Novedades de Windows Server 2019

En este artículo se describen algunas de las nuevas características de Windows Server 2019. Windows Server 2019 se basa en Windows Server 2016 e incluye numerosas innovaciones en cuatro temas claves: nube híbrida, seguridad, plataforma de aplicaciones e infraestructuras hiperconvergentes (HCI).

General

Windows Admin Center

Windows Admin Center es una aplicación implementada localmente, basada en explorador para la administración de servidores, clústeres, infraestructura hiperconvergente y PC con Windows 10. Se ofrece sin costo adicional además del de Windows y está listo para usarse en producción.

Puede instalar Windows Admin Center en Windows Server 2019, Windows 10 y versiones anteriores de Windows y Windows Server, y usarlo para administrar servidores y clústeres con Windows Server 2008 R2 y versiones posteriores.

Para obtener más información, consulta Windows Admin Center.

Experiencia de escritorio

Dado que Windows Server 2019 es una versión de canal de servicio a largo plazo (LTSC), incluye la Experiencia de escritorio. Las versiones del canal semianual (SAC) no incluyen la solución de escritorio según el diseño; son estrictamente versiones de imagen de contenedor Server Core y Nano Server. Al igual que con Windows Server 2016, durante la instalación del sistema operativo, es posible elegir entre las instalaciones de Server Core o las instalaciones de Server con Experiencia de escritorio.

Conclusiones del sistema

Información del sistema es una nueva característica disponible en Windows Server 2019 que aporta funcionalidades de análisis predictivo local de forma nativa a Windows Server. Estas funcionalidades predictivas, cada una respaldada por un modelo de aprendizaje automático, analizan localmente los datos del sistema de Windows Server, como contadores de rendimiento y eventos. La información del sistema permite comprender cómo funcionan los servidores y le ayuda a reducir los gastos operativos asociados a la administración reactiva de problemas en las implementaciones de Windows Server.

Nube híbrida

Característica a petición App Compatibility de Server Core

La característica de compatibilidad de aplicación de Server Core a petición (FOD) mejora significativamente la compatibilidad de las aplicaciones al incluir un subconjunto de archivos binarios y componentes de Windows Server con la experiencia de escritorio. Server Core se mantiene lo más ágil posible al no agregar el propio entorno gráfico experiencia de escritorio de Windows Server, lo que aumenta la funcionalidad y la compatibilidad.

Esta característica opcional a petición está disponible en una ISO independiente y se puede agregar solo a imágenes e instalaciones de Windows Server Core mediante DISM.

Rol del servidor de transporte de Servicios de implementación de Windows (WDS) agregado a Server Core

Servidor de transporte solo contiene los principales elementos de red de WDS. Puede usar Server Core con el rol del servidor de transporte para crear espacios de nombres multidifusión que transmitan datos (p.ej. imágenes del sistema operativo) desde un servidor independiente. También puedes utilizarlo si deseas disponer de un servidor PXE que permita a los clientes arrancar basándose en PXE y descargar su propia aplicación personalizada de configuración.

Integración de Servicios de Escritorio remoto con Azure AD

Con la integración de Azure AD, puede usar las directivas de acceso condicionales, autenticación multifactor, autenticación integrada con otras aplicaciones SaaS con Azure AD y mucho más. Para más información, consulta Integrar Azure AD Domain Services con la implementación de RDS.

Redes

Hemos realizado varias mejoras en la pila de red principal, como TCP Fast Open (TFO), Receive Window Autotuning, IPv6, y mucho más. Para más información, consulte la publicación sobre la mejora de características de pila de red principal.

VRSS dinámico y VMMQ

En el pasado, las colas de máquinas virtuales y las colas múltiples de máquinas virtuales (VMMQ) permitían un rendimiento mucho mayor en cada una de las máquinas virtuales, ya que los rendimientos de red llegaban por primera vez a los 10 GbE y más. Desafortunadamente, la planificación, las base de referencia, la optimización y la supervisión necesarios para lograr ese rendimiento se convirtieron en una tarea mucho más exigente de lo que los administradores de TI anticiparon.

Windows Server 2019 mejora estas optimizaciones mediante la distribución y la optimización dinámicas del procesamiento de las cargas de trabajo de red según sea necesario. Windows Server 2019 garantiza una máxima eficiencia y elimina la carga de configuración a los administradores de TI. Para más información, consulte Requisitos de red de host para Azure Stack HCI.

Seguridad

Protección contra amenazas avanzada de Windows Defender (ATP)

Los sensores de plataforma profunda y las acciones de respuesta de ATP exponen ataques de nivel de kernel y memoria, y responden suprimiendo archivos malintencionados y finalizando procesos dañinos.

