağlantılı öznitelik ilişkisi, süresi dolan bağlantılar özelliğini kullanmak üzere PAM ile önceden yapılandırılmış olarak gelir.
Yerleşik Kerberos Etki Alanı Denetleyicisi (KDC) geliştirmeleri, kullanıcıların yönetim gruplarına sınırlı süreli birden çok üyeliği olduğunda Active Directory etki alanı denetleyicilerinin Kerberos anahtarı yaşam sürelerini mümkün olan en düşük TTL değeriyle kısıtlamasına olanak sağlar. Örneğin, A
zamana bağlı grubun üyesiyseniz, oturum açtığınızda Kerberos anahtar verme anahtarı (TGT) yaşam süresi, A grupta kalan sürenize eşittir. A grubundan daha düşük TTL'ye sahip olan B zamana bağlı gruba da katılırsanız, TGT yaşam süreniz B grubunda kalan sürenize eşittir.Hangi kullanıcıların erişim istediğini, yöneticilere hangi erişimin verildiğini ve oturum açma sırasında hangi etkinlikleri gerçekleştirdiklerini belirlemenize olanak tanıyan yeni izleme özellikleri.
PAM hakkında daha fazla bilgi edinmek için, Active Directory Etki Alanı Hizmetleri için Ayrıcalıklı Erişim Yönetimikonusuna bakın.
Microsoft Entra'ya katılma
Microsoft Entra join, kurumsal, iş ve eğitim müşterileri için kimlik deneyimlerini geliştirmenin yanı sıra kurumsal ve kişisel cihazlar için geliştirilmiş özellikler de sunar.
Modern Ayarlar artık şirkete ait Windows cihazlarında kullanılabilir. Temel Windows özelliklerini kullanmak için artık kişisel bir Microsoft hesabına ihtiyacınız yoktur ve uyumluluk sağlamak için yeni kullanıcı iş hesaplarını kullanarak çalışırlar. Bu hizmetler, şirket içi Windows etki alanına katılmış bilgisayarlarda ve Microsoft Entra'ya katılmış cihazlarda çalışır. Bu ayarlar şunlardır:
Dolaşım veya kişiselleştirme, erişilebilirlik ayarları ve kimlik bilgileri
Yedekleme ve geri yükleme
İş hesabınızla Microsoft Store'a erişim
Canlı kutucuklar ve bildirimler
İster şirkete ait ister kendi cihazını getir (KCG) olsun, telefon ve tabletler gibi windows etki alanına katılmayan mobil cihazlardaki kuruluş kaynaklarına erişin.
Office 365 ve diğer kurumsal uygulamalar, web siteleri ve kaynaklar için Single-Sign Açık (SSO) kullanın.
KCG cihazlarında şirket içi etki alanından veya Azure AD'den kişisel bir cihaza iş hesabı ekleyin. Koşullu Hesap Denetimi ve Cihaz Durumu kanıtlama gibi yeni özelliklerle uyumlu kalırken çalışma kaynaklarına uygulamalar aracılığıyla veya web üzerinden erişmek için SSO kullanabilirsiniz.
Mobil cihaz yönetimi (MDM) tümleştirmesi, cihazları mobil cihaz yönetimi (MDM) aracınıza (Microsoft Intune veya üçüncü taraf) otomatik olarak kaydetmenizi sağlar.
Kuruluşunuzdaki birden çok kullanıcı için bilgi noktası modunu ve paylaşılan cihazları ayarlayın.
Geliştirici deneyimi, paylaşılan bir programlama yığınıyla hem kurumsal hem de kişisel bağlamlara uygun uygulamalar oluşturmanıza olanak tanır.
Görüntüleme seçeneği, görüntüleme arasında seçim yapmanıza ve kullanıcılarınızın şirkete ait cihazları doğrudan ilk çalıştırma deneyimi sırasında yapılandırmalarına olanak tanır.
İş İçin Windows Hello
İş İçin Windows Hello, kuruluşlar ve tüketiciler için parolaları aşan anahtar tabanlı bir kimlik doğrulama yaklaşımıdır. Bu kimlik doğrulama biçimi, ihlallere, hırsızlıklara ve kimlik avına dayanıklı kimlik bilgilerine dayanır.
Kullanıcı, bir sertifikaya veya asimetrik anahtar çiftine bağlı bir biyometrik veya PIN ile cihazda oturum açar. Kimlik Sağlayıcıları (IDP) kullanıcının ortak anahtarını IDLocker'a eşleyerek kullanıcıyı doğrular ve One Time Password (OTP), telefonla veya farklı bir bildirim mekanizması aracılığıyla oturum açma bilgileri sağlar.
Daha fazla bilgi için İş için Windows Hellobölümüne bakın.
Dosya Çoğaltma Hizmeti (FRS) ve Windows Server 2003 işlev düzeylerinin kullanımdan kaldırılması
Dosya Çoğaltma Hizmeti (FRS) ve Windows Server 2003 işlev düzeyleri Windows Server'ın önceki sürümlerinde kullanımdan kaldırılmış olsa da, AD DS'nin artık Windows Server 2003'ü desteklemediğini hatırlatmak isteriz. Windows Server 2003 çalıştıran tüm etki alanı denetleyicilerini etki alanından kaldırmanız gerekir. Ayrıca etki alanı ve orman işlev düzeyini en az Windows Server 2008'e yükseltmelisiniz.
Windows Server 2008 ve üzeri etki alanı işlev düzeylerinde AD DS, SYSVOL klasör içeriğini etki alanı denetleyicileri arasında çoğaltmak için Dağıtılmış Dosya Hizmeti (DFS) Çoğaltma'yı kullanır. Windows Server 2008 etki alanı işlev düzeyinde veya üzeri bir etki alanı oluşturursanız, DFS Çoğaltma sysvol klasörünü otomatik olarak çoğaltır. Etki alanını daha düşük işlevsel bir düzeyde oluşturduysanız, SYSVOL klasörü için FRS'yi kullanarak DFS çoğaltmasına geçmeniz gerekir. Daha ayrıntılı geçiş adımları için, Windows Server'a yükleme, yükseltme veya geçiş bölümüne bakın.
Daha fazla bilgi için aşağıdaki kaynaklara bakın:
- Active Directory Etki Alanı Hizmetleri (AD DS) İşlev Düzeylerini anlama
- Active Directory etki alanı ve orman işlev düzeylerini yükseltme
Active Directory Federasyon Hizmetleri
Windows Server 2016'daki Active Directory Federasyon Hizmetleri (AD FS), Basit Dizin Erişim Protokolü (LDAP) dizinlerinde depolanan kullanıcıların kimliğini doğrulamak için AD FS'yi yapılandırmanıza olanak tanıyan yeni özellikler içerir.
Web Uygulaması Ara Sunucusu
Web Uygulaması Ara Sunucusu'nun en son sürümü, daha fazla uygulama ve gelişmiş kullanıcı deneyimi için yayımlamayı ve ön kimlik doğrulamasını etkinleştiren yeni özelliklere odaklanır. SharePoint uygulamalarının daha kolay yayımlanması için Exchange ActiveSync ve joker karakter etki alanları gibi zengin istemci uygulamaları için ön kimlik doğrulaması içeren yeni özelliklerin tam listesine göz atın. Daha fazla bilgi için bkz.Windows Server 2016'da Web Uygulaması Ara Sunucusu
Yönetim
Yönetim ve Otomasyon alanı, Windows PowerShell dahil olmak üzere Windows Server 2016'yı çalıştırmak ve yönetmek isteyen BT uzmanları için araç ve başvuru bilgilerine odaklanır.
Windows PowerShell 5.1, sınıflarla geliştirme desteği ve kullanımını genişleten, kullanılabilirliğini geliştiren ve Windows tabanlı ortamları daha kolay ve kapsamlı bir şekilde denetlemenize ve yönetmenize olanak sağlayan yeni özellikler içerir. Ayrıntılar için bkz. WMF 5.1
Windows Server 2016'ya yönelik yeni eklemeler şunlardır: Nano Sunucu'da yerel olarak PowerShell.exe çalıştırma özelliği (artık yalnızca uzak değil), GUI'yi değiştirmek için yeni Yerel Kullanıcılar & Grupları cmdlet'leri, PowerShell hata ayıklama desteği eklendi ve Nano Sunucu'da güvenlik günlüğü & transkripsiyon ve JEA için destek eklendi.
Diğer bazı yeni yönetim özellikleri şunlardır:
Windows Management Framework (WMF) 5'te PowerShell İstenen Durum Yapılandırması (DSC)
Windows Management Framework 5, Windows PowerShell İstenen Durum Yapılandırması (DSC), Windows Uzaktan Yönetimi (WinRM) ve Windows Yönetim Araçları (WMI) güncelleştirmelerini içerir.
Windows Management Framework 5'in DSC özelliklerini test etme hakkında daha fazla bilgi için PowerShell DSC özelliklerini doğrulamamakalesinde açıklanan blog gönderileri dizisine bakın. İndirmek için bkz. Windows Management Framework 5.1.
Yazılım bulma, yükleme ve envanter için PackageManagement birleşik paket yönetimi
Windows Server 2016 ve Windows 10, BT Uzmanlarının veya DevOps'un yazılım bulma, yükleme ve envanteri (SDII) otomatikleştirmesini sağlayan yeni bir PackageManagement özelliği (eski adıyla OneGet) içerir. Bu özellik, yükleyici teknolojisi ne olursa olsun ve yazılımın nerede bulunduğu fark etmez.
Daha fazla bilgi için bkz. https://github.com/OneGet/oneget/wiki.