La protección contra vulnerabilidades de seguridad de ATP de Windows Defender es un nuevo conjunto de funcionalidades de prevención de intrusiones de host que le permiten equilibrar los requisitos de riesgo de seguridad y productividad. La protección contra vulnerabilidades de seguridad de Windows Defender está diseñada para bloquear el dispositivo frente a una amplia variedad de vectores de ataque y bloquear comportamientos usados normalmente en ataques de malware. Los componentes son:

  • Reducción de la superficie expuesta a ataques (ASR) es un grupo de controles que las empresas pueden habilitar para impedir que el malware entre en la máquina bloqueando archivos sospechosos malintencionados. Por ejemplo, archivos de Office, scripts, movimiento lateral, comportamiento de ransomware y amenazas basadas en correo electrónico.

  • Protección de red protege el punto de conexión frente a amenazas basadas en web bloqueando cualquier proceso de salida en el dispositivo para hosts o direcciones IP que no son de confianza a través de SmartScreen de Windows Defender.

  • Acceso controlado a carpetas protege los datos confidenciales del ransomware bloqueando para los procesos que no son de confianza el acceso a las carpetas protegidas.

  • Protección contra vulnerabilidades es un conjunto de las mitigaciones para vulnerabilidades de seguridad (reemplazando EMET) que se pueden configurar con facilidad para proteger sus aplicaciones y el sistema.

  • Control de aplicaciones de Windows Defender (también conocido como la directiva de integridad de código (CI)) se lanzó en Windows Server 2016. Hemos facilitado la implementación al incluir directivas de CI predeterminadas. La directiva predeterminada permite todos los archivos incluidos en Windows y aplicaciones de Microsoft, como SQL Server, y bloquea archivos ejecutables conocidos que pueden omitir la CI.

Seguridad con Redes definidas por software (SDN)

Seguridad con SDN ofrece muchas características para aumentar la confianza del cliente en la ejecución de cargas de trabajo, de forma local, o como proveedor de servicios en la nube.

Estas mejoras de seguridad están integradas en la plataforma completa de SDN que se introdujo en Windows Server 2016.

Para obtener una lista completa de las novedades de SDN, consulta Novedades de SDN para Windows Server 2019.

Mejoras de las máquinas virtuales blindadas

Hemos incorporado las siguientes mejoras en las máquinas virtuales blindadas.

Mejoras de sucursal

Ahora puedes ejecutar máquinas virtuales blindadas en máquinas con conectividad intermitente para el Servicio de protección de host al usar las nuevas características HGS de reserva y modo sin conexión. HGS de reserva te permite configurar un segundo conjunto de direcciones URL para Hyper-V para probar si no puede conectar con el servidor HGS principal.

Aunque no pueda acceder al HGS, el modo sin conexión le permite seguir iniciando las máquinas virtuales blindadas. Además, el modo sin conexión le permite iniciar las máquinas virtuales blindadas, aunque no se pueda conectar al HGS, siempre y cuando la máquina virtual se haya iniciado correctamente una vez y no haya cambiado la configuración de seguridad del host.

Solución de problemas de las mejoras

También hemos hecho más sencilla la resolución de problemas de las máquinas virtuales blindadas, incluyendo las funciones del modo de sesión mejorada de VMConnect y PowerShell Direct. Estas herramientas son útiles cuando pierde la conectividad de red con la máquina virtual y necesita actualizar la configuración para restaurar el acceso. Para obtener más información, consulte Máquinas virtuales blindadas y tejidos protegidos.

No tiene que configurar estas características porque están disponibles automáticamente al colocar una VM blindada en un host de Hyper-V con Windows Server, versión 1803, o posterior.

Compatibilidad con Linux

Si ejecutas entornos de sistemas operativos mixtos, Windows Server 2019 admite ahora la ejecución de Ubuntu, Red Hat Enterprise Linux y SUSE Linux Enterprise Server dentro de las máquinas virtuales blindadas.

HTTP/2 para una Web más rápida y segura

  • Fusión mejorada de las conexiones para ofrecer una experiencia de exploración sin interrupciones y cifrada correctamente.

  • Negociación mejorada del conjunto de aplicaciones de cifrado de lado de servidor HTTP/2 para la mitigación automática de errores de conexión y la facilidad de implementación.

  • Nuestro proveedor de congestión TCP predeterminado es ahora Cubic, para ofrecerte un mayor rendimiento.

Redes cifradas

El cifrado de red virtual cifra el tráfico de red virtual entre máquinas virtuales dentro de subredes que tienen la etiqueta Cifrado habilitado. Las redes cifradas también utilizan la Seguridad de la capa de transporte de datagrama (DTLS) en la subred virtual para cifrar los paquetes. DTLS protege los datos de las interceptaciones, alteraciones y falsificaciones realizadas por cualquier persona con acceso a la red física.

Para obtener más información, consulte Redes cifradas.