Dijital adli tıpa yardımcı olmak ve güvenlik ihlallerini azaltmaya yardımcı olmak için PowerShell geliştirmeleri
Bazen "mavi ekip" olarak da bilinen, güvenliği aşılmış sistemleri araştırmaktan sorumlu ekiliğe yardımcı olmak için ek PowerShell günlüğü ve diğer dijital adli tıp işlevleri ekledik ve kısıtlanmış PowerShell gibi betiklerdeki güvenlik açıklarını azaltmaya ve CodeGeneration API'lerinin güvenliğini sağlamaya yardımcı olacak işlevler ekledik.
Daha fazla bilgi için PowerShell ♥ the Blue Team blog gönderisine bakın.
Ağ
Ağ alanı, BT uzmanlarının Windows Server 2016'yı tasarlaması, dağıtması ve bakımını sağlaması için ağ ürünlerini ve özelliklerini ele alır.
Software-Defined Ağ Oluşturma
Software-Defined Ağ (SDN), aşağıdaki özellikleri içeren yeni bir Yazılım Tanımlı Veri Merkezi (SDDC) çözümüdür:
Ağ cihazlarının ve hizmetlerin el ile yapılandırmasını gerçekleştirmek yerine ağ altyapısının yapılandırmasını otomatikleştirmenizi sağlayan Ağ Denetleyicisi. Ağ Denetleyicisi, JavaScript Nesne Gösterimi (JSON) yükleri ile kuzeydeki arabiriminde Temsili Durum Aktarımı (REST) kullanır. Ağ Denetleyicisi güneye giden arabirimi Open vSwitch Database Management Protocol (OVSDB) kullanır.
Hyper-V için yeni özellikler:
Hyper-V Sanal Anahtar, dağıtılmış anahtarlama ve yönlendirme oluşturmanıza ve Microsoft Azure ile uyumlu bir ilke zorlama katmanı oluşturmanıza olanak tanır. Daha fazla bilgi için bkz: Hyper-V sanal anahtar.
Sanal anahtarlar oluştururken uzaktan doğrudan bellek erişimi (RDMA) ve anahtar gömülü ekip (SET). SET'i zaten kullanıyor olup olmadığınıza bakılmaksızın, Hyper-V sanal anahtarına bağlı ağ bağdaştırıcılarında RDMA'yı ayarlayabilirsiniz. SET, sanal anahtarlarınıza NIC grubu oluşturma ile benzer özellikler sağlayabilir. Daha fazla ayrıntı için bkz. Azure Yereliçin konak ağ gereksinimleri
. Sanal makine çoklu kuyrukları (VMMQ), her sanal makine için birden fazla donanım kuyruğu ayırarak VMQ'nun veri aktarım kapasitesini artırır. Varsayılan kuyruk, vm için bir dizi kuyruk haline gelir ve trafiği kuyruklar arasında yayar.
Yazılım tanımlı ağlar için hizmet kalitesi (QoS), varsayılan sınıf bant genişliği içindeki sanal anahtar aracılığıyla varsayılan trafik sınıfını yönetir.
Donanım gereçleri tarafından gerçekleştirilen ağ işlevlerini yük dengeleyiciler, güvenlik duvarları, yönlendiriciler, anahtarlar gibi sanal gereçlere yansıtmanıza veya yönlendirmenize olanak tanıyan Ağ İşlevi Sanallaştırma (NFV). Ayrıca System Center Virtual Machine Manager'ı kullanarak SDN yığınınızın tamamını dağıtabilir ve yönetebilirsiniz. Docker ile Windows Server kapsayıcı ağını yönetebilir ve SDN ilkelerini hem sanal makineler hem de kapsayıcılarla ilişkilendirebilirsiniz.
Vm arabirimi düzeyinde veya alt ağ düzeyinde güvenlik duvarı ilkeleri uygulamanızı sağlayan ayrıntılı erişim denetim listeleri (ACL'ler) sağlayan bir Veri Merkezi Güvenlik Duvarı. Daha fazla bilgi edinmek için bkz. Datacenter Güvenlik Duvarı nedir?.
RAS Ağ Geçidi, bulut veri merkezinizden siteden siteye VPN bağlantıları da dahil olmak üzere sanal ağlar ve fiziksel ağlar arasındaki trafiği kiracılarınızın uzak sitelerine yönlendirmenize olanak tanır. Sınır Ağ Geçidi Protokolü (BGP), İnternet Anahtar Değişimi sürüm 2 (IKEv2) siteden siteye sanal özel ağlar (VPN'ler), Katman 3 (L3) VPN'leri ve Genel Yönlendirme Kapsüllemesi (GRE) ağ geçitleri dahil olmak üzere tüm ağ geçidi senaryoları için ağlar arasında dinamik yönlendirme dağıtmanıza ve sağlamanıza olanak tanır. Ağ geçitleri artık ağ geçidi havuzlarını ve M+N yedekliliğini de destekliyor. Daha fazla bilgi edinmek için bkz. Yazılım Tanımlı Ağ için Uzaktan Erişim Hizmeti (RAS) Ağ Geçidi nedir?.
Yazılım Yük Dengeleyici (SLB) ve Ağ Adresi Çevirisi (NAT), Doğrudan Sunucu İadesi'ni destekleyerek aktarım hızını artırır. Bu, dönüş ağ trafiğinin Yük Dengeleme çoğullayıcısını atlamasına olanak tanır ve kuzey-güney ve doğu-batı katman 4 yük dengeleyici ve NAT kullanılarak elde edilebilir. Daha fazla bilgi edinmek için bkz.
SDN için Yazılım Yük Dengeleyici (SLB) nedir? ağ işlevi sanallaştırma ve. Veri düzleminde çalışan ve hem Sanal Genişletilebilir LAN (VxLAN) hem de Ağ Sanallaştırma Genel Yönlendirme Kapsüllemesi'ni (NVGRE) destekleyen esnek kapsülleme teknolojileri.
Daha fazla bilgi için bkz. Yazılım Tanımlı Ağ Altyapısı planlama.
Bulut ölçeğiyle ilgili temel bilgiler
Windows Server 2016 aşağıdaki bulut ölçeği temellerini içerir:
Yönetim, Uzaktan Doğrudan Bellek Erişimi (RDMA) özellikli depolama ve kiracı trafiği için tek bir ağ bağdaştırıcısı kullanmanıza olanak tanıyan Yakınsanmış Ağ Arabirimi Kartı (NIC). Yakınsanmış NIC, sunucu başına farklı trafik türlerini yönetmek için daha az ağ bağdaştırıcısı gerektirdiğinden veri merkezinizdeki her sunucunun maliyetini azaltır.
Paket Doğrudan, yüksek ağ trafiği aktarım hızı ve düşük gecikme süreli paket işleme altyapısı sağlar.
Gömülü Anahtar Ekip Oluşturma (SET), Hyper-V Sanal Anahtarı ile entegre edilmiş bir NIC Ekip Oluşturma çözümüdür. SET, kullanılabilirliği artıran ve yük devretme özelliği sağlayan tek bir SET ekibinde sekiz fiziksel NIC'ye kadar birleştirilmesine olanak tanır. Windows Server 2016'da, Sunucu İleti Bloğu (SMB) ve RDMA kullanımıyla kısıtlanmış SET ekipleri oluşturabilirsiniz. Hyper-V Ağ Sanallaştırması için ağ trafiğini dağıtmak için SET ekiplerini de kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Yereliçin konak ağ gereksinimleri
.
TCP performansı iyileştirmeleri
Varsayılan İlk Tıkanıklık Penceresi (ICW) 4'ten 10'a yükseltildi ve TCP Hızlı Açma (TFO) uygulandı. TFO, TCP bağlantısı kurmak için gereken süreyi azaltır ve artan ICW, ilk patlamada daha büyük nesnelerin aktarılmasını sağlar. Bu birleşim, bir İnternet nesnesini istemci ile bulut arasında aktarmak için gereken süreyi önemli ölçüde azaltabilir.
Paket kaybından kurtarma sırasında TCP davranışını geliştirmek için TCP Kuyruk Kaybı Yoklaması (TLP) ve Son Bildirim (RACK) uyguladık. TLP, Yeniden İletim Zaman Aşımlarını (RTO'lar) Hızlı Kurtarmalara dönüştürmeye yardımcı olur ve RACK, kaybedilen bir paketin yeniden iletimi için Hızlı Kurtarma süresini azaltır.
Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP)
Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP), Windows Server 2016'da aşağıdaki değişikliklere sahiptir:
Windows 10, sürüm 2004'te bir Windows istemcisi çalıştırdığınızda ve İnternet'e bağlı bir Android cihazı kullanarak bağlandığınızda, bağlantılar artık tarifeli olarak etiketlenir. Bazı Windows cihazlarında MSFT 5.0 olarak görünen geleneksel İstemci Satıcı Adı artık MSFT 5.0 XBOX'tır.
Windows 10, sürüm 1803'ten itibaren, DHCP istemcisi artık sisteminizin bağlanacağı DHCP sunucusundan 119 seçeneğini (Etki Alanı Arama Seçeneği) okuyabilir ve uygulayabilir. Etki Alanı Arama Seçeneği, kısa adlar içeren DNS aramaları için Etki Alanı Adı Hizmetleri (DNS) son ekleri de sağlar. Daha fazla bilgi için bkz. RFC 3397.
DHCP artık 82 seçeneğini (5. alt seçenek) destekliyor. DHCP proxy istemcilerinin ve geçiş aracılarının belirli bir alt ağ için IP adresi istemesine izin vermek için bu seçeneği kullanabilirsiniz. DHCP seçeneği 82 (alt seçenek 5) ile yapılandırılmış bir DHCP geçiş aracısı kullanıyorsanız, geçiş aracısı belirli bir IP adresi aralığından DHCP istemcileri için bir IP adresi kirası isteyebilir. Daha fazla bilgi için bkz. dhcp alt ağ seçim seçenekleri
. DNS kaydı kayıtlarının DNS sunucusunda başarısız olduğu senaryolar için yeni günlük olayları. Daha fazla bilgi için bkz. DNS Kayıtları için DHCP Günlüğe Kaydetme Olaylarını.
DHCP Sunucusu rolü artık Ağ Erişim Koruması'nı (NAP) desteklemez. DHCP sunucuları NAP ilkelerini zorunlu kılmaz ve DHCP kapsamları NAP etkin olamaz. Aynı zamanda NAP istemcileri olan DHCP istemci bilgisayarları, DHCP isteğiyle bir sistem durumu (SoH) bildirimi gönderir. DHCP sunucusu Windows Server 2016 çalıştırıyorsa, bu istekler SoH yok gibi işlenir. DHCP sunucusu istemciye normal bir DHCP kirası verir. Windows Server 2016 çalıştıran sunucular, kimlik doğrulama isteklerini NAP'yi destekleyen bir Ağ İlkesi Sunucusuna (NPS) ileten Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) proxy'leriyse, NPS bu istemcileri NAP özellikli değil olarak değerlendirir ve NAP işlemenin başarısız olmasına neden olur. NAP ve NAP'yi kullanımdan kaldırma hakkında daha fazla bilgi için bkz. Windows Server 2012 R2'de Kaldırılan veya Kullanım Dışı Bırakılan Özellikler.
GRE tünel oluşturma
RAS Ağ Geçidi artık siteden siteye bağlantılar ve ağ geçitlerinin M+N yedekliliği için yüksek kullanılabilirlik Genel Yönlendirme Kapsüllemesi (GRE) tünellerini destekliyor. GRE, bir İnternet Protokolü İnternet ağı üzerinden sanal noktadan noktaya bağlantılar içinde çok çeşitli ağ katmanı protokollerini kapsülleyen basit bir tünel protokolüdür. Daha fazla bilgi için bkz. Windows Server 2016'da GRE Tüneli.
IP Adresi Yönetimi (IPAM)
IPAM aşağıdaki güncelleştirmelere sahiptir:
Gelişmiş IP adresi yönetimi. IPAM, IPv4 /32 ve IPv6 /128 alt ağlarını işleme ve bir IP adresi bloğunda ücretsiz IP adresi alt ağları ve aralıkları bulma gibi senaryolar için geliştirilmiş özelliklere sahiptir.
Artık ayırma için kullanılabilir alt ağları bulmak için
Find-IpamFreeSubnetcmdlet'ini çalıştırabilirsiniz. Bu işlev alt ağları ayırmaz, yalnızca kullanılabilirliklerini bildirir. Ancak, bir alt ağ oluşturmak için cmdlet çıkışınıAdd-IpamSubnetcmdlet'ine yöneltebilirsiniz. Daha fazla bilgi için bkz. Find-IpamFreeSubnet.Artık
Find-IpamFreeRangecmdlet'ini çalıştırarak ip bloğu, ön ek uzunluğu ve istenen alt ağ sayısı içinde kullanılabilir IP adresi aralıklarını bulabilirsiniz. Bu cmdlet, IP adresi aralığını ayırmaz, yalnızca kullanılabilirliklerini bildirir. Ancak, aralığı oluşturmak için çıkışıAddIpamRangecmdlet'ine aktarabilirsiniz. Daha fazla bilgi için bkz. Find-IpamFreeRange.Gelişmiş DNS hizmet yönetimi:
DNSSEC olmayan DNS sunucuları için DNS kaynak kayıtları koleksiyonu.
DNSSEC olmayan tüm kaynak kayıt türlerinde özellikleri ve işlemleri yapılandırma.
Hem etki alanına katılmış Active Directory ile tümleşik hem de dosya destekli DNS sunucuları için DNS bölge yönetimi. Birincil, İkincil ve Saptama bölgeleri dahil olmak üzere tüm DNS bölge türlerini yönetebilirsiniz.
İleri veya geri arama bölgeleri olmalarına bağımsız olarak İkincil ve Stub bölgelerinde görevleri tetikle.
Kayıtlar ve bölgeler için desteklenen DNS yapılandırmaları için rol tabanlı erişim denetimi.
Koşullu ileticiler
Tümleşik DNS, DHCP ve IP adresi (DDI) yönetimi. Artık IP Adresi Envanteri'nde bir IP adresiyle ilişkili tüm DNS kaynak kayıtlarını görüntüleyebilirsiniz. Ayrıca IP adreslerinin işaretçi (PTR) kayıtlarını otomatik olarak tutabilir ve hem DNS hem de DHCP işlemleri için IP adresi yaşam döngülerini yönetebilirsiniz.
Birden çok Active Directory Ormanı desteği. IPAM'yi yüklediğiniz orman ile uzak ormanların her biri arasında iki yönlü güven ilişkisi olduğunda birden çok Active Directory ormanının DNS ve DHCP sunucularını yönetmek için IPAM kullanabilirsiniz. Daha fazla bilgi için bkz. Birden Çok Active Directory Ormanındaki Kaynakları Yönetme.
Kullanım Verilerini Temizle özelliği, eski IP kullanım verilerini silerek IPAM veritabanı boyutunu azaltmanıza olanak tanır. Yalnızca bir tarih belirtin ve IPAM girdiğiniz tarihten daha eski veya ona eşit olan tüm veritabanı girdilerini siler. Daha fazla bilgi için bkz. Kullanım Verilerini Temizleme.
Artık PowerShell'de IPAM nesnelerinin erişim kapsamlarını tanımlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanabilirsiniz. Daha fazla bilgi için, Windows PowerShell ile Rol Tabanlı Erişim Denetimini Yönetme ve Windows PowerShell'de IP Adresi Yönetimi (IPAM) Sunucusu Cmdlet'lerini kısmına bakınız.
Daha fazla bilgi için bkz. IPAMyönetme.
Güvenlik ve Güvence
Güvenlik ve Güvence alanı BT uzmanının veri merkezinizde ve bulut ortamınızda dağıtılması için güvenlik çözümleri ve özellikleri içerir. Windows Server 2016'da genel olarak güvenlik hakkında bilgi için bkz. güvenlik ve güvence
Yeterli Yönetim
Windows Server 2016'da Yeterli Yönetim, Windows PowerShell ile yönetilebilen her şey için temsilcili yönetim sağlayan güvenlik teknolojisidir. Özellikler arasında ağ kimliği altında çalıştırma, PowerShell Direct üzerinden bağlanma, JEA uç noktalarına güvenli bir şekilde dosya kopyalama ve PowerShell konsolunu varsayılan olarak bir JEA bağlamında başlatacak şekilde yapılandırma desteği yer alır. Daha fazla bilgi için GitHub'da JEA'ya bakın.
Kimlik Bilgisi Koruması
Credential Guard, gizli bilgileri yalnızca ayrıcalıklı sistem yazılımlarının erişebilmesi için izole etmek amacıyla sanallaştırma tabanlı güvenliği kullanır. Daha fazla bilgi için Türetilmiş etki alanı kimlik bilgilerini Credential Guard ile korumabölümüne bakın.
Windows Server 2016 için Credential Guard, oturum açmış kullanıcı oturumları için aşağıdaki güncelleştirmeleri içerir:
Kerberos ve Yeni Teknoloji LAN Yöneticisi (NTLM), oturum açan kullanıcı oturumlarında Kerberos ve NTLM gizli dizilerini korumak için sanallaştırma tabanlı güvenlik kullanır.
Credential Manager, sanallaştırma tabanlı güvenlik kullanarak kaydedilen etki alanı kimlik bilgilerini korur. Oturum açma kimlik bilgileri ve kaydedilen etki alanı kimlik bilgileri, Uzak Masaüstü kullanılarak uzak sunuculara geçirilmez.
Credential Guard'ı Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) kilidi olmadan etkinleştirebilirsiniz.
Uzaktan Credential Guard
Credential Guard, kullanıcı kimlik bilgilerinin istemci tarafında kalması ve sunucu tarafında gösterilmemesi için RDP oturumları için destek içerir. Bu, Uzak Masaüstü için Çoklu Oturum Açma da sağlar. Daha fazla bilgi için bkz. Windows Defender Credential Guard ile türetilmiş etki alanı kimlik bilgilerini koruma
Windows Server 2016 için Remote Credential Guard, oturum açmış kullanıcılar için aşağıdaki güncellemeleri içerir:
Uzak Kimlik Koruma, istemci cihazında oturum açan kullanıcının kimlik bilgileri için Kerberos ve NTLM gizli bilgilerini korur. Ağ kaynaklarını değerlendirmek için uzak sunucudan gelen herhangi bir kimlik doğrulama isteği, istemci cihazının gizli anahtarları kullanmasını gerektirir.
Uzaktan Kimlik Bilgisi Koruması, Uzaktan Masaüstü'nü kullanırken sağlanan kullanıcı kimlik bilgilerini korur.
Etki alanı korumaları
Etki alanı korumaları artık bir Active Directory etki alanı gerektirir.
PKInit Freshness uzantısı desteği
Kerberos istemcileri artık ortak anahtar tabanlı oturum açma işlemleri için PKInit freshness uzantısını dener.
KDC'ler artık PKInit tazelik uzantısını destekliyor. Ancak pkInit freshness uzantısını varsayılan olarak sunmaz.