Auditoría de firewall

La Auditoría de firewall es una nueva característica para el firewall de SDN que registra cualquier flujo procesado por reglas de firewall de SDN y listas de control de acceso (ACL) que tienen habilitado el registro.

Interconexión de red virtual

El Emparejamiento de red virtual permite conectar dos redes virtuales directamente. Una vez emparejadas, las redes virtuales aparecen en la supervisión como una sola.

Medición de salida

La Medición de salida ofrece medidores de uso para transferencias de datos salientes. La controladora de red usa esta característica para establecer una lista de permitidos de todos los intervalos de IP usados en SDN por red virtual. Estas listas consideran que cualquier paquete que se dirija a un destino no incluido en los intervalos IP enumerados se factura como transferencia de datos salientes.

Storage

Estos son algunos de los cambios que hemos realizado para el almacenamiento en Windows Server 2019. El almacenamiento también se ve afectado por las actualizaciones de desduplicación de datos, especialmente la actualización de la API DataPort para la entrada o salida optimizadas en volúmenes desduplicados.

File Server Resource Manager

Ahora es posible evitar que el servicio del Administrador de recursos del servidor de archivos cree un diario de cambios (también conocido como diario USN) en todos los volúmenes cuando se inicia el servicio. Impedir la creación del recorrido de cambio puede ahorrar espacio en cada volumen, pero deshabilitará la clasificación de archivos en tiempo real. Para obtener más información, vea Introducción al Administrador de recursos del servidor de archivos.

SMB

Servicio de migración de almacenamiento

El servicio de migración de almacenamiento facilita la migración de servidores a una versión más reciente de Windows Server. Esta herramienta gráfica realiza un inventario de los datos en los servidores y, a continuación, transfiere los datos y la configuración a los servidores más nuevos. El Servicio de migración de almacenamiento también puede mover las identidades de los servidores antiguos a los nuevos servidores para que los usuarios no tengan que volver a configurar sus perfiles y aplicaciones. Para obtener más información, consulte Servicio de migración de almacenamiento.

La versión 1910 de Windows Admin Center agregó la capacidad de implementar máquinas virtuales de Azure. Esta actualización integra la implementación de máquinas virtuales de Azure en el servicio de migración de almacenamiento. Para más información, consulte Migración de máquinas virtuales de Azure.

También puede acceder a las siguientes características posteriores al lanzamiento a fabricación (RTM) al ejecutar el orquestador del Servidor de migración de almacenamiento en Windows Server 2019 con KB5001384 instalado o en Windows Server 2022:

  • Migrar usuarios y grupos locales al nuevo servidor.
  • Migrar el almacenamiento desde clústeres de conmutación por error, migrar a clústeres de conmutación por error y migrar entre servidores independientes y clústeres de conmutación por error.
  • Migrar el almacenamiento desde un servidor Linux que use Samba.
  • Sincronice más fácilmente los recursos compartidos migrados en Azure mediante Azure File Sync.
  • Migrar a nuevas redes, como Azure.
  • Migrar servidores de NetApp Common Internet File System (CIFS) desde matrices del Servicio de autenticación federada (FAS) de NetApp a servidores y clústeres de Windows.

Espacios de almacenamiento directo

Estas son las novedades de Espacios de almacenamiento directo. Para obtener más información sobre cómo adquirir sistemas validados de Espacios de almacenamiento directo, consulte Introducción a la solución Azure Stack HCI.

  • Desduplicación y compresión de volúmenes ReFS. El almacén de fragmentos de tamaño variable con compresión opcional aumenta al máximo los índices de ahorro, mientras que la arquitectura de posprocesamiento multiproceso minimiza el impacto en el rendimiento. Esta función admite volúmenes de hasta 64 TB y desduplica los primeros 4 MB de cada archivo.

  • Compatibilidad nativa con memoria persistente, que permite administrar la memoria persistente como cualquier otra unidad de PowerShell o Windows Admin Center. Esta función admite módulos de memoria persistente Intel Optane DC PM y NVDIMM-N.

  • Resistencia anidada para la infraestructura hiperconvergente perimetral de dos nodos. Con la ayuda de una nueva opción de resistencia de software basada en RAID 5+1, ahora puede resistir con dos errores de hardware a la vez. Un clúster de Espacios de almacenamiento directo de dos nodos ofrece almacenamiento de acceso continuo para aplicaciones y máquinas virtuales, incluso si un nodo de servidor deja de funcionar y se produce un error en la unidad del otro nodo de servidor.

  • Los clústeres de dos servidores ahora pueden usar una unidad flash USB como testigo. Si un servidor deja de funcionar y, a continuación, realiza una copia de seguridad, el clúster de la unidad USB sabe qué servidor tiene los datos más actualizados. Para obtener más información, consulte el artículo de nuestro blog sobre el anuncio de Espacios de almacenamiento directo y Configurar un testigo de recurso compartido de archivos para clústeres de conmutación por error.