Daha fazla bilgi için bkz. RFC 8070 PKInit freshness uzantısıiçin Kerberos istemcisi ve KDC desteği
Yalnızca kullanıcının NTLM sırlarını döndüren genel anahtar
Windows Server 2016 etki alanı işlev düzeyinden (DFL) başlayarak, DC'ler artık yalnızca ortak anahtar kullanan bir kullanıcının NTLM gizli dizilerini sıralamayı destekliyor. Bu özellik, alt etki alanı işlev düzeylerinde (DCL) kullanılamaz.
Uyarı
8 Kasım 2016 güncellemesinden önce sıraya alınmış NTLM sırlarını destekleyen bir etki alanına bir DC eklemek, DC'nin çökmesine neden olabilir.
Yeni etki alanları için bu özellik varsayılan olarak etkindir. Mevcut etki alanları için, Active Directory Yönetim Merkezi'nde yapılandırmanız gerekir.
Active Directory Yönetim Merkezi'nde, sol bölmedeki etki alanına sağ tıklayın ve Özellikleröğesini seçin. Kullanıcıların İş İçin Windows Hello veya etkileşimli oturum açma için akıllı kart kullanması gerektiğinde, oturum açma sırasında süresi dolan NTLM gizli dizilerinin yenilenmesini etkinleştirmek için onay kutusunu seçin. Bundan sonra, bu değişikliği uygulamak için tamam seçin.
Kullanıcı belirli etki alanına katılmış cihazlarla kısıtlandığında ağ NTLM'sine izin verme
Etki Alanı Denetleyicileri, artık Windows Server 2016 DFL ve sonraki sürümlerde bir kullanıcı belirli etki alanına katılmış cihazlarla kısıtlandığında ağ NTLM kullanımına izin verme desteği sunabilir. Bu özellik, Windows Server 2016'dan önceki bir işletim sistemini çalıştıran DLL'lerde kullanılamaz.
Bu ayarı yapılandırmak için, kimlik doğrulama ilkesinde Kullanıcıseçili cihazlarla kısıtlandığında NTLM ağ kimlik doğrulamasına izin ver'i seçin.
Daha fazla bilgi için bkz. Kimlik doğrulama ilkeleri ve kimlik doğrulama ilkesi siloları.
Device Guard (Kod Bütünlüğü)
Device Guard, sunucuda hangi kodun çalışabileceğini belirten ilkeler oluşturarak çekirdek modu kod bütünlüğü (KMCI) ve kullanıcı modu kod bütünlüğü (UMCI) sağlar. Bkz. Windows Defender Device Guard'a giriş: sanallaştırma tabanlı güvenlik ve kod bütünlüğü ilkeleri.
Windows Defender
Windows Server 2016 için Windows Defender'a Genel Bakış. Windows Server Antimalware, Windows Server 2016'da varsayılan olarak yüklenir ve etkinleştirilir, ancak Windows Server Kötü Amaçlı Yazılımdan Koruma için kullanıcı arabirimi yüklenmez. Ancak, Windows Server Kötü Amaçlı Yazılımdan Koruma, kötü amaçlı yazılımdan koruma tanımlarını güncelleştirir ve bilgisayarı kullanıcı arabirimi olmadan korur. Windows Server Kötü Amaçlı Yazılımdan Koruma için kullanıcı arabirimine ihtiyacınız varsa, Rol ve Özellik Ekleme Sihirbazı'nı kullanarak işletim sistemi yüklemesinin ardından yükleyebilirsiniz.
Denetim Akış Koruyucusu
Control Flow Guard (CFG), bellek bozulması güvenlik açıkları ile mücadele etmek için oluşturulmuş bir platform güvenlik özelliğidir. Daha fazla bilgi için bkz. Control Flow Guard.
Depolama
Windows Server 2016'da Depolama, yazılım tanımlı depolama ve geleneksel dosya sunucuları için yeni özellikler ve geliştirmeler içerir.
Storage Spaces Direct
Depolama Alanları Doğrudan, yerel depolamaya sahip sunucuları kullanarak yüksek oranda kullanılabilir ve ölçeklenebilir depolama alanı oluşturmanızı sağlar. Yazılım tanımlı depolama sistemlerini dağıtmayı ve yönetmeyi basitleştirir ve daha önce paylaşılan disklerle kümelenmiş Depolama Alanları ile kullanılamamış olan SATA SSD'leri ve NVMe disk cihazları gibi yeni disk cihazları sınıflarını kullanmanıza olanak tanır.
Diğer ayrıntılar için bkz. Storage Spaces Direkt.
Depolama Çoğaltması
Storage Replica, olağanüstü durum kurtarma için sunucular veya kümeler arasında depolamadan bağımsız, blok düzeyinde, eşzamanlı çoğaltmayı etkinleştirir ve sitelere bir yük devretme kümesi genişletmenize olanak tanır. Eşzamanlı replikasyon, dosya sistemi düzeyinde sıfır veri kaybı sağlamak için fiziksel sitelerdeki verilerin çökme tutarlılığına sahip birimlerle yansıtılmasını sağlar. Zaman uyumsuz çoğaltma, veri kaybı olasılığıyla metropol aralıklarının ötesinde site uzantısına olanak tanır.
Daha fazla bilgi için bkz. Depolama Replikasyonu.
Depolama Hizmet Kalitesi (QoS)
Artık uçtan uca depolama performansını merkezi olarak izlemek ve Windows Server 2016'da Hyper-V ve CSV kümelerini kullanarak yönetim ilkeleri oluşturmak için depolama hizmet kalitesini (QoS) kullanabilirsiniz.
Daha fazla bilgi için bkz. Depolama Hizmet Kalitesi.
Yinelenen verileri kaldırma
Windows Server 2016, yinelenen verileri kaldırmaya yönelik aşağıdaki yeni özellikleri içerir.
Büyük hacimler için destek
Windows Server 2016'dan başlayarak, Yinelenen Verileri Kaldırma İşi işlem hattı artık her birim için birçok G/Ç kuyruğu kullanarak birden çok iş parçacığını paralel olarak çalıştırabilir. Bu değişiklik, yalnızca verileri birkaç küçük birime bölerek performansı daha önce mümkün olan düzeylere yükseltir. Bu iyileştirmeler, yalnızca İyileştirme İşi için değiltüm
Bu performans geliştirmeleri nedeniyle Windows Server 2016'da Yinelenen Verileri Kaldırma, 64 TB'a kadar olan birimlerde yüksek performansa sahiptir.
Büyük dosya desteği
Windows Server 2016'dan itibaren, Veri Yinelenmesini Azaltma, optimizasyon aktarım hızını ve erişim performansını artırmak için akış haritası yapıları ve diğer geliştirmeleri kullanır. Yinelenenleri Kaldırma İşlem Boru Hattı, baştan başlamak yerine, yük devretme senaryolarından sonra optimizasyonu sürdürebilir. Bu değişiklik, dosyaların performansını 1 TB'a kadar artırarak yöneticilerin yedekleme iş yükleriyle ilişkili büyük dosyalar gibi daha geniş bir iş yükü aralığına yinelenenleri kaldırma tasarrufları uygulamasına olanak sağlar.
Nano Sunucu desteği
Nano Sunucu, Windows Server 2016'da çok daha küçük bir sistem kaynağı ayak izi gerektiren, önemli ölçüde daha hızlı başlatılan ve Windows Server Core dağıtım seçeneğinden daha az güncelleştirme ve yeniden başlatma gerektiren başsız bir dağıtım seçeneğidir. Nano Sunucu, Veri Yinelememesini de tam olarak desteklemektedir. Nano Sunucu hakkında daha fazla bilgi için Container Base Imagesbölümüne bakın.
Sanallaştırılmış Yedekleme Uygulamaları için basitleştirilmiş yapılandırma
Windows Server 2016'dan başlayarak, Sanallaştırılmış Yedekleme Uygulamaları için Yinelenen Verileri Kaldırma senaryoları büyük ölçüde basitleştirilir. Bu senaryo artık önceden tanımlanmış bir Kullanım Türü seçeneğidir. Yinelenenleri kaldırma ayarlarını artık el ile ayarlamanız gerekmez, yalnızca Genel Amaçlı Dosya Sunucusu ve Sanal Masaüstü Altyapısı (VDI) gibi bir birim için YinelenenLeri Kaldırma'yı etkinleştirmeniz yeterlidir.
Küme İşletim Sistemi Sıralı Yükseltme desteği
Yinelenen Verileri Kaldırma çalıştıran Windows Server Yük Devretme Kümeleri, Yinelenen Verileri Kaldırma'nın Windows Server 2012 R2 ve Windows Server 2016 sürümlerini çalıştıran düğümlerin bir karışımına sahip olabilir. Bu karma modlu küme özelliği, küme sıralı yükseltmeleri sırasında yinelenenleri kaldırılmış tüm birimlere tam veri erişimi sağlar. Artık Windows Server'ın önceki sürümlerini çalıştıran kümelerde Yinelenen Verileri Kaldırma'nın sonraki sürümlerini kapalı kalma süresi olmadan aşamalı olarak dağıtabilirsiniz.
Artık Hyper-V'de sıralı yükseltmeleri de kullanabilirsiniz. Sıralı Hyper-V Kümesi yükseltmesi ile artık Windows Server 2019 veya Windows Server 2016 çalıştıran bir düğümü Windows Server 2012 R2 çalıştıran düğümlerle bir Hyper-V Kümesine ekleyebilirsiniz. Windows Server'ın sonraki sürümünü çalıştıran düğümü ekledikten sonra, kapalı kalma süresi olmadan kümenin geri kalanını yükseltebilirsiniz. Tüm düğümleri yükseltip PowerShell'de Update-ClusterFunctionalLevel komutunu çalıştırarak kümenin işlev seviyesini güncelleştirmeden önce, küme Windows Server 2012 R2 özellik seviyesinde çalışır. Sıralı yükseltme işleminin nasıl çalıştığına ilişkin daha ayrıntılı yönergeler için bkz. Küme İşletim Sistemi Sıralı Yükseltme.