  • Windows Admin Center incluye un panel que le permite administrar y controlar Espacios de almacenamiento directo. Puede supervisar las IOPS y la latencia de E/S en el nivel general de clúster a SSD o HDD específicos sin costes adicionales. Para obtener más información, consulte ¿Qué es Windows Admin Center?

  • El historial de rendimiento es una nueva característica que le da visibilidad para analizar fácilmente el uso y las mediciones de los recursos. Para obtener más información, consulte Historial de rendimiento de Espacios de almacenamiento directo.

  • Amplíe el rendimiento hasta 4 PB por clúster con una capacidad de hasta 64 volúmenes de hasta 64 TB. También puede unir varios clústeres en un conjunto de clústeres para que la escala sea aún mayor dentro de un espacio de nombres de almacenamiento concreto.

  • Mediante el uso de la paridad acelerada por reflejo, es posible construir volúmenes de Espacios de almacenamiento directo que incorporen estrategias de duplicado y paridad, similares a cuando se combinan RAID-1 y RAID-5/6. La paridad acelerada por reflejo ahora es dos veces más rápida que Windows Server 2016.

  • La detección de valores atípicos de latencia de la unidad identifica automáticamente las unidades lentas en PowerShell y Windows Admin Center con un estado de "Latencia anómala".

  • Delimite manualmente la asignación de volúmenes para aumentar la tolerancia a errores. Para obtener más información, consulte Delimitar la asignación de volúmenes en Espacios de almacenamiento directo.

Réplica de almacenamiento

Estas son las novedades de Réplica de almacenamiento.

  • Réplica de almacenamiento ya está disponible en Windows Server 2019 Standard Edition y Windows Server 2019 Datacenter Edition. Sin embargo, con la Standard Edition, solo puede replicar un volumen y ese volumen solo puede tener un tamaño de hasta 2 TB.

  • La conmutación por error de prueba es una nueva funcionalidad que le permite montar temporalmente una instantánea del almacenamiento replicado en un servidor de destino para hacer pruebas o copias de seguridad. Para obtener más información, consulte Preguntas frecuentes sobre Réplica de almacenamiento.

  • Mejoras en el rendimiento de los registros de Réplica de almacenamiento, como la mejora del rendimiento y la latencia de la replicación en el almacenamiento basado íntegramente en tecnología flash y en los clústeres de Espacios de almacenamiento directo que se replican entre sí.

  • Compatibilidad con Windows Admin Center, como la administración gráfica de la replicación mediante el Administrador de servidores para la replicación de servidor a servidor, de clúster a clúster y de clúster extendido.

Desduplicación de datos

Windows Server 2019 ahora admite el Sistema de archivos resistente (ReFS). ReFS le permite almacenar hasta diez veces más datos en el mismo volumen con desduplicación y compresión en el sistema de archivos ReFS. El almacén de fragmentos de tamaño variable incluye una función de compresión opcional que puede aumentar al máximo las tasas de ahorro, mientras que la arquitectura de posprocesamiento multiproceso deja un impacto mínimo en el rendimiento. ReFS admite volúmenes de hasta 64 TB y desduplica los primeros 4 TB de cada archivo. Para obtener más información, consulte Cómo activar la desduplicación y la compresión en Windows Admin Center para ver un breve vídeo de demostración.

Clúster de conmutación por error

Hemos agregado las siguientes características a la agrupación de clústeres de conmutación por error en Windows Server 2019:

  • Los grupos de clústeres reúnen varios clústeres en un grupo de acoplamiento flexible de varios clústeres de conmutación por error que se dividen en tres tipos: procesamiento, almacenamiento e hiperconvergentes. Estos agrupamientos aumentan el número de servidores en una única solución de centro de datos (SDDC) definida por software que supera los límites actuales de un clúster. Con los grupos de clústeres, puede mover máquinas virtuales en línea entre clústeres dentro del grupo de clústeres. Para obtener más información, consulte Implementar un grupo de clústeres.

  • Los clústeres ahora son compatibles con Azure de forma predeterminada. Los clústeres compatibles con Azure detectan automáticamente cuándo se están ejecutando en máquinas virtuales de IaaS de Azure y después optimizan la configuración para alcanzar la más alta disponibilidad. Estas optimizaciones incluyen la conmutación por error proactiva y el registro de eventos de mantenimiento programado de Azure. La optimización automatizada facilita la implementación, ya que no es necesario configurar el equilibrador de carga con el nombre de red distribuida en el nombre del clúster.

  • La migración de clústeres entre dominios permite que los clústeres de conmutación por error se muevan dinámicamente de un dominio de Active Directory a otro, lo que hace más fácil la consolidación de dominios y permite a los partners de hardware crear clústeres y unirlos al dominio del cliente más adelante.

  • La característica de testigo USB le permite usar una unidad USB conectada a un conmutador de red como testigo para determinar el quórum de un clúster. Esta función incluye más compatibilidad con Testigo del recurso compartido de archivos en cualquier dispositivo compatible con SMB2.

  • La caché de CSV ahora está habilitada de forma predeterminada para aumentar el rendimiento de las máquinas virtuales. MS DTC admite ahora volúmenes compartidos de clústeres (CSV) para permitir la implementación de cargas de trabajo de MSDTC en Espacios de almacenamiento directo al igual que con SQL Server. Se ha mejorado la lógica para que detecte nodos con particiones con recuperación automática para devolver los nodos a la pertenencia al clúster. Se ha mejorado la detección y la recuperación automática de rutas de red en clúster.

  • La actualización compatible con clústeres (CAU) ahora está integrada y es compatible con Espacios de almacenamiento directo, lo cual permite validar y garantizar que la resincronización de datos se completa en cada nodo. La actualización compatible con clústeres inspecciona las actualizaciones para reiniciar de forma inteligente solo si es necesario. Esta característica le permite reiniciar todos los servidores del clúster para el mantenimiento programado.

  • Ahora puede usar testigos del recurso compartido de archivos en los casos siguientes:

    • No hay acceso a Internet o es deficiente debido a una ubicación remota, lo que impide el uso de un testigo en la nube.

    • Falta de unidades compartidas para un testigo de disco. Por ejemplo, una configuración que no use discos compartidos, como la configuración hiperconvergente de Espacios de almacenamiento directo, grupos de disponibilidad (AG) Always On de SQL Server o un grupo de disponibilidad de base de datos (DAG) de Exchange.

    • Falta de conexión del controlador de dominio debido a que el clúster está tras una red perimetral.

    • Un grupo de trabajo o un clúster de varios dominios que no tiene un objeto de nombre de clúster (CNO) de Active Directory. Windows Server ahora también bloquea el uso de un recurso compartido de espacios de nombres de DFS como ubicación. Agregar un testigo de recurso compartido de archivos a un recurso compartido DFS puede provocar problemas de estabilidad en el clúster y esta configuración nunca se ha admitido. Se ha agregado lógica para detectar si un recurso compartido usa espacios de nombres DFS y, si se detectan espacios de nombres DFS, el Administrador de clústeres de conmutación por error bloqueará la creación del testigo y aparecerá un mensaje de error que indica que esto no está admitido.

  • Se ha implementado una función de protección de clústeres que mejora la seguridad de la comunicación entre clústeres a través del bloque de mensajes del servidor (SMB) en volúmenes compartidos de clúster y Espacios de almacenamiento directo. Esta característica hace uso de los certificados para ofrecer la plataforma más segura posible. Al hacerlo, los clústeres de conmutación por error pueden funcionar sin dependencias de NTLM, lo que permite establecer bases de seguridad.

  • Los clústeres de conmutación por error ya no usan autenticación NTLM. En su lugar, los clústeres de Windows Server 2019 ahora usan exclusivamente kerberos y la autenticación basada en certificados. Los usuarios no necesitan realizar ningún cambio ni implementar nada para sacar provecho de esta mejora de seguridad. Este cambio también le permite implementar clústeres de conmutación por error en entornos en los que NTLM está deshabilitado.

Plataformas de aplicaciones

Contenedores de Linux en Windows

Ahora es posible ejecutar contenedores basados en Linux y Windows en el mismo host de contenedor, mediante el mismo demonio de Docker. Ahora puede tener un entorno de host de contenedor heterogéneo que proporcione flexibilidad a los desarrolladores de aplicaciones.

Compatibilidad integrada para Kubernetes

Windows Server 2019 continúa con las mejoras de cálculo, redes y almacenamiento de las versiones del Canal semianual necesarias para la compatibilidad con Kubernetes en Windows. Habrá más detalles disponibles en las próximas versiones de Kubernetes.

  • Las redes de contenedores en Windows Server 2019 mejoran en gran medida la facilidad de uso de Kubernetes en Windows. Hemos mejorado la resistencia de las redes de plataformas y la compatibilidad con los complementos de red de contenedores.

  • Las cargas de trabajo implementadas en Kubernetes pueden usar la seguridad de red para proteger los servicios de Windows y Linux con herramientas incrustadas.

Mejoras de contenedor

  • Mejora de la identidad integrada

    Hemos facilitado la autenticación integrada de Windows en contenedores y la hemos vuelto más confiable, abordando varias limitaciones de versiones anteriores de Windows Server.

  • Mejor compatibilidad de aplicaciones

    Inclusión de aplicaciones para Windows en contenedores más fácil: La compatibilidad de aplicaciones para la imagen de windowsservercore existente ha aumentado. Para las aplicaciones con más dependencias de API, ahora hay una imagen de terceros: windows.