Not
Windows 10'da Hyper-V, yük devretme kümelemesini desteklemez.
SYSVOL ve NETLOGON bağlantıları için SMB sağlamlaştırma geliştirmeleri
Windows 10 ve Windows Server 2016'da, Active Directory Etki Alanı Hizmetleri'ne istemci bağlantıları varsayılan olarak etki alanı denetleyicilerinde SYSVOL ve NETLOGON paylaşımlarını kullanır. Artık bu bağlantılar, Kerberos gibi hizmetleri kullanarak SMB imzalama ve karşılıklı kimlik doğrulaması gerektirir. SMB imzalama ve karşılıklı kimlik doğrulama mevcut değilse, bir Windows 10 veya Windows Server 2016 bilgisayarı etki alanı tabanlı Grup İlkesi'ni ve betikleri işleyemez. Bu değişiklik cihazları ortadaki saldırgan saldırılara karşı korur.
Not
Bu ayarların kayıt defteri değerleri varsayılan olarak mevcut değildir, ancak grup ilkesi veya diğer kayıt defteri değerlerini düzenleyerek bunları geçersiz kılana kadar sağlamlaştırma kuralları geçerli olmaya devam eder.
Bu güvenlik geliştirmeleri hakkında daha fazla bilgi için bkz. MS15-011: Grup İlkesi güvenlik açığı ve MS15-014: Grup İlkesini Sağlamlaştırma &.
Çalışma Klasörleri
Çalışma Klasörleri sunucusu Windows Server 2016 ve Çalışma Klasörleri istemcisi Windows 10 olduğunda Windows Server 2016 geliştirilmiş değişiklik bildirimine sahiptir. Dosya değişiklikleri Çalışma Klasörleri sunucusuyla eşitlendiğinde, sunucu artık Windows 10 istemcilerini hemen bilgilendirip dosya değişikliklerini eşitler.
ReFS
ReFS'nin bir sonraki yinelemesi, çeşitli iş yüklerine sahip büyük ölçekli depolama dağıtımları için destek sağlar ve verileriniz için güvenilirlik, dayanıklılık ve ölçeklenebilirlik sunar.
ReFS aşağıdaki iyileştirmeleri sunar:
Aşağıdakiler de dahil olmak üzere daha hızlı performans ve daha yüksek depolama kapasitesi sunan yeni depolama katmanı işlevselliği:
Performans katmanında yansıtmayı ve kapasite katmanındaki eşliği kullanarak aynı sanal diskte birden çok dayanıklılık türü.
Değişen çalışma kümelerine daha fazla yanıt verme.
.vhdxdenetim noktası birleştirme işlemleri gibi VM işlemlerinin performansını geliştirmek için blok kopyalamayı tanıtır.Sızan depolamayı kurtarabilen ve verileri kritik bozulmalardan çıkarabilen yeni bir ReFS tarama aracı.
Yük Devretme Kümelemesi
Windows Server 2016, Yük Devretme Kümelemesi özelliği kullanılarak tek bir hataya dayanıklı kümede birlikte gruplandırılmış birden çok sunucu için birçok yeni özellik ve geliştirme içerir.
Küme İşletim Sistemi Sıralı Yükseltme
Küme İşletim Sistemi Sıralı Yükseltmesi, yöneticinin Hyper-V veya Scale-Out Dosya Sunucusu iş yüklerini durdurmadan küme düğümlerinin işletim sistemini Windows Server 2012 R2'den Windows Server 2016'ya yükseltmesine olanak tanır. Bu özelliği, Hizmet Düzeyi Sözleşmeleri'ne (SLA) karşı kapalı kalma süresi cezalarından kaçınmak için kullanabilirsiniz.
Daha fazla bilgi için bkz. Küme İşletim Sistemi Sıralı Yükseltme.
Bulut Tanığı
Cloud Witness, Windows Server 2016'da Microsoft Azure'u tahkim noktası olarak kullanan yeni bir Yük Devretme Kümesi quorum tanığı türüdür. Bulut Tanığı, diğer tüm çekirdek tanıkları gibi bir oy alır ve çekirdek hesaplamalarına katılabilir. Küme Çoğunluğu Yapılandırma sihirbazını kullanarak Bulut Tanığı'nı çoğunluk tanığı olarak yapılandırabilirsiniz.
Daha fazla bilgi için bkz. yük devretme kümesi için Bulut Tanığı Dağıtma.
Sanal Makine dayanıklılığı
Windows Server 2016, işlem kümenizdeki küme içi iletişim sorunlarını azaltmaya yardımcı olmak için artırılmış sanal makine (VM) işlem dayanıklılığı içerir. Bu artan dayanıklılık aşağıdaki güncelleştirmeleri içerir:
Artık vm'lerin geçici hatalar sırasında nasıl davranacağını tanımlamak için aşağıdaki seçenekleri yapılandırabilirsiniz:
Dayanıklılık Düzeyi dağıtımınızın geçici hataları nasıl işlemesi gerektiğini tanımlar.
Dayanıklılık Süresi, tüm VM'lerin ne kadar süreyle yalıtılmış olarak çalışmasına izin verildiğini tanımlar.
İyi durumda olmayan düğümler karantinaya alınır ve artık kümeye katılmasına izin verilmez. Bu özellik, iyi durumda olmayan düğümlerin diğer düğümleri ve genel kümeyi olumsuz etkilemesini önler.
İşlem dayanıklılığı özellikleri hakkında daha fazla bilgi için bkz. Windows Server 2016'da Sanal Makine İşlem Dayanıklılığı.
Windows Server 2016 VM'leri, geçici depolama hatalarını işlemeye yönelik yeni depolama dayanıklılığı özellikleri de içerir. Geliştirilmiş dayanıklılık, depolama kesintisi durumunda kiracı VM oturum durumlarının korunmasına yardımcı olur. Vm'nin temel depolamayla bağlantısı kesildiğinde, duraklatılır ve depolamanın kurtarılması için bekler. Vm duraklatılırken, depolama hatası sırasında içinde çalışan uygulamaların bağlamını korur. VM ile depolama arasındaki bağlantı geri yüklendiğinde, VM çalışma durumuna döner. Sonuç olarak, kiracı makinesinin oturum durumu kurtarma sırasında saklanır.
Yeni depolama dayanıklılığı özellikleri konuk kümeler için de geçerlidir.
Tanılama geliştirmeleri
Yük devretme kümeleriyle ilgili sorunları tanılamaya yardımcı olmak için Windows Server 2016 şunları içerir:
Küme günlük dosyalarında Saat Dilimi Bilgileri ve DiagnosticVerbose günlüğü gibi çeşitli geliştirmeler, yük devretme kümeleme sorunlarını gidermeyi kolaylaştırır. Daha fazla bilgi için Windows Server 2016 Yük Devretme Kümesi Sorun Giderme İyileştirmeleri - Küme Günlüğü'e bakın.
Yeni bir etkin bellek dökümü türü, VM'lere ayrılan bellek sayfalarının çoğunu filtreleyip memory.dmp dosyasının daha küçük ve daha kolay kaydedilmesini veya kopyalanmasını sağlar. Daha fazla bilgi için bkz. Windows Server 2016 Küme Sorun Giderme Geliştirmeleri - Aktif Döküm.
Site bilincine sahip yük devretme kümeleri
Windows Server 2016, fiziksel konumlarına veya sitelerine göre esnetilmiş kümelerde grup düğümlerini etkinleştiren site algılamalı yük devretme kümeleri içerir. Küme site farkındalığı, küme yaşam döngüsü sırasında yük devretme davranışı, yerleştirme ilkeleri, düğümler arasındaki sinyal ve quorum davranışı gibi önemli işlemleri geliştirir. Daha fazla bilgi için bkz. Windows Server 2016'da Site Farkındalıklı Yük Devretme Kümeleri.
Çalışma grubu ve Çok etki alanlı kümeler
Windows Server 2012 R2 ve önceki sürümlerinde, küme yalnızca aynı etki alanına katılmış üye düğümleri arasında oluşturulabilir. Windows Server 2016 bu engelleri yok eder ve Active Directory bağımlılıkları olmadan bir Yük Devretme Kümesi oluşturma özelliğini tanıtır. Artık aşağıdaki yapılandırmalarda yük devretme kümeleri oluşturabilirsiniz:
Tüm düğümlerinin aynı etki alanına katıldığı tek etki alanı Kümeleri.
Farklı etki alanlarının üyesi olan düğümleri olan çok etki alanılı Kümeler.
Çalışma Grubu Kümeleri, etki alanına katılmamış üye sunuculara veya çalışma gruplarına sahip düğümler içerir.
Daha fazla bilgi için bkz. Windows Server 2016'da çalışma grubu ve çok etki alanı kümeleri
Sanal Makine Yük Dengeleme
Sanal Makine Yük Dengeleme, Yük Devretme Kümelemesi'nde vm'leri bir kümedeki düğümler arasında sorunsuz bir şekilde dengeleyen yeni bir özelliktir. Bu özellik, düğümdeki Sanal Makine belleği ve CPU kullanımı esas alınarak kaynakları aşırı kullanan düğümleri tanımlar. Ardından VM'leri canlı olarak fazla yüklenmiş düğümden kullanılabilir bant genişliğine sahip düğümlere aktarır. En iyi küme performansını ve kullanımını sağlamak için özelliğin düğümleri ne kadar agresif bir şekilde dengelemesini ayarlayabilirsiniz. Yük Dengeleme, Windows Server 2016 Technical Preview'da varsayılan olarak etkindir. Ancak SCVMM Dinamik İyileştirme etkinleştirildiğinde Yük Dengeleme devre dışı bırakılır.
Sanal Makine Başlangıç Sırası
Sanal makine Başlangıç Sırası, Yük Devretme Kümelemesi'nde bir kümedeki VM'ler ve diğer gruplar için başlatma sırası düzenlemesi sağlayan yeni bir özelliktir. Artık VM'leri katmanlar halinde gruplandırabilir ve ardından farklı katmanlar arasında başlangıç sırası bağımlılıkları oluşturabilirsiniz. Bu bağımlılıklar, Önce Etki Alanı Denetleyicileri veya Yardımcı Program VM'leri gibi en önemli VM'lerin başlatılmasını sağlar. Düşük öncelikli katmanlardaki VM'ler, başlatmaya bağımlı oldukları VM'lerden sonra başlamaz.
Basitleştirilmiş SMB Çok Kanallı ve Çok NICli Küme Ağları
Yük devretme kümesi ağları artık alt ağ veya ağ başına tek bir ağ arabirimi kartı (NIC) ile sınırlı değildir. Basitleştirilmiş Sunucu İleti Bloğu (SMB) Çok Kanallı ve Çok NICli Küme Ağları ile ağ yapılandırması otomatiktir ve alt ağdaki her NIC, küme ve iş yükü trafiği için kullanılabilir. Bu geliştirme müşterilerin Hyper-V, SQL Server Yük Devretme Kümesi Örneği ve diğer SMB iş yükleri için ağ aktarım hızını en üst düzeye çıkarmalarına olanak tanır.
Daha fazla bilgi için bkz. Basitleştirilmiş SMB Çok Kanallı ve Çok NICLi Küme Ağları.
Uygulama geliştirme
Internet Information Services (IIS) 10.0
Windows Server 2016'da IIS 10.0 web sunucusu tarafından sağlanan yeni özellikler şunlardır:
- Ağ yığınında HTTP/2 protokolü desteği ve IIS 10.0 ile tümleştirilmiş, IIS 10.0 web sitelerinin desteklenen yapılandırmalar için HTTP/2 isteklerini otomatik olarak sunmasına olanak tanır. Bu, HTTP/1.1 üzerinde bağlantıların daha verimli yeniden kullanılması ve gecikme süresinin azalması gibi çok sayıda iyileştirmeye olanak sağlayarak web sayfalarının yükleme sürelerini artırır.
- Nano Sunucu'da IIS 10.0'ı çalıştırma ve yönetme olanağı. Bkz. IIS , Nano Sunucu.
- Genel Ad Ana Bilgisayar Başlıkları desteği, yöneticilerin bir etki alanı için web sunucusu ayarlamasını ve ardından web sunucusunun herhangi bir alt etki alanından gelen istekleri karşılamasını sağlar.
- IIS'yi yönetmek için yeni bir PowerShell modülü (IISAdministration).
Diğer ayrıntılar için bkz. IIS
Dağıtılmış İşlem Düzenleyicisi (MSDTC)
Microsoft Windows 10 ve Windows Server 2016'ya üç yeni özellik eklendi:
Resource Manager Yeniden Katılma için yeni bir arabirim, bir hata nedeniyle veritabanı yeniden başlatıldıktan sonra şüpheli bir işlemin sonucunu belirlemek için kaynak yöneticisi tarafından kullanılabilir. Ayrıntılar için bkz. IResourceManagerRejoinable::Rejoin.
DSN ad sınırı 256 bayttan 3.072 bayta büyütülür. Ayrıntılar için bkz. IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreateveya IDtcToXaMapper::RequestNewResourceManager.
geliştirilmiş izleme, tracelog dosya adına bir görüntü dosyası yolu eklemek üzere bir kayıt defteri anahtarı ayarlamanıza olanak sağlar, böylece hangi Tracelog dosyasının denetlenmesi gerektiğini anlayabilirsiniz. MSDTC için izlemeyi yapılandırma hakkında ayrıntılı bilgi için, Windows tabanlı bir bilgisayarda MS DTC için tanılama izlemeyi etkinleştirme başlıklı ve'e bakın.
DNS Sunucusu
Windows Server 2016, Etki Alanı Adı Sistemi (DNS) Sunucusu için aşağıdaki güncelleştirmeleri içerir.
DNS ilkeleri
DNS ilkelerini, DNS sunucusunun DNS sorgularına nasıl yanıt vereceğini belirtmek için yapılandırabilirsiniz. DNS yanıtlarını istemci IP adresi, günün saati ve diğer birkaç parametreye göre yapılandırabilirsiniz. DNS ilkeleri konum algılamalı DNS, trafik yönetimi, yük dengeleme, bölünmüş beyin DNS ve diğer senaryoları etkinleştirebilir. Daha fazla bilgi için bkz. DNS İlkesi Senaryo Kılavuzu.
RRL
Kötü amaçlı sistemlerin DNS sunucularınızı kullanarak DNS istemcisinde Dağıtılmış Hizmet Reddi (DDoS) saldırısı başlatmasını önlemek için DNS sunucularınızda Yanıt Hızı Sınırlaması'nı (RRL) etkinleştirebilirsiniz. RRL, DNS sunucunuzun aynı anda çok fazla isteğe yanıt vermesini önler ve bu da bir botnet'in sunucu işlemlerini kesintiye uğratmak için aynı anda birden çok istek gönderdiği senaryolarda onu korur.
DANE desteği
DNS istemcilerinizin DNS sunucunuzda barındırılan etki alanı adları için hangi sertifika yetkilisinden sertifika beklemesi gerektiğini belirtmek için Adlandırılmış Varlıkların DNS Tabanlı Kimlik Doğrulaması (DANE) desteğini(RFC 6394 ve RFC 6698) kullanabilirsiniz. DNS önbelleğini bozarak ve DNS adını kendi IP adresine yönlendirerek yapılan bir ortadaki adam saldırısını önler.
Bilinmeyen kayıt desteği
Bilinmeyen kayıt işlevini kullanarak DNS sunucusunun açıkça desteklemediği kayıtları ekleyebilirsiniz. DNS sunucusu RDATA biçimini tanımadığında kayıt bilinmiyor. Windows Server 2016 bilinmeyen kayıt türlerini (RFC 3597
IPv6 kök ipuçları
Windows DNS sunucusu artık İnternet Atanan Numaralar Yetkilisi (IANA) tarafından yayımlanan IPv6 kök ipuçlarını içerir. IPv6 kök ipuçları desteği, ad çözümlemeleri gerçekleştirmek için IPv6 kök sunucularını kullanan İnternet sorguları yapmanıza olanak tanır.
Windows PowerShell desteği
Windows Server 2016, PowerShell'de DNS'yi yapılandırmak için kullanabileceğiniz yeni komutlar içerir. Daha fazla bilgi için bkz. Windows Server 2016 DnsServer modülü ve Windows Server 2016 DnsClient modülü.
Dosya tabanlı DNS için Nano Sunucu desteği
Windows Server 2016'da BIR Nano Sunucu görüntüsünde DNS sunucuları dağıtabilirsiniz. Dosya tabanlı DNS kullanıyorsanız bu dağıtım seçeneği kullanılabilir. DNS sunucusunu bir Nano Sunucu görüntüsünde çalıştırarak, DNS sunucularınızı daha az kapladığı alan, hızlı açılış ve minimum düzeltme ekleme ile çalıştırabilirsiniz.
Not
Active Directory tümleşik DNS, Nano Sunucu'da desteklenmez.
DNS istemcisi
DNS istemci hizmeti artık birden fazla ağ arabirimine sahip bilgisayarlar için gelişmiş destek sunuyor.
Çok girişli bilgisayarlar, sunucu çözümleme kalitesini artırmak için DNS istemci hizmeti bağlamasını da kullanabilir.
DNS sorgusunu çözümlemek için belirli bir arabirimde yapılandırılmış bir DNS sunucusu kullandığınızda, DNS istemcisi sorguyu göndermeden önce arabirime bağlanır. Bu bağlama, DNS istemcisinin ad çözümlemesinin gerçekleştirileceği arabirimi belirtmesine olanak tanır ve ağ arabirimi üzerinden uygulamalar ve DNS istemcisi arasındaki iletişimi iyileştirir.
Kullandığınız DNS sunucusu, Ad Çözümleme İlkesi Tablosu'ndan (NRPT) bir Grup İlkesi ayarı tarafından belirlendiyse, DNS istemci hizmeti belirtilen arabirime bağlanmaz.
Not
Windows 10'da DNS İstemcisi hizmetinde yapılan değişiklikler, Windows Server 2016 ve üzerini çalıştıran bilgisayarlarda da bulunur.
Uzak Masaüstü Hizmetleri
Uzak Masaüstü Hizmetleri (RDS), Windows Server 2016 için aşağıdaki değişiklikleri yaptı.
Uygulama uyumluluğu
RDS ve Windows Server 2016, birçok Windows 10 uygulamasıyla uyumludur ve fiziksel masaüstüyle neredeyse aynı olan bir kullanıcı deneyimi oluşturur.