  • Tamaño reducido y mayor rendimiento

    Se han mejorado los tamaños de descarga de imagen de contenedor base, el tamaño en el disco y los tiempos de inicio para acelerar los flujos de trabajo de contenedor.

  • Experiencia de administración con Windows Admin Center (versión preliminar)

    Hemos hecho que sea más sencillo que nunca antes la acción de ver qué contenedores se ejecutan en el equipo y de administrar contenedores individuales con una nueva extensión para Windows Admin Center. Busca la extensión "Contenedores" en la fuente pública de Windows Admin Center.

Mejoras de proceso

  • El orden de inicio de la máquina virtual: también se ha mejorado con reconocimiento de sistema operativo y aplicación, incluidos desencadenadores mejorados para cuando se considera que una máquina virtual se ha iniciado antes de iniciar la siguiente.

  • El soporte de la memoria de clase de almacenamiento para máquinas virtuales permite la creación de volúmenes de acceso directo con formato NTFS en DIMM no volátiles y la exposición a máquinas virtuales de Hyper-V. Las máquinas virtuales de Hyper-V ahora pueden usar las ventajas de rendimiento de latencia baja de dispositivos de memoria de clase de almacenamiento.

  • Soporte de memoria persistente para máquinas virtuales de Hyper-V: para usar el alto rendimiento y la baja latencia de la memoria persistente (también conocida como memoria de clase de almacenamiento) en las máquinas virtuales, ahora se puede proyectar directamente en estas. La memoria persistente puede ayudar a reducir drásticamente la latencia de transacción de base de datos o reducir los tiempos de recuperación para bases de datos en memoria de latencia baja en caso de error.

  • Almacenamiento de contenedores: volúmenes de datos persistentes: los contenedores de aplicaciones ahora tienen acceso persistente a los volúmenes. Para más información, consulta Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping (Soporte de almacenamiento de contenedor con volúmenes compartidos de clúster (CSV), Espacios de almacenamiento directo (S2D), Asignación global de SMB).

  • Formato de archivo de configuración de máquina virtual (actualizado): el archivo de estado de invitado de la máquina virtual (.vmgs) se ha agregado para las máquinas virtuales con una versión de configuración de 8.2 y versiones posteriores. El archivo de estado de invitado de máquina virtual incluye información de estado del dispositivo que anteriormente formaba parte del archivo de estado en tiempo de ejecución de máquina virtual.

Redes cifradas

Redes cifradas: el cifrado de red virtual permite el cifrado del tráfico de red virtual entre máquinas virtuales que se comunican entre sí dentro de subredes marcadas como Cifrado habilitado. También utiliza la Seguridad de la capa de transporte de datagrama (DTLS) en la subred virtual para cifrar los paquetes. DTLS protege frente a las interceptaciones, alteraciones y falsificaciones realizadas por cualquier persona con acceso a la red física.

Mejoras de rendimiento de red para las cargas de trabajo virtuales

Las mejoras de rendimiento de red para las cargas de trabajo virtuales maximizan el rendimiento de red para las máquinas virtuales sin necesidad de realizar ajustes constantemente o de aprovisionar en exceso al host. El rendimiento mejorado reduce las operaciones y el costo de mantenimiento a la vez que aumenta la densidad disponible de los hosts. Estas nuevas características son:

  • Cola múltiple de máquina virtual dinámica (d.VMMQ)

  • Recibir segmentos de recepción en el vSwitch

Transporte en segundo plano de retraso adicional bajo

El transporte en segundo plano de retraso adicional bajo (LEDBAT) es un proveedor de controles de congestión de red de optimización de latencia diseñado para producir automáticamente ancho de banda a usuarios y aplicaciones. LEDBAT consume ancho de banda disponible mientras la red no está en uso. La tecnología está pensada para usarla en la implementación de actualizaciones críticas de gran tamaño en un entorno de TI sin afectar a los servicios orientados a los clientes y al ancho de banda asociado.

Servicio de hora de Windows

El Servicio de hora de Windows incluye soporte de segundo intercalar compatible con UTC real, un nuevo protocolo de hora denominado protocolo de tiempo de precisión y rastreabilidad integral.

Puertas de enlace SDN de alto rendimiento

Puertas de enlace SDN de alto rendimiento en Windows Server 2019 mejora considerablemente el rendimiento para las conexiones IPsec y GRE, proporcionando un rendimiento muy elevado con un uso mucho menor de la CPU.

Nueva extensión de Windows Admin Center e interfaz de usuario de implementación para SDN

Ahora, con Windows Server 2019, la implementación y administración son fáciles a través de una nueva interfaz de usuario de implementación y una extensión de Windows Admin Center que permiten que cualquier persona pueda aprovechar la capacidad de SDN.