Azure SQL Veritabanı
Uzak Masaüstü (RD) Bağlantı Aracısı artık bağlantı durumları ve kullanıcı ana bilgisayar eşlemeleri gibi tüm dağıtım bilgilerini paylaşılan bir Azure Yapılandırılmış Sorgu Dili (SQL) Veritabanında depolayabilir. Bu özellik, SQL Server AlwaysOn Kullanılabilirlik Grubu kullanmak zorunda kalmadan yüksek oranda kullanılabilir bir ortam kullanmanıza olanak tanır. Daha fazla bilgi için bkz. Uzak Masaüstü Bağlantı Aracısı yüksek kullanılabilirlik ortamınız için Azure SQL DB'yi kullanma.
Grafik iyileştirmeler
Hyper-V için Ayrı Cihaz Ataması, bir konak makinedeki grafik işleme birimlerini (GPU) doğrudan bir sanal makineye (VM) eşlemenizi sağlar. VM'de VM'nin sağlayabileceklerinden daha fazla GPU'ya ihtiyaç duyan tüm uygulamalar bunun yerine eşlenmiş GPU'ları kullanabilir. Ayrıca, OpenGL 4.4, OpenCL 1.1, 4K çözünürlük ve Windows Server VM'leri desteği de dahil olmak üzere RemoteFX vGPU'sını geliştirdik. Daha fazla bilgi için bkz. Ayrı Cihaz Ataması.
RD Bağlantı Aracısı geliştirmeleri
RD Bağlantı Aracısı'nın, kullanıcıların yüksek oturum açma isteklerinin dönemleri olan oturum açma fırtınaları sırasında bağlantıyı işleme şeklini geliştirdik. RD Bağlantı Aracısı artık 10.000'den fazla eşzamanlı oturum açma isteğini işleyebilir! Bakım iyileştirmeleri, yeniden çevrimiçi olmaya hazır olduklarında sunucularınızı ortama hızla geri ekleyebilmek suretiyle dağıtımınızda bakım gerçekleştirmenizi de kolaylaştırır. Daha fazla bilgi için bkz. Geliştirilmiş Uzak Masaüstü Bağlantı Aracısı Performansı.
RDP 10 protokol değişiklikleri
Uzak Masaüstü Protokolü (RDP) 10 artık hem video hem de metin genelinde iyileştirme yapan H.264/AVC 444 codec bileşenini kullanıyor. Bu sürüm, kalemle uzaktan bağlantı desteğini de içerir. Bu yeni özellikler, uzak oturumunuzun daha yerel bir oturum gibi hissetmesini sağlar. Daha fazla bilgi için bkz. Windows 10 ve Windows Server 2016'da RDP 10 AVC/H.264 geliştirmelerini .
Kişisel oturum masaüstleri
Kişisel oturum masaüstleri, bulutta kendi kişisel masaüstünüzü barındırmanızı sağlayan yeni bir özelliktir. Yönetim ayrıcalıkları ve ayrılmış oturum konakları, kullanıcıların uzak bir masaüstünü yerel masaüstü gibi yönetmek istediği barındırma ortamlarının karmaşıklığını ortadan kaldırır. Daha fazla bilgi için bkz. Kişisel Oturum Masaüstleri.
Kerberos kimlik doğrulaması
Windows Server 2016, Kerberos kimlik doğrulaması için aşağıdaki güncelleştirmeleri içerir.
Ortak Anahtar Güveni tabanlı istemci kimlik doğrulaması için KDC desteği
Anahtar Dağıtım Merkezleri (KCC) artık ortak anahtar eşlemeyi destekliyor. Bir hesap için ortak anahtar sağlarsanız, KDC bu anahtarı açıkça kullanarak Kerberos PKInit'i destekler. Sertifika doğrulaması olmadığından Kerberos otomatik olarak imzalanan sertifikaları destekler ancak kimlik doğrulama mekanizması güvencesini desteklemez.
Anahtar Güveni'ni kullanmak üzere yapılandırdığınız hesaplar, UseSubjectAltName ayarını nasıl yapılandırdığınıza bakılmaksızın yalnızca Anahtar Güveni kullanır.
RFC 8070 PKInit Freshness Extension için Kerberos istemcisi ve KDC desteği
Windows 10, sürüm 1607 ve Windows Server 2016'dan başlayarak, Kerberos istemcileri ortak anahtar tabanlı oturum açma işlemleri için RFC 8070 PKInit freshness uzantısı kullanabilir. KDC'lerde PKInit yenilik uzantısı varsayılan olarak devre dışı bırakılmıştır, bu nedenle bunu etkinleştirmek için etki alanınızdaki tüm DC'lerde PKInit Freshness Extension KDC yönetim şablonu ilkesi için KDC desteğini yapılandırmanız gerekir.
İlke, etki alanınız Windows Server 2016 etki alanı işlev düzeyinde (DFL) olduğunda aşağıdaki ayarlara sahiptir:
- Disabled: KDC asla PKInit Freshness Uzantısını sunmaz ve tazelik için kontrol etmeden geçerli kimlik doğrulama isteklerini kabul eder. Kullanıcılar yeni ortak anahtar kimliği SID'sini almaz.
- Desteklenen: Kerberos, isteğe bağlı olarak PKInit Tazelik Uzantısı'nı destekler. Kerberos istemcileri PKInit Freshness Uzantısı ile başarıyla kimlik doğrulaması yaparak yeni ortak anahtar kimliği SID'sini alır.
- Gerekli: Başarılı kimlik doğrulaması için PKInit Freshness Uzantısı gereklidir. PKInit Freshness Uzantısını desteklemeyen Kerberos istemcileri ortak anahtar kimlik bilgileri kullanılırken her zaman başarısız olur.
Açık anahtar kullanarak kimlik doğrulaması için etki alanı üyesi cihaz desteği
Etki alanına katılmış bir cihaz bağlı ortak anahtarını bir Windows Server 2016 etki alanı denetleyicisine (DC) kaydedebiliyorsa cihaz, Windows Server 2016 DC'de Kerberos PKInit kimlik doğrulamasını kullanarak ortak anahtarla kimlik doğrulaması yapabilir.
Bir Windows Server 2016 etki alanı denetleyicisine kayıtlı bağlı ortak anahtarlara sahip etki alanına katılmış cihazlar, artık İlk Kimlik Doğrulaması (PKInit) protokolleri için Kerberos Ortak Anahtar Şifrelemesi'ni kullanarak bir Windows Server 2016 etki alanı denetleyicisinde kimlik doğrulaması yapabilir. Daha fazla bilgi edinmek için Etki Alanına Katılmış Cihaz Ortak Anahtar Kimlik Doğrulaması'e bakın.
Anahtar Dağıtım Merkezleri (KDC) artık Kerberos anahtar güveni kullanarak kimlik doğrulamayı destekliyor.
Daha fazla bilgi için bkz. Anahtar Güveni hesabı eşlemesi için KDC desteği.
Kerberos istemcileri, Hizmet Asıl Adlarında (SPN) IPv4 ve IPv6 adres ana bilgisayar adlarına izin verir
Windows 10 sürüm 1507 ve Windows Server 2016'dan başlayarak, Kerberos istemcilerini SPN'lerde IPv4 ve IPv6 konak adlarını destekleyecek şekilde yapılandırabilirsiniz. Daha fazla bilgi için bkz. IP Adresleri için Kerberos Yapılandırma.
SPN'lerde IP adresi ana bilgisayar adlarının desteğini yapılandırmak için bir TryIPSPN girdisi oluşturun. Bu girdi varsayılan olarak kayıt defterinde yoktur. Bu girdiyi aşağıdaki konuma yerleştirmelisiniz.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Girdiyi oluşturduktan sonra DWORD değerini 1 olarak değiştirin. Bu değer yapılandırılmamışsa, Kerberos IP adresi ana bilgisayar adlarını denemez.
Kerberos kimlik doğrulaması yalnızca SPN Active Directory'ye kayıtlıysa başarılı olur.
Anahtar Güven hesap eşlemesi için KDC desteği
Etki alanı denetleyicileri artık SAN davranışında mevcut AltSecID ve Kullanıcı Asıl Adı'na (UPN) anahtar güveni hesabı eşlemesini ve geri dönüşünü destekliyor. UseSubjectAltName değişkenini aşağıdaki ayarlarla yapılandırabilirsiniz:
Değişkenin 0 olarak ayarlanması, açık eşlemenin gerekli olmasını sağlar. Kullanıcıların Anahtar Güveni kullanması veya ExplicitAltSecID değişkeni ayarlaması gerekir.
Değişkenin varsayılan değer olan 1 olarak ayarlanması örtük eşlemeye izin verir.
Windows Server 2016 veya sonraki sürümlerinde bir hesap için Anahtar Güveni yapılandırdıysanız, KDC eşleme için KeyTrust kullanır.
SAN'da UPN yoksa, KDC eşleme için AltSecID kullanmayı dener.
SAN'da bir UPN varsa, KDC eşleme için UPN'yi kullanmayı dener.
Active Directory Federasyon Hizmetleri (AD FS)
Windows Server 2016 için AD FS aşağıdaki güncelleştirmeleri içerir.
Microsoft Entra çok faktörlü kimlik doğrulaması ile oturum açma
AD FS 2016, Windows Server 2012 R2'deki AD FS'nin çok faktörlü kimlik doğrulama (MFA) yeteneklerini geliştirir. Artık kullanıcı adı veya parola yerine yalnızca Microsoft Entra çok faktörlü kimlik doğrulama kodu gerektiren oturum açma işlemlerine izin vekleyebilirsiniz.
Microsoft Entra çok faktörlü kimlik doğrulamasını birincil kimlik doğrulama yöntemi olarak yapılandırdığınızda, AD FS kullanıcıdan kullanıcı adını ve Azure Authenticator uygulamasından tek seferlik parola (OTP) kodunu ister.