Subsistema de Windows para Linux (WSL)

WSL permite a los administradores de servidores usar las herramientas existentes y los scripts de Linux en Windows Server. Muchas mejoras expuestas en el blog de línea de comandos ahora forman parte de Windows Server, incluidas Tareas en segundo plano, DriveFS, WSLPath y mucho más.

Servicios de federación de Active Directory

Los Servicios de federación de Active Directory (AD FS) para Windows Server 2019 incluye los siguientes cambios.

Inicios de sesiones protegidos

Los inicios de sesión protegidos con AD FS ahora incluyen las siguientes actualizaciones:

  • Los usuarios ahora pueden usar productos de autenticación de terceros como primer factor sin exponer contraseñas. En los casos en los que el proveedor de autenticación externo puede comprobar dos factores, se puede usar la autenticación multifactor (MFA).

  • Los usuarios ahora pueden usar contraseñas como factor adicional después de usar una opción sin contraseña como primer factor. Esta compatibilidad integrada mejora el uso general de AD FS 2016, donde se exigía descargar un adaptador de GitHub.

  • Los usuarios ahora pueden crear sus propios módulos de evaluación de riesgos complementarios para bloquear determinados tipos de solicitudes durante la fase de autenticación previa. Esta función facilita el uso de la inteligencia en la nube, como protección de identidades, para bloquear los inicios de sesión de usuarios o transacciones de riesgo. Para obtener más información, consulte Creación de complementos con el modelo de evaluación de riesgos de AD FS 2019.

  • Mejora la ingeniería de reparación rápida (QFE) del bloqueo inteligente de la extranet (ESL) al agregar las siguientes funcionalidades:

    • Ahora puede usar el modo de auditoría mientras se recibe protección a través de la funcionalidad clásica de bloqueo de la extranet.

    • Los usuarios ahora pueden usar umbrales de bloqueo independientes para ubicaciones conocidas. Esta característica le permite ejecutar varias instancias de aplicaciones dentro de una cuenta de servicio común para renovar contraseñas con una interrupción mínima.

Otras mejoras de seguridad

AD FS 2019 incluye las siguientes mejoras de seguridad:

  • PowerShell remoto mediante el inicio de sesión con tarjeta inteligente permite a los usuarios conectarse de forma remota a AD FS con tarjetas inteligentes mediante la ejecución de comandos en PowerShell. Los usuarios también pueden usar este método para administrar todas las funciones de PowerShell, incluidos los cmdlets de varios nodos.

  • La personalización de encabezados HTTP permite a los usuarios personalizar los encabezados HTTP creados durante las respuestas de AD FS. La personalización de encabezados incluye los siguientes tipos de encabezados:

    • HSTS, que solo permite usar puntos de conexión de AD FS en puntos de conexión HTTPS para que se aplique un explorador compatible.

    • X-frame-options, que permite a los administradores de AD FS autorizar a partes fiables específicas incrustar iFrames en páginas de inicio de sesión interactivas de AD FS. Solo debe usar este encabezado en hosts HTTPS.

    • Encabezado futuro. También puede configurar varios encabezados futuros.

    Para obtener más información, consulte Personalizar encabezados de respuesta de seguridad HTTP con AD FS 2019.

Funcionalidades de autenticación y directivas

AD FS 2019 incluye las siguientes funcionalidades de autenticación y directivas:

  • Los usuarios ahora pueden crear reglas para indicar qué proveedor de autenticación invoca su implementación para una autenticación adicional. Esta característica permite hacer la transición entre proveedores de autenticación y aplicaciones específicas seguras que tienen requisitos especiales para otros proveedores de autenticación.

  • Restricciones opcionales de las autenticaciones de dispositivos basadas en seguridad de la capa de transporte (TLS) para que solo las aplicaciones que necesiten TLS puedan usarlas. Los usuarios pueden restringir las autenticaciones de dispositivos basadas en TLS para que solo las aplicaciones que habiliten el acceso condicional basado en dispositivos puedan usarlas. Esta característica evita solicitudes no deseadas de autenticación de dispositivos en aplicaciones que no necesitan autenticación de dispositivos basada en TLS.

  • AD FS ahora admite la acción de rehacer la credenciales de segundo factor basándose en la novedad de la credencial de segundo factor. Esta característica permite a los usuarios que solo usen una TFA en la primera transacción y luego solo necesitarán el segundo factor de forma periódica. Puede usar únicamente esta función en aplicaciones que puedas ofrecer un parámetro adicional en la solicitud, ya que no es un valor configurable en AD FS. Microsoft Entra ID admite este parámetro si configura la opción Recordar mi MFA durante X días para que supportsMFA pase a True en la configuración de confianza de dominio federado de Microsoft Entra ID.