Microsoft Entra çok faktörlü kimlik doğrulamasını ikincil veya ek kimlik doğrulama yöntemi olarak yapılandırdığınızda, kullanıcı birincil kimlik doğrulaması kimlik bilgilerini sağlar. Kullanıcılar, kullanıcı adı ve parolalarını, akıllı kartlarını veya kullanıcı veya cihaz sertifikalarını isteyebilen Windows Tümleşik Kimlik Doğrulaması kullanarak oturum açabilir. Ardından, kullanıcı metin, ses veya OTP tabanlı Microsoft Entra çok faktörlü kimlik doğrulaması oturum açma gibi ikincil kimlik bilgileri için bir istem görür.
Yeni yerleşik Microsoft Entra çok faktörlü kimlik doğrulama bağdaştırıcısı, AD FS ile Microsoft Entra çok faktörlü kimlik doğrulaması için daha basit kurulum ve yapılandırma sunar.
Kuruluşlar, şirket içi Microsoft Entra çok faktörlü kimlik doğrulama sunucusuna gerek kalmadan Microsoft Entra çok faktörlü kimlik doğrulamasını kullanabilir.
İntranet, extranet veya herhangi bir erişim denetimi ilkesinin parçası olarak Microsoft Entra çok faktörlü kimlik doğrulamasını yapılandırabilirsiniz.
AD FS ile Microsoft Entra çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi için bkz. AD FS 2016 ve Microsoft Entra çok faktörlü kimlik doğrulamasını yapılandırma
Uyumlu cihazlardan parolasız erişim
AD FS 2016, uyumluluk durumlarına göre cihazlarda oturum açmayı ve erişim denetimini etkinleştirmek için önceki cihaz kayıt özelliklerini temel alır. Kullanıcılar cihaz kimlik bilgilerini kullanarak oturum açabilir ve ad FS, ilkelerin uygulandığından emin olmak için cihaz öznitelikleri her değiştiğinde uyumluluğu yeniden değerlendirir. Bu özellik aşağıdaki ilkeleri etkinleştirir:
Erişimi yalnızca yönetilen ve/veya uyumlu cihazlardan etkinleştirin.
Extranet Erişimini yalnızca yönetilen ve/veya uyumlu cihazlardan etkinleştirin.
Yönetilmeyen veya uyumlu olmayan bilgisayarlar için çok faktörlü kimlik doğrulaması gerektirme.
AD FS, karma bir senaryoda koşullu erişim ilkelerinin şirket içi bileşenini sağlar. Bulut kaynaklarına koşullu erişim için cihazları Azure AD'ye kaydettiğinizde, AD FS ilkeleri için cihaz kimliğini de kullanabilirsiniz.
bir karma çözümün diyagramı ve kullanıcılarla şirket içi Active Directory arasındaki ilişkiler 
Bulutta cihaz tabanlı koşullu erişimi kullanma hakkında daha fazla bilgi için bkz. Azure Active Directory Koşullu Erişim
AD FS ile cihaz tabanlı koşullu erişimi kullanma hakkında daha fazla bilgi için bkz.
İş İçin Windows Hello ile oturum açma
Windows 10 cihazları Windows Hello ve İş İçin Windows Hello'yu tanıtır ve kullanıcı parolalarını PIN girme, parmak izi gibi biyometrik bir hareket veya yüz tanıma gibi kullanıcının hareketiyle korunan güçlü cihaza bağlı kullanıcı kimlik bilgileriyle değiştirir. Windows Hello ile, kullanıcılar parola gerektirmeden bir intranetten veya extranetten AD FS uygulamalarında oturum açabilir.
Kuruluşunuzda İş İçin Windows Hello'yu kullanma hakkında daha fazla bilgi için bkz. kuruluşunuzda İş İçin Windows Hello'yu etkinleştirme.
Modern kimlik doğrulaması
AD FS 2016, Windows 10 ve en son iOS ve Android cihazları ve uygulamaları için daha iyi bir kullanıcı deneyimi sağlayan en son modern protokolleri destekler.
Daha fazla bilgi için bkz. Ad FS Scenarios for Developers.
Talep kuralları dilini bilmek zorunda kalmadan erişim denetimi ilkelerini yapılandırma
Daha önce, AD FS yöneticilerinin AD FS talep kuralı dilini kullanarak ilkeleri yapılandırmaları gerekiyordu ve bu da ilkeleri yapılandırmayı ve korumayı zorlaştırmıştı. Yöneticiler, erişim denetimi ilkeleriyle ortak ilkeler uygulamak için yerleşik şablonları kullanabilir. Örneğin, aşağıdaki ilkeleri uygulamak için şablonları kullanabilirsiniz:
Yalnızca intranet erişimine izin ver.
Herkese izin ver ve extranetten MFA iste.
Herkese izin verin ve belirli bir gruptan MFA iste.
Şablonları özelleştirmek kolaydır. Ek özel durumlar veya ilke kuralları uygulayabilir ve tutarlı ilke zorlaması için bu değişiklikleri bir veya daha fazla uygulamaya uygulayabilirsiniz.
Daha fazla bilgi için bkz. AD FS
AD olmayan LDAP dizinleriyle oturum açmayı etkinleştirme
Birçok kuruluş Active Directory'i üçüncü taraf dizinlerle birleştirir. Basit Dizin Erişim Protokolü (LDAP) v3 uyumlu dizinlerde depolanan kullanıcıların kimliğini doğrulamak için AD FS desteği, artık aşağıdaki senaryolarda AD FS kullanabileceğiniz anlamına gelir:
Üçüncü taraf, LDAP v3 uyumlu dizinler içindeki kullanıcılar.
Active Directory ormanlarında yapılandırılmış bir Active Directory iki yönlü güven ilişkisi bulunmayan kullanıcılar.
Active Directory Basit Dizin Hizmetleri'ndeki (AD LDS) kullanıcılar.
Daha fazla bilgi için bkz. LDAP dizinlerinde depolanan kullanıcıların kimliğini doğrulamak için AD FS'yi yapılandırma.
AD FS uygulamaları için oturum açma deneyimini özelleştirme
Daha önce, Windows Server 2012 R2'deki AD FS, uygulama başına metin tabanlı içeriğin bir alt kümesini özelleştirme özelliğiyle, bağlı olan tüm taraf uygulamalar için ortak bir oturum açma deneyimi sağlamıştı. Windows Server 2016 ile yalnızca iletileri değil, uygulama başına resimleri, logoyu ve web temasını özelleştirebilirsiniz. Ayrıca, yeni, özel web temaları oluşturabilir ve bu temaları bağlı olan taraf başına uygulayabilirsiniz.
Daha fazla bilgi için bkz. AD FS kullanıcı oturum açma özelleştirmesi.
Daha kolay yönetim için sadeleştirilmiş denetim
AD FS'nin önceki sürümlerinde tek bir istek birçok denetim olayı oluşturabilir. Oturum açma veya belirteç verme etkinlikleriyle ilgili bilgiler genellikle yoktu veya birden çok denetim olayına yayıldı ve bu da sorunların tanılanmasını zorlaştırdı. Sonuç olarak, denetim olayları varsayılan olarak kapatıldı. Ancak AD FS 2016'da denetim süreci daha kolay ve ilgili bilgileri bulmak daha kolaydır. Daha fazla bilgi için bkz. Windows Server 2016'da AD FS'ye yönelik denetim geliştirmeleri.
Konfederasyonlara katılım için SAML 2.0 ile birlikte çalışabilirlik geliştirildi
AD FS 2016, birden çok varlık içeren meta verileri temel alan güvenleri içeri aktarma desteği de dahil olmak üzere daha fazla SAML protokolü desteği içerir. Bu değişiklik, AD FS'yi InCommon Federasyonu gibi konfederasyonlara ve eGov 2.0 standardına uygun diğer uygulamalara katılacak şekilde yapılandırmanıza olanak tanır.
Daha fazla bilgi için bkz. SAML 2.0ile geliştirilmiş birlikte çalışabilirlik.
Federasyon Microsoft 365 kullanıcıları için basitleştirilmiş parola yönetimi
AD FS'yi, bağlı olan taraf güvenlerine veya koruduğu uygulamalara parola süre sonu talepleri gönderecek şekilde yapılandırabilirsiniz. Bu taleplerin nasıl görüneceği uygulamalar arasında farklılık gösterir. Örneğin, bağlı olan taraf Office 365 olduğunda, Exchange ve Outlook'ta, federasyon kullanıcılarına yakında süresi dolacak olanto-beparolalarını bildirmek için güncellemeler gerçekleştirilmiştir.
Daha fazla bilgi için bkz. AD FS'yiparola süre sonu talepleri gönderecek şekilde yapılandırma.
Windows Server 2012 R2'de AD FS'den Windows Server 2016'da AD FS'ye geçmek daha kolaydır
Daha önce, AD FS'nin yeni bir sürümüne geçiş için yapılandırma ayarlarının Windows Server grubunuzdan yeni, paralel bir sunucu grubuna dışarı aktarılması gerekiyordu. Windows Server 2016'da AD FS, paralel sunucu grubuna sahip olma gereksinimini kaldırarak işlemi kolaylaştırır. Bir Windows Server 2012 R2 sunucu grubuna Bir Windows Server 2016 sunucusu eklediğinizde, yeni sunucu tıpkı bir Windows Server 2012 R2 sunucusu gibi davranır. Yükseltmeye hazır olduğunuzda ve eski sunucuları kaldırdığınızda, işlem düzeyini Windows Server 2016 olarak değiştirebilirsiniz. Daha fazla bilgi için bkz. Windows Server 2016'da AD FS'ye yükseltme.