Mejoras en el inicio de sesión único

AD FS 2019 también incluye las siguientes mejoras de inicio de sesión único (SSO):

  • AD FS ahora usa un flujo de UX paginado y una interfaz de usuario centrada que ofrece un sistema de inicio de sesión más fluido para los usuarios. Este cambio refleja la funcionalidad ofrecida en Azure AD. Es posible que tenga que cambiar el logotipo y las imágenes de fondo de su organización para adaptarlos a la nueva interfaz de usuario.

  • Se ha corregido un problema que provocaba que el estado de MFA no continuara al usar la autenticación mediante token de actualización principal (PRT) en dispositivos con Windows 10. Ahora a los usuarios se les pedirá con menos frecuencia credenciales de segundo factor. El servicio ahora debería ser más fiable cuando la autenticación del dispositivo se realiza correctamente con la autenticación mediante TLS y PRT del cliente.

Compatibilidad para crear aplicaciones de línea de negocio modernas

AD FS 2019 incluye las siguientes características para admitir la creación de aplicaciones modernas de línea de negocio (LOB):

  • AD FS ahora incluye un perfil de flujo de dispositivos con OAuth para iniciar sesión en dispositivos sin un área expuesta de interfaz de usuario para crear un mejor entorno de inicio de sesión. Esta característica permite a los usuarios terminar de iniciar sesión en un dispositivo diferente. La solución de la interfaz de la línea de comandos de Azure (CLI) en Azure Stack necesita esta funcionalidad y también puede usarla en otros casos.

  • Ya no es necesario el parámetro Resource para usar AD FS, que se ajusta a las especificaciones actuales de OAUth. Los clientes ahora solo tienen que indicar el identificador de confianza del usuario autenticado como parámetro de ámbito, junto con los permisos correspondientes.

  • Puede usar encabezados de uso compartido de recursos entre orígenes (CORS) en las respuestas de AD FS. Estos nuevos encabezados permiten a los usuarios crear aplicaciones de una sola página que permitan a las bibliotecas JavaScript del cliente validar la firma de id_token mediante la consulta de las claves de firma del documento de detección de Open ID Connect (OIDC) en AD FS.

  • AD FS ya es compatible con la clave de prueba para el intercambio de código (Proof Key for Code Exchange, PKCE) para los flujos de código de autenticación segura en OAuth. Esta capa adicional de seguridad impide que agentes maliciosos secuestren el código y lo reproduzcan en un cliente diferente.

  • Se ha corregido un problema leve que hacía que AD FS enviara solo la solicitud x5t. AD FS ahora envía también la solicitud kid para indicar la sugerencia de ID de clave para verificar la firma.

Mejoras de compatibilidad

Los administradores ahora pueden configurar AD FS para que los usuarios puedan enviar informes de errores y depurarlos como un archivo ZIP para solucionar problemas. Los administradores también pueden configurar una conexión de protocolo simple de transferencia de correo (SMTP) para enviar automáticamente el archivo ZIP a una cuenta de correo electrónico de evaluación. Otra opción permite a los administradores crear automáticamente una incidencia en el sistema de soporte técnico en función de ese correo electrónico.

Actualizaciones de implementación

Las siguientes actualizaciones de implementación ahora están incluidas en AD FS 2019:

Actualizaciones de SAML

AD FS 2019 incluye las siguientes actualizaciones del Lenguaje de marcado para confirmaciones de seguridad (SAML):

  • Se han corregido problemas en la compatibilidad con la federación agregada, como InCommon, en estos aspectos:

    • Se ha mejorado el escalado de muchas entidades en el documento de metadatos de la federación agregada. Anteriormente, el escalado de estas entidades no se realizaba correctamente y se generaba el mensaje de error ADMIN0017.

    • Ahora puede realizar consultas mediante el parámetro ScopeGroupID ejecutando el cmdlet Get-AdfsRelyingPartyTrustsGroup de PowerShell.

    • Se ha mejorado el control de las condiciones de error de los valores duplicados de entityID.

Especificación de recursos de estilo Azure AD en el parámetro de ámbito

Anteriormente, AD FS necesitaba que el recurso y el ámbito deseados se incluyeran en parámetros independientes en cualquier solicitud de autenticación. Por ejemplo, la siguiente solicitud de OAuth de ejemplo incluye un parámetro de ámbito:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Con AD FS en Windows Server 2019, ahora puede pasar el valor del recurso insertado en el parámetro de ámbito. Este cambio tiene relación con la autenticación con Microsoft Entra ID.

Ahora, el parámetro de ámbito se puede organizar como una lista separada por espacios que estructura cada entidad como un recurso o ámbito.

Nota:

Solo puede indicar un recurso en la solicitud de autenticación. Si incluye más de un recurso en la solicitud, AD FS devolverá un error y la autenticación no se realizará correctamente